Shellshocki kasutav sissetungija võib üle võtta kellegi arvuti, anda seal endale kõikvõimalikke õigusi, varastada ja rikkuda andmeid jne.
Arvutites, mida kasutavad inimesed, pole selle vea parandamine eriti keeruline. Kuid miljonid teised seadmed töötavad samuti UNIX-i peal, näiteks ruuterid – väikesed vilkuvate tuledega karbid, mis hoiavad üleval koduseid ja kontori WiFi-võrke, aga ka võrguühendusega termostaadid, tööstusmasinad ja muud seadmed. Ja need arvutid (mis nad tegelikult on) on enamjaolt projekteeritud töötama autonoomselt. Nende tarkvara uuendamine on vaevarikas ülesanne, mille jaoks nende omanikel ei pruugi jaguda aega või tahtmist. Seetõttu võivad paljud Shellshocki suhtes haavatavad seadmed jääda turvapaigata ning on kaitsetud välise rünnaku ees – olukord, mis jääb kestma veel aastateks.
Meid hoiatati selle eest. 1998. aastal ütles Luure Keskagentuuri (CIA) direktor, George Tenet: „Me ehitame oma tulevikku ressursile, mida me pole veel kaitsma õppinud.”[2.] Tema sõnadele ei pööratud tähelepanu.
Sestsaadik oleme me muutunud arvutitest veelgi enam sõltuvaks ja lõhe ründajate leidlikkuse ja kaitsjate võimekuse vahel on pigem kasvanud kui kahanenud.
Kui Tenet selle välja ütles, olid enamiku internetirünnete taga häkkerid, keda kannustas uudishimu või isekus. Asjassepuutuvad rahasummad olid tavaliselt tühised. Kevin Mitnick, kellest sai Ameerika tuntuim häkker (ja pärast lühiajalist vangis istumist tunnustatud konsultant arvutiturbe alal) alustas oma tegevust, püüdes leida võimalust petta Los Angelese ühistranspordisüsteemi. Ta ostis omale vana piletiaugustaja, et saaks kasutada äravisatud ümberistumispileteid. Tal oli igav, ta oli tark, ta jättis usaldusväärse mulje ning teda võlusid reeglid ja nendest mööda hiilimise võimalused. Tema suurimaks tugevuseks polnud mitte tehnilised, vaid suhtlemisoskused, see mida nüüd manipuleerimiseks (social engineering) nimetatakse. Ta oli entusiastlik amatöörist mustkunsti harrastaja, mis andis talle ettekujutuse tajutava ja tegeliku reaalsuse vahest ning sellest, kuidas seda ära kasutada. Ta oli meisterlik telefonihäkker, kes pettis sidesüsteemi vilede ja klõpsudega, saades nii tasuta telefonikõnesid. Mitnicki meetoditest, kuidas arvutivõrku sisse tungida, oli lihtsaim helistada arvutikeskusesse ja teeselda, et ta on komandeeringus olev tehnik. Sõbraliku lobisemise ja veenvatena tunduvate detailide abil suutis ta veenda tüdinenud, hooletut ja alamotiveeritud töötajat andma talle kasutajanimed ja paroolid, mida ta vajas. Kuid tema eesmärgiks polnud ei häving ega rikkused. Enamasti ta lihtsalt nautis õnnestunud sissemurdmist süsteemi. Mõnikord oli saagiks tasuta telefonikõned. Vahel lõbustas ta end sellega, et programmeeris võrgu niimoodi ümber, et sõbra telefoninumber liigitati avaliku, müntidega opereeritava telefoni numbriks. Kui hämmastunud numbriomanik püüdis välja helistada, kuulis ta automaatset sõnumit, kus paluti alustuseks münt sisestada.
Tänapäeval on taolistest rünnakutest saanud relvad poliitikute ja riigimeeste käes, aga ka hiigelsuures ja tulusas kriminaalses äris. Aktivistid kasutavad küberünnakuid kampaaniate osana – näiteks ahne ja salatseva saientoloogide sekti vastu, või et karistada ettevõtteid, kelle tegevus on neid pahandanud. Sony vastu suunatud rünnet kirjeldas üks turvaspetsialist kui ettevõtte õhkulaskmist seestpoolt[3.]. Nagu ma kirjeldan 5. peatükis, käivitas Hiina valitsus laiaulatusliku, riigi sponsoreeritud kampaania lääne ettevõtete intellektuaalse omandi varguseks. Venemaa varastab riigisaladusi oma geopoliitilistelt konkurentidelt. Mõlemad riigid ja teisedki palkavad rünnete teostamiseks eraettevõtteid ja indiviide, samuti nagu varasematel aegadel oleks värvatud palgasõdureid ja piraate.
Kõige selle keskmeks on kübermaailma ja pärismaailma suurim erinevus: meil pole lihtsat meetodit, et tõestada, kes me oleme, või teistpidi, on raske kindlaks teha, kellega täpselt me asju ajame. Meie kõige nõrgemaks kohaks on elektrooniline identiteet: segane, ebausaldatav, kergesti ununev segu kasutajanimedest, paroolidest, turvaküsimustest ja muudest abinõudest, mida me kasutame pea kõige kontrollimiseks ja autentimiseks, mida me veebis teeme. Vaid mõned aastad tagasi moodustas see meie igapäevasest elust vaid väikese osa. Nüüd on kaalukausid paigalt nihkunud. Tänapäeval, kui midagi läheb valesti teie elektroonilise identiteediga, kannatab ka päriselu. Sellele probleemile leidub lahendusi, kuid need nõuavad radikaalset muutust selles, kuidas me arvuteid kasutame.
Meie võrguidentiteet võib tunduda sama kindlana kui lukustatud uks, kuid ründajale on see pärani lahti. Teie ehk pole kuulnud n00d-idest, kuid kui olete naissoost ja kuulus, olete saakloomaks inimestele, kes varastavad ja koguvad alastipilte. 2014. aasta lõpus tuli välja, et fotod kuulsustest, nagu „Näljamängude” täht Jennifer Lawrence’ist, modell Kate Uptonist ja tosinast teisest varastati Apple’i arvutitest ja nendega kaubeldi illegaalsetes veebipoodides. See mõnevõrra õudustäratav (ja anonüümne) postitus teadetetahvlilt veebis, annab teile mingi ettekujutuse.
See pole vaid üks häkk
Seal pole vaid üks lekitaja
Väike põrandaalune alastipiltidega kaubitsejate grupp on tegutsenud juba aastaid.
Miks see varem ilmsiks ei tulnud? Ainus tee grupiga ühineda on ennast sisse osta originaalfotodega („võitudega”, nagu nad neid nimetavad), mis te olete ise hankinud
Need tüübid on ka ahned tõprad. Kui te oleksite ainus inimene maailmas, kelle käes on jlaw [Jude Law] alastipildid, kas te tõesti jagaksite need laiali? Tasuta??
Need sellid korraldavad kuulsustele individuaalseid rünnakuid, kasutades segu sotsiaalsest manipuleerimisest ja (eriti kättesaamatute sihtmärkide puhul) otsesest häkkimisest
Nad kauplevad omavahel oma kollektsioonide täiendamiseks
Siseringi võetakse väga harva kedagi juurde – väga vähesed kuulevad sellest ja veel vähesematel on n00de, et ennast sisse osta …
Välja arvatud isehakanud „rikkur” … näib, et ta ostis paar näidispilti ja paljastas kogu tegevuse, jagades neid esimest korda väljaspool suletud ringi
Mõistes, et n00dide kollektsiooni olemasolu on ilmsiks tulnud ja nähes oma võimalust, tulid paar teist kutti kapist välja ja pakkusid osa oma kollektsioonist välja
Lihtne on sellised inimesed kuulutada pervertideks ja väärastunuteks, kuid nende ohvritele pole see naljaasi. Ka kõige energilisem ja kallim juriidiline lahend ei kustuta varastatud fotosid internetist. Sama kiiresti, kui teil õnnestub veenda mõnd saiti pilte maha võtma, paneb mõni muu need üles. Te ei saa kunagi kindel olla, et need uuesti välja ei ilmu – kusagil, kellegi arvutis on need olemas ja nende ülespanekuks kulub vaid mõni hiireklõps. Üks esimesi arvutiajastu õppetunde oli see, et arvuti võib üles öelda. Seetõttu meeldib kasutajaile oma andmetest koopiaid teha ja neid eri kohtades hoida. Kuid üht tüüpi probleemi vältimine tekitas teise. Ülalpool nimetatud ründe kuulsustest ohvrid ei hoidnud oma hinnalisi fotosid vaid ühes arvutis või telefonis, sest koos turvalisusega soovisid nad ka mugavust. Materjali pilve (paljudest arvutitest koosnev võrk, mille haldamisega tegeleb keegi kaugemalt, näiteks Google või Apple) laadimine tähendab, et pääsete sellele ligi igalt poolt ja igal ajal, kui soovite.
Mugavus on tõepoolest eelis. Aga turvatunne oli vaid illusoorne. Sissetungijad said fotod kerge vaevaga kätte, sest Apple, üks suuremaid arvutifirmasid maailmas, oli teinud kasutajakontodesse sissemurdmise hämmastavalt lihtsaks.
Apple eitab seda. Ta ütleb, et oli vargusest kuuldes nördinud, ja väitis, et rünnak oli „väga täpselt suunatud” kasutajanimede, paroolide ja turvaküsimuste varguseks. Ükski juhtum ei olnud Apple’i väidetel põhjustatud „nõrkusest üheski Apple’i süsteemis”. See on tõsi. Häkkerid ei kasutanud kavalaid häkkimistehnikaid, et Apple’i arvutivõrku sisse murda. Selle asemel kasutasid nad ära mitmeid vigu ettevõtte turvaprotseduurides. Esimeseks sammuks
