Jakieś dwa miesiące temu poruszyłem temat bezpieczeństwa informatycznego. Podałem przykład jednego z włamań do strzeżonego systemu informatycznego: hakerzy po uzyskaniu informacji, że firma zajmującą dostarczaniem tokenów do logowania do systemów firmowych i bankowych prowadzi akcję rekrutacyjną rozesłali do pracowników tej firmy emaile z załącznikiem w postaci arkusza kalkulacyjnego o nazwie 2011 Recruitment Plan. System antyspamowy zadziałał – wszystkie emaile trafiły do Spamu. Znalazł się jednak jeden dzielny pracownik, który odzyskał email ze Spamu i otworzył załącznik. Koszt dystrybucji nowych tokenów to od 50 mln USD do 100 mln USD.

Michael Joseph Gross w fenomenalnym artykule w Vanity Fair zatytułowanym Enter the Cyber-dragon wskazują, że za opisanym włamaniem mogli stać hakerzy pracujący na zlecenie chińskiej armii. Tokeny i inne systemy bezpieczeństwa produkowane przez RSA zabezpieczają najważniejsze amerykańskie instytucji, z Białym Domem, CIA, NSA, Pentagonem i Departamentem Bezpieczeństwa Wewnętrznego, a także większość dostawców sprzętu militarnego i znakomitą część największych amerykańskich korporacji.

Gross zastrzega, że ze względu na charakter ataków hakerskich nie można ze 100% pewnością wskazać gdzie są inicjowane. Wszystko wskazuje jednak na to, że ostatnie zmasowane ataki na amerykańskie korporacje (w tym na Google, Intel, Morgan Stanley,  Lockheed Martin, Northrop Grumman) zostały dokonane przez chińskich hakerów. Co więcej, wiele wskazuje na to, że zostały zainspirowane lub zlecone przez chińską armię.

Artykuł w Vanity Fair jest lekturą obowiązkową. Gross sugeruje, że amerykańska administracja współpracuje z sektorem prywatnym w śledztwie dotyczącym ostatnich cyberataków, które ma kryptonim Operation Starlight. Wstępny raport z kwietnia 2011 wskazywać ma na Chiny jako inicjatora ataku na RSA.

Głównym produktem RSA były tokeny wytwarzające krótkotrwałe jednorazowe hasła, które dopisuje się do zapamiętanych wcześniej sekwencji w celu zalogowania się do strzeżonych sieci. RSA kontrolował 70% rynku.

Jednym z frontów cyberwojny był opisywany w mediach atak na Goole. Skłonił on zarząd firmy do powiększenia zespołu bezpieczeństwa informatycznego z małej grupy do ponad 200 osób. Wśród korporacji zaatakowanych w ramach Operation Aurora znalazły się Yahoo, Symantec, Adobe, Juniper Networks, Intel,  ExxonMobil, Royal Dutch Shell, BP, Conoco Phillips, Marathon Oil, Lockheed, Northrop Grumman, Disney, Sony, Johnson & Johnson, General Electric, General Dynamics i DuPont.

Skala opisanych ataków oraz sektory, w których działają zaatakowane korporacje wskazuje na zorganizowaną akcję szpiegostwa przemysłowego i militarnego. Sytuacja jest tym bardziej niejasna, że amerykańska administracja, w obawie przed przyznaniem się do totalnego zaniedbania bezpieczeństwa informatycznego USA, jest niezwykle niechętna upublicznianiu jakichkolwiek informacji.

Co ciekawe, całkiem niedawno chińska telewizja, najprawdopodobniej przez pomyłkę, pokazała program komputerowy stworzony na Electrical Engineering University of China’s People’s Liberation Army, który służy przeprowadzania cyberataków na strony ruchu Falun Gong.

Z artykułu Grossa warto zapamiętać tę historię: ekspert ds. bezpieczeństwa IT przypomina sobie konwersację pomiędzy dyrektorem finansowym (CFO) a dyrektorem IT (CIO), która miała miejsce po znalezieniu 65 ‘dziur’ w systemie bezpieczeństwa dużej korporacji, w której pracowali. Zabezpieczenie systemu wymagało sporych inwestycji. CFO zapytał co najgorszego może się stać jeśli firma nie poprawi zabezpieczeń. CIO odpowiedział, że spółka jest mocno narażona na ryzyko, może zostać zaatakowana. Nie, nie, nie – odrzekł CFO – jakie byłyby finansowe skutki nie podjęcia działań naprawczych. CIO wyjaśnił, że regulacje i audyt nie dotyczą bezpieczeństwa IT więc nie będzie żadnych kar. CFO odpowiedział, że takim razie projekt nie otrzyma finansowania.

To jednak z lepszych anegdot pokazujących kwintesencję kapitalizmu korporacyjnego, w którym absolutną władzę sprawują kwartalne sprawozdania finansowane. Zastanawiam się, czy podobną rozmowę, w sprawie wyłączników akustycznych, przeprowadził jeden z inżynierów BP z managerem wyższego szczebla.