SLOUPEK IVANA ZELINKY

O kyberbezpečnosti vážně i nevážně

Motto: Nemůžeme se bránit útokům, kterým nerozumíme

Autor: Ivan Zelinka, odborník na kyberbezpečnost a umělou inteligenci

Profesor na Fakultě elektrotechniky a informatiky VŠB TU v Ostravě a senior researcher ve skupině Big Data v IT4Innovations v Národním superpočítačovém centru.

Bylo nebylo, aneb úsvit cybersecurity…

Informace hrají v dnešní společnosti klíčovou roli. V počátečním období rozšiřování výpočetní techniky v minulých desetiletích byly na prvním místě náklady na pořízení, dále co největší dostupnost a také propojitelnost výpočetních systémů. Na zabezpečení většinou nikdo příliš nehleděl, protože jeho důsledná aplikace koneckonců IT řešení prodražuje a brání prvně jmenovaným cílům. Na přelomu tisíciletí ale došlo díky obrovskému počtu a rozmanitosti počítačových útoků, a značným škodám s nimi spojenými, k realistickému vystřízlivění a do popředí se nyní dostává především bezpečnost informací uložených v počítačích.

Díky tomu dnes máme k dispozici spolehlivé antiviry, firewally, systémy detekce průniku, Windows Update, antispyware, spamové filtry, zdokonalené verze operačních systémů a další technologie, které nás chrání. Budou při takovém vývoji vůbec za několik let bezpečnostní specialisté potřeba? Podle názoru předních světových bezpečnostních expertů a podle našich každodenních zkušeností jednoznačně ano.

Bezpečnosti se sice dostává nesrovnatelně více pozornosti než v minulosti, stejně tak ale roste počet a složitost technologií, které je nutné při ochraně brát v potaz. Dnes sice již pominula doba naivních útoků, kdy patnáctiletý hacker byl schopen spuštěním stažených skriptů shodit největší webové servery na Internetu (případ Mafiaboy, rok 2000), jistý si nicméně nemůže být opravdu nikdo. Stejně tak, jako se zlepšila naše obrana, totiž pokročily i technologie a postupy útočníků. Příklady některých incidentů z historie jsou uvedené v boxu níže.

Jak je vidět, počítačové útoky určitě neslábnou a fantazie jejich původců spíše rok od roku roste. Co víc – podle přední antivirové společnosti McAfee´s se zhruba od roku 2007 kultura internetového podsvětí velmi změnila v tom smyslu, že zmizeli mladí hackeři (tzv. script-kiddies), kteří vytvářeli viry a nabourávali počítače jen tak pro zábavu a ze zvědavosti, a nahradily je organizované gangy profesionálních zločinců. Dnes jde v této oblasti hlavně o peníze. Vznikla celá šedá ekonomika, ve které je možné si služby hackerů, tvůrců spyware nebo pronájem botnetů nakoupit jako každý jiný produkt.

Hrozby tedy rostou a stejně tak musí růst naše znalosti, abychom se těmto hrozbám dokázali úspěšně postavit. V boji proti jakémukoliv protivníkovi je nezbytné znát svého nepřítele – jeho taktiku, dovednosti, nástroje a motivy. Činnosti, znalosti a dovednosti, které slouží k tomuto účelu, se obvykle nazývají etický hacking. Lidé, kteří jej provádějí, pak „white-hat“ hackeři.

Nelze popřít, že informace, které jsou k dispozici, lze stejně dobře použít k prevenci nebo zneužít k provádění počítačových útoků. To je ale nevyhnutelný aspekt vzdělávání a řešením určitě není takové informace utajovat a cenzurovat – druhá strana se k nim stejně dostane, neboť i přes obrovskou rozmanitost motivů a úmyslů všechny hackery spojuje zvědavost a touha poznávat. Firmy i jednotlivci musí vědět, jak k počítačovým škodám dochází, aby jim mohli předcházet.

Proto si v tomto blogu budeme postupně procházet jednotlivé části cybersecurity, včetně příkladů z reálného života.

Chyba v systému DNS objevená Danem Kaminskim, která využívala tzv. narozeninového paradoxu k tomu, že útočníkům dovolovala přesměrovat libovolné webové a emailové servery. Pouze díky mimořádné spolupráci mnoha zainteresovaných subjektů po celém světě (výrobci DNS serverů, provozovatelé, ISP, ..) byly provedeny kroky pro odstranění chyby před její publikací na veřejnosti. Zda byla chyba objevena a zneužita ještě před jejím nalezením Danem Kaminskim není známo.
První malware pronikl už i do kosmu – červ W32.Gammima.AG byl zachycen na mezinárodní vesmírné stanici IIS v notebooku jednoho z ruských kosmonautů.
Ve Francii hackeři ukradli peníze z bankovního účtu prezidentu Nicolasi Sarkozymu. Nejednalo se přitom o žádnou organizovanou skupinu na vysoké úrovni, ale o dva drobné podvodníky. Není tedy příliš odvážné spekulovat, že proti cílenému kyberútoku schopných útočníků by někdo mohl být imunní.
V Chile neznámý hacker ukradl a zveřejnil na internetu osobní údaje šesti milionů Chilanů.
Bezpečnostní chyba objevená v systému nového Boeingu 787, dovolovala cestujícím přístup z veřejné sítě do sítě určené pro letové přístroje. Toto jistě další komentář nepotřebuje.
Zřejmě podstatná část moderních mobilních telefonů je zranitelných vůči útokům pomocí Bluetooth nebo MMS. Například u některých verzí populární Motoroly RAZR k instalaci škodlivého software stačí pouze přijmout MMS s infikovaným JPEG souborem. Takový přístroj lze pak proměnit například ve štěnici přeposílající veškeré hovory a textové zprávy. V budoucnu se také nejspíše dočkáme botnetů tvořených mobilními telefony.
Bezpečnostní chyby byly objeveny v kávovarech značky Jura F90 (kávovar má síťové rozhraní umožňující servis na dálku). Samo o sobě to zní téměř komicky, nicméně úspěšné zneužití těchto chyb může vést až ke kompromitaci počítače s Windows XP spojeného s kávovarem. V současnosti jde spíše o zajímavou kuriozitu, ale není daleko doba, kdy téměř každé elektronické zařízení v domácnosti včetně elektrických zásuvek bude mít svou vlastní IPv6 adresu (koncept tzv. inteligentních domů). Prostor k napadení tedy opět poroste.
Stuxnet, první známá kybernetická zbraň, počítačový červ objevený v červnu 2010, který se soustředil na kontrolu průmyslových systémů. Byl naprogramován, aby útočil na systémy SCADA. Cílem útoku byl závod na obohacování uranu v Natanzu v Iránu.