Geopolityka
MON zamówiło cyberbroń za 6,6 mln zł
MON wspólnie z Narodowym Centrum Badań i Rozwoju (NCBiR) szuka firmy która stworzy cyberbroń - wirusy i urządzenia do walki cybernetycznej. Projekt dotyczy zarówno ataku na sieci teleinformatyczne przeciwnika, jak i obrony polskiej infrastruktury przed atakami. Informacje na ten temat uzyskał portal niebezpiecznik.pl z ogólnie dostępnych dokumentów NCBiR.
Jeden z czytelników portalu zwrócił uwagę na projekt stworzony przez MON i NCBiR, pod tytułem: “Oprogramowanie i sprzęt elektroniczny do prowadzenia walki informacyjnej”.
Jego celem jest stworzenie urządzeń oraz oprogramowania, służących zarówno do tworzenia w tajemnicy jak i obrony własnych sieci przed tworzeniem tak zwanych "botnetów".
Są to sieci komputerów zainfekowanych i kontrolowanych przez zewnętrznego operatora. Zwykle w utajnieniu przed użytkownikiem. Komputery te można wykorzystać do ataku na sieci, serwery czy inne struktury teleinformatyczne.
Projekt zakłada, że wirus nie będzie tylko tworzyć botnetów, ale też umożliwi ochronę własnej sieci i neutralizację lub przejmowanie wrogich botnetów.
MON zdecydował się prawdopodobnie na zwrócenie do komercyjnych twórców, gdy odpowiedniego oprogramowania nie dało się stworzyć siłami naukowych ośrodków wojskowych i akademickich. Wartość kontraktu, rozpisanego na 3 lata, to 6,6 mln złotych. Zakłada on stworzenie oprogramowania i urządzeń, jak też dokumentacji umożliwiającej ich zastosowanie oraz produkcję.
Co ciekawe, projekt pierwotnie znajdujący się w całkowicie jawnym wykazie działań naukowo-badawczych NCBiR, w trybie prac nie znalazł się wśród projektów zaakceptowanych, odrzuconych czy też wśród wniosków nierekomendowanych do finansowania.
Ponieważ NCBiR informuje że obecnie są rozpatrywane oferty, należy przypuszczać, że projekt jest obecnie procedowany w trybie niejawnym. Trudno natomiast odpowiedzieć na pytanie, dlaczego działania te od początku nie były objęte większą ochroną informacyjną.
Sam fakt zamówienia, czy też chęci posiadania tego typu oprogramowania nie powinien dziwić w dobie rosnących możliwości ofensywnych i defensywnych sieci teleinformatycznych. Jest to też element wzmacniania cyberbezpieczeństwa Polski i współpracy naszego kraju w ramach NATO Cooperative Cyber Defence Centre of Excellence oraz European Defence Agency Computer Security Incident Response Team.
Artwi
Na takie coś nie powinno być żadnych przetargów! Powinien być zatrudniony stały rządowy zespół specjalistów (programistów, a nie biurw, srajd bez dyplomów jak w gabinecie Tuska) który STALE się czymś takim zajmuje, a pod pojęciem zajmuje rozumiem własnoręczne tworzenie a nie "zarządzanie" zleceniami dla firm kolesi z PO (nie mówiąc o np. firmach typu Sapiens Polska, założonych przez brata Kuronia i dyrektorów Mossadu, która komputeryzowała kancelarię senatu, NBP, KRUS itp!!!). Przetarg to głupota z zupełnie innych przyczyn niż tu podnoszą krytykujący - na cholerę utajniać, że polska armia coś takiego chce stworzyć? No chyba że chodzi o ukrycie wstydu, że jeszcze czegoś takiego nie ma... To że armie coś takiego chcą stworzyć, to oczywistość i nie ma co tego ukrywać. Natomiast forma przetargu do tego nie pasuje, bo jest to postępowanie zamknięte w czasie. Wyobraźmy sobie że jakaś firma przetarg wygrywa, wydajemy kasę na takiego wirusa i... np. po 3 miesiącach Microsoft wypuszcza poprawkę, która likwiduje lukę przez niego wykorzystywaną... Albo społeczność Open Source odkrywa, że jakiś klucz kryptograficzny jest używany przez specsłużby i go usuwa, z podaniem dlaczego, ze swojego zbioru certyfikatów głównych. Nad takim oprogramowaniem trzeba pracować stale (i nie przez normalne firmy, bo np. tu w grę wchodzi np. zakup "luk dnia zerowego" od przestępców na czarnym rynku, a to dla normalnych firm jest nielegalne), a nie poprzez przetargi, bo soft się może zdezaktualizować nim komisja otworzy koperty i pieniądze podatników pójdą w błoto!
haha
A komu to Rosja jest winna pieniądze, których nie może oddać?
ito
Oczywiście zamawiający zdaje sobie sprawę, że w ten sprytny sposób zdaje się całkowicie i bez reszty na łaskę wykonawcy oraz jego pracowników? Między innymi dlatego, żeby takiej sytuacji uniknąć stworzono wojskowe/państwowe instytucje badawcze o specjalnym statusie.
0x7f800000
Zalozmy (polskie warunki powoduja, ze zawsze dopatruje sie kolejnego dna ;-)), ze faktycznie celem projektu jest stworzenie funkcjonalnego softu. Tego rodzaju oprogramowanie nigdy nie powinno powstawac poza zamknietymi laboratoriami nalezacymi do odpowiednich sluzb. Po pierwsze - rodzimy rynek IT nie posiada za bardzo mozliwosci stworzenia tego typu oprogramowania. U nas niemal wiekszosc tworzonego oprogramowania sa to aplikacje typowo bazodanowe tworzone przez ludzi zmanierowanych wykorzystywanymi technologiami (java, .net itp.). Niestety ale kilka lat tworzenia tego typu aplikacji sprawia, ze programista niesamowicie traci na uniwersalnosci, jak to sie mowi - organ nieuzywany ulega atrofii. Stworzenie wirusa wymaga po pierwsze ludzi potrafiacych myslec w sposob daleko odbiegajacy od standardowego, a po drugie bardzo obeznanych z technologia na niskim poziomie, co w Polsce niestety, ale nie jest zbyt czeste, poniewaz najzwyczajniej nie jest zupelnie w wiekszosci przypadkow potrzebne. Takiego softu sie komercyjnie praktycznie nie pisze, a zbudowanie zespolu, ktory bylby w stanie to udzwignac jest bardziej niz trudne, zwlaszcza w czasach, gdy kolejne pokolenia programistow wskazniki traktuja niczym dawno wymarle mityczne zwierze. Owszem istnieje u nas kilka firm oferujacych oprogramowanie pozwalajace na ,,szpiegowanie" dziecka przy komputerze badz pracownika, ale wszystkie te rozwiazania sa bardziej niz dalekie od stworzenia czegokolwiek pokroju stuxneta. Owszem po kilku latach ten produkt jakos powstanie, ale firma bedzie musiala sie prawie na pewno nauczyc pisac takie oprogramowanie niemal od zera, dlaczego nie mialyby tego zrobic o wiele lepiej sie do tego nadajace ogolnie pojete sluzby? Druga rzecz - komercyjne firmy nie posiadaja czegos takiego jak polityka bezpieczenstwa - wyniesienie kodu przez pracownika nie jest niczym dziwnym/trudnym ani niemozliwym. Mysle, ze nawet nie ma potrzeby mowic o skutkach jakie by to odnioslo, zaczynajac od przejecia posiadanych botnetow, przez podsylanie spreparowanych danych (jezeli wirus ma za zadanie zbierac dane), a konczac na zablkowaniu wlasnej infrastruktury. Dalej, stworzenie softu to pierwsza rzecz, druga to jego utrzymanie, firma tez bedzie sie tym zajmowala? (moze od razu z przetargu? ;-)) Sluzby/wojsko potrzebuja ludzi, ktorzy beda w stanie zrobic to samemu, od razu gdy zajdzie taka potrzeba, aby moc rzeczywiscie reagowac. Nie bez powodu zagraniczne sluzby tworza taki soft samemu, we wlasnym zakresie, czego przykladem moga byc niedawne oferty pracy publikowane o ile dobrze pamietam przez niemiecki wywiad. Co by sie juz bardziej nie rozpisywac - stworzenie takiego oprogramowania w dzisiejszych czasach jest wiecej niz koniecznoscia, ale jednoczesnie nie mozna tego zrobic ot tak sobie, gdyz nie jest to kryptografia, gdzie obowiazuje zasada Kerckhoffsa.
mw
"Takiego softu sie komercyjnie praktycznie nie pisze" - jasne, że się pisze tylko nikt tego w TV nie reklamuje. W Polsce nie brakuje ludzi, którzy są w stanie to zrobić. Szkoda, że nikt ze służb nie pofatygował się z tym zamówieniem na Wydział Cybrenetyki WAT.
tk
Zapewne są ... ale to powinien być zespół bezpośrednio podlegający pod służby z ochroną kontrwywiadowczą ...oprogramowanie pisane komercyjnie jest wykorzystywane przez NATO, ale trochę do innych celów ... świetnym przykładem jest Netcool obecnie chyba IBM do pełnego monitorowanie infrastruktury na wszystkich poziomach ... ale też jest customizo'wany w odmienny sposób niż ten np. wykorzystywany do ochrony infrastruktury w instytucjach finansowych, ale to powinna/jest dziedzina dla specjalizowanych zespołów nie dla komercyjnych rozwiązań.
inf
Ujawnienie projektu to totalna amatorka. Ale pokazująca coś jeszcze innego. O to okazuje się, że wojsko nie posiada zupełnie podstawowych możliwości w dziedzinie cyber war. To skandal ! Armia rocznie nie wydaje bo nie potrafi lub nie chce mld zł, a nie ma pieniędzy na grupę 100 wysoko kwalifikowanych specjalistów. Teraz kto zrobi wirusa firma z USA czy z Izraela? Ten wirus będzie pod kontrolą NSA czy Ammanu w dodatku za nasze pieniądze. Skąd bierze się ta głupota? A może to nie głupota tylko celowy sabotaż?
inf
Ujawnienie projektu to totalna amatorka. Ale pokazująca coś jeszcze innego. O to okazuje się, że wojsko nie posiada zupełnie podstawowych możliwości w dziedzinie cyber war. To skandal ! Armia rocznie nie wydaje bo nie potrafi lub nie chce mld zł, a nie ma pieniędzy na grupę 100 wysoko kwalifikowanych specjalistów. Teraz kto zrobi wirusa firma z USA czy z Izraela? Ten wirus będzie pod kontrolą NSA czy Ammanu w dodatku za nasze pieniądze. Skąd bierze się ta głupota? A może to nie głupota tylko celowy sabotaż?
Ekspert
Problem w tym, że kompetnetne kadry są poza systemem (bezrobotne?). Stąd jedynym sposobem szybkiej naprawy systemu stają się sieci socjalne. Bardzo dobrze, że MON chce uruchomić produkcję botnetów bo przynajmniej dowiedzą się jak się przed nimi bronić. To .dobra koncepcja tylko, że spotka się z masowym atakiem. próby kręgosłupa. A jeśli ironizować o zdolnościach komunikacyjnych to proponuję dać ogłoszenie do GW;-)))
Czytelnik
Takich właśnie mamy kompetentnych urzędników, którzy nie potrafią odróżnić progamu tajnego od jawnego. Słusznie, że ktoś podjął decyzję o stworzeniu i zakupie takiego oprogramowania, ale o tym powinna być zupełna cisza, a nie ogólnie dostępne informacje. Jeśli z góry ogłosimy jak ma działać nasz wirus, to ktoś z góry przygotuje antidotum. Głupota i nieznajomość rzeczy, ale skoro takie "amatorskie" SKW publikuje w BIP szczegółowe dane o zamówieniach dla infrastruktury informatycznej, to czego się spodziewać bo urzędnikach.