Nagrody za ujęcie przestępców w Stanach Zjednoczonych mają długą historię, a od orzeczenia Sądu Najwyższego w roku 1873 (Taylor vs. Taintor), łowcy nagród byli traktowani jako część wymiaru sprawiedliwości. W czasach współczesnych niektóre stany zmieniły swoje podejście do tej instytucji, choć wydaje się, że cyberprzestrzeń może dopisać jej zupełnie nowy rozdział.

10 milionów dolarów

4 listopada 2021 roku Departament Stanu Stanów Zjednoczonych ogłosił nagrodę 10 milionów dolarów dla wszystkich, którzy ujawnią informacje związane z atakiem na rurociąg Colonial Pipeline.

Rurociąg ten, mający swój początek w Houston w stanie Texas, dostarcza ropę i gaz do południowo-wschodnich stanów w USA. Atak, do którego doszło 7 maja tego roku nie dotyczył jego części przemysłowej. Zaatakowany został… system bilingowy. To jednak w połączeniu z faktem wcześniejszej kradzieży 100 Gb danych oraz obawą o możliwość penetracji kolejnych systemów, doprowadziło do podjęcia decyzji o zatrzymaniu pracy rurociągu i zapłaty okupu w wysokości 75 bitcoinów (około 4,4 mln dolarów). Od 12 maja zaczęto przywracać ruch rurociągu. Jeśli lepiej się przyjrzeć, można byłoby dojść do wniosku, że nie stało się nic specjalnie dramatycznego. Ale byłoby to mylne wrażenie.

W kolejce po benzynę

Od lat toczy się dyskusja, czy systemy przemysłowe, odpowiadające za dostawę prądu, wody czy paliwa bezpieczne. Odseparowanie systemów automatyki przemysłowej od systemów IT miało to bezpieczeństwo zapewniać. Tyle, że możliwość takiej separacji szybko okazała się iluzoryczna, a zabezpieczenia systemów przemysłowych jeszcze 10 lat temu nie stanowiły większego problemu dla hakera, mającego podstawowe umiejętności techniczne oraz łatwość do stosowania sztuczek socjotechnicznych.

Wszystkie te słabości wyszły na jaw w procesie odkrywania zagadki wirusa Stuxnet, pierwszego znanego oprogramowania, mającego służyć do rozgrywek międzypaństwowych, w tym przypadku ataku na irańską instalację wzbogacania uranu.
Przypadek Colonial Pipeline pokazał jednak, że atak nie musi być skierowany na instalację przemysłową. Wystarczy zaatakować jeden z krytycznych systemów przedsiębiorstwa przykładowo system bilingowy żeby doprowadzić do paniki na rynku, masowego wykupowania paliwa, a w rezultacie gwałtownego wzrostu jego ceny. By doprowadzić do wydania przez prezydenta USA dekretu stwierdzającego stan zagrożenia, celem umożliwienia zwiększenia transportu paliw drogą lądową.

O skali tego zjawiska najlepiej może świadczyć konieczność wydania przez Komisję ds. Bezpieczeństwa Produktów Konsumenckich (CPSC) zaleceń dotyczących nienalewania benzyny do plastikowych toreb czy innych pojemników, nieprzeznaczonych do przechowywania paliw. Nikt nie wydaje takich zaleceń, jeżeli niepokojące zjawiska nie przybierają masowej skali.

Po bitcoinach do celu

Szybka zapłata okupu w porozumieniu z FBI połączona została z próbą jego odzyskania. W czerwcu tego roku Departament Sprawiedliwości ogłosił, że odzyskał 63,7 bitcoinów o wartości 2,3 mln dolarów i to w historii zmagań z hakerami należy traktować jako niezwykle imponujące osiągnięcie. Atak przypisano grupie DarkSide działającej z Rosji, która nie przyznając się do samego ataku wydała oświadczenie, że jej celem nie jest wywoływanie chaosu, tylko zdobywanie pieniędzy. Jak wynika z danych firmy Elliptic, idzie im to zresztą nieźle przez rok zebrali około 90 mln dolarów.
To oświadczenie nikogo jednak chyba nie przekona. Można przeboleć kilka milionów dolarów, ale trudno pogodzić się z tym, że grupa rosyjskich hakerów była w stanie zmusić prezydenta Stanów Zjednoczonych do wprowadzenia stanu zagrożenia, a obywateli tego kraju do paniki. Świadczy o tym także wyznaczenie nagrody dwukrotnie wyższej od pobranego okupu.

Siła wyszukiwania

Podobnie jak wcześniej Amazon oraz Facebook, niektóre działania Google – zdaniem Komisji – pokazują na to, że firma ta – jak podkreślono w Raporcie – nie waha się promować własnych, gorszych usług, kosztem usług dostarczanych przez firmy konkurencyjne. Dlaczego przesuniecie w górę listy wyszukiwania ma znaczenie? Bo według niektórych badań pierwszy rezultat wyszukiwania osiąga „klikalność” na poziomie 32,5%, drugi na poziomie 17,6% a 7. na poziomie 3,5%. Komisja uznała, że istnieją dowody na to, iż algorytmy Google preferowały wewnętrzne serwisy firmy kosztem innych podmiotów. Celowi temu zdaniem Komisji służył także (przynajmniej w kilku sytuacjach opisanych w Raporcie) mechanizm karnego przesuwania stron innych podmiotów w dół rezultatów wyszukiwania z uwagi na „niską jakość tych stron”. Jedna z cytowanych w Raporcie firm, stwierdziła, że po takiej właśnie degradacji ruch na jej stronie – a co za tym idzie poziom przychodów – obniżył się o 85%. Komisję zastanowiło w szczególności to, że owa degradacja nie dotyczyła stron własnych firmy Google, które korzystały z dokładnie z tych samych treści, co te zamieszczone na stronach o „niskiej jakości”.

Przemyślenia Komisji w tej mierze wspiera do pewnego stopnia materiał opublikowany w Wall Street Journal w połowie 2020 roku, dotyczący preferencji dla treści umieszczanych w – należącym do Alphabet – serwisie YouTube. Zdaniem dziennikarzy WSJ, Google robił to, nie tylko z uwagi na chęć pokonania konkurencyjnych wobec YouTube serwisów, ale także z uwagi na chęć uzyskania lepszej ekspozycji YouTube w walce o pozyskanie treści medialnych, które ponownie stanowią języczek u wagi w starciu nowych, cyfrowych koncernów medialnych. Dziennikarze WSJ przeprowadzili serię testów, które wydawały się wskazywać na preferencyjne traktowanie serwisu YouTube, choć Google zakwestionował metodologię wykorzystana przy ich wykonaniu. Jak zauważyła Komisja, w trakcie przesłuchań przedstawiciele Google nie zaprezentowali jednak jakichkolwiek dowodów na to, że postawiona przez Komisję analiza – zbieżna z tezą WSJ – nie ma podstaw faktycznych. Warto dodać, że oskarżenie o preferowanie własnych produktów stało się także podstawą do nałożenia na firmę wspomnianej już wyżej kary KE z roku 2017.

Zdaniem Komisji opisane wyżej postępowanie firmy Google stanowi oczywiste zagrożenie dla innowacyjności (wniosek, który tylko pozornie wydaje się być absurdalny w odniesieniu do firmy, od której nazwy stworzono nowy czasownik „wyguglować coś”), otwartej formuły internetu, podniesienia kosztu wyszukiwania oraz … degradacji jakości wyszukiwania.

Najważniejsze wnioski

Z tej całej historii wynika kilka dość podstawowych wniosków, przy czym większość z nich nie jest specjalnie odkrywcza dla osób śledzących te zagadnienia.
Po pierwsze, żeby dokonać skutecznego ataku na infrastrukturę krytyczną, nie trzeba celować w systemy automatyki przemysłowej (warto pamiętać że wirus NotPetya, który spowodował straty przekraczające 10 mld dolarów, był przenoszony przez popularne oprogramowanie księgowe jednej z firm ukraińskich).
Po drugie, płatność okupu za pomocą kryptowalut znacznie utrudnia możliwość wyśledzenia sprawcy, ale przy zaangażowaniu odpowiednich specjalistów, stwarza możliwość odzyskania samego okupu.
Po trzecie, pomimo miliardów wydawanych przez Stany Zjednoczone na ochronę przed atakami w sieci, dobrze zorganizowana grupa hakerska, jest w stanie osiągnąć efekt, który w chwili obecnej zapewne jest dokładnie analizowany przez wszystkie państwa zaangażowane aktywnie w budowę swoich arsenałów hackerskich.
Sto pięćdziesiąt lat temu, łowcy nagród w USA byli odpowiedzią na niedomagania ówczesnego wymiaru sprawiedliwości. Niewykluczone, że ogłoszenie nagrody w wysokości 10 mln dolarów będzie pierwszym krokiem do przywrócenia tej instytucji w nowej cyfrowej rzeczywistości. Koniec końców, zamiana czarnego kapelusza na biały może okazać się bardzo korzystna… Przynajmniej od czasu do czasu.

Ireneusz Piecuch
Ireneusz Piecuch
ireneusz.piecuch@dgtl.law | zobacz inne wpisy tego autora