Budućnost| Društvo| IT| Planeta| Politika

Cyberwar: Pearl Harbor, Tallinn Manual

Dragan Pleskonjic RSS / 20.10.2012. u 21:53

cyber-war1-e1307972219338.jpgMediji su ovih dana posvetili dosta pažnje izjavi Leona Panete, američkog ministra odbrane, a ranijeg direktora CIA, koji je nedavno upozorio da se Sjedinjene Američke Države suočavaju sa mogućim sajber napadom u rangu Perl Harbora. Vest koja nije dobila publicitet u medijima, barem domaćim u Srbiji jeste pojava Talinskog priručnika (engl. Tallinn Manual), koji je pripremila nezavisna „Grupa međunarodnih eksperata" na poziv NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence). Ovaj priručnik, koji je rezultat trogodišnjeg rada ekipe stručnjaka, naročito pažljivo se bavi pitanjem kako se postojeće norme međunarodnog prava primenjuju na ovaj „novi" oblik ratovanja. Trenutno je raspoloživ nacrt, a do kraja godine bi trebalo da se pojavi i finalna verzija.

Računarski Pearl Harbor

Najave Leona Panete su delovale dosta dramatično. On je upozorio da je zemlja veoma podložna stranim računarskim hakerima koji bi mogli da blokiraju rad i poremete vitalne sisteme: elektro-mrežu, vodosnabdevanje, sistem transporta, finansijske sisteme i vladu. Paneta je u svom izlaganju pomenuo i na napad u avgustu na državnu naftnu kompaniju "Saudi Aramko" kada je zaraženo više od 30.000 kompjutera, zbog čega su bili potpuno neupotrebljivi.

Link na izlaganje Leona Panete.

Mnogi podsećaju na napad protiv firme RSA koji još nije razjašnjen do kraja ili barem nema zvaničnih informacija o tome. U tom napadu su, spekuliše se, ukradeni delovi izvornog koda za sisteme kontrole pristupa i autentifikacije (provere identiteta) ove velike i značajne firme, koji se koriste i za vrlo osetljive sisteme. Neke od ovih proizvoda koriste i najveći vojni snabdevači američke vojske, banke i druge finansijske institucije, velike korporacije i mnogi kritični sistemi. O incidentu i njegovim mogućim ozbiljnim posledicama sam pisao ranije u tekstu RSA - opasna radoznalost.

Njujork tajms ukazuje da su SAD, iako to nikada nisu zvanično priznale, i same protiv svojih protivnika organizovale sajber napade i da je predsednik Obama na početku svog mandata naredio sofisticirane napade na računarske sisteme koji upravljaju glavnim iranskim nuklearnim postrojenjima.

Izvori i poreklo nekih od najsofisticiranijih računarskih napada, koji su preduzeti do sada, su često nejasni i većina je, barem javno, u nivou medijskih spekulacija. Međutim, gde je precizno mesto i uloga ovakvih napada u prostoru međunarodnog prava, spoljne politike i mogućeg ratnog sukoba, je i dalje predmet ozbiljnih debata.

Posebno važno pitanje je koja vrsta računarskog napada je ekvivalentna tradicionalnom oružanom napadu i kada ona može izazvati vojni odgovor.

Odgovor na ovo pitanje je potražen od strane međunarodne grupe eksperata.

 Tallinn Manual121.gif

Vest koja nije dobila naročito veliki publicitet u medijima, barem u Srbiji, jeste pojava Talinskog priručnika (engl. Tallinn Manual), koji je pripremila grupa međunarodnih eksperata na poziv NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence). Ovaj priručnik, koji je rezultat trogodišnjeg rada ekipe stručnjaka, se posebno pažljivo bavi pitanjem kako se postojeće norme međunarodnog prava primenjuju na „novi" oblik ratovanja.

Iako „neobavezujući" i više referentnog značaja, ovaj priručnik nudi autoritativno tumačenje prirode i odnosa postojećih međunarodnih zakona na sajber ratovanje. On praktično nudi pravne smernice napadačima, onima koji se brane i pravnim ekspertima, kako i kada računarski napadi mogu da se klasifikuju slično kao oružani napadi, u pogledu važećih međunarodnih zakona. Izraz „oružani napad" ima precizno značenje u međunarodnom pravu i ne mogu svi računarski, pa čak i ozbiljniji, napadi da se podignu na nivo oružanog napada. Definicija ove granice je izazov koji Talinski priručnik pokušava da definiše i razreši, ali ovaj delikatni proces će očito još prilično trajati. Ono što je sigurno je da će u budućnosti konvencionalni ratovi uvek biti praćeni i računarskim ratom, odnosno oni to već neko vreme jesu.

Računarski napadi već služe da potpomognu vojne kampanje, ali pitanje je koji je to nivo računarskog napada koji može izazvati klasičan vojni odgovor? Nije lako odrediti granicu, kao ni da li takav odgovor uopšte ima uporište u pravu. Takođe, obično nije lako odrediti ni poreklo odnosno izvor računarskog napada tj. odakle je on tačno lansiran, kao i ko iza njega stoji. Ovo može dovesti do brojnih nedoumica, proizvoljnosti, pogrešnih tumačenja, pa i zloupotreba sa tragičnim posledicama. Mogu stradati i oni koji sa konkretnim napadom nemaju nikakve veze. Moguće je čak i namerno lansiranje napada sa tuđe teritorije korišćenjem prethodno zaraženih računara i time „podmetanje" drugima.

U junu je, u Estoniji, održana konferencija CyCon 2012, sponzorisana od strane NATO-a, na kojoj se diskutovalo o ovoj tematici. Jedan oficir je tom prilikom rekao prisutnima da je određivanje granice rata u sajber prostoru više politički nego pravni koncept. Standardi dokazivanja koji važe u krivičnom pravu se ne primenjuju baš na isti način u vojnim i obaveštajnim operacijama. Dodao je da teškoće da se pouzdano prati napad do izvora zahtevaju da se koriste i druge metode i izvori, koji kombinovani daju „jasan mozaik odgovornosti." Otkrivanje ko je finansirao aktivnost ili obezbedio uputstva učesnicima odnosno izvršiocima, po njemu, nekada može biti dovoljno da se odredi odgovornost, pa i preduzmu dalje mere.

U pokušaju da razlučim šta je računarski rat, onako kako je definisano međunarodnim pravom i od strane UN, krenuo sam da čitam Talinski priručnik (tj. njegov nacrt). To je prilično veliki dokument koji ima 215 strana i nisam izdržao čitanje do kraja. Međutim, već u početnom delu se mogu naći reference na fizičku i kinetičku silu (engl. kinetic force) i narušavanje suvereniteta (napad na suverenitet druge zemlje) radi pravljenja štete. Interesantno je da međunarodna grupa eksperata nije mogla da se složi u nekim pitanjima, kao npr. da li postavljanje zlonamernog koda koji ne proizvodi fizičku štetu predstavlja napad na suverenitet.

Dalje čitajući, postaje jasno da su potrebna dva elementa da bi se nešto zvalo računarski ili sajber rat: narušavanje suvereniteta koje izaziva fizičku štetu i/ili upotrebu sile. Iz ovog dokumenta proističe da računarski rat ima nužnu kinetičku komponentu koja rezultira kršenjem suvereniteta i konačno gubitkom života.

Ostatak priručnika čini skup pravila koja bi trebala da objasne tj. da pomognu u razumevanju koja pravila postojećeg međunarodnog prava važe u sajber prostoru.

Za one koje zanima ovo je link na Tallinn Manual.

Otvorena pitanja

Mnoga pitanja su otvorena. U avgustu ove godine, zakon o sajber bezbednosti, koji je bio prioritet američke administracije u oblasti nacionalne bezbednosti, blokirala je grupa republikanaca, sa argumentacijom da bi to bilo preveliko opterećenje za korporacije. Naime, taj novi zakon bi zahtevao i nove standarde za ključna infrastrukturna postrojenja, kao što su elektrane, vodovodi i gasovodi, a gde bi računarski napadi mogli da izazovu ozbiljne gubitke i štetu. Pitanje je kolika je uloga politike i krupnog biznisa u celoj ovoj situaciji.

Na Internetu su se pojavila i tumačenja da je na sceni pokušaj donošenja zakonske regulative koja bi opravdala vojne udare po zemljama za koje USA i neke druge zemlje tvrde da pomažu i odobravaju računarske napade.

Drugi, pak, kažu da je u pitanju i bitan element unutrašnje političke borbe u američkoj predsedničkoj kampanji.

Ima i mišljenja da je to pokušaj širenja straha i dobijanja dodatnih para u vojni budžet.

Ostaje da pratimo situaciju i vidimo ko je u pravu.

Dodatak

Prepirka na relaciji US (House Permanent Select Committee on Intelligence, the Committee) - Kina (Huawei, ZTE):
US committee: "China's Huawei and ZTE pose national security threat"
Statement regarding HPSCI's report

Napomena:
Nadam se da će pravnici na ovom blogu dati doprinos diskusiji, obzirom da je ovo materija i za njih, možda i više nego za nas sa tehničkim obrazovanjem.



Komentari (29)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

niccolo niccolo 22:21 20.10.2012

Vrlo rado

Nadam se da će pravnici na ovom blogu dati doprinos diskusiji, obzirom da je ovo materija i za njih, možda i više nego za nas sa tehničkim obrazovanjem.

ali manual ima preko 200 strana, treba to pročitati...

U međuvremenu,
Dalje čitajući, postaje jasno da su potrebna dva elementa da bi se nešto zvalo računarski ili sajber rat: narušavanje suvereniteta koje izaziva fizičku štetu i/ili upotrebu sile.

dva elementa ili makar jedan od ova dva?
Dragan Pleskonjic Dragan Pleskonjic 07:52 21.10.2012

Re: Vrlo rado

niccolo
ali manual ima preko 200 strana, treba to pročitati...


Da, materija je obimna, a to je tek početak problematike. Zato sam na vreme potražio pomoć prijatelja blogera.

dva elementa ili makar jedan od ova dva?


U matematici i programiranju "i" iznači oba odnosno svi ako ih ima više; a "ili" znači najmanje jedan od dva ili najmanje jedan od N ako ih ima ukupno N. Znači mogu i oba ili više njih.

U običnom govoru "ili" najčešće znači samo jedan od tj. ili jedan ili drugi (ali ne oba). Matematika i proramiranje za taj slučaj imaji ekskluzivno ili (XOR za razliku od OR).

U ovom konkretnom slučaju
narušavanje suvereniteta koje izaziva fizičku štetu i/ili upotrebu sile.

bi moglo da se tumači kao:

1. narušavanje suvereniteta koje izaziva
2a. fizičku štetu
2b. upotrebu sile.

Prema tome 1. bi trebalo da bude uključeno, a uz njega 2a ili 2b (jedan od njih ili oba).

Iako se Tallinn Manual dosta bavi problemom definicije suvereniteta u sajber prostoru, meni se čini da i tu ima dosta prostora za slobodno tumačenje, ali hajde da ostavim konkretne primere za dalju diskusiju, ako bude bilo interesovanja.

Pojmovi fizičke štete i upotrebe sile u sajber prostoru su takođe podložni diskusiji.
niccolo niccolo 17:32 21.10.2012

Re: Vrlo rado

Sinoć sam stigao da pročitam uvod ali ne dalje od toga. Ono što je nesporno iz uvoda jeste da ne postoje posebne međ. konvencije o sajber napadima, već da Tallinn Manual pokušava da postojeće norme međ. prava primeni na njih. Za strejtforvard slučajeve to će biti nesporno, ali mi se ne čini da će biti primenjivo na neke ne tako klasične slučajeve tj. države će nastojati da primene pravne norme i u ne tako čistim situacijama. Bilo bi veome važno doneti jednu konvenciju koja bi regulisala to pitanje. Ne samo zbog pitanja kada se sajber napad može smatrati agresijom već i zbog toga da se precizno definišu mete koje moraju biti iznav domašaja sajber napada u slučaju rata (primena tzv. međ. humanitarnog prava, naročito ženevskih konvencija, na sajber napade) - ovaj drugi razlog je po meni još bitniji nego samo pitanje rat/ne-rat (nisam obratio pažnju u sadržaju da li su pokušali da odgovore na ovo pitanje)...
a_jovicic a_jovicic 00:47 21.10.2012

SIGINT+PSYOPS

Standardi dokazivanja koji važe u krivičnom pravu se ne primenjuju baš na isti način u vojnim i obaveštajnim operacijama.

Sto Ameri pokusavaju da ovoj vrsti ratovanja daju pravnu podlogu potpuno je jasno (naravno da bi jednog dana mogli da pokrenu konvencionalni sukob protiv problematicnih drzava kao izgovor za "napad" izvrsen na americkom tlu) medjutim plasim se da cyberwar predstavlja samo unapredjeni oblik starog dobrog "specijalnog rata" tj. mesavinu obavestajnih aktivnosti i psiholoskog ratovanja (uz ucesce terorizma kao sredstva za izazivanje anksioznosti kod protivnika) a cini mi se da su tu pravila igre odavno poznata (od proterivanja diplomatskog osoblja do sudjenja domacim izdajnicima, saboterima ili teroristima). Slicnu situaciju su "onomad" imali i sa ratovanjem u svemiru, pa su lepo napravili dzentlmenski sporazum da ni jedna strana to nece da radi. Nevolja u unipolarnom svetu je sto nema koga da proteras ako je protivnik toliko vojno inferioran da je prinudjen da primenjuje asimetricno ratovanje a i nije mu neophodna "svemirska" tehnologija da ti lupi samarcinu.

Dodatni problem je sto cesto neces imati ni drzavu koju mozes da napadnes (posto ti samar lupaju kojekakve grupe koje niko ne kontrolise) ... sto ce reci da resenje nije u zakonima i preporukama nego u formiranju multipolarnog sveta gde svaku od problematicnih drzava ili grupa kontrolise neka supersila.
Dragan Pleskonjic Dragan Pleskonjic 08:00 21.10.2012

Re: SIGINT+PSYOPS

a_jovicic
Dodatni problem je sto cesto neces imati ni drzavu koju mozes da napadnes (posto ti samar lupaju kojekakve grupe koje niko ne kontrolise) ...


Da citiram pomenutu izjavu:

... the difficulty of reliably tracing an attack to its source does not preclude the use of other sources to weave together what he calls “a clear mosaic of responsibility.” Showing who funded the activity or provided the actors with guidance may be enough.



Sasvim dovoljno prostora za proizvoljna tumačenja i interpretacije.
maksa83 maksa83 08:40 21.10.2012

...

"Hakovalo nas odande (časna reč, evo logovi!), moraćemo da boNbardujemo"
BigBadWolf BigBadWolf 10:00 21.10.2012

Re

Ovaj deo mi nije jasan

da li postavljanje zlonamernog koda koji ne proizvodi fizičku štetu predstavlja napad na suverenitet.


Kakva jos steta postoji osim fizicke?
a_jovicic a_jovicic 10:17 21.10.2012

Re: Re

BigBadWolf
Ovaj deo mi nije jasan

da li postavljanje zlonamernog koda koji ne proizvodi fizičku štetu predstavlja napad na suverenitet.


Kakva jos steta postoji osim fizicke?

Pa gubitak parica (novac odavno nije fizicka velicina ... ne sto nema zlatnu podlogu nego cesto nije potrebno ni da ga stampaju) ili ugleda npr. (promeni ti neki "terorista" homepage preCednika ... odma' ga treba bombardovati!)

Vesna Knežević Ćosić Vesna Knežević Ćosić 11:35 21.10.2012

Stuxnet, Flame

američki ministar odbrane ubira poene na katastrofičnoj priči o Perl Harburu 21. veka, al ćuti kao zaliven kako druge zemlje treba da reaguju na sajber napade koji dolaze iz SAD, poput crva Stuxnet, koji napada industrijska postrojenja, ili složenijeg sajber oružja, virusa Flame, za koje Kasperski Lab tvrde da su kreirani u istoj kuhinji, te da napadaju i male ljude.

dobar blog, fala.
maksa83 maksa83 12:26 21.10.2012

Re: Re

Kakva jos steta postoji osim fizicke?

Finansijska. Zagasiti kompjutere na nekim mestima na par sati može da znači milione dolara gubitka na raznim stranama.
BigBadWolf BigBadWolf 15:32 21.10.2012

Re: Re

Pa kako to nije fizicka steta? Ne razumem u cemu je razlika ako ti virus blokira celu firmu na ceo dan i izgubis X dolara i kada ti spali npr. servere, pa ti treba X dolara da ih zamenis.
Dragan Pleskonjic Dragan Pleskonjic 17:54 21.10.2012

Re: Re

BigBadWolf
Kakva jos steta postoji osim fizicke?


Primer štete koja nije fizička (barem ne direknto) je rušenje ili gubitak reputacije - poverenja. Recimo banka doživi računarski upad, to se sazna u javnosti i klijentela izgubi poverenje.
dragan7557 dragan7557 09:35 22.10.2012

Re: Stuxnet, Flame

a-jovičić:
Pa gubitak parica (novac odavno nije fizicka velicina


Novac nikada nije ni bio fizička veličina. Oduvek je društveni konstrukt.



cerski
alselone alselone 09:47 22.10.2012

Re: Stuxnet, Flame

Novac nikada nije ni bio fizička veličina. Oduvek je društveni konstrukt.


Bio je. Vise nije, ali je bio.
dragan7557 dragan7557 10:22 22.10.2012

Re: Stuxnet, Flame

alselone
Novac nikada nije ni bio fizička veličina. Oduvek je društveni konstrukt.


Bio je. Vise nije, ali je bio.


Verovatno kada smo kravama plaćali za mleko koje su nam prodavale, ovcama za vunu itd. ali to su davno prošla vremena.

Mada ne bi škodilo da nama nepismenima objasniš kada je to novac bio fizička veličina?


cerski

alselone alselone 10:48 22.10.2012

Re: Stuxnet, Flame

Mada ne bi škodilo da nama nepismenima objasniš kada je to novac bio fizička veličina?


Kada je bio kovan od zlata, npr.
dragan7557 dragan7557 11:15 23.10.2012

Re: Stuxnet, Flame

alselone
Mada ne bi škodilo da nama nepismenima objasniš kada je to novac bio fizička veličina?


Kada je bio kovan od zlata, npr.


Po toj logici i papir je fizička veličina a da je bezvredan je poznato.

cerski
Dragan Pleskonjic Dragan Pleskonjic 11:40 23.10.2012

Re: Stuxnet, Flame

Izgleda da ovde nemamo saglasnost oko definicije fizičke veličine. Hajde da počnemo od školskih definicija, pa da onda dođemo do definicija u zadatom kontekstu:

Fizička veličina je osobina pojave, tela ili supstance koja može da se razlikuje kvalitativno i odredi kvantitativno.
Osnovna fizička veličina je dogovorena kao nezavisna od bilo koje druge veličine.
Izvedena fizička veličina se može definisati kao funkcija osnovnih veličina tog sistema.

dragan7557 dragan7557 11:57 23.10.2012

Re: Stuxnet, Flame

Dragan Pleskonjic
Izgleda da ovde nemamo saglasnost oko definicije fizičke veličine. Hajde da počnemo od školskih definicija, pa da onda dođemo do definicija u zadatom kontekstu:

Fizička veličina je osobina pojave, tela ili supstance koja može da se razlikuje kvalitativno i odredi kvantitativno.
Osnovna fizička veličina je dogovorena kao nezavisna od bilo koje druge veličine.
Izvedena fizička veličina se može definisati kao funkcija osnovnih veličina tog sistema.


Ma postoji konsezus oko toga a ne radi se o fizičkoj veličini već o teoriji vrednosti.

cerski
alselone alselone 16:53 23.10.2012

Re: Stuxnet, Flame

Ma postoji konsezus oko toga a ne radi se o fizičkoj veličini već o teoriji vrednosti.


Ti, dakle, govoris da vrednosti imaju samo one stvari direktno primenjive u smislu da je jedina vrednost zlata metal?
Dragan Pleskonjic Dragan Pleskonjic 14:27 21.10.2012

Dva naša predsednika...

Verovatno je ostala neprimećena dopuna u prethodnom tekstu na blogu pa da postavim i ovde:

Dejan S. Milojicic Voted IEEE-CS President-Elect for 2013

CS = Computer Society

I da dodam:
Miroslav Begovic Elected IEEE-PES President
PES = Power and Energy Society
disident79 disident79 22:12 21.10.2012

Re: Dva naša predsednika...

Čestitke kolegama, velika je to čast i odgovornost.
alselone alselone 09:56 22.10.2012

Re: Dva naša predsednika...

Sjajne vesti!
disident79 disident79 22:17 21.10.2012

Međunarodno pravo..

..je maglovit teren. Tu su različite konvencije i odluke, presedani i prakse.

Mislim da ćemo upravo presedanima-praksom utvrditi granicu sajber i pravog rata.
Verovatno neće odmah biti krstareće rakete, već intervencije specijalaca na tuđoj teritoriji. U principu ovo je ipak neki vid sofiticiranog ratovanja gde nije samo cilj uništiti, već preuzeti tehnologiju i ljude.
Vesna Knežević Ćosić Vesna Knežević Ćosić 12:26 22.10.2012

Re: Međunarodno pravo..

ipak neki vid sofiticiranog ratovanja gde nije samo cilj uništiti


čisto sumnjam, pre je da rokaš na daljinu i uništiš šta oćeš, na primer vodosnabdevanje, ili eletrodistribuciju, ili grejanje, jer su gradovi ranjivi do jaja, a da pri tome nisi potrošio ni jedan klasik projektil ni jednog klasik vojnika.
Dragan Pleskonjic Dragan Pleskonjic 12:59 22.10.2012

Re: Međunarodno pravo..

Vesna Knežević Ćosić
čisto sumnjam, pre je da rokaš na daljinu i uništiš šta oćeš, na primer vodosnabdevanje, ili eletrodistribuciju, ili grejanje, jer su gradovi ranjivi do jaja, a da pri tome nisi potrošio ni jedan klasik projektil ni jednog klasik vojnika.


Kaspersky Lab have begun work on new operating system designed to be a secure-by-design environment for the operation of SCADA and ICS systems.

Link.
mirelarado mirelarado 13:13 22.10.2012

Re: Međunarodno pravo..

Vesna Knežević Ćosić
ipak neki vid sofiticiranog ratovanja gde nije samo cilj uništiti


čisto sumnjam, pre je da rokaš na daljinu i uništiš šta oćeš, na primer vodosnabdevanje, ili eletrodistribuciju, ili grejanje, jer su gradovi ranjivi do jaja, a da pri tome nisi potrošio ni jedan klasik projektil ni jednog klasik vojnika.


Мислим да је војноиндустријској машинерији циљ да троши пројектиле и људство, јер на томе зарађује, а овде тражи тек електронски изговор за остваривање тог циља.
disident79 disident79 22:00 22.10.2012

Re: Međunarodno pravo..

čisto sumnjam, pre je da rokaš na daljinu i uništiš šta oćeš, na primer vodosnabdevanje, ili eletrodistribuciju, ili grejanje, jer su gradovi ranjivi do jaja, a da pri tome nisi potrošio ni jedan klasik projektil ni jednog klasik vojnika.


Pitanje je zapravo kako reagovati na takvu vrstu napada?

Uzmimo hipotetički da grupa IT terorista podržana od npr. Severne Koreje napadne neku vitalnu infrastrukturu u USA, a napad organizuje iz neke karipske zemlje. Šteta materijalna i ljudske žrtve kao posledica.
Kakva reakcija se očekuje?
a)napad specijalaca na IT teroriste u karipskoj državi. Između ostalog radi pribavljanja dokaza i buduće preventive. (Ovo je meni najverovatnija opcija).
b)krstareća raketa ka karipskoj državi.
c)Kompletni napad na severnu koreju, uz sve druge posledice
d)IT napad, ako je moguć na Severnu koreju
e)...
disident79 disident79 22:07 22.10.2012

Re: Međunarodno pravo..

Kaspersky Lab have begun work on new operating system designed to be a secure-by-design environment for the operation of SCADA and ICS systems.


Dobar pristup, mada bi ga kombinovao sa "galvanskim" razdvajanjem od interneta

Koliko znam rafinerija, hemijske industrije i u Srbiji, prelaze na SCADA sisteme za upravljanje. Dobro pitanje je koliko su takvi sistemi spremni na odbranu od destruktivnih napada.

Arhiva

   

Kategorije aktivne u poslednjih 7 dana