Читать книгу Küberfoobia - Edward Lucas - Страница 3

Me ehitame oma tulevikku ressursile, mida me pole veel kaitsma õppinud.

George Tenet, Luure Keskagentuuri direktor, 1998. aastal

Tänapäevane elu sõltub usaldusväärsest elektroonilisest andmevahetusest. Kuid arvutid ja arvutivõrgud, mida me selleks kasutame, loodi turvalisust ja usaldusväärsust silmas pidamata. Enamiku ajast töötavad nad suurepäraselt, kuid seadmete läikivate korpuste ja tarkvara toretseva graafika taga on improvisatsioonide ja taaskasutuse varisemisohtlik segadik. Seega sõltub praegune elu möödunud kümnenditel kokkuklapitatud kompromissidest, mil kellelgi asjassepühendatuist ei olnud veel aimu, mis tagajärgi nende otsused toovad.

Tarbijatena oleme ka ise osaliselt süüdi. Me tahame, et arvuteid ja tarkvara oleks lihtne kasutada, et need oleksid odavad ja paindlikud. Me tahame, et nad töötaksid kõikide uute asjadega, mis meile meeldivad, kuid oleksid ka nn tagasiühilduvad – töötaksid ka palju vanemate seadmete ja tarkvaraga. Me tahame, et arvutid ja arvutivõrgud oleksid tehtud meie vajadusi arvesse võttes, kuid me ei viitsi kulutada palju aega uute nippide ja töövõtete õppimiseks. Tulemuseks ongi kompromissid, millel aga on oma hind. Osa sellest on töökindlus. Pidev vastutulek meie ootustele tähendab, et aeg ajalt ütleb süsteem üles. Teine osa on keerukus. Kiibid ja tarkvara, mis ütlevad arvutile, mida see tegema peab, on nüüdseks nii keerukaks muutunud, et keegi ei tunne neid kõiki.

Põhiprintsiibid ise on lihtsad. Igaüks, kes on kunagi raudteel sõitnud, saab nendest aru. Arvutid on nagu raudteesüsteem. Ilma juhtnöörideta ei liigu seal midagi. See on masinavärk, mis ei toimi iseenesest. Ellu äratab selle tarkvara – käskude kogumik, mis on kirjutatud seadmetele arusaadavas keeles: kui vool on sees, pane põlema see lambike, seejärel loo ühendus klaviatuuri ja monitoriga, siis käivita kettaseade ja järgi juhiseid, mida antakse. Ka kõige keerulisemad ülesanded saab jagada lihtsateks korraldusteks. Tarkvaraarendajate geniaalsus peitub oskuses analüüsida reaalses elus ettetulevaid probleeme ja lahendada need käskude abil, millest masin aru saab ja mida ta suudab ellu viia. Riist- ja tarkvara võivad põhimõtteliselt teineteist asendada. Tarkvara võib salvestada juba tegemise käigus kiibile, nii et hiljem on vaja vaid üksikuid käske anda, heaks näiteks on kiip lastele mõeldud mänguasjas. Kui nöörist tõmmata, mängib lelus olev seade unelaulu. Lihtsaid kiipe saab õigete käskude ja andmete sisestamisega panna tegema tervet rida eksootilisi tegevusi. Esimene programmeeritav arvuti oli Colossus, mille Briti tehnikud ehitasid teise maailmasõja ajal Bletchley Parkis Saksa koodide murdmiseks. Seda tuli programmeerida käsitsi lülitite, pistikute ja juhtmete abil. Hiljem laeti tarkvara arvutisse augustatud paberlintide abil ja veelgi hiljem elektromagnetilistelt andmekandjatelt (minu põlvkonna lugejad ehk mäletavad arvutimängude laadimist kassettidelt primitiivsetesse arvutitesse). Järgmisena tulid flopikettad, seejärel CD-d ja nüüd laetakse tarkvara enamjaolt alla internetist. Tarkvara on muutunud tohutult keerulisemaks, kuid olemuselt on see lihtne.

Rongide sõiduplaan on mõnes mõttes nagu arvutiprogramm. Seal seletatakse üksikasjalikult ära, kes, kus, millal ja mida peab tegema. Signaaltulede värv muutub, rongid peatuvad ja asuvad teele, pöörmed liiguvad edasi-tagasi. Kui arvutivõrk on riistvara ja sõiduplaan tarkvara, siis kolmas element raudteesüsteemis on rongid ise. Kogu ülesande sisu on saada rongid ja neis sisalduv punktist A punkti B. Arvutis on rongide ekvivalendiks andmed. Kujutlege näiteks, et teete digikaameraga foto ja laete selle arvutisse. See on suur kogus andmeid – tohutu nullide ja ühtede jada, mis määravad ära iga kaamera jäädvustatud punkti värvuse, mida taasesitada arvutiekraanil või printeri abil. Sõltuvalt arvuti võimekusest, sellele installitud tarkvarast ja juhistest, mida te arvutile annate, võib pildi saata sõbrale, postitada internetti või seda kadreerida ja töödelda, et foto parem välja näeks. Selle sujuvaks toimumiseks, peavad paljud asjad klappima. Pilt võib olla vales vormingus, mida teie arvutis olev tarkvara lugeda ei oska. See võib olla salvestatud mälukaardile, mille avamisega arvuti toime ei tule. Andmemaht võib väikese arvuti, näiteks telefoni jaoks liiga suureks osutuda. Andmed võivad olla vigased, selle võib tingida ebakõla riist- või tarkvaras, mis on andmeid mõjutanud. See on analoogiline vale vaguni haakimisega vale rongi külge: viga, mis võib olla vähetähtis või katastroofiline, sõltuvalt olukorrast.

Enamik neist vigadest jäävad avalikkusele märkamata. Arvutikasutajad on harjunud müstiliste probleemidega, mis näivad esile kerkivat ja kaduvat ilma selge põhjuse või korrapärata. Enamikel juhtudel te teete oma seadmele lihtsalt taaskäivituse ja loodate, et probleem ei kordu. Mõned vead on siiski nii silmatorkavad, et jõuavad meedias pealkirjadesse. Üks jahmatav näide leidis aset 2014. aasta septembris, kui ilmusid uudised veast, mis on ehk üks hullemaid omataolisi arvutite ajaloos ja mis leiti laialt kasutatava operatsiooni UNIX südamest. Enamik arvutikasutajaid pole UNIX-ist tõenäoliselt kunagi kuulnud, kuid see on paljude suurte elektrooniliste süsteemide alustala. Erinevalt Microsofti ja Apple’i müüdavast tarkvarast pole UNIX-il ainuomanikku. Laias laastus on see tasuta ja seda arendavad ja hooldavad vabatahtlikud. Osa koodist, mida tuntakse Bashi nime all, on tähtis vahelüli, mis seob UNIX-it kasutavad arvutid välismaailmaga. See võimaldab näiteks kasutajatel arvutitele korraldusi jagada, või veebiga ühendatud arvutitel neid vastu võtta. Bash loodi algselt 1989. aastal. See sisaldas aga viga, mis teoreetiliselt lubas sissetungijal arvutile valekäske anda. Shellshockiks nimetatud tarkvaravea põhjuseks ei olnud ründajate nutikus ega kasutajate hooletus, see oli lihtsalt süütu näpukas arvutiprogrammis. Selle tulemusel sattusid ohtu miljonid arvutikasutajad.[1.] Shellshocki kasutav sissetungija võib üle võtta kellegi arvuti, anda seal endale kõikvõimalikke õigusi, varastada ja rikkuda andmeid jne.

Arvutites, mida kasutavad inimesed, pole selle vea parandamine eriti keeruline. Kuid miljonid teised seadmed töötavad samuti UNIX-i peal, näiteks ruuterid – väikesed vilkuvate tuledega karbid, mis hoiavad üleval koduseid ja kontori WiFi-võrke, aga ka võrguühendusega termostaadid, tööstusmasinad ja muud seadmed. Ja need arvutid (mis nad tegelikult on) on enamjaolt projekteeritud töötama autonoomselt. Nende tarkvara uuendamine on vaevarikas ülesanne, mille jaoks nende omanikel ei pruugi jaguda aega või tahtmist. Seetõttu võivad paljud Shellshocki suhtes haavatavad seadmed jääda turvapaigata ning on kaitsetud välise rünnaku ees – olukord, mis jääb kestma veel aastateks.

Meid hoiatati selle eest. 1998. aastal ütles Luure Keskagentuuri (CIA) direktor, George Tenet: „Me ehitame oma tulevikku ressursile, mida me pole veel kaitsma õppinud.”[2.] Tema sõnadele ei pööratud tähelepanu.

Sestsaadik oleme me muutunud arvutitest veelgi enam sõltuvaks ja lõhe ründajate leidlikkuse ja kaitsjate võimekuse vahel on pigem kasvanud kui kahanenud.

Kui Tenet selle välja ütles, olid enamiku internetirünnete taga häkkerid, keda kannustas uudishimu või isekus. Asjassepuutuvad rahasummad olid tavaliselt tühised. Kevin Mitnick, kellest sai Ameerika tuntuim häkker (ja pärast lühiajalist vangis istumist tunnustatud konsultant arvutiturbe alal) alustas oma tegevust, püüdes leida võimalust petta Los Angelese ühistranspordisüsteemi. Ta ostis omale vana piletiaugustaja, et saaks kasutada äravisatud ümberistumispileteid. Tal oli igav, ta oli tark, ta jättis usaldusväärse mulje ning teda võlusid reeglid ja nendest mööda hiilimise võimalused. Tema suurimaks tugevuseks polnud mitte tehnilised, vaid suhtlemisoskused, see mida nüüd manipuleerimiseks (social engineering) nimetatakse. Ta oli entusiastlik amatöörist mustkunsti harrastaja, mis andis talle ettekujutuse tajutava ja tegeliku reaalsuse vahest ning sellest, kuidas seda ära kasutada. Ta oli meisterlik telefonihäkker, kes pettis sidesüsteemi vilede ja klõpsudega, saades nii tasuta telefonikõnesid. Mitnicki meetoditest, kuidas arvutivõrku sisse tungida, oli lihtsaim helistada arvutikeskusesse ja teeselda, et ta on komandeeringus olev tehnik. Sõbraliku lobisemise ja veenvatena tunduvate detailide abil suutis ta veenda tüdinenud, hooletut ja alamotiveeritud töötajat andma talle kasutajanimed ja paroolid, mida ta vajas. Kuid tema eesmärgiks polnud ei häving ega rikkused. Enamasti ta lihtsalt nautis õnnestunud sissemurdmist süsteemi. Mõnikord oli saagiks tasuta telefonikõned. Vahel lõbustas ta end sellega, et programmeeris võrgu niimoodi ümber, et sõbra telefoninumber liigitati avaliku, müntidega opereeritava telefoni numbriks. Kui hämmastunud numbriomanik püüdis välja helistada, kuulis ta automaatset sõnumit, kus paluti alustuseks münt sisestada.

Tänapäeval on taolistest rünnakutest saanud relvad poliitikute ja riigimeeste käes, aga ka hiigelsuures ja tulusas kriminaalses äris. Aktivistid kasutavad küberünnakuid kampaaniate osana – näiteks ahne ja salatseva saientoloogide sekti vastu, või et karistada ettevõtteid, kelle tegevus on neid pahandanud. Sony vastu suunatud rünnet kirjeldas üks turvaspetsialist kui ettevõtte õhkulaskmist seestpoolt[3.]. Nagu ma kirjeldan 5. peatükis, käivitas Hiina valitsus laiaulatusliku, riigi sponsoreeritud kampaania lääne ettevõtete intellektuaalse omandi varguseks. Venemaa varastab riigisaladusi oma geopoliitilistelt konkurentidelt. Mõlemad riigid ja teisedki palkavad rünnete teostamiseks eraettevõtteid ja indiviide, samuti nagu varasematel aegadel oleks värvatud palgasõdureid ja piraate.

Kõige selle keskmeks on kübermaailma ja pärismaailma suurim erinevus: meil pole lihtsat meetodit, et tõestada, kes me oleme, või teistpidi, on raske kindlaks teha, kellega täpselt me asju ajame. Meie kõige nõrgemaks kohaks on elektrooniline identiteet: segane, ebausaldatav, kergesti ununev segu kasutajanimedest, paroolidest, turvaküsimustest ja muudest abinõudest, mida me kasutame pea kõige kontrollimiseks ja autentimiseks, mida me veebis teeme. Vaid mõned aastad tagasi moodustas see meie igapäevasest elust vaid väikese osa. Nüüd on kaalukausid paigalt nihkunud. Tänapäeval, kui midagi läheb valesti teie elektroonilise identiteediga, kannatab ka päriselu. Sellele probleemile leidub lahendusi, kuid need nõuavad radikaalset muutust selles, kuidas me arvuteid kasutame.

Meie võrguidentiteet võib tunduda sama kindlana kui lukustatud uks, kuid ründajale on see pärani lahti. Teie ehk pole kuulnud n00d-idest, kuid kui olete naissoost ja kuulus, olete saakloomaks inimestele, kes varastavad ja koguvad alastipilte. 2014. aasta lõpus tuli välja, et fotod kuulsustest, nagu „Näljamängude” täht Jennifer Lawrence’ist, modell Kate Uptonist ja tosinast teisest varastati Apple’i arvutitest ja nendega kaubeldi illegaalsetes veebipoodides. See mõnevõrra õudustäratav (ja anonüümne) postitus teadetetahvlilt veebis, annab teile mingi ettekujutuse.

See pole vaid üks häkk

Seal pole vaid üks lekitaja

Väike põrandaalune alastipiltidega kaubitsejate grupp on tegutsenud juba aastaid.

Miks see varem ilmsiks ei tulnud? Ainus tee grupiga ühineda on ennast sisse osta originaalfotodega („võitudega”, nagu nad neid nimetavad), mis te olete ise hankinud

Need tüübid on ka ahned tõprad. Kui te oleksite ainus inimene maailmas, kelle käes on jlaw [Jude Law] alastipildid, kas te tõesti jagaksite need laiali? Tasuta??

Need sellid korraldavad kuulsustele individuaalseid rünnakuid, kasutades segu sotsiaalsest manipuleerimisest ja (eriti kättesaamatute sihtmärkide puhul) otsesest häkkimisest

Nad kauplevad omavahel oma kollektsioonide täiendamiseks

Siseringi võetakse väga harva kedagi juurde – väga vähesed kuulevad sellest ja veel vähesematel on n00de, et ennast sisse osta …

Välja arvatud isehakanud „rikkur” … näib, et ta ostis paar näidispilti ja paljastas kogu tegevuse, jagades neid esimest korda väljaspool suletud ringi

Mõistes, et n00dide kollektsiooni olemasolu on ilmsiks tulnud ja nähes oma võimalust, tulid paar teist kutti kapist välja ja pakkusid osa oma kollektsioonist välja

Lihtne on sellised inimesed kuulutada pervertideks ja väärastunuteks, kuid nende ohvritele pole see naljaasi. Ka kõige energilisem ja kallim juriidiline lahend ei kustuta varastatud fotosid internetist. Sama kiiresti, kui teil õnnestub veenda mõnd saiti pilte maha võtma, paneb mõni muu need üles. Te ei saa kunagi kindel olla, et need uuesti välja ei ilmu – kusagil, kellegi arvutis on need olemas ja nende ülespanekuks kulub vaid mõni hiireklõps. Üks esimesi arvutiajastu õppetunde oli see, et arvuti võib üles öelda. Seetõttu meeldib kasutajaile oma andmetest koopiaid teha ja neid eri kohtades hoida. Kuid üht tüüpi probleemi vältimine tekitas teise. Ülalpool nimetatud ründe kuulsustest ohvrid ei hoidnud oma hinnalisi fotosid vaid ühes arvutis või telefonis, sest koos turvalisusega soovisid nad ka mugavust. Materjali pilve (paljudest arvutitest koosnev võrk, mille haldamisega tegeleb keegi kaugemalt, näiteks Google või Apple) laadimine tähendab, et pääsete sellele ligi igalt poolt ja igal ajal, kui soovite.

Mugavus on tõepoolest eelis. Aga turvatunne oli vaid illusoorne. Sissetungijad said fotod kerge vaevaga kätte, sest Apple, üks suuremaid arvutifirmasid maailmas, oli teinud kasutajakontodesse sissemurdmise hämmastavalt lihtsaks.

Apple eitab seda. Ta ütleb, et oli vargusest kuuldes nördinud, ja väitis, et rünnak oli „väga täpselt suunatud” kasutajanimede, paroolide ja turvaküsimuste varguseks. Ükski juhtum ei olnud Apple’i väidetel põhjustatud „nõrkusest üheski Apple’i süsteemis”. See on tõsi. Häkkerid ei kasutanud kavalaid häkkimistehnikaid, et Apple’i arvutivõrku sisse murda. Selle asemel kasutasid nad ära mitmeid vigu ettevõtte turvaprotseduurides. Esimeseks sammuks oli ära arvata ohvri meiliaadress. See pole eriti raske, kui teil on kasutada niipalju katseid, kui soovite. Te võite proovida luua endale Apple’i kontot mistahes meiliaadressiga, kui meiliaadress on aga juba kasutusel, on teil käes esimene infokild. Näiteks, kui suur Humphrey Bogart oleks veel elus, võiksite proovida luua Apple’i konto nimega humphrey.bogart@gmail.com või mõne muu lihtsalt tuletatava variandiga nagu humphrey.bogart@me.com, humphrey.bogart@yahoo.com jne. Kui te sattute meiliaadressile, mis töötab (st, mille kohta Apple ütleb, et see on kasutajanimena juba olemas), olete te leidnud luku, mida tõenäoliselt tahaksite avada. Nüüd läheb teil vaja ainult võtit.

Võtme leidmiseks proovite nüüd sisse logida Humphrey Bogartina, kasutades meiliaadressi, mille kohta Apple teile ütles, et see on kasutusel, ning öelda, et olete parooli „unustanud”. Seejärel pakub Apple teile välja kaks võimalust. Esiteks, saata teie meiliaadressile sõnum lingiga. Pärast lingil klõpsamist saate parooli uuesti sisestada. Ka see ei ole küllalt turvaline, sest ründaja (nagu me hiljem näeme) võib olla saanud kontrolli teie meilikonto üle. Kuid teine võimalus on isegi lihtsam. Kui te ei ole tarvitanud erilisi ettevaatusabinõusid, lubab Apple salasõna muuta veebis igaühel, kes teab teie sünnikuupäeva (mis kuulsuste puhul on kerge vaevaga hangitav) ja suudab vastata paarile üsna lahjale turvaküsimusele (näiteks pereliikmete nimede kohta). Igaüks, kellest on sissekanne Vikipeedias, või kellel on Facebooki konto, on need andmed juba avalikuks teinud. Pisut detektiivitööd internetis lubab neid lihtsalt hankida ka muudest allikatest. Niipea, kui ründaja on parooli ära muutnud, saab ta sisse logida ja pääseb ligi ohvri fotodele ja muule privaatsele infole.[5.]

Karistada inimesi, kes naudivad teiste eraelu – ja privaatsete kehaosade – üle irvitamist ja ilkumist, on pea võimatu. Kui keegi varastab teie võtmed, siseneb teie koju ja vehib magamistoast sisse fotod, saab politsei otsida sõrmejälgi, tunnistajaid ja isegi DNA-d. Kuid rünnak teie magamistoale internetist, eriti kui kasutatakse teie oma kasutajanime ja salasõna, jätab väga vähe, kui üldse, mingeid jälgi.

Identiteet kaitseb palju enamat kui meie eraelu. Päriselus ei kaota te tõenäoliselt korraga oma võtmeid, passi, juhiluba ja rahakotti, ning isegi kui see juhtuks, ei saaks varas neid kõiki korraga kasutada. Teie elektrooniline identiteet põimib kokku kõik füüsiliste esemete omadused, mis valvavad juurdepääsu teie elule. Ning seda on palju lihtsam ohustada ja seda saab palju kiiremini ära kasutada. Vastavalt on ka tagajärjed palju hullemad. Informatsiooni on lihtne kopeerida ja koopiad kestavad igavesti: kui oleme info kord kellegi kätte usaldanud, ei saa me kuidagi teada, palju sellest koopiaid tehti või kuhu need välja jõuavad. Halbades kätes võib informatsioon ohustada meie käekäiku, võimaldades võõrastel esineda meie nime all. Tule alla võivad sattuda ka kõrvalised inimesed, isegi need, kellega meil pole kunagi pistmist olnud.

Alguses on sellest raske aru saada. Meie mõtetes seostub meie oma hooletus meie endi ebaõnnega. Kui jätame auto lukustamata, võidakse see ära ajada, kuid teisi sõidukeid see ei mõjuta. Kui kaotame võtmed, on ohus meie kodu, samuti nende inimeste turvalisus, kellega me koos elame. Kuid see ei mõjuta meie naabreid. Varastatud informatsioon ja andmed aga võivad rohkem kahju teha kui kaduma läinud võtmekimp. Põhjus seisneb küberidentiteedi erinevuses pärismaailma identiteedist. Kellegi käekoti sisu (kosmeetika, rahakott, dokumendid, võtmed, fotod jne) ei võimalda mul seda isikut etendada naabrite ja kolleegide ees. Nad näevad, et minu hääl, nägu, sugu, maneerid ja muu taoline ei sobi kokku füüsilise esemega nagu võtmed või pass. Kui ma aga varastan ohvri kübermaailma tunnused – tema kasutajanime ja parooli – võin ma temana esineda küllaltki veenvalt. See tähendab, et ma pääsen ligi tema tööarvutile (võin seal ringi nuhkida ja varastada või kahjustada selles leiduvat). Ma võin saata ta sõpradele ja kolleegidele e-kirju, mis näivad tema saadetuna, ja sisaldavad manuseid või linke, mis põhjustavad kahju, kui neid avada. Ma võin tema meiliaadressi kasutada ka ohtlike sõnumite saatmiseks täiesti võõrastele inimestele. Kui meiliaadress on piisavalt muljetavaldav, võivad nad klõpsata linkidel või avada manuseid.

Te ei pea olema rikas ega kuulus, et sellise ründe ohvriks langeda. Californias Palo Altos elavat tarkvaraarendajat Naoki Hiroshimat rünnati, kuna tal oli lühike ja teravmeelne Twitteri kasutajanimi.3 Twitteri sõnumid on vaid 140 sümbolit pikad, seega, mida lühem kasutajanimi, seda rohkem jääb ruumi kõigele muule. Kuna Twitteri populaarsus on plahvatuslikult kasvanud (raamatu kirjutamise ajal oli sel üle 250 miljoni kasutaja), siis on ihaldatavamad lühikesed nimed juba kasutusel. Hiroshimal vedas, et tal õnnestus kasutajanimeks registreerida „N” – üks vaid 26-st Twitteri ühetähelisest kasutajanimest. See oli väärt palju raha – ta lükkas tagasi pakkumise 50 000 dollarile.

Pettunud ostja ei andnud järele – ta ründas. Ta võttis oma kontrolli alla Hiroshima veebisaidid, Facebooki konto ja teised veebiga seotud kontod ja hoiatas, et hävitab need – nullib ära Hiroshima äri ja saboteerib tema isiklikku elu, kui ta ei saa Hiroshima Twitteri kasutajanime. Hiroshima alistus, sai tagasi oma elu, kuid jäi ilma kallihinnalisest „N”-ist.[6.] Alles siis kui ta juhtunust kirjutas, sekkus Twitter ja tagastas talle tema omandi.

Piilujad veebis ja inimesed, kes tahavad varastada teie Twitteri kasutajanime, on vaid väike osa palju suuremast probleemist. Ründeid toimub uskumatul hulgal. Isegi enne viimast rünnakut lasi Sony 2011. aastal häkkerid ligi 100 miljoni kliendi andmetele, kes kasutasid Play Stationit ja Online Entertainmenti võrku.[7.] 2014. aasta keskpaigas teatasid turvaspetsialistid, et jõuk nimega CyberVor („vor” tähendab vene keeles varast) varastas 1,2 miljardi unikaalse kasutajakonto andmed. Kui see vastab on tõele, on see suurim (teadaolev) üksikkuritegu internetis, võttes arvesse mõjutatud inimeste arvu.[8.]

Inimesed, kes ründavad meie arvuteid ja arvutivõrke, võivad olla kurjategijad, petised, poliitiliste eesmärkidega häktivistid või kombinatsioon kõigist neljast. Need võivad olla üksikisikud või grupid. Grupi liikmed, kes rünnet teostavad, võivad aja jooksul vahetuda. Mitte kõik neist ei pruugi teada, mis on lõppeesmärk. Ründajate otsimine makstavat tasu jälitades on samuti võimatu. Nad ei küsi tasu sularahas ega pangaülekandega. Selle asemel kasutavad nad nn krüptoraha – uut tüüpi raha, mis eksisteerib ainult internetis. Parim teadaolevaist on bitcoin. Sellisel rahal on palju puudusi. Seda ei aktsepteerita paljudes kohtades. Selle väärtus kõigub pidevalt. Maksesüsteem põhineb keerulisel matemaatikal, mis võib sisaldada seni ilmsiks tulemata vigu. Kuid kõikide muude makseviiside ees on sel ka eelis – seda ei saa jälitada. Kui te saadate kellelegi bitimünte – mis tehniliselt taipliku inimese jaoks pole keerulisem, kui e-kirja saatmine, ei saa keegi teada, et just teie olite saatja ega seda, et tema saadetise kätte sai. Seetõttu on ründe taga olijat hoopis keerulisem tuvastada kui päriselus ning veelgi raskem on tuua teda kohtu ette.

Enamasti on ründe sooritajad anonüümsed, kuid nendeni jõudmine on siiski vaid raske, mitte võimatu. Neil on inimlikke nõrkusi, nad tahavad kiidelda oma oskustega, mõista hukka oma vaenlasi ja toetada sõpru. See avab võimalusi uurijatele, nii valitsuse omadele kui ka ühiskondlikult mõtlevaile kõrvalseisjatele. Üks säärane sõltumatu uurija on Brian Kebs, Ameerika turvaekspert ja kirjamees. Ta uuris välja, kes on Rescatori, krediitkaartide andmeid müüva veebisaidi taga. Rescator on šokeeriv näide jultumusest, millega kuritegevus esitleb end veebis sarnaselt seadusliku äritegevusega – koos veebist tellimise, hooaja allahindluste ja tagastusvõimalusega. Kaardiandmed on sorteeritud riikide, pankade, väljaandjate ja kvaliteedi alusel ning varustatud aadresside ja isikukoodidega. USA-s välja antud American Express maksab rohkem kui lihtsa krediitkaardi number vähem ahvatlevast paigast.

Vastavalt Krebsi uurimistööle on Rescatori taga noor mees Andrei Hodirevski, kes elab Ukrainas Odessas ja kuulub Venemaa kuritegelikku rühmitusse, mis on spetsialiseerunud kontoandmete vargusele, ja kes on läänevastaselt meelestatud, mis väljendub veebis avaldatud manifestis, mille Krebs ära tõlkis.[9.]

Meie Vabariigi liikumine, Lampeduza ideoloogia, vastandab end lääneriikidele ja selle peamiseks eesmärgiks on jõudude tasakaalustamine maailmas. Pärast NSVL-i kokkuvarisemist oleme me kaotanud planeedil olnud hapra tasakaalu. Meie, Senat ja Vabariigi parimad inimesed ei võitle mitte ainult ellujäämise ja oma koha leidmise eest päikese all, meid kannustab takka idee! Idee, mis elab meis kõigis – võtta tagasi kõik, mis meilt on varastatud ja võetud tera-tera haaval meie sõbralikelt riikidelt! Me võitleme hea asja nimel! Meis, kodanikes, kes tahavad muuta olukorda maailmas, pulbitseb kuum veri. Me ei paindu teiste inimeste arvamuste ja soovide ees ning anname väärilise vastulöögi lääne globalismile. Peab olema õigluse eest võitleja!

Võib-olla me elaksime nüüd hoopis teistmoodi, kui poleks olnud Allan Dullesi plaani ja Ameerika poleks investeerinud NSVLi kokkuvarisemisse miljardeid. Meid jäeti ilma ühisest kodumaast, kuid mitte meie ühtsusest, me teame oma piire ja seisame üksteisele veel palju lähemal. Me nägime kapitalismi ilmseid põhimõtteid, kus inimene on inimesele hunt. Koos saame me palju ära teha, et tuua tagasi kõik need asjad, millest me Ameerika pärast ilma jäime! Meist kuuldakse!

Lampeduza kodanikud – „vabad kunstnikud” – valmis looma ja elama emakese kodumaa nimel – las nad painutavad end alustuseks ja siis surume sügavamale!!![10.]

Sellise tegelase tegeliku identiteedi paljastamine nõuab suurt pingutust kas valitsuselt või andekalt üksiküritajalt nagu Krebs. Enamik ründajaid ei pea paljastamist kartma. See loob niisuguse eetikaga universumi, mis on päris maailmas üsna haruldane, kus kõlbelised instinktid on polsterdatud riski ja tasu suuruse hindamisega. Meil võib olla kiusatus valesti käituda, kuid me teame, et meid võidakse näha ja kui meid nähakse valesti käitumas, järgnevad sanktsioonid alates ühiskonna halvakspanust kuni kohtumõistmiseni.

Umbes 2500 aastat tagasi teoretiseeris Kreeka filosoof Platon maailmast, mille internet on nüüd loonud – maailmast, kus halba on võimalik teha ise nähtamatuks jäädes. Ta tõi mängu maagilise eseme, mida nimetas Gygesi sõrmuseks, mis andis selle kandjale nähtamatuse. Neilt, kes usuvad, et moraalsus on ainuüksi või esmajoones riski ja tasu küsimus, võtab taoline sõrmus kõik piirangud ebamoraalselt käitumiseks.

Nüüd saame me testida Platoni mõtteid reaalses maailmas ja tulemused on masendavad nende jaoks, kes peavad moraalsust instinktiivseks. Interneti pakutava anonüümsuse mantli all tunnevad inimesed, et nad võivad olla jämedad, ähvardavad või lausa ebaausad. Parim näide on nn trollimine – tarbetult solvavate või asjakohatute kommentaaride postitamine sotsiaalmeedias või veebis avaldatud artiklite kommentaariumides. Sellise käitumise motiivide üle vaieldakse, kuigi teadusuuringud väidavad, et interneti anonüümsus ja ebapüsivus annab rohelise tee kalduvustele nagu sadism, ekshibitsionism ja südametus.[11.]

See ei tule ainult sellest, et internetis on halva käitumise kulupool väike. Tulupool on suur. Ründeid saab automatiseerida ja neid teha sadu või tuhandeid kordi. Isegi väike noos, kui seda saada palju kordi, teeb ründe tasuvaks, kuna internet on nii laialt levinud. Kui tahate tungida inimese privaatsusse, ei pea te enam piiluma nende akendesse, vaid võite rüüstada Apple’i kontot, kuhu nad talletavad oma erafotosid. Kui tahate raha varastada, ei pea te röövima panka, vaid võite inimesed paljaks teha interneti kaudu. Kui te tahate kahjustada konkurendi mainet, võite määrida selle oma klaviatuuri tagant tõusmata. Varem pidurdasid igat sorti ründajaid mastaabid ja vahemaad, nüüd on internet vahemaad kaotanud, nii et Singapuri teisitimõtleja võib hävitada Ameerika ooperilaulja elu, kellega ta kunagi kohtunud pole. Ja sama skeem töötab ikka ja uuesti. Kui teil õnnestub ära sättida poe arvutiterminal, et varastada ühe krediitkaardi andmed, võite neid varastada sadu. Kui te murrate sisse andmebaasi, et koguda eraelulist informatsiooni ühe inimese kohta, võite varastada ka kõik muu arvutis leiduva. Internetieelsel ajastul olid üksikindiviidi haavatavad kohad tema kodu (mis tähendas ligipääsu ustest või akendest), telefoni- ja postiteenused, mida ta kasutas, ning tema liikumine väljaspool kodu, näiteks poeskäigud, puhkamine ja tööl käimine. Pahategija jaoks (näiteks petturi või uudishimutseja) oli ründepind, kui kasutada tehnilist terminit, piirangutega seotud ja nõudis enamjaolt läheduses asumist. Nüüd käib seesama isik tõenäoliselt poes ja pangas ning suhtleb ja saadab sõnumeid arvuti kaudu. Ja nõrgad kohad tema turvasüsteemis on tõenäoliselt sarnased miljoni teisega.

Kuigi mulle ei meeldi termin küberkuritegu (ega tõepoolest ükski sõna eesliitega küber-, kuna see müstifitseerib ja lisab glamuuri, mitte ei seleta), on arvutite kasutamine tõepoolest loonud uut liiki kriminaalse käitumise, mida iseloomustab petmine ja laiendatavus. Teoorias oleks petturil reaalses maailmas võimalik raha teenida, kui ta asutaks võltspanga: üüriks hoone, sisustaks selle nii, et see tunduks pangana, paneks kaasosalised laudade taha istuma ja petaks klientidelt raha välja. Kuid see oleks tüütu, riskantne ja tõenäoliselt kukuks läbi. Kasumlikum pettus oli mõni aeg tagasi paigaldada ärasätitud rahaautomaat (ATM, Automated Teller Machine) mõnda avalikku kohta. Ohver sisestas oma kaardi ja seejärel PIN-koodi (Personal Identification Number), mille järel sai veateate. Sel meetodil kogutud infot sai kasutada võltsitud pangakaartide valmistamiseks, mida seejärel kasutati ohvrite pangakontode tühjendamisel. Kuid ka see oli tüütu ja pealegi kulukas. Ehtsa pangaautomaadi kallal nokitsemine oli palju lihtsam. Aga raha varastamine otse arvutist, astumata kaugemale klaviatuurist ja tõstmata jalga ohvri kodumaale, on kõige lihtsam.

Rünnetest arvutitele ja arvutivõrkudele on raske aru saada ning arutelu vastumeetmetest painavad ebaselgus ja salatsemine. Mistahes sorti kuriteo kahjude hindamine on keeruline: eriti raske on see arvuteid ja võrke puudutavate kuritegude korral. Kui suur on saamata jäänud tulu probleemide tõttu arvutiturvalisuses? Millise hinna paneksite eraelusse sissetungimisele? Palju praegu tehtud kahjust ei pruugi ilmseks tulla enne kuude või aastate möödumist. Nagu oma viimases ülevaates märkis Ameerika ekspert Richard Danzig: „ … on andmed internetikuritegevuse põhjustatud kahjudest napid, ebasüsteemselt kogutud, võetud muutuvatest valimitest, ebatäielikult süstematiseeritud ja agregeeritud, juhuslikult levitatud ja avalikustatud ja enamjaolt on analüüsijaiks olnud tulemuste näitamisest majanduslikult huvitatud osapooled.”[12.]

Samuti nagu turvafirmad soovivad liialdada kuritegevusest tõusva kahju suurusega, soovivad ohvrid selle maha vaikida. Paljud vaikivad, kuna nad ei saa aru, et neid on rünnatud, suur osa neist, kes aru saavad, eelistavad aga haavu lakkuda nii privaatselt kui vähegi võimalik. Ärile ei tee head, kui tunnistada, et te ei suuda oma klientide, varustajate ja töötajate andmeid turvaliselt hoida. Teie aktsionäridele ei jää head muljet, kui firma intellektuaalne omand – salajased plaanid ja valemid – ära varastatakse, ega sellest, kui tundlik informatsioon liitumistest, ülevõtmistest, uute toodete turulepaiskamisest ja muust taolisest välja lekib. Milline pank tahaks tunnistada, et klientide andmete kallal on käinud sissetungija, või et pangaautomaate on saboteeritud. Parem on olla vait ja tõrjuda seaduslike sanktsioonide kehtestamist avalikustamisest hoidumise puhul, mida praegu ei eksisteeri. Isegi kui soovite oma ettevõtet kaitsta, on raske otsustada, mida on vaja teha. Nagu Lex kirjutas oma veerus Financial Timesis: „turvatööstuse salastusnõuded töötavad nende enda vastu. Ilma rünnete ja läbimurrete kohta käiva infota on peaaegu võimatu otsustada, kelle tarkvara on parim.”[13.]

Isegi eelnevat arvesse võttes, on statistika hirmutav. Turvalahendusi tootva firma McAfee hiljutises aruandes hinnati maailma küberkuritegevuse mahtu 400 miljardile dollarile.[14.] Siia hulka arvestati pettustes (enamjaolt pankade ja finantsasutuste vastu suunatud) kaotatu, samuti varastatud intellektuaalse omandi maksumus (nt projektid) ja selle mõju kasumile, investeeringutele ja innovatsioonile tulevikus. See sisaldas ka ennetusele kulutatud summasid ja küberkuritegevuse mõju majanduslikule aktiivsusele ning tööhõivele (aruandes hinnati, et arvutiründed läksid Ameerikas maksma 200 000 töökohta ja Euroopas 150 000). 2011. aastal nentis Briti valitsus aruandes, mille koostas sarnast metoodikat kasutanud arvutiturbefirma, et küberkuritegevus läheb riigile maksma 27 miljardit naelsterlingit aastas.[15.]

Isegi võttes arvesse meediakära, ebamäärasust ja kallutatust, on proportsioonid rabavad: McAfee hinnangul on võrgust saadav tulu aastas 2–3 triljonit dollarit, millest kurjategijaile läheb 15–20 %. Võrdluseks: sama suur on lennunduse maht ülemaailmselt (2012. aastal 2,2 triljonit). Kui kurjategijad võtaksid aastas 400 miljardit dollarit kaaperdamistest, pagasi varastamisest, võltsitud piletite väljastamise ning kütuse ja varuosadega sahkerdamise eest, põhjustaks see skandaali. Isegi, kui summa oleks sellest vaid pool või veerand, oleks see ikkagi tohutu hulk raha, mis voolaks kurjategijate taskutesse.