Rosyjski serwer rządowy jest czajniczkiem. Trwa wojna w sieci

Jeszcze 23 lutego strona rosyjskiego Ministerstwa Obrony działała w najlepsze. Dziś dla niewprawnego oka wygląda po prostu na pustą. Gdy jednak spojrzy się w dane odpowiedzi serwera, zobaczy się kod błędu 418. To kod z tej samej grupy błędów, co dobrze nam wszystkim znany kod 404 ("nie znaleziono").

Kod 418 oznacza: "jestem czajniczkiem" (ang. "I’m a teapot"). Został stworzony jako prima-aprilisowy żart w 1998 roku. Dlaczego zwraca go serwer Ministerstwa Obrony Rosji?

Anonimowa cyberwojna

W reakcji na rosyjską inwazję w Ukrainie, kolektyw Anonymous "wypowiedział cyber-wojnę agresywnemu reżimowi" Vladimira Putina. Czyżby haktywistom i haktywistkom z Anonymous udało się przejąć kontrolę nad serwerami rosyjskiego ministerstwa?

Anonymous to kolektyw haktywistyczny dobrze znany w Polsce m.in z akcji DDoS przeciwko polskim (i nie tylko) stronom rządowym w ramach anty-ACTA dekadę temu. Mają też na koncie bardziej zaawansowane i spektakularne akcje, w tym włamania i wycieki danych.

Akcja DDoS polega na wykonywaniu ogromnej liczby zapytań do danej usługi lub serwera, tak, żeby nie było możliwe ich poprawne obsłużenie. Z punktu widzenia innych osób próbujących się z daną usługą połączyć, wydaje się ona nie działać wcale.

To analogiczne do protestu, w ramach którego duża liczba osób przechodzi w kółko przez przejście dla pieszych, blokując tym samym drogę. Wykorzystuje się w tym celu m.in. specjalnie przygotowane narzędzia, banalne w obsłudze również dla osób nietechnicznych.

Trudno to nazwać "atakiem" — nie powinno samo w sobie prowadzić do żadnych uszkodzeń czy wycieków. Efekty trwają tylko tak długo, jak długo trwa dana akcja DDoS.

Wróćmy do Anonymous. Co ważne, nie jest to w żadnym sensie spójna organizacja, nie jest to nawet grupa ludzi o podobnych przekonaniach. Anonymous dosłownie znaczy "anonimowi". Każdy może się włączyć i każdy może twierdzić, że "jest z Anonymous".

Do wszelkich rewelacji używających tej nazwy trzeba odnosić się z dużą dozą ostrożności (nie każdy, jak widać, o tym wie).

Za przykład może posłużyć informacja, że osobom związanym z tym kolektywem udało się wykraść dane, właśnie ze strony mil.ru. Tej samej, która udaje czajniczek. Wydawać by się mogło, że to całkiem realne: strona znika z sieci, zaczyna zwracać żartobliwy kod błędu, po czym dane z serwera pojawiają się jako wyciek. Tym razem jednak najprawdopodobniej informacja o wycieku była spreparowana.

Była ona na tyle dobrze przygotowana i na tyle dobrze wpasowywała się w konkretną narrację, że w wielu miejscach została bezkrytycznie wzięta za dobrą monetę. Takie działania medialne to częsta strategia Anonymous.

Oczywiście nie oznacza to, że nie są oni w stanie przeprowadzić ataków faktycznie skutecznych. Pojawiły się na przykład informacje, że kolektywowi udało się na krótki czas przejąć kontrolę nad państwowymi kanałami telewizyjnymi w Rosji, i transmitować rzetelne informacje z Ukrainy (przy akompaniamencie tradycyjnej muzyki ukraińskiej).

To prawie na pewno znacznie bardziej skomplikowana operacja niż wyłączenie takiej czy innej strony internetowej za pomocą DDoSa.

W każdym razie, do informacji o działaniach Anonymous i podobnych grup należy podchodzić ostrożnie.

Rosja się chroni

No dobrze, to o co chodzi z tym "czajniczkiem" z mil.ru? Dużo czasu minęło od momentu, gdy kod 418 został zdefiniowany w ramach żartu. Dziś czasem jest używany po prostu jako kod błędu w przypadku zapytań, którym serwer odmawia odpowiedzi.

Wygląda na to, że to... celowe działanie administratorów tego serwera. Strona mil.ru działa normalnie dla osób używających adresu IP z Rosji. Niewykluczone, że jest to zabezpieczenie przed potencjalnymi atakami.

To nie jedyne widoczne działania Rosji w Internecie. Z jednej strony oczywiście trwa kampania dezinformacyjna na szeroką skalę.

Z drugiej, rosyjski regulator mediów, Roskomnardzor, zdecydował o "częściowej blokadzie" Facebooka (nie jest do końca jasne, co to dokładnie oznacza) i zażądał od portali medialnych usunięcia artykułów odnoszących się do sytuacji w Ukrainie jako "wojny", "ataku", czy "inwazji". Można spodziewać się, że portale, które się nie zastosują, zostaną w Rosji zablokowane.

"Tylko niektóre strony są obecnie chronione [podobnie do mil.ru, przyp. red], większa część Rosyjskiego Internetu wydaje się dostępna. Wygląda też na to, że blokują konkretne witryny, w zależności od tego, jakie informacje są na nich dostępne i ilu mają odwiedzających" — wyjaśnia Jurre van Bergen, ekspert od bezpieczeństwa informacji pracujący dla Organized Crime and Corruption Reporting Project.

Biały wywiad

Rosja ma jednak poważniejszy problem, dotyczący zresztą i innych krajów (ale stwarzający obecnie większe zagrożenie dla agresora). To tysiące najróżniejszych, niezabezpieczonych, nieaktualizowanych od lat urządzeń bezpośrednio dostępnych w Sieci.

Na przykład (jak wskazuje van Bergen): ta kamerka internetowa w budce strażniczej (prawdopodobnie) w Pskowie, ok. 30 km od granicy z Estonią. Stacjonuje tam 76. Gwardyjska Dywizja Desantowo-Szturmowa. Ile innych, podobnych kamerek jest w okolicy? Czy któreś mogą pokazać ewentualne ruchy tej jednostki?

Urządzenia tego typu mogą być łatwo znajdowane i monitorowane z zewnątrz, dostarczając potencjalnie bezcennych informacji o ruchach wojsk. Takie informacje wykorzystywane są przez różne, mniej lub bardziej profesjonalne grupy osób, do próby ustalenia, co się faktycznie dzieje. Szerzej zjawisko to nazywa się "białym wywiadem" (ang. "open-source intelligence").

"Ogromna liczba niezabezpieczonych lub słabo zabezpieczonych kamerek internetowych i innych urządzeń mogących zbierać informacje w celu lepszego dokumentowania przebiegu tego konfliktu, mogłaby być wykorzystana jeszcze skuteczniej, gdybyśmy mieli gotowe narzędzia archiwizujące dane przez nie dostępne, dokonujące automatycznej transkrypcji audio na tekst, czy automatycznej klasyfikacji widocznych na nagraniach pojazdów wojskowych" — kontynuuje van Bergen. — "Najlepiej dzielić się takimi danymi z dziennikarzami i dziennikarkami lub z grupami w stylu Bellingcat".

Biały wywiad był kluczowy w walce z rosyjską kampanią dezinformacyjną z dni poprzedzających inwazję. Publikowane w jej ramach spreparowane nagrania wideo (jak słynne nagranie rzekomo pokazujące ukraińskich dywersantów rozmawiających po polsku) były rozpracowywane niemal błyskawicznie. Znacznie utrudniło to Putinowi zadanie odwrócenia uwagi świata od przygotowań do wojny.