Kui luurajast saab julgeolekurisk
Küberturbe kaks olulist alustala on turvaaukudeta tarkvara ja usaldusväärne krüptograafia. Hiljutise luureskandaali põhjustanud USA küberjulgeoleku strateegia on aga mõlema alustala uppi löönud. Luurajad avastavad auke, kuid jätavad tarkvaratootja teavitamata, et neid auke ise ära kasutada. Samuti rikutakse meelega krüptoalgoritme, et igale poole sisse murda. Säärane lähenemine vähendab meie kõigi turvalisust.
Kaks mütsi
Inimesi, kes tarkvarast turvaauke otsivad, on igasuguseid. Üldjoontes jagatakse neid „mütsi värvi” järgi. „Valge mütsiga” on need, kes otsivad auke kas tarkvara tootja teadmisel ja palgal või siis eesmärgiga teavitada tarkvara tootjat. Põhiliseks sissetulekuks on neil turvaauditite teostamine ja mõned neist töötavad ka viirustõrje tarkvara tootvates ettevõtetes.
„Musta mütsiga” turvaaukude otsijad kasutavad oma teadmisi troojalaste ja muu pahavara tootmiseks või müüvad enda leitud turvaauke mustal turul kalli raha eest – auk, millest tarkvara tootja isegi ei tea veel, on väga väärtuslik kaup küberkurjategijatele.
Kui „valge mütsiga” mehed-naised on meile kõigile abiks, siis omamoodi on kasu olnud ka „musta mütsiga” pahalastest. Jah, aeg-ajalt panevad nad kusagilt suure raha pihta, aga nende valdkonna spetsiifika dikteerib, et maksimaalse mõju ja omakasu saavutamiseks tuleb seni avastamata turvaauku kasutav pahavara korraga ja suurtes kogustes internetti paisata. See aga tähendab, et üsna kiiresti uus pahavara leitakse, uuritakse põhjalikult läbi ja turvaauk lapitakse ära.
Vead kui kaup
Maikuus teavitas Reuters, et maailma suurimaks mustal turul turvaaukude kokkuostjaks on saanud USA valitsus, kes siis arendab nendega küberründerelvi. Võib ju mõelda, et väga hea – ostetakse kokku, siis küberpätid ei saa nendest aukudest teada ja niimoodi on meil kõigil turvalisem. Nii siiski ei ole. Mõju on lausa vastupidine.
Nimelt küberturbel on üks veider spetsiifika: kui lased oma küberrelva käiku, siis vastane näeb seda, saab selle juppideks lahti analüüsida ja võib üsna kiiresti samal põhimõttel töötava küberrelva ükskõik kelle vastu lendu lasta. Tegu on mürsuga, mis küll tekitab kahju või annab juurdepääsu olulisele infole, aga millel on mürsu enda tootmise juhendid kaasas.
Kui USA kasutab seni avalikult teadmata turvaauku üldkasutatavas tarkvaras (nagu Windows või Office) selleks, et rünnata näiteks Hiinat või Venemaad, siis koos ründega annavad nad tahes-tahtmata hiinlastele ja venelastele kõik vajalikud teadmised, et nood saaksid sama relva kasutada USA, Euroopa või ükskõik kelle vastu.
Inforelvad
Rääkides „relvast” ei räägi me ainult sellistest, mis kahju teevad või midagi hävitavad, nii nagu USA kasutas küberrelva Iraani tuumaprogrammi tsentrifuugide lõhkumiseks. Küberrelvade eesmärk võib olla ka vaid infole juurdepääsu andmine. Näiteks äsja teatas Spiegel, et Briti luureagentuur GCHQ murdis digitaalselt sisse Belgia suurimasse sideettevõttesse Belgacom, et luurata tema klientide järele: Euroopa Parlament, Euroopa Komisjon ja Euroopa Nõukogu. Brittide teada-tuntud hea huumorisoone tõttu oli ründeprojekti nimetuseks „Operation Socialist.”
Turvalise interneti teine alustala on krüptograafia, mis kaitseb meie kõigi sõnumisaladust ja ka pangasaladust internetis. Meie endi uhkuseallikas ID-kaart on võimas krüptovahend ja kaitseb meid internetis. Hiljutised Snowdeni tehtud paljastused aga näitavad, et USA signaalluure agentuur NSA on sihikindlalt igasuguseid krüptostandardeid ussitanud, eesmärgiga jätta enda jaoks sinna tagauks.
Lukumeistrid ja muukijad
Näiteks äsja teatas USA suurfirma nimega RSA, kelle krüptovahendeid kasutatakse üle maailma kõrgel saladustasemel oleva info kaitsmiseks, et üheks nende toodete aluseks olev algoritm nimega Dual_EC_RNG ei ole nende teada enam turvaline. Algoritmi autoriks olid NSA krüptosepad ja RSA teadaanne järgnes Snowdeni leketele, mis selle algoritmi kahtluse alla panid.
Krüptosüsteemidesse ja -algoritmidesse tagauste ehitamine on Snowdeni lekete järgi olnud NSA strateegia juba mõnda aega. Jah, see annab NSA-le küll mõninga eelise teiste riikide järel luuramiseks, aga niimoodi kogu maailma küberturbe nõrgestamine annab samal ajal eelise ka teiste riikide luurajatele. Ega nemadki maga, vaid jälgivad hoolega, mida USA kolleegid teevad. Piltlikult öeldes: kui ameeriklane soetab omale võimsa puuri ja puurib naabrite koduseintesse igale poole augud, et vaadata, kas seal terroriste leidub, siis venelane ei hakka ehituspoodi minemagi, vaid sörgib lihtsalt ameeriklase järel, et samadest aukudest sisse vaadata, nüüd siis juba oma huvides.
Väljamõeldud maailma immuunsus on nõrk
Küberjulgeoleku küsimusi ei saa vaadata kui traditsioonilise sõjatehnika edasiarengut tänapäeva maailma. Ei saa samuti vaadata seda kui tavalist luuretemaatikat – et las poisid luuravad, peaasi, et vahele ei jää. Kübervõidurelvastumine tänapäeva internetist läbi imbunud maailmas meenutab rohkem bioloogiliste relvade temaatikat. On ju ka terminoloogia sarnane. Igapäevaselt räägime arvutiviirustest, mis pärast lahtilaskmist elavad oma elu, mitte kübermürskudest. Räägime organismide puhul geneetilisest koodist ja arvutiviiruste puhul lähtekoodist, mida on tuhat korda odavam ja lihtsam kopeerida kui DNA-d.
Tänapäeva luurajad üle kogu maailma jätavad lappimata olulised turvaaugud, saboteerivad vaba tarkvara, ehitavad tagauksi infosüsteemidesse ning nõrgendavad krüptoalgoritme, et oleks lihtsam huvitavatesse kohtadesse sisse murda. Kõike seda tehes on neist saanud maailma üks suurimaid julgeolekuriske. Nende selja taga kiidavad takka seaduseloojad ja kohtunikud, kel pole vähimatki aimu, kuidas kübermaailm toimib, ega saa aru, kuidas nad saevad oksa, millel maailma majandus istub.
Allikad
http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510
http://rt.com/usa/nsa-weak-cryptography-rsa-110