Siły zbrojne
„Strategiczne znaczenie” kodów źródłowych uzbrojenia. Polska doktryna cyberbezpieczeństwa
Polskie władze opracowały „Doktrynę Cyberbezpieczeństwa Rzeczypospolitej Polskiej”, wyznaczającą ramy dla zapewnienia funkcjonowania krajowych systemów działających w przestrzeni informatycznej. Dokument zakłada m.in. budowę zdolności do działań ofensywnych. Jako „strategiczne” określono znaczenie dostępu do kodów źródłowych sprzętu, pozyskiwanego za granicą.
Zgodnie z treścią dokumentu, opublikowanego przez Biuro Bezpieczeństwa Narodowego głównym celem strategicznym jest zapewnienie bezpiecznego funkcjonowania państwa w przestrzeni informatycznej. Cyberprzestrzeń została wyróżniona jako „dodatkowy” wymiar bezpieczeństwa kraju, obok lądu, wody, powietrza i Kosmosu.
Polska doktryna cyberbezpieczeństwa zakłada zarówno podejmowanie działań o charakterze prewencyjnym i defensywnym, jak i zwalczanie źródeł zagrożeń poprzez „aktywną obronę” i działania ofensywne. Autorzy zwrócili ponadto uwagę na konieczność odtwarzania strat po przeprowadzonych atakach.
Tworzony ponadresortowy system cyberbezpieczeństwa RP powinien obejmować zarówno komponenty kierowania, jak i operacyjne, zdolne do samodzielnego podejmowania działań o charakterze ofensywnym i defensywnym, a także prowadzenia operacji w układzie sojuszniczym. Doktryna zwraca uwagę, że szczególnie istotne zagrożenia dotyczą infrastruktury krytycznej państwa (w tym systemu obronnego), oraz podmiotów prywatnych z sektora finansowego, wysokich technologii, energetycznego, transportowego oraz zdrowia publicznego, a także dostawców usług teleinformatycznych.
W odniesieniu do ryzyk w obszarze cyberbezpieczeństwa przytoczono m.in. uregulowania dotyczące relacji pomiędzy podmiotami funkcjonującymi w przestrzeni informatycznej (np. wzajemnego informowania o zagrożeniach), a także zagadnienia związane z wykorzystaniem w systemie obronnym zaawansowanych elementów sprzętu wojskowego i uzbrojenia w sytuacji braku dostępu do kodów źródłowych.
Autorzy doktryny wspomnieli także m.in. o konieczności zapewnienia odpowiedniego poziomu finansowania, czy ryzyku związanym z możliwym sprzeciwem społeczeństwa w odniesieniu do regulacji, zapewniających służbom państwowym odpowiednie narzędzia do wykonywania skutecznych działań w przestrzeni informatycznej. Z drugiej strony zwrócono uwagę, że krajowy potencjał naukowo-techniczny pozwala na budowanie narodowych systemów z obszaru cyberbezpieczeństwa oraz kryptografii.
Zgodnie z treścią dokumentu działania w przestrzeni informatycznej stanowią dziś integralną część konfliktów zbrojnych „w ramach ich hybrydowego charakteru”. W zakresie zadań operacyjnych doktryna zakłada m.in. monitoring i rozpoznanie ryzyk, a także tworzenie i aktualizację planów działań w wypadku cyberataków skierowanych na elementy systemu kierowania państwa. Podkreśla się konieczność koordynacji wdrażanych środków ze strukturami międzynarodowymi, w tym Sojuszem Północnoatlantyckim i Unią Europejską. Autorzy za niezbędne uznali również opracowanie odpowiednich regulacji prawnych, zapewniających m.in. wsparcie prac badawczo-rozwojowych.
Polska doktryna cyberbezpieczeństwa zakłada także rozszerzenie współpracy pomiędzy sektorem publicznym a prywatnym. Zwraca uwagę na konieczność zbudowania zdolności Sił Zbrojnych do ochrony własnych systemów oraz podejmowania działań ofensywnych w przestrzeni informatycznej. Wojsko Polskie powinno mieć możliwość wykonywania operacji również w wypadku cyberwojny. Podkreśla się, że „strategiczne” znaczenie ma uzyskiwanie pełnej kontroli nad komponentami informatycznymi uzbrojenia i sprzętu wojskowego pozyskiwanymi od partnerów zagranicznych, co jest równoznaczne z koniecznością uzyskania dostępu do kodów źródłowych.
kez87
Zapłon w stosunku do opublikowania doktryny opóźniony, a co do kodów źródłowych - ha,racja,ale bez: 1.kompilatorów (oczywiście też z otwartym kodem) - bo jaką mamy pewność,że binarki to nasz kod i jak zamierzamy inaczej ten kod ZMIENIAĆ ? :D 2.odpowiednich dostatecznie licznych ludzi którzy będą sprawdzać kod (pamiętacie system wyborczy PKW ? Podobno ABW sprawdzało, ale dużo to nie dało...) 3.Nadzoru nad produkcją chipów (obecne trendy to atak na firmware tudzież całą resztę). Oczywiście też zgadzam się w całości z tym,co pisze x. W praktyce obawiam się,że kody źródłowe niby może (czasem !) będą - ale ich zgodności z tym co siedzi w elektronice nie tylko nikt nie będzie weryfikował - ba, nikt nawet NIE BĘDZIE W STANIE wyrywkowo tego zweryfikować. Pozorowane bezpieczeństwo - to należy zakładać.
lel
Ja się tylko do 2 punktu odniosę, ABW mogło sprawdzić gdzie i jak dane są wysyłane i na tym koniec. Cały problem z tym systemem był w nie sprawdzeniu wydajności, braku optymalizacji baz danych. Efektem była awaria systemu pod pełnym obciążeniem. Tak to jest jak ktoś zamawia coś o czym nie ma zielonego pojęcia, i zleca to pierwszej lepszej firmie, albo komuś po znajomości.
oko
ad.2 ABW oferowało pomoc PKW dopiero w trakcie problemów, a PKW stwierdziła że sobie poradzi sama. Przed wyborami był robiony jakiś audyt systemu informatycznego (chyba nawet przez NIK, ale nie jestem pewien) i wystawiono mu ocenę negatywną, wskazując właśnie na fatalną optymalizację kodu i zagrożenie wysypania się systemu pod nominalnym obciążeniem. Ale PKW stwierdziła, że kontroler wydziwia i na pewno jakoś to będzie ...
gość
Podejrzewacie działania sabotujące na poziomie kodu źródłowego. Podatności są co jakiś czas publikowane . I wciąż jest pytanie czy są one skutkiem zamierzonych celów czy błędów/braku testowania
Janek I. - Rusty Sparks
To dlatego rocznie na wojskowych (skoszarowanych ) studiach KRYPTOLOGICZNYCH I stopnia na WAT kształci się zaledwie 15 słuchaczy??? Czy prawdą jest, że po skończonych wyżej wspomnianych studiach czmyhają ci właśnie słuchacze jak najszybciej do cywila, by otrzymywać oferty pracy z prywatnego sektora za xx tys. PLN/$/€ (niepotrzebną walutę skreślić)??? Ktoś zorientowany odpowie? Dzięki. J.I.
asdfasdf
No tak jest. A dziwisz się? Normalne, że nikt nie chce siedzieć w państwówce za grosze.
Przemo
Dopóki cała administracja rządowa chodzi na Windowsach, to można zapomnieć o bezpieczeństwie. Kilkanaście miesięcy temu przy okazji ustawy o ACTA, hakerzy włamali się do rządowych komputerów i podwędzili korespondencję elektroniczną polskiego rządu a potem szantażowali rząd w sprawie ACTA. (Nota bene, dobrze się stało, rząd nie zdawał sobie sprawy z negatywnych skutków ACTA, a hakerzy okazali się etyczni i nie ujawnili korespondencji, rząd w końcu zdał za to sobie sprawę z powagi cyber-zagrożeń). Tutaj rozwiązanie jest proste, przejście całej administracji rządowej i samorządowej na jakąś wersję systemu Unix-owego, czy będzie to Linux, BSD, FreeBSD czy któryś z komercyjnych Unix-ów to już sprawa drugorzędna. Zero Windowsa. Najprościej byłoby wybrać jakąś firmę specjalizującą się w bezpieczeństwie informatycznym, żeby przygotowała dystrybucję Linuksa dostosowaną konkretnie do wymagań administracji publicznej, zawierającą wszelkie potrzebne oprogramowanie, tak żeby urzędnicy sami nie musieli i nie mogli instalować zewnętrznego oprogramowania i oczywiście z ustawieniami na maksimum bezpieczeństwa. Taką dystrybucje można oprzeć na którejś z popularnych dystrybucji Linuksa jak Debian lub Ubuntu. Firma dbałaby też o aktualizacje oprogramowania, i potrzebowałby osłony kontrwywiadowczej. To oczywiście nie zmieniłoby magicznie systemy w niemożliwe do spenetrowania, ale poziom wiedzy potrzebny do zhakowania administracji publicznej wzrósł by drastycznie. Oczywiście najważniejsza jest wiedza użytkowników i stosowanie się do zasad bezpieczeństwa, i bezwzględnego przestrzegania tych zasad, szkolenia, szkolenia, szkolenia. Tutaj potrzebne byłyby kontrole urzędów i bezlitosne zwolnienia przy łamaniu zasad bezpieczeństwa. Do tego wyszło na jaw(Snowden ujawnił) że NSA i CIA modyfikowało sprzętowo routery firmy Cisco (bez wiedzy Cisco), po wysłaniu przez firmę ale zanim odebrał klient. Na sprzęcie firmy Cisco działa bardzo duża część sieci szkieletowej Internetu, ciężko znaleźć też dużą firmę która nie ma co najmniej jednego routera firmy Cisco. Faktycznie daje to amerykańskiemu wywiadowi możliwość penetracji dowolnej sieci na ziemi bez względu na zabezpieczenia. No i oczywiście skandal z podsłuchiwaniem Merkel, amerykanie na pewno wykorzystywali te informacje przy negocjacji umów handlowych z Unią Europejską i Niemcami. Są też podobne podejrzenia co do sprzętu produkcji chińskiej. Dla administracji publicznej nie należy zamawiać sprzętu z Chin i USA. Są inne kraje, Singapur, Indonezja, Tajwan, Korea Południowa, kraje które nie maja zapędów do szpiegowania całego świata. Kolejna rzecz to kontrola kupionego sprzętu, firmware komponentów to oprogramowanie zainstalowane w każdym komponencie komputerowym, umożliwiające prawidłowe działanie sprzętu i komunikację z innymi komponentami komputera. Na przykład jeśli zainstaluję wirusa w firmware twardego dysku, to nie będzie można go wykryć skanując powierzchnię dysku, standardowy program antywirusowy będzie bezradny. Tutaj po prostu trzeba z każdego komponentu komputerowego (po kupnie) sczytać pamięć flash, na której jest zapisany firmware, zdeasemblować firmware, i sprawdzić kod czy wykonywalny nie ma tam "szpiegów" czy tylnych furtek. Taką analizę robią na przykład hakerzy którzy robią cracki do gier, deasemblują kod gry i szukają zabezpieczeń, potem piszą programik (ten właśnie crack) do wyłączania zabezpieczeń gry, jak widać czarna magia to to nie jest. W praktyce po prostu należy nałożyć prawne wymaganie, żeby sprzęt komputerowy dla administracji był składany w Polsce, a firma dostarczająca sprzęt komputerowy musiała sprawdzać firmware wszystkich komponentów komputerów, taką firmę należałby objąć osłoną wywiadowczą, pracownik takiej firmy już po kontroli sprzętu miąłby możliwość instalacji szpiegowskiego oprogramowania. Nie od czapy by było, żeby sprzęt dla firm telekomunikacyjnych miał takie same wymagania (sieci telefonii naziemnej i komórkowej, kablówki, sieci uniwersyteckie). "Autorzy doktryny wspomnieli także m.in. o konieczności zapewnienia odpowiedniego poziomu finansowania, czy ryzyku związanym z możliwym sprzeciwem społeczeństwa w odniesieniu do regulacji, zapewniających służbom państwowym odpowiednie narzędzia do wykonywania skutecznych działań w przestrzeni informatycznej." Jeżeli autorzy raportu, za takie narzędzia uważają regulacje prawne zabraniające lub ograniczające stosowania kryptografii dla celów prywatnych, to mogą liczyć na opór społeczny, choćby mój. Niestety służby wywiadowcze na całym świecie mają zapędy totalitarne i starają się przekonywać pod pozorem zapewnienia bezpieczeństwa do rezygnacji z prawa do prywatności. Żadna służba policyjna ani wywiadowcza nigdy nie zapewni obywatelom całkowitego bezpieczeństwa, dlatego rezygnacja z prawa do prywatności jest bez sensu. “They who can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety.” Benjamin Franklin Wywiad i kontrwywiad to taki zły pies łańcuchowy, który ma bronić społeczeństwo, i ma podlegać kontroli społecznej. Niejeden pies łańcuchowy pokąsał własnego właściciela... Służby specjalne chcą wszystko postawić na głowie i to one chcą kontrolować społeczeństwo, najwyraźniej tęsknią za czasami UB i SB, kiedy faktycznie służby mogły wszystko i kontrolowały obywateli. Warto przypomnieć feudalizm, gdzie jedni ludzie przysięgali posłuszeństwo innym w zamian za ochronę. Jak wyszli na tym chłopi pańszczyźniani nie trzeba chyba nikomu przypominać. Warto też poszukać i przeczytać kilka artykułów sprawie sędziego Andrzeja Hurasa, włos się jeży na głowie. Jeżeli to kogoś nie przekonuje, to również urzędnicy państwowi i dowódcy (generałowie, ministrowie) w prywatnej korespondencji ze swoich prywatnych telefonów i komputerów, między sobą poruszają tematy o różnym stopniu tajności (niezbyt to rozsądne ale tak jest), zakaz prywatnego użytku silnej kryptografii w Polsce spowoduje większe narażenie na wyciek tajnych informacji.
X
"Tutaj po prostu trzeba z każdego komponentu komputerowego (po kupnie) sczytać pamięć flash, na której jest zapisany firmware, zdeasemblować firmware, i sprawdzić kod czy wykonywalny nie ma tam "szpiegów" czy tylnych furtek." Powodzenie życzę, zwłaszcza jak w zakupionych kompach będziesz miał kilka wersji tego samego biosu, kilka wersji firmwaru dysku (ba! nawet dyski różnych producentów), kilka wersji firmwaru kart sieciowych itp. Audyt o którym piszesz jest technicznie niewykonalny. Poza tym czasem nie da się "zczytać" firmwaru bez wylutowania układu z urządzenia: wylutuszesz 5 pamięci psując być może urządzenie i tracąc gwarancję, a szóste i tak będzie miało backdoora. Poza tym modne są teraz backdoory sprzętowe, niezależne od firmwaru, który steruje układem. Chińczycy bardziej niż pewnie. A co z równie groźnymi urządzeniami sieciowymi (routery, switche itp.)? "Są inne kraje, Singapur, Indonezja, Tajwan, Korea Południowa, kraje które nie maja zapędów do szpiegowania całego świata." A skąd wiesz jakie mają zapędy gdy im ktoś zapłaci? Dlatego Rosjanie rozwijają swoje procesory, może odbiegające wydajnością od amerykańskich, ale WŁASNE. Kupili też licencję od ARMa, by móc produkować własne procesory o tej architekturze, w których mogą sprawdzić każdy tranzystor czy nie odpowiada za obsługę backdoora. Samodzielna produkcja układów, w których potencjalnie mógłby być zaszyty backdoor to jedyny sposób żeby się przed tym ochronić. http://www.mcst.ru/ http://milandr.ru/en/ Szczególnie ta druga firma jest ciekawa: produkuje procesory, pamięci, układy do transmisji danych przewodowej i bezprzewodowej na potrzeby wojska. A u nas tymczasem zabito cały przemysł produkujący podzespoły elektroniczne. "Taką analizę robią na przykład hakerzy którzy robią cracki do gier, deasemblują kod gry i szukają zabezpieczeń, potem piszą programik (ten właśnie crack) do wyłączania zabezpieczeń gry, jak widać czarna magia to to nie jest." Zrobienie cracka do programu/gry to banał w porównaniu do audytu bezpieczeństwa binarnego kodu, zwłaszcza jak binarka ma kilka MB i wymaga specjalnego środowiska do wykonywania (np. procesor karty sieciowej). "Jeżeli to kogoś nie przekonuje, to również urzędnicy państwowi i dowódcy (generałowie, ministrowie) w prywatnej korespondencji ze swoich prywatnych telefonów i komputerów, między sobą poruszają tematy o różnym stopniu tajności" Tak jest wszędzie, używają też chińskich pendrivów, wchodzą na nieprzyzwoite strony, instalują sobie gierki żeby zabić nudę. To jest największa słabość systemu, a nie używanie Windowsa zamiast linuxa. "któryś z komercyjnych Unix-ów" Komercyjny unix może mieć tak samo dziury i backdoory jak windows. "Nie od czapy by było, żeby sprzęt dla firm telekomunikacyjnych miał takie same wymagania (sieci telefonii naziemnej i komórkowej, kablówki, sieci uniwersyteckie)." Jakbyś wynajął 100mln Chićzyków to i tak by ci mocy przerobowej do tego nie starczyło. Póki sprzęt nie jest "openhardware", a soft "opensource" to póki sam nie zaprojektujesz i wyprodukujesz, to pozostaje ci jedynie możliwość ograniczonego audytu i zaufanie do producenta.
cid10
Dodam jeszcze że np. w Wojsku Polskim zewnętrzne nośniki danych (pamięci flash i dyski) z klauzulą niejawności strzegą tylko naklejki z napisem. Śmiech na sali, kogo powstrzyma naklejka przed zajrzeniem w zawartość takiego zagubionego pendriva. Nie ma natomiast wymogu szyfrowania zawartości.
zniesmaczony
Jak ktoś kiedyś napisał "Nauka jest sprawą Wielkich. Maluczkim dostają się tylko nauczki". Ta "nauczka" kosztowała nas wiele miliardów dolarów w postaci zakupu F-16 bez kodów źródłowych uzbrojenia... :-(((
sprzedawca
Wskaż przykłady zakupów wysokotechnologicznych broni wraz z pełnymi kodami źródłowymi ? NIKT takowych nie sprzedaje, więc nie pitol głupot gościu. Chcesz mieć kody, to sam coś wymyśl i wyprodukuj. Inaczej mieć ich nie będziesz
Coen
dużo czasu im zajęło dojście do zasadniczej i już dawno przez wielu odkrytej sprawy: strategicznego znaczenia kodów źródłowych uzbrojenia... mogli się wcześniej nauczyć na błędach innych, mogli wcześniej podjąć taką decyzję, wielu zwłaszcza przy zakupie F-16 Władzom/MONowi to wskazywało... dobrze, że późno niż wcale...
REX
Mamy dobrych - o ile nie najlepszych - informatyków. Cała reszta, to już sprawa MON...
karo
Mamy przeciętnych informatyków... wiem co mówię, pracuję w tej branży. Tyle w temacie.
0x7fc00000
Juz widze jak Lockheed daje zrodla ;-D A potem jeszcze tworcy komponentow COTS ;-) Moze i je dostaniemy, ale za taka cene, ze rownie dobrze mozemy juz emigrowac, bo bedzie trzeba wprowadzic podatek od oddychania.
Konvi
Zauważ że jest napisane "dostęp do", a nie "przekazanie", więc to jest pewna różnica. Nie dokonujmy nadinterpretacji.
X
Ciekawe tylko jak sumiennie będą weryfikować, czy posiadają wszystkie kody źródłowe do wszystkich komponentów. W dzisiejszych urządzeniach są dziesiątki układów programowalnych, każdy ma swój kod. I działanie każdego może być krytyczne. Wystarczy backdoor w nawet pozornie nieistotnym elemencie i np. rakieta nie poleci w kierunku niewygodnym dla jej producenta/dostawcy, radar nie wykryje niewygodnego celu itd. Poza tym ciekawe czy po dostarczeniu sprzętu i kodów, jest weryfikowane czy to co siedzi w pamięci sprzętu jest tym samym co można skompilować z tych kodów.
zniesmaczony
Na początek wystarczy jak będziemy mogli samodzielnie modernizować uzbrojenie, by nie było tak, jak z F-16, gdzie bez straszliwego haraczu płaconego USA i bez zgody USA, nie możemy nawet załadować nabojów do działka 20mm jeśli mają choć inną charakterystykę balistyczną od amunicji amerykańskiej, nie mówiąc o możliwości podpięcia Meteora, IRIS-T czy ASRAAM, choć są dostosowane do odpalania z F-16 i jedyne co to uniemożliwia, to amerykańskie blokady w oprogramowaniu... Wyszukiwanie backdoorów to przy tym drugorzędne...
marek
to jest logiczne, ale troche SF. Popieram posty ponizej.....czy ten temat jest w ogole rozwiazywalny ? cokolwiek nie napiszemy, czy wymyslimy, bedzie i tak i tak sitkiem do nabierania wody...nie wszystko da sie przelaczyc na sterowanie reczne, a "wici" moga sie dzis nie sprawdzic....tak jak do wiekszosci problemow potrafie bardziej lub mniej podejsc racjonalnie, tak TU jedyne co umiem to zrobic wytrzestrz oczu i kluche w gardle......bierzcie sie forumowicze za burze mozgow, ja WAM pokibicuje i bede popieral !!!!!!powodzenia....
omega
Systemy obrony kraju ,Tylko z Pełną Stu Procentową Możliwością Wykorzystania Ich w Działaniach Obronnych lub Wyprzedzających
Ater
niech WP zacznie zatrudniać fachowców od IT , lub hakerów jak to robią m.in w US , a nie pociotków i kuzynów .
0x7fc00000
z czym i za co? prawdziwi fachowcy w cywilu (i to w Polsce) potrafia zarabiac wiecej niz wynosza etaty generalskie, a przy tym nie trzeba sie uzerac z nikim, kto ma racje tylko dlatego, ze ma wiecej gwiazdek