Twoja Firma została zaatakowana przez hakerów? No to może warto odpowiedzieć im "Pięknym za Nadobne" i przygotować lub zlecić kontratak? To nie jest najlepszy pomysł. Dlaczego? Zapraszam do lektury.
REKLAMA
Od parunastu miesięcy nie ma tygodnia, aby w nagłówkach serwisów informacyjnych nie pojawił się tytuł informujący o jakimś ataku hakerów.
Ludzkie odruchy w zakresie ataku, czy to w realnym świecie czy to w wirtualnym świecie, zawsze są takie same. Chcemy odwetu!
Czy ktoś z Was zastanawiał się nad zastosowaniem kontrataku w momencie, gdy jesteście atakowani w Internecie?
Czy można w akcie „cyfrowej samoobrony” zrealizować lub zlecić kontratak?
Czy można w akcie „cyfrowej samoobrony” zrealizować lub zlecić kontratak?
Co mówi prawo?
Polskie prawo posiada szereg artykułów związanych z Obroną Konieczną.
Polskie prawo posiada szereg artykułów związanych z Obroną Konieczną.
Definicja Obrony Koniecznej może być, albo bardzo prosta (za to ogólna), albo bardzo szczegółowa (i skomplikowana).
W ogólnej definicji Obrona Konieczna to okoliczność wyłączająca bezprawność czynu zabronionego.
W ogólnej definicji Obrona Konieczna to okoliczność wyłączająca bezprawność czynu zabronionego.
Atak informatyczny w polskim prawie jest czynem zabronionym (o czym pisałem np. tutaj ).
W przypadku cyberprzestrzeni mamy dodatkowy problem – brak terytorialności.
W przypadku cyberprzestrzeni mamy dodatkowy problem – brak terytorialności.
Ataki informatyczne pochodzące z poza terytorium Polski nie podlegają polskiej jurysdykcji.
Czy to automatycznie daje nam prawo do kontrataku, uzasadnionego Obroną Konieczną?
Czy to automatycznie daje nam prawo do kontrataku, uzasadnionego Obroną Konieczną?
Tutaj pojawia się problem. Prawo międzynarodowe nie reguluje w ogóle takiej aktywności, będącej reakcją na atak informatyczny.
W NATO, po ataku na Estonię w 2007r. powstało opracowanie naukowe - Tallinn Manual on the International Law Applicable to Cyber Warfare, które dość szczegółowo rozpatruje kwestię cybernetycznego kontrataku.
W NATO, po ataku na Estonię w 2007r. powstało opracowanie naukowe - Tallinn Manual on the International Law Applicable to Cyber Warfare, które dość szczegółowo rozpatruje kwestię cybernetycznego kontrataku.
W ramach przygotowanego opracowania zdefiniowano podjęcie kontrakatu, ale przy spełnieniu pewnych warunków:
1. Kontratak powinien być proporcjonalny do ataku.
To taki odpowiednik z prawa karnego, gdzie Obrona Konieczna nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa.
To taki odpowiednik z prawa karnego, gdzie Obrona Konieczna nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa.
2. Kontratak musi być skierowany poza granice kraju, na którego terenie doszło do ataku.
3. Nie powinno się kontratakować ludności cywilnej, czy pojedynczych obywateli, pod warunkiem, że nie biorą oni czynnego udziału w „działaniach wojennych”.
Nie ma natomiast problemu z kontratakiem na członków służb mundurowych czy członków grup militarnych. Można kontratakować osoby fizyczne (spełniające powyższe warunki), ale nie wolno atakować obiektów cywilnych.
Kontratak skierowany np. na elektrownię atomową czy szpital może być potraktowany jak akt terroru.
Nie ma natomiast problemu z kontratakiem na członków służb mundurowych czy członków grup militarnych. Można kontratakować osoby fizyczne (spełniające powyższe warunki), ale nie wolno atakować obiektów cywilnych.
Kontratak skierowany np. na elektrownię atomową czy szpital może być potraktowany jak akt terroru.
4. Dopuszcza się nie tylko kontratak w cyberprzestrzeni, ale także atak fizyczny.
W praktyce oznacza to wysłanie oddziału wojsk specjalnych lub agentów służb specjalnych.
W praktyce oznacza to wysłanie oddziału wojsk specjalnych lub agentów służb specjalnych.
Tyle mówią podstawowe reguły kontrataku, opracowane w ramach pracy naukowej dla NATO. Jednak sam dokument w dalszym ciągu nie daje prawa, ani nie uzasadnia kontrataku.
Co ciekawe, zbyt aktywny kontratak w cyberprzestrzeni może być potraktowany jako działanie zbrojne przeciw innemu krajowi.
Co ciekawe, zbyt aktywny kontratak w cyberprzestrzeni może być potraktowany jako działanie zbrojne przeciw innemu krajowi.
Dlatego też żaden kraj, nie zachęca swoich obywateli czy przedsiębiorstw działających na ich terytorium, do działań odwetowych.
Co jednak w przypadku, gdybyśmy chcieli jakoś ofensywnie zareagować na atak informatyczny?
We wspomianym wyżej opracowaniu przedstawiono zasady postępowania podczas działań kontrofensywnych.
Obowiązkowe zasady kontrataku
Wbrew pozorom kontratak wcale nie jest prostym działaniem. O ile atakujący nie przejmują się przepisami prawa, o tyle kontratakujący już takiego komfortu nie ma. Dlatego wszystkie działania odwetowe muszą być bardzo mocno przemyślane i udokumentowane. Ale po kolei.
Wbrew pozorom kontratak wcale nie jest prostym działaniem. O ile atakujący nie przejmują się przepisami prawa, o tyle kontratakujący już takiego komfortu nie ma. Dlatego wszystkie działania odwetowe muszą być bardzo mocno przemyślane i udokumentowane. Ale po kolei.
Identyfikacja atakującego
To najtrudniejsza część zadania. Jak w cyberprzestrzeni zidentyfikować atakującego? Teoretycznie wystarczy zarejestrować adres IP. Ale?
To najtrudniejsza część zadania. Jak w cyberprzestrzeni zidentyfikować atakującego? Teoretycznie wystarczy zarejestrować adres IP. Ale?
Adres IP wcale nie musi oznaczać rzeczywistego źródła ataku.
Po pierwsze, atakujący mógł zastosować spoofing, czyli zafałszować pakiety wykorzystane do ataku, gdzie jako nadawcę podać fałszywy adres IP.
Po drugie, istnieją metody ataku wykorzystujące „odbicie”, czyli wysyłane są zapytania do jakiegoś serwisu, ale w zapytaniu podaje się adres IP atakowanego, więc serwis wysyła odpowiedzi do Ofiary a nie Atakującego. Atakowanie serwisu, który przesłał odbitą informację, oznacza że nie atakujemy sprawcy ataku tylko nieświadomą ofiarę, wykorzystaną jako narzędzie atakującego.
Po trzecie, do ataku może zostać użyta sieć botnet (pisałem o tym tutaj). W takim wypadku właściciele systemów czy komputerów, z których przeprowadzono atak, nie są świadomi, że uczestniczą w ataku.
Widać zatem, że już samo zdefiniowanie atakującego w cyberprzestrzenii to wyzwanie samo w sobie. Ale to nie koniec problemów.
Widać zatem, że już samo zdefiniowanie atakującego w cyberprzestrzenii to wyzwanie samo w sobie. Ale to nie koniec problemów.
Określenie kategorii atakującego
Skoro nie wolno nam atakować obiektów cywilnych, to musimy mieć pewność, że atakowane systemy komputerowe należą do jakiejś organizacji zbrojnej lub osób prywatnych „uczestniczących w działaniach wojennych”. Dlaczego?
Skoro nie wolno nam atakować obiektów cywilnych, to musimy mieć pewność, że atakowane systemy komputerowe należą do jakiejś organizacji zbrojnej lub osób prywatnych „uczestniczących w działaniach wojennych”. Dlaczego?
Nie tak dawno, miała miejsce awaria systemu informatycznego naszego narodowego przewoźnika LOT. Pierwotną przyczyną miał być atak DDoS na ten system.
Analiza po ataku wykazała, że faktycznie powodem awarii była atak DDoS, z tą różnicą że to system informatyczny LOT został wykorzystany do wykonania ataku DDoS.
Analiza po ataku wykazała, że faktycznie powodem awarii była atak DDoS, z tą różnicą że to system informatyczny LOT został wykorzystany do wykonania ataku DDoS.
W efekcie, gdyby zaatakowany chciał zastosować „zasadę odwetu” to faktycznie przypuściłby cyfrowy szturm na cywilny system linii lotniczej.
W każdym cywilizowany kraju, taki atak zakwalifikowany zostałby jako akt terroru.
A to wciąż nie koniec problemów.
W każdym cywilizowany kraju, taki atak zakwalifikowany zostałby jako akt terroru.
A to wciąż nie koniec problemów.
Proporcjonalność
Wybór środków i metod kontrataku wcale nie jest taka prosta.
Skoro reguła Obrony Koniecznej definiuje, że nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa, to nie możemy wykonać kontrataku o zdecydowanie poważniejszych konsekwencjach.
Wybór środków i metod kontrataku wcale nie jest taka prosta.
Skoro reguła Obrony Koniecznej definiuje, że nie dopuszcza „zbyt mocnej obrony”, czyli zastosowania sposobu obrony niewspółmiernej do niebezpieczeństwa, to nie możemy wykonać kontrataku o zdecydowanie poważniejszych konsekwencjach.
To kolejny problem.
Jak dobrać formę ataku w cyberprzestrzeni, aby nie podpaść pod zarzut „przekroczenia Obrony Koniecznej”?
Jak dobrać formę ataku w cyberprzestrzeni, aby nie podpaść pod zarzut „przekroczenia Obrony Koniecznej”?
Czy jeżeli zaatakowano nasze 100Mbps łącze atakiem DDoS o wartości 1Gbps to możemy odpowiedzieć atakiem 10Gpbs, czy też można zastosować jakąś inną formę ataku?
Odpowiedź na to pytanie nie jest prosta, podobnie jak w przypadku zdarzeń przekroczenia Obrony Koniecznej w świecie rzeczywistym.
Odwoływalność
To kolejny wymóg. Wykonywany kontratak powinien dać się w dowolnej chwili zatrzymać.
Nie możemy przygotować działań odwetowych, których nie możemy potem zastopować. Czyli nie wystarczy zlecić jakiejś grupie hakerów realizacji ataku, ale trzeba mieć możliwość zatrzymania realizacji takiego zlecenia.
Zwłaszcza, gdy okaże się że efekty ataku zaburzają choćby zasadę Proporcjonalności czy też cel ataku okaże się obiektem cywilnym.
To kolejny wymóg. Wykonywany kontratak powinien dać się w dowolnej chwili zatrzymać.
Nie możemy przygotować działań odwetowych, których nie możemy potem zastopować. Czyli nie wystarczy zlecić jakiejś grupie hakerów realizacji ataku, ale trzeba mieć możliwość zatrzymania realizacji takiego zlecenia.
Zwłaszcza, gdy okaże się że efekty ataku zaburzają choćby zasadę Proporcjonalności czy też cel ataku okaże się obiektem cywilnym.
Zawsze trzeba być przygotowanym na scenariusz, gdy atak trzeba będzie odwołać, ograniczyć czy zatrzymać.
Dotyczyć to może także wszelkiego rodzaju działań typu cyberpułapek (to osobny temat, który poruszę w którymś z najbliższych artykułów). Podobnie jak w przypadku wojskowych min, tak i w cyberprzestrzeni jest możliwość budowania „pól minowych”. Realizacja takiego scenariusza musi zakładać, że będziemy w stanie „rozbroić” nasze „cybernetyczne miny”.
Dotyczyć to może także wszelkiego rodzaju działań typu cyberpułapek (to osobny temat, który poruszę w którymś z najbliższych artykułów). Podobnie jak w przypadku wojskowych min, tak i w cyberprzestrzeni jest możliwość budowania „pól minowych”. Realizacja takiego scenariusza musi zakładać, że będziemy w stanie „rozbroić” nasze „cybernetyczne miny”.
Monitoring efektów
To najtrudniejsza część kontrataku.
Jeżeli stajemy się stroną atakującą, to musimy mieć sposób na to, aby obserwować skutki takiego ataku. I nie chodzi tutaj wyłącznie o satysfakcje, że atak się udał.
To najtrudniejsza część kontrataku.
Jeżeli stajemy się stroną atakującą, to musimy mieć sposób na to, aby obserwować skutki takiego ataku. I nie chodzi tutaj wyłącznie o satysfakcje, że atak się udał.
Monitorowanie bardziej związane jest z zasadą Proporcjonalności lub obserwacją zaistnienia efektów nieoczekiwanych lub mogących skutkować szerszymi konsekwencjami, zwłaszcza dla ludności cywilnej.
Może się okazać, że atakując jakiś węzeł informatyczny, tak naprawdę wpłyniemy na jakieś inne systemy informatyczne, które otrzymają błędne dane.
Na podstawie takich danych dokonana zostanie błędna analiza i w konsekwencji uruchomiony zostanie błędny mechanizm czy procedura.
Na podstawie takich danych dokonana zostanie błędna analiza i w konsekwencji uruchomiony zostanie błędny mechanizm czy procedura.
Szczególnie dotyczy to ataków socjotechnicznych czy ataków via social media.
Jeżeli nie będziemy obserwowali efektów to może się okazać, że misternie skonstruowany „fake news” o stronie atakującej, może mieć realny wpływ na jakąś branżę, na kurs akcji czy nieść za sobą negatywne konsekwencje decyzji politycznych.
Cyberszpiegostwo lub cyberprzestępstwo
Dobierając formę kontrataku także trzeba uważać, aby metoda nie zakwalifikowała takich działań jako szpiegostwa, np. przemysłowego, państwowego czy kradzieży danych osobowych.
Dobierając formę kontrataku także trzeba uważać, aby metoda nie zakwalifikowała takich działań jako szpiegostwa, np. przemysłowego, państwowego czy kradzieży danych osobowych.
Każde z takich działań podlega karze przewidzianej kodeksem karnym w danym kraju.
Nawet fakt, że nasz kraj nie posiada aktywnej umowy o ekstradycji, nie da nam pewności bezkarności w przyszłości.
Znane są historie, gdzie agenci służb specjalnych danego kraju porywali obywateli innego kraju (np. podczas ich zagranicznej wycieczki czy urlopu).
Wszystko po to, aby swoim obywatelom pokazać skuteczność egzekucji prawa.
Wszystko po to, aby swoim obywatelom pokazać skuteczność egzekucji prawa.
A nigdy nie będziemy mieli pewności czy realizując kontratak nie pozostawimy wystarczającej ilości śladów, które będą wskazywać na nasze aktywne zaangażowanie w taki udany kontratak.
Takim śladem mogą być dane transakcji płatnością kartą kredytową czy z wykorzystaniem PayPal. Nigdy nie możemy mieć pewności, że grupa hakerów której zleciliśmy kontratak nie zostanie zmuszona do ujawnienia danych zleceniodawcy, itd.
Wbrew pozorom zacieranie śladów takiej aktywności wymaga sporej wiedzy o systemach informatycznych, systemach transakcyjnych czy reguł działania samego Internetu.
Nawet płatności via Bitcoin wymagają paru ważnych czynności, aby nie zostać zidentyfikowanym jako płatnik.
Nawet płatności via Bitcoin wymagają paru ważnych czynności, aby nie zostać zidentyfikowanym jako płatnik.
Podsumowanie
Choć informatyczny kontratak w reakcji na cybernetyczną agresję wydaje się być bardzo naturalną i oczekiwaną reakcją, to w praktyce przeprowadzenie takiego kontrataku wcale nie jest takie proste.
Choć informatyczny kontratak w reakcji na cybernetyczną agresję wydaje się być bardzo naturalną i oczekiwaną reakcją, to w praktyce przeprowadzenie takiego kontrataku wcale nie jest takie proste.
Począwszy od zdefiniowania celu takiego kontrataku, przez dobór proporcjonalnych narzędzi, aż do aktywnego monitorowania efektów.
Każdy z tych kroków wymaga olbrzymiej wiedzy, a nawet doświadczenia w zakresie systemów informatycznych.
W przeciwnym wypadku, z ofiary możemy stać się przestępcą, którego będzie ścigał rodzimy lub zagraniczny wymiar sprawiedliwości.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!