Ceratizit AMPER 2019

Končí legrace, kyberzločin dostává nové dimenze

Technologie jsou skvělé a otevírají nám dosud nevídané příležitosti, ale mají i svou stinnou stránku, jejíž rizika si svět dosud v euforii nad možnostmi, které nabízejí neuvědomuje.   

 

A právě na to jsou zaměřeny i zcela nové a úzce související akreditované studijní programy "Bezpečnost dopravních prostředků a cest" a „Bezpečnost informačních a telekomunikačních systémů“, které začala nabízet Fakulta dopravní ČVUT v Praze. O jejich vznik se zasloužil Doc. Ing. Václav Jirovský, CSc, který patří ke uznávaným expertům v oblasti kybernetiky – a boji proti jejímu zneužívání.

Proč jste se soustředili právě na bezpečnost dopravních systémů?

Se stále vzrůstající intenzitou dopravy a používáním nových informačních a telekomunikačních technologií přibývají i další problémy, a proto je bezpečnost dopravních systémů dalším z oborů, které bychom rádi zaintegrovali do nového programu výuky. Jakkoli se to nezdá, dnes jsou už známé třeba i útoky proti řídícím jednotkám automobilů. Moderní dopravní sofistikované systémy se spoustou automatizovaných prvků jsou potenciálně nebezpečné. Použiji-li příměr, chovají se vlastně jako špatný řidič. Dobrý řidič totiž předvídá, kdežto špatný reaguje až v případě, že se něco stane - jenže přesně to je případ těchto automatizovaných systémů. Jeden takový zajímavý útok proti řídící jednotce automobilu je znám z USA a brzy se zřejmě rozšíří i do Evropy, protože v USA je povinné sledování tlaku v pneumatikách, což chce zavést i EU. A právě prostřednictvím snímačů v pneumatice, pomocí radiového přenosu dat ze snímače k centrální jednotce byl přes tento přijímač realizován útok na řídicí jednotku automobilu. Takže až vstoupí v platnost toto nařízení, může se i v Evropě útočit přes pneumatiky...

A co průmyslové cíle, jako byl třeba proslulý vir Stuxnet, který nedávno vyvolal značný rozruch?

Stuxnet byl hodně medializován, ale faktem je, že útoky na řídicí systémy byly zaznamenány už dříve. Útočilo se na tzv. SCADA systémy a jsou známy např. útoky na řídicí systémy jaderných elektráren a podobně. Ale vždy ten útok skončil na nějakém monitorovacím či ochranném systému. Až dosud. Nikdy nešel tak hluboko, jako to bylo v případě Stuxnetu, který zaútočil na nejnižší, základní vrstvy řídicího systému, tzn. přímo na ovládání jeho jednotlivých prvků – ventily, závory, motory apod. Byl zaměřen konkrétně na systémy Siemens, a byl to velmi zajímavý malware, červ, který se šířil pomocí USB klíčenek a byl poměrně velký – měl asi půl megabajtu, a byl také velmi sofistikovaný. Odhaduje se, že práce na něm byla v řádu 60 člověkoměsíců. A to už znamená, že to pravděpodobně nebylo dílo jednoho hackera, ale práce profesionální jednotky kybernetického boje, jakou dnes zřizuje v podstatě každá větší armáda.
Říkalo se, že účelem mohl být útok na Írán a jeho jaderná zařízení, je fakt, že centrifugy jim to „rozházelo“, ale na druhou stranu v Číně, která má nejvíce zařízení Siemens, proti kterým byl Stunet využit, byl útoků milion, což prošlo vcelku bez povšimnutí.
A teď si představte že takovýto vir se dostane třeba do řídicího systému rychlovlaku a vyřadí z provozu řídicí algoritmy. To už nelze zabrzdit a souprava vyletí několikasetkilometrovou rychlostí ven ze své dráhy.
Znamená to tedy, že individuální hackery střídají profesionální týmy kyberútočníků?
Hackeři jako individuální počítačoví géniové, to už je historie. Když se podíváme třeba právě na zmíněný případ Stuxnet, aspoň jeden z toho týmu musel perfektně znát systém, na který byl útok zaměřen, věděl jak se do něho dostat, firmy nyní navíc směřují k otevřenějším systémům s precizní dokumentací. To znamená, že už skutečně přestává legrace...
Předchozí klasická kyberkriminalita, která však stále zůstává vážným problémem, je cílená hlavně na to, připravit někoho o peníze, ale toto už jsou skutečně kyberteroristické záležitosti, kde v podstatě dochází k obecnému ohrožení. Typickým znakem kyberteroristického útoku, které zřetelně nese i tento případ je asymetrie: obrovská škoda s velkou publicitou za relativně malé náklady.

Nastává tedy éra kyberválek, o kterých jsme zatím jen četli spíše ve sci-fi?

Rozčlenil bych to: kyberválky jsou už realitou řadu let, ale mohou to být i kyberteroristické akce, které jsou výsledkem profesionální týmové práce specializovaných jednotek. Vznikl pro to i pojem: infoware, v podstatě informační zbraň. A dnes asi neexistuje stát, který by na tom nějakým způsobem nepracoval. V USA dokonce použití informatické zbraně podléhá souhlasu prezidenta, je tedy položeno na stejnou úroveň jako u jaderných zbraní.
Na druhou stranu jsou ovšem stále realitou naprosto „ujeté“ útoky jedinců, takový klasický útok mentálně oslabeného člověka byl proveden na server Americké epileptické asociace. Šlo o tzv. defacement, náhradu domovských webových stránek jinými, na které hacker umístil prudce blikající obrazce, což má u epileptiků samozřejmě kritický dopad. U Stuxnetu lze chápat motivaci jeho tvůrců, ale vysvětlit motiv takovéhoto jedince už je za hranicemi normálního vnímání. Tím chci říci, že kyberútoky jsou nejrůznějšího kalibru a v kostce řečeno, s pokročilým stavem a prorůstáním techniky do našeho života nikdy nevíme, co můžeme čekat.
Když se vrátíme zpět k dopravě, není to dlouho, co byl zaznamenám útok na řídicí návěstidla na dálnicích v Německu, a takovéto útoky se objevují poměrně dost běžně. U nás zatím naštěstí ne - ani netuším, co by tam asi tak naši hackeři napsali - ale dá se očekávat, že dříve či později k tomu dojde i tady. Jestliže je systém nějakým způsobem otevřený, je vždycky jistá pravděpodobnost, že k něčemu takovému dojde. A je tím větší, čím je systém otevřenější.

Takže otevřenost moderních systémů, která je teď mantrou vývojářů, může být i jejich Achillovou patou?

Míra otevřenosti systémů není možná tak kritickým fenoménem, jako míra jejich složitosti. Většina útoků je logicky založena na chybách, a čím je systém složitější, tím je v něm obvykle více chyb a tudíž větší množství tzv. děr. Útočníci se ale nebudou zabývat čtením miliónů řádků kódu, oni prostě budou zkoušet, zda taková díra existuje, a dnes pro to mají k dispozici i řadu vyspělých nástrojů. Existují i specializované programy, které se dají běžně koupit. Zcela legálně si lze pořídit tzv. penetrační testy, které v sobě obsahují základní metody útoku, jinak se samozřejmě dají stáhnout na internetu a hackerská komunita s nimi čile obchoduje.
Ale útoky průnikového typu jsou daleko složitější, než typický, často užívaný nápor hrubou silou (typicky tzv. DDoS útoky), a mnohdy se útočníkům, ani nevyplatí je realizovat. Právě proto se nejčastěji setkáváme s útoky typu DDoS, využívají mj. i toho, že u distribuovaných útoků je prakticky nemožné zcela přesně zjistit kdo útočí. Typickým příkladem byl „státní“ útok na Estonsko, kde se dodnes neví, kdo za ním skutečně stál.
Problém, který dnes je, a to je velmi zajímavé, že kvalita útočníků výrazně klesá, ale kvalita útoků výrazně stoupá. Ty vývojové křivky jdou vlastně proti sobě. Je to dáno tím, že systémy jsou složitější a útočník, který má vysokou technickou kvalifikaci objeví tu díru, ať už jakýmkoli způsobem, napíše tzv. exploit, čili něco, co tuto slabinu v systému dokáže použít. Ten se publikuje na internetu, a začnou si ho stahovat další, byť technicky méně schopní. A samozřejmě ho také používat. Velkou roli v tom hraje určitý exhibicionismus, a zejména exhibicionismus v partě a snaha předvést se, co jsem dokázal, projevuje se tam často mentalita gangu.
A to je na tom to nebezpečí. Opravdu dobrých, lépe řečeno špičkových elitních hacekerů je totiž dnes jen pár, ale po nich následuje obrovská spousta těch, kteří budou jejich výtvory používat. Na internetu jsou běžně ke stažení třeba generátory virů, už se nemusí zatěžovat je psát, stačí jen nadefinovat, co má vir provádět, zaškrtat příslušná okénka, a specializovaný program už sám automaticky vytvoří virus požadovaných parametrů.
Tento postup se použil např. roku 2001, kdy probíhala neoficiální kybernetická válka mezi Čínou a Spojenými státy. Americký výzvědný letoun se tehdy dostal do konfliktu s čínskou stíhačkou a zatímco čínský stroj se zřítil do moře a pilot zahynul, americký byl poškozen a musel přistát na čínské základně. Než došlo k vydání stroje a pilota, strhl se nejen diplomatický, ale i kybernetický souboj, kde byla primárním hnacím faktorem patriotická nevraživost. Čínští hackeři vytvořili server nazvaný „KILL-USA“ na němž si kterýkoli Čínan mohl stáhnout příslušný škodlivý software a zaútočit na servery v USA. Amerčtí hackeři vzápětí uvedli do provozu server „KILL-CHINA“ a vyzvali Američany k útoku na čínské servery.
Metod útoku je omezený počet, zatím – naštěstí – nikdo ještě nepřišel s nějakým neznámým, zcela novým útokem využívajícím nějakou přelomovou technologii. Vše jsou víceméně „klasické“ techniky využívající známé slabiny současných systémů, jako třeba přetečení bufferu apod.

Teď ale přibyl další faktor – myslím tím globalizaci a světové propojení systémem komunitních a sociálních sítí.

To jsou sociální dopady, kde tkví velká rizika a nebezpečí. Technologie dnes už není primární, nehraje takovou roli. Roli skutečně klíčového faktoru přebírá dnes naše obrovská závislost na technologiích. Druhá věc je, že se stává hnacím motorem kyberteroristických skupin, které využívají závislost tohoto druhu civilizace na technologiích. Ne proto, že by to sami neuměli, ale proto, že je to výhodné použít pro zamýšlený cílový efekt. Společnost závislá na technologiích je mnohem zranitelnější než ta, která technologie nepoužívá.
Křováci a další africké kmeny, které pro komunikaci mezi sebou používají bubny a tam-tamy mají z tohoto pohledu spolehlivější komunikaci než lidé, kteří používají Skype a další nejmodernější vymoženosti. To je paradoxní princip, ke kterému jsme dospěli. Člověk stvořil technologie, a vzápětí se na nich stal závislý, stal se v podstatě otrokem svého výtvoru, ale zároveň se s ním ve své podstatě neztotožnil.
Když se podíváme zpět do historie, jak se člověk vyvíjel, tak se to odehrávalo vždy se silným vlivem interakce. Když se ve starých dobách, ve středověku děti „mlátily“  dřevěnými mečíky a holemi někde na dvoře, interagovaly spolu nejen fyzicky, ale i slovně. Nebyla potřeba dnešní imaginace, člověk měl vše názorně před sebou. Přišel pan Guttenberg, vynalezl knihtisk, který byl samozřejmě úžasným vylepšením, ale část dosud reálných věcí už se začíná přesouvat do sféry virtuality. Člověk si četl knihu, a představoval si, třeba se i ztotožnil s hlavním hrdinou či hrdinkou, ale nastupuje nový fenomén – imaginace, zatímco dosavadní přímá interakce už chyběla, už ustupuje do pozadí. A s rozvojem internetu, dalším vynálezem moderního věku se situace opět posouvá. Nabízí skvělé technické a technologické možnosti dříve nevídané, třeba spojení přes půl zeměkoule v reálném čase, ale už postrádá některé další, dříve hodně významné prvky. To, co chybí je například mimoverbální komunikace, která z těchto procesů jaksi vypadla, i když tvoří významnou součást naší komunikace s okolím.
A teď vlastně jen sklízíme plody těchto změn. Převážná míra útoků využívajících tzv. sociální inženýrství je vedena přes telefony a e-maily, kde je zcela odstraněna právě důležitá mimoverbální komunikace. A tudíž je i daleko snadnější tu druhou stranu ovlivnit.
Lidé na sebe zcela důvěřivě a bezelstně prozradí i spoustu zcela důvěrných – a tím také snadno zneužitelných informací. Prozradí na sebe všechno - „zoči-voči“ by vám to nikdy neřekl, ale na facebook to klidně dá. A lehkovážná internetová minulost může člověka dostihnout v okamžiku, kdy už dávno zapomenul jaké informace, které o sobě poskytl a ke kterým by se dnes už raději nehlásil, dal na internet. Jenže ony tam jsou, uložené jako časovaná bomba.
A existují už i profesionální programy, které sbírají, analyzují a třídí tyto informace. Pro nejrůznější služby a agentury jsou sociální sítě odrazovým můstkem k vytváření portrétu zájmové osoby, takže pokud si ministři dávají svůj profil na facebook - já vím, je to populární a vytváří to image – ale z pohledu veřejného činitele nezodpovědné.
Virtuální komunity na internetu se vytvářejí kolem tématu, ne teritoriálně či věkově, ale vždy kolem tématu. A to je jedna z mnoha zrad, které ve virtuálním světě existují. Stačí si vzpomenout na případy v době předvolebních bojů. Vznikaly skupiny typu „každý, kdo se stane člene této skupiny dostane dárek“. Poté, co skupina dosáhne počtu několika tisíc členů – na dárek se dá zlákat spousta lidí – tak se jednoduše přejmenuje na společenství „tato skupina podporuje stranu XY“, a už je na světě příslušný počet hlasů. A není to jen o tom, že lidé se naštvou, ale hlavně se většinou už nemohou odhlásit. Facebookové a jiné skupiny jsou úžasným nástrojem pro ovlivňování veřejného mínění – ať už jde o prostor, který jim věnují média, nebo pro svolání různých shromáždění, demonstrací apod. I Obama úspěšně využil facebook při volbách.

Z internetu se stal fenomén, který má výrazný vliv na utváření společnosti a veřejného mínění, ale je také často  zneužíván.

To je dáno způsobem bezprostřední komunikace založené na tom, že člověk se tam cítí příjemně, na rozdíl od reálného života nemusí dělat žádné kompromisy, a to vytváří závislost. Lidé začínají být závislí na komunikaci přes internet a životě na síti – už je to i specifikováno jako regulérní psychiatrická diagnóza - Internet Addiction Disorder, IAD – a začíná to být vážným problémem, který společnost bude muset řešit. Terminální stav, nazvaný podle známé knihy Jeckyll-Hyde syndrom, už může vést ke skutečnému rozdvojení osobnosti, která pak žije jednak v reálném, a jednak – pro postiženého ovšem stejně realistickém - světě virtuálním. Takoví lidé nejsou schopni komunikovat reálně, a jsou velmi náchylní k prozrazování snadno zneužitelných informaci. Byli prostě vrženi do nového prostředí, se kterým se nenaučili správně zacházet. I počítače, o kterých si myslíme, že nám slouží mají bezpečnostní pravidla, která je potřeba znát a respektovat, pokud se nechceme dočkat nepříjemných překvapení.

Doc. Ing. Václav Jirovský, CSc.
proděkan fakulty dopravní  ČVUT a vedoucí Ústavu bezpečnostních technologií a inženýrství. Kromě působení na českých technických univerzitách několik let pracoval i jako ředitel útvaru výzkumu a vývoje americké firmy Advanced Computer Applications. V současné době je vedoucím projektu bezpečnostního inženýrství na FD ČVUT, působí rovněž jako soudní znalec jmenovaný ministrem spravedlnosti.
 

 

 
Publikováno: 17. 4. 2011 | Počet zobrazení: 2577 článek mě zaujal 454
Zaujal Vás tento článek?
Ano