Originalus straipsnis paskelbtas 2024 m. kovo 4 d. svetainėje tkp.at.
IT saugumo ekspertas. Išversta padedant www.DeepL.com/Translator. Be pataisymų.
Tikroji ir anksčiau nepastebėta slapto pasiklausymo skandalo bomba slepiama ir sumenkinama. Taip yra todėl, kad ji atskleidžia, kaip smarkiai buvo pažeista NATO ir Vokietijos IT saugumo architektūra. Šiuo metu vyriausybinė ir korporacinė žiniasklaida bando kaip nors sumenkinti šią katastrofą.
Nutekinti aukšto rango Vokietijos ginkluotųjų pajėgų narių įrašai, kuriuose fantazuojama apie išpuolius prieš kritinę infrastruktūrą Rusijoje. Turinys jau yra didelis skandalas ir jau pakankamai aptartas. Tačiau dar didesnis skandalas yra ne turinys. Jis slypi tokio įrašo egzistavime. Tai, kad šis įrašas apskritai egzistuoja, netrukus bus prilyginta branduolinio smūgio padariniams.
Taip yra todėl, kad anksčiau buvo manoma, jog NATO ir Bundesvero saugumo ekspertai sugebės bet kokiomis priemonėmis užkirsti kelią tokiai katastrofai. Kontržvalgyba yra viena svarbiausių visų karinių aljansų veiklos sričių. Iki šiol NATO ir Bundesvero ryšiai buvo laikomi saugiais. Galima sakyti, visiškai saugiu.
Norint išsamiau apibūdinti situaciją – pats esu saugumo ekspertas – reikia pažvelgti į IT saugumo pasaulį.
Pirmiausia norėčiau atkreipti dėmesį į įprastus kibernetinius nusikaltimus. Čia daugiau ar mažiau gabūs įsilaužimo nusikaltėliai bando įsiskverbti į įmonę su programine įranga. Ši programinė įranga dažnai vadinama “Trojos arkliu” arba “išpirkos reikalaujančia programine įranga” (angl. ransomware). Tikslas – išsireikalauti išpirką. Imamasi papildomų priemonių, kad auka iš tikrųjų sumokėtų. Visų pirma siekiama, kad atsarginės kopijos (angl. Backup) atkūrimas taptų beprasmis. Tai pasiekiama įdiegiant keletą backdoors (galinių durų). Tai galinės durys, per kurias galima vėl įsiskverbti į auką po to, kai ji buvo atkurta naudojant atsarginę kopiją. Šios galinės durys yra taip sumaniai užmaskuotos, kad gali išgyventi net visų kompiuterių kietųjų diskų formatavimą. Pavyzdžiui, jie gali maskuotis aparatinėje įrangoje (bios) arba būti įdiegti kituose neįtartinuose įrenginiuose. Tai tinklo komponentai, pavyzdžiui, komutatoriai, prieigos taškai, maršrutizatoriai, ugniasienės, VoIP telefono stotelės ar spausdintuvai ir net laiko įrašymo sistemos ir pan.
Jei norite užtikrinti, kad, nepaisant pirminio užkrėtimo, ateityje neįvyktų vėlesnis užkrėtimas, būtina imtis tam tikrų labai skausmingų veiksmų. Tarp jų – visiškas visų esamų tinklo komponentų eksploatavimo nutraukimas. Taip yra todėl, kad paprastai neįmanoma saugiai išvalyti užkrėstų sistemų… Po šio eksploatavimo nutraukimo tinklas žingsnis po žingsnio visiškai atkuriamas. Turi būti užtikrinta, kad nė vienas “senas”, t. y. galimai pažeistas, įrenginys nebūtų iš naujo prijungtas prie tinklo. Tai ypač skausminga, nes daroma prielaida, kad galbūt 90 % įrenginių bus pakeista veltui. Tačiau, kadangi iš prietaisų neįmanoma nustatyti, ar į juos buvo kėsintasi, visiškas pakeitimas tampa neišvengiama alternatyva.
Mano IT saugumo kolegos iš Vokietijos kariuomenės ir NATO ne tik žino apie šias grėsmes, bet ir suvokia neįsivaizduojamą žalą, kurią padarytų tokia sėkminga IT ataka. Juk kalbame ne apie ką kitą, o apie visišką visų Bundesvero ir net visų NATO tinklų techninės įrangos pakeitimą. Dėl šios priežasties dedamos net ekspertams neįsivaizduojamai didelės pastangos tokiai grėsmei atremti. Štai tik nedidelė, neišsami ištrauka iš priemonių katalogo:
Tinklo komponentams naudojami tik kariuomenės sertifikuoti tiekėjai. Tai, pavyzdžiui, JAV amerikiečių gamintojas (Cisco). Visi centriniai serveriai yra apsaugoti Izraelio gamintojo (“Checkpoint”) kariuomenės užkardomis, dažnai net dvigubai apsaugotomis taip, kad nebūtų nė vieno darbuotojo, kuris turėtų teisę administruoti abi sistemas. Tai neleidžia atskiriems administratoriams šnipinėti įmonės. Kompiuterių sistemos darbo vietose ir darbuotojų nešiojamieji kompiuteriai yra apsaugoti papildoma apsaugos sistema. Viena vertus, techninė įranga yra taip stipriai užšifruota, kad pavogtas nešiojamasis kompiuteris užsienio žvalgybos tarnyboms yra visiškai nenaudingas. Kartu ryšys ne tik šifruojamas, bet ir stebimas taip, kad nė vienas darbuotojas negalėtų naudotis žiniatinklio programomis ar įkelti duomenų be leidimo. Nė vienam įrenginiui nesuteikiama tiesioginė prieiga prie interneto, o jis veikia per pirmiau aprašytas ugniasienes, kurios įdiegtos mažiausiai du kartus.
Visų pirma, tarnybinis nešiojamasis kompiuteris niekada negali tiesiog prisijungti prie viešbučio WLAN. O kiti dalyviai taip pat negalės iš tarnybinių kompiuterių prisijungti prie privataus nešiojamojo kompiuterio. Tokiu atveju su centriniais Bundesvero serveriais ir ugniasienėmis visada užmezgamas šifruotas tunelinis ryšys. Reikėtų pažymėti, kad visos šios šifravimo priemonės nėra įprastinės šifravimo priemonės, visos jos atitinka karinį standartą, kuriam, pavyzdžiui, taikomi eksporto draudimai ir kuris yra neprieinamas įprastoms bendrovėms.
Be to, yra slapta papildoma sistema, kuri komercinėje versijoje dažnai vadinama IDS – įsilaužimo aptikimo sistema. Ši sistema analizuoja visą duomenų srautą ir aptinka įtartinus procesus, pavyzdžiui, garso failų įkėlimą, bei užkerta jiems kelią realiuoju laiku.
Jei dabar pradedama telefoninė konferencija arba vaizdo konferencija, ji pereina per visas minėtas apsaugos sistemas ir yra įmanoma tik su labai nedaugeliu pasirinktų paslaugų teikėjų. Pavyzdžiui, gerai žinoma “WebEx”, kurią teikia jau gerai žinomas karinį sertifikatą turintis tiekėjas iš JAV.
Visos šios priemonės skirtos vienam tikslui – kad priešas niekaip negalėtų gauti svarbių duomenų šnipinėjimo tikslais. Net į atskirų dalyvių aplaidumą ar net ketinimus šnipinėti atsižvelgiama ir patikimai užkertamas kelias.
Tai, kad toks garso įrašas vis dėlto egzistuoja, dėl kelių priežasčių prilygsta visiškai katastrofai. Tam yra tik du galimi paaiškinimai: įrašas buvo padarytas padedant JAV draugams iš WebEx arba Bundesvero (ir NATO?) tinklas buvo infiltruotas į pačią jo esmę. Atmetu trečiąjį paaiškinimą, kad Bundesveras neturi kompetentingų ekspertų.
Pirmasis būtų gana rimtas, bet jį taip pat atmetu. Antrasis yra visiška katastrofa.
Nes šiai dienai niekas nežino, kaip rusai tai padarė, kokius dar įrašus ir slaptus planus jie tebeturi ir kokie įrašai ateityje dar galimi.
Nes tai, kas pirmiau aprašyta eilinei įmonei, dabar taikoma Bundesverui, o galbūt ir NATO: pirmiausia reikėtų išjungti visą IT infrastruktūrą, o paskui ją pakeisti. Bent jau jei jie nori būti 100 proc. tikri, kad visos galinės durys yra uždarytos.
Juk Rusijos slaptosios tarnybos tikrai nėra kvailos ir tokį įrašą paskelbs tik tada, jei bus tikros, kad turi pakankamą skaičių galinių durų rezerve, net jei šiuo metu naudojama saugumo spraga būtų uždaryta. Todėl visą Bundesvero (galbūt ir NATO) tinklą galima laikyti užkrėstu. Ir tokiu būdu, kuris net saugumo ekspertams atrodė neįmanomas. Taip yra todėl, kad esamos apsaugos nuo šnipinėjimo priemonės nebūtų leidusios net tinklo administratoriams sukurti tokį įrašą, o juo labiau pašalinti jį iš tinklo nepastebėjus. Bet kuriuo atveju tam būtų reikėję kelių IT skyrių bendradarbiavimo.
Galite įsivaizduoti, kokia panika šiuo metu tvyro Bundesvero ir NATO tarnybose.
Nes kol visos sistemos bus išjungtos ir atkurtos, kiekvienas kariuomenės ir saugumo tarnybos darbuotojas turi manyti, kad kiekvienas Bundesvero ar net NATO kompiuteris ir kiekvienas ryšys jau gali būti pažeistas. Tai nepriklauso nuo skaičiaus. Tai gali būti tik vienas vienintelis kompiuteris, iš kurio gali būti pradėta nauja ataka. Esmė ta, kad nežinia, kuris tai kompiuteris ir ar jų yra daugiau.
Įsivaizduokite, jei Bundesverui iš karto tektų apsieiti be visų kompiuterių ir telefonų, nebent būtų perduodami receptai ir kačių vaizdo įrašai. Apskritai pasitikėjimą slaptomis ryšio priemonėmis atkurti sunku.
Šio straipsnio autoriaus nuomone, Nato būstinės išjungimas dėl išpuolio turėtų mažesnį poveikį Aljanso ryšiams nei ši superkatastrofa.
Šiuo nutekinimu Rusija galutinai nugalėjo Nato informacines technologijas, net jei Aljansas to dar nežino. Tikriausiai praeis nemažai laiko, kol Nato atsigaus po šio smūgio. Pasekmės Nato – ar bent jau Bundesvero – gebėjimui kariauti yra nenuspėjamos. Dabar gali net įvykti lemiamas Ukrainos strategijos pasikeitimas ir Nato gali pasiduoti. Rusija negalėtų rasti stipresnio smūgio prieš NATO be kraujo praliejimo. Suprantama, kad oficialios institucijos iki šiol savo ataskaitose visiškai ignoravo šį aspektą.
Šiame straipsnyje išsakytos nuomonės nebūtinai atspindi nuolatinių TKP autorių požiūrį. Teisės ir atsakomybė už turinį tenka autoriui.
Šis tekstas pasirodė 2024 m. kovo 4 d. pavadinimu “Supergau Bundeswehr Leak: Sicherheitspolitische Bombe erschüttert NATO” svetainėje tkp.at.
Išversta padedant www.DeepL.com/Translator. Be pataisymų.
Nuotrauka: pixabay, Elchinator
Autorius apie save: Atidus jūsų tinklaraščio skaitytojas, sistemų analitikas ir IT saugumo ekspertas.
1 thought on “Saugumo politikos bomba sukrėtė NATO”