Kamery už předvídají naše chování, v Číně lidé dostávají kladné a záporné body, říká lovec hackerů | info.cz

Články odjinud

Kamery už předvídají naše chování, v Číně lidé dostávají kladné a záporné body, říká lovec hackerů

Česká republika se tento týden pochlubila tím, že je první zemí v Evropské unii co do počtu bezkontaktních karet. Lovec hackerů a odborník z izraelské společnosti na kybernetickou bezpečnost Check Point Software Technologies Miloslav Lujka však nabádá k obezřetnosti. „Stačí batoh, zařízení za pár dolarů, které umí přečíst čip. Natlačím se na vás ve frontě nebo v metru na 10 až 20 centimetrů a vsadím se, že ani nezjistíte, že vám z účtu odtekla částka v řádu desetikoruny. Za pár hodin nasbíráte tisíce,“ říká v rozhovoru pro INFO.cz.

Jak se k takové práci, jakou máte, člověk dostane? 

V oblasti kybernetické bezpečnosti pracuji zhruba už 20 let. Dostal jsem se ve firmě k investigativnímu oddělení, jež spadá pod Mayu Horowitz, což je neuvěřitelná žena, která se už dlouho zabývá lovením hackerů a dostala před soud řadu z nich. Spolupracuje s různými vládami, mimo jiné s USA. Znám také i hackera z „dark side“. Jsou to neuvěřitelně vzdělaní lidé. Nemylme se, že jsou to jen zločinci. Je to několik let poté, co americké vládě, konkrétně NSA (National Security Agency), byly ukradeny některé nástroje na kybernetickou špionáž. Na tu dobu šlo o velmi sofistikované nástroje a dnes jsou dostupné na dark webu pro kohokoliv, kdo zaplatí.

Zeptám se ještě jinak: kde se berou hackeři?

Dnes se jím může stát každý. Dělil bych je ale na dvě části: na někoho, kdo jen poslepuje nástroje a informace, které se už stejně „válí“ někde na internetu a dělá to jen ze sportu, protože chce někoho naštvat nebo si něco dokázat. Tomu se říká etický hacker. Nebo jsou to také lidé, kteří nechtějí nikoho zlobit, ale chtějí poukázat na to, že něco někde má mezeru v bezpečnosti. Je si platí velké společnosti jako třeba banky nebo Google, protože si umí přiznat, že nejsou tak dobří, aby neudělali někde chybu. Vyhlašují na to dokonce soutěže za peníze a čekají, kdo jim v systému objeví nějakou zranitelnost. Koneckonců my ve firmě máme také obří tým etických hackerů. A pak existují ti z druhé strany, z dark side. Tam je primární motivace peníze nebo informace, jako skoro za vším v lidském životě.

Nebo snaha zlepšit si sebevědomí, že to vůbec umí, někomu se někam vlomit a ukázat mu díry v systému?

Přesně tak. To je totiž ve finále asi ten nejdůležitější motiv hackera. Jenže pak jsou tu profesionálové, pro něž je to práce, a dělají to na objednávku. Kdokoliv si dnes může koupit „hacking as a servis“, tedy anonymně najmout hackera – zločince, který se vám dostane kamkoliv potřebujete. Typicky mezi sebou takto bojují třeba konkurenční e-shopy. Najmete si hackera, aby pozměnil objednávky, zašifroval data o zákaznících nebo zorganizoval DOS útok, a vyřadíte tak konkurenta z provozu. A samozřejmě to nikdo nepřizná, protože by museli klientům říct, že například čísla jejich kreditních karet nejsou v bezpečí a to by pak jako firma skončili. Reputační riziko je zde obrovské.

Kolik to stojí, pořídit si hackera – zločince?

Tak třeba ta nedávná nemocnice v Benešově by vás moc nestála. Za pár desítek až stovek dolarů si na dark webu koupíte malware, který pošlete do nemocnice například jako pdf přílohu a vsadím se, že pod názvem „Katalog nových zdravotnických prostředků“ si to tam někdo otevře. A pokud používají staré Windows, které už nejsou upgradované, tak to projde a já mohu díky zranitelnostem dostat do sítě cokoliv, co chci. Nejjednodušší je zakryptovat jim důležité dokumenty. Během týdne se to rozšíří na všechny počítače v dané síti – a co si budeme povídat, speciálně menší nemocnice nejsou nijak zvlášť kyberneticky dobře zabezpečené – a já do týdne kompletně ovládnu špitál.

Nemocnici dokonale ochromíte tak, že například u zdravotnické dokumentace je přílohou vždy nějaké předoperační vyšetření či rentgenové snímky. Ty když zakryptujete, tak ta oddělení absolutně ochromíte, protože oni si spolu o pacientech nepředají žádné informace. A to vůbec nemluvím o tom, že stejně levně jde ochromit i samotné přístroje, jako třeba ultrazvuk a celá řada dalších v nemocnicích.

Když se něco zašifruje, tak to musí jít ale také odšifrovat, ne?

Tak jednoduché to bohužel není. To, co hacker zašifruje, se bez klíče nedá rozplést zpět. Existuje sice produkt, který firmu ochrání, protože umí vrátit v čase infrastrukturu dokumentů a napravit ty věci, i když kryptování již začalo. Ale musíte ho mít nainstalovaný ještě předtím, než vás někdo napadne, což téměř nikdo nemá. Pak už je to marné. A dokud člověk nezaplatí, nezíská klíč, jímž si může dokumenty rozšifrovat.

Jiná možnost, než se vykoupit, tedy není?

Opravdu neexistuje jiná možnost, než zaplatit. Ono se to šifruje takovým klíčem, že aby to někdo dokázal uhádnout, potřeboval by k tomu hodně velkou výpočetní sílu a pravděpodobně by se mu to ani nepovedlo. Jen pro ilustraci: Rusové umí rozšifrovat některé klíče, ale trvá jim to hodně dlouho a je to finančně velmi nákladné. Druhá cesta je jediná: zaplatit a modlit se, aby vám ten hacker klíč skutečně poslal.

A jakou mám jistotu, že třeba za půl roku nebudu platit znovu?

To jste trefila jádro pudla. Statistiky bohužel ukazují, že kdokoliv se stal obětí podobného hackerského útoku, je z 90 procent do roka napaden znovu.

Proč?

Hacker ví, že jde o člověka či instituci, která je ochotna platit, když už to jednou udělala. Podstatné je, že jiná cesta než zaplatit v podstatě neexistuje. Nestačí ani pravidelné zálohování všech dat. Ty mechanismy jsou tak chytré, že se nejprve snaží zašifrovat zálohy, a teprve pak to, co je v „ostrém provozu“. Pak stejně nemáte šanci tu zálohu odněkud „vykutat“ a obnovit.

Krásný příklad je z Ukrajiny, je to jen několik let zpět. Hackerský útok z 85 procent ochromil veškerou důležitou státní infrastrukturu. Nefungovaly elektrárny, banky a dokonce tam došlo k tak „vtipné“ situaci, že i když pár institucí chtělo zaplatit hackerům, tak kvůli nefungujícím bankám neměly jak.

Druhá věc je, že hackeři chtějí často zaplatit v bitcoinech, tedy v anonymní měně, a vy nemáte šanci nikdy odhalit a najít toho útočníka. Vím, že nikdy je silné slovo, ale aby byl dohledatelný, muselo by jít o věc extrémně silného státního významu. A stálo by to řádově miliony dolarů.

Takže mám opravdu zaplatit?

Pokud vás ta ztracená data nestojí život, pak to berte to jako důležitou životní lekci a začněte se zabezpečovat. Na druhou stranu pokud pro vás důležitá jsou, pak ván nic jiného než zaplatit nezbyde. Každému přijde žinantní zaplatit za pořádnou počítačovou ochranu dat a máme všichni v počítačích ty free antivirové programy, které jsou ve finále k ničemu. Ale ona ta správná ochrana stojí ročně tolik, kolik nedáte ani za plnou nádrž do auta. Tedy tisíc korun. 

Dokážete odhadnout, kolik strategických institucí bylo u nás napadeno a musely zaplatit za data?

Jsem přesvědčen, že u vodáren, ČEZ, bank, elektráren a podobně, útoky probíhají několikrát týdně nebo u bank denně. Kolik z nich muselo zaplatit, ovšem nikdo neví. Z velkých nadnárodních firem, které to musely udělat, je to ale například Amazon a to bylo relativně dost peněz.  

Mám se jako obyčejný člověk také bát?

Tím, jak všechny IT systémy prorůstají do našich životů, už telefon neslouží jen k volání, ale i jako platidlo. A ovládá třeba taky chytrou domácnost. Všechny ty aplikace o vás ve finále vědí víc než vy sami, protože pracují s korelací dat. Vezměte si jen příklad Jumpshotu, který je v posledních třech týdnech velmi aktuální. Firma, která zpracovává anonymizovaná data o tom, co lidé mají rádi na internetu, je prodávala dál. Stačí je pak pouze zkombinovat s jinými informacemi a aplikacemi a máte komplexní obraz o člověku.

A co všudypřítomné kamery?

Nebudu zastírat, že například každé letiště má po útocích z 11. září 2001 4D kamery. A ty dokáží podle skenování vaší chůze, obličeje a chování přesně zanalyzovat, jestli například v nejbližších hodinách nechcete vyhodit letadlo do vzduchu. Testovalo se to a ukázalo se, že pokud by tento produkt existoval před 11. zářím, odhalil by devět z 11 teroristů, jen za pomoci kamery. Počítejte s tím, že za 20 vteřin o vás budou tyto kamery vědět, kolik berete peněz a s kým jste včera večer byla na pivu.

Málokoho to napadne, ale jde například požádat Facebook, aby vám poskytli data o tom, co vše o vás mají. A na běžného člověka to včetně obrázků vychází na více než 4,5 milionu stránek A4. Jsou tam totiž i příspěvky, které člověk smazal, ale ony se stejně archivují.

Jak se tedy můžu efektivně bránit?

Dnes si každý myslí, že když má nějaký antivirový program v počítači, tak to stačí, ale to jsou 90. léta. To je řekněme bezpečnost prvního stupně. Když už i zakladatel největší antivirové společnosti prohlásil, že antivir je mrtev, o čemsi to svědčí. Dnes se ovšem bavíme o šesté generaci zabezpečení.

A to je co?

To jsou špionážní techniky, které přes přístroje, jež běžně používáte, protože prostě musíte, dokážou ovládnout i ostatní věci okolo. Vysavače, televize… Dokonce ultrazvuky v nemocnicích běží stále na Windows 2000, což je vážně neuvěřitelně směšné. Je to podobné, jako byste měla pancéřové dveře v domě, ale nechala otevřená okna. Tak snadné je pak hacknout a ovládnout přístroje v nemocnici. Ani se přitom nezapotíte. Ještě horší podle mne je fakt, že u řady veřejných kamer, zůstalo zabezpečení v řekněme továrním nastavení v řádu Heslo 12345. To i laik hackne.

Znovu se ale zeptám, jak se jako úplný laik mohu bránit?

Víte, my všechno své soukromí dáváme na sítě. Kdo nemá Facebook jako vy, tak to zčásti vyhrál, ale do sítě Marka Zuckerbergera patří mnohem víc věcí, včetně Googlu. A tomu se stěží unikne. Připodobnil bych to k tomu, že když máte dům, máte zamčené dveře, zavřené okna, možná alarm, branku a plot před ním. Ale ve virtuálním světě se nechráníme. Stačí se podívat na bankomaty. Na většině z nich jsou ještě staré XP, čili něco, co je třináct let neupgradované. A podobné je to u 63 procent domácností.

Dejte si otázku, kolikrát jste se dnes dotkla svých blízkých a kolikrát svého mobilního telefonu? To pak člověk zjistí, že jeho nejintimnější partner je ten telefon. A my ani nejsme schopni si jeho informace ochránit. Proč třeba lidé u nastavení aplikací automaticky odklikají všechno? V Česku bude podle mne tak půl procenta skutečně poučených lidí, kteří nad kyberbezpečností opravdu přemýšlí.

Když například u Hondy vyloupnete levé zrcátko, máte tam počítač, na který napojíte zařízení, přes nějž můžete auto dokonale ovládat a někoho poslat do příkopu. To dnes umí už každý blbec. Stačí mít 50 dolarů na příslušné zařízení. A teď si to domyslete u ultrazvuků, dýchacích přístrojů a dalších zařízení v nemocnicích. Na to jsou již zveřejněná fakta, kdy ty nemocnice musely platit, aby lidé nezemřeli a stačí vám k tomu pár minut času a pár dolarů. 

Takže chlubit se tím, jak před pár dny někde vyšlo, že jsme země s největším počtem bezkontaktních karet v EU, není moc chytré, chápu to správně?

No jejda! Stačí batoh, zařízení za pár dolarů, které umí přečíst čip, natlačím se na vás ve frontě nebo v metru na 10 až 20 centimetrů a vsadím se, že ani nezjistíte, že vám z účtu odtekla částka v řádu desetikoruny. Za pár hodin nasbíráte tisíce. Na letošní největší hackerské konferenci na světě v Las Vegas se dala taková čtečka pořídit za 50 dolarů. Stačí si sednout v restauraci vedle vás a je až směšně jednoduché, jak rychle dostanu veškeré vaše piny na přístupy do práce a do počítače. A takové gangy tady operují ve velkém, jen se o tom nemluví. 

Dostal jste někdy nabídku na nějakou zajímavou špionážní práci?

Ano. Jednu takovou nabídku jsem si sám se sebou diskutoval. Nebudu říkat pro jakou organizaci. Jenže pak stejně ve finále skončíte nad otázkou: Udělám něco pro bezpečnost své země a svých dětí, nebo půjdu za penězi? Na to si musí každý odpovědět sám.

Vyřešil jste to zjevně komerční organizací v zemi, která patří k lídrům v oblasti kyberbezpečnosti. Takže jistě víte, jak je to mezi státy, které si prý platí hackery vždy před klíčovými volbami v zahraničí, aby věděli, jak na tom například političtí lídři jsou, co se týče zdraví…

To je pravda. Války se dnes nevedou tak, jako kdysi – zbraněmi. Dnes je důležitější mít informace. Když se budete chystat zabrat Krym, budete potřebovat nutně vědět, jaká je nálada v okolí, jak na to ty státy asi budou reagovat. V první linii kyberneticky chytrých zemí je jistě Rusko, Amerika a Čína, v tomto pořadí. A pak se bavme o Izraeli, což je země, na kterou okolí stále útočí a jí nezbylo nic jiného, než být v něčem – v informacích – prostě nejlepší. Podobně je vpředu Egypt, což se málo ví. Například nedávno se chtěla americká vláda dostat do zařízení iPhone. To jim firma Apple samozřejmě nemohla poskytnout, jde o její reputační riziko. Přesto si vláda najala izraelskou společnost, která to dokázala za milion či dva miliony dolarů udělat. Takže ano, státy si hackery skutečně zcela běžně platí.

Získávám z rozhovoru ovšem tak trochu depresi, že jako obyčejný člověk či úřad, hackera, který mi napadl data, nikdy nenajdu...

Netvrdím, že to nejde. I u hackerů existuje rukopis, který se dá poznat a vysledovat. Je to stejné, jako poznáte písmo a podpis člověka. Jenže je to jedna z 10 tisíc věcí, které u takové operace musíte udělat. Pak se dají vyhledat služby, které se s dotyčným pojí, kódy, které používá zase jen nějaká skupina lidí… Ale to vše stojí hodně času a peněz. Prostě lovec hackerů jde stopu za stopou, velmi mravenčím způsobem a věřte mi, že je to hodně náročné.

A když to obrátím: uměl byste se nabourat do zabezpečení takových institucí, jako je Pentagon nebo NASA?

Z hodiny na hodinu ne. Ale znám dost lidí, s nimiž bychom to v týmu dokázali. Třeba Pentagon je státní instituce a jako každá taková, už jen díky sociálnímu inženýringu, je napadnutelný. Já dokonce tvrdím, že hacknout se dá všechno, jen je to otázka času a peněz.

Kolik je u nás vlastně odborníků, kteří se zabývají kyberbezpečností?

Těch kvalitních? To spočítáte na prstech rukou. Řekl bych, že do 10.

Sledujete nějaké seriály, které se kyberbezpečností zabývají? Jsou hodně vzdálené realitě, nebo se díky nim můžeme něčemu přiučit?

Sleduji. A jsem za ně rád. Samozřejmě tam nemohou ukázat návody, jak něco hacknout. Ale tvůrci skutečně konzultují s odborníky to, co by tam mělo být. A rámcově je to obvykle správně. Třeba kamery, které sledují lidi a umí odhadnout, co udělají, se nejdřív objevily v jednom seriálu. Teď je to realita – scoringový systém v Číně. Od letoška běží v ostrém provozu – když přejdete na červenou na přechodu, dostáváte záporné body, když pomůžete babičce s nákupem, kladné. A podle toho si buď smíte nebo nesmíte koupit lístek do divadla či letenku na dovolenou. Žít bych v tom nechtěl, ale ten seriál to skutečně předvídal správně.

Ještě jedna věc mě zajímá. Mám se bát občanských průkazů či pasů nebo platebních karet s biometrickými údaji?

Samozřejmě že ano! Vždyť to jsou ta nejdůležitější data. Řeknu vám příklad. Máte mnoho krevních bank, které vám nabídnou, že po narození dítěte uchovají vaši placentu, pupečníkovou krev a podobně... A teď si vezměte hackera z Brazílie či z Mexika, nějakého mafiána, který bude mít třeba leukémii a vám nechá unést dítě na náhradní orgány. To je bohužel reálná hrozba.

 
 
Přejít na homepageVíce z kategorie

Články odjinud