Nadchodzi czas wielkiej kwarantanny

W cztery minuty nad nowopodłączonym do Internetu komputerem ktoś przejmie kontrolę. Dzięki dostępnym narzędziom to dzieciaki piszą wirusy i inne robaki. W ich rozpowszechnianiu pomaga socjotechnika. Komputery wymiaru sprawiedliwości są bezpieczne - tam nie ma Internetu...

Kiedyś było inaczej! Kiedyś, gdy w Polsce obowiązywała jeszcze abolicja na pirackie programy komputerowe, gdy powszechnie się wymieniano grami na dyskietkach 5 i ¼", a o Internecie słyszeli nieliczni, wirusy uzależnione były od nośnika. Trzeba było samemu je do komputera "zaprosić", wkładając zainfekowaną dyskietkę do napędu. Wszystko to w świecie realnym. Dziś, w dobie szerokopasmowego dostępu do Internetu (a chodźby i wydzwanianego) okazuje się, że cztery minuty wystarczą, by kontrola nad podłączonym do Sieci komputerem w konfiguracji oferowanej przez sprzedawców została przejęta za pomocą jakiegoś konia trojańskiego. Okazuje się jednak, że wystarczy zastosować dodatkowe zabezpieczenia, by infekcja nie przebiegła tak gładko. Są również systemy operacyjne, które nie są tak podatne na wirusy jak inne (ile jest wirusów napisanych pod linuxa?). W dzisiejszych czasach wirusy i konie trojańskie są coraz częściej elementem wirtualnej maszyny "biznesowej", z której korzystają spamerzy i phisherzy. Wykorzystują oni znane i powszechne luki i błędy w popularnych programach, by szybko przeistoczyć zainfekowane maszyny w komputery zombie. Komputery, z których można dalej dokonywać przestępstw, wysyłać niechciane i uciążliwe reklamy, na których można przechowywać dane - bez wiedzy prawowitych użytkowników. Obok tego, przez globalną infrastrukturę Sieci przelewają się terabajty danych powodujące znaczne jej przeciążenie, zmniejszenie jej przepustowości, zapchanie, często - wyłączenie jej fragmentów. Wszystko za sprawą wirusów. Czasami celem jest globalne wykrzyczenie "jesteście kiepscy, a my jesteśmy the best!", "nie! wy jesteście surowi technicznie, a nasza grupa rulez!". To już nie dotyczy jedynie komputerów stojących na biurkach. Są już wirusy atakujące telefony komórkowe czy bankomaty. Wszak w tych urządzeniach również procesor odpowiedzialny jest za wykonywanie programów komputerowych.

Jest już po północy. Mieszkańcy osiedla poszli spać, jednak cały czas mój firewall informuje dyskretnie, iż z jednego numeru IP coś cały czas skanuje porty mojego komputera. Prawdopodobnie to robak. Marek Sell, nieżyjący już twórca popularnego programu antywirusowego MKS_Vir, podczas internetowego czatu, który miał miejsce we wrześniu 2003 roku, powiedział: "Przez rozbudowę struktury Internetowej można dość szybko ograniczyć krążenie spamu i wirusów. Problem leży w pieniądzach, które ktoś na to musiałby wyłożyć. Powoli taka struktura się rozwija i myślę, że masowe problemy ze spamem i blokowaniem sieci przez wirusy będą malały. Trudno mi sobie wyobrazić sytuację, w której nie będą potrzebne programy antywirusowe, podobnie jak trudno mi sobie wyobrazić sytuację, w której przestaniemy zamykać drzwi od domu na klucz". Patrząc na problem okiem prawnika - gdy ktoś ukradnie portmonetkę z mieszkania, do którego drzwi nie były zamknięte - będzie to nadal kradzież. Doświadczenie podpowiada nam jednak, że drzwi warto zamykać. Twórcy wirusów, podobnie jak złodzieje, są ścigani przez prawo. A raczej - próbuje się ich ścigać, chociaż czasem się nie udaje.

W 2000 roku na Filipinach umorzono postępowanie w sprawie przeciwko podejrzanemu o wprowadzenie do Sieci wirusa "Love-bug". Podstawą umorzenia było to, iż czyn nie wyczerpuje znamion ustawowych przestępstwa. W prawie karnym Filipin nie było przepisu umożliwiającego ściganie czynów polegających na pisaniu lub rozpowszechnianiu wirusów komputerowych (nullum crimen sine lege, czyli: nie ma przestępstwa bez ustawy). Jednak z czasem systemy prawne poszczególnych państw wyposażyły się w instrumenty prawne do walki z wirusami...

Na początku 2001 roku policja holenderska aresztowała mężczyznę, który twierdził, iż jest autorem komputerowego wirusa "Anna Kournikova". Dwudziestolatek pochodzi z holenderskiej Fryzji, a zatrzymano go w związku z podejrzeniem, że dopuścił się uszkodzenia programów i sprzętu komputerowego. Infekcja wirusem "Anna Kurnikova" następowała na skutek świadomego uruchomienia załączonego do poczty elektronicznej pliku, który - jakby się mogło na pierwszy rzut oka wydawać - zawierał zdjęcie znanej rosyjskiej tenisistki. To czysta socjotechnika. Ludzie chętnie otworzą załącznik, jeśli myślą, iż zawiera on jakieś informacje, najlepiej tajne i dotyczące zainteresowanego. Twórcy wirusów kuszą również wizją obejrzenia zdjęć (sporo zamieszania wywołał robak "oferujący" zdjęcia z imprezy). Wiele osób klika w załączniki i w ten sposób się zarażają. To mnie nie dziwi, gdyż słyszałem o pewnym dyrektorze finansowym (a wszak on właśnie odpowiadał za finanse firmy, więc tym bardziej powinien uważać) uruchomił na swoim komputerze wirusa, który momentalnie rozesłał się do wszystkich pracowników. Pan dyrektor dał się nabrać na socjotechniczne sztuczki. Wróćmy jednak do Holandii i dwudziestoletniego chłopaka znanego jako OnTheFly. Mężczyzna został oskarżony o celowe napisanie i rozpowszechnianie programu mogącego wywołać poważne szkody, groziła mu kara pozbawienia wolności do czterech lat oraz grzywna. Obrona, ze względu na nienaganny dotychczas tryb życia oskarżonego, proponowała karę 240 godzin prac społecznych... FBI udokumentowało straty oszacowane na 167 tys. dolarów. Sąd skazał chłopaka na karę 150 godzin prac społecznych, ale ten doszedł do wniosku, iż wyrok taki może wpłynąć niekorzystnie na jego dalszą karierę złożył apelację... I przegrał.

A co ze szkodami? Wszak - by dać przykład polskiej ustawy - ktokolwiek z winy swojej uczynił drugiemu szkodę jest zobowiązany przez prawo do jej naprawienia. Straty spowodowane przez innego robaka internetowego, znanego pod nazwą "Goner" szacowano na 5 milionów dolarów. Robak ten, poza klasycznymi metodami (poczta elektroniczna), rozsyłał się także za pomocą komunikatorów takich jak ICQ oraz czatów (IRC). Tymczasem w 2001 roku aresztowano czterech izraelskich nastolatków, podejrzanych o stworzenie robaka. No, ale systemy prawne nieco inaczej traktują nastolatków niż osoby dorosłe...

Czasami wyraźnie da się dostrzec, jakimi motywami kierowały się osoby "wpuszczające" do sieci wirusa. Wszak nie zawsze to musi być "dla zabawy" albo - co sygnalizowałem wyżej - w celu przejęcia kontroli nad komputerami lub by przygotować sobie przedpole dla "kradzieży tożsamości". Oto w tym samym, 2001 roku zapada wyrok, którym sprzedawca komputerów - Paul Brogden został zobligowany do przepracowania społecznie 175 godzin, sąd dokonał również konfiskaty jego sprzętu komputerowego. Przyczyna? Przesłał swojemu konkurentowi wirusa komputerowego. Amerykańska Komisja Papierów Wartościowych i Departament Sprawiedliwości oskarżyły w 2003 roku dziewiętnastoletniego mieszkańca Pensylwanii, Van T. Dinha, o stworzenie wirusa (a tak naprawdę konia trojańskiego), który miał pomóc w ataku na maklerów. Dinh oferował maklerom udział w przeprowadzanym beta-teście oprogramowania do analizy porównawczej kursów akcji. Udało mu się w ten sposób ukraść 47 tys. dol. W innej sprawie (którą rozstrzygnięto rok wcześniej) ustalono, że technik komputerowy Herbert Pierre-Louis świadomie przesłał wirusa komputerowego swojemu pracodawcy. Ława przysięgłych uznała, że szkody powstałe w wyniku tego działania były niższe niż 5 tys. dolarów. Był to jeden z pierwszych wyroków pod rządami prawa federalnego USA, który był oparty na finansowej ocenie szkody spowodowanej przez przestępstwa komputerowe. Jeśli szkody przekroczyłyby powyższą kwotę, wówczas mielibyśmy do czynienia z przestępstwem federalnym. Skoro nie przekroczyły - przestępstwa nie było. Oskarżyciele próbowali jeszcze walczyć i wskazywać na utracone korzyści (lucrum cesans), które należałoby doliczyć do "wyceny" dokonanej przez ławę przysięgłych. Obrona jednak wskazała, iż nawet po ich doliczeniu wysokość szkody nie przekracza ustawowo progu. Technik został uwolniony od zarzutów popełnienia federalnego przestępstwa.

Jednak zdarzały się wyroki skazujące. W 2002 roku, David Smith, twórca wirusa "Melissa", który w 1999 r. zainfekował ponad milion komputerów na całym świecie, został skazany w USA na 20 miesięcy pozbawienia wolności i 5 tys. dolarów grzywny. Trzydziestoczteroletniemu Smithowi groziło nawet pięć lat pozbawienia wolności oraz 250 tys. dolarów grzywny. Otrzymał niższy wyrok, gdyż współpracował z organami wymiaru sprawiedliwości. No właśnie. A jakby nie współpracował, to by może nie zdobyli przeciwko niemu wystarczających dowodów? Czasami konieczna jest zachęta, na przykład w postaci specjalnego funduszu. W 2004 roku aresztowano niemieckiego osiemnastolatka. Chłopaka aresztowano w Dolnej Saksonii, gdzie mieszka wraz z rodzicami. Specjalny fundusz Microsoftu - Antivirus Award Program - dysponujący zasobami w wysokości 5 milionów USD, z którego wypłacane są nagrody pieniężne za pomoc w schwytaniu autorów wirusów i robaków internetowych, został w końcu uszczuplony. A to za sprawą informatorów, których wskazówki doprowadziły do zatrzymania podejrzanego o skonstruowanie robaka internetowego "Sasser". Jak podaje PAP: podczas przesłuchania chłopak przyznał się do stworzenia pierwszej wersji "Sassera" i został zwolniony. Czeka go proces z oskarżenia o sabotaż komputerowy, za co grozi do pięciu lat więzienia.

W sierpniu 2003 roku w Stanach Zjednoczonych aresztowano Teekid'a, nastolatka z Minnesoty, któremu FBI zarzuca autorstwo groźnego wirusa komputerowego "Blaster". Wirus ten przed błyskawicznie rozprzestrzenił się w Sieci. Tylko, że Teekid nie jest twórcą orginalnego "Blastera", a rozpowszechniał najprawdopodobniej zmodyfikowaną jego wersję. O stworzenie innej wersji "Blastera" oskarżono Jeffreya Lee Parsona, którego postawiono przed sądem w Minnesocie. Zacząłem się nawet w pewnym momencie zastanawiać, ilu jeszcze aresztują "autorów Blastera"? A już najbardziej zadziwiło mnie doniesienie, że rumuńska policja aresztowała dwudziestoczteroletniego studenta, który również oskarżony został o stworzenie kolejnej wersji tego robaka internetowego. Autorem robaka internetowego Blaster-F miał się okazać Dan Dumitru Ciobanu. Trzy, pozornie niezwiązane ze sobą osoby, a jednak coś je łączy. Czy to komputerowa wiedza? Autor pierwszej wersji robaka pozostaje nieznany.

"Anna Kurnikova", "I love You", "Homepage" to robaki komputerowe przygotowane za pomocą specjalnego oprogramowania, służącego do... projektowania robaków właśnie: "[K]Alamar's Vbs Worms Creator". W Internecie można znaleźć gotowe propozycje dla tych, którzy chcieliby sobie stworzyć wirusa czy podobne "wynalazki". CERT na swoich stronach prognozuje, że "narzędzia dla laików, które są wykorzystywane przy "pisaniu" wirusów, na dobre już zagościły na komputerach script kiddies i wydaje się, że ich rola w dziedzinie pojawiania się nowych wirusów będzie rosła". Z drugiej strony - o ile robaki i wirusy wygenerowane są dzięki jednemu z narzędzi - łatwiej takie produkcje wychwycić przez programy antywirusowe.

Tym ważniejsze, by stosować zabezpieczenia. O ile każdy z nas robi to na własny rachunek, to warto zastanowić się jak z wirusami radzi sobie administracja publiczna? We wrześniu 2003 roku przeczytałem na stronie ministerialnej: "Ministerstwo Nauki i Informatyzacji uprzejmie informuje, że poczta zawierająca wirusa Sobig.F nie pochodzi z kont pocztowych, ani z serwera MNiI. Wirus ten podszywa się pod adresy pocztowe pracowników Ministerstwa. W tej chwili trwają prace, przy współpracy z CERT, mające na celu zidentyfikowanie sprawcy i unieszkodliwienie wirusa". To prawda. Współczesne wirusy i robaki potrafią losowo wybierać adres nadawcy i odbiorcy wiadomości. Tak więc jest prawdopodobne, że osoba, od której (jak się wydaje) dostaliśmy pocztę, nie jest zawirusowana. Ale, wracając do infekcji serwerów publicznych: Pewnego majowego dnia w 2004 roku Życie Warszawy donosiło: "Wczoraj otrzymaliśmy wiadomość mailową wysłaną z biura prasowego klubu Prawa i Sprawiedliwości. Zamiast informacji o działalności partii, na ekranie pojawiły się dwie tulące się do siebie niewiasty z gołymi biustami. (...) Sprawdziliśmy, czy wiadomość na pewno została wysłana z serwera sejmowego PIS-u. Okazało się, że tak. (...) To nie wina partii. Po prostu cały Sejm zaatakował »babski« wirus komputerowy". A ja się wówczas zastanawiałem, czy ten wirus sam tak z siebie zaatakował? Czy nikt nie kliknął w żaden załącznik? Jak się to stało, że nie zareagowały programy antywirusowe chroniące Sejm? W tym samym czasie na atak skarżyła się też rzeczniczka Urzędu Ochrony Konkurencji i Konsumentów: tam roznegliżowane panie pojawiały się pod oficjalnymi dokumentami jako załączniki... Czy istnieje jakaś polityka bezpieczeństwa w administracji publicznej, która odnosi się do klikania w załączniki?

Rozporządzenia Prezesa Rady Ministrów w sprawie instrukcji kancelaryjnej dla organów gmin i związków międzygminnych czy powiatów "zalecają wykorzystanie informatyki w celu udostępnienia upoważnionym pracownikom zakupionego dla wersji sieciowej oprogramowania aplikacyjnego, a w szczególności: oprogramowania antywirusowego". W takiej instrukcji kancelaryjnej możemy też przeczytać, że "obieg dyskietek i innych nośników informatycznych w urzędzie ogranicza się poprzez ich ostemplowanie oraz okresowe sprawdzanie programami antywirusowymi przy całkowitym zakazie użycia nośników nie oznakowanych (z wyjątkiem wydzielonych stanowisk nie podłączonych do sieci informatycznej urzędu i z zainstalowanym programem antywirusowym)". Czyli możemy czuć się bezpiecznie. Chociaż... Sam nie wiem. Może jednak nie jesteśmy tacy bezpieczni, skoro można było wynieść twarde dyski z MSZ? Nikt chyba nie robi w Polsce zbiorczych badań związanych z zainfekowanymi komputerami administracji publicznej. W tym samym maju, o którym pisałem wyżej, PAP podała intrygującą informację, która sugeruje, iż na świecie robi się takie badania: "W Hongkongu "Sasser" zainfekował m.in. komputery w dwóch agendach rządowych i w kilku szpitalach. (...) Zaatakował niewielką liczbę komputerów w Komisji Europejskiej - około 1200 na ogólna liczbę 25 tys". Chcemy już niebawem brać udział w powszechnych wyborach za pośrednictwem Internetu. Będzie ciekawie, jak wirusy i komputerowe konie trojańskie zainfekują maszyny do elektronicznego głosowania...

Czy zatem prawo jest w stanie skutecznie walczyć z plagą wirusów komputerowych, robaków i koni trojańskich? Masowe wciskanie się tych insektów i elektronicznych mikrobów we wszelkie, pozostawione przez człowieka szczeliny spowoduje niechybnie, że coraz szczelniejsza będzie ochrona przed nimi. Co warto zauważyć - ochrona techniczna. I jak w przypadku przestępstw polegających na "obejściu zabezpieczeń" mogę zadać pytanie - czy skoro zabezpieczenia dało się obejść, to czy wejście do systemu z takimi zabezpieczeniami nie jest normalnym korzystaniem z tego systemu? Czy skoro nie zablokowałem możliwości otrzymywania przesyłek - każdy może mi przesłać reklamę? Czy skoro nie doprowadziłem do tego, że technicznie nie będzie można podlinkować moich stron z pominięciem głównej strony mojego serwisu, to czy mogę wysuwać roszczenia przeciwko tym wszystkim, którzy je linkują? Teraz, żeby się zainfekować wystarczy otworzyć odpowiednio spreparowaną witrynę internetową, czy uruchomić specjalnie przygotowany plik graficzny. W tej sytuacji najbezpieczniejszym komputerem jest ten, który nie jest podłączony do Internetu.