De ce sunt hackerii rusi si chinezi vinovati pentru toate relele din lume?

Inca o stire despre hackerii rusi: “Dezvăluiri. Hackerii ruși au testat o nouă armă în atacul asupra TV5“. Spre deosebire de alte articole unde doar ma dau cu parerea, in cazul articolului de fata mentionez ca am o parere solida si sper ca viitoarea mea carte despre hacking sa o dovedeasca si prin vanzari.

In primul rand, tehnic, nu se poate dovedi cine este sursa unui atac. Tehnic si legal, un atacator poate fi identificat doar atunci cand pe baza unor investigatii solide, sunt gasite asupra atacatorului dovezi fizice la fel de solide si in plus atacatorul recunoaste fapta sau din mandrie prosteasca se lauda la altii si astfel este prins.

Sa luam un caz clasic: Guccifer, faimosul “hacker” roman care este condamnat in SUA pentru ca a spart emailul lui Hillary Clinton si al altor politicieni americani. In primul rand, pentru a clarifica situatia, Guccifer nu este hacker, ci cracker.

Cracking-ul presupune tentativele de spargere a unei parole prin diverse metode sau unelte. De exemplu, spargerea unui adrese de email prin incercarea de diverse combinatii, pe care le-am extras dintr-o documentare cu privire la victima este de fapt cracking. Folosirea unui program care incearca sa penetreze accesul la un site intr-o zona protejata, folosind parole generate aleator dintr-o lista generica de parole, este de asemenea o operatiune de cracking. Daca insa modific programul astfel incat sa tina cont de particularitatile site-ului respectiv, pot spune ca sunt hacker. Cracking-ul este un mic subdomeniu al hacking-ului, operatiunea de cracking fiind doar una dintre multiplele tehnici folosite de hacker. Singurul motiv pentru care a fost identificat si ulterior prins Guccifer este ca el a fost cracker si nu hacker. Nestiind sa foloseasca unelte speciale prin care sa isi ascunda identitatea, Guccifer a fost prin facil, fiind nevoie de o singura informatie: IP-ul si data calculatorului de la care a fost spart contul, o informatie pe care Yahoo! a furnizat-o fara probleme autoritatilor americane, avand in vedere stransa colaborare intre marile companii din IT si serviciile secrete ale tuturor tarilor.

Metoda deci prin care poate fi identificata sursa unui atac, este in primul rand adresa IP de la care se intreprinde acea comunicare. Aceasta este singura informatie prin care probabil in general, toate atacurile din lume sunt puse pe seama hackerilor rusi sau chinezi.

Cum au loc insa atacurile de hacking si cum se pot ascunde urmele? Principala informatie cu privire la un atacator, este adresa IP de unde s-a initiat comunicarea prin care s-a lansat catre tinta atacul. Cum aceasta IP nu poate fi falsificata (este publica in orice comunicare), evident ca nici un hacker serios nu lanseaza atacuri de la calculatorul sau de acasa cu adresa fixa. Fac aceasta doar crackerii inconstienti sau nepasatori (cum probabil este Guccifer). Multi crackeri poate chiar doresc sa fie prinsi pentru faima si satisfactie. Hackerii seriosi, care nu doresc sa dea nici cele mai mici indicii cine si de unde sunt, nu lanseaza atacuri de la propriul calculator. Ei pot sparge un alt calculator si pot lansa atacuri de la acel calculator, vina cazand deci pe altcineva. Prin spargerea unui calculator, sa intelegem simplist preluarea controlului acelui calculator. O data preluat, evident se poate sparge un alt calculator de la acest calculator si tot asa, in lant, pot sa existe si 10 pasi intre atacatorul initial si un calculator pe care acesta il detine prin legaturile in lant prin care incearca sa isi ascunda urma. Asa se face ca teoretic, un serviciu de securitate din SUA, poate sparte un calculator din Brazilia, pornind de la care poate sparge un calculator din Norvegia, pornind de la care poate sparge un calculator din Noua Zeelanda, pornind de la care poate sparge un calculator din Rusia, pornind de la care poate sparge TV5-ul francez, ca in stirea de la inceputul articolului.

Pe lange adresa IP-ului mai sunt insa si alte modalitati de a afla cateva informatii despre atacator, insa acestea DOAR daca atacatorul doreste. De exemplu, un hacker roman, ar putea sa lase in informatiile sau programele plasate pe un calculator atacat, o poezie de Mihai Eminescu. De aici, nu e greu de dedus ca atacatorul este roman, chiar daca IP-ul poate fi rusesc. Repet insa: aceasta se intampla doar daca doreste atacatorul, prin propria lui initiativa. De fapt prin aceasta informatie este discutabil in ce masura se poate face legatura intre limba informatiilor “lasate” si nationalitatea atacatorului sursa, putand fii vorba doar de o inducere in eroare voita. De exemplu, un atacator roman poate sa atace NSA-ul si sa lase injuraturi in maghiara pentru a-i face pe americani sa creada ca la sursa au fost de vina ungurii.

Intorcandu-ne la IP-uri, de ce majoritatea atacurilor sunt de la IP-uri rusesti si chinezesti? Aceasta tine in primul rand de apartenenta la doua blocuri geopolitice diferite. Niciodata statul rus nu va trada un hacker acuzat in SUA, si nici viceversa. Prin urmare, pentru toti hackerii care vor sa atace tinte din vest, sursele ideale sunt ip-uri din Rusia si China si viceversa. China mai prezinta o particularitate anume: avand in vedere numarul chinezilor, exista mai multi chinezi conectati la internet decat intreaga populatie a SUA. Prin urmare calculatoarelor chinezilor pot fi atacate si folosite ca sursa de atac mult mai frecvent decat calculatoarele romanilor, pur si simplu pe baze statistice.

In final, de dragul adevarului, sa mentionam totusi ca firmele de securitate avansate, pot sa faca investigatii mult mai complexe si sa poata conclude cu o probabilitate mai mare nationalitatea unui atacator, mai ales prin prisma scopului atacului. De exemplu, cand au fost atacate centrifugele de la centralele nucleare iraniene si s-a descoperit ca metoda folosita era una extrem de complexa, care ar fi necesitat investitii imense in dezvoltarea ei, foarte usor s-a tras concluzia ca cei mai interesati in acest atac si de asemenea capabili sa il intreprinda au fost israelienii. Codul si softurile folosite in atac, pot fi clasificate pe baza unor patternuri si coroborand cu atacuri anterioare si cu informatiile de atunci, identitatea poate fi dedusa mai usor. Cand vom auzi data viitoare ca o centrala nucleara din Rusia a fost atacata, si daca vom afla ca firmele de securitate au gasit ca Stuxnet este de vina, nu va fi greu sa deducem cine a fost in spatele atacului. De la un punct anume, calcul risc-beneficiu, nici hackerii nu pot sau nu mai au cum sa se ascunda, atacul in sine fiind indeajuns de important incat sa isi asume riscul deconspirarii.

Este normal ca orice atac nu trebuie neaparat sa aiba un scop sau sens anume. Poate multi hackeri lanseaza atacuri doar de placere. Interesele sunt greu de dedus si totul este speculatie. In cazul atacului asupra conventiei Partidului Democrat din SUA, s-a tot aratat cu degetul inspre rusi. Daca insa gandim la rece, statul rus chiar l-ar prefera pe Donald Trump in locul lui Hillary Clinton? Nu trebuie sa fii mare psiholog ca sa vezi ca Trump este instabil si la cat de ferm si extravagant propune masuri radicale impotriva musulmanilor sau imigrantilor, tot asa s-ar putea intoarce si peste noapte impotriva rusilor si cu cat  miza este mai mare cu atat probabil instabilitatea si mai mare. De unde, este foarte logic ca rusii ar prefera-o pe Clinton, care desi ii tot ameninta cu no-fly-zone in Siria, macar nu va lansa un atac nuclear neprevazut asupra Rusiei, pornind aiurea Al 3-lea Razboi Mondial.

Tot de dragul adevarului, trebuie sa amintim si un aspect: avand in vedere statutul legal in Rusia si China, este greu de crezut ca un atacator din Rusia asupra unor surse din vest, are ceva de pierdut, in sensul ca niciodata nu se va intampla. ca in cazul Romaniei, FBI-ul sa ceara numele persoanei care a folosit IP-ul cutare la data cutare si sa-l obtina automat. De asemenea, niciodata, pe baza doar unor acuzatii (sau chiar si pe baza de dovezi), statul rus nu va extrada un hacker catre americani si nici viceversa. De unde probabil hackerii rusii au garda jos in privinta atacurilor asupra tintelor din vest. Idem la chinezi, unde nici macar legea copyright-ului nu exista.

Toate calculatoarele si telefoanele conectate la interenet pot fi folosite de hackeri pentru a fi surse de lansare a unor atacuri. Toti suntem expusi si sansele cresc cu cat cultura securitatii informatice este mai slab dezvoltata, in sensul ca utilizatorii nu folosesc software legal si descarca programe aiurea, nu folosesc antivirusi, nu sunt constienti de riscurile la care se expun etc. Dovedirea identitatii atacatorului este imposibila, cazurile putine cand se intampla aceasta sunt fie accidente, fie amatorisme, fie acuzatii false sau de ce nu propagandistice.