Lietuvoje, kaip ir priimta tolimame, mažai reikšmingame pasaulio užkampyje, buvo reliatyviai ramu su kibernetinėmis atakomis. Na, nulauždavo kokios garsenybės socialinių tinklų profilį, kartais pasitaikydavo didesnių paskirstytų paslaugos trikdymo (DDoS) atakų ar nutekėdavo eilinės instagramo mergaitės pikantiškos nuotraukos — nieko rimto ir baisaus.
Tačiau 2021 m. vasarį, Lietuvoje įvyko pirma, labai rimtų implikacijų galėjusi turėti kibernetinė ataka — buvo pavogta ir nutekinta dalis trumpalaikės automobilių nuomos kompanijos „CityBee“ vartotojų bazės. Be jos, dar buvo įsilaužta į pažinčių portalą „Darni pora“ ir pavogti lažybų organizatoriaus „Orakulas“ klientų informacija.
Lietuva atsibudo naujame drąsiame pasaulyje, kuriame niekieno duomenys nebėra saugūs. Tad šio teksto autorius leis sau papranašauti, jog panašių kibernetinių atakų daugės, jos taps rimtesnės, ir dėl grėsmės viešajam saugumui mes ilgainiui prarasime nepriklausomą internetą.
Pažangaus hakerio mitas
Kibernetinius įsilaužėlius mes dažnai įsivaizduojame kaip anarchistiškus hakerius, iš visų pusių apsuptus kompiuterių ekranų ir tuščių energetinių gėrimų skardinių. Grojant trankiai muzikai jie pernakt barškina klaviatūromis ir gali įsilaužti į viską, kas tik turi mikroprocesorių.
Tai klaidingas įsivaizdavimas, daugiausiai sukurtas tingių Holivudo scenaristų, kuriems kompiuteriai yra kažkokie magiški prietaisai, leidžiantys ir į JAV Pentagoną įsilaužti ir kada nori perjungti šviesoforus ar net sprogdinti lėktuvus danguje.
Realybė daug kartų nuobodesnė. Tas baisusis hakeris paprastai yra spuoguotas, dar su tėvais gyvenantis paauglys iš Rytų Europos chruščiovkių rajono. Jis nėra nei kažkoks programinio kodo vunderkindas (dažnu atveju jis nė programuoti dorai nemoka), nei joks kibernetikos dievas. Jis net labai išsamiomis žiniomis apie kompiuterius ne visada pasigirti gali, tipiškai tai yra tiesiog banalus, telefoninio sukčiaus lygio smulkus nusikaltėlis.
2014 m. aistras trumpam audrino vadinamasis „iCloud“ skandalas. Internetą, kaip per tvaną, užplūdo privačios nuogų garsenybių nuotraukos, pavogtos iš „Apple“ įdiegtų „iCloud“ paskyrų, kuriose buvo saugojamos atsarginės jų telefonais padarytų nuotraukų kopijos. Be abejonės, žiniasklaida nepraleido progos pagąsdinti žmonių, jog galimai esama „iCloud“ saugumo spragų, ir ten esanti informacija gali būti pavogta!
Įsibėgėjus tyrimui ir JAV teisėsaugai pagavus daugumą šio įsilaužimo kaltininkų, paaiškėjo, kad nebūta jokių spragų, o diduma nuotraukų buvo tiesiog nutekinta per neatsargiai spaudžiamas nuorodas, kurios atėjo į nukentėjusių garsenybių elektroninius paštus.
Tai vadinama socialine inžinerija. Jums skambina neva STT pareigūnas, kuris aiškina, jog kažkas laužiasi į jūsų banko sąskaitą, ir tam, kad jie žinotų, kad jūs esate jūs, prašo padiktuoti savo prisijungimo kodus. Socialinė inžinerija yra pernelyg įmantrus žodis nusakyti banaliam sukčiavimui, bet kad ir koks primityvus būtų šis metodas, jis yra pats patikimiausias, nes pati didžiausia informacinio saugumo spraga yra ne kompiuteris ar programinis kodas, o pats žmogus.
Kaip sako mechanikai — dėl visų automobilio gedimų kalta tarpinė, tarpinė tarp vairo ir sėdynės. Dėl to paties žmogiškojo faktoriaus dažnai pasiteisina brutalios jėgos (angl. Brute force) atakos, kai programinė įranga tiesiog spėlioja slaptažodžius. Kadangi didelės dalies žmonių slaptažodžiai yra: password, password1, slaptazodis, slaptazodis1 ir įvairios jų variacijos, tai šios atakos yra siaubingai efektyvios.
Aš neturiu ką slėpti!
Dažnas interneto vartotojo karo šūkis, atrėžiamas į pasiūlymą susirūpinti elementaria informacine higiena, skamba taip: „Aš neturiu ką slėpti!“ Atsainiai mostelėjus ranka, dar užtvirtinimui priduriama: „Iš manęs nėra ko vogti.“
Ar tikrai neturit ką slėpti? O jeigu kažkas taip netyčia patyliukais įjungtų jūsų kompiuterio, planšetės ar mobiliojo telefono mikrofoną arba dar geriau — vaizdo kamerą? O tos išdykusios nuotraukos, kurias sykį pasidarėte padauginę vyno — vis dar esate tikri, jog neturite ką slėpti?
Gal norėtumėte rasti savo kredito kortelės išklotinėje tūkstantines sumas už likvidžios elektronikos pirkinius, kurie kažkodėl iškeliavo į Indoneziją? Gal norėtumėte gauti žinutę, jog per jūsų kompiuterį buvo perpumpuotas didžiulis kiekis vaikų pornografijos ir, jei nesumokėsite X sumos kriptovaliuta, jūsų duomenys bus perduoti teisėsaugai, kuriai po to jau galėsite aiškinti, kad esate nieko dėtas?
Daugelis žino, kad internete esama pavojų — ir virusų, ir įsilaužėlių, ir sukčiavimo schemų, tačiau itin nedaug žmonių supranta ir žino, kiek daug tų pavojų yra, kaip plačiai jie paplitę ir kaip menkai jie yra nuo jų apsaugoti.
Kiekvienai paskyrai po naują slaptažodį, ir kuo jis ilgesnis bei sudėtingesnis, tuo geriau — tai privaloma. Atskira mokėjimo kortelė interneto pirkiniams, dar geriau virtuali — tai privaloma. Atskiri elektroniniai paštai — darbui, asmeniniams laiškams, paskyrų kūrimui ir apsipirkinėjimui internete — tai privaloma.
Paranoja ir skepticizmas dėl visko, kas matoma kibernetinėje erdvėje, — tai privaloma.
Visa jautri informacija PRI-VA-LO būti šifruojama ir turi turėti bent vieną kopiją, idealiausia — kuo toliau nuo jūsų pagrindinio kompiuterio.
Išvardytos priemonės daugumai žmonių atrodo kaip itin giliai progresavusi paranoja, tačiau tai absoliutus minimumas, privalomas norint apsisaugoti nuo įsilaužėlių. Dauguma nedaro net to. Totali dauguma interneto vartotojų yra beginkliai ir pažeidžiami kaip žmogus, kuris, policijai paskelbus visuotinį streiką, su dideliu grynų pinigų maišu stovi prastos šlovės rajono kriminaliniame epicentre po neonine iškaba „Apiplėškit mane“.
Jau baisu? Dar ne viskas. Per pasaulį išsivaikštant internetui ir informacinėms technologijoms — įsilaužimo įrankiai ir metodikos pasidarė kaip niekad plačiai prieinami. Įsilaužėliai dažnai ne tik kad turi visą spektrą priemonių bei instrumentų, bet ir nepailsdami krapšto, baksnoja ir braunasi į bet kokias sistemas, kokios jiems papuola po ranka. Negana to, jų darbuojasi ištisas legionas.
Štai, pasak „CityBee“ įsilaužėlio, jokios intencijos kažką vogti nebuvo, jis tiesiog kvailiojo ir netyčia rado saugumo spragą, kuria ir pasinaudojo. Teisėsauga dar turės viską ištirti, tačiau šio teksto autoriaus nenustebintų, jei hakerio žodžiai pasitvirtintų, nes jei Vakaruose pasitaiko skandalų dėl to, kad kažkas atmestinai pažiūrėjo į duomenų saugą, tai Lietuvoje, net ir didelėse, respektabiliose įmonėse, neretai apie tai tiesiog nėra galvojama.
Ir čia dar ne viskas, nes jūs esate vienui vieni, — tikėtina, kad net teisėsauga jums nepadės. Policija ir kitos jėgos struktūros turi padalinius, kovojančius su kibernetiniais nusikaltėliais, bet jie yra labai neadekvatūs dėl grėsmių, tykančių internete.
Lietuvos atveju, visuotinė trinkelizacija yra užvaldžiusi ir teisėsaugą — pinigai, kurie galėtų būti skirti pareigūnų algoms, yra mūrijami į naujas, stiklines nuovadas, dailius policijos automobilius, o kiek pinigų ištratinama viešinimui — be ašarų nepasižiūrėsi.
Tose valstybėse, kur yra gerai prieš kibernetinį nusikalstamumą veikianti teisėsauga, ieškoma puikių informacinių technologijų ekspertų, kad iš jų būtų daromi policininkai. Mūsuose procesas atvirkščias — iš teisėsaugininko bando padaryti programuotoją ar inžinierių, nes normalus specialistas kainuoja. Aišku, jog geras ekspertas be 3 tūkst. eurų į rankas nė antakio nepajudintų — o Lietuvos policija tokių pinigų neturi.
Nesinorėtų nuvertinti Lietuvos teisėsaugos, tačiau jos atstovai per privačius pokalbius patys pripažįsta, kad egzistuoja, švelniai sakant, kadrų problema. Rezonansinėms byloms dar būna trumpam nusamdomi ekspertai, bet šiaip jau niekas jūsų negelbės ir nenubaus interneto nenaudėlių, kurie jus nuskriaudė.
Kibernetinė Rugsėjo 11-oji
Niujorke 2001 m. rugsėjo 11-ąją kritę dvyniai dangoraižiai buvo ne tik vienas didžiausių teroro aktų Vakaruose, po jo vardan kovos su terorizmu JAV ir daugelyje kitų pasaulio valstybių (tarp jų ir Lietuvoje) buvo beprecedentiškai išplėstos teisėsaugos galios.
Edwardo Snowdeno skandalas yra kaip tik apie tai — jis paviešino įrodymus apie masinį, nekontroliuojamą ir visiškai nesankcionuotą JAV saugumo agentūrų ir jų tarptautinių partnerių vykdomą žmonių sekimą, dėl ko greičiausiai turės iki pat savo gyvenimo pabaigos slapstytis Rusijoje.
Jautrūs protai šituose reiškiniuose gali įžvelgti pasaulio užvaldymo sąmokslus, tačiau realybė kur kas nuobodesnė — Rugsėjo 11-oji iki pat šaknų sukrėtė JAV ir daugybės kitų pasaulio valstybių gyventojus. Žibalo į ugnį šliūkštelėjo ir žiniasklaida, nepraleidusi progos pakelti paniką, — net mikroskopinėje, mažai kam įdomioje Lietuvoje iškart po 2001 m. rugsėjo įvykių vietos žurnalistai kurstė aistras – ar gali būti mėginimų sprogdinti tuo metu dar veikusią Visagino atominę elektrinę?
JAV ir daugelio kitų su terorizmu susidūrusių valstybių visuomenėse atsiradus didžiuliam saugumo poreikiui, politikai neužtruko — besimatuodami, kieno rūpestis dėl nacionalinio saugumo yra didesnis, jie vienas po kito priėmė kovos su terorizmo teisės aktus, turėjusius netikėtų implikacijų.
Laiko klausimas, kada kažkas panašaus į Rugsėjo 11-ąją įvyks kibernetinėje erdvėje. Taip, dauguma hakerių yra ne itin profesionalūs diletantai, bet jiems pavyksta pasiekti rezultatų. O tik įsivaizduokime, kas būtų, jei tuo rimtai užsiimtų „programavimo dievai“ su 160 intelekto koeficiento punktų?
Kinija, Rusija ir visa virtinė kitų valstybių labai smarkiai investuoja į savo kibernetinių atakų galimybes. Yra ekspertų, kurie sako, jog jei įvyks Trečiasis pasaulinis karas, tai vienas iš jo frontų bus kibernetinėje erdvėje. Kad ir kaip būtų, dėl begalinio žmonių neišprusimo, nuolat pingančių ir paprastėjančių technologijų, kuriomis galima daryti įsilaužimus, internetas pasidarys labai nesaugia vieta.
Žmonių sentimentai veikia švytuoklės principu, ir ten, kur reikia skalpelio, bus panaudotas grandininis pjūklas. Visiškai įmanoma, jog Kinijos interneto modelis — uždara sistema, kurią absoliučiai kontroliuoja centrinė valdžia, — taps nauja mūsų gyvenimo kasdienybe.
Pasidžiaukime laisvu internetu. Kol dar toks yra…
Kad ir kaip šio teksto autorius nenorėtų prarasti laisvo ir nepriklausomo interneto, tačiau neįmanoma nepastebėti gana akivaizdžių tendencijų, jog neribotam internetui jau seniai yra paruoštas ešafotas, o šalia jo netrūksta godžiai iššiepusių budelių.
Laisvas internetas nepatinka puritonams, nes ten yra sekso, pornografijos, informacijos apie lytinį švietimą ir narkotikus. Jis nepatinka dešiniesiems radikalams, nes ten laisvai gali reikštis kairieji. Lygiai dėl tų priežasčių kairieji radikalai nemėgsta nepriklausomo interneto — ten niekas neblokuoja dešiniųjų. Centristai nepatenkinti, jog ten yra visų politinio spektro radikalų. Politikai su totalitariniais ir diktatūriniais nukrypimais negali pakęsti, jog egzistuoja erdvė, kur galima apie juos rašyti, ką nori.
Autorių teisių korporatyviniai maoistai negalės ramiai miegoti, kol žmonių galimybes laisvai dalintis informacija nebus visiškai apribotos. Nacionalinio saugumo ekspertai iš laisvo interneto tikisi užsienio valstybių atakų. Tradiciniams bankams nepatinka greita fintechų ir kriptavaliutos plėtra.
Žodžiu, yra labai daug nepatenkintųjų laisvu internetu, ir tik laiko klausimas, kada visi jų interesai supuls į tobulą audrą, po kurios toks internetas, kokį pažįstame, bus iškastruotas į labai akylai kontroliuojamą uždarą sodą.
Suprantama, tai nebūtinai įvyks, o jei ir įvyks, yra daug šansų, kad atsiras pogrindiniai, cenzūrai ir centralizacijai nepasiduodantys internetai — tokių jau yra, bendrai jie vadinami darknetu.
Galų gale, jei nutiks blogiausia, visuomenės sentimentų švytuoklė, lygiai kaip ji atsidūrė vienoje pusėje, taip atsidurs kitoje pusėje, ir ilgainiui interneto cenzūros bus atsisakyta.
Vis dėlto šiuo metu egzistuoja didžiulė rizika prarasti laisvą internetą, ir liūdniausia, jog dėl labai kvailų priežasčių.
Visų pirma nesuveikė visuotinė išsilavinimo sistema — mažai kam ateina į galvą, kad žmones reikia ruošti pasauliui, kuriame juos supa viską matantys ir girdintys, nuolat juos sekantys, visas jų paslaptis bei visą jų svarbiausią informaciją kaupiantys prietaisai. Antra, kraupiai neadekvatus su kibernetiniais nusikaltėliais kovojančių teisėsaugininkų finansavimas, ne tik Lietuvoje, bet ir didžiojoje viso pasaulio dalyje.
Būtini gerą informacinių technologijų išsilavinimą, įgūdžius ir patirtį turintys profesionalai: aitišnikai policininkai, aitišnikai prokurorai, aitišnikai teisėjai, aitišnikai advokatai ir t. t.
Tam, kad internetas išliktų saugus ir laisvas, užtektų tik šių dviejų dalykų — informuotos visuomenės, kuri mokėtų atsispirti interneto sukčių schemoms, ir gerai parengtos teisėsaugos, kuri gebėtų efektyviai gaudyti tuos sukčius.