Jak myślisz, o czym tak naprawdę jest bajka pt. „Królowa śniegu” autorstwa duńskiego specjalisty od cyberbezpieczeństwa, Hansa Christiana Andersena? O dzielnej dziewczynie, która pokonuje uosobienie zimy i śmierci, aby uratować ukochanego przyjaciela?
Według mnie jest to dość szczegółowy opis dochodzenia przeprowadzanego przez eksperta ds. bezpieczeństwa informacji, Gerdę, która analizowała sposób, w jaki Kaj został zainfekowany paskudnym i wyrafinowanym złośliwym programem. Bajka ta jest napisana w postaci siedmiu historii, które stanowią wyraźnie odzwierciedlenie etapów dochodzenia.
Historia nr 1. Lustro i jego kawałki
Jeśli czytujesz nasz blog ekspercki Securelist.com (lub jakiekolwiek inne dobrze przeprowadzone badania z dziedziny bezpieczeństwa informacji), prawdopodobnie wiesz, że raporty z badań często zaczynają się od analizy historii incydentu. U Andersena nie jest inaczej: jego pierwsza historia opisuje początek sprawy, która dotknęła Kaja.
Dawno, dawno temu (według danych Andersena) ktoś stworzył magiczne lustro, które mogło zmniejszać dobre i piękne cechy ludzi i powiększać ich złe i brzydkie strony. Potłukli go jego uczniowie — zwierciadło rozpadło się na miliardy fragmentów, które przeniknęły do oczu i serc ludzi, ale zachowały właściwości polegające na zniekształcaniu rzeczywistości. Niektórzy ludzie wstawili te fragmenty jako swoje okna, przez co mieli wypaczony obraz świata. Inni użyli ich jako soczewek do swoich okularów.
Z bajki pt. „Królewna Śnieżka” wiemy, że gawędziarze często używali luster jako metafory ekranów w szerokim znaczeniu: telewizorów, komputerów, tabletów, telefonów.
Tak więc alegorie Andersena można odczytać w następujący sposób: potężny haker stworzył system z wbudowaną przeglądarką, która zniekształcała strony internetowe. Następnie jego uczniowie użyli fragmentów kodu źródłowego, aby zainfekować ogromną liczbę urządzeń z systemem Microsoft Windows, a nawet okularów do rzeczywistości rozszerzonej.
Tak naprawdę zjawisko to nie było wcale takie rzadkie. Jako przykład może służyć wyciek exploita EternalBlue, który doprowadził to do pandemii WannaCry i NotPetya, a także kilku innych, mniej niszczycielskich epidemii ransomware. Powróćmy jednak do naszej bajki.
Historia nr 2. Mały chłopiec i mała dziewczynka
W drugiej historii Andersen przechodzi do bardziej szczegółowego opisu jednej z ofiar i początkowego wektora infekcji. Według dostępnych danych Kaj i Gerda komunikowali się za pośrednictwem sąsiednich okien na poddaszu (komunikacja oparta na systemie Windows!). Pewnej zimy Kaj zobaczył przez okno dziwną, piękną kobietę owiniętą białym tiulem. Było to pierwsze spotkanie Kaja z hakerem (nazywanym później „Królową Śniegu”).
Chwilę później Kaj poczuł przeszywające uczucie w sercu i ukłucie w swoich oczach. W ten sposób Andersen opisuje moment infekcji. Gdy złośliwy kod wszedł do jego serca (jądro OS) i oka (urządzenie wejściowe danych), reakcja Kaja na bodźce zewnętrzne radykalnie się zmieniła, a wszystkie odbierane informacje wydawały się zniekształcone.
Jakiś czas później Kaj opuścił dom, przywiązując swoje sanie do sań Królowej Śniegu. Ufając jej z jakiegoś powodu, Kaj powiedział kobiecie, że potrafi obliczać w pamięci, nawet ułamki, a także że zna wielkość i populację każdego kraju. Wydawałoby się, że są to drobne i nieprzydatne szczegóły, ale jak zobaczymy później, właśnie tym napastnik był zainteresowany.
Historia nr 3. Kwiatowy ogród kobiety mającej magiczne umiejętności
Gerda rozpoczęła własne śledztwo i wpadła na kobietę, która z jakiegoś powodu utrudniała jej dochodzenie. Nas najbardziej interesuje moment, w którym czarodziejka czesała loki Gerdy, powodując, że ta zapomniała o Kaju.
Innymi słowy, kobieta w jakiś sposób uszkodziła dane związane z dochodzeniem. Warto zauważyć, że wybrana przez nią cyberbroń, czyli grzebień, jest już nam znana. W raporcie braci Grimm o incydencie związanym z Królewną Śnieżką macocha użyła podobnego narzędzia, aby zablokować swoją ofiarę. Przypadek? A może incydenty te są ze sobą powiązane?
W każdym razie, podobnie jak w przypadku Królewny Śnieżki, blok indukowany przy użyciu grzebienia nie był trwały – dane zostały przywrócone, a Gerda kontynuowała dochodzenie.
Pod koniec trzeciej części raportu Gerda zapytała kwiaty w ogrodzie czarownicy, czy widziały Kaja. Jest to najprawdopodobniej odniesienie do starego komunikatora ICQ, który w logo miał kwiat (również jako wskaźnik stanu użytkownika). Komunikując się z czarownicą, Gerda próbowała uzyskać dodatkowe informacje o incydencie za pomocą swoich kontaktów.
Historia nr 4. Książę i księżniczka
Czwarty etap dochodzenia wydaje się całkowicie nieistotny. Gerda próbowała uruchomić Kaja za pośrednictwem rządowej bazy danych. W tym celu poznała kilka kruków, które dały jej dostęp do budynku rządowego (pałacu królewskiego).
Mimo że nie przyniosło to żadnych rezultatów, Gerda sumiennie poinformowała rząd o podatności i niepewnych krukach. Książę i księżniczka załatali lukę, mówiąc krukom, że nie są na nie źli, ale nie mogą tak postępować. Nie ukarali ptaków, ale zwyczajnie poprosili ich o zmianę zachowania.
W nagrodę książę i księżniczka zapewnili Gerdzie zasoby (karocę, ciepłe ubranie, służących). Jest to świetny przykład tego, jak organizacja powinna zareagować, gdy naukowcy zgłaszają lukę — miejmy nadzieję, że nagroda nie była jednorazowa, ale przekształciła się w program nagród za zgłoszenie wykrytych błędów.
Historia nr 5. Mała złodziejka
W tej historii Gerda wpadła w ręce bandytów. Andersen używa innej alegorii; po znalezieniu się w ślepym zaułku na poprzednim etapie dochodzenia Gerda została zmuszona do zwrócenia się o pomoc sił, które, powiedzmy, nie do końca przestrzegały prawa.
Cyberprzestępcy skontaktowali Gerdę z informatorami w postaci gołębi, którzy dokładnie wiedzieli, kto odpowiadał za incydent z Kajem, jak również z reniferem posiadającym adresy przydatnych kontaktów z podziemia. Pomoc nie była tania: dziewczyna straciła większość zasobów zdobytych w poprzedniej historii.
Aby nie podważać integralności młodej badaczki, Andersen próbuje opisać jej kontakty z przestępcami jako nieuniknione — najpierw ją okradli, a dopiero potem, z litości nad swoją ofiarą, udzielili informacji. To nie brzmi zbyt przekonująco; bardziej prawdopodobne jest, że było to porozumienie korzystne dla obu stron.
Historia nr 6. Kobieta z Laponii i kobieta z Finlandii
Nadszedł ostatni etap zbierania informacji potrzebnych do śledztwa przy użyciu kontaktów z podziemia uzyskanych od bandytów. Renifery poznały Gerdę z pewną kobietą z Laponii, która napisała na suszonym dorszu list polecający do następnego informatora, pewnej fińskiej kobiety.
Ta z kolei podała adres „Ogrodu Królowej Śniegu” — oczywiście chodziło o nazwę serwera dowodzenia i kontroli. Tu pojawia się pozytywny akcent: po przeczytaniu wiadomości kobieta wrzuciła dorsza do talerza z zupą. Znała ona praktyczne znaczenie zacierania po sobie śladów, więc uważnie przestrzegała zasad bezpieczeństwa operacji. Po tym można poznać doświadczonego zawodowca.
Historia nr 7. Co stało się w pałacu Królowej Śniegu i co z tego wyniknęło
Siódma historia w końcu wyjaśnia, dlaczego Królowa Śniegu potrzebowała Kaja. Próbował on z odłamków lodu ułożyć słowo „wieczność”. Chociaż brzmi to niedorzecznie, z tego posta dowiesz się, o co chodzi w generowaniu kryptowalut. Zasadniczo osoby takie zmieniają rozmieszczenia bloku informacji, aby uzyskać nie tylko jakiś skrót, ale by był on jak najładniejszy.
Oznacza to, że Kaj starał się zorganizować informacje tak, aby uzyskać skrót słowa „wieczność”. Teraz już wiadomo, dlaczego w drugiej historii Andersen skupił się na mocy obliczeniowej Kaja. O to właśnie chodziło Królowej Śniegu; Kaj został zainfekowany wyłącznie do celów generowania kryptowalut. Wyjaśnia to również obsesję Królowej Śniegu na punkcie wszystkiego, co jest na północ i jest zimne: taka farma wydobywcza wymaga sporego chłodzenia.
Następnie Gerda stopiła lodowe serce Kaja swoimi łzami (tj. usunęła złośliwy kod za pomocą różnych narzędzi i odzyskała kontrolę nad jądrem systemu). Kaj rozpłakał się, co oznacza, że aktywował wbudowany program antywirusowy (wcześniej zablokowany przez zainfekowany moduł w jądrze) i usunął z oka drugi kawałek złośliwego kodu.
Zakończenie raportu jest raczej dziwne jak na dzisiejsze standardy. Zamiast udzielać wskazówek potencjalnym ofiarom, informować o wskaźnikach włamania do systemu i podawać inne przydatne ciekawostki, Andersen opisuje podróż bohaterów z powrotem do domu. Być może w XIX wieku właśnie takie zakończenie miały raporty z bezpieczeństwa informacji.
Pisarze baśni są w rzeczywistości najstarszymi ekspertami w dziedzinie cyberbezpieczeństwa w branży. Przypadek Królowej Śniegu tylko utwierdza nas w tym przekonaniu. Jak widać, opowieść ta jest szczegółową relacją z dochodzenia w sprawie skomplikowanego incydentu. Zachęcamy również do zapoznania się z naszą analizą innych popularnych bajek: