Dla pieniędzy, dla zemsty lub dla zabawy. Do cyberataku każdy powód jest dobry. A po włamaniach do systemów koncernu Sony może się rozpocząć prawdziwa fala hakerskich uderzeń na firmy
My jesteśmy Anonymous. My jesteśmy Legionem. My nie wybaczamy. My nie zapominamy. Spodziewajcie się nas”. W ten sposób hakerska grupa Anonymus poinformowała o wypowiedzeniu wojny korporacji Sony. Zhakowanie 77 mln kont użytkowników konsoli do gier PS3 zszokowało świat. Jeszcze bardziej zaskoczył atak, do którego firma przyznał się w tym tygodniu – wykradziono dane kolejnych 25 mln klientów, przede wszystkim graczy online.
Szokująca jest nie tylko skala ataku, ale to, że żadna korporacja, której klienci powierzają takie dane jak choćby numery kart kredytowych, nie może czuć się bezpieczna. – Nie tylko banki i instytucje finansowe znalazły się na celowniku cyberprzestępców. One zresztą wiedzą, jak ważne jest dbanie o bezpieczeństwo – powiedział „DGP” Łukasz Witczyński, szef specjalizującej się w dbaniu o wizerunki firm technologicznych agencji Planet PR. – Teraz podobne zabezpieczenia muszą wdrożyć wszystkie przedsiębiorstwa, którym klienci powierzają dane wrażliwe oraz pieniądze. Czyli tak naprawdę większość dużych firm – dodaje.

Wielkie polowanie

Ledwie Sony zdołało trochę ugłaskać graczy, rozesłało przeprosiny (niedbale napisane i przetłumaczone przez komputerowy automat) i obiecało poszkodowanym bonusy, ujawniono kolejny atak – tym razem na graczy online. Wiadomo jedynie, że nastąpił jeszcze przed wyłączeniem sieci PSN, choć po zhakowaniu 77 mln kont Sony twierdziło, że dane klientów działu Online Entertainment są bezpieczne. Nie były. Popularne gry sieciowe Sony zostały wyłączone. Firma obiecała, że wynagrodzi użytkownikom straty, ale wątpliwe, by dało się tym załatać PR-ową katastrofę.
Przy okazji problemów Sony świat przypomniał sobie o tym, że cyberataki to już nie science fiction. Mniejsze i większe zdarzają się niemal codziennie. Ledwie trzy tygodnie temu zhakowano amerykańską spółkę Epsilon zajmującą się marketingiem internetowym. Nadal trwa wyjaśnienie, jak wrażliwe dane skradziono. Pod koniec 2010 roku firma Gawker Media, właściciel takich portali jak Gizmodo i Lifehacker, padła ofiarą cyberprzestępców. Hakerzy zyskali wgląd do adresów e-mail, haseł dostępu i danych osobowych zarejestrowanych użytkowników. W ten sposób przejęli dane niezbędne do zalogowania się do serwisów blogowych przeszło 1,3 miliona użytkowników. Na domiar złego owe dane zostały opublikowane i udostępnione milionom internautów z całego świata.
W 2007 roku cyberprzestępcy złamali zabezpieczenia sieci sklepów TJ Maxx i ukradli dane 45 mln klientów i ich kart kredytowych. Tą grupą kierował Albert Gonzales, który jeszcze bardziej spektakularnego ataku dokonał w 2009 roku – włamał się wówczas do systemów Heartland Payment Systems i skopiował dane 130 mln kart kredytowych. Choć w obu przypadkach udało się ochronić pieniądze klientów, włamania kosztowały obie korporacje nie tylko skazę na wizerunku, ale także ogromne kwoty wydane na ugłaskanie potencjalnych poszkodowanych. TJ Maxx wydał 20 mln dol. na prawników i informatyków, a w HPS w ramach ugód z właścicielami kart ponad 40 mln dol.
Ile będzie kosztował Sony zatarg z hakerami, jeszcze nie wiadomo, ale eksperci już teraz szacują, iż mogą to być o wiele większe sumy. Koncernowi grozi pozew zbiorowy. Amerykańscy i kanadyjscy prawnicy ostrzą sobie zęby na Sony i szukają potencjalnych klientów, w których imieniu mogliby wystąpić do sądu. Mówi się nawet o miliardzie dolarów odszkodowania.
Hemu Nigam, były szef działów bezpieczeństwa w MySpace i NewsCorp oraz szef zajmującej się bezpieczeństwem internetowym firmy SSP Blue, ostrzega w rozmowie z „DGP”, że atak na Sony może być początkiem wielkiego uderzenia hakerów. – Za każdym razem tak udana operacja uaktywnia naśladowców, którzy chcą udowodnić, że w łamaniu zabezpieczeń są równie dobrzy – mówi. – Pociąga też za sobą większe zainteresowanie zwykłych grup przestępczych internetem i zyskami, jakie można osiągnąć za jego pośrednictwem – dodaje.
A tu wyzwanie jest podwójne, bo wojnę Sony wypowiedzieli sławni Anonymus. Anonimowi – to coraz słynniejsza grupa haktywistów, czyli hakerów, którzy łamaniem komputerowych zabezpieczeń zajmują się nie dla zarobku, ale z powodów ideologicznych. Uważają się za obrońców wolności w sieci. Zrobiło się o nich głośno w grudniu ubiegłego roku, gdy zaatakowali szwajcarski bank Post-Finance, który odmówił obsługi portalu WikiLeaks, gdy ten upublicznił tajne amerykańskie noty dyplomatyczne. Wkrótce ściągnęli kłopoty na systemy MasterCard, Visa i PayPal, także w związku z bojkotem WikiLeaks. A po kilku dniach zaatakowali strony szwedzkiej prokuratury, gdy ta zażądała ekstradycji założyciela portalu Juliana Assange’a. Wprawdzie nie ma pewności, czy to na pewno oni odpowiadają za włamania do japońskiego koncernu z połowy kwietnia, ale samo podejrzenie wystarczy zafascynowanym nimi hakerom. – Gdybym kierował biznesem działającym w sieci, właśnie ogłaszałbym czerwony alarm i szykował się na potencjalne ataki – mówi Nigam.



Wszyscy są na celowniku

– Ogromna część e-ataków to działania zorganizowanych grup przestępczych, które kradnąc dane, zarabiają. Ale równolegle pojawiają się ataki odwetowe czy po prostu udowadniające możliwości hakerów – mówi Zbigniew Engiel z laboratorium śledczego Mediarecover i tłumaczy, że właśnie ta nieprzewidywalność jest największym zagrożeniem. – Ataków spodziewać się mogą w każdej chwili banki i instytucje finansowe i one przed nimi są najlepiej chronione – przyznaje Witczyński.
Gdy w marcu tego roku kilka polskich banków zostało zaatakowanych nową wersją wirusa Zeus, wszystkim udało się wyjść z zagrożenia obronną ręką. Nie tylko dały sobie radę technicznie, ale też sprawnie ostrzegały klientów przed zagrożeniem. Ale to były banki. Gdy w sierpniu ubiegłego roku przestępcy zaatakowali serwis społecznościowy dla miłośników filmów Filmweb, bez większych problemów udało im się wykraść bazę danych z 700 tys. użytkowników. Cyberprzestępcy dali się we znaki także portalowi Wykop, gdy w połowie 2009 roku wykradli dane ponad 100 tys. użytkowników. Trzy miesiące później pozyskali dane dostępowe użytkowników poczty Hotmail, Gmail, Yahoo oraz AOL, a w listopadzie nieznani sprawcy ukradli kilkadziesiąt tysięcy haseł oraz loginów należących do właścicieli kont na Allegro.pl, Naszej-Klasie.pl, Erze.pl, Kurniku.pl, Fotce.pl oraz Blox.pl.
– A o ogromnej liczbie udanych ataków opinia publiczna się nie dowiaduje, bo zaatakowane przedsiębiorstwa robią wszystko, byle to ukryć, by nie psuć sobie opinii – mówi Engiel. Coraz częściej korporacje nie są nawet atakowane, ale szantażowane przez hakerów. Engiel przypomina, że taki właśnie e-szantaż dotknął kilka lat temu polska firmę Home.pl. Rejestrator domen dostał e-mail o treści: „Znaleźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny (...). Koszt informacji szacujemy wstępnie na 200 tys. złotych, cena – oczywiście – podlega negocjacji”. Home.pl ujawniło próbę szantażu i poinformowało potencjalnie zagrożonych klientów. – Wiele korporacji jednak w obliczu takiego zagrożenia, widząc, jakie kłopoty ściągnęło na siebie Sony, może zdecydować się zapłacić – podsumowuje Engiel.
Policja również kupuje dane
Nie tylko cyberprzestępcom zależy na zdobywaniu informacji o internautach. I nie tylko numery kart kredytowych są wiele warte. Pod pręgierzem opinii publicznej znalazła się też holenderska firma TomTom, producent nawigacji samochodowych. Sprzedała krajowej policji dane dotyczące prędkości, z jaką na danej trasie jeżdżą kierowcy. Dzięki tej wiedzy zaczęła ona ustawiać radary w nowych miejscach. W internecie szybko zrobiło się głośno o sprawie, a wielu użytkowników nie kryje oburzenia takim udostępnianiem danych o zachowaniach klientów.