Porażka państwa

Oczywiście, i to ogromnej liczby. Ale nie mogą być one pisane na kolanie i poprawiane następnego dnia, jak ACTA. Kiedy na przykład pański kolega nie pytając o zgodę oznaczy pana imieniem i nazwiskiem na zdjęciu, które zamieścił na Facebooku, mimowolnie staje się pan osobą publiczną. Ta praktyka jest dziś powszechna. Można jej po prostu zabronić, ale wtedy zaprzeczyłoby się naturze samej sieci, którą jest swobodne dzielenie się informacją. Całkowite uregulowanie internetu jest utopią. Jesteśmy zdani na kompromisy, bo świat zmienia się codziennie. Szczególnie ten wirtualny, przecież ma on zaledwie 20 lat!

W minionym tygodniu widzieliśmy wielką manifestację niezadowolenia z tego, że osoby prawdopodobnie nieznające w pełni problemu formułują regulacje, które później mogą być wykorzystane przeciwko obywatelom wirtualnego świata. W moim odczuciu ci, którzy wyrazili wstępną zgodę na przystąpienie do porozumienia, nie wiedzieli po prostu, czego ono dotyczy w odniesieniu do internetu. Samą decyzję o podpisaniu ACTA ogłoszono w komunikacie dotyczącym rolnictwa i rybołówstwa! Nie jestem zwolennikiem hipotezy o celowym „utajnieniu” prac nad umową. Zawinił raczej brak kompetencji, na który spektakularnie wskazały ataki hakerów.


W jaki sposób zablokowano strony internetowe instytucji państwowych?

Serwer, na którym znajduje się strona np. ważnej instytucji, jest zawsze „spolegliwy/ grzeczny”. Każdemu, kto do niego „zapuka”, odpowiada wyświetlając określony komunikat – zazwyczaj treść strony. Kiedy za pośrednictwem swoich komputerów „puka” kilku internautów naraz, reaguje w tym samym czasie, bo jest wystarczająco szybki. Ale gdy jednocześnie „dobija się” milion osób, a serwer chce im wszystkim naraz odpowiedzieć, blokuje się ze względu na ograniczenia techniczne. Serwer przestaje działać.

Niemożliwe przy tym, że by ten milion stanowili wyłącznie ludzie zainteresowani porozumieniem ACTA. Za blokadę stron rządowych odpowiedzialni byli hakerzy posługujący się tzw. zombie. Są to komputery, na których zazwyczaj bez wiedzy ich właścicieli zainstalowane zostało oprogramowanie pozwalające wykorzystać te maszyny do np. jednoczesnego wysłania wielkiej liczby zapytań w celu zablokowania danego serwisu. To znany od dawna atak typu DDoS (Distributed Denial of Service), zastosowany na masową skalę np. w 2007 roku w Estonii.

Z kolei stronę premiera zaatakowano poprzez złamanie hasła i uzyskanie dostępu do panelu umożliwiającego modyfikację jej treści. W sieci znajduje się mnóstwo darmowych programów służących do łamania haseł. Taki atak jest już przestępstwem. W Stanach Zjednoczonych traktowany jest nawet jako akt wojny, na który można zareagować użyciem środków militarnych.


Czy akcję hakerów można nazwać „obywatelskim sprzeciwem”?

Skutki tych wydarzeń, finansowe, polityczne czy moralne, raczej nie będą negatywne. Przy okazji walki o naszą wolność w internecie zostały bowiem odkryte olbrzymie zaniedbania w kwestii bezpieczeństwa teleinformatycznego kraju. Bywa, iż ludziom odpowiedzialnym za ten obszar brakuje podstawowej wiedzy. Jak to możliwe, że na komputerze wiceministra administracji i cyfryzacji, do którego się włamano, dane nie były zaszyfrowane? Tego rodzaju zabezpieczenia w organach administracji publicznej powinny być zresztą nakazane ustawowo. Stosowanie przez pracowników tych instytucji wyjątkowo łatwych do złamania haseł, jak „admin1”, woła o pomstę do nieba. Idę też o zakład, że może jeden procent z nich miał szkolenie z bezpieczeństwa teleinformatycznego. Tymczasem powinny być one regułą, jak te dotyczące BHP.


Hakerzy zademonstrowali swoją potęgę. Czy powinniśmy się ich obawiać?

Kluczowe jest budowanie świadomości zagrożeń, jakie niesie sieć, oprócz niewątpliwych pozytywów. To tak jak z włamaniem do mieszkania. Zawsze znajdą się geniusze zdolni do pokonania najlepszych zabezpieczeń. Ale to, że nie da się wykluczyć włamania, nie oznacza, że wcale nie mamy się zabezpieczać. Tego podejścia zabrakło osobom decyzyjnym w naszym państwie, co uważam za jego porażkę i wskazanie ważnego wyzwania na przyszłość.


*prof. dr hab. inż. Włodzimierz Gogołek, kierownik Pracowni Dziennikarstwa Online Uniwersytetu Warszawskiego, specjalista w zakresie bezpieczeństwa sieci


rozmawiał Michał Ziółkowski
Idziemy nr 5 (334), 29 stycznia 2012 r.
fot. Michał Ziółkowski/Idziemy