Hacking je už regulérním byznysem, stačí říct, jaký typ útoku si chcete objednat, říká odborník na kyberbezpečnost Aleš Špidla

Hacking je už regulérním byznysem, stačí říct, jaký typ útoku si chcete objednat, říká odborník na kyberbezpečnost Aleš Špidla
Popisek: Aleš Špidla
03 / 12 / 2018, 10:00

V dalším díle seriálu ,,Kyberšpioni 21. století“ jsme tentokrát oslovili odborníka na kybernetickou bezpečnost a prezidenta Českého institutu manažerů informační bezpečnosti (ČIMIB) Aleše Špidlu. Jak Špidla hodnotí ČR z hlediska kyberbezpečnosti a jaké jsou podle něho aktuální hrozby v kyberprostoru? O tom a dalších tématech se dozvíte v rozhovoru.

Zprávami v posledních dnech proběhly informace o odhalení hackerských útoků hackerů Hizballáhu skrze sociální sítě. Oběti měli vábit na falešné profily dívek. Posouvají se útoky kyberšpionů právě na sociální sítě?

Ty útoky už tam dávno jsou. Sociální sítě se hemží lidskými slabinami a je jen otázkou motivace útočníka, jeho schopnosti těchto slabin využít a schopnosti vytvořit scénář k dosažení cíle.

Zde útočníci mířili na mužskou ješitnost. Přesně podle anekdoty, ve které se říká „Proč mají muži radši hezké dívky než ty chytré? Protože lépe vidí, než myslí.“ Mně když požádá na sociální síti 18letá sexy dívka o rande, tak se podívám do zrcadla, uvědomím si svůj věk, dám si pod jazyk nitroglycerin a žádost smažu. Kdyby mě o rande požádala v restauraci takováto ale reálná dívka, tak začnu tím nitroglycerinem pod jazyk.

Čeho mohli falešnými profily dívek hackeři dosáhnout?

Útočníci využívali mužskou ješitnost k dosažení prvního cíle. Aby napadený začal komunikovat. Druhého cíle, a sice stažení aplikace do chytrého mobilního telefonu i přes varování systému, že aplikace není bezpečná, toho dosáhli tím, že se napadený musel nacházet ve stavu mentálního bezvědomí. Jinak si to nedokážu vysvětlit. Potom už je velmi jednoduché dosáhnout nejdůležitějšího cíle, přes takovou aplikaci ovládnout chytrý telefon, odposlouchávat komunikaci, číst SMS, stahovat z něj záznamy, ovládnout kameru, mikrofon. Když si uvědomíme, že řada z nás používá chytrý telefon jako mobilní kancelář, tak se útočníci mohli dostat ke služebním e-mailům apod. A když se útočník přes kalendář dostane k informaci, že významná osobnost byla za posledního půl roku šestkrát na venerologii nebo psychiatrii, tak potom je ten člověk snadno vydíratelný. Vektor vydírání může mířit různým směrem. Od požadavku na výkupné až po změnu postojů, hlasování apod. Řada lidí na významných postech v přesvědčení o své genialitě podceňuje dobře míněné rady odborníků a s citlivým obsahem, který mají ve svých e-mailech, zacházejí velmi nezodpovědně. Argumenty, že bezpečnostní opatření, která se týkají běžných zaměstnanců, se jich jako vrchnosti netýkají, jsem slyšel mnohokrát.

Na Security summitu ASIS zaznělo, že ČR patří z hlediska kyberbezpečnosti k nejbezpečnějším zemím na světě. Jak si to vysvětlujete?

Statistiky ukazují, že v průměru se Česká republika jako cíl kybernetických útoků podílí něco kolem 0,4 procenty. Což není ani moc ani málo, je to cca 500 000 útoků denně (statistika firmy CheckPoint). Příznivá míra bezpečnosti vyplývá mimo jiné z toho, že zatím je kyberválčiště někde jinde. S důrazem na slovo zatím. Česká republika je více cílem informačních operací, jejichž cílem je šíření nepravdivých zpráv a ovlivňování postojů v našem prostředí. Pozitivní vliv má také to, že se Česká republika kybernetickou bezpečností i s mým přispěním zabývá od roku 2010. Od roku 2011 máme strategii kybernetické bezpečnosti, máme speciální zákon o kybernetické bezpečnosti. Máme specializované orgány pro kybernetickou bezpečnost a budujeme i kybernetické síly pro kybernetickou obranu. Jsme národ velice chytrých lidí s vysokou mírou schopnosti improvizace, což v kybersvětě je velmi cenná deviza. Můj soukromý názor je, že sílu svých obranných i útočných schopností bychom neměli měřit na tuny železa, ale na sílu našich mozků. Jak to ostatně dokázali naši vojenští chemici.

Obecně má ale kyberkriminalita vzrůstající tendenci oproti obecné kriminalitě…

To je naprosto logický vývoj. Je jednodušší, efektivnější a méně riskantní vykrást banku „digitálně“, než se snažit vyloupit trezor s 2 metry silnými stěnami. Roční obrat kyberkriminality je zhruba 1,5 bilionu dolarů. Zajímavé je, z toho 860 miliard dolarů připadá na nelegální internetový obchod, 500 miliard na obchodního a duchovního vlastnictví, 160 milard dolarů je výnos z prodeje kradených dat, výnos z prodeje softwaru a služeb pro kybernetický zločin (ano, i to lze objednat) je 1,6 miliardy dolarů a výnos z vyděračského software (ransomware) je 1 miliarda dolarů. A to se vyplatí. Navíc náklady na úspěšný kyberzločin jsou podstatně nižší než na opatření, která by měla úspěchu zločinu zabránit.

Jaké jsou aktuální hrozby v kyberprostoru ?

Zatím stále nejrozšířenější jsou phishingové kampaně, které cílí na běžné uživatele a jejich nízkou obezřetnost. V jedno státním úřadě byl proveden test, kdy byly vzorku 800 uživatelů zaslány emaily typu klikni na www.levneponozky.cz, www.levnespodnipradlo.cz apod. Byly to podvržené maily, z jejichž obsahu bylo naprosto zřejmé, že s prací testovaných uživatelů nesouvisely. 1 procento uživatelů tyto odkazy otevřelo. Více než 400 děr do systému. Úspěšný fishongový útok tak otevírá cestu k zašifrování důležitýyh souborů na počítači a následnému vydírání atd.

Poměrně novým fenoménem je využití systémů s prvky umělé inteligence, kdy útočící systém dokáže měnit strategii podle chování obránců a vést tak autonomně s nimi válku. Ale to je na hodně dlouhé povídání.

Na co se nyní zaměřují kyberšpióni?

Zajímavý je nárůst zájmu o zdravotnickou dokumentaci. V jedné zemi došlo ke krádeži cca 1,5 milionu zdravotních karet. Vyšetřováním se zjistilo, že útočníci cílili na zdravotnické záznamy premiéra této země. Je také zajímavé, že nárůst útoků na zdravotnická zařízení se týká útoků stát versus zdravotnické zařízení v jiném státě.

Kdo to vlastně je kyberšpión?

Jsou to hackeři, kteří své vědomosti používají pro špionážní účely. V principu je jedno, jestli informace, které hackeři někde získají jsou použity pro kriminální nebo špionážní účely. Technologie jsou stejné. Záleží na zadavateli. Ve špionáži jde obecně o získání převahy nebo konkurenční výhody. A je jedno, jestli se jedná o průmyslovou špionáž nebo špionáž na mezistátní úrovni. Vždy se snažíte získat převahu tím, že víte co ví a chystá protistrana. A ona neví, že víte co ví. O tom to celé je. Každá rozumná země má svoje zpravodajské služby, vnitřní, vnější, vojenské, civilní. A firmy také potřebují konkurenční výhody. V USA jedna zdravotní pojišťovna najala hackery, aby se prolomili do informačních systémů advokátních kanceláří, které zastupovaly pacienty v soudních sporech s touto pojišťovnou. Cílem bylo získat dokumenty o připravovaných strategiích vedení těchto sporů. Byla to krádež nebo špionáž. Obojí. Šlo získání převahy nebo chcete-li konkurenční výhody.

A co internet věcí? Nemůže přes něj probíhat kyberšpionáž?

Vše, co shromažďuje, uchovává, přenáší nebo zpracovává data, ze kterých lze vytvořit, které lze využít pro získání konkurenční výhody, to vše lze využít ke špionážním účelům. V deštných pralesích jsou na stromy umisťovány čipy, které jsou propojeny do Internetu věcí. Tento systém mimo jiné sleduje a hlásí nelegální těžbu. Může těchto informací zneužít konkurence? Nelegální těžaři? No minimálně jsou schopni zjistit, které oblasti jsou takto pokryty a při své nelegální činnosti se jim vyhnout.

Může se hackerství anebo kyberšpionáž stát regulérním byznysem?

To už dávno byznys je, lze si objednat téměř jakýkoliv útok, stačí si říct jaký typ útoku chcete, jaký je cíl, jaký má být výsledek a jak dlouho má útok trvat. Pokud za špionáž považujeme jakýkoliv sběr informací, kdy subjekt o kterém jsou informace sbírány o tom nemá mít ani tušení, potom samozřejmě že ano. A je jedno jestli se jedná o kyberšpionáž průmyslovou nebo v zájmu státu.

Nefungují dnes technologie jako Velký bratr, kterému ale ochotně vyzrazujeme informace o svém soukromí?

Velký bratr tak jak jej popsal George Orwell v knize 1984, je určitou filozofickou předzvěstí. Tím, že kniha byla napsána v roce 1949, nemohl autor tušit technologické možnosti mladšího „Velkého bratra“. Ty technologie samy o sobě takto nefungují, zatím i pro tyto technologie musí existovat zadání, a to dává člověk. Vezměme si za příklad scoring systém v Číně. Čínská vláda s využitím informačních technologií posuzuje důvěryhodnost a loajalitu každé občana. Data pocházejí jak z vlastních účtů lidí, tak z jejich činnosti na sítích. Vláda získává úplný sociální profil, včetně umístění, přátel, zdravotních záznamů, pojištění, soukromých zpráv, finanční situace, hraní her, informací z inteligentních budov, preferovaných novin, historie nákupů, schůzek a dalšího chování. Nízké skóre může znamenat zákaz cestování, vyloučení ze školy (zde se uplatňuje skóre rodičů), změnu sociálního statusu atd. Naopak výhodou vysokého skóre je snadnější přístup k úvěrům a pracovním místům a priorita při byrokratické administrativě. Výška skóre má dokonce vliv na rychlost internetového připojení. Stejně jako občané jsou hodnoceny i firmy.

Druhá část otázky míří na naše vlastní chování na sociálních sítích a na to, co na sebe vykecáme. Představa většiny populace o tom, že kyberprostor je světem absolutní svobody a absolutního dobra, je naprosto scestná. A proto jsme tak otevření.

Obecně nebezpečí kybersvěta spočívá v obrovském množství informací o nás, které jsou roztroušeny po celém kyberprostoru a které samostatně a bez souvislostí toho až tak moc nevypovídají. Ale jejich dostupnost z jednoho místa, ve kterém lze mezi nimi vytvořit korelace a dát si je do souvislosti i s reálným světem, to dělá z informací děsivou zbraň a taky velmi cenné zboží.

Obránců nebo chcete-li světlé straně síly nezbývá než vyvíjet stále sofistikovanější řešení, která dokáží reagovat na nové hrozby a i zde se uplatňuje umělá inteligence. V lavině informací o bezpečnostních událostech nelze bez umělé inteligence identifikovat ty nejkritičtější a nelze správně zvolit protizbraň. Všechny bezpečnostní technologie jsou však k ničemu, pokud uvnitř systému sedí člověk, který není obezřetný. Lidský faktor stále hraje nejpodstatnější roli. Něco o tom vím, mnoho let šířím osvětu, přednáším, školím. Avšak obávám se, že aspiruji na titul Mistr světa v házení hrachu na zeď.

 

 Autor: JUDr. Veronika Petrová

 

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte.Další informace