6

Urzędnicy poza Internetem. Dla swojego i naszego bezpieczeństwa

Jakub pisał wczoraj o wielkim wycieku danych z bazy PESEL, dzisiaj sprawa jest już wyjaśniana, możliwe, że niebawem dowiemy się oficjalnie kto wyciągnął rekordy, jak do tego doszło, poznamy skalę wpadki i ewentualne skutki (ale możliwe też, że dowiemy się niewiele). Nawet jeśli ta sprawa zostanie rozpracowana i nie przyniesie większych szkód, to pojawią się kolejne, a słabymi ogniwami mogą się w nich okazać urzędnicy. Dlatego na świecie pojawiają się pomysły, by odciąć tych ludzi od Internetu. Ale czy ma to sens w dobie budowania zinformatyzowanego społeczeństwa?

Urzędnicy w Singapurze mają być odcięci od Internetu. Nie permanentnie i do końca życia – będą mogli korzystać z prywatnych laptopów podłączonych do Sieci czy wyznaczonych maszyn w urzędach. Służbowe narzędzia pracy nie umożliwią jednak korzystania z globalnej Sieci. Rozwiązanie ma być wdrożone w ciągu kilku kwartałów, ale już teraz wzbudza pytania i wątpliwości, dzieli ekspertów i komentatorów.

Jedni przekonują, że to przesada, a nawet niebezpieczny kierunek. Mówimy o nowoczesnym państwie-mieście, które próbuje być smart. Niejednokrotnie czytałem, czasem też pisałem o nowinkach, jakie się tam pojawiają. Do tych wszystkich usprawnień dorzucimy teraz urzędników oderwanych od Internetu? Przecież to może prowadzić do paraliżu administracji – państwo zablokuje się samo, nie będą potrzebne ataki z zewnątrz. Osoby stojące po tej stronie barykady twierdzą, że podejmowane środki nie są współmierne do zagrożeń. Nie stanowią sensownego zabezpieczenia. Zwłaszcza, że dane można dzisiaj wykradać na różne sposoby – przecież Jakub pisał jakiś czas temu o wykorzystaniu w tym celu wentylatorów czy dysków talerzowych:

Rozwiązanie jest nieco karkołomne – za jego pomocą, komputer będzie w stanie „wysłać” dosłownie w powietrze jedynie 1200 bitów danych na godzinę (150 całych znaków na godzinę). To niezwykle mało, ale do hipotetycznego wysłania hasła powinno wystarczyć. O transferach większych plików za pomocą tej metody można absolutnie zapomnieć. No i nie oszukujmy się – pod znakiem zapytania stoi również praktyczność takiego ataku. Załóżmy, że mamy do czynienia z maszyną niepodpiętą do sieci i do której nie można podpiąć żadnego pendrive’a. Jakoś ten sprzęt musimy zainfekować.[źródło]

Nowa metoda, oparta o te same założenia, jednak z dyskiem talerzowym w roli głównej została zaprezentowana przez izraelskiego speca od bezpieczeństwa, Mordechaja Guri, pracującego na Uniwersytecie Ben-Gurion. Wykorzystał on fakt, iż pracujący dysk twardy wydaje dźwięki podczas poruszania ramieniem głowicy i ustawiania jej w odpowiednim obszarze nośnika. Ponownie trzeba komputer zainfekować malware’em, by uzyskać odpowiedni efekt (tj. ustandaryzować dźwięki tak, aby były zdatne do odczytania). Następnie, na zainstalowanym na smartfonie programie DiskFiltration, można owe dane odczytać. I tutaj pojawiają się podobne schody, co do metody z wykorzystaniem wentylatora. Szybkość takiego transferu to „aż” 180 bitów na sekundę. Do wyciągnięcia z komputera małych partii danych, na przykład klucza szyfrującego wystarczy. Ale będzie to trwać nawet do pół godziny. Poza tym – efektywny zasięg tej metody to zaledwie 2-3 metry, co znacząco sprawę utrudnia.[źródło]

Ktoś napisze, że to czasochłonne, nieskuteczne, zbyt zawiłe i pozbawione sensu. I pewnie ma rację. Podaję jednak przykłady na to, że istnieją różne rozwiązania i nie funkcjonują zabezpieczenia dające 100% gwarancji. Jeśli gdzieś można się włamać, to prędzej czy później do tego dojdzie. Przynajmniej podjęta zostanie próba, a nawet najlepiej przygotowani urzędnicy czy informatycy niewiele poradzą.

Mamy też drugą grupę ekspertów, której nie dziwią działania władz w Singapurze. Dowodzą oni, że kraj jest bardzo narażony na cyberataki, co ma związek m.in. z sytuacją geopolityczną w regionie (chodzi o sytuację na Morzu Południowochińskim). O tym, że jest tam „gorąco”, niech świadczą niedawne doniesienia z Wietnamu:

Kolejna odsłona zaostrzającego się konfliktu o sporne terytoria na Morzu Południowochińskim. W piątek hakerzy sparaliżowali stronę internetową wietnamskich linii lotniczych. Pasażerowie na lotniskach w Hanoi i Ho Chi Min zamiast rozkładu lotów mogli zaś zobaczyć hasła krytykujące władze Wietnamu i Filipin.[źródło]

Singapur dmucha zatem na zimne (a raczej dość ciepłe), przez co urzędnicy zostaną odcięci. Eksperyment ciekawy z punktu widzenia innych państw: czy da się tak dzisiaj funkcjonować? Przez lata dążono do tego, by unowocześniać urzędy, tworzyć e-państwo, informatyzować każą sferę życia, a teraz okazuje się, że rozwiązania tego typu mogą przynosić więcej złego niż dobrego i nastąpi od nich odwrót. Państwa słabiej rozwinięte, które nie zaznały jeszcze cyfrowego luksusu stwierdzą, że nie miały czego żałować. To oczywiście skrajny efekt – możliwe, że do większych zmian nie dojdzie i ten pomysł padnie. Aktualne pozostaną jednak pytania o cyberbezpieczeństwo państw i obywateli w XXI wieku. O to, jak powinni być przygotowani i kontrolowani urzędnicy, by nie dochodziło do poważnych wpadek, wycieków i paraliżu…