IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Rozhovor s prezidentem ČIMIBu, Alešem Špidlou

Aleš Špidla rozhovor

Zprávami v posledních dnech proběhly informace o odhalení hackerských útoků hackerů Hizballáhu skrze sociální sítě. Oběti měli vábit na falešné profily dívek. Posouvají se útoky kyberšpionů právě na sociální sítě?

ČIMIBTy útoky už tam dávno jsou. Sociální sítě se hemží lidskými slabinami a je jen otázkou motivace útočníka, jeho schopnosti těchto slabin využít a schopnosti vytvořit scénář k dosažení cíle.

Zde útočníci mířili na mužskou ješitnost. Přesně podle anekdoty, ve které se říká „Proč mají muži radši hezké dívky než ty chytré? Protože lépe vidí, než myslí.“ Mě, když požádá na sociální síti 18 letá sexy dívka o rande, tak se podívám do zrcadla, uvědomím si svůj věk, dám si pod jazyk nitroglycerin a žádost smažu. Kdyby mě o rande požádala v restauraci takováto ale reálná dívka, tak začnu tím nitroglycerinem pod jazyk.

Čeho mohli falešnými profily dívek hackeři dosáhnout?

Útočníci využívali mužskou ješitnost k dosažení prvního cíle. Aby napadený začal komunikovat. Druhého cíle, a sice stažení aplikace do chytrého mobilního telefonu i přes varování systému, že aplikace není bezpečná, toho dosáhli tím, že se napadený musel nacházet ve stavu mentálního bezvědomí. Jinak si to nedokážu vysvětlit. Potom už je velmi jednoduché dosáhnout nejdůležitějšího cíle, přes takovou aplikaci ovládnout chytrý telefon, odposlouchávat komunikaci, číst sms, stahovat z něj záznamy, ovládnout kameru, mikrofon. Když si uvědomíme, že řada z nás používá chytrý telefon jako mobilní kancelář, tak se útočníci mohli dostat ke služebním e-mailům apod. A když se útočník přes kalendář dostane k informaci, že významná osobnost byla za posledního půl roku 6 krát na venerologii nebo psychiatrii, tak potom je ten člověk snadno vydíratelný. Vektor vydírání může mířit různým směrem. Od požadavku na výkupné až po změnu postojů, hlasování apod. Řada lidí na významných postech v přesvědčení o své genialitě podceňuje dobře míněné rady odborníků a s citlivým obsahem, který mají ve svých e-mailech zacházejí velmi nezodpovědně. Argumenty, že bezpečnostní opatření, která se týkají běžných zaměstnanců, se jich jako vrchnosti netýkají, jsem slyšel mnohokrát.

Na Security summitu ASIS zaznělo, že ČR patří z hlediska kyberbezpečnosti k nejbezpečnějším zemím na světe. Jak si to vysvětlujete?

Statistiky ukazují, že v průměru se Česká republika jako cíl kybernetických útoků podílí něco mezi 0,4 až 0,8 procenty. Což není ani moc ani málo, je to cca 500 000 útoků denně (statistika firmy CheckPoint). Příznivá míra bezpečnosti vyplývá mimo jiné z toho, že zatím je kyberválčiště někde jinde. S důrazem na slovo zatím. Česká republika je více cílem informačních operací, jejichž cílem je šíření nepravdivých zpráv a ovlivňování postojů v našem prostředí. Pozitivní vliv má také to, že se Česká republika kybernetickou bezpečností i s mým přispěním zabývá od roku 2010. Od roku 2011 máme strategii kybernetické bezpečnosti, máme speciální zákon o kybernetické bezpečnosti. Máme specializované orgány pro kybernetickou bezpečnost a budujeme i kybernetické síly pro kybernetickou obranu. Jsme národ velice chytrých lidí s vysokou míro schopnosti improvizace, což je v kybersvětě velmi cenná deviza. Můj soukromý názor je, že sílu svých obranných i útočných schopností bychom neměli měřit na tuny železa, ale na sílu našich mozků. Jak to ostatně dokázali naši vojenští chemici.

Obecně má ale kyberkriminalita vzrůstající tendenci oproti obecné kriminalitě…

To je naprosto logický vývoj. Je jednodušší, efektivnější a méně riskantní vykrást banku „digitálně“ než se snažit vyloupit trezor s 2 metry silnými stěnami. Roční obrat kyberkriminality je zhruba 1,5 bilionu dolarů. Zajímavé je, že 860 miliard dolarů připadá na nelegální internetový obchod, 500 miliard na krádeže obchodního a duchovního vlastnictví, 160 milard dolarů je výnos z prodeje kradených dat, výnos z prodeje softwaru a služeb pro kybernetický zločin (ano, i to lze objednat) je 1,6 miliardy dolarů a výnos z vyděračského software (ransomware) je 1 miliarda dolarů. A to se vyplatí. Navíc náklady na úspěšný kyberzločin jsou podstatně nižší než na opatření, která by měla úspěchu zločinu zabránit.

Jaké jsou aktuální hrozby v kyberprostoru ?

Zatím stále nejrozšířenější jsou fishingové kampaně, které cílí na běžné uživatele a jejich nízkou obezřetnost. V jedno státním úřadě byl proveden test, kdy byly vzorku 800 uživatelů zaslány emaily typu klikni na www.levneponozky.cz, www.levnespodnipradlo.cz apod. Byly to podvržené maily, z jejichž obsahu bylo naprosto zřejmé, že s prací testovaných uživatelů nesouvisely. 51 procent uživatelů tyto odkazy otevřelo. Více než 400 děr do systému. Úspěšný fishingový útok tak otevírá cestu k zašifrování důležitých souborů na počítači a následnému vydírání atd.

Poměrně novým fenoménem je využití systémů s prvky umělé inteligence. Kdy útočící systém dokáže měnit strategii podle chování obránců a vést tak autonomně s nimi válku. Ale to je na hodně dlouhé povídání

Na co se nyní zaměřují kyberšpióni?

Zajímavý je nárůst zájmu o zdravotnickou dokumentaci. V jedné zemi došlo ke krádeži cca 1,5 milionu zdravotních karet. Vyšetřováním se zjistilo, že útočníci cílili na zdravotnické záznamy premiéra této země. Je také zajímavé, že nárůst útoků na zdravotnická zařízení se týká útoků stát versus zdravotnické zařízení v jiném státě.

Kdo to vlastně je kyberšpión?

Jsou to hackeři, kteří své vědomosti používají pro špionážní účely. V principu je jedno, jestli informace, které hackeři někde získají jsou použity pro kriminální nebo špionážní účely. Technologie jsou stejné. Záleží na zadavateli. Ve špionáži jde obecně o získání převahy nebo konkurenční výhody. A je jedno, jestli se jedná o průmyslovou špionáž nebo špionáž na mezistátní úrovni. Vždy se snažíte získat převahu tím, že víte, co ví a chystá protistrana. A ona neví, že víte, co ví. O tom to celé je. Každá rozumná země má svoje zpravodajské služby, vnitřní, vnější, vojenské, civilní. A firmy také potřebují konkurenční výhody. V USA jedna zdravotní pojišťovna najala hackery, aby se prolomili do informačních systémů advokátních kanceláří, které zastupovaly pacienty v soudních sporech s touto pojišťovnou. Cílem bylo získat dokumenty o připravovaných strategiích vedení těchto sporů. Byla to krádež nebo špionáž? Obojí. Šlo získání převahy nebo chcete-li konkurenční výhody.

A co internet věcí? Nemůže přes něj probíhat kyberšpionáž?

Vše, co shromažďuje, uchovává, přenáší nebo zpracovává data, ze kterých lze vytvořit informace, které lze využít pro získání konkurenční výhody, to vše lze využít ke špionážním účelům. V deštných pralesích jsou na stromy umisťovány čipy, které jsou propojeny do Internetu věcí. Tento systém mimo jiné sleduje a hlásí nelegální těžbu. Může těchto informací zneužít konkurence? Nelegální těžaři? No minimálně jsou schopni zjistit, které oblasti jsou takto pokryty a při své nelegální činnosti se jim vyhnout.

Může se hackerství anebo kyberšpionáž stát regulérním byznysem?

To už dávno byznys je, lze si objednat téměř jakýkoliv útok, stačí si říct jaký typ útoku chcete, jaký je cíl, jaký má být výsledek a jak dlouho má útok trvat. Pokud za špionáž považujeme jakýkoliv sběr informací, kdy subjekt o kterém jsou informace sbírány o tom nemá mít ani tušení, potom samozřejmě že ano. A je jedno jestli se jedná o kyberšpionáž průmyslovou nebo v zájmu státu.

Nefungují dnes technologie jako Velký bratr, kterému ale ochotně vyzrazujeme informace o svém soukromí?

Velký bratr tak jak jej popsal George Orwell v knize 1984, je určitou filozofickou předzvěstí. Tím, že kniha byla napsána v roce 1949, nemohl autor tušit technologické možnosti mladšího „Velkého bratra“. Ty technologie samy o sobě takto nefungují, zatím i pro tyto technologie musí existovat zadání, a to dává člověk. Vezměme si za příklad social scoring system v Číně. Čínská vláda s využitím informačních technologií posuzuje důvěryhodnost a loajalitu každé občana. Data pocházejí jak z vlastních účtů lidí, tak z jejich činnosti na sítích. Vláda získává úplný sociální profil, včetně umístění, přátel, zdravotních záznamů, pojištění, soukromých zpráv, finanční situace, hraní her, informací z inteligentních budov, preferovaných novin, historie nákupů, schůzek a dalšího chování. Nízké skóre může znamenat zákaz cestování, vyloučení ze školy (zde se uplatňuje skóre rodičů), změnu sociálního statusu atd. Naopak výhodou vysokého skóre je snadnější přístup k úvěrům a pracovním místům a priorita při byrokratické administrativě. Výška skóre má dokonce vliv na rychlost internetového připojení. Stejně jako občané jsou hodnoceny i firmy.

Rozhovor, který president ČIMIB Aleš Špidla poskytl časopisu Security Magazin.