2017. május 12. fordulópont volt a hadtörténelemben: egy nap leforgása alatt támadott meg egy ország 150 másikat, ilyen pedig még sosem fordult elő azelőtt. Nem ugrik be a szuperhadművelet, bárhogy erőlteti a memóriáját, ugye? Segítek: aznap futott körbe az interneten a Wannacry zsarolóvírus, több mint 200 ezer gépet megfertőzve, és komoly fennakadásokat okozva óriáscégek és állami intézmények működésében világszerte.
A támadás mögött - nemzetközi szakértők egybehangzó véleménye szerint - Észak-Korea állt. Nem csak úgy észak-koreai hekkerek, hanem konkrétan az észak-koreai állam. Több ország (köztük nagy- és középhatalmak, az USA, Nagy-Britannia, Ausztrália, Japán) hivatalosan kiberháborús agresszióval vádolta meg Kim Dzsongunt.
Júniusban aztán az egész dolog megismétlődött, a vírus a NotPetya volt, a támadó Oroszország, a célpont Ukrajna, a járulékos áldozat egy csomó cég világszerte. Köztük a dán Maersk, a világ legnagyobb tengeri szállítmányozási vállalata, amin keresztül a teljes világkereskedelem beleremegett a kibertámadásba.
És hogy a dolog még cifrább legyen, mindkét vírus részben az egyik amerikai hírszerző hivataltól, az NSA-től ellopott kiberfegyverre épült.
“2017 volt az az év, amikor mindenki számára nyilvánvalóvá vált, hogy az interneten háború zajlik. Országok háborúznak egymással a neten, és közben a kormányok a nagy techcégektől várják, hogy szavatolják a békét.” - mondja Brad Smith, a Microsoft jogi igazgatója, és közben azon gondolkozom, hogy mondott-e bárki ennél cyberpunkabb dolgot William Gibson óta. Brüsszelben vagyunk, a Microsoft főhadiszállásán, ahol vendéglátóink egy csomó újságírót és nemzetközi szakértőt győzködnek arról, hogy nagyon ideje lenne már egy új genfi egyezménynek, ami a kiberháborút szorítaná épeszű határok közé. A legnagyobb techcégek benne lennének, a NATO benne van, az ENSZ benne van, hát akkor mi a probléma? Miért folytatja azzal Brad Smith, hogy ha tíz év alatt sikerül összehozni, az nagy sikernek fog számítani?
Hát ez az.
Nagyjából 100-150 éve az emberiség eljutott addig, hogy annyira ijesztően durva fegyvereket tud létrehozni, hogy késztetést érez arra, hogy rögtön korlátozza, vagy be is tiltsa azoknak a használatát. (A legelső ilyen eset egyébként sokkal régebbi: az 1675-ös strasbourgi egyezményben a Német-Római császárság és Franciaország egyezett meg a korabeli vegyi fegyverek - a mérgezett golyók - tilalmáról.) Nagyjából ekkor születtek az első egyezmények arról is, hogy civileket vagy a sebesülteket ellátó orvosokat hagyjuk ki a háborúskodásból. Ha elfogadjuk azt, hogy háborúzni az interneten is lehet - márpedig az iráni atomprogram ellen bevetett Stuxnet vírus óta ezt illik tényként kezelni -, akkor ehhez is kellene valamilyen általánosan elfogadott szabálykönyv, különben csúnya dolgok történnek. Méghozzá sürgősen, mielőtt valaki elkezdi komolyan venni, amit a Pentagon elméleti fenyegetésként pár hete már belengetett: hogy egy kibertámadásra adott esetben akár nukleáris fegyverrel is lehet válaszolni.
Na, ez a szabálykönyv lenne a Digitális Genfi Egyezmény. És itt kezdődnek a gondok.
A kiber-világháború ugyanis csak a gyakorlatban zajlik, hivatalosan nem létezik. Az USA és Izrael tagadja, hogy ők állnának a Stuxnet mögött. Észak-Korea határozottan cáfolja, hogy köze lenne a Wannacryhoz. Az oroszok abszurd vádnak nevezik, hogy ők vetették volna be a NotPetyát. Rendszeresen előkerülnek a “partióta érzelmű ismeretlen hekkerek”, akik egyfajta Soros Györgyként jolly jokerként kényelmesen mindenért felelőssé tehetők. És egyébként nem kizárt, hogy néha tényleg ilyenek állnak egy-egy támadás mögött. Vagy olyanok, akik csak azt hiszik, hogy ők patrióta hekkerek, de valójában beépült titkosügynök manipulálja őket az adott kormány utasításai szerint. Tényleg bárki lehet: a kiberháborúba a beszállás költségei nevetségesen alacsonyak (már a hagyományos háborúhoz képest), a világ legszegényebb országai is megengedhetik maguknak, hogy mondjuk egy fél harci repülőgép árából több százmillió, vagy milliárd dolláros kárt okozó kibercsapást mérjenek bárkire.
Ráadásul az sem egészen egyértelmű, hogy mi számít kibertámadásnak. Egy vírus rászabadítása adott ország felhasználóira, hálózatok túlterhelése, az infrastruktúra (áramellátás, közlekedésirányító rendszerek, erőművek) támadása oké, tiszta sor. De online támadásnak minősül-e mondjuk közösségi médiában terjesztett álhírekkel és propagandával beleavatkozni egy másik ország választásaiba? Anélkül, hogy kimondanánk Oroszország nevét? És úgy egyáltalán: lehet-e a civil célpontok támadását tiltani vagy korlátozni a neten, amikor az internet nagyjából 99%-ban egy nagy civil célpont?
Az új genfi egyezmény előkészítése mindenesetre már vagy egy éve zajlik, és a résztvevők az egész helyzet kulcsának azt látják, hogy a kormányok és a techcégek bízzanak meg egymásban és dolgozzanak együtt. Na persze könnyű azt mondani.
Tavaly decemberben a Microsoft és a Facebook közös akcióval csapott le a Wannacry mögött sejtett észak-koreai csoportra, és semlegesítette is jó időre a kiberfenyegetést. Ilyen se nagyon volt még a hadtörténelemben, hogy magáncégek verjék vissza egy ország támadását más országok civil lakossága ellen. Ez több mint fél évvel a vírusfertőzés kitörése után volt. A techcégek azt mondják, sokkal hatékonyabbak tudnának lenni ebben, ha több információt és segítséget kapnának a kormányoktól, a kormányok azt mondják, sokkal hatékonyabbak és segítőkészebbek lennének, ha több információt kapnának a techcégektől.
De milyen információkról beszélünk?
A techcégeknek irdatlan adatbázisaik vannak a saját felhasználóik online szokásairól, ott van náluk a felhőben a levelezésünk, a csetarchívumaink, a fotóink, a fél életünk. A kormányoknak meg vannak titkosszolgálataik, hírszerzési infrastruktúrájuk, meg joguk arra, hogy ezeket használják, ha szükségét érzik. Ha bármelyik fél hozzáférést kapna a másik eszközeihez, drámaian megnőne a hekkerek, kibertámadások és hasonlók elleni fellépés hatékonysága - csakhogy erre egyik fél sem hajlandó, a maguk szempomtjából teljesen érthető módon. Az Apple egy 14 embert megölt tömeggyilkos iPhone-ját nem volt hajlandó feltörni az FBI kérésére, hogy segítse a nyomozást a terrorista kapcsolatai után.
A digitális genfi egyezmény egyik fontos küldetése az, hogy az ilyen esetekben megszüntesse a bizalmatlanságot a felek között.
A másik pedig arról szól, hogy a kiberfegyvereket a tömegpusztító fegyverekhez hasonlóan próbálja meg korlátozni. A Wannacry és a Notpetya egyaránt az NSA-től kiszivárgott Eternalblue nevű kiberfegyverre épült, az meg a Windows szerverek egyik sérülékenységére. Az NSA természetesen csak akkor szólt a Microsoftnak a biztonsági résről, amikor észrevette, hogy ellopták az Eternalblue-t, addig csendben használta a maga céljaira. Így aztán, mire a Microsoft összekalapálta a biztonsági frissítést, és az fel is került az érintett számítógépekre, már késő volt, a két kiberhadművelet lezajlott, több százmillió dolláros kárt okozva a célpontoknak, és még sokkal nagyobbat azoknak, akik csak úgy beleestek a szórásba.
Az egyezmény azt írná elő mindenkinek, kiberhadseregtől titkosszolgálaton át az egyszeri hekkerig, hogy ha felfedez egy biztonsági rést, azt kötelezően jelentse az adott rendszer fejlesztőjének. Jelenleg az ilyeneket vagy jelentik (több cégnél pénzjutalom jár érte), vagy eladják a feketepiacon (szakértők szerint nagyjából húsz ilyesmikkel kereskedő komolyabb exploit bróker utazik a bizniszben, az árak százezer dolláros nagyságrendűek, de a milliót is elérhetik), vagy ő maga fejleszt rá vírust, kémprogramot, ami éppen jólesik (lásd az NSA, ahol állítólag most is kb. 50 biztonsági rés van raktáron). A terv szerint az állami szereplőket egyszerűen szerződéssel köteleznék a sérülékenységek jelentésére, a többieknek meg valami közös alapból egyszerűen többet fizetnének, mint amennyit a rosszfiúk. Ehhez persze ki kéne takarítani a jelenlegi jogi szürkezónát is, most ugyanis csak ott lehet legálisan etikushekkerkedni, és hibákat jelenteni, ahogy az adott szoftver gyártója erre direkt felhívást tesz közzé (ezeket bug bounty programnak hívják). Ahol nincs ilyen, ott elvileg ez bűncselekmény, de hát emlékezhetünk még jól a BKK e-jegy-rendszerének kínos esetére.
És végül ott a civil felhasználók védelmének kérdése; ebben állunk talán a legjobban, legalábbis elvi szinten. Itt az autókat szokás felhozni analógiaként, hogy ott is a felhasználó felelőssége, hogy védje magát, de a gyártóé, hogy ehhez eszközöket adjon neki. Az interneten a “biztonsági öv” hozzáállás nyilván nem megy (nem lehet senkit kötelezni, hogy használjon vírusirtót, és büntetni, ha nem teszi), inkább a légzsák-párhuzam él: automatikusan, az egyszeri júzer beavatkozása nélkül működő megoldásokat kell adni neki. Az operációs rendszerek szerves részeként működő tűzfal, alapban titkosított kommunikáció, távolról feltelepített biztonsági frissítések. Ez egyre fontosabb lesz, ahogy lassan minden eszközünk felkerül a netre, beleértve a lakásunkat és az autónkat.
Van egyáltalán értelme a kiberháború szabályozásának, amikor ennek a háborúnak a fegyverei láthatatlanok, az agresszorok simán le tudják tagadni a tetteiket, és teljes bizonyossággal szinte lehetetlen rájuk bizonyítani bármit is? A brüsszeli összejövetelen rendszeresen felmerült a kérdés, és a szakértők általában azzal reagáltak rá, hogy akkor is meg kell próbálnunk, ha tudjuk, hogy sosem fog tökéletesen működni. Az internet pár évtized alatt olyan alapvető fontosságú, kritikus infrastruktúrává vált, mint az áram- vagy a vízszolgáltatás, és nem engedhetjük meg magunknak azt a luxust, hogy meghagyjuk védtelen és szabályozatlan vadnyugatnak.
Szép kilátások.
(Borítókép: Egy fehér házi nemzetbiztonsági tanácsadó tart sajtótájékoztatót a Wannacry tamadások után 2017 december 19-én - fotó: Mark Wilson / Getty Images Hungary)