SLOUPEK IVANA ZELINKY
Kybernetické zbraně
V posledních letech se stále častěji potkáváme se zprávami o takzvaných „kybernetických útocích“ na různé organizace, nemocnicemi počínaje a státními úřady konče. Stále také slyšíme silná slova typu „útok“, „kybernetická zbraň“, a to včetně emočního podbarvení, aniž by bylo vysvětleno, o co vlastně jde.
Autor: Ivan Zelinka, odborník na kyberbezpečnost a umělou inteligenci
Profesor na Fakultě elektrotechniky a informatiky VŠB TU v Ostravě a senior researcher ve skupině Big Data v IT4Innovations v Národním superpočítačovém centru.
Pojďme se tedy v dnešním povídání podívat na to, co to je kybernetická zbraň a kybernetický útok a jak to máme celé chápat. Je nutné si však uvědomit, že dnešní povídání je velmi ořezané ve smyslu obsahu a hloubky. Samotná problematika vydá na celou knihu a je extrémně důležitá jak pro obranu státní, tak firemní infrastruktury.
V dnešní společnosti tvoří informace klíčovou roli, avšak čím dál více těchto informací je obsaženo v informačních systémech. Informační systémy používají nejmodernější propojení a zvyšují svůj výkon, ale jejich bezpečnost je často zanedbávána. Ze statistik je patrné, že počty útoků na tyto systémy se od roku 2013 stále zvyšují. A s nástupem digitalizace je i drtivá většina agendy státu již plně integrována do světa internetu.
V roce 2010 J. Lynn definoval kybernetický prostor jako pátou doménu války. Je nutné si uvědomit, že z pozice státu je třeba bránit nejen své území, části vod a vzdušný prostor, ale také kyberprostor. Tyto služby jsou z velké části napadnutelné, což může v konečném důsledku ochromit celý stát nebo jeho kritickou infrastrukturu.
K těmto účelům vznikl „speciální“ typ malware, který se často nazývá kybernetická zbraň a může sloužit jak pro útok, tak pro obranu státu. Nejčastěji se jedná o tzv. cílený malware, který škodí v předem určené cílové destinaci a nevzbuzuje podezření v případě, že se jen šíří nebo je neaktivní. Mnozí autoři definují chování kybernetické zbraně jako podobné inteligentnímu agentu, který se snaží nenápadně dostávat hlouběji k informacím. Jakmile je připraven škodit na cílovém místě, stane se z něj zbraň, která je schopna cíl i fyzicky zničit. I v případě detekce se snaží být kód malwaru těžko odhalitelný a zpětně pochopitelný, a proto také často bývá obfuskován (obohacen o kód nepodílející se na funkci malware), aby jeho zpětná analýza byla co nejtěžší. Jakmile se však jednou zbraň použije a vzbudí pozornost, bývá často odhalena a následně se téměř jistě signatury takovéhoto malwaru dostanou do antivirové databáze.
Jedním z větších nepřátel takovýchto kybernetických zbraní mohou být antivirové programy, založené na analyýze chování (behaviour-based antivirus), které monitorují chování klientské stanice a v případě objevení neobvyklého chování jakéhokoliv softwaru je tato událost nahlášena správci, který musí daný incident detailněji analyzovat.
Hlavním motivem pro vývoj kybernetických zbraní může být obrana státu v případě jeho napadení. Je možné, a u některých států dokonce potvrzené, že vlastní takovéto kybernetické zbraně. Nechtějí je však použít, jelikož by došlo k jejich odhalení a vývoj takovéto zbraně je časově náročný a drahý.
Ve vojenském odvětví můžeme kybernetickou zbraň přirovnat k samonaváděcí střele, která má daný cíl a cestu si může zvolit. Lze jí taktéž použít jen jednou a v případě včasného odhalení může druhá strana zmást informace na radaru a tím nepřátelskou střelu zneškodnit.
Kybernetická zbraň tedy může fungovat jako součást vojenské obrany, ale také útoku. V případě obrany by bylo možné například napadnout útočné systémy nepřítele, které by byly zničeny. Případně by zbraň mohla hlásit falešné objekty na radaru a nepřátelské letectvo by tak provedlo útok na nesprávné cíle, které nejsou pro stát kritické, případně do odlehlých částí napadeného území apod. Při útoku může taková kybernetická zbraň sloužit také jako podpora, která by byla schopna odstavit části elektráren a tím způsobit výpadky proudu napadenému státu.
Jedním z hlavních představitelů kybernetických zbraní byl malware Stuxnet. Víme určitě, že nebyl první, ale byl první, který byl odhalen a analyzován a publikován veřejnosti. Účelem kybernetických zbraní je hlavně sabotovat, přeprogramovávat, špehovat a případně fyzicky ničit určitá zařízení. Podobně tedy fungoval zmíněný Stuxnet, který měl za cíl poškodit iránskou jadernou elektrárnu, konkrétně zničit její odstředivky.
Jelikož v Iránu existuje pouze jedna jaderná elektrárna, mohla tato událost způsobit blackout pro větší část státu. Důležitou součástí tohoto malwaru je využívání "zero day vulnerability", kdy se malware šíří mezi další počítače bez povšimnutí a umí se adaptovat na prostředí, ve kterém se nachází. V případě kybernetické zbraně je důležité zamyslet se nad tím, kdo takovou zbraň vyvíjí. Většinu takových zbraní vyvíjí specializované týmy, které jsou najímané přímo státem, který je také financuje. Je nutné podotknout, že většina informací o těchto zbraních bývá dost utajována, stejně jako jejich samotný vývoj.
V případě vývoje Stuxnetu se spekuluje o autorství více států, které mají silnou politickou a vojenskou motivací. Celá zbraň byla vyvíjena modulárně a při zpětné analýze bylo detekováno, že na vývoji se podílelo více státu. Spekuluje se, že hlavním strůjcem Stuxnetu byl Izrael a Spojené státy americké, ale zapojení dalších států do výroby některých části viru nelze vyloučit. S příchodem moderní doby se zvyšuje jak aktivita tak odhodlání států investovat do kybernetické bezpečnosti a jejího výzkumu, který zahrnuje i vývoj kybernetických zbraní. Nelze vyloučit, že některé státy již mají své kybernetické zbraně připravené. Vývoj kybernetické zbraně je však velmi nákladný proces. Podle informací z článku The Rise of Cyber Weapons and Relative Impact on Cyberspace, je odhadovaná délka vývoje několik let a je nutné zapojení řádově stovek profesionálů, kteří se podílí na vývoji takovéto zbraně.
Právní pohled na kybernetickou zbraň
Z právního pohledu je kybernetická zbraň šedá zóna a zatím není nikde přesně definována. Jak již bylo řečeno, vývoj kybernetické zbraně bývá financován státem, který tuto zbraň může využít proti jinému státu. Z tohoto důvodu se zde nedá uplatňovat legislativa daných států, ale pracuje se s takzvaným Mezinárodním humanitním právem. Nově vznikla „Tallinská příručka o mezinárodním právu použitelném na kybernetické válčení“, kterou vytvořili experti na základě požadavků z NATO. Tato příručka obsahuje pravidla mezinárodního práva, která by měl každý stát respektovat. Neobsahuje však kroky, jak takovou kybernetickou válku identifikovat a jak k ní přiřadit stát. Je třeba také říct, že žádný stát nezveřejnil informace o tom, že vlastní takovéto zbraně. Výjimku tvoří Spojené státy americké, které se netají vývojem kybernetické zbraně a přiznaly, že zatím nebylo potřeba tuto zbraň využít.
Z manuálu Michaela N. Schmitta Tallinn Manual on the International Law Applicable to Cyber Warfare, můžeme použít pravidlo č. 41, které definuje prostředky kybernetické války jako kybernetické zbraně a její související kybernetické systémy. Dále je zde pravidlo č. 31 definující, že kybernetický útok je operace, u které se očekává, že způsobí zranění nebo smrt lidem, nebo poškození či zničení objektů.
Podobně jako v běžné válce by se mělo počítat s tím, že civilisté by neměli být předmětem kybernetické války. Zajímavostí je však pravidlo č. 29, že civilistům není zakázáno být součástí takovéto kybernetické operace, ale ztrácí tím ochranu před útokem po dobu, kdy se takové operace účastní.
Shrnutí základních typů kybernetických zbraní
Některý malware ale nemůžeme dle definovaných pravidel nazývat kybernetickou zbraní. Často se však stává, že je malware za kybernetickou zbraň zaměňován, protože jeho použití mělo výrazné následky pro druhou stranu. Pojďme se tedy na několik takových kybernetických zbraní podívat:
Yahoo DdoS. V roce 2000 se masivně rozrostly DDoS útoky. Tento útok byl prvně cílen na komerční internetové giganty jako je Yahoo, CNN, eBay. Jeho hlavním cílem byly webové stránky, které jsou závislé právě na internetové publikaci. Podle odhadu způsobil ztrátu až 1.2 bilionů dolarů. Yahoo byl v této době druhý nejnavštěvovanější web a výpadek služby byl několik hodin. Zajímavostí je, že útok měl intenzitu až 1 Gigabit za sekundu. Od této doby se DDoS útok začal používat pro vyřazení konkurence. Tento útok se používá i v dnešní době, jelikož bývá obtížné rozlišit útok od klasického provozu. Mezi jeho nevýhody můžeme uvést, že není destruktivní, po určité době je možné provoz regulérně obnovit.
Maroocky Shire Council. U této události lze předpokládat, že se jednalo o skutečnou kybernetickou zbraň. Nedošlo zde však k vývoji žádného sofistikovaného malwaru, ale k využití bezpečnostního rizika a určitého druh pomsty. V této době totiž ještě nebyla rozšířena počítačová bezpečnost a zaměstnanec znal velmi dobře systém, o který se staral. Útok byl proveden bývalým zaměstnancem, který byl zaměstnán v čističce odpadních vod, kde implementoval SCADA systém. Po neshodách se zaměstnavatelem se rozhodl pomstít a spustil příkaz pro vypuštění 800 litrů odpadní vody do místních řek a parků. Toto lze považovat za útok na kritickou infrastrukturu, která by měla být chráněná.
Červ Code Red. Vznikl v roce 2001 v návaznosti na událost, kdy došlo ke srážce amerického zpravodajského letadla s čínským letounem. Americký pilot poté stihl nouzově přistát, zatímco čínský pilot havaroval. Tato událost následně spustila kybernetické útoky na obou stranách.
Jedním z nejvýznamnějších programů s účelem škodit bylo právě vytvoření červa, kterého pravděpodobně vytvořil čínský programátor na jedné z tamních univerzit. Během sedmi dní se tomuto červu podařilo nakazit více než 250 tisíc počítačů. Byl však velmi rychle detekován americkými složkami a zanalyzován. Tento červ měl za úkol šířit se skrz IIS servery, které v té době obsahovaly zranitelnost v podobě technologie přetečení zásobníku.
Ve své druhé fázi měl provádět DDoS útoky na několik předem zadaných IP adres. Jednou z těchto adres byly také stránky Bílého domu, na kterých měl proběhnout útok 19. července 2001. Celý útok byl však neúspěšný, jelikož červ byl odhalen a webové stránky Bílého domu se přesunuly na jinou IP adresu.
Červ SQL Slammer. V roce 2003 došlo k útokům na MS SQL servery, které obsahovaly zranitelnost. Jeden z těchto útoků byl také na jadernou elektrárnu v Ohiu. Tento červ, který využíval této zranitelnosti, dokázal vypnout všechny monitorovací systémy na více než 5 hodin. Pro pracovníky bylo překvapující, že k útoku vůbec mohlo dojít, jelikož měli zapnutý firewall. Malware však našel způsob, jak se do systému dostat, skrz dedikovanou linku a pomocí neaktualizovaného počítače jednoho z architektů, který neměl nainstalovanou půl roku starou záplatu v operačním systému. Elektrárna však měla záložní analogový způsob monitoringu, který se používal, dokud se původní systém neobnovil. Zajímavostí tohoto červa je, že se nesnažil skrýt. Předpokládá se, že elektrárna nebyla původně brána jako cíl a šlo jen o náhodu.
Kybernetický útok na Estonsko a Gruzii. Estonsko, stejně jako další západní země se snaží využívat moderní internetové technologie. Spoléhají na ně dokonce tak moc, že i ministr obrany zmínil, že Estonsko má vládu bez papíru. V roce 2007 se estonská vláda rozhodla přesunout sovětský památník. Tato událost vyvolala negativní reakci mezi rusky mluvící menšinou, po které následovaly nepokoje a kybernetické útoky ruských vlastenců, které směřovaly na bankovní a vládní infrastrukturu.
Útok byl prováděn pomoci botnetu, který spouštěl DDoS útok na předem určené webové stránky. Běžná návštěvnost webu byla 1000 přístupů během jednoho dne. Během útoku se počet přístupu zvýšil na 2000 za jednu sekundu. Tímto byla estonská kritická infrastruktura ochromena na několik hodin.
Obdobně to bylo v případě Gruzie, kde v roce 2008 vzniklo napětí kvůli nezávislosti Jižní Osetie, která leží mezi Ruskem a Gruzií. Útok probíhal pomoci technologie DDoS cíleně na vládní, mediální a finanční stránky, které byly následně nedostupné déle než 24 hodin. Tento útok byl i součásti propagandy, kdy si lidé mohli z ruských fór stáhnout software i s pokyny, jak zaútočit na Gruzii. Přesto, že se jednalo o útok, který neměl trvalé následky, dokázala tato událost narušit gruzínskou vojenskou akci na ruskou vojenskou kampaň.
Červ Conficker. Velice zajímavý byl ve své době také červ Conficker, který se šířil hlavně na počítačích, které neobsahovaly aktualizované systémy. Vzniklo až 5 verzí tohoto malwaru a každý využíval jiné metody pro šíření. Verze B se dokonce uměla skrýt na USB zařízeních a infikovat každé zařízení, do kterého bylo dané USB připojeno.
Celkově se tomuto červu podařilo infikovat více než milion počítačů, což bylo jeho hlavním cílem. Postupně se do těchto zařízeních instaloval další malware, který všechny počítače zapojoval do botnetu. S více než milionem počítačů pod kontrolou by se dle skupiny Conficker Working Group mohl stát potencionální kybernetickou zbraní.
Stuxnet. Stuxnet můžeme brát jako hlavního představitele kybernetické zbraně. Jednalo se o malware, který se rozšířil v červenci roku 2010. Zaměřoval se na útok na průmyslová zařízení , konkrétně na zařízení používaná k výrobě obohaceného uranu. Oproti jinému malwaru, využíval 4 neznámé zranitelnosti a dokázal se šířit jak po síti, tak přes vyměnitelná média.
Později bylo odhaleno, že se šířil téměř celý rok a nakazil více než sto tisíc systémů, přičemž více než polovina z nich byla umístěna v Íránu. Jeho hlavním cílem byl útok na íránské jaderné elektrárny. Pokud malware detekoval připojení na SCADA systém, který splňoval kritéria umístění, začal zvyšovat rychlost odstředivek a způsobil jejich zničení. Nový trend tohoto viru umožnil zničit něco, co fyzicky existuje (má-li tedy takovéto zařízení hardwarovou možnost). Také měl možnost přepsat ovladač používaný pro komunikaci s PLC zařízeními, čímž docházelo k man-in-the-middle útoku, který se snažil zamaskovat probíhající útok a zasílal falešné informace monitorovacímu systému.
Red October. Nejedná se přímo o kybernetickou zbraň, ale spíše o špionážní malware. Tento malware se zaměřoval na diplomaty, vládní a výzkumný sektor. Zajímavostí je jeho délka fungování. Dokázal fungovat 5 let a po celou tuto dobu nebyl detekován. Data, které získal zasílal na několik serverů. Využíval také zranitelnosti, které jsou typické pro kybernetické zbraně a tedy zranitelnosti v softwaru Word a Excel, prostřednictvím kterých došlo k stažení právě tohoto malwaru. Poté používal podobnou zranitelnost jako zmíněný červ Conficker, který umožňoval šíření po síti.
Srovnání
Jak uvádí Mele Stefano v článku Cyber Weapons: Legal and Strategic Aspects (Version 2.0), jsou názory na kybernetické zbraně odlišné. Je těžké říct, kdy je daný software kybernetickou zbraní, protože tato definice není nikde pevně definována. Každý stát si již dříve sám definoval legislativu a regulaci ohledně používání zbraní. Z dostupných informací lze říct, že zbraň musí mít destruktivní účinek a musí to být její primární použití. V případě kybernetické zbraně platí, že musí mít destruktivní účinek, ať už fyzický či virtuální, v podobě zničení dat.
Ze známých malware splňuje tento předpoklad pouze Stuxnet, protože byl cílený na určitou část infrastruktury a způsobil destrukci, která se nedala jednoduše opravit. Za zbraň lze považovat i software, který bude ničit nějaká důležitá data v kritické infrastruktuře jiného státu, nebo tuto část odposlouchávat. Stuxnet pravděpodobně vytvořili v USA a Izraeli, aby fyzicky zničili odstředivky v íránské Elektrárně, a umožňoval šíření jak z internetu, tak skrze místní síť a USB zařízení, díky čemuž se tento malware dostal až do elektrárny, která nebyla připojena k internetu. Škodlivá část kódu měla nejen měnit rychlost odstředivek, ale také podávat monitorující stanici informace, že se nic špatného neděje.Red October byl pravděpodobně vyvinut v Rusku, nejednalo se však o klasickou kybernetickou zbraň, ale o velmi sofistikovaný špionážní software, který cílil na výzkumná střediska a diplomatické organizace napříč střední Asií až po východní Evropu. Jeho zajímavostí bylo, že obsahoval stovky modulů, které si podle potřeby aktivoval. Dokázal sbírat nejenom systémové informace, ale kopíroval i další data, jako zprávy z elektronické pošty nebo klíčenky s hesly.
Při porovnání těchto dvou malwarů můžeme říct, že se jedná o kybernetické zbraně, kde každá měla předem definovaný cíl. Stuxnet cílil na destrukci v íránské elektrárně, Red October se soustředil na sběr citlivých dat, hlavně ve výzkumu a vládních institucích. Oba tyto malwary jsou velmi sofistikované a cílí na předem určené cíle. Po odhalení Stuxnetu a přidání jeho signatury do malwarové databáze se začal objevovat i na jiných počítačích. Později došlo k detekci Stuxnetu i na počítačích, které pracují s PLC zařízením, avšak nedošlo k žádné destrukci, jelikož lokace počítačů nebyla v Izraeli. Dle zpětné analýzy se dne 24. června 2012 Stuxnet přestal samovolně šířit a jeho škodlivá část po tomto datu již není zaznamenaná.
Naproti tomu Red October nebyl tak sofistikovaný, že by měl možnost se sám po určitém datu vypnout. Podle informací z výzkumných článků došlo k jeho efektivnímu zrušení až tehdy, když bylo omezeno více než 60 domén, kde byly moduly škodlivého kódu udržovány pro chod celého malwaru, který byl ovládaný přes Command and Control (CnC) servery.
Z výše napsaného je jasné, že ostrá hranice mezi kybernetickou zbraní a klasickým malwarem neexistuje a je alespoň v současné době velmi těžké odlišit klasický malware od kybernetické zbraně. Tato šedá zóna rovněž existuje i mezi takzvaným spywarem, o kterém se budeme bavit v dalším dílu.