Orbók Ákos (orbokakos@gmail.com)
A kibertér, mint hadszíntér Rezümé A kiberhadviselés új kihívások elé állítja az államokat és a gazdaság szereplőit. A Tallinni jegyzőkönyv egy olyan ajánlás, amely a kiberhadviselés szabályait fekteti le. Ha ez a szabályozás a nemzetközi jog részévé válik az változtatásra készteti a nemzetközi viszonyok szereplőit. Kulcsszavak: kibertér, kiberhadviselés, Tallinni jegyzőkönyv, kiberbűnözés Abstract The cyber warfare poses new challenges for the States and the actors. The Tallinn Manual a recommendation which lays down the rules for cyber warfare. If this legislation becomes part of international law, the change makes the actors in international relations. Keywords: cyber space, cyber warfare, Tallinn Manual, cybercrime Bevezetés Az információs hadviselés fogalma jelentős átalakuláson ment keresztül az elmúlt évtizedekben. Kezdetekben az információ megszerzését, valamint az ebből fakadó előnyök gazdasági és politikai eredményekké való felhasználását jelentette. Mára a katonai terminológia elsősorban − Kovács László fogalmi meghatározását kölcsönözve − „… olyan összehangolt és koordinált tevékenységeket takarnak, amelyek a műveleti biztonság, a katonai megtévesztés, a pszichológiai műveletek, az elektronikai hadviselés és a számítógép-hálózati műveletek különböző akcióival támogatják a harc sikeres megvívását” érti [1]. A tanulmány célja hogy bemutassa a kiberhadviselés jellegzetességeit, a Tallini jegyzőkönyv ajánlásainak várható hatásait. A technológia fejlődésével létrejött egy új hadviselési forma a kiberhadviselés. Ez a hadviselési mód nagy gondot jelent minden olyan országnak, amelynek infrastruktúrája számítógépekre épül. Az érintett országok számára a probléma szabályozása jelentene megoldást, azaz minden olyan kibertámadást agressziónak minősüljön, amely egy adott ország kritikus infrastruktúráját éri, tehát nagy anyagi veszteséget vagy emberek halálát okozza. A NATO kérésére készült Tallinni jegyzőkönyvben [2] részletezték a támadások formáit illetve minősítették azokat. A fő hangsúlyt a morális értékek védelmére helyezték, tehát az olyan támadások nem elfogadhatók, amelyek olyan létesítménytérnek érnek, amelyek működési zavara emberek életét veszélyezteti. De ez a jelentés még nem számít nemzetközileg elfogadott dokumentumnak, így az abban foglaltakat sem lehet alkalmazni. A kiberhadviselés A háború fogalma Clausewitz szerint „Der Krieg ist eine bloße Fortsetzung der Politik mit anderen Mitteln”- a háború a politika folytatása más eszközökkel [3]. Ez a megközelítés helytálló lehet egy kibertámadás esetében is. A nemzetközi jog szempontjából vizsgálva problémát, akkor beszélhetünk háborúról, ha a támadás áldozatokkal jár. Ezt modellezve a támadó létrehoz egy olyan programot vagy hálózatot (kiberfegyvert), amellyel 1
megtámadja egy másik fél eszközeit, és bár eddig nem tudunk emberi áldozatról, egy ilyen támadás kapcsán nem kizárható ez a végkifejlet sem. A hadtudomány megközelítése is jól jellemzi a jelenséget. Az indítékaik az eddig ismert kibertámadásoknak gazdaságiak (ipari kémkedés) vagy politikaiak voltak (Orosz – Észt kiberháború1, Stuxnet2). Az információszerzéshez jellemzően olyan kifinomult programokat alkalmaznak, amelyek nem fedik fel a készítőjük kilétét, de lehetőség szerint a program létezését is elrejtik, ameddig ez lehetséges. Ezeket a programokat egyszerűen kémprogramoknak nevezik. Habár ez a tevékenység a kiberhadviselés része is lehet, de jellemzően a gazdasági motivációja van. A kibertámadás - amelynek célja csak a károkozás - lehet kifinomult vagy primitív, attól függően, hogy a támadó milyen kapacitással rendelkezik, illetve mi a célpontja a támadásnak. Az eddig ismert kibertámadások többsége túlterheléses támadás (Dos, DDos), amely a célpont számítógépeinek lebénítására szolgál. Ezekhez a támadásokhoz nem szükséges nagy anyagi, illetve szellemi kapacitás, a támadás volumenétől függően akár egy kisebb hacker csoport vagy egy hacker is képes ilyen támadást indítani. A kifinomult, precíz támadások azonban új jelenségek a kiberhadviselésben. Ezek a támadások egy adott célpont, egy adott tevékenységének akadályozására, illetve megsemmisítésére irányulnak. Ilyen volt a Stuxnet vírus, amit a natzan-i urán dúsító ellen használtak. Ezekhez nagy anyagi, szellemi kapacitás szükséges, valamint jól működő hírszerzési háttér. Ebből arra következtethetünk, hogy precíz támadásokat csak államok vagy nagyon erős bűnözői csoportok indíthatnak. A kibertérben zajló eseményeket szabályozó javaslatok is ezt a két tevékenységet tekintik a kiberhadviselés jellemző eszközeinek. A következőkben megvizsgáljuk hogyan működnek ezek a fegyverek. A „kiber-fegyverek” Annak érdekében, hogy sikeres legyen a támadás a támadónak megfelelő információkkal kell, rendelkezzen a kiválasztott célpont felépítéséről, sebezhetőségéről. A támadó képes kell, legyen a támadás megindításakor, ezeknek a rendszereknek, képességeinek optimális esetben teljes körű szüneteltetésére, adott esetben csökkentett funkciójú üzemelésének elérésére. Eközben a saját számítógépes rendszerének működését is biztosítania kell. Céljuk eléréséért ún. számítógép-hálózati műveleteket alkalmaznak. Ha a támadók rendelkeznek a szükséges információkkal, egy zombi-hálózat segítségével képessé válhatnak a kiválasztott célpontok túlterheléssel történő összeomlását elérni.3 Ilyen művelet lehet adathalászat a számítógépen tárolt fájlokhoz való hozzájutással vagy a felhasználó által lenyomott billentyűinek sorrendjének megjegyzésével és egy távoli szerverre való átküldésével vagy a tárolt adatállomány módosítása, törlése; de utat nyithat a következő 1
2007. április 27-től kezdve Észtországot kibertámadások érték, amiknek valószínűsíthető, hogy Oroszország volt a forrása, ezen belül 128 esetben regisztráltak túlterhelést., in: http://index.hu/tech/net/eszt290507, letöltve: 2013. július 17. 2 „A Stuxnet olyan különleges számítógépes féreg, amely MS Windows operációs rendszert futtató gépeket fertőz, és azokon terjed, de hatását végső soron internetre nem kapcsolt ipari folyamatirányító rendszereken keresztül fejti ki. Támadja a folyamatok felügyeleti irányítását és adatgy1jtését (SCADA2), és nem csak kémkedik a célzott ipari rendszer után, hanem át is programozza azt. Az első olyan kártevő, mely programozható logikai vezérlők (PLC)34 roolkitje, azaz rejtett, privilegizált módon fér hozzájuk, aláaknázva rajtuk a szabványos operációs rendszer vagy más alkalmazás m1ködését. A Stuxnet kivételes képességei ezen túl egyetlen gyártó termékeire összpontosulnak: a Siemens cég – főleg vegyipar, energiatermelés, szállítás területén használatos – eszközeire (WinCC illetve STEP7)”. In: http://mnt.kfki.hu/Nukleon/index.php?action=abstract&cikk=155, letöltve: 2013. július 17. 3 Zombi-gépek alatt azokat az eszközöket értjük, amelyek egy rosszindulatú program segítségével átveszik a felhasználó tudta nélkül a számítógép feletti irányítást., in: http://www.sg.hu/cikkek/62049/kiberhaboru_zajlott_a_kaukazusban, letöltve: 2013. július 17.
2
támadás végrehajtása előtt. Ennek okán nevezik ezeket a programokat legelterjedtebb fajtájukról „trójai” programoknak [7].
1. ábra: Az USA ellen alkalmazott kibertámadások technikája 2013. márciusban. (Forrás http://paulsparrows.files.wordpress.com/2013/04/march-2013-attacks.png letöltve: 2013. július 16.)
Egy kevésbé kifinomult eszközt a már említett Észtországot ért támadás esetében alkalmaztak. Többek között ebben az esetben is egy ún. szolgáltatás megtagadással járó támadással bénították meg az adott kritikus infrastruktúrát. A DoS támadás jellegéből fakadóan az egyik legnehezebben kivédhető internetes támadás, ugyanis a támadók a válaszadó rendszert hamis kérésekkel bombázzák, melynek hatására a rendszer képtelen kiválasztani a valós, illetve hamis kéréseket [8]. Láthatjuk, a DoS támadás célja a hálózat normál működésének megakadályozása, melyet egy automatizált hálózat felhasználásával, túlterheléssel valósít meg. A DoS támadásokat két csoportba sorolhatjuk. Az úgynevezett protokolltámadások az adott alkalmazás vagy protokoll hiányosságait használják fel, míg az elárasztásos támadások a megtámadott hálózat erőforrásai nem képesek kiszolgálni a kliensek által küldött óriási adatmennyiséget. A legújabb jelenség a kiberhadviselésben azok az eszközök, amelyekkel egy adott cél megtámadására fejlesztettek ki. Ezek az eszközök ugyanúgy terjednek a világhálón, mint a többi káros tartalom, de csak egy bizonyos ponton fejtik ki a hatásukat. Ilyen esetre láthatunk példát az Iráni Natzan melletti urándúsítóban. A Staxnet elnevezésű vírus valószínűleg emberi mulasztás miatt juthatott be az amúgy zárt hálózatba. Ott felismerve a célját, több lépcsőben aktivizálta alprogramjait, és az urándúsító centrifugákat szabálytalan működésre utasította. Így több évvel vethette vissza Irán atomprogramját. Ez az eszköz több támadható pontot is kihasznált. A készítői ismerték a dúsító eszközeit, azok sebezhető pontjait, valamint az emberi faktort kihasználva bejuthattak a zárt létesítménybe.
3
2. ábra: Az USA ellen végrehajtott kibertámadások célpontjai szektorokra bontva 2013. jan 1. – 15. között (Forrás http://hackmageddon.com/2013/01/20/1-15-january-2013-cyber-attacks-statistics/ letöltve: 2013. július 16.)
Habár nem tudunk olyan támadásról, amelynek következtében emberek haltak volna meg, ezek a feltételek alkalmasak olyan célpontok támadására, ahol emberélet is veszélyben lehet. Ezért is szükséges lenne a kiberhadviselés szabályozása nemzetközi szinten. A NATO kérésére az észtországi támadások után létrehozott Tallinni Kibervédelmi Kiválósági Központ összeállított egy dokumentumot (Tallinn Manual), amely ezt a problémakört szabályozza. A Tallinni jegyzőkönyv A NATO kérésére a Tallinni Kibervédelmi Kiválósági Központjának szakemberei által kidolgozott Tallinni jegyzőkönyv (Tallinn Manual) a kiberhadviselés szabályait határozza meg. A jegyzőkönyv a civilek védelméből indul ki, hasonlóan más, a hadviselést szabályozó dokumentumhoz.4 Ezek alapján nem támadhatók olyan létesítmények, amelyek közvetlenül vezethetnek emberek halálához, például kórházak vagy erőművek. Ebből következik, hogy egy kibertámadást, amely egy ország kritikus infrastruktúráját érinti, azaz emberéleteket veszélyeztet vagy különösen nagy anyagi kárt okoz, az fegyveres támadásnak tekinthető, és akár egy hagyományos ellencsapás is megengedett. Tehát a támadást indító hackerek katonának minősülnek ezekben az esetekben. Azonban egy hagyományos fegyverekkel végrehajtott támadás esetében is előfordul, hogy rejtve marad a támadó, de ez fokozottan igaz egy kibertámadára, ugyanis az esetek többségében a támadó kiléte csak ritkán azonosítható. Egy megosztott túlterheléses támadás során a zombi hálózatot irányító hacker azonosítása szinte lehetetlen. Általában egy IP cím a kezdőpont, de ez nem bizonyítja a támadó kilétét. Ez nagyon komoly probléma, ha a reakció irányát kell eldönteni egy esetleges támadást követően. Ahogy a hagyományos hadviselésben, itt is előfordulhat, hogy egy harmadik fél 4
Genfi, Hágai egyezmények
4
robbant ki háborút két riválisa között az egyiket megtámadva, a másikat tüntetve fel támadóként. Ha nemzetközi jogi dokumentummá válnak a jegyzőkönyvben foglaltak, akkor például az olyan támadások, mint a Stuxnet vírus támadása az Iráni urándúsítók ellen, feljogosítanák a megtámadottat a védekezésre. Ezzel kapcsolatban merülhet fel a kérdés, hogyan védekeztek eddig egy ilyen támadás esetén? Reakciók a támadásokra A kibertámadások kivédésére kevés lehetőség adódik eddigi tudásunk alapján. A teljes elhárítás nem biztosított. Az érintettek biztonsági intézkedéseiket több lépcsőben építhetik fel. Elsősorban a támadás elhárításáért tehetnek, tűzfalak és más akár mechanikus gátak telepítésével. Ezek a lépések lehetnek hatásosak azonban a kapacitás fenntartása nagy költségekkel jár, és a sikeres védekezés sem biztosított. A nagy költségeket leginkább az elhárítás állandó készenlétéből adódik. Ugyanis egy észlelt támadás esetén a leginkább esetben hatásos védekezés az azonnali közbelépés. Felkészülni egy támadás megakadályozására informatikai eszközökkel nehezem megoldható. A probléma abból adódik, hogy az esetek többségében nem is észlelik a betörést, így nem is védekezhetnek ellene. Alapvető egy tűzfal felállítása, ami a kockázatkerülő magatartás (erőd mentalitás), de ez nem elegendő. Mint tudjuk, nincs abszolút biztonság, így a fennmaradó lehetőség egy támadás elhárítására, a támadók lehetőségeit szűkíteni a lehető legnagyobb mértékben. Ezt hívják mélységi védelemnek [9]. Megoldás lehetne a támadás által érintett rendszerek pótlásának biztosítása. A párhuzamos infrastruktúra fenntartása miatt ennek a megoldásnak is nagyok a költségeik. Emellett vannak olyan területek, amelyeken jellemzőik miatt nem megoldható a pótinfrastruktúra fenntartása. Ezen lépések mellett a veszélyeztetett országok és szövetségek más stratégiát is alkalmaznak. Ilyen stratégia lehet a NATO reakciója az új kihívásra. A már említett Tallinni jegyzőkönyvben foglaltak sok támadót eltéríthet a szándékától, ha nemzetközi jogi szintre kerül, egy fegyveres ellentámadásra számíthat tette után, ráadásul nem csak a megtámadott, hanem az összes NATO tagország részéről. Ezt nevezhetjük pszichológiai elrettentésnek, bár a következmények valósak, eddig ez csak egy lehetséges reakciót jelent. Ha az elkövető elrejtőzik, a kibertérben a megtámadott nem lehet biztos, ki támadta meg, így az ellencsapás is hipotetikus marad vagy rosszabb esetben célt téveszt. Egy másik stratégia, amit követni lehet, a technikai innováció. Erre látunk példát Kínában, ahol a gerinchálózat már egy új Internet Protokollt használ IPv6,5 amellyel több más előnye mellett a rosszindulatú tartalmakat is kiszűrhetik. Ezzel a technológiával Kína nagy előnyre tehet szert a világ többi részével szemben, mivel a most használatban lévő IPv4es Internet Protokollnak a kiosztható végpontja fogyóban vannak, és telítve van káros tartalmakkal is. Az új protokoll bevezetését szorgalmazza Donald Riley is.6 Véleménye szerint ezzel, sokkal biztonságosabbá válna a kibertér, de a lemaradásunk Kínával szemben hátrányt jelentene minden szempontból. Ez különösen az elmúlt időszakban felerősödött kínai - amerikai kiberkonfliktus kapcsán válhat fontos momentummá. A kínai-amerikai kiberkonfliktus
5
Az új generációs internet egyik legfontosabb eleme egy biztonsági intézkedés lesz, amit SAVA néven emlegetnek. A betűszó a Source Address Validation Architecture (forrásazonosító architektúra) ez a rendszer a hálózatra csatlakozó számítógépek IP címének azonosítását végzi, és ezek alapján adatbázist épít, amiben a számítógép és az IP cím egyaránt szerepel. Ha az azonosítás során a számítógép vagy az IP cím nem egyezik, a hálózat megtagadja az adatcsomagok továbbítását [10]. 6 Donald Riley az University of Maryland információs rendszerek szakértője
5
Az országok többségének van kiberhadserege, amelyek hivatalosan a védekezést biztosítják. A legnagyobb kapacitással Kína, Oroszország, Irán, Észak-Korea és az USA rendelkezik, amelyek gyakran alkalmazzák is ezeket az egységeket. Hivatalosan a legtöbb esetben védekezésre, de feltételezhető, hogy hírszerzésre és támadásra is használják egységeiket. Az elmúlt évben erősödött fel a támadások intenzitása Kína és az USA között. A támadók különböző pénzügyi és a gazdaság egyéb szereplői ellen indítottak támadást. A támadások többsége adatlopás, jelszavak megszerzése, levelezések másolása. Ezek feltételezett forrása legtöbbször Kínai volt a visszakövetett IP címek alapján.7 A kínaiamerikai kapcsolatokat az elmúlt időszakban ez a téma határozta meg leginkább. Bár hivatalosan Kína nem vállalt felelősséget ezekért a támadásokért, sőt azzal védekezett, hogy őt több támadás éri, mint bármelyik másik országot,8 de valószínű, hogy a támadók állami támogatással tevékenykednek. Főleg ha figyelembe vesszük, a Kínában működő internet cenzúrát és a támadások mennyiségét. A Websense Labs adatai szerint 2012-ben drámaian nőtt a kibertámadások száma, ezen belül pedig a legnagyobb arányban, 600%-kal emelkedett káros tartalmú webes hivatkozások száma [12]. A kibertámadások nagy része Kínát és Észak-Amerikát érték ebben az időszakban. Nem bizonyítható, hogy ezek a támadások honnan indultak, de a célpontok alapján következtethetünk a támadóra. A diplomáciai tárgyalások légköre nagyon hasonlóak a leszerelési tárgyalásokon tapasztaltakhoz a hidegháború végén. A hivatalos állásfoglalásokban mindkét fél állítja, hogy a kiberosztagaik csak a védekezést szolgálják. Ezen felül a két állam képviselői biztosították a másikat arról, hogy nem akarnak támadni.9 Azonban a már említett jellemzőknek10 köszönhetően, ezen ígéretek betartása kétséges.
3. kép: Hszi Csin-ping kínai és Barack Obama amerikai elnök (Forrás: http://chinhdangvu.blogspot.hu/2013/03/americas-munich-moment.html, letöltés ideje 2013. július 15.) 7
Az Akamai Technologies szerint a világ összes kibertámadása által generált forgalomnak harmada Kínából indul. Az elmúlt év júliusa és szeptembere közt végzett felmérés szerint a támadások 33%-ának Kína volt a kiindulása pontja, amely kétszer annyi, mint az ezt megelőző negyedévben. Az Egyesült Államok a 13%-kal a második legnagyobb forrása volt a támadásoknak [11]. 8 Külföldi hacker-ek soha nem látott mértékben támadják a kínai rendszereket titkok után kutatva. 27900 külföldi IP címről több mint 7,8 millió kínai számítógépet ért támadás az év első felében. És hogy mi volt a támadások forrása? Elsősorban az Egyesült Államok [13]. 9 Az Egyesült Államok és Kína kétoldalú, informális tárgyalásokba kezdtek az online támadások korlátozásának, a jobb kommunikációnak és a harmadik fél által jelentett kockázatok csökkentésének módjairól: Azonban egy dolog hiányzik erről a listáról: valamilyen megállapodás a kiberkémkedés korlátozására. A China Institute of Contemporary International Relations (CICIR) és a Center for Strategic and International Studies által szervezett megbeszélések összehozták a különböző tanácsadó szervezetek tagjait, valamint a kormányzati tisztviselőket, hogy rávilágítsanak a kibertérben a nemzetekre leselkedő veszélyekre. [14] 10 A támadók azonosítása szinte lehetetlen.
6
Konklúzió Egy kibertámadás egy ország kritikus infrastruktúrája ellen felérhet egy hagyományos fegyverekkel végrehajtott támadással. Az érintett országok mindent megtesznek, hogy kivédjék a támadásokat, de még a legfejlettebbeknek is korlátozottak a lehetőségeik. Jelenleg az országok diplomáciai úton próbálják kezelni a helyzetet, általában kétoldalú tárgyalásokkal. Ez azonban nem vezethet hosszú távon eredményekhez, szükség van a problémakör nemzetközi szerződések útján való rendezésére. Ilyen szabályozásra a NATO által felkért szakember gárda által tett javaslatot a Tallinni jegyzőkönyvben. De mint említettem, ez még nem nemzetközi dokumentum, így senkit sem kötelez semmire. Valószínűleg egy ilyen nemzetközi szerződés addig nem jön létre, ameddig a szereplőknek több előnyük származik a helyzetből, mint hátrányuk. Felhasznált irodalom [1] KOVÁCS, László: Informatikai hadviselés kínai módra, Nemzet és Biztonság, 2009./7., in: http://www.nemzetesbiztonsag.hu/cikkek/kovacs_laszloinformacios_hadviseles_kinai_modra.pdf, letöltés ideje 2013. június 30. [2] Tallinn Manual, in: http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381, letöltés ideje 2013. június 5. [3] Carl von CLAUSEWITZ: Vom Kriege - A háborúról, in: http://www.clausewitz.com/readings/VomKriege1832/Book1.htm#1, letöltés ideje: 2013.július 5. [4] HANCU: Az oroszok visszabombázzák Észtországot az online kőkorszakba, Index, 2007. május 31., in: http://index.hu/tech/net/eszt290507, letöltés ideje: 2012. október 6. [5] CSERHÁTI András: A Stuxnet vírus és az iráni atomprogram. Nukleon 2011. március, in: http://mnt.kfki.hu/Nukleon/index.php?action=abstract&cikk=155 , letöltés ideje: 2013.július 5. [6] Kiberháború zajlott a Kaukázusban, SG.hu, 2008. augusztus 14., in: http://www.sg.hu/cikkek/62049/kiberhaboru_zajlott_a_kaukazusban, letöltés ideje: 2013. május 30. [7] BÁNYÁSZ Péter – ORBÓK Ákos: A NATO kibervédelmi politikája és kritikus infrastruktúra védelme a közösségi média tükrében. 2013., in: http://mhtt.eu/hadtudomany/2013_e_Banyasz_Peter_Orbok_Akos.pdf, letöltés ideje: 2013. június 9. [8] Brian WHEELER: Cyber attacks 'acts of war' - Sir Richard Mottram, BBC News, 2011. február 16., in: http://www.bbc.co.uk/news/uk-politics-12485147, letöltés ideje: 2013. május 28. [9] How to Stop China from Stealing Intellectual Property – To Inform is to Influence 2013., in: http://toinformistoinfluence.com/2013/03/03/how-to-stop-china-from-stealingintellectual-property/, letöltés ideje: 2013.június 12. [10] Hal HODSON: China's next-generation internet is a world-beater – NewScientist 2013., in: http://www.newscientist.com/article/mg21729075.800-chinas-nextgenerationinternet-is-a-worldbeater.html, letöltés ideje: 2013. június 10. [11] Mark MILAN: One-Third of Cyber Attack Traffic Originates in China, Akamai Says –Tech blog 2013, in: http://go.bloomberg.com/tech-blog/2013-01-23-one-third-ofcyber-attack-traffic-originates-in-china-study-says/, letöltés ideje: 2013. június 10.
7
[12] Research shows “dramatic growth” in global cyber attacks – Infosecurity 2013, in: http://www.infosecurity-magazine.com/view/30736/research-shows-dramatic-growth-inglobal-cyber-attacks/20130610, letöltés ideje: 2013. június 10. [13] Keneth RAPOZA: Rise In U.S. Hacker Attacks Against China – Forbes 2012., in: http://www.forbes.com/sites/kenrapoza/2012/10/14/rise-in-u-s-hacker-attacks-against-china/, letöltés ideje: 2013. június 1. [14] Robert LEMOS: U.S. China Talks Address Cyber-Weapons, Not Cyber-Spying – eWeek 2012. augusztus 14., in: http://www.eweek.com/c/a/Security/US-China-TalksAddress-CyberWeapons-not-CyberSpying-329861/, letöltés ideje: 2013. június 1.
8