Cyberbroń i wyścig zbrojeń. Mówią mi, że tak kończy się świat. ebook

Tytuł oryginału: This Is How They Tell Me the World Ends : The Cyberweapon Arms Race

Przekład: Katarzyna Mironowicz

Redakcja: Ewa Skuza

Korekta: Maria Żółcińska

Projekt okładki: Michał Duława

Skład: JOLAKS – Jolanta Szaniawska

Opracowanie wersji elektronicznej:

Copyright © Nicole Perlroth 2021

All rights reserved.

This translation of This Is How They Tell Me the World Ends is published by MT Biznes Sp. z o.o. by arrangement with Bloomsbury Publishing Inc. and Macadamia Literary Agency, Warsaw.

All rights reserved.

Copyright © 2022 for the Polish edition by MT Biznes Sp. z o.o.

All rights reserved.

Copyright © 2022 for the Polish translation by Katarzyna Mironowicz

All rights reserved.

Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentów niniejszej publikacji w jakiejkolwiek postaci zabronione. Wykonywanie kopii metodą elektroniczną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym, optycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Niniejsza publikacja została elektronicznie zabezpieczona przed nieautoryzowanym kopiowaniem, dystrybucją i użytkowaniem. Usuwanie, omijanie lub zmiana zabezpieczeń stanowi naruszenie prawa.

Warszawa 2022

Wydanie pierwsze

MT Biznes sp. z o.o.

www.mtbiznes.pl

[email protected]

ISBN 978-83-8231-174-7 (e-book w formacie epub)

ISBN 978-83-8231-175-4 (e-book w formacie mobi)

Głosy uznania dla Cyberbroń i wyścig zbrojeń

Prawdopodobnie najważniejsza książka roku. (…) Nicole Perlroth w sposób precyzyjny, klarowny i porywający przedstawia niezwykle ciekawe fakty dotyczące ukrytego wyścigu zbrojeń. Pozycja obowiązkowa.

– Booklist

Pełna mocy i energii książka Nicole zachwyca na każdej stronie, czyta się ją jak doskonały reportaż. Taką opowieść usłyszysz wyłącznie, stojąc przy barze z drinkiem w ręku. Błyskotliwie i odważnie ukazała najciemniejsze zakątki internetu, gdzie hakerzy i rządy potajemnie handlują i zbroją się przed nadchodzącą wojną. To opowieść barwna i jednocześnie wciągająca. Przygotuj się na szaloną jazdę bez trzymanki, od pierwszej do ostatniej strony. Cyberbroń i wyścig zbrojeń to także wezwanie do podjęcia natychmiastowych działań, zanim nasz podłączony do sieci świat wymknie się spod kontroli. Od dziesięciu lat zajmuję się cyberbezpieczeństwem i mimo to zdanie po zdaniu zastanawiałem się: „Jak ona do tego doszła? Jak się pisze tak dobrą książkę?”.

– Garrett M. Graff, autor bestsellerowej książki „New York Timesa” Jedyny samolot na niebie

Jest to pierwszy rys historyczny. Za opowieścią Perlroth kryje się pytanie o aspekt etyczny: Jakie postępowanie należy uznać za właściwe? Wydaje się, że wielu bohaterów książki Perlroth nigdy nie zadało sobie tego pytania. Przyświecały im cele koniunkturalne lub krótkoterminowe. Nierzadko i jedne, i drugie. Wstrząsająca opowieść o hakerach, handlarzach lukami bezpieczeństwa oraz szpiegach skłania do poważnych przemyśleń.

– Steven M. Bellovin

Mroczny świat handlu lukami zero-day przez długie dekady pozostawał w ukryciu i tylko niewielu uczestników procederu było skłonnych uchylić rąbka tajemnicy. Nicole Perlroth wykonała wielką pracę, dotarła do wnętrza tego świata, przekonała jego mieszkańców do zwierzeń, dając fascynujące świadectwo powagi sytuacji.

– Kim Zetter, autorka książki Countdown to Zero Day

Nicole Perlroth dokonała tego, co nie udało się wielu autorom zajmującym się cyberatakami: snuje merytoryczną i jednocześnie porywającą opowieść, jak kumpel przy piwie w ulubionym barze. Trudno się oderwać.

– Nina Jankowicz, autorka książki How to Lose the Information War

Nicole Perlroth obdarowała czytelników porywającą opowieścią o cyfrowym świecie. Autorka ukazuje fascynujący obraz sponsorowanych przez rząd elit świata cyfrowego, które raz nas chronią, a innym razem stwarzają zagrożenie. Za każdym razem nieźle na tym zarabiają.

– Glenn Kramon, były wydawca „New York Timesa”

Ta książka to prawdziwy thriller. Znakomity obraz wysoce dochodowej branży stworzonej dla naszej ochrony, a która niepostrzeżenie prowadzi nas w stronę kolejnej wojny światowej.

– John Markoff, były reporter „New York Timesa”, specjalista do spraw cyberbezpieczeństwa

Obnaża brutalną rzeczywistość, którą charakteryzuje dezinformacja, hakerstwo oraz bezbronność systemów informatycznych. To prawdziwa pięta achillesowa współczesnej demokracji. Jako naukowiec i jako inżynier pracujący w branży jestem przerażony. Zdecydowanie polecam.

– Dr Gary McGraw, założyciel Berryville Institute of Machine Learning oraz autor książki Software Security

Błyskawiczna podróż dookoła świata z galerią zwariowanych bohaterów i ich niesamowitych historii walki o władzę w internecie. Trudno uwierzyć, że wszystko to wydarzyło się naprawdę.

– Alex Stamos, dyrektor Stanford Internet Observatory oraz były menedżer do spraw bezpieczeństwa w Facebooku i Yahoo

Michael Crichton ze szczyptą Johna le Carré… fascynująca.

– „The New Yorker”

Tristanowi, który zawsze potrafił wyciągnąć mnie z moich sekretnych kryjówek.

Heathowi, który zdecydował się mnie poślubić, choć dobrze się przed nim ukryłam.

Holmesowi, który znalazł azyl w moim łonie.

Coś się dzieje.

Coś tu nie gra.

Jakiś człowiek z bronią ostrzega, Każe mieć się na baczności.

Czas się zatrzymać, słyszysz to, co ja,

Ludzie, otwórzcie oczy

BUFFALO SPRINGFIELD

Od autorki

Książka ta jest owocem siedmiu lat pracy nad wywiadami z ponad trzema setkami osób, które uczestniczyły, śledziły lub były bezpośrednio dotknięte przez podziemny przemysł cyberbroni. Wśród moich rozmówców znaleźli się hakerzy, aktywiści, dysydenci, naukowcy, specjaliści IT, przedstawiciele administracji USA i rządów innych krajów, biegli sądowi oraz zleceniobiorcy.

Wielu z nich nie wahało się poświęcić długich godzin, a nawet dni, na odtworzenie szczegółów określonych wydarzeń i rozmów przywołanych na stronach niniejszej książki. Prosiłam swoje źródła o udostępnienie, w miarę możliwości, dokumentacji w postaci umów, korespondencji mailowej, wiadomości oraz cyfrowych okruchów, które w wielu przypadkach zostały uznane za tajne lub uprzywilejowane na mocy umów zobowiązujących do zachowania poufności. Zdarzenia przywołane przez moje źródła znajdują potwierdzenie w nagraniach audio, zapiskach w kalendarzach oraz notatkach.

Ze względu na wrażliwy charakter omawianej materii wielu rozmówców zgodziło się na wywiad pod warunkiem nieujawniania ich tożsamości. Dwie osoby występują w książce pod zmienionym imieniem i nazwiskiem. Ich relacje – w miarę możliwości – zostały sprawdzone. Część moich źródeł wyraziła zgodę jedynie na zweryfikowanie relacji innych informatorów.

Czytelnik nie powinien zakładać, że jakakolwiek osoba wymieniona na tych stronach była bezpośrednim uczestnikiem opisywanych wydarzeń lub dialogów. Niejednokrotnie uczestnicy zdarzeń byli jedno­­cześ­nie źródłem informacji, jednak niektóre relacje pochodzą od świadków, osób trzecich lub, jeśli było to możliwe, z pisemnych dokumentów.

W przypadku handlu cyberbronią nietrudno zauważyć, że hakerzy, nabywcy, sprzedawcy, a także rządy jak ognia unikają dokumentacji pisemnej. Wiele relacji i anegdot nie znalazło się na stronach książki ze względu na brak wiarygodnych informacji potwierdzających przytoczone fakty. Liczę na wyrozumiałość czytelników.

Zrobiłam wszystko, co w mojej mocy, jednak rynek handlu cyberbronią wciąż jest hermetyczny i poznanie wszystkich jego tajników graniczy z cudem. Wszelkie błędy biorę na siebie.

Głęboko wierzę, że moja praca pozwoli zajrzeć choćby przez dziurkę od klucza do tajemnego, wręcz niewidzialnego świata przemysłu cyberbroni, dzięki czemu każdy z nas, żyjący w centrum cyfrowego tsunami, będzie miał szansę zabrać głos, zanim będzie za późno.

Nicole Perlroth

listopad 2020

Prolog

Kijów, Ukraina

Kiedy w 2019 rokuw środku zimy lądowałam w Kijowie, nikt nie miał pewności, czy atak już się zakończył, czy najgorsze miało dopiero nadejść.

Gdy samolot znalazł się w przestrzeni powietrznej Ukrainy, na pokładzie dało się odczuć z trudem skrywaną panikę i wszechobecną paranoję. Samolotem miotały silne turbulencje. Z tylnej części pokładu dobiegały odgłosy walki z nudnościami. Moja sąsiadka, ukraińska modelka, chwyciła mnie z całych sił za rękę, zamknęła oczy i pogrążyła się w modlitwie.

Sto metrów pod nami Ukraina ogłosiła pomarańczowy alert. Gwałtowne wichury zrywały dachy budynków, porywając ich szczątki wprost na zatłoczone ulice miast. Wioski na obrzeżach stolicy i w zachodniej części Ukrainy ponownie pogrążyły się w ciemnościach. Jeszcze zanim samolot gwałtownie osiadł na płycie pasa startowego międzynarodowego portu lotniczego Kijów-Boryspol, żołnierze ukraińskiej straży granicznej pytali w nerwach: porywista wichura czy może kolejny rosyjski cyberatak? W tamtym czasie wszystko było możliwe.

Dzień wcześniej pożegnałam najbliższych i wyruszyłam na mroczną wyprawę do Kijowa. Pragnęłam się przekonać, co zastanę na miejscu po najpotężniejszym cyberataku w historii. Świat wciąż jeszcze nie otrząsnął się ze skutków rosyjskiego aktu cyberagresji na Ukrainę, który miał miejsce niemal dwa lata wcześniej, zakłócając działanie agencji rządowych, linii kolejowych, bankomatów, stacji benzynowych, urzędów pocztowych, a nawet monitorów promieniowania w nieczynnej elektrowni jądrowej w Czarnobylu. Opuściwszy granice Ukrainy, szkod­liwy kod wyruszył na szaleńczy rajd po całym świecie – sparaliżował działanie zakładów przemysłowych na dalekiej Tasmanii, zniszczył partie szczepionek farmaceutycznych gigantów, włamał się do komputerów firmy FedEx i w kilka minut zatrzymał w drodze tysiące kurierów najważniejszego gracza na rynku przewozu przesyłek.

Kreml perfidnie wybrał dzień ataku – ukraiński Dzień Konstytucji w roku 2017. Tego właśnie dnia, który stanowi odpowiednik amerykańskiego Dnia Niepodległości, wysłano Ukraińcom złowieszczą wiadomość. Niepodległość nie polega na świętowaniu. Matka Rosja nigdy nie zapomina o swoich dzieciach.

Atak był kulminacją serii eskalujących, perfidnych rosyjskich cyber­ataków przeprowadzanych w ramach zemsty za ukraińską rewolucję z 2014 roku, gdy tysiące Ukraińców zbuntowały się przeciwko dominacji Kremla. Zgromadzeni tłumnie na Placu Niepodległości w Kijowie żądali ustąpienia ze stanowiska marionetki Putina, prezydenta Wiktora Janukowycza.

W efekcie Putin udzielił obalonemu Janukowyczowi azylu, a następnie wysłał wojska na podbój Półwyspu Krymskiego, raju nad Morzem Czarnym, który jak drogocenny diament wieńczył południowe wybrzeża Ukrainy. Krymu, który Churchill ochrzcił mianem Riwiery Hadesu. Obecnie gorący półwysep znajduje się pod kontrolą Rosji jako szatański symbol putinowskich potyczek z Ukrainą.

To nie był pierwszy raz, kiedy Rosja wysyła swoją cyberarmię na wojnę z byłą republiką sowiecką. Kremlowscy hakerzy z zacięciem rozdają kuksańce na prawo i lewo za pomocą cyfrowego impulsu. Od pięciu lat przeprowadzają na Ukrainie tysiące cyberataków dziennie i nieustannie skanują tamtejsze sieci informatyczne w poszukiwaniu słabych punktów – łatwych haseł, wadliwych kodów, nielegalnego i niedopracowanego oprogramowania czy pospiesznie implementowanych zapór sieciowych. Ich celem stał się wielki cyfrowy chaos, a wszystko po to, by zasiać niezgodę i kwestionować prozachodnie przywództwo Ukrainy.

Kodeks postępowania hakerów Putina składał się z dwóch punktów. Po pierwsze zakaz działalności hakerskiej w kraju. Po drugie pełna dyspozycyjność wobec Kremla, bez względu na rodzaj zadania. Poza tym hakerzy cieszyli się szeroką autonomią, nie wspominając o przychylności wszechwładnego Putina. W rozmowie z grupą dziennikarzy w czerwcu 2017 roku Putin miał powiedzieć, że rosyjscy hakerzy są „jak artyści; budzą się rano w wyśmienitym nastroju, by stanąć przed sztalugą, na której powstaje wielkie dzieło sztuki”. Rozmowa ta odbyła się zaledwie 3 tygodnie przed rozmontowaniem systemów informatycznych Ukrainy. Rosyjski przywódca podkreślił: „Gdyby dopatrywać się pobudek patriotycznych, można wspomnieć o potrzebie walki z siłami, które atakują dobre imię Rosji”.

Ukraina posłużyła Rosji jako poligon doświadczalny, wypalona ziemia, na której mogła przetestować narzędzia i triki hakerskie ze swojego cyfrowego arsenału bez obawy o odwet. Już w roku 2014, nie zwlekając, rosyjskie trolle i media storpedowały ukraińskie wybory zmasowaną kampanią dezinformacyjną, na zmianę zrzucając winę za prozachodnie powstania, na wojskową juntę lub określone siły w Ameryce i w Europie. Hakerzy uciekali się do kradzieży kampanijnej korespondencji mailowej, przenikali w struktury organów wyborczych, usuwali pliki, infekowali złośliwym oprogramowaniem krajowy system raportowania wyborów, fałszywie ogłaszając zwycięstwo niszowego, skrajnie prawicowego kandydata, co zostało wykryte przez Ukraińców tuż przed podaniem ostatecznych wyników wyborów do mediów. Eksperci uznali tę operację za najbardziej zuchwałą próbę manipulacji wyborami na szczeblu krajowym w historii.

Patrząc wstecz, wydaje się jasne, że tego rodzaju działania powinny postawić na baczność amerykańskich polityków. Jednak w roku 2014 ich uwaga koncentrowała się przede wszystkim na aktach przemocy w Ferguson w stanie Missouri, nieprzewidywalnych atakach ze strony ISIS, jak również na grudniowym ataku hakerów północnokoreańskich na Sony Pictures, czym zajmowałam się osobiście. Cyberżołnierze Kim Dzong Una dokonali w ten sposób zemsty za produkcję komedii autorstwa Setha Rogena i Jamesa Franco, której tematem był zamach na ich Słońce Narodu. Azjatyccy informatycy zaatakowali serwery wytwórni, wysyłając maile o treści upokarzającej kierownictwo Sony Pictures, dostarczając tym samym Putinowi doskonałego materiału instruktażowego.

Większość Amerykanów nie czuła żadnego związku z odległą Ukrainą. W programach informacyjnych pojawiały się wprawdzie zdjęcia osób protestujących na Placu Niepodległości i potem obywateli świętujących powołanie nowego, prozachodniego przywództwa w miejsce marionetkowego, uzależnionego od Rosji prezydenta, ale tylko nieliczni uważnie przyglądali się wydarzeniom na wschodzie Ukrainy. Szeroko komentowano jedynie zestrzelenie przez Rosjan samolotu malezyjskich linii lotniczych z holenderskimi pasażerami na pokładzie.

Szkoda, że nie byliśmy bardziej uważni. Dostrzeglibyśmy wówczas wielkie, czerwone światło ostrzegawcze w postaci zagrożonych serwerów w Singapurze i w Holandii, przerw w dostawie energii elektrycznej, łamania kodów.

Nietrudno było zauważyć, że celem nie była Ukraina. Działa skierowano na nas.

Rosyjska ingerencja w proces wyborczy na Ukrainie to zaledwie pierwsza salwa w tej wojnie, znaczonej cyberagresją i destrukcją, jakiej świat wcześniej nie widział.

Rosjanie napisali swój podręcznik czasów zimnej wojny i nie wahają się teraz z niego korzystać. Jadąc taksówką z lotniska Boryspil do centrum Kijowa, mijałam Plac Niepodległości – krwawiące serce ukraińskiej rewolucji. Zastanawiałam się, którą stronę tego podręcznika teraz studiują i czy kiedykolwiek będziemy w stanie przewidzieć ich kolejny krok.

Istotą polityki zagranicznej Putina było podważenie kontroli Zachodu nad relacjami międzynarodowymi w wymiarze globalnym. Każdy atak hakerski, każda kampania dezinformacji prowadzona przez cyberarmię Putina miała na celu uwikłanie oponentów w konflikty wewnętrzne i tym samym odwrócenie ich uwagi od prawdziwego celu rosyjskiego przywódcy. Dla niego liczyło się osłabienie poparcia dla zachodniej demokracji, a co za tym idzie dla NATO – jedynej organizacji, która trzymała Putina w szachu.

Im bardziej Ukraińcy byli rozczarowani (tak przy okazji: gdzie podziali się ich zachodni protektorzy?), tym bardziej prawdopodobny wydawał się odwrót od wartości prodemokratycznych, prosto w lodowate objęcia Matki Rosji.

Cóż mogłoby bardziej zirytować Ukraińców i wywołać u nich większe wątpliwości co do nowego rządu niż odcięcie źródeł ciepła i prądu w środku zimy? 23 grudnia 2015 roku, zaledwie dzień przed Wigilią Bożego Narodzenia, Rosja przekroczyła cyfrowy Rubikon. Ci sami hakerzy, którzy miesiącami zastawiali pułapki i wywoływali cyfrowe eksplozje w mediach oraz instytucjach rządowych, ukradkiem moś­cili sobie gniazdko w krajowych elektrowniach. W grudniu włamali się do systemów informatycznych kontrolujących sieci energetyczne i skrupulatnie wyłączali jeden obwód za drugim, pozostawiając setki tysięcy Ukraińców bez prądu. Na wszelki wypadek odcięli także telefony alarmowe, a jakby tego było mało – wyłączyli również zasilanie awaryjne centrów dystrybucyjnych na Ukrainie. W efekcie operatorzy błądzili w ciemnościach.

Przerwa w dostawie prądu nie trwała długo – niecałe sześć godzin. Jednak to, co wydarzyło się tego dnia na zachodzie kraju, nie miało dotychczas precedensu w historii. Prorocy cyberprzestrzeni oraz wyznawcy spiskowej teorii dziejów przez wiele lat ostrzegali przed cyber­atakami na sieci energetyczne, jednak do 23 grudnia 2015 roku nikt nie odważył się porwać na atak na skalę całego kraju.

Putinowscy agresorzy zrobili, co w ich mocy, by ukryć swoje lokalizacje, prowadząc działania za pośrednictwem zainfekowanych serwerów ulokowanych w Singapurze, Holandii oraz w Rumunii, stosując przy tym niespotykany wcześniej poziom maskowania. Niebezpieczna broń wnikała w ukraińskie systemy w postaci niewinnie wyglądającego, drobnego oprogramowania rozbrajającego działanie detektorów zagrożeń. Randomizacja kodów pozwalała omijać zapory antywirusowe. Ukraińskie władze od początku nie miały jednak wątpliwości, kto stoi za zuchwałymi atakami. Czas i zasoby niezbędne do odpalenia ataku na sieć energetyczną o tak wysokim stopniu zaawansowania były po prostu poza zasięgiem otyłego, domorosłego hakera pracującego we własnym łóżku.

Wyłączenie prądu nie wiązało się z żadnymi korzyściami finansowymi. To było zadanie polityczne wysokiej rangi. W kolejnych miesiącach specjaliści do spraw bezpieczeństwa potwierdzili tę wersję zdarzeń. Dochodzenie doprowadziło ich do słynnej rosyjskiej jednostki wywiadowczej. Sprawa została nagłośniona. Atak miał na celu przypom­nienie Ukraińcom, jak słaby jest ich rząd, jak silna jest Rosja oraz jak dalece cyfrowa armia Putina zadomowiła się w ich systemach informatycznych, że jest w stanie na każde zawołanie zgasić światło w całym kraju.

Aby rozwiać ewentualne wątpliwości, ta sama grupa rosyjskich hakerów przypomniała o sobie rok później, ponownie przerywając dostawy energii elektrycznej w grudniu 2016 roku. Tym razem jednak udało im się odciąć ogrzewanie i dopływ prądu w sercu Ukrainy – Kijowie. Taki pokaz tupetu i zarazem wysokich kompetencji wywołał zaniepokojenie nawet amerykańskich odpowiedników rosyjskich hakerów w siedzibie Agencji Bezpieczeństwa Narodowego w Fort Meade w stanie Maryland.

Przez lata służby wywiadowcze uważały Rosję i Chiny za najpotężniejszych wrogów Stanów Zjednoczonych w cyberprzestrzeni. Wydaje się jednak, że to Chińczycy bardziej zaleźli Amerykanom za skórę, nie tyle ze względu na zaawansowane narzędzia walki, co niebywałą aktywność i kreatywność na polu kradzieży tajemnic handlowych. Dyrektor NSA (National Security Agency – amerykańska wewnętrzna agencja wywiadowcza – przyp. tłum.) Keith Alexander powiedział, że cyberszpiegostwo w wydaniu chińskim to „największy transfer bogactwa w historii”. Chiny na potęgę kradły Stanom Zjednoczonym wszystko, co się dało ukraść w przestrzeni wartości intelektualnej, by następnie przekazywać je swoim przedsiębiorstwom państwowym do powielenia.

Na czele amerykańskiej listy cyberzagrożeń poczesne miejsce zajmują także Iran oraz Korea Północna, które zawsze demonstrowały wrogie nastawienie do Stanów Zjednoczonych. Iranowi przypisuje się winę za atak na internetowe strony amerykańskich banków oraz za zniszczenie komputerów Sands Casino w Las Vegas w akcie zemsty za to, że prezes zarządu spółki Sands Sheldon Adelson publicznie nakłaniał amerykańską administrację do zbombardowania Iranu. Irańscy cyberprzestępcy stoją za pojedynczymi atakami hakerskimi na szpitale, spółki, a nawet na całe miejscowości na terenie Stanów Zjednoczonych. Korea Północna infekowała amerykańskie serwery z zemsty za holly­woodzkie wycieczki pod adresem filmowych gustów Kim Dzong Una. Niedługo potem cyfrowa służba Słońca Narodu obrabowała jeden z banków w Bangladeszu na kwotę 81 milionów dolarów.

Bez wątpienia Rosja zawsze należała do światowej elity świata cyberprzestępców. Jej działania charakteryzowały się finezją i wysokim stopniem zaawansowania. Rosyjscy hakerzy zdołali włamać się do systemów Pentagonu, Białego Domu, kolegium Połączonych Szefów Sztabów oraz Departamentu Stanu, a rosyjska organizacja młodzieżowa Nasi – na bezpośredni rozkaz Kremla bądź z pobudek patriotycznych – w reakcji na zmianę lokalizacji pomnika upamiętniającego sowieckie rządy w Estonii odcięła dopływ energii elektrycznej w całym kraju. Efektem jednego z cyberataków wycelowanych w islamskich fundamentalistów było wyłączenie 12 kanałów telewizyjnych we Francji. Rosjanie zostali też przyłapani na rozpracowywaniu systemu kontroli bezpieczeństwa spółki naftowej w Arabii Saudyjskiej, skąd tylko krok do wywołania sterowanej cyfrowo eksplozji. To oni storpedowali brytyjskie referendum w sprawie brexitu, zaatakowali sieć energetyczną USA, maczali palce w przebiegu amerykańskich wyborów w 2016 roku, starali się wpływać na wynik głosowania we Francji, a nawet na organizację samych igrzysk olimpijskich.

Jednak przez większą część 2016 roku amerykańskie służby wywiadowcze nie miały wątpliwości co do wyższości własnych możliwości w porównaniu z przeciwnikami. Kreml testował swój najbardziej zaawansowany arsenał broni cyfrowej na Ukrainie i, jak donosiły amerykańskie służby kontrwywiadowcze, jego siła rażenia nijak miała się do tego, czym dysponowały Stany Zjednoczone.

Niewykluczone, że przez pewien czas założenie to było zgodne z prawdą. Nikt nie był jednak wówczas w stanie przewidzieć, jak długo Stany Zjednoczone pozostaną hegemonem w cyberprzestrzeni. Jak się okazało, w latach 2016 i 2017 wrogo nastawione kraje na całym świecie nadrobiły zaległości. Począwszy od roku 2016 z bazy danych amerykańskiej agencji wywiadowczej NSA, gdzie biło serce cyberarmii USA, zaczęły wyciekać cenne informacje. Za przestępczymi działaniami stała tajemnicza grupa, której do dziś nie udało się zidentyfikować. Przez dziewięć miesięcy tajemniczy haker lub grupa hakerów – wciąż nie mamy pojęcia, kto uprzykrza życie NSA – funkcjonujący pod nazwą Shadow Brokers wyprowadzał z systemów NSA narzędzia hakerskie oraz kody krajów, cyberprzestępców lub terrorystów w celu wykorzystania ich na użytek własnych podbojów cyberprzestrzeni.

Wycieki danych przypisywane Shadow Brokers trafiały na pierwsze strony gazet, jednak jak większość informacji publikowanych w latach 2016–2017 nie utkwiły one na długo w amerykańskiej świadomości. Społeczne wyobrażenie o tym, co się wówczas dokonywało, było – delikatnie mówiąc – nieadekwatne do powagi sytuacji. Obywatele nie mieli pojęcia, w jakim stopniu już wkrótce mogą ucierpieć NSA, nasi sojusznicy, największe amerykańskie korporacje, jak również maleńkie miasteczka czy ogromne metropolie.

Za sprawą Shadow Brokers na światło dzienne wyciekły informacje dotyczące najpotężniejszej i najbardziej niewidocznej cyberarmii świata. Tajemniczym hakerom udało się obnażyć program rządowy zakrojony na niespotykaną wcześniej skalę, ujawnić cyberbroń i działania szpiegowskie skrywane tak pieczołowicie, że próżno by szukać wzmianki na ich temat w jakiejkolwiek dokumentacji. Tajne operacje prowadzone były pod przykrywką fasadowych korporacji, specjalnie w tym celu zatrudnianych pracowników, czarnych budżetów, umów o zachowaniu poufności oraz, we wczesnym okresie, za pomocą gigantycznych walizek wypchanych po brzegi gotówką.

Gdy Shadow Brokers rozpoczynali stopniowe wyprowadzanie z NSA informacji na temat cyberarsenału USA, ja już od czterech lat zajmowałam się rozpracowywaniem programu ofensywy amerykańskiej i udało mi się dotrzeć do dokumentów ujawnionych przez Edwarda J. Snowdena, byłego zleceniobiorcę NSA. Prześledziłam trzydziestoletnią historię programu. Miałam okazję spotkać ojca chrzestnego całego przedsięwzięcia. Poznałam zaangażowanych w projekt hakerów, dostawców i wynajętych pracowników. Nawiązałam bliskie kontakty z naśladowcami amerykańskich cyberwojowników na całym świecie. Z czasem poznałam historie mężczyzn i kobiet, których życie w wyniku przeprowadzonych cyberataków legło w gruzach.

Jedyne, czego nie udało mi się zaobserwować z bliska, to skutków przejęcia cybernarzędzi NSA przez siły wroga.

Nic dziwnego więc, że w marcu 2019 roku pojawiłam się na Ukrai­nie, by na własne oczy zobaczyć wojenne zgliszcza.

Rosyjskie ataki na ukraińską sieć energetyczną zapoczątkowały nowy rozdział w historii cyberwojen. Jednak nawet te przeprowadzone w 2015 roku nie mogły się równać z wydarzeniami, które miały miejsce dwa lata później, gdy Rosja weszła w posiadanie najpilniej strzeżonych narzędzi hakerskich NSA.

27 czerwca 2017 roku Kreml odpalił cyberbroń NSA na Ukrainie, co okazało się najbardziej destrukcyjnym i kosztownym cyberatakiem w historii świata. Tego popołudnia zgasły ekrany wszystkich urządzeń na terenie kraju. Ukraińcy nie mogli pobrać gotówki z bankomatu, zapłacić za paliwo na stacji benzynowej, wysłać lub odebrać maila, kupić biletu na pociąg, zrobić zakupów spożywczych, odebrać włas­nego wynagrodzenia oraz, co najgorsze, monitorować poziomu promieniowania radioaktywnego w elektrowni w Czarnobylu. Konsekwencje ataku odczuwalne były także poza granicami Ukrainy.

Ucierpiały firmy prowadzące działalność na terenie tej byłej radzieckiej republiki. Każdy ukraiński pracownik międzynarodowej organizacji stanowił furtkę do sieci globalnej. Zaatakowano komputery spółek farmaceutycznych Pfizera oraz Mercka, gigantów na rynku przewozów i dostaw, czyli firm Maersk oraz FedEx, jak również producenta wyrobów czekoladowych Cadbury w jego fabrykach zlokalizowanych na Tasmanii. Fala ataków uderzyła rykoszetem w samą Rosję, gdzie ucierpiały bazy danych potentata naftowego Evraz oraz producenta stali będącego własnością dwóch rosyjskich oligarchów. Za pomocą wykradzionego z NSA kodu Rosjanie przypuścili więc atak rozsiewający złośliwe oprogramowanie na całym świecie. Atak, który tylko Mercka i FedEx kosztował miliard dolarów.

W czasie mojej wizyty w Kijowie w roku 2019 Ukraińcy wciąż jeszcze liczyli straty. W tym momencie szacowano je na ponad 10 miliardów dolarów. System dostaw i komunikacja kolejowa nie wróciły do pełnej sprawności. Na terenie całego kraju trwały poszukiwania przesyłek zaginionych w czasie załamania systemu. Do dziś nie wypłacono świadczeń emerytalnych wstrzymanych w efekcie ataku, podczas którego uległy zniszczeniu bazy danych osób uprawnionych.

Specjaliści z dziedziny bezpieczeństwa nadali tej napaści niefortunną nazwę: NotPetya. Początkowo winę za atak przypisano działaniu oprogramowania typu ransomware o nazwie Petya, wykorzystywanego do wyłudzania okupu, jednak z czasem stało się jasne, że Rosjanie celowo stworzyli oprogramowanie na wzór przeciętnego programu szantażującego. Nawet po wpłaceniu okupu istniały zerowe szanse na odzyskanie jakichkolwiek danych. Atak okazał się odpaloną w całym kraju cyfrową bronią masowego rażenia.

Na Ukrainie spędziłam następne dwa tygodnie smagana lodowatymi podmuchami wiatru z Syberii. Rozmawiałam z dziennikarzami. Stałam na Placu Niepodległości ramię w ramię z mieszkańcami protestującymi w celu upamiętnienia rewolucyjnych wydarzeń znaczonych rozlewem krwi. Penetrowałam zakamarki strefy przemysłowej, gdzie cyfrowi detektywi pokazali mi rumowisko, jakie pozostawił po sobie NotPetya. Spotkałam ukraińską rodzinę właścicieli firmy dostarczającej każdej znaczącej organizacji i spółce oprogramowanie do rozliczania podatków. To oni odegrali dla hakerów rolę Pacjenta Zero. Rosjanie sprytnie rozesłali złośliwe oprogramowanie pod postacią uaktualnienia programu służącego do rozliczeń podatkowych. Po fakcie pracownicy firmy nie wiedzieli, czy śmiać się, czy płakać nad tym, jaką rolę odegrali w ogólnokrajowej cyberwojnie. Odbyłam rozmowy z szefem ukraińskiej policji ds. cyberprzestępczości oraz z każdym ministrem ukraińskiego rządu, który wyraził wolę spotkania się ze mną.

Odwiedziłam amerykańskich dyplomatów w ambasadzie USA tuż przed tym, jak zostali uwikłani w proces impeachmentu prezydenta Donalda Trumpa. W dniu, w którym złożyłam im wizytę, pracownicy placówki borykali się z problemem najnowszej rosyjskiej kampanii dezinformacyjnej – kremlowskie trolle zaatakowały na Facebooku strony chętnie odwiedzane przez młode ukraińskie matki, siejąc anty­szczepionkową propagandę. Działo się to w czasie, kiedy kraj zmagał się z najgorszą we współczesnej historii epidemią odry. Ukraina wykazywała jeden z najniższych wskaźników szczepień na świecie, a Kreml skutecznie wykorzystywał panujący chaos. Gdy choroba zaczęła się pojawiać w USA, trolle Putina już były gotowe, by bombar­dować Amerykanów antyszczepionkowymi memami, na oczach bezradnych instytucji państwowych. Podobną niemocą urzędnicy wykazali się zresztą rok później, gdy Rosjanie rozpętali burzę propagandową wokół pandemii, szerząc teorie spiskowe na temat Covid-19. Jedna z nich wskazywała, że koronawirus to wyprodukowana w amerykańskich laboratoriach broń biologiczna, inna oskarżała Billa Gatesa o wywołanie kryzysu i zarabianie kolejnych miliardów na szczepionkach. Rosja wydawała się iść na całość, dzieląc i przejmując kontrolę nad chaosem.

Jednak zimą 2019 roku wszyscy byli zgodni co do tego, że akcja NotPetya to najbardziej zuchwały ze wszystkich dotychczasowych ataków Kremla. Nie spotkałam w Kijowie ani jednego mieszkańca, który pozostawałby obojętny wobec ataku. Każdy dokładnie pamiętał, gdzie się wówczas znajdował i co robił w momencie, gdy zgasły ekrany komputerów. Nazwali go Czarnobylem XXI wieku. Tymczasem w dawnej elektrowni atomowej, oddalonej o około 150 kilometrów na północ od Kijowa, komputery stały się „czarne, czarne, czarne” – wspominał Siergiej Gonczarow, gburowaty kierownik techniczny elektrowni w Czarnobylu.

Gonczarow wracał z przerwy na lunch, gdy zegar wskazał 13.12, i właśnie w tym momencie, zaledwie w ciągu 7 minut, zgasły ekrany 25 komputerów. Rozdzwoniły się telefony, wszystko przestało działać. Podczas gdy Gonczarow usiłował przywrócić działanie czarno­bylskiej sieci, uzyskał informację, że komputery monitorujące poziom promieniowania w miejscu, w którym ponad trzy dekady wcześ­niej doszło do wybuchu, również przestały działać. Nikt nie miał pojęcia, czy promieniowanie pozostało na bezpiecznym poziomie, czy i tu mieliśmy do czynienia z aktem sabotażu.

„W tym momencie byliśmy całkowicie pochłonięci przywracaniem sprawności naszych komputerów, nie zaprzątaliśmy więc sobie głowy tym, co jest źródłem zamieszania” – powiedział mi Gonczarow. „Kiedy jednak tylko nieco ochłonęliśmy z pierwszego szoku i dostrzegliśmy tempo, w jakim rozprzestrzenia się wirus, stało się jasne, że padliśmy ofiarą poważnego, zmasowanego ataku”.

Gonczarow chwycił megafon i nakazał każdemu, kto go słyszy, wyjąć wtyczkę komputera z gniazdka. Pozostałych poprosił, aby wyszli na zewnątrz i rozpoczęli ręczne monitorowanie poziomu promieniowania nad Strefą Wykluczenia.

Trudno nazwać Gonczarowa człowiekiem wylewnym. Nawet teraz, gdy opisywał najgorszy dzień swojego życia, jego głos wydawał się monotonny, jak zawsze. Rzadko targały nim silne emocje, jednak – jak mi powiedział – w dniu ataku NotPetya „przeżyłem prawdziwy szok”. Dwa lata później trudno mi było stwierdzić, czy doszedł już do siebie.

„Nastały zupełnie nowe czasy” – powiedział. „Istnieje wyłącznie świat przed atakiem NotPetya i po nim”.

Gdziekolwiek w ciągu tych dwóch tygodni pojechałam, wszędzie dało się odczuć to samo. Na przystanku autobusowym wysłuchałam opowieści mężczyzny, któremu odmówiono sprzedaży używanego samochodu. Czy to wyjątek na rynku pojazdów? Po zatrzymaniu systemu rejestracji – nie. W kawiarni spotkałam kobietę, którą atak pozbawił środków do życia. Jej niewielki internetowy sklep z artykułami dziewiarskimi zbankrutował, po tym jak w systemie poczty zniknęły wszystkie przesyłki. Zewsząd słychać opowieści, że ktoś borykał się z brakiem gotówki bądź utknął na drodze z pustym bakiem. W opowieściach, podobnie jak u Gonczarowa, przewija się motyw oszałamiającej szybkości, z jaką wyłączały się kolejne urządzenia.

Biorąc pod uwagę moment ataku – wigilię Dnia Niepodległości Ukrainy – mało kto miał wątpliwości. Znów przebudziła się ta stara, zgorzkniała diablica – Matka Rosja. Jednak Ukraińcy to naród twardych ludzi, od ponad dwudziestu siedmiu lat znaczonych tragedią i kolejnymi kryzysami. Gdy rzeczywistość okazuje się trudna do zniesienia, na ratunek przychodzi czarny humor. Niektórzy żartowali, że wyłączając wszystkie urządzenia Wowa, jak nazywają Putina, podarował im kilka dodatkowych Dni Niepodległości. Inni z zadowoleniem chwalili się, że dzięki atakowi po raz pierwszy od wielu lat zrobili sobie urlop od Facebooka.

Pomimo traumy i strat natury finansowej, jakie przyniosły czerwcowe wydarzenia w 2017 roku, Ukraińcy pocieszają się, że sprawy mogły potoczyć się o wiele gorzej. To prawda, systemy obsługi klienta uległy poważnym uszkodzeniom i bezpowrotnie przepadły liczne ważne dane. Niemniej jednak zamach nie wywołał awarii tak poważnej, by doprowadzić do katastrofy lotniczej lub poważnej eksplozji zakończonej śmiercią wielu osób. Poza awarią systemu monitorującego poziom napromieniowania w Czarnobylu wszystkie pozostałe elektrownie jądrowe na Ukrainie zachowały pełną zdolność operacyjną.

Podsumowując, na razie Rosja zadała jedynie kilka ciosów. Podobnie jak w przypadku wcześniejszego ataku na sieci energetyczne, gdy światła zgasły na wystarczająco długo, by wysłać ostrzeżenie, Rosja mogła posunąć się znacznie dalej, biorąc pod uwagę stopień rozpracowania ukraińskich systemów oraz arsenał skradzionej amerykańskiej broni, którą miała do dyspozycji.

Istnieje teoria, że Rosjanie za pomocą ataku na Ukrainę przy użyciu wykradzionych narzędzi chcieli jedynie zagrać na nosie NSA. Ukraińscy eksperci do spraw bezpieczeństwa wskazują na alternatywną, daleko bardziej niepokojącą koncepcję – ich zdaniem zarówno atak NotPetya, jak i zamach na sieć energetyczną należy traktować jako próbę generalną.

To właśnie powiedział mi pewnego wieczoru Oleh Derevianko, blondwłosy ukraiński przedsiębiorca z branży cyberbezpieczeństwa, gdy wspólnie biesiadowaliśmy, zajadając wareniki (gotowane pierogi nadziewane na słodko lub ostro) i chołodeć (mięsną galaretę). W czasie opisywanych ataków firma mojego rozmówcy znalazła się na pierwszej linii frontu. Eksperci kryminalistyki raz po raz wykazywali, że Rosjanie przeprowadzali wyłącznie eksperymenty. Urzeczywistniali scenariusz stosowany w badaniach naukowych: testowali konkretną metodę, a po niej kolejną. Doskonalili własne umiejętności na Ukrainie i zarazem walczyli o uznanie rosyjskich mocodawców, demonstrując wachlarz swoich możliwości.

Derevianko wyjaśnił mi, dlaczego atak NotPetya miał tak daleko idące konsekwencje w postaci wyczyszczenia zawartości 80% ukraiń­skich komputerów. „Oni po prostu zacierali ślady. To nowy arsenał i nowy rodzaj wojny, a Ukrainę należy traktować jak rosyjski poligon. Jaki użytek zamierzają zrobić z tej broni? Nie mam pojęcia”.

Przez dwa lata na Ukrainie nie odnotowano cyberataku na tak wielką skalę i choć pojawiały się doniesienia o planowanej w ciągu najbliższych dwóch tygodni ingerencji Kremla w wybory 2019 roku, fala cyberdestrukcji wyraźnie osłabła.

„To oznacza, że zrobili krok naprzód” – stwierdził Derevianko.

W milczeniu spałaszowaliśmy naszą galaretę, zapłaciliśmy rachunek i opuściliśmy restaurację. Po raz pierwszy miałam wrażenie, że gwałtowne wichury nieco ucichły. Jednak zwykle tętniące życiem, brukowane ulice starego Kijowa wciąż były puste. Odwiedziliśmy słynny Zjazd św. Andrzeja. To kijowski odpowiednik paryskiego Montmartre’u – stroma, brukowana uliczka, która wije się wśród galerii sztuki, anty­kwariatów i pracowni artystycznych w kierunku lśniącej bielą, błękitem i złotem cerkwi św. Andrzeja, pierwotnie zaprojektowanej w 1700 roku jako letnia rezydencja carycy Elżbiety.

Gdy dotarliśmy do świątyni, Derevianko zatrzymał się i uniósł głowę, spoglądając na żółtą poświatę latarni.

„Wiesz, my tutaj poradzimy sobie bez prądu przez kilka godzin” – powiedział. „Jednak jeśli coś takiego wydarzy się w twoim kraju…”.

Zawiesił głos. Nie musiał kończyć. Słyszałam to już wiele razy, zarówno na Ukrainie, jak i z ust moich informatorów w Stanach Zjednoczonych.

Nikt z nas nie miał wątpliwości, jaki będzie ich kolejny krok.

To, co ocaliło Ukrainę, jednocześnie uczyniło Stany Zjednoczone najbardziej bezbronnym państwem świata.

Ta była republika radziecka pozostawała daleko w tyle w wyścigu technologicznym i jeszcze nie wszystko zostało tu podłączone do internetu. Tsunami o nazwie internet rzeczy, które całkowicie pochłonęło społeczeństwo amerykańskie w minionej dekadzie, wciąż jeszcze nie dotarło do Ukrainy. Tutejsze elektrownie jądrowe, szpitale, zakłady chemiczne, rafinerie, gazociągi oraz rurociągi naftowe, fabryki, gospodarstwa rolne, miasta, samochody, sygnalizacja świetlna, domostwa, termostaty, żarówki, lodówki, kuchenki, elektroniczne nianie, rozruszniki serca i pompy insulinowe funkcjonowały poza internetem.

W Stanach Zjednoczonych najważniejsza była i jest wygoda. Obecnie ma się ona nadzwyczaj dobrze. Amerykanie podłączają do sieci wszystko, co się da, z prędkością 127 urządzeń na sekundę. Dolina Krzemowa obiecała nam łatwe życie, a my jej uwierzyliśmy. Sieć oplata bez wyjątku każdą dziedzinę życia. Za pomocą internetu możemy zdalnie kontrolować naszą codzienność, gospodarkę oraz sieć energetyczną. Nie przyszło nam do głowy, by przez chwilę zastanowić się, że w coraz większym stopniu wystawiamy się na zmasowany atak wroga.

W NSA, której zadaniem jest zarówno koordynacja globalnych działań wywiadowczych, jak i ochrona tajemnic amerykańskich instytucji, już dawno zapomniano, że ofensywny wojownik potrafi również skutecznie się bronić. Na stu atakujących cyberżołnierzy przypadał jeden osamotniony analityk oddelegowany do działań defensywnych. Amerykański wywiad nigdy wcześniej nie ucierpiał tak bardzo, jak za sprawą przecieków Shadow Brokers. Snowden obnażył naturę amerykańskiego wywiadu, Shadow Brokers dostarczyli wrogom USA konkretną amunicję – kody.

Największą tajemnicą cyberwojny jest fakt – doskonale teraz znany każdemu naszemu przeciwnikowi – że kraj będący w posiadaniu najpotężniejszego na świecie arsenału cyberamunicji jednocześnie jest najbardziej narażony na ewentualne ataki.

Ukraina miała jeszcze jedną przewagę nad USA: świadomość konieczności pilnego działania. Po pięciu latach odpierania ataków ze strony jednego z najpotężniejszych drapieżników świata Ukraińcy nie mieli wątpliwości, że ich być albo nie być zależy od zbudowania potężnych mechanizmów obronnych w cyberprzestrzeni. NotPetya z wielu względów stanowił dla Ukrainy nowy początek; dał szansę na zbudowanie od podstaw nowych procedur i odseparowanie krytycznych systemów państwa od internetu. Kilka tygodni po moim wyjeździe Ukraińcy przeprowadzili wybory prezydenckie wyłącznie w formie tradycyjnej, oddając swe głosy na papierowych kartach w lokalach wyborczych. Bez wyszukanych maszyn do głosowania; każda kartka wyborcza została wypełniona osobiście przez głosującego. Głosy przeliczono ręcznie. Naturalnie, jak zawsze, w całym kraju pojawiły się spekulacje na temat kupowania głosów. Jedno jest natomiast pewne: pomysł przeniesienia Ukraińskich wyborów do internetu dla każdego wydawał się czystym szaleństwem.

Nie pierwszy raz Stany Zjednoczone nie zdołały wyciągnąć z takiej lekcji wniosków dla siebie. Umknęło nam, że potencjalne działania wojenne przeniosły się z ziemi, z morza i z powietrza do cyberprzestrzeni. Kilka miesięcy po moim wyjeździe z Ukrainy okazało się, że to nie rosyjskie ataki na Ukrainie zapadły Amerykanom w pamięć, ale znaczenie tego kraju dla procesu impeachmentu Donalda Trumpa. Jak krótką trzeba mieć pamięć, by zapomnieć, że rosyjskie cyberataki nie skończyły się na kampanii dezinformacji w roku 2016, na wycieku korespondencji mailowej demokratów i wywoływaniu chaosu poprzez podszywanie się pod teksańskich secesjonistów czy aktywistów ruchu Black Lives Matter. Rosjanie sondowali systemy zaplecza wyborów oraz bazy danych wyborców we wszystkich pięćdziesięciu stanach. Być może nie udało im się zhakować ostatecznych wyników głosowania, jednak zdaniem przedstawicieli władz USA wszelkie dotychczasowe działania stanowią trening przed ostatecznym atakiem na amerykańskie wybory w przyszłości.

Donald Trump winą za rosyjską ingerencję w wybory w 2016 roku nieustająco obarczał przypadkowego grubasa, który, nie opuszczając własnego łóżka, infekuje państwowe systemy informatyczne, oraz Chiny. Stojąc w 2018 roku obok rozradowanego Władimira Putina na konferencji prasowej w Helsinkach, Donald Trump nie tylko z lekceważeniem wyrażał się o funkcjonariuszach amerykańskiego wywiadu: „Prezydent Putin zapewnił mnie, że Rosja nie ma z tym nic wspólnego. Przyznam, że i ja nie widzę powodu, by szukać tu winnych”. Co więcej, przyjął ofertę Putina, by połączyć siły w ściganiu sprawców zamieszania wokół wyborów 2016 roku. Gdy zbliżały się kolejne wybory, Putin i Trump spotkali się raz jeszcze, tym razem w czerwcu 2019 roku w Osace, gdzie ramię w ramię żartowali jak starzy kumple ze studiów. Na pytanie dziennikarza, czy ostrzegł Putina, by nie mieszał się do amerykańskich wyborów 2020 roku, Trump z szyderczym uśmieszkiem zwrócił się w stronę rosyjskiego kolegi i, grożąc palcem, oznajmił: „Proszę nie wtrącać się w nasze wybory, panie Prezydencie”.

Oto w jakim miejscu znajdujemy się obecnie. Gdy piszę tę książkę, wybory w 2020 roku są nadal przedmiotem sporu, zagraniczni gracze podsycają w kraju atmosferę wewnętrznego chaosu, borykamy się z problemem wycieków z arsenału cyberbroni USA. Rosyjscy hakerzy buszują w naszych szpitalach, agenci Kremla rozpanoszyli się na dobre w amerykańskiej sieci, a zdeterminowani agresorzy każdego dnia przypuszczają miliony ataków na nasze sieci informatyczne. Dodatkowo pandemia przeniosła życie amerykańskiego społeczeństwa jeszcze głębiej w świat internetu. Stoi­my bezradni w obliczu naszego cyfrowego Pearl Harbor, przed którym od siedmiu lat ostrzegają mnie eksperci do spraw bezpieczeństwa.

W Kijowie przypominano mi o tym na każdym kroku. Miałam wrażenie, że ledwo powstrzymywali się, by wykrzyknąć mi prosto w twarz: „Teraz wasza kolej!”. Światła ostrzegawcze raz jeszcze błysnęły na czerwono. Ostatnie doświadczenia niczego nas nie nauczyły.

Staliśmy się jedynie daleko bardziej narażeni na ataki. Co gorsza, wycelowano w nas działa naszej własnej produkcji. Mówili mi to Ukraińcy. Na pewno wiedzieli o tym nasi wrogowie. Hakerzy nigdy nie mieli wątpliwości.

Oto ich opowieść o końcu świata.

Część IMisja niewykonalna

Rozdział 1Schowek pełen niespodzianek

Times Square, Manhattan

W moich ustach wciąż zgrzytał pustynny piasek, gdy w lipcu 2013 roku na polecenie wydawcy złożyłam przysięgę milczenia i stanęłam w progu schowka w biurze Arthura Sulzbergera (kiedyś podręcznego magazynu na materiały biurowe, przerobionego na pomieszczenie zabezpieczone przed podsłuchem elektronicznym – przyp. tłum.). Wszystko, co elektroniczne, zostało na zewnątrz.

Zaledwie kilka dni wcześniej pędziłam otwartym jeepem przez Masai Marę, kończąc trzytygodniową wyprawę trekkingową przez Kenię. Miałam nadzieję, że długie wakacje bez dostępu do internetu pomogą mi ukoić nerwy zszargane przez dwa lata pracy nad cyberterrory­zmem. Jak twierdzą moi informatorzy, to dopiero początek – najgorsze jeszcze przed nami.

Miałam wówczas zaledwie trzydzieści lat, już wtedy czułam przytłaczające brzemię zadania, które przyszło mi realizować. Kiedy w 2010 roku otrzymałam propozycję dołączenia do redakcji „New York Ti­me­sa”, zajmowałam się pisaniem artykułów na pierwsze strony magazynów z Doliny Krzemowej na temat inwestorów funduszy venture capital, szczęśliwców, którzy odpowiednio wcześnie zainwestowali w Facebooka, Instagrama i Ubera. Teraz cieszyli się zasłużoną sławą. „Times” zainteresował się moją twórczością i zaprosił do współpracy, jednak w innym obszarze tematycznym. „Dzwonicie z »New York Timesa«, a wam się nie odmawia” – odparłam. „Zajmę się każdym tematem, o który poprosicie. Co to za licho?” Gdy usłyszałam, że widzą mnie w obszarze cyberbezpieczeństwa, byłam pewna, że żartują. Po pierwsze nie miałam o tym zielonego pojęcia, a po drugie świadomie podjęłam decyzję o nieangażowaniu się w tego rodzaju tematykę. Bez wątpienia nietrudno było znaleźć lepszych specjalistów z zakresu cyberterroryzmu.

„Już z nimi rozmawialiśmy” – usłyszałam. „Problem w tym, że nie sposób ich zrozumieć”.

Kilka miesięcy później odbyłam kilkanaście półgodzinnych rozmów z kolejnymi wydawcami w głównej siedzibie „Timesa” i naprawdę dużo kosztowało mnie, by nie pokazać po sobie panicznego lęku. Po ostatniej rozmowie popędziłam wieczornymi ulicami do najbliższej winiarni, chwyciłam najtańsze wino z zakrętką i wypiłam je duszkiem jeszcze z torebki. Pomyślałam sobie, że przynajmniej opowiem wnukom o tym, jak legendarny „New York Times” zaprosił mnie kiedyś do swojej siedziby na rozmowę.

Ku mojemu zdziwieniu dostałam tę pracę, jednak po trzech latach wciąż wiele energii zabierało mi maskowanie przerażenia. Czas ten upłynął mi na śledzeniu chińskich hakerów i ich zainteresowania naszymi urządzeniami grzewczymi, drukarkami oraz ofertą dań na wynos. Relacjonowałam irański cyberatak, w wyniku którego dane na stronach najbogatszej firmy naftowej na świecie zostały zastąpione wizerunkiem płonącej amerykańskiej flagi. Śledziłam, jak chińscy wojskowi hakerzy oraz brokerzy przeczesywali amerykańskie systemy w poszukiwaniu informacji na jakikolwiek temat, od planów najnowszego, niewidocznego dla radarów bombowca po recepturę coca-coli. Pisałam o nasilających się rosyjskich atakach na amerykańskie spółki energetyczne i przedsiębiorstwa użyteczności publicznej. Wraz z zespołem informatyków zajmujących się bezpieczeństwem wewnątrz redakcji „New York Timesa” rozpracowywałam chińskiego hakera, którego ochrzciliśmy mianem „wakacyjnego stażysty”. Włamywacz codziennie od godziny 10 do 17 buszował w systemach gazety, poszukując informacji na temat naszych źródeł.

Przez cały ten czas desperacko chwytałam się myśli, że jeszcze będę mogła prowadzić normalne życie. Jednak im bardziej wnikałam w głąb tego świata, tym bardziej oddalałam się od rzeczywistości. Do incydentów łamania zabezpieczeń dochodziło przez całą dobę. Rzadko udawało mi się przespać całą noc, co na pewno odbiło się na moim wyglądzie. Niepewność każdej chwili kosztowała mnie niejeden związek. Z wolna pojawiały się oznaki paranoi – w każdym urządzeniu wyposażonym we wtyczkę zaczęłam dostrzegać chińskiego szpiega.

W połowie 2013 roku byłam zdeterminowana, by całkowicie odciąć się od świata komputerów, a jedynym takim miejscem z oczywistych powodów wydawała się Afryka. Przez trzy tygodnie sypiałam w namiotach, hasałam z żyrafami i codziennie wieczorem z kojącym drinkiem w ręku obserwowałam dumną paradę słoni na tle zachodzącego słońca. W nocy przy ognisku Nigel, mój przewodnik, opowiadał o lwach, które głośnym rykiem nie pozwalały zapomnieć o swojej obecności. Błogosławiony czas oddalenia.

Gdy znalazłam się z powrotem w Nairobi, mój telefon nieprzerwanym brzęczeniem przypomniał o swoim istnieniu. Stojąc w Karen przed sierocińcem dla słoni, wzięłam na pożegnanie głęboki oddech i zaczęłam przewijać tysiące nieprzeczytanych wiadomości w mojej skrzynce odbiorczej. Jedna z nich wołała na odległość: „Pilne. Oddzwoń”. Autor – mój wydawca z „Timesa”. Połączenie co chwilę się rwało, a do tego on uparcie szeptał, gubiąc słowa w redakcyjnym zgiełku. „Jak szybko jesteś w stanie znaleźć się w Nowym Jorku? (…) To nie jest rozmowa na telefon. (…) Wszystko powiedzą ci osobiście. (…) Po prostu przyjedź”.

Dwa dni później wysiadłam z windy na najwyższym piętrze zarządu w siedzibie „New York Timesa”; na nogach miałam tradycyjne sandały kupione od masajskiego wojownika. Był lipiec 2013 roku. Czekali na mnie Jill Abramson i Dean Baquet – ówczesny i, jak się wkrótce okazało, przyszły redaktor naczelny „Timesa”. Na spotkanie zostali także zaproszeni Rebecca Corbett, redaktorka śledcza „Timesa”, oraz Scott Shane, nasz doświadczony reporter zajmujący się bezpieczeństwem narodowym. Towarzyszyły im jeszcze trzy nieznane mi wcześ­niej osoby, które już wkrótce miałam poznać aż za dobrze – James Ball i Ewen MacAskill, dziennikarze brytyjskiego dziennika „Guardian”, oraz Jeff Larson z redakcji śledczej „ProPublica”.

James i Ewen opowiedzieli, jak kilka dni wcześniej oficerowie brytyjskiego wywiadu wtargnęli do siedziby „Guardiana” w Londynie w celu zniszczenia twardych dysków Snowdena ze ściśle tajnymi informacjami. Szczęśliwie jednak ich kopie udało się przemycić do redakcji „New York Timesa”. Jill i Dean wyznaczyli mnie oraz Scotta do współpracy z „Guardianem” i „ProPublicą” przy przygotowywaniu dwóch artykułów na podstawie przecieków pochodzących od Edwarda Snowdena, okrytego złą sławą pracownika NSA, który wykradł tysiące tajnych dokumentów z komputerów agencji, po czym uciekł do Hongkongu, a następnie schronił się w Moskwie. Snowden przekazał pakiet ściśle tajnych dokumentów Glennowi Greenwaldowi, felietoniście „Guar­diana”. Jednak tamtego dnia szybko dowiedzieliśmy się, że w Wielkiej Brytanii, podobnie jak w Stanach Zjednoczonych, nie funkcjonuje prawo ochrony wolności słowa. Współpraca z amerykańską prasą, szczególnie z tytułem będącym pod ochroną najlepszych prawników, specjalistów od Pierwszej poprawki (poprawka do amerykańskiej konstytucji zakazująca m.in. ograniczania wolności prasy i słowa – przyp. tłum.), jakich ma „New York Times”, dla brytyjskiego dziennika stanowiła gwarancję bezpieczeństwa.

Najpierw jednak „Guardian” przedstawił nam swoje warunki. Obowiązywała ścisła tajemnica, „zakaz polowania”, czyli zakaz przeczesywania dokumentów w poszukiwaniu słów kluczy niezwiązanych bezpośrednio z przygotowywanymi materiałami, oraz zakaz korzystania z internetu i telefonów. Pomieszczenia bez okien.

Okazało się, że ten ostatni punkt stanowił poważny problem. Włoski architekt Renzo Piano, projektując siedzibę „New York Timesa”, postawił na zasadę transparentności. Cały budynek – każde piętro, każda sala konferencyjna, każde biuro – z wyjątkiem jednego pomieszczenia: niewielkiego schowka w biurze Arthura Sulzbergera – otaczały sięgające sufitu szklane ściany.

Żądanie Brytyjczyków wydawało się absurdalne, jednak nie ugięli się. Można się było obawiać, że NSA, jej brytyjski odpowiednik, czyli GCHQ (Government Communications Headquarters), lub jakiekolwiek inne służby z każdego zakątka świata mogą próbować wycelować w okna promienie laserowe i w ten sposób podsłuchać nasze rozmowy. Taką informację koledzy z „Guardiana” dostali od inżynierów GCHQ, którzy nadzorowali zniszczenie dysków Snowdena.

Tak się zaczęła moja podróż przez postsnowdenową rzeczywistość.

Przez kolejnych sześć tygodni dzień po dniu rozstawałam się z moimi elektronicznymi urządzeniami, wpełzałam do tego dziwacznego, tajnego, nieoficjalnego laboratorium, gramoliłam się między Scotta, Jeffa i Brytyjczyków, aby zgłębiać ściśle tajne dokumenty NSA. Na zewnątrz? Rzecz jasna nikomu ani słowa.

Prawdę mówiąc, moja reakcja na to, czego dowiedziałam się z dokumentów NSA, była najprawdopodobniej inna niż większości Amerykanów. Oni ze zdziwieniem przyjęli fakt, że nasza agencja szpiegowska w istocie zajmuje się szpiegowaniem. Po trzech latach pisania na temat działalności szpiegowskiej Państwa Środka przekonałam się, jak daleko w tyle pozostawiliśmy Chińczyków, którzy włamywali się do amerykańskich sieci za pomocą fałszywych maili znaczonych błędami ortograficznymi.

Scott pracował nad wyczerpującym raportem na temat potencjału NSA. Moje zadanie było wprawdzie bardziej prozaicznie, ale – biorąc pod uwagę, że nie miałam telefonu, dostępu do internetu i byłam pozbawiona kontaktu ze światem zewnętrznym – również niezmiernie pracochłonne: miałam ustalić, jak daleko najważniejsze światowe agencje wywiadowcze posunęły się w łamaniu szyfrów.

Jak się okazało, ich osiągnięcia nie były szczególnie imponujące. Po kilku tygodniach studiowania dokumentów doszliśmy do wniosku, że światowe algorytmy cyfrowego szyfrowania mają się, w większości przypadków, zupełnie nieźle. Co więcej, dowiedzieliśmy się, że NSA, dysponując szerokim wachlarzem innych narzędzi hakerskich, nie miała potrzeby łamania algorytmów szyfrowania.

W pewnych przypadkach NSA prowadziła nieoficjalne rozmowy z międzynarodowymi agencjami wyznaczającymi standardy kryptograficzne przyjęte przez firmy sektora zabezpieczeń i ich klientów. Przynajmniej jednokrotnie NSA udało się przekonać kanadyjskich urzędników, by poparli niedoskonałą formułę generowania liczb loso­wych w schematach szyfrowania, których złamanie dla komputerów NSA okazałoby się łatwe. Agencja posuwała się nawet do opłacania amerykańskich firm wyspecjalizowanych w ochronie bezpieczeństwa, na przykład koncernu RSA (lidera na rynku cyberbezpieczeństwa – przyp. tłum.), za zaimplementowanie do jego popularnych produktów zabezpieczających celowo „niedoskonałego” protokołu szyfrowania. Gdyby nie udało się rozwiązać problemu za pomocą dolarów, partnerzy NSA z CIA infiltrowaliby fabryki wiodących światowych producentów czipów szyfrujących, tworząc luki w zabezpieczeniach czipów kodujących dane. Zdarzały się również przypadki włamań agencji na wewnętrzne serwery takich spółek jak Google czy Yahoo w celu przechwycenia danych jeszcze przed ich zakodowaniem.

Snowden przyznał później, że ujawnił dokumenty NSA, aby zwrócić uwagę opinii publicznej na to, co postrzegał jako nieograniczoną inwigilację. Największy niepokój spośród rewelacji Snowdena wzbudził stosowany przez NSA program gromadzenia masowych danych na temat prowadzonych rozmów telefonicznych – listy rozmówców, dat wykonywanych połączeń oraz czasu ich trwania – jak również prawnie dopuszczalne stosowanie podsłuchów, w wyniku czego Microsoft i Google zmuszone zostały do tajnego przekazywania informacji na temat klientów. Zszokowani Amerykanie manifestowali swe oburzenie zarówno w telewizji, jak i przed Kapitolem. Stało się jasne, że USA za plecami obywateli prowadziły ukryte działania na trudną do opisania skalę.

W dokumentach znalazłam odniesienia do luk w zabezpieczeniach, które NSA tworzyła w niemal każdym dostępnym na rynku sprzęcie komputerowym oraz oprogramowaniu. Okazało się, że agencja dysponuje tajnym dostępem do prawie wszystkich najważniejszych aplikacji, platform społecznościowych, serwerów, routerów, firewalli, programów antywirusowych, oprogramowań dla iPhone’a, Androida czy BlackBerry, a także do wszelkiego rodzaju laptopów, desktopów oraz systemów operacyjnych.

W świecie hakerów tego rodzaju luki w zabezpieczeniach noszą nazwę rodem ze świata science fiction – zero-day. Terminologia w rodzaju zero-day, podobnie jak infosec czy atak Man in the middle (również znany jako atak „człowiek pośrodku” – przyp. tłum.) ma za zadanie uśpienie czujności przeciętnego użytkownika.

Dla niezorientowanych – zero-day w cyfrowym świecie to potężna broń. Niczym peleryna niewidka osłania szpiegów i cyberprzestępców. W cyberprzestrzeni najbardziej niebezpieczni są gracze niewidzialni. Na poziomie podstawowym zero-day to luka w oprogramowaniu lub sprzęcie, dla której nie opracowano żadnej aktualnej poprawki. Nazwa nawiązuje do pacjenta zero w czasach epidemii; w momencie identyfikacji luki zero-day producenci oprogramowania lub sprzętu komputerowego nie mają szans na obronę, ponieważ w takiej sytuacji luka przestaje być zero-day. Dopóki producent nie dowie się o istnieniu dziury w systemie, nie wprowadzi poprawki, nie roześle jej do użytkowników na całym świecie, a użytkownicy nie dokonają aktualizacji, dopóty pozostają bezbronni. Drodzy czytelnicy: aktualizujcie swoje oprogramowania!

Luka zero-day to najważniejsza broń w arsenale hakerów. Identyfikacja błędu zabezpieczenia stanowi hasło wejścia do świata danych. Wysokiej jakości zero-day w oprogramowaniu mobilnym Apple’a pozwala szpiegom i hakerom z odpowiednimi umiejętnościami zdalnie włamywać się do iPhone’ów i niepostrzeżenie uzyskać dostęp do każdego szczegółu naszego cyfrowego świata. Seria siedmiu exploitów zero-day (ataków zero-day – przyp. tłum.) na oprogramowanie prze­mys­łowe firm Microsoft Windows i Siemens umożliwiła amerykańskim oraz izraelskim szpiegom sabotaż irańskiego programu jądrowego. Chińczycy wykorzystali pojedynczą lukę zero-day w oprogramowaniu Microsoftu, aby wykraść jeden z najpilniej strzeżonych kodów źródłowych Doliny Krzemowej.

Odnalezienie luki zero-day można porównać z aktywowaniem God mode (tryb Boga – przyp. tłum.) w grze wideo. Gdy tylko hakerzy rozszyfrują komendy lub opracują odpowiedni kod, mogą bez przeszkód penetrować światowe sieci komputerowe – do momentu zdemaskowania ukrytej w nich luki. Operacje zero-day stanowią doskonałą egzemplifikację znanej maksymy: „Wiedza to potęga, jeśli tylko wiesz, jak z niej korzystać”.

Zero-day daje hakerom szerokie możliwości włamywania się do systemu dowolnej instytucji – firmy, banku lub agencji rządowej – która korzysta z wadliwego sprzętu bądź oprogramowania. Celem intruza może być szpiegostwo, przejęcie środków finansowych lub sabotaż. Nie jest istotne, czy dany system ma wszystkie niezbędne poprawki. Łatanie luk zero-day jest niemożliwe, ponieważ te w momencie ich wykrycia tracą status zero-day. Łaty można porównać do zapasowych kluczy do niedostępnego budynku. Możesz być najbardziej czujnym administratorem IT na świecie, lecz każdy, kto ma wiedzę na temat zero-day oprogramowania zainstalowanego na twoim komputerze i potrafi zrobić z niej użytek, zdobędzie klucz do twojego cyberświata. Nic dziwnego zatem, że luki zero-day są jednym z najbardziej pożądanych narzędzi w arsenale szpiega lub cyberprzestępcy.

Przez dziesięciolecia firmy, takie jak Apple, Google, Facebook czy Microsoft, stosują coraz bardziej wyszukane metody szyfrowania informacji dla centrów danych i narzędzi komunikacji, stąd jedynym skutecznym sposobem przechwycenia danych jest włamanie do systemu, zanim zostaną one zakodowane. Z czasem exploity zero-day stały się „krwawymi diamentami” nielegalnego handlu w obszarze cyberbezpieczeństwa i obiektem pożądania państw, kontrahentów czy cyberprzestępców z jednej strony oraz strażników bezpieczeństwa z drugiej. Zależnie od rodzaju odkrytej luki, exploit zero-day może być narzędziem umożliwiającym niewidoczne szpiegowanie użytkowników iPhone’ów na całym świecie, rozmontowanie systemu kontroli bezpieczeństwa w fabryce chemicznej lub skierowanie statku kosmicznego w stronę Ziemi. Jednym z najbardziej jaskrawych przykładów konsekwencji, jakie może wywołać drobny błąd oprogramowania, jeden brakujący myślnik, jest przypadek Marinera 1 – pierwszego amerykańskiego statku kosmicznego, który opuścił Ziemię z misją eksploracji Wenus. Nieprzewidziana zmiana trajektorii lotu zmusiła NASA do zniszczenia sondy o wartości 150 milionów dolarów zaledwie 294 sekundy po starcie, by nie dopuścić do niekontrolowanego zderzenia z Ziemią na obszarze Oceanu Atlantyckiego lub, co gorsza, gęsto zaludnionego miasta. W świecie wirtualnym te z pozoru nic nieznaczące brakujące myślniki były częścią codzienności. Zrozumiałam, jak wielkie miały znaczenie dla czołowych szpiegów USA. Z dokumentów NSA wynikało, że szpiedzy potrafili włamać się i zacząć szpiegować urządzenia niepołączone z siecią, a nawet te wyłączone. Pracownicy agencji potrafili ominąć większość systemów antywłamaniowych oraz zmienić oprogramowanie antywirusowe – narzędzie zaprojektowane jako forteca obronna przed szpiegami i przestępcami – w potężne narzędzie wywiadowcze. Dokumenty Snowdena zawierały jedynie wzmianki o wspomnianych narzędziach hakerskich. Brakowało opisu narzędzi, konkretnych kodów czy przełomowych algorytmów.

Producenci technologii nie przekazywali agencji nielegalnych dostępów do swoich systemów. Po ujawnieniu przez Snowdena pierwszych dokumentów moi informatorzy z najważniejszych korporacji technologicznych, takich jak Apple, Google, Microsoft i Facebook, zarzekali się na wszystkie świętości, że owszem, udostępniali dane o klientach, jednak zawsze działo się to zgodnie z prawem, oraz że nie zdarzyło się, by informowali NSA lub jakąkolwiek inną agencję rządową o błędach w ich aplikacjach, produktach czy lukach w oprogramowaniu. Niektóre firmy, jak Yahoo – jak się później okazało – posuwały się jeszcze dalej, by spełniać zgodne z prawem żądania NSA.

W NSA działała jednostka specjalna TAO (Tailored Access Opera­tions; Operacje Dostosowanego Dostępu – przyp. tłum.), zajmująca się poszukiwaniem oraz doskonaleniem własnych luk zero-day. W dokumentach Snowdena dokopałam się jednak też do wielu informacji na temat agencji zewnętrznych dostarczających luki oraz eksploity zero-day. Wzmianki dotyczyły ożywionej wymiany z „partnerami handlowymi” bądź „partnerami ochrony bezpieczeństwa” NSA, próżno jednak szukać ich nazw lub szczegółów tej kooperacji. Od wielu lat mówiło się o czarnym rynku narzędzi hakerskich dedykowanych przede wszystkim cyberprzestępcom. Przez ostatnich kilka lat coraz częściej pojawiały się jednak doniesienia na temat szemranego, aczkolwiek legalnego szarego rynku, łączącego hakerów z agencjami rządowymi, ich handlarzami luk zero-day oraz kontrahentami. Reporterom udało się jedynie opisać wierzchołek góry lodowej. Dokumenty dostarczyły dowodów na zaangażowanie NSA w mroczny proceder, jednak, podobnie jak pozostałe przecieki Snowdena, nie ujawniły szerszego kontekstu ani żadnych detali.

Wielokrotnie wracałam do pytań, które stanowią sedno sprawy. Przychodziły mi do głowy jedynie dwie opcje: albo Snowden nie miał wystarczających uprawnień dostępu do określonych systemów wywiadu, albo rządowe źródła i metody pozyskiwania luk zero-day miały charakter na tyle poufny lub nawet kontrowersyjny, że nigdy nie zostały udokumentowane na piśmie.

W schowku spodziewałam się po raz pierwszy zobaczyć na własne oczy najpilniej strzeżony, okryty tajemnicą i niewidzialny rynek na świecie.

Schowek powodował, że nie mogłam pozbierać myśli. Po miesiącu wakacji, smagania pustynnym wiatrem na otwartych przestrzeniach sawanny brak okien dawał mi się szczególnie we znaki.

Jednocześnie coraz bardziej oczywiste stawało się, że wśród dokumentów brakuje tych najistotniejszych dla naszego projektu dotyczącego szyfrowania. Na wczesnym etapie James oraz Ewen natknęli się na notatki odnoszące się do dwóch dokumentów opisujących w szczegółach, krok po kroku, działania NSA wokół łamania, osłabia­nia i hakowania szyfrów, lecz z każdym tygodniem stawało się jasne, że w materiałach wyraźnie czegoś brakuje. Brytyjczycy zgodzili się z nami i obiecali odzyskać je od Glenna Greenwalda, publicysty „Guar­diana”, przebywającego akurat gdzieś w brazylijskiej dżungli.

Mieliśmy do dyspozycji jedynie próbkę materiałów ujawnionych przez Snowdena. Reszta, w tym dwa dokumenty o fundamentalnym znaczeniu dla naszych badań nad szyfrowaniem, była w posiadaniu Greenwalda, który wcale nie zamierzał się ich pozbyć. Delikatnie mówiąc, redaktor naczelny „Guardiana” nie należał do fanów „New York Timesa” i, jak twierdzili Ewen i James, dowiedziawszy się o zaproszeniu nas do współpracy, wpadł w furię.

Greenwald dobrze pamiętał rok 2004, kiedy w „New York Timesie” podjęto decyzję o opóźnieniu publikacji artykułu na temat nielegalnych, prowadzonych bez wymaganych decyzji sądu podsłuchów rozmów telefonicznych na użytek wewnętrznych operacji wywiadowczych. Władze „Timesa” z powodu obaw, że publikacja może utrudnić śledztwo i odstraszyć podejrzanych, odłożyły ją o rok, przychylając się do argumentacji administracji prezydenta Busha. Podobnie Snowden – nie akceptował działań nowojorskiej gazety, stąd jego decyzja, by skradzione dokumenty trzymać z dala od redakcji. Błędnie założył, że będziemy blokować dokumenty lub bezczynnie przyglądać się, jak rząd udaremnia ich publikację. Podobno na wieść o tym, że zostaliśmy włączeni do projektu, Snowden i Greenwald wpadli w szał.

Wprawdzie Ewen i James zapewniali, że Greenwald wydaje się bardziej rozsądny, niż wskazywały jego codzienne, impulsywne posty na Twitterze, jednak mimo kolejnych prób sprowadzenia dokumentów okazało się, że ktoś tam wcale nie miał ochoty dzielić się swoimi zabawkami.

Minęły długie tygodnie, zanim udało nam się uzyskać brakujące materiały. Tymczasem atmosfera powoli się zagęszczała. Ciasnota, brak tlenu oraz irytujące brzęczenie świetlówek dawały nam się we znaki.

Zaczęliśmy niestety nabierać podejrzeń, że jesteśmy wykorzystywani. „Guardian” ustawił „New York Timesa” w pozycji polisy ubezpieczeniowej na wypadek ewentualnych zarzutów ze strony brytyjskich służb wywiadowczych. Zapewniliśmy im schronienie i darmowy lunch każdego dnia, lecz nigdy nie byliśmy traktowani po partnersku. Pracowaliśmy jako jeden zespół, a pewnego dnia dowiedzieliśmy się, że Brytyjczycy bez uprzedzenia rozpoczęli publikację swoich artykułów. Niespodziewanie szczegóły dotyczące naszej kooperacji wyciekły do serwisu internetowego BuzzFeed. Wyszło szydło z worka i w tym właś­nie momencie, wciąż zamknięci w schowku bez okien, zrozumieliśmy absurdalność całej sytuacji.

Moja wiara w „Guardiana” i w dziennikarstwo została poddana ciężkiej próbie.

Zatęskniłam za słoniami.

Każdego wieczora wracałam do hotelu, podejrzliwie obracałam w dłoni kartę do drzwi pokoju i rozglądałam się, czy na korytarzu nie czai się napastnik. Nawet tu nie mogłam uwolnić się od wszechogarnia­jącej mnie paranoi.

Zaledwie rok wcześniej miałam okazję obserwować hakera, który demonstrował, jak włamać się do pokoju hotelowego przy użyciu explo­i­ta cyfrowego kodu klucza, który można nabyć za 50 dolarów. Obecnie zwykli złodzieje laptopów uciekają się właśnie do takiego sposobu, więc w mojej ówczesnej sytuacji trudno było zachować spokój. Gdy spytałam uśmiechniętą recepcjonistkę, czy hotel zadbał o zabezpieczenie kodów kluczy, zrobiła wielkie oczy i zapewniła mnie, że w pokoju mogę czuć się absolutnie bezpieczna. Tymczasem ja codziennie wieczorem chowałam swoje elektroniczne akcesoria pod łóżko, zrzucałam buty i wychodziłam na balkon, by zaczerpnąć świeżego powietrza.

Otulona ciepłym, letnim wiatrem rozkoszowałam się widokiem Manhattanu, obserwując tłumy turystów na Times Square. Dusiłam się, brakowało mi tlenu. Dla zachowania jasności umysłu co wieczór robiłam wycieczkę rowerową po West Side Highway, aby przetrawić wydarzenia dnia. Wciąż w głowie kłębiły mi się nazwy agencji NSA i kodów. Czułam się jak na rauszu i traciłam poczucie równowagi. Tylko w nocy, pedałując w górę i w dół rzeki Hudson, byłam w stanie zebrać myśli.

Pochłaniały mnie setki niewyjaśnionych przypadków luk zero-day opisanych w dokumentach NSA. Kto za nimi stoi? Co było ich celem? Co, jeśli ktoś już robi z nich użytek? To już nie są tylko zwykłe luki w zabezpieczeniach systemów państwowych Rosji, Chin, Korei Północnej czy Iranu. Dwadzieścia lat temu korzystaliśmy z innych technologii. Obecnie to już historia. Luki w systemach Apple’a? Androida? Facebooka? Windowsa? Firewallach Cisco? Na celowniku znalazło się całe amerykańskie społeczeństwo. To coś więcej niż tylko rozmowy tele­foniczne i korespondencja mailowa. Bank w telefonie. Elektroniczna niania. Cyfrowy zapis historii naszych chorób. Komputery kontrolujące elektrownie jądrowe w Iranie korzystały z systemu Windows. Przy użyciu iPhone’ów i iPadów możemy teraz regulować ciśnienie i temperaturę na platformach wiertniczych oddalonych o setki mil od brzegu. Szukaliśmy wygody, spokoju i bezpiecznych warunków pracy. Nie przewidzieliśmy, że tworzymy także narzędzia użyteczne w mrocznej przestrzeni naszej rzeczywistości.

Nie potrafiłam pozbyć się wrażenia, że umyka nam coś większego niż tylko zbieranie przez NSA metadanych o połączeniach telefonicznych. Przed nami szeroka, ogólnonarodowa dyskusja. Do czego służą takie rozwiązania? Kto jeszcze jest w posiadaniu narzędzi, o których mowa? Skąd je wzięliśmy?

Naturalnie teraz, gdy oglądam się za siebie, zastanawiam się, jak mogłam wcześniej nie poskładać wszystkich klocków w całość.

Przecież już pół roku przed przekroczeniem progu schowka hakerzy podali mi na tacy odpowiedzi.

Rozdział 2Cholerny łosoś

Miami, Floryda

Pół roku przed tym, jak świat usłyszał o Edwardzie Snowdenie, siedziałam w restauracji w South Beach w towarzystwie wybitnego niemieckiego specjalisty do spraw bezpieczeństwa przemysłowego oraz dwóch włoskich hakerów.

Wszyscy przyjechaliśmy do Miami jako uczestnicy tej samej dziwacznej konferencji, czyli corocznego spotkania najwybitniejszych umysłów w dziedzinie bezpieczeństwa przemysłowego, badaczy mrocznych tajemnic świata hakerów oraz niezliczonych sposobów na włamywanie się do systemów kontrolujących wodociągi i rurociągi naftowe, sieci energetyczne czy obiekty jądrowe. Średnia wieku – powyżej pięćdziesiątki.

Tego wieczoru organizator konferencji, były kryptograf NSA, zaprosił nas na kolację. Patrząc wstecz, można stwierdzić, że zaproszenie miało wszelkie znamiona marnego żartu: Do baru wchodzą dziennikarka, łamacz kodów NSA, Niemiec oraz dwóch włoskich hake­rów (…).Od roku zajmowałam się tematyką hakerską i wciąż z perspektywy mojego poukładanego świata usiłowałam się zorientować, kto tu jest aniołem, kto demonem, a kto działa na dwa fronty.

Powiedzmy sobie jasno – nie pasowałam do nich. Po pierwsze, drobna blondynka w tym środowisku to rzadkość. Każdej kobiecie, która skarży się na dysproporcję między kobietami i mężczyznami wśród inżynierów, radzę, by wybrała się na konferencję hakerów. Z kilkoma wyjątkami, w większości to mężczyźni, dla których świat kończył się na kodowaniu. Oraz, oczywiście, na jujitsu. Hakerzy kochają jujitsu. Twierdzą, że to fizyczny odpowiednik rozwiązywania krzyżówek. Nie jestem mężczyzną, nie piszę kodów i nie marzę, by ktoś z pasją wgniatał mnie w podłoże na polu walki. Jak widać, moja sytua­cja była nie do pozazdroszczenia.

Gdy dorastałam, traktowałam „New York Timesa” jak Biblię. Uczyłam się na pamięć nagłówków i oczami wyobraźni widziałam dziennikarzy „Timesa” przyjmowanych wszędzie jak wysłanników samego Boga. Świat cyberbezpieczeństwa to jednak co innego. Przeważnie czułam się jak dziecko – wciąż słyszałam, że im mniej wiem, tym lepiej dla mnie. Poza tym, czego wielu mężczyzn na Twitterze nie omieszkało mi wypomnieć, w środowisku nikt już nie używa słowa „cyber”. Zastąpił je termin „bezpieczeństwo informacji” lub częściej „infosec”. Nierzadko, gdy przedstawiałam się jako dziennikarka specjalizująca się w cyberbezpieczeństwie, słyszałam niewybredne: „Wypad, nie mamy o czym gadać!”. Okazuje się, że przedstawienie się jako „cyber­ktoś” kieruje cię prosto do wyjścia.

Przekonałam się na własnej skórze, że jest to małe, niezwykłe środowisko intrygujących ekscentryków. Bary na wszystkich konferencjach nieodparcie przypominały mi kantynę Mos Eisley z Gwiezdnych wojen. Długowłosi informatycy bawili się tu z prawnikami, menedżerami spółek technologicznych, urzędnikami, pracownikami wywiadu, działaczami społecznymi, kryptografami oraz z tajnymi agentami.

Do ulubionych rozrywek należała gra Szukaj tajniaka. Każdy, kto na konferencji hakerów w Las Vegas zidentyfikował wśród gości rządowego agenta, nagradzany był koszulką. Miałam wrażenie, że wszyscy się znają, przynajmniej z imienia. Niektórzy nawzajem sobą gardzili, ale jednocześnie można było zaobserwować zaskakująco dużo wzajemnego szacunku – nawet pomiędzy oponentami – pod warunkiem, że potrafili wykazać się odpowiednimi kwalifikacjami. Niekompetencja, na przykład ze strony dziennikarza, nie wspominając o sprzedawcach „cyfrowych pułapek na myszy”, była grzechem niewybaczalnym.

Tego wieczoru jednak, siedząc w Miami pomiędzy wymuskanym Niemcem ubranym w uszyty na miarę garnitur i mokasyny ze skóry strusia a dwoma rozczochranymi Włochami w T-shirtach, odczuwałam napięcie, jakiego wcześniej nie doświadczyłam.

Oficjalna nazwa stanowiska naszego niemieckiego partnera – specjalista ds. bezpieczeństwa przemysłowego – nie całkiem oddawała jego prawdziwe kompetencje. Ralph Langner całe swoje życie działał na rzecz zapobieżenia totalnej katastrofie cybernetycznej, masowemu cyberatakowi, który wykoleiłby pociągi Deutsche Bahn, wyłączył dostęp do sieci światowym ośrodkom wymiany handlowej, wysadził w powietrze zakłady chemiczne lub wywołał prawdziwe tsunami poprzez niekontrolowane otwarcie wrót tamy.

Włosi należeli do rosnącej grupy hakerów, którym przyświecał podobny cel. Przyjechali do Miami prosto z Malty, niewielkiej wyspy na Morzu Śródziemnym, gdzie zajmowali się przeczesywaniem światowych systemów kontroli przemysłowej w poszukiwaniu zero-day i tworzeniu szkodliwych exploitów, które następnie można było sprzedać najpoważniejszym graczom. Przypuszczam, że zostali zaproszeni na Florydę zgodnie z maksymą „Trzymaj przyjaciół blisko siebie, ale wrogów jeszcze bliżej”.

Tego wieczoru pragnęłam dowiedzieć się, komu Włosi sprzedawali cyberbroń, a właściwie czy istniały kraje, agencje wywiadowcze lub grupy przestępcze, które nie korzystały z ich usług. Szukałam odpowiedzi na pytanie, które dręczyło mnie przez lata.

Gdy w głowach zaszumiały nam już dwie butelki Beaujolais, wymamrotałam: „Luigi, Donato, ciekawą macie pracę”.

Zwróciłam się bezpośrednio do Luigiego Auriemmy ze względu na jego lepszą angielszczyznę. Łagodny ton służył jako przykrywka następnego pytania. Chciałam, by zabrzmiało niewinnie, jak zwykłe pytanie o giełdę. „To jak? Z kim handlujecie? Ze Stanami Zjednoczonymi? Komu nie sprzedajecie? Iranowi? Chinom? Rosji?

Miałam nadzieję, że z pełnymi ustami, w trakcie biesiady nie wzbudzę podejrzeń. Nic bardziej mylnego. Pierwsza zasada na rynku zero-day brzmi: Zero-day to temat zakazany. Druga zasada na rynku zero-day brzmi: Zero-day to temat zakazany. Nie pierwszy raz zadawałam to pytanie i jeszcze nigdy nie udało mi się uzyskać odpowiedzi.

Luigi i Donato, jak wszyscy podobni im informatycy na całym świecie, już dawno znaleźli usprawiedliwienie dla swojej działalności. Skoro giganci tacy jak Microsoft nie chcą, by hakerzy znajdowali luki w ich oprogramowaniu, to dlaczego ich kody są tak podatne na ataki? Błędy zero-day stanowią podstawowe narzędzia gromadzenia danych przez służby wywiadowcze, szczególnie gdy szyfrowanie okryło globalną wymianę informacji aurą tajemnicy. Rządy zostały postawione przed faktem dokonanym w obliczu narastającej fali ataków zero-day.

Hakerzy zdawali się jednak ignorować ciemną stronę swej działalności. Nikt nie kwapił się przyznać, że pewnego dnia tego rodzaju narzędzia mogą stać się śmiertelną bronią w ręku opresyjnych reżimów, które nie cofną się przed niczym, by uciszyć lub ukarać swoich krytyków. Mogą zostać wykorzystane do przejęcia kontroli nad zakładami chemicznymi czy rafineriami naftowymi. Wydaje się nieuniknione, że prędzej czy później żonglerzy błędów oprogramowania będą mieli krew na rękach.

Nikt przy stole nie miał wątpliwości, że niefrasobliwie rzuciłam światło na mroczną stronę działalności naszych włoskich współbiesiadników. Atmosfera wyraźnie zgęstniała, zapadło milczenie. Luigi, pod naporem wyczekujących spojrzeń, utkwił wzrok w talerzu. Wypiłam łyk wina i poczułam przemożną potrzebę zapalenia papierosa. Czułam, że Donato zrozumiał moje pytanie, ale i on nie wyrywał się do odpowiedzi.

Po kilku długich minutach Luigi przerwał milczenie: „Odpowiedziałbym ci na to pytanie, ale wolę porozmawiać o łososiu”.

Siedzący po mojej prawej stronie Niemiec wiercił się niespokojnie. Ralph Langner dwa lata wcześniej był jednym z pierwszych informatyków, którym udało się rozkodować i ujawnić szkodliwe działanie robaka Stuxnet, który uważany jest za jedną z najbardziej zaawansowanych i niszczących cyberbroni w historii.

Wykryty w 2010 roku Stuxnet zdołał rozgościć się w komputerach na całym świecie, korzystając z niespotykanej wcześniej liczby aż siedmiu exploitów. Część z nich wyraźnie zaprojektowano w celu infekowania komputerów odpornych na działanie złośliwego oprogramowania, nawet urządzeń odłączonych od sieci. Jedna z luk zero-day w oprogramowaniu Microsoftu pozwalała robakowi w sposób niezauważony przenieść się z zainfekowanej pamięci USB do komputera. Inne umożliwiały rozprzestrzenianie się po sieci, wspinając się w górę hierarchii systemu, jak się stało w przypadku irańskiej elektrowni jądrowej w Natanz, gdzie włamał się do komputerów odłączonych od internetu bądź izolowanych za pomocą sieci air-gapped i przejął zdalną kontrolę nad pracą wirówek używanych do wzbogacania uranu. Incydent wywołał zakłócenia w pracy wirówek, a część z nich nawet zatrzymał. Zanim irańskim naukowcom udało się zidentyfikować robaka odpowiedzialnego za zniszczenia, Stuxnet zdążył zdewastować jedną piątą wszystkich wirówek, na lata odsuwając w czasie realizację nuklearnych ambicji Iranu.

Langner zdobył sławę dzięki swojej analizie kodu Stuxneta. Był też na tyle odważny, że pierwszy wskazał architektów owej tajnej broni, czyli Stany Zjednoczone oraz Izrael. Największym zmartwieniem Lang­nera były jednak obawy o to, jak będzie wyglądać nasza rzeczywistość, gdy tego rodzaju oręż trafi w niepowołane ręce. Co stało na przeszkodzie, by kod Stuxnet zaatakował zakłady energetyczne, elektrownie jądrowe lub stacje uzdatniania wody na terenie Stanów Zjednoczonych? Naukowiec opracował nawet globalną mapę obszarów o dużym zagęsz­czeniu infrastruktury podatnej na atak Stuxneta. Większość z nich nie jest zlokalizowana na Bliskim Wschodzie, lecz właśnie w Stanach Zjednoczonych.

To tylko kwestia czasu, kiedy nasza broń zwróci się przeciwko nam. „Wyprodukowaliśmy cyberbroń masowego rażenia” – ogłosił wówczas Langner przed kilkusetosobową publicznością. „Musimy stawić temu czoła i odpowiednie działania powinniśmy rozpocząć już dziś”.

Po ujawnieniu kodu Langner wyruszył w podróż dookoła świata – udzielał konsultacji menedżerom najważniejszych instytucji pożytku publicznego, zakładów chemicznych, spółek naftowych czy gazowych, przygotowując ich na wypadek cyberataku masowego rażenia. Luigi i Donato jawili się w jego oczach jako cyniczni najemnicy, którzy z zimną krwią odgrywali rolę katalizatora nadciągającej apokalipsy.

Im dłużej Luigi wpatrywał się w swojego łososia, tym mocniej Lang­ner zaciskał zęby. W końcu przerwał kłopotliwe milczenie, odsunął się od Włochów i zwrócił się do mnie.

„Nicole” – odezwał się tubalnym głosem, by każdy mógł go usłyszeć. „To młode chłopaki. Nie mają zielonego pojęcia, co robią. Kasa, kasa i tylko kasa. Kto by się zastanawiał, co dalej i jak to wszystko się skończy”.

Następnie rzucił w stronę Luigiego: „Nie ma sprawy. Rozmawiajmy. Opowiedz nam o swoim cholernym łososiu”.

Sześć tygodni lata 2013 roku spędzone w schowku upłynęło mi pod hasłem „cholerny łosoś”, który stał się symbolem, moim własnym kodem dla każdej informacji, jaką zataili przede mną handlujący cyberbronią.

Zastanawiałam się, czego Włosi nie powiedzieli mi tamtego wieczoru w South Beach? Komu sprzedawali swoje luki zero-day?

Komu ich nie sprzedawali?

Czy to właśnie oni i tysiące im podobnych wolnych strzelców byli brakującym elementem w dokumentach Snowdena?

Czy ich proceder podlegał jakimś zasadom lub prawom?

A może powinniśmy obdarzyć zaufaniem hakerów i uwierzyć w ich kręgosłup moralny?

Jak tłumaczyli sobie handel lukami zero-day w technologiach, których używali oni sami, ich matki, ich dzieci, nie wspominając o naszej strategicznej infrastrukturze?

Jak tłumaczyli sobie sprzedaż zero-day naszym wrogom na rynku międzynarodowym? Albo rządom oskarżanym o łamanie praw człowieka?

Czy Stany Zjednoczone również kupowały exploity zero-day od hakerów? Czy rząd kupował je od zagranicznych hakerów?

Czy płacili pieniędzmi amerykańskiego podatnika?