Krytyka za nierzetelny raport

| Bezpieczenstwo IT

W ubiegłym tygodniu New York Times opublikował raport dotyczący cyberataków prowadzonych przez Iran przeciwko USA. Raport odbił się szerokim echem wśród ekspertów zajmujących się bezpieczeństwem. Teraz jego autorzy są oskarżani o wyolbrzymianie zagrożenia w celu osiągnięcia korzyści osobistych.

Raport, autorstwa znanej firmy Norse oraz konserwatywnego think-tanku American Enterprise Institute, został opublikowany w czasie, gdy stosunki irańsko-amerykańskie trafiły na czołówki gazet i trwały przygotowania do największej na świecie komercyjnej konferencji na temat cyberbezpieczeństwa. Jego autorzy twierdzili, że w ubiegłym roku Iran przeprowadził setki tysięcy ataków na amerykańskie systemy kontroli przemysłowej. Ich liczba miała wzrosnąć o 128%. Czytając takie doniesienia można było odnieść wrażenie, że Teheran rozpoczął cyberwojnę przeciwko Waszyngtonowi.

Krytycy raportu mówią, że był on niedokładny, motywowany politycznie i chodziło w nim o trafienie na czołówki światowych gazet. Martwi mnie to, że w przemyśle bezpieczeństwa IT istnieje duża potrzeba trafienia na czołówki, mówi Robert Lee z US Air Force, który zajmuje się tam cyberwojną. Lee jest współzałożycielem firmy Dragos Security i jednym z trzech autorów, którzy napisali artykuł krytykujący wspomniany raport. Gdy o firmie piszą agencje informacyjne, w prasie ukazują się artykuły pisane przez jej szefów itp. to wszystko jest dobre dla biznesu. Poza tym inwestorzy lubią, gdy media wspominają o ich przedsiębiorstwach. Fundusze inwestycyjne wywierają nacisk na firmy, by trafiały na czołówki gazet tak często jak to tylko możliwe. Dzięki temu zyskują przewagę nad nieruchawymi, znacznie większymi przedsiębiorstwami - mówi Lee.

Krytycy raportu zwracają uwagę, że – aby osiągnąć założone cele – jego autorzy przedefiniowali niektóre pojęcia. Na przykład skanowanie sieci czy wymianę informacji mających na celu ustalenie parametrów połączenia (handshake) uznano za „zaawansowane ataki”. Jeśli je byśmy za takie uznali, to – jak zauważa Lee – każdy z nas codziennie wielokrotnie atakuje Google'a korzystając z wyszukiwarki. Samo skanowanie sieci też trudno uznać za zaawansowaną technikę. W sieci istnieją narzędzia, jak np. Masscan, pozwalające na szybkie przeskanowanie olbrzymich przestrzeni internetu. Jakby tego było mało – w rzeczywistości nie doszło do żadnych ataków na systemy kontroli przemysłowej. Nawet samo przypisywanie takich działań Iranowi jest nadużyciem. Sami autorzy krytykowanego raportu przyznają, że opieranie się na numerze IP w celu określenia źródła ataku jest bardzo zwodnicze. Adresy IP można łatwo podrobić, więc nie są one dobrą wskazówką.

Zdaniem Lee największym przewinieniem autorów raportu jest odejście od uznanych standardów akademickich. Stwierdzenie, że 'używamy nietradycyjnych terminów' to nic innego jak stwierdzenie, że nie mamy racji. Nie mogę wypowiadać się na temat intencji Norse, jednak moim zdaniem chodziło tutaj wyłącznie o marketing. Trudno jest sprzedać stwierdzenie 'nasze nirejestrowane adresy IP odkryły przypadki skanowania sieci, które można w pożyteczny sposób połączyć z innymi danymi'. Za to łatwo sprzedać stwierdzenie 'nasza platforma odkryła cyberatak'. Tylko, że to bardzo mylące - mówi Lee.

Eksperci krytykują też konkretne stwierdzenia raportu. Na przykład jego autorzy uważają, że przeprowadzony z irańskiego IP atak na Telvnet, firmę produkującą oprogramowanie dla przemysłu energetycznego, to próba zdobycia przyczółków do ataku na amerykańską infrastrukturę. Krytycy mówią jednak, że przypisywanie tego ataku Iranowi to czysta spekulacja. Żaden rząd nie jest na tyle głupi, by prowadzić cyberataki, których źródło w oczywisty sposób wskazuje na ten rząd. Ten rodzaj głupoty istnieje tylko w umysłach specjalistów ds. IT, którzy mają swój interes – najczęściej ekonomiczny – w obwinianiu konkretnego państwa o atak - stwierdza Jeffery Car z firmy Taia Global.

Krytyka jest tym bardziej uzasadniona, że wiele firm zauważyło wręcz przeciwne zjawisko – mniej cyberataków prowadzonych przez Iran przeciwko USA. Zdaniem niektórych ich liczba spadała tak bardzo, że są niemal niezauważalne.

Motywacje firmy Norse mogą być więc finansowe. Z kolei AEI może być motywowane ideologicznie. To bardzo konserwatywny think-tank, a raport może posłużyć jako kolejny argument przeciwko poprawieniu stosunków pomiędzy USA a Iranem. Jasno widać tutaj celowe działanie. Mamy prywatną firmę, która jest naciskana, by wyniki jej pracy były pokazywane ludziom i by wyglądały interesująco np. na potrzeby marketingu. I mamy think-tank o bardzo określonym profilu politycznym. Współpracują one ze sobą w celu stworzenia wprowadzającego w błąd raportu, który ma bardzo negatywny wydźwięk - mówi

bezpieczeństwo raport Iran USA cyberatak