1. Idi na sadržaj
  2. Idi na glavnu navigaciju
  3. Idi na ostale ponude DW-a
Društvo

Tajne službe vole "rupe" u računalnim sustavima

Helena Kaschel
16. svibnja 2017

Nakon napada hakera ovog vikenda koji je uzrokovao štetu koja se mjeri u milijunima eura, iz Microsofta se čuje optužba da su zapravo krive - tajne službe. Naš sugovornik Falk Garbsch smatra kako u tome ima istine.

https://p.dw.com/p/2d1t0
Deutschland Weltweite Cyber-Attacke - Hauptbahnhof Chemnitz
Foto: picture-alliance/dpa/P. Götzelt

Njemački Chaos Computer Club je najveća udruga hakera Europe i ta nevladina organizacija savjetuje između ostalih i njemačku vladu. S glasnogovornikom te udruge Falkom Garbschom smo razgovarali o virusu "WannaCry" koji prošlog vikenda nije samo uzrokovao golemu materijalnu štetu, nego je i direktno ugrozio živote ljudi - žrtva je bio i računalni sustav britanskog zdravstvenog sustava.

DW: Predsjednik Microsofta Brad Smith je u svom blogu optužio kako je i američka vlada i služba NSA zapravo kriva za širenje ovog virusa, jer tajne službe marljivo "sakupljaju" propuste u sigurnosti računala kako bi ih same mogle koristiti za svoje rabote. Ima li u tome istine?

Deutschland Informatiker und Software-Entwickler Falk Garbsch
Falk GarbschFoto: privat

Falk Garbsch: U osnovi to odgovara onome što mi već godinama prigovaramo. Znamo da tajne službe sakupljaju "rupe" u sigurnosti operativnih sustava kako bi ih mogle koristiti kao digitalno oružje. Kupuju i takva saznanja o "rupama" i na crnom tržištu koje postoji za takve stvari ili unajmljuju ljude koji će za njih nalaziti takve propuste u sigurnosti. Onda ih i koriste kako bi ciljano "provalili" u nečiji sustav. Za američke tajne službe su izuzetno zanimljiva područja industrijska špijunaža, špijunaža gospodarskih i znanstvenih podataka i tu su izuzetno aktivni. Ali sakupljaju se i osobni podaci i to digitalno oružje služi kako bi se zarazilo udaljene sustave i ušlo u njihova računala.

To znači da službe sigurnosti nikad neće proizvođačima programa otkriti nešto što zapravo ugrožava sigurnost, zato jer to same žele koristiti?

Točno tako. Ako na tržištu kupite takvu "rupu" ili uložite veliki napor da je nađete, onda naravno da vam je interes da taj otvor bude što duže otvoren i da ga što više možete koristiti, zato jer se i tu radi o mnogo novca. Ali ako se takvi propusti u sigurnosti odmah ne zatvore i sustavi na čitavom svijetu ostanu nesigurni, onda ih mogu koristiti i kriminalci.

USA NSA Hauptqartier in Fort Meade
National Security Agency marljivo sakuplja "rupe" u računalnim sustavima - čuju se čak i optužbe da nalaže proizvođačima računalnih sustava da stvore "rupe" kako bi sami mogli "njuškati".Foto: Getty Images/NSA-Handout

A službe sigurnosti sve to čine potpuno namjerno i svjesno?

Ne samo službe sigurnosti. I politici je potpuno jasan rizik u koji se upuštaju. Vidimo svojevrsno digitalno naoružavanje nakon rasprava o manipulacijama izbornih rezultata proteklih mjeseci, nedostaci u sigurnosti računala se sada stavljaju pod krinku nacionalne obrane i time se ruše stvarni sustavi obrane. Ovi posljednji napadi su tek prvi val. Ako se tako nastavi, ako mi naše tajne službe i dalje opremamo digitalnim oružjem umjesto da uklanjamo te nedostatke, moramo računati sa tim da će biti još gore. Jedina mogućnost obraniti se od napada hakera je politika obrane.

Vlade su valjda i same zainteresirane za sigurnost jer su i one žrtve napada...

Naravno da jesu. Zato me čudi da onda puštaju tajne službe da imaju takva sredstva. Politika konačno mora razumjeti da tu nije riječ o prostoru jedne države, nego da je to međunarodna konstrukcija. Naravno da svi imaju koristi ako se zatvori neki propust u sigurnosti. Ali ovo nije isto kao u klasičnoj vojnoj politici gdje se onda kupuju stvari i utrkuje se u opremanju i misli se: glavno da mi imamo bolje oružje. Ovdje vrijedi: ako ste ranjivi, onda ste ranjivi, bez obzira što inače imate. Ako u svojoj kući ugradim sigurnosne prozore, ali uopće nemam vrata, onda i provalnik može ući kad hoće.

Symbolbild Cyberattacke Bundestag
Njemački političari ne moraju ići daleko u potrazi, što to znači igrati se s takvom vatrom: i Bundestag je bio cilj napada - i veliko je pitanje, je li nedostatak i danas potpuno otklonjen.Foto: picture-alliance/dpa/W. Kumm

Ali ne pokušava li i Microsoft sada svaliti svu krivicu na tajne službe? Konačno, radi se o nedostatku u njihovom operativnom sustavu.

Naravno da Microsoft sada pokazuje na druge i govori; gledajte, oni nas nisu upozorili. Ali ovaj nedostatak jest bio otklonjen. Umjesto da su ga samo tiho zatvorili, Microsoft je trebao izaći u javnost i preko medija upozoriti svoje korisnike da svakako instaliraju taj update. To nije učinio. S druge strane, naravno da imaju i pravo kad kažu da to što čini NSA, to ne može proći. Koliko je meni poznato, NSA je još prošle godine znao da su detalji o ovom nedostatku "procurili" i da svatko može napasti računala. Barem tada su mogli informirati Microsoft.

Virus "WannaCry" je uspio blokirati golem broj računala. Mislite da će to potaći promjenu u razmišljanju?

Microsoft Brad Smith
Predsjednik uprave Microsofta Brad Smith ne može sakriti činjenicu da je njihov program jednostavno - previše manjkav.Foto: Getty Images/S. Brashear

Naravno da se uvijek moramo nadati da će politika razumjeti o čemu se ovdje radi. Ali ako poslušate izjave proteklih dana, onda više nisam tako optimističan. (Njemački ministar prometa) gospodin Dobrindt zahtijeva da se poboljša zakon o sigurnosti informatičkih sustava. Zapravo je to tek simulacija nekakve sigurnosti i nema baš nikakve stvarne koristi. Moraju se promijeniti politički koncepti i smjernice koje vode u tom smjeru i razmisliti o propisu da se zakonski mora javiti i objaviti svaki sigurnosni propust u računalima koji se nađe. Inače se tajne službe nikad neće odreći tog područja. Samo tako se trajno mogu štititi računalni sustavi.

A što je s nama, "običnim" korisnicima? Ne samo vlade, tajne službe i informatičari, ne treba li se i korisnike prisiliti na više odgovornosti?

Naravno. Svi mi koristimo tu tehnologiju i moramo se suočiti s onim što činimo. Moramo razumjeti da su nadogradnje sustava sigurnosti važne i da kad dobijemo obavijest o "updateu", da onda ne čekamo mjesecima da "nađemo vremena" instalirati ih. Trebamo ih staviti čim stignu. Moramo razvijati kompetentnost i naučiti odakle dolaze opasnosti i kako da se obranimo. Odgovornost ima svatko od nas.

Razgovor vodila Helena Kaschel