TOP

Platforma kybernetické bezpečnosti

Kybernetická kriminalita: nic nového pod sluncem

Motto: „Počítačové útoky nejsou nic nového pod sluncem. Podniky se ale musí chránit stále novými metodami. Stručně řečeno, metoda ‘aktualizovat a modlit se‘ zlé hochy už na uzdě neudrží.“ Volně podle Regan Brown: Computer security threats, Dell, 2014

Kybernetická kriminalita: nic nového pod sluncem

Traduje se, že slovo „bug“ zanesla do počítačové hantýrky americká vědkyně, počítačová expertka, programátorka, autorka programovacího jazyka Cobol a admirálka Námořnictva Spojených států Grace Murray Hopper, když 9. září 1947 v 15 hodin a 45 minut vytáhla z kontaktů relé číslo 70 v panelu F počítače Mark II, který se choval nějak divně, mrtvou můru. Nikoli. Označení „bug“, tedy brouk nebo štěnice, používali technici pro zapeklité a špatně odhalitelné problémy už dávno před tím. Paní Grace pouze nalepila řečenou můru do žurnálu a opatřila popiskem „První skutečně zaznamenaný případ brouka“. A podobně je to i s počítačovou, IT nebo chcete-li kybernetickou kriminalitou. Ani ona není fenoménem jen posledních několika let.

Od hovorů zadarmo ke krádežím dat

Už v roce 1964 řeší telefonní operátor AT&T problém nezaplacených telefonních hovorů realizovaných pomocí jakýchsi „modrých skříněk“, které generovaly řídící tóny telefonní jejich sítě. Monitoring, v jehož průběhu bylo odhaleno a odsouzeno okolo dvou set lidí, skončil v roce 1970 úpravou řízení sítě. O dva roky později jistý John Draper, nazývaný Captain Crunch, kapitán Křupka, využívá k odblokování telefonní sítě tónu s kmitočtem 2 600 Hz produkovaného dětskou píšťalkou, která byla součástí balení právě křupek Captain Crunch. I kapitán Křupka byl později odsouzen.
V roce 1973, kdy počítačové sítě ještě ani nestihly vyrůst z digitálních plínek, varuje Robert Metcalfe, jeden z otců technologie Ethernet a budoucí spoluzakladatel společnosti 3Com, pracovní skupinu ARPANET, že není nijak složité napadnout počítačovou síť. Několik návodů, jimiž to dokládá, je obecně považováno za práci středoškolských studentů. Příliš mnoho sluchu mu ale dopřáno není. Rovněž pozdější návrh vestavět šifrování přímo do protokolové sady TCP/IP podaný Vintonem Cerfem a Robertem Kahnem v roce 1978 troskotá na nepochopení a odporu vědců i americké Národní bezpečnostní agentury. A tak vznik internetu otevírá všem úžasnou éru komunikace bez hranic, ale i bez ochrany. 

Útoky osmdesátých let jsou už mnohem více spojovány s počítači a komunikujícími systémy. Ne, že by snad lidé rádi platili za telefonní hovory. Sám se pamatuji, jak jsme po zavedení automatizovaných příčkových volání vytáčeli meziměstský hovor za cenu místního pouhým krátkým ťuknutím do vidlice telefonu před volbou směrového čísla nebo přidržením číselníku při vytáčení počáteční nuly. Ale počítače to prostě vyhrály. Byly čímsi novým, otevíraly netušené obzory a výborně se hodily do krámu médiím. To koneckonců platí dodneška. A jakmile se něco dostane do novin, zaručeně se toho chytí i politici. Nebo naopak. A tak v roce 1986 přijímá americký kongres Computer Fraud and Abuse Act, zákon, který poprvé stanovuje právní rámec krádežím dat, zneužitím počítačových sítí a další formám počítačové kriminality.

Vylézají první červi

Ač se prvenství připisuje Robertu Tappanu Morrisovi, studentu Cornellovy university, prví počítačoví červi ve skutečnosti vznikali už v roce 1979 ve výzkumných laboratořích společnosti Xerox v Palo Altu. Krátké programy, které se uměly připojit k souborům a šířily se s nimi počítačovou sítí, byly původně vytvářeny s cílem zvýšit efektivitu výpočetních systémů. Záhy ale byly upravovány, aby ničily nebo modifikovaly data v napadených počítačích. Morrisův červ v roce 1988 zamořil a celosvětově zneschopnil asi 10 % z tehdejších zhruba 60 000 počítačů. Z dnešního pohledu šlo o jeden z prvních útoků typu DDoS, útoků znemožňujících činnost počítače a tím poskytování jím provozované IT služby. Jen díky v té době ještě ne příliš vysoké penetraci osobních počítačů a datových komunikací nevyvolal takovou katastrofu, jakou by nejspíš způsobil dnes. Robert Morris byl o rok později na základě zákona o počítačových krádežích odsouzen ke třem rokům dohledu a pokutě 10 000 dolarů.

Na řadu přicházejí počítačové viry. Název počítačový virus poprvé použil v roce 1983 doktorand Univerzity v Jižní Karolíně Fred Cohen. Ale první skutečný PC virus, označovaný Brain, spatřil světlo světa až o tři roky později. Nebyl destruktivní a jeho autoři v něm dokonce na sebe zanechali kontakt. Koncem osmdesátých a počátkem devadesátých let ale jeho následovníci, viry Alameda, Cascade, Jerusalem, Lehigh nebo Miami už zamořily statisíce počítačů. Následovaly první polymorfní viry, které umějí samy sebe modifikovat a jejichž odhalování je mnohem složitější.

Je třeba se bránit

Až dosud benevolentní uživatelé počítačů a počítačových sítí si pojednou začali uvědomovat, že mají co do činění se skutečným nebezpečím a že jim nejspíš nezbyde nic jiného, než mu čelit a bránit se. A činí to dodnes. Nastal prudký rozvoj počítačového bezpečnostního průmyslu. Takového, jak ho známe doposud. A počítačová bezpečnost se začala dostávat do povědomí vedení firem i občanů.
Internet roste, útoky sílí. Co se dá zneužít, to se zneužívá. Kudy se dá kybernetický útok vést, tudy se i vede. Nákazu může přenášet cokoli, co se dá spustit. Od maker v dokumentech kancelářských aplikací přes pluginy do webových prohlížečů až po hýbací obrázky, flash animace nebo komprimované soubory. Rozvoj komunikace, zejména elektronické pošty a později i sociálních sítí, vytváří ideální prostředí pro šíření všemožných nákaz, diverzí a útoků. V roce 2007 zamořil virus Storm, ve skutečnosti šlo o trojan, rozeslaný prostřednictvím e-mailu během tří dnů 8 % počítačů na celém světě.  

Vydělávat i ničit

Z kybernetické kriminality se stává byznys. Aby byznys přinášel zisky, musí se rozvíjet. Útoky s finančním pozadím nabírají na síle. V roce 2008 okrade virus Koobface o peníze tisíce lidí. Šíří se e-mailem a sociálními sítěmi. Nabízí reklamu na software pro mobilní telefony. Důvěřiví zákazníci sice zaplatí, ale svoje zboží nikdy nedostanou. O rok později se objevuje i nechvalně známý červ Conficker, který infikuje miliony počítačů a zcizí stovky tisíc finančních údajů a uživatelských hesel. Následuje Stuxnet, virus určený pro průmyslovou a ekonomickou kriminalitu. Úspěšně cílí na provozní systémy jaderných a vodních elektráren. Je tak složitý a komplexní, že existuje i podezření, že byl vytvořen na objednávku americké či izraelské vlády.
A jsou tu další útoky. Code Red, který zamořil Windows servery, způsobil škodu 2 miliardy dolarů. Nimda, Welchia, Slammer. Samá známá jména. Ramnit ukradl čtyřicet pět tisíc jmen a hesel k účtům Facebook. Heartbleed, využívající chybu zabezpečení knihovny OpenSSL, otevřel cestu k milionům serverů považovaných za bezpečné. Výsledkem útoku na obchodní řetězec Target v prosinci 2013 byla krádež dat 70 milionů zákazníků. Nebo miliarda hesel ukradených hrstkou ruských hackerů z nezabezpečených SQL databází v roce 2014. A to jsou jen ty mediálně nejznámější případy. Útočníci objevují nové a nové způsoby, jak zaútočit. Kombinují několik cest v jediném útoku nebo navazují průniky a útoky na sebe. Nejdřív proniknout, potom prozkoumat, usadit záškodníka a vyčkávat, až přijde vhodný čas k útoku. 

Oni mají čas

Tisíce robotů dnes nepřetržitě v internetu prohledávají adresu za adresou, port za portem. Mají čas. Najdou-li skulinku, zneužijí ji. Vytvářejí se botnety, sítě infikovaných počítačů, které útočí na zakázku v přesně stanovený okamžik, po zaplacenou dobu a likvidují přesně určené cíle. V roce 2001 například využili hackeři sítě počítačů Kalifornské univerzity v Santa Barbaře k útokům, jež způsobily pád Amazon, Yahoo, eBay a dalších webových portálů. Ničení a likvidace za peníze i ve jménu ideálů.

Má-li někdo pocit, že nemůže být cílem, hluboce se mýlí. Kolik malých a zdánlivě bezvýznamných nemocnic už zaplatilo tučné výkupné za obnovení dat zašifrovaných ransomware útokem? Zaplať, nebo tvoji pacienti umřou, protože nebudeš moci operovat ba ani jim ordinovat léky. Kolik cestovních kanceláří ukončilo činnost, protože v den zahájení prodeje se stali obětí DDoS útoku objednaného u zlých hochů konkurencí? Každý může být cílem.

A to jsem úplně vynechal chytré telefony nebo tzv. internet věcí. Ale o tom zase někdy příště.