O cywilnych szkodach wojskowych cyber operacji - moja analiza raportu MKCK

Chcemy tego, czy nie, cyberoperacje to nasza dzisiejsza rzeczywistość. Zostaną z nami. Ale trzeba przyznać, że ta część sztuki działalności państwowych jest jednak całkiem nowa. Warto więc odnotować, że Międzynarodowy Komitet Czerwonego Krzyża właśnie opublikował swój raport na temat wojskowych cyber operacji. Wcześniej opisywałem inny raport, poświęcony humanitarnym konsekwencjom cyber operacji (disclaimer: jestem autorem). Pozostała część tego postu to analiza raportu MKCK na temat militarnych cyber operacji.

Raport rozpoczyna się trzeźwą obserwacją:

„...militaryzacji cyberprzestrzeni, wojskowe operacje cyber są mocno zakorzenione w roli sił zbrojnych wielu państw, choć rozłożenie obowiązków w cyberprzestrzeni różni się między państwami”

Cyber operacje wojskowe/cyber ataki/etc są z nami i pozostaną. Ale nie zawsze jest jasne, czym są takie cyberoperacje. Raport wyjaśnia więc, że nacisk kładziony jest na potencjał zakłócania działania celów lub ich niszczenia.

„Granice tego, co stanowi ofensywne cyber operacje, pozostają przedmiotem dyskusji, ale istnieje możliwość osiągnięcia wyników destrukcyjnych. Prowadzenie takich operacji w konflikcie zbrojnym może wiązać się z działaniami przygotowawczymi w sieciach adwersarza przed wybuchem konfliktu”

Raport mówi, że do tej pory tylko trzy państwa świata ujawniły stosowanie ofensywnych operacji wojskowych podczas konfliktu zbrojnego: USA, Wielka Brytania i Australia (przeciwko ISIS,  głównie przeciwko obiektom propagandowym). Do tej listy dodałbym inny kraj, który również potwierdził, że przeprowadza cyber operacje  w kontekście konfliktu zbrojnego, Francję. Innymi słowy, są to operacje w cyberprzestrzeni, które mają na celu osiągnięcie pewnych celów militarnych.

Cyberprzestrzeń?

Pogląd na cyberprzestrzeń w tym dokumencie wydaje się być inspirowany lub podobny do tego brytyjskiego Ministerstwa Obrony, które odnosi się do wielu warstw cyberprzestrzeni (w tym przestrzeni fizycznej, wirtualnej i kognitywnej).

Rola sił zbrojnych w cyberprzestrzeni

Czy CERTy mogą być celem ataków zbrojnych w konflikcie?

Według cyber norm – nie, nie powinny. Jednak podczas spotkania ekspertów zorganizowanego przez MKCK stwierdzono, że

„przyjęte przez ONZ normy odpowiedzialnego zachowania państw w cyberprzestrzeni stanowią, że CERT nie powinny być celowo atakowane przez inne państwa. Zasugerowano jednak, że ochrona ta może zostać zdjęta, jeśli podczas konfliktu zbrojnego dany CERT chronił infrastrukturę krytyczną, która stała się celem wojskowym.”

Czyli, że w pewnych sytuacjach być może mogłyby stać się celem działań wojskowych.

Jest to wyzwanie i być może państwa chciałyby wyraźniej rozgraniczyć między cywilnymi CERT-ami a zespołami wojskowymi. Zdarza się na przykład, że cywilne CERT-y uczestniczą wraz z zespołami wojskowymi w niektórych ćwiczeniach z zakresu cyberbezpieczeństwa (tj. czy tak było w przypadku natowskich Locked Shields?).

Zasady dotyczące cyberprzestrzeni

Ogólnie istnieją dwa zestawy zasad. Te, które obowiązują w czasie pokoju (gdzie zasady są generalnie… niejasne) i w czasie wojny (zasady są generalnie… jasne). Jest to nieco nieintuicyjne, ponieważ sprawia wrażenie, że zrozumienie jest lepiej rozwinięte w przypadku wojny. Nie jest to do końca problematyczny podział sam w sobie, ponieważ jasne jest, że operacje poniżej progu konfliktu zbrojnego nie mogą „przynosić” skutków (takich jak zniszczenie lub następstwa śmiertelne). Mimo to zasady dotyczące jakichkolwiek ograniczeń w czasie pokoju są mniej zrozumiałe, rozmywają się (a ostatnio być może jeszcze bardziej, jak piszę tutaj). Ale co się stanie, gdy operacje pokojowe płynnie przejdą w wojenne?

„... pytanie, w jaki sposób operacje przechodzą od zbierania danych wywiadowczych do wywoływania skutków, biorąc pod uwagę te obawy oraz fakt, że międzynarodowe ramy prawne regulujące skutki operacji są znacznie bardziej rozwinięte niż ramy regulujące operacje wywiadowcze. Eksperci podkreślali, że gdy tylko rozważa się efekty, należy zastosować metodyki celowania i zabezpieczenia opracowane dla operacji wojskowych”

Ładnie skomentowano również, że niektóre podmioty mogą stosować zupełnie inne narzędzia między zastosowaniami pozamilitarnymi i wojskowymi:

„jeśli operacja miałaby przejście od zbierania danych wywiadowczych do dostarczania efektów, wówczas oryginalne narzędzia i infrastruktura wykorzystywane do prowadzenia zbierania danych wywiadowczych byłyby normalnie wycofane, a wdrożone nowe lub inne narzędzia i infrastruktura”

Przyczyny takiej zmiany są z pewnością zniuansowane, ale nie ze względu na politykę: „to przejście byłoby powiązane ze zmianą dowodzenia i metodologii kierowania, głównym powodem było zachowanie zdolności gromadzenia danych wywiadowczych do wykorzystania w przyszłości”.

Brak doświadczenia z operacjami cyber

Wspólnie i jako świat generalnie nie mamy dużego doświadczenia w cyber operacjach. To wyzwanie dla decydentów.

„Ograniczona ilość doświadczenia z tych operacji do tej pory oznaczała, że politykom i decydentom często brakuje niezbędnej wiedzy, aby móc podejmować skuteczne decyzje, nadzorujące lub zatwierdzić operacji wojskowe”

Po tym wszystkim być może będzie jakaś wartość z istnienia na uczelniach wyższych programów magisterskich z zakresu cyberbezpieczeństwa i cyberwojny w kontekstach polityki lub stosunków międzynarodowych? Jestem przekonany, że ta część raportu zostanie powszechnie przyjęta przez wiele uczelni czy uniwersytetów, które prowadzą jakieś tego typu programy z zakresu stosunków międzynarodowych lub politologiczne w zakresie cyberbezpieczeństwa. Takiego kompleksowego podejścia w Polsce zdaje się jeszcze nie ma (aha, no i “powodzenia” ze znalezieniem kompetentnych kadr…) lub dopiero być może powstają (uwaga o kadrach pozostaje w mocy).

Ogólnie dostępne informacje o lukach są złe?

Jest to kontrowersyjna część z punktu widzenia ujawniania informacji o lukach/błędach bezpieczeństwa. Raport wydaje się identyfikować Exploit Database lub Kali Linux, jak gdyby były one jakimiś spektakularnymi narzędziami cyberofensywnymi. Ponadto raport rozważa ukrywanie informacji o lukach w oprogramowaniu, co nie byłoby dobre.

“Wspomniano o dwóch projektach prowadzonych przez firmę zajmującą się bezpieczeństwem informacji Offensive Security, Exploit Database i Kali Linux. Argumentowano, że złośliwa eksploatacja takich publicznie dostępnych zasobów stwarza ryzyko szkód cywilnych porównywalne z tymi powodowanymi przez wojskowe operacje cyber, ale prawdopodobnie bez żadnego nadzoru prawnego i/lub politycznego…”

Co zostało później podsumowane w „państwa powinny rozważyć podjęcie środków w celu rozwiązania problemu dostępności luk w zabezpieczeniach i narzędzi w Internecie oraz zapobieżenia ich wykorzystywaniu przez złośliwe podmioty”. To jest ta kontrowersyjna część.

Jest to kontrowersyjne, ponieważ eksperci, badacze i inżynierowie bezpieczeństwa często powtarzają, że problematyka ujawnienia to skomplikowany problem, ale to co wiemy, to że pomaga w ogólnej poprawie bezpieczeństwa. Zastanawiam się, czy tymi, którzy odnieśliby największe korzyści z “ograniczania”, byłyby faktycznie niektóre firmy programistyczne, ponieważ presja na naprawienie bezpieczeństwa ich produktów zostałaby zmniejszona? W każdym razie zostawiam tę dyskusję innym ludziom, czasowi i miejscom.



Ryzyko szkód cywilnych

Szkody i 'krzywdy' mogą być czasami trudne do przewidzenia z góry. Często widzimy to, gdy systemy są wyłączane w przypadku podejrzenia infekcji ransomware. Ma to na celu ochronę systemów, ale oczywiście przyczynia się do zakłóceń systemu:

„Operatorzy powinni również wziąć pod uwagę, że działanie podjęte w odpowiedzi na inaczej precyzyjnie ukierunkowaną operację może nieumyślnie wywołać większy wpływ, a tym samym zagrozić cywilom w sposób, który nie był zamierzony w pierwotnej operacji. Na przykład aktor przeprowadzający atak na obiekt wojskowy może dążyć do przerwania zasilania tego obiektu. W ten sposób uzyskuje dostęp do lokalnej sieci energetycznej; ale CERT, widząc to, uważa, że ​​jest to część ataku na tę sieć. CERT wyłącza tym samym sieć energetyczną w celu zarządzania postrzeganym zagrożeniem, co z kolei odcina dopływ energii elektrycznej do obiektu wojskowego i ludności cywilnej”.

Oznacza to, że w praktyce zasięg cyberoperacji może być szerszy – systemy mogą być dotknięte w sposób nieprzewidziany przez atakujących.

Raport wskazuje na interesujący wymóg:

„W planowaniu i prowadzeniu wojskowych operacji cyber państwa powinny angażować wiedzę ekspercką z szerokiego zakresu źródeł, które z kolei powinny być ujęte w prostym języku dla decydentów, którzy mogą być mniej zaznajomieni z operacjami cyber i ryzykiem szkód cywilnych, które te niosą ze sobą”

Owszem, „cyber-język” może być hermetyczny, więc należy wiadomości i komunikację odpowiednio przekazywać, z wykorzystaniem odpowiednich analogii itp. A jednocześnie analogie powinny być czynione w taki sposób, by nie popełniać oczywistych błędów, na przykład porównanie exploita SSH do pocisku powietrze-ziemia - tu podaję rzeczywisty przykład wpadki kogoś w mundurze, z przeszłości - lub torpedy może nie być optymalne, więc miejmy nadzieję, że ludzie są tutaj znacznie bardziej kreatywni i wiarygodni… O ile oczywiście są.

Jest jeszcze jeden element związany z potrzebą Państwa powinny posiadać aktualną i dokładną kontrolę/wiedzę/zarządzanie zasobami:

„Państwa powinny mieć wystarczającą wiedzę o krytycznych połączeniach i zależnościach we własnych sieciach, aby móc skoncentrować wysiłki obronne odpowiednio."

Można to szybko podsumować „powodzenia!”. Mówiąc dokładniej: wiemy, że stan wiedzy w tych kwestiach bardzo często jest bardzo daleki od ideału, co oznacza, że ​​jest to swego rodzaju myślenie życzeniowe. Możemy narzekać na taki stan rzeczy, ale tak może być w praktyce i już.

Środki mające na celu unikanie lub ograniczanie szkód cywilnych w wyniku wojskowych operacji cybernetycznych podczas konfliktów zbrojnych

Opis środków mających na celu uniknięcie szkód otwiera się w bardzo interesujący sposób: tu odpowiedzialność spoczywa zarówno po stronie atakującego, jak i obrońcy. „Istniała odpowiedzialność dla tych, którzy podejmowali działania ofensywne oraz dla tych, których sieci i systemy były zagrożone atakiem. Ta dwoistość odpowiedzialności znajduje również odzwierciedlenie w przyjętych przez ONZ normach odpowiedzialnego zachowania państwa w cyberprzestrzeni. W szczególności jedna z norm nakazuje, aby państwa nie przeprowadzały operacji cyber, które mogłyby uszkodzić krytyczną infrastrukturę, podczas gdy inna stanowi, że państwa powinny podejmować odpowiednie środki w celu ochrony własnej infrastruktury krytycznej.”

Środki techniczne dotyczące wykorzystania złośliwego oprogramowania („cyberbroni” ). Następujące środki techniczne są wymienione jako te, które można wdrożyć jako środki ostrożności

  • systemowe — np. techniczne uwarunkowanie złośliwego oprogramowania w taki sposób, aby działało (tj. dostarczało “ładunek” payload) tylko na docelowym systemie, „oszczędzając” te niepowiązane. Jednym z podanych przykładów był Stuxnet, który „został zaprojektowany do działania wyłącznie w systemie o określonej konfiguracji sterowników programowalnych firmy Siemens”. Chociaż moglibyśmy sobie wyobrazić lepsze (tj. technicznie bardziej ilustrujące) przykłady, ten jest faktycznie poprawny.
  • geo-fencing - rodzaj powyższego, ogranicza działanie szkodliwego oprogramowania do zakresów IP. Może to być podatne na błędy, jeśli zakresy adresów IP nie są przydzielone w sposób ciągły, ta uwaga nie występuje w raporcie
  • kill-switch - wbudowany „wyłącznik” techniczny, który zatrzymuje działanie szkodliwego oprogramowania, uzależnione od czegoś: „wbudowane kill switche, które na przykład wyłączają funkcję po określonym czasie, mogą przyczynić się do zmniejszenia ryzyka zmiany przeznaczenia i/lub rozprzestrzeniania się.”
  • auto-delete -  usunięcia się z systemu po wykonaniu działań. To miecz obosieczny, który może utrudnić zrozumienie tego, co się stało (i technika, która faktycznie poprawia czynnik ukrywania się operacji)
  • przy użyciu złośliwego oprogramowania typu ransomware z uwolnieniem hasła deszyfrującego po zakończeniu operacji, aby ofiara/cel mógł przywrócić systemy (por. niektóre kraje, takie jak Francja, mogą uznać to za użycie siły, które mogłoby prowadzić do odpowiedzi zbrojnej).

Treść tę następnie podsumowuje się w następujący sposób: „W zależności od sytuacji, połączenie kilku z tych środków ograniczających ryzyko mogą być wykorzystywane dla tego samego złośliwego oprogramowania, aby maksymalnie zminimalizować ryzyko“. Jest to interesujące, ponieważ te tak zwane „funkcje ograniczania ryzyka” nie są oceniane w kontekście tego, czy wdrożone techniki byłyby w ogóle brane pod uwagę w praktyce. Jeśli dobrze to rozumiem, wszystkie inne względy pozostawia się do rozważenia „zainteresowanym stronom”.

Był też wyraźny przykład operacyjny: „napastnik może uniknąć znacznych szkód dla cywilów, dostosowując operację tylko do uszkodzenia danych związanych z konkretnymi terminalami, statkami lub kontenerami, zamiast umieszczać oprogramowanie ransomware w całym systemie, co skutkowałoby zamknięciem całego portu… W ten sposób strona konfliktu ograniczyłaby efekt operacji do zakłócenia zdolności logistycznych sił zbrojnych przeciwnika, nie naruszając przy tym żeglugi cywilnej”.

Jak można sobie wyobrazić, powyższa operacja w praktyce wciąż skutkowałaby zamknięciem całego portu (okrętowego). Miałoby to miejsce z ostrożności. To jest na przykład powód, dla którego ostatnio irlandzki system zdrowia publicznego (HSE) wyłączył wiele systemów po prostu z ostrożności. Wydaje się, że w raporcie nie ma zrozumienia takich przyczynowych powiązań wzajemnych w systemach informatycznych, mimo że dysponujemy dowodami na ich oddziaływanie. A więc: „gdyby to było takie proste!”. Ale czy tak jest naprawdę?

“Samo-palenie” narzędzi jako polityka?

Czy poniższy pomysł jest naciągany?

„sugerowano również, że państwa mogą chcieć przesłać swoje złośliwe oprogramowanie, gdy zostało ono wykorzystane, opublikować je na stronie takiej jak VirusTotal”.

Teraz wyobraźmy sobie kraj X, który użył złośliwego oprogramowania Y, a następnie sam je “ujawnia” publicznie (i w ten sposób uniemożliwia ponowne wykorzystanie go w przyszłości, ale także umieszcza poprzednie zastosowania w nowym kontekście).  

Jak realistyczne to jest?



Operacje informacyjne wykorzystujące cyber
„Państwa i inne zainteresowane strony powinny dążyć do lepszego zrozumienia możliwości, jakie oferują operacje informacyjne, aby uniknąć szkód cywilnych podczas konfliktów zbrojnych oraz zagrożeń, jakie mogą one stwarzać. "

Raport bada twórcze (pozytywne) stosowanie operacji informacyjnych skierowanych do osób cywilnych, w celu ostrzeżenia ich skutków ataków kolejnych. Praktycznymi sposobami realizacji tego zadania może być np. włamywanie się do operatorów komórkowych w celu wysyłania wiadomości tekstowych… Jest to pisane mocno w kontekście czasu wojny.


Przyszłość

Mocne wejście od samego początku: „Sugerowano, że blockchain będzie nadal przyczyniał się do poprawy cyberobrony”.

Ale najwyraźniej nie podano żadnego konkretnego przykładu na poparcie tego stwierdzenia, więc musimy je zignorować. Ale to jest ta niejasna część raportu, z niejasnymi stwierdzeniami, takimi jak „przetwarzanie kwantowe miałoby znaczący wpływ...”. Jeśli dobrze rozumiem, wiele dzisiejszych raportów po prostu musi mieć takie niewiele wnoszące treści, choćby tylko po to, żeby je mieć.

„Państwa i inne zainteresowane strony powinny nadal badać wpływ rozwoju informatyki kwantowej, w tym zagrożenia dla ludności cywilnej potencjalnie stwarzane przez wzrost mocy obliczeniowej umożliwiony przez kwanty i związany z tym dramatyczny wzrost szybkości i skali operacji cybernetycznych i innych”

Jeżeli dla autorów raportu nie jest to jasne, państwa powyższego nie robią. A napisano to tak, jakby robiły. No więc nie, nie robią. Oraz dlaczego „wzrost mocy obliczeniowej oparty na możliwościach kwantowych” miałby powodować „dramatyczny wzrost szybkości i skali operacji cyber”?

Czuję, że ktoś miał tam jakieś myśli, ale nie są one odpowiednio przekazywane.

Podsumowanie

Ciekawy i potrzebny raport. Takie tematy nie są w widoczne i w odpowiedni sposób reprezentowane w dyskusjach toczących się na najwyższym szczeblu ośrodków decyzyjnych. Nie tylko, w niektórych państwach nie są w stanie podjąć dyskusji na ten temat także ośrodki analityczno-eksperckie. Raport MKCK prawdopodobnie wpłynie na dyskusję dotyczącą cyberwojny, m.in. w ONZ.

Podobał Ci się ten wpis/analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com