TOP

Platforma kybernetické bezpečnosti

Bezpečnost pro každého. Data jsou zlatý důl. (1. díl)

V současnosti se stále mluví o bezpečnosti, ochraně dat, šifrování a dalších, pro normálního člověka nepodstatných věcí. Proč by nás to mělo trápit? Máme přece na starosti důležitější věci. Opravdu?

Začněme příměrem. Pokud vám do bytu vtrhne parta zlodějů a byt vykradou, je to k naštvání. Zpravidla vylomené dveře, nepořádek, ztráta osobního majetku (část, ke které je nějaké citové pouto nenahraditelná penězi), nutnost nahradit chybějící doklady, která znamená spoustu běhání po úřadech. Řešením jsou bezpečnostní dveře, elektronické zabezpečení. Internet a současné formy komunikace tak trochu připomínají v ochraně dat divoký západ. Pro většinu lidí je nemožné dodržovat pravidla, o jejichž existenci nemají ani tušení. Navíc ani nemají důvody proč se chránit. A snaha o osvětlení těchto důvodů vedla k tvorbě tohoto článku.

Žijeme v informační společnosti. Každá naše aktivita zanechává stopu v systému. Nemyslím tím jakýsi všeobjímající Matrix, ale velké množství vzájemně spolupracujících databází. Jednou stopou je platba v obchodě. Druhou je telefonát manželce či dítěti. Zápis na katastru, evidence ve škole, platba faktur mezi obchodními partnery, průjezd křižovatkou či úsměv do kamery v metru. Všechny tyto informační systémy sbírají data. A ta je možné vytěžit a zneužít.

Začněme neoprávněným přístupem, je to krok první. Co si vlastně pod tím představit?

Neoprávněný přístup

Většina dnešních systémů je velice složitá. Není výjimkou programové vybavení s desítkami miliónů řádek kódu. Přes všechny snahy ale není možné se vyhnout chybám. Část chyb lze najít pomocí různých nástrojů (část z nich tyto nástroje způsobí), zbytek mají odhalit testeři. Bohužel, přes všechnu snahu to není možné. K tomu se přidává omezený rozpočet, tlak na dodržení termínu … a ve výsledku je tu software, který je časovanou bombou. A takový software je všude.

Potenciální útočník se zaměřuje na známé chyby nebo se snaží využít zranitelností, které našel někdo jiný. Solidní tester upozorní společnost, která software vytvořila, hledání chyb je dnes docela slušně odměňováno. Ale je tu i další kategorie, též hnaná touhou po zisku. Tato skupina lidí uvedené zranitelnosti prodává dál na šedém nebo černém trhu a umožňuje potenciálním útočníkům jejich aktivity. Spektrum klientů je široké. Od skupin lidí, snažících se obohatit na úkor druhých, přes útočné složky kybernetických armád po špionážní agentury, od kyberaktivistů nalevo po kyberaktivisty napravo. A výsledek? Chaos, nepřehledný pro normálního člověka. Na rozdíl od většiny klasických bytařů (nepočítám elitu), návštěvu obyčejného kyberzločince patrně nepoznáte. Natož špičkového. A o co těmto lidem jde? Zpravidla o data a prostřednictvím nich o zisk, tedy o ta vaše data co mají nějakou cenu.

Data, zlato budoucnosti

Data jsou zlatem budoucnosti. V současnosti se sbírají jak legálním způsobem, tedy marketing, průzkumy, dotazníky, věrnostní karty, sledování trendů … seznam je dlouhý, tak neoficiálním.

Do skupiny neoficiálního sběru dat spadají různé formy software sbírající data o aktivitách uživatele, stisky kláves, přihlašovací údaje a další, tzv. spyware. Zpravidla s cílem krátkodobého zisku. To ve zkratce znamená vyčištění vašeho účtu v bance, krádež zpeněžitelných dat nebo vydírání. Další kategorií je ransomware (vyděračský software), se kterým se už bohužel i u nás někteří lidé nebo společnosti setkali. Tento software zašifruje vaše data a nabízí za úplatu jejich odemčení. Bohužel, často můžete peníze vyhodit se stejným efektem z okna. Mimo sběr dat je tu ještě možnost využití strojového času vašeho počítače, např. botnet, tedy skupina roztroušených počítačů ovládaná z nějakého řídícího centra. Pod tím si ovšem není možné představit nějaký velín, ale spíše skupinu počítačů řídící činnost napadených, tedy ovládnutých strojů. Výsledkem pak může být překvapivě vaše nová a moderní lednička, připojená na internet, která rozesílá spam v zájmu reklamních agentur po celém světě. Následně máte blokovanou poštu nepřístupné některé webové stránky …

Pro dlouhodobý zisk se analyzují data, která popisují vás i vaše okolí. Tyto analýzy se skrývají pod pojmem Big-data. Jako jakýkoliv jiný nástroj je možné je použít nejenom pro účely, které mohou být prospěšné všem, ale je možné je použít i pro účely méně bohulibé. V tomto ohledu je zajímavé se podívat do historie, která nabízí podobné pohledy na technologii. Zajímavou je například kniha investigativního žurnalisty Edwina Blacka “IBM a Holocaust”, nebo historie Nizozemí. Konkrétně požár civilního rejstříku v roce 1940. O co tenkrát šlo?

V roce 1851 zavedli na radnici v Amsterodamu rejstřík osob, který obsahoval vcelku podrobné údaje (základní data, adresy, přehled rodinného stavu, příbuzenských vztahů,  ale i náboženství). Tento rejstřík se postupně začal rozšiřovat nejenom o data z Amsterodamu a výsledkem byla perfektní evidence obyvatel. Což v době nacismu umožnilo cílenou selekci. Nebýt partyzánské akce (řekněme dnešními slovy hacktivismu) dne 27.března 1943, kdy odbojová skupina  zapálila archív a zapříčinila se hlavní měrou o záchranu přibližně 27% židovské populace, by došlo k povraždění veškerého židovského obyvatelstva. Více viz. Marnix Croes ” The Holocaust in the Netherlands and the Rate of Jewish Survival”

Memento mori

Dnes se nad otázkou ochrany osobních dat krčí rameny. Ale nikdo z nás nezná budoucnost. Oblíbená jsou rčení “Nešifruji. Kdo nedělá nic špatného, nemá se čeho bát”, nebo “Nešifruji, nemám co skrývat”, případně “Nešifruji, nemám nic tajného.” Jedná se jenom alibismus a nebezpečný omyl. Ve skutečnosti je to jinak: nechce se nám problematiku ochrany dat řešit. Nemáme prostě takový pocit,že se nám něco může stát. A tak to neřešíme. Jistě, bez tohoto základu by byli hackeři velmi smutní. Ale je potřeba si uvědomit jedno. Vždy máte co skrývat. Protože jenom vy máte právo rozhodovat o vašich datech. Žádná firma, nebo organizace bez vašeho souhlasu toto právo nemá. Stát z principu své funkce musí některé tyto informace evidovat, ale jako občané máme právo požadovat jejich maximální zabezpečení a máme právo se vyjádřit, zda považujeme za bezpečné tato data uchovávat.

Vaším chováním totiž neohrožujete pouze sebe. Ohrožujete své blízké. Rodinu, přátele, partnery. Každá data se dnes dají zpeněžit. Ať přímo či nepřímo, citlivá data jsou finanční zázemí,  vzdělání, rasová příslušnost, náboženská, politická nebo sexuální preference, sociální vazby (včetně rodinných), častá návštěva některých míst (geolokační údaje) atd.

Otázka proč chránit svoje soukromí a bezpečnost souvisí velice úzce s otázkou komu důvěřovat. Můžete důvěřovat subjektům s podobným morálním a etickým kodexem.

Etika (z řeckého ethos – místo pastvy zvířat, způsob jejich života a chování), hodnotový systém
Etiketa (z francouzštiny etiquette – štítek, nálepka), formální zdvořilost
Morálka (z latinského mos – vůle), hodnocení situace podle daného hodnotového systému, svědomí, pravidla nevynucená restriktivní normou
Mravnost (z praslovanského norv – co se líbí), obecně přijatý hodnotový systém, norma chování
Zákon – právní norma, vymezující pravidla chování, projevuje mocenskou vůli zpravidla psanou normou a vynucuje restriktivním způsobem jeho plnění
Spravedlnost – rovné (nikoliv rovnostářské) zacházení se všemi. Spravedlnost a zákon nejsou zaměnitelné.

A výběr z nedávné historie na závěr
rok 2013:
Krádež/vynesení dokumentu NSA (Edward Snowden), prokazující plošné sledování elektronické komunikace vládami
Krádež 130 miliónu záznamu o uživatelích společnosti Adobe Systems

rok 2014:
Krádež 23 miliónu záznamu o uživatelích deníku New Yorker
Krádež lékařských záznamu o 4,5 miliónu pacientu Comunity Health System
Krádež 76 miliónu záznamu uživatelů banky JP Morgan
Krádež 47000 osobních údajů minulých a současných zaměstnanců Sony

rok 2015:
Krádež údajů o 80 miliónech zákazníku zdravotní pojišťovny Anthem, obsahující jména, data narození, čísla sociálního pojištění a další citlivé údaje
Krádež údajů o 37 miliónech zákazníku seznamky Ashley Madison
(seznamka pro dospělé)
Krádež dat z amerického úřadu pro osobní údaje – 4 milióny záznamu obsahující jména, data narození, kontakty na příbuzné,podrobné bezpečnostní a finanční prověrky, vyhodnocení bezpečnostní prověrky, otisky prstu
Krádež údajů o 4 miliónech zákazníku společnosti TalkTalk (cena společnosti na burze poklesla o 12%)

rok 2016:
Krádež osobních údajů 50 miliónů Tureckých občanů (jména, adresy, data narození, identifikační čísla, rodinné vazby a další údaje)
Krádež osobních údajů 1,2 miliónu klientů v české pobočce společnosti T-Mobile

V tomto seznamu nejsou započítány desítky případů krádeží informací o kreditních a debetních kartách, které mají vliv na stovky miliónů uživatelů. Udává se, že patrně každá třetí identita v USA a každá čtvrtá identita v zemích EU je zneužita. Jaká je skutečnost ovšem nikdo jistě neví.

Autor Jan Dušátko

Zdroje:

Home


http://wikipedia.org
http://www.yadvashem.org/yv/en/education/languages/dutch/pdf/article_croes.pdf
Edwin Black: IBM and the Holocaust(The Strategic Alliance between Nazi Germany and America’s Most Powerful Corporation)