O autorze
Krzysztof Surgut – były CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert bezpieczeństwa informacji (ISO 27001), systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Dlaczego Atak nie jest najlepszą Obroną?

pexels.com
Twoja Firma została zaatakowana przez hakerów? No to może warto odpowiedzieć im "Pięknym za Nadobne" i przygotować lub zlecić kontratak? To nie jest najlepszy pomysł. Dlaczego? Zapraszam do lektury.

Od parunastu miesięcy nie ma tygodnia, aby w nagłówkach serwisów informacyjnych nie pojawił się tytuł informujący o jakimś ataku hakerów.

Ludzkie odruchy w zakresie ataku, czy to w realnym świecie czy to w wirtualnym świecie, zawsze są takie same. Chcemy odwetu!

Czy ktoś z Was zastanawiał się nad zastosowaniem kontrataku w momencie, gdy jesteście atakowani w Internecie?
Czy można w akcie „cyfrowej samoobrony” zrealizować lub zlecić kontratak?

Co mówi prawo?
Polskie prawo posiada szereg artykułów związanych z Obroną Konieczną.

Definicja Obrony Koniecznej może być, albo bardzo prosta (za to ogólna), albo bardzo szczegółowa (i skomplikowana).
W ogólnej definicji Obrona Konieczna to okoliczność wyłączająca bezprawność czynu zabronionego.

Atak informatyczny w polskim prawie jest czynem zabronionym (o czym pisałem np. tutaj ).
W przypadku cyberprzestrzeni mamy dodatkowy problem – brak terytorialności.

Ataki informatyczne pochodzące z poza terytorium Polski nie podlegają polskiej jurysdykcji.
Czy to automatycznie daje nam prawo do kontrataku, uzasadnionego Obroną Konieczną?

Tutaj pojawia się problem. Prawo międzynarodowe nie reguluje w ogóle takiej aktywności, będącej reakcją na atak informatyczny.
W NATO, po ataku na Estonię w 2007r. powstało opracowanie naukowe - Tallinn Manual on the International Law Applicable to Cyber Warfare, które dość szczegółowo rozpatruje kwestię cybernetycznego kontrataku.

W ramach przygotowanego opracowania zdefiniowano podjęcie kontrakatu, ale przy spełnieniu pewnych warunków:

1. Kontratak powinien być proporcjonalny do ataku.
To taki odpowiednik z prawa karnego, gdzie Obrona Konieczna nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa.

2. Kontratak musi być skierowany poza granice kraju, na którego terenie doszło do ataku.

3. Nie powinno się kontratakować ludności cywilnej, czy pojedynczych obywateli, pod warunkiem, że nie biorą oni czynnego udziału w „działaniach wojennych”.
Nie ma natomiast problemu z kontratakiem na członków służb mundurowych czy członków grup militarnych. Można kontratakować osoby fizyczne (spełniające powyższe warunki), ale nie wolno atakować obiektów cywilnych.
Kontratak skierowany np. na elektrownię atomową czy szpital może być potraktowany jak akt terroru.

4. Dopuszcza się nie tylko kontratak w cyberprzestrzeni, ale także atak fizyczny.
W praktyce oznacza to wysłanie oddziału wojsk specjalnych lub agentów służb specjalnych.

Tyle mówią podstawowe reguły kontrataku, opracowane w ramach pracy naukowej dla NATO. Jednak sam dokument w dalszym ciągu nie daje prawa, ani nie uzasadnia kontrataku.
Co ciekawe, zbyt aktywny kontratak w cyberprzestrzeni może być potraktowany jako działanie zbrojne przeciw innemu krajowi.


Dlatego też żaden kraj, nie zachęca swoich obywateli czy przedsiębiorstw działających na ich terytorium, do działań odwetowych.

Co jednak w przypadku, gdybyśmy chcieli jakoś ofensywnie zareagować na atak informatyczny?

We wspomianym wyżej opracowaniu przedstawiono zasady postępowania podczas działań kontrofensywnych.

Obowiązkowe zasady kontrataku
Wbrew pozorom kontratak wcale nie jest prostym działaniem. O ile atakujący nie przejmują się przepisami prawa, o tyle kontratakujący już takiego komfortu nie ma. Dlatego wszystkie działania odwetowe muszą być bardzo mocno przemyślane i udokumentowane. Ale po kolei.

Identyfikacja atakującego
To najtrudniejsza część zadania. Jak w cyberprzestrzeni zidentyfikować atakującego? Teoretycznie wystarczy zarejestrować adres IP. Ale?

Adres IP wcale nie musi oznaczać rzeczywistego źródła ataku.

Po pierwsze, atakujący mógł zastosować spoofing, czyli zafałszować pakiety wykorzystane do ataku, gdzie jako nadawcę podać fałszywy adres IP.

Po drugie, istnieją metody ataku wykorzystujące „odbicie”, czyli wysyłane są zapytania do jakiegoś serwisu, ale w zapytaniu podaje się adres IP atakowanego, więc serwis wysyła odpowiedzi do Ofiary a nie Atakującego. Atakowanie serwisu, który przesłał odbitą informację, oznacza że nie atakujemy sprawcy ataku tylko nieświadomą ofiarę, wykorzystaną jako narzędzie atakującego.

Po trzecie, do ataku może zostać użyta sieć botnet (pisałem o tym tutaj). W takim wypadku właściciele systemów czy komputerów, z których przeprowadzono atak, nie są świadomi, że uczestniczą w ataku.
Widać zatem, że już samo zdefiniowanie atakującego w cyberprzestrzenii to wyzwanie samo w sobie. Ale to nie koniec problemów.

Określenie kategorii atakującego
Skoro nie wolno nam atakować obiektów cywilnych, to musimy mieć pewność, że atakowane systemy komputerowe należą do jakiejś organizacji zbrojnej lub osób prywatnych „uczestniczących w działaniach wojennych”. Dlaczego?

Nie tak dawno, miała miejsce awaria systemu informatycznego naszego narodowego przewoźnika LOT. Pierwotną przyczyną miał być atak DDoS na ten system.
Analiza po ataku wykazała, że faktycznie powodem awarii była atak DDoS, z tą różnicą że to system informatyczny LOT został wykorzystany do wykonania ataku DDoS.

W efekcie, gdyby zaatakowany chciał zastosować „zasadę odwetu” to faktycznie przypuściłby cyfrowy szturm na cywilny system linii lotniczej.
W każdym cywilizowany kraju, taki atak zakwalifikowany zostałby jako akt terroru.
A to wciąż nie koniec problemów.

Proporcjonalność
Wybór środków i metod kontrataku wcale nie jest taka prosta.
Skoro reguła Obrony Koniecznej definiuje, że nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa, to nie możemy wykonać kontrataku o zdecydowanie poważniejszych konsekwencjach.

To kolejny problem.
Jak dobrać formę ataku w cyberprzestrzeni, aby nie podpaść pod zarzut „przekroczenia Obrony Koniecznej”?

Czy jeżeli zaatakowano nasze 100Mbps łącze atakiem DDoS o wartości 1Gbps to możemy odpowiedzieć atakiem 10Gpbs, czy też można zastosować jakąś inną formę ataku?

Odpowiedź na to pytanie nie jest prosta, podobnie jak w przypadku zdarzeń przekroczenia Obrony Koniecznej w świecie rzeczywistym.

Odwoływalność
To kolejny wymóg. Wykonywany kontratak powinien dać się w dowolnej chwili zatrzymać.
Nie możemy przygotować działań odwetowych, których nie możemy potem zastopować. Czyli nie wystarczy zlecić jakiejś grupie hakerów realizacji ataku, ale trzeba mieć możliwość zatrzymania realizacji takiego zlecenia.
Zwłaszcza, gdy okaże się że efekty ataku zaburzają choćby zasadę Proporcjonalności czy też cel ataku okaże się obiektem cywilnym.

Zawsze trzeba być przygotowanym na scenariusz, gdy atak trzeba będzie odwołać, ograniczyć czy zatrzymać.
Dotyczyć to może także wszelkiego rodzaju działań typu cyberpułapek (to osobny temat, który poruszę w którymś z najbliższych artykułów). Podobnie jak w przypadku wojskowych min, tak i w cyberprzestrzeni jest możliwość budowania „pól minowych”. Realizacja takiego scenariusza musi zakładać, że będziemy w stanie „rozbroić” nasze „cybernetyczne miny”.

Monitoring efektów
To najtrudniejsza część kontrataku.
Jeżeli stajemy się stroną atakującą, to musimy mieć sposób na to, aby obserwować skutki takiego ataku. I nie chodzi tutaj wyłącznie o satysfakcje, że atak się udał.

Monitorowanie bardziej związane jest z zasadą Proporcjonalności lub obserwacją zaistnienia efektów nieoczekiwanych lub mogących skutkować szerszymi konsekwencjami, zwłaszcza dla ludności cywilnej.

Może się okazać, że atakując jakiś węzeł informatyczny, tak naprawdę wpłyniemy na jakieś inne systemy informatyczne, które otrzymają błędne dane.
Na podstawie takich danych dokonana zostanie błędna analiza i w konsekwencji uruchomiony zostanie błędny mechanizm czy procedura.

Szczególnie dotyczy to ataków socjotechnicznych czy ataków via social media.

Jeżeli nie będziemy obserwowali efektów to może się okazać, że misternie skonstruowany „fake news” o stronie atakującej, może mieć realny wpływ na jakąś branżę, na kurs akcji czy nieść za sobą negatywne konsekwencje decyzji politycznych.

Cyberszpiegostwo lub cyberprzestępstwo
Dobierając formę kontrataku także trzeba uważać, aby metoda nie zakwalifikowała takich działań jako szpiegostwa, np. przemysłowego, państwowego czy kradzieży danych osobowych.

Każde z takich działań podlega karze przewidzianej kodeksem karnym w danym kraju.

Nawet fakt, że nasz kraj nie posiada aktywnej umowy o ekstradycji, nie da nam pewności bezkarności w przyszłości.

Znane są historie, gdzie agenci służb specjalnych danego kraju porywali obywateli innego kraju (np. podczas ich zagranicznej wycieczki czy urlopu).
Wszystko po to, aby swoim obywatelom pokazać skuteczność egzekucji prawa.

A nigdy nie będziemy mieli pewności czy realizując kontratak nie pozostawimy wystarczającej ilości śladów, które będą wskazywać na nasze aktywne zaangażowanie w taki udany kontratak.

Takim śladem mogą być dane transakcji płatnością kartą kredytową czy z wykorzystaniem PayPal. Nigdy nie możemy mieć pewności, że grupa hakerów której zleciliśmy kontratak nie zostanie zmuszona do ujawnienia danych zleceniodawcy, itd.

Wbrew pozorom zacieranie śladów takiej aktywności wymaga sporej wiedzy o systemach informatycznych, systemach transakcyjnych czy reguł działania samego Internetu.
Nawet płatności via Bitcoin wymagają paru ważnych czynności, aby nie zostać zidentyfikowanym jako płatnik.

Podsumowanie
Choć informatyczny kontratak w reakcji na cybernetyczną agresję wydaje się być bardzo naturalną i oczekiwaną reakcją, to w praktyce przeprowadzenie takiego kontrataku wcale nie jest takie proste.

Począwszy od zdefiniowania celu takiego kontrataku, przez dobór proporcjonalnych narzędzi, aż do aktywnego monitorowania efektów.

Każdy z tych kroków wymaga olbrzymiej wiedzy, a nawet doświadczenia w zakresie systemów informatycznych.

W przeciwnym wypadku, z ofiary możemy stać się przestępcą, którego będzie ścigał rodzimy lub zagraniczny wymiar sprawiedliwości.
Znajdź nas na Znajdź nas na instagramie
Trwa ładowanie komentarzy...