Polityka i cyberbezpieczeństwo - trudny związek

Relacje między różnymi krajami na świecie przybierają coraz bardziej niepokojącą formę, nie tylko w obszarze ekonomii i polityki, ale także w odniesieniu do cyberbezpieczeństwa. Niedawne restrykcje nałożone na produkty pochodzące z Chin (np. Huawei) czy Rosji (np. Kaspersky Lab) to doskonałe przykłady trudnych relacji między polityką a cyberbezpieczeństwem.

Gdy grzesznicy oskarżają innych grzeszników

Sugestia ze strony amerykańskiego rządu, Unii Europejskiej i niektórych zachodnich służb bezpieczeństwa o potencjalnym szpiegowaniu ich przez firmę Kaspersky Lab może wydawać się nieco ironiczna. Przecież to właśnie niektóre zachodnie agencje wywiadowcze potajemnie używały nieznanych exploitów w celu szpiegowania ludności cywilnej i rządów innych krajów.

Wystarczy przypomnieć publikację WikiLeaks pt. „Vault 7” z marca 2017 r., w której opisano oprogramowanie szpiegowskie „Weeping Angel” dla telewizorów typu smart, będące rzekomo wspólnym dziełem Centralnej Agencji Wywiadowczej (Central Intelligence Agency, CIA) i brytyjskiej Służby Bezpieczeństwa (Military Intelligence, Section 5; MI5). Vault 7 to nazwa serii ponad 8 000 dokumentów należących do podlegającej CIA organizacji Center for Cyber Intelligence. Opisywały one sposób, w jaki sposób CIA wykorzystała nieznane luki do utworzenia oprogramowania szpiegowskiego, którego można było użyć na każdym urządzeniu i systemie operacyjnym. Wszystkie linie kodu oprogramowania szpiegowskiego miały objętość porównywalną do skomplikowanej, światowej platformy typu Facebook. Według WikiLeaks w efekcie CIA utworzyła własną agencję wywiadowczą na kształt NSA, ale o mniejszym zakresie odpowiedzialności.

Można przypuszczać, że CIA dostała zgodę na takie działania po zamknięciu programu Prism przez NSA w 2013 r., co było skutkiem publikacji gazet Washington Post i Guardian, w których przedstawiono NSA jako „głównego architekta” tajnego, krajowego programu przechwytywania danych. Według publikacji rząd amerykański miał bezpośredni dostęp do danych użytkowników przechowywanych na serwerach Facebooka, Google’a, Apple’a i innych amerykańskich gigantów. 

Przy okazji warto wspomnieć, że oprogramowanie ransomware Wannacry i Petya wykorzystywało nieznane luki, które hakerzy ukradli od NSA. Ponadto wyciek autorstwa ugrupowania hakerskiego Shadow Brokers sugeruje, że to właśnie NSA utworzyła Stuxneta uważanego za najbardziej zaawansowany szkodliwy program, jaki kiedykolwiek powstał. Zgadnijcie, która firma antywirusowa przeanalizowała to zagrożenie jako pierwsza? Tak, Kaspersky Lab.

Czy można to połączyć z sugestią, że Kaspersky Lab mógł być zamieszany w szpiegowanie jakichś zachodnich rządów? W 2015 roku internetowy magazyn Intercept finansowany przez założyciela platformy eBay, Pierre’a Omidyara, którego misją jest utrzymanie odpowiedzialności najpotężniejszych frakcji rządowych i korporacyjnych za ich działania, ujawnił tajny dokument napisany przez brytyjską agencję wywiadowczą Government Communications Headquarters (GCHQ). Dokument ten był wnioskiem o zezwolenie na kontynuację przeprowadzania „inżynierii wstecznej oprogramowania komercyjnego”, w szczególności produktów firm antywirusowych. W sekcji 11 tego dokumentu o nazwie GCHQ Application for Renewal of Warrant GPW/1160 napisano, że firma Kaspersky Lab może stanowić pewien problem w prowadzeniu takiej potajemnej cyberdziałalności:

 

Czy to tylko zbieg okoliczności? Na to pytanie każdy musi sobie odpowiedzieć sam. Niemniej jednak fragment ten wskazuje możliwości Kaspersky Lab w zakresie wykrywania zaprojektowanego przez rząd szkodliwego oprogramowania, chociaż wymienione są również inne firmy.

Nie ma dymu bez ognia

Gdy urzędnicy demokratycznego rządu oskarżają jakąś firmę o złe postępowanie, coś musi być na rzeczy. Jednak tym razem oskarżenia nie są poparte dowodami, jak można by się tego spodziewać. Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych (Department of Homeland Security, DHS) poinformował, że nie znalazł jednoznacznych dowodów na to, że oprogramowanie firmy Kaspersky Lab zawierało backdoory lub szpiegowało kogokolwiek.

Wskazówka ujęta w raporcie Unii Europejskiej o „zakazie używania produktów, które zostały uznane za szkodliwe, np. Kaspersky Lab”, również nie opiera się na żadnych konkretnych dowodach. Nie znaleźliśmy najmniejszej podstawy popierającej ten tok myślenia w 23-stronnicowym raporcie UE, który doprowadził do zakazu używania produktów Kaspersky Lab. Mimo to wspomniane zdanie jest cytowane w internecie jako dowód rzeczowy nawet przez uznane strony internetowe, takie jak CSO.com.  

Gdy szanujące się źródła kopiują i przesyłają dalej informacje, wiarygodność przekazu rośnie. Mechanizm działania fałszywych informacji (ang. fake news) jest prosty: kilka źródeł zaczyna kopiować i cytować siebie nawzajem tak często, że ludzie przestają myśleć samodzielnie i zaczynają traktować daną informację jako fakt.

Co się stało z demokratyczną zasadą, że oskarżony jest niewinny, dopóki mu się czegoś nie udowodni? Jewgienij Kasperski jako jedyny z grupy gigantów oprogramowania zaoferował urzędnikom zarówno ze Stanów Zjednoczonych, jak i Unii Europejskiej możliwość uzyskania dostępu do kodu źródłowego, aby mogli przeprowadzić audyt i sprawdzić go pod kątem backdoorów. Ponadto Kaspersky Lab otwiera swoje „Centrum Transparentności” w Szwajcarii, aby eliminować obawy, że do aktualizacji oprogramowania Kaspersky Lab można dołączać oprogramowanie szpiegowskie.

Kto strzeże strażnika?

Produkty antywirusowe to jeden z niewielu aplikacji programów, które mają niemal nieograniczony dostęp do systemu operacyjnego komputera, zasobów i danych użytkowników. Pokazał to opublikowany przez nas w 2014 r. raport, w którym omówiliśmy, jakie dane są wysyłane przez produkty antywirusowe na serwery centrali („Data transmissions in Internet Security Products”).

Chociaż oprogramowanie służące do ochrony komputerów może legalnie wysyłać informacje na temat komputera użytkownika na swoje serwery w chmurze, nie oznacza to, że program ma całkowitą wolność w kwestii wysyłania danych. Oczywiście nie ogranicza się to wyłącznie do programów antywirusowych — wystarczy spojrzeć na ogromne ilości danych gromadzonych przez serwis Facebook czy niedawne naruszenie przez niego prywatności. Cała branża IT (w tym producenci urządzeń Internetu Rzeczy) powinna być monitorowana pod kątem danych, które gromadzi i wysyła przez internet.

Polityka i cyberbezpieczeństwo — trudny związek

W tej sytuacji można skorzystać z zewnętrznych centrów testowania, które mogą zweryfikować, czy producent działa zgodnie z prawem. W 2010 roku Huawei otworzył w Wielkiej Brytanii ośrodek Cybersecurity test centre, w którym wyszukuje się błędy w urządzeniach sieciowych tej firmy. To centrum testowe jest nadzorowane przez brytyjski rząd. W rozporządzeniu RODO wspomina się już o specjalnych organach do spraw ochrony danych.

Oferta Jewgienija Kasperskiego dotycząca audytu jego oprogramowania, a także kompilowania i podpisywania aplikacji na terenie neutralnej Szwajcarii, zasługuje na przemyślenie. Specjalistyczna organizacja audytowa, wyznaczona przez krajowy organ do spraw ochrony danych (ang. Data Protection Authority), może sprawdzać i weryfikować, czy produkty Internetu Rzeczy spełniają narzucane przez regulacje standardy w zakresie prywatności i bezpieczeństwa w danym kraju.

Źródło: https://www.av-comparatives.org/spotlight-on-security-politics-and-cyber-security-a-troubled-relationship/