Uživatelé musí brát bezpečnost vážně, jinak přijde doba regulační

7. 2. 2019
Doba čtení: 6 minut

Sdílet

Desítky let vývoje počítačové bezpečnosti jsou hodně znát, první amatérské útoky nahradily profesionální mezinárodní zločinecké skupiny. Je to tak zásadní téma, že začalo zajímat i politiky a ti přišli s regulací.

Při příležitosti kulatin jednoho z mých oblíbených on-line informačních zdrojů jsem byl požádán o sepsání krátkého ohlédnutí za vývojem v oblasti kybernetické bezpečnosti za posledních dvacet let.

Patřím ke generaci lidí, kteří se k IT dostali v době, kdy to u nás všechno tak nějak začínalo. Mé první setkání s počítačem mi přišlo jako sci-fi. To když jsem poprvé u spolužáka uviděl Sinclair ZX Spectrum a na něm hru Saboteur. Pak jsem objevil kouzlo Sokobana, robota Karla a po setkání se světem sítí jsem IT světu zcela propadl. Hlavně pak, abych parafrázoval můj oblíbený film, té úžasné možnosti některá pravidla obejít a jiná porušit.

Doba (polo)amatérská

Byla to doba, kdy ještě hodnota dat na počítačích obvykle nedosahovala hodnoty samotného hardware, a proto útoky nebyly považovány za tak tragické. V té době se teprve začínalo s přeléváním obsahu fyzických kartoték do databází a výrobní procesy ve firmách řídily spíše jednoduché automaty než komplexní software, který nám dnes dokáže zařídit vše, od navážení přesného množství nějaké suroviny, přes sledování a řízení technologického postupu až po finální kontrolu kvality. Tomu odpovídal i přístup k bezpečnosti IT, profily útočníků a nakonec i samotné útoky.

Bezpečnost se tedy, aspoň v běžných firmách, moc neřešila, mnoho útoků měli na svědomí lidé, kteří více než finanční zisk sledovali vlastní rozvoj, uspokojení své zvědavosti, nebo přiznejme si to, svého ega, a tyhle útoky každého spíše otravovaly, než že by působily fatální škody. Nebylo neobvyklé potkat databázi s hesly uživatelů v plain textu, v některých operačních systémech bylo kvůli produktivitě zvykem pracovat zásadně jako administrátor, a to i ve chvílích, kdy jste jen potřebovali spustit kalkulačku, a vůbec se běžně děla spousta věcí, které by dnes byly nemyslitelné.

Samozřejmě už i koncem devadesátých let existovaly útoky prováděné za účelem zisku, a začátkem tohoto století také první běžní domácí uživatelé zakusili finanční důsledky své vlastní neodpovědnosti. Zhruba tak jednou za měsíc jsem v té době měl díky mé tehdejší práci možnost vést zhruba následující rozhovor.

„Dobrý den, potřebuji nutně pomoct. Víte, dnes mi přišlo od Českého Telecomu vyúčtování za telefon a mám tam několik tisíc za volání na jedno číslo.“
„Hmm, to je divné. A jaké je to číslo?“
„No je to někde na ostrově Svatého Tomáše, ale já tam nikoho neznám.“
„Aha a nenavštívil jste někdy v poslední době nějaké erotické stránky, že by vám vnutily nějaký program?“
„Mnooo, víte, tuhle jsem se náhodou na jedny dostal a asi jsem si omylem něco nainstaloval.“
„Tak to máte na počítači dialer, který místo zvýhodněného čísla pro připojení na internet vytáčí toho Tomáše.“
„Hmm, aha. Jak já tohle vysvětlím manželce. Zkusím zavolat do Telecomu, jestli to nepůjde nějak vyreklamovat….“

Ano, byla to doba dialerů, děsivého Pingu smrti, někdy až úsměvných zranitelností, Windows 95/98/XP sdílejících obsah disků do celého Internetu a kancelářských HUBů, které spolu s absentujícím HTTPS umožňovaly škodolibějším jedincům bavit se nad neumělými pokusy kolegů o seznamování na prvních on-line chatovacích platformách. A také to byla doba spamu, který nás informoval o důležitých událostech, jako byl přílet velké vesmírné flotily Aštara Šerana nebo nová verze programu Trotlík. Spameři pak žili v úzké symbióze se správci serverů, kteří v té době sem tam zapomněli ošetřit nějakou tu open-relay.

Generální partner speciálu Žijeme 20 let Linuxem

ACTIVE 24 je tradiční webhostingová společnost s více než dvacetiletou historií. Poskytuje komplexní hostingové služby pro živnostníky, malé a středně velké firmy i jednotlivce. Soustředí se na vysokou technickou úroveň služeb a kvalitní zákaznickou podporu. Pro své servery využívá primárně moderní datové centrum Tower v Praze na Žižkově.

Doba profesionální

S narůstajícím počtem uživatelů Internetu se postupně zvětšoval počet těch, kteří v něm viděli zajímavou možnost, jak snadno přijít k penězům. Vzhledem k tématu nemám pochopitelně na mysli provozovatele e-shopů a dalších užitečných služeb, ale ty, kteří se snažili narůstající masu drahoušků zákazníků internetového bankovnictví přesvědčit ke kliknutí na phishingový odkaz. Tvůrce malware, jehož jedinou funkcí již není se šířit a případně k určitému datu zlomyslně smazat soubory, ale malware, který dokáže získat vaše přihlašovací údaje, malware, který dokáže uživatele sledovat, zapojit jeho zařízení do prvních velkých botnetů nebo otevřít útočníkovi zadní vrátka pro přístup k systému. Také řízení výrobních procesů ve firmách je stále častěji svěřováno software běžícímu na nějakém tom aktuálně dostupném operačním systému. Zde se však teprve otevírají dvířka pro další období.

Kyberzločin se začíná profesionalizovat, útočníci se specializují a vznikají první nástroje, které mají usnadnit útočníkům jejich činnost, jako jsou různé exploit kity. V této době vzniká také linuxová distribuce BackTrack, která se později změní v dnešní Kali. V záplavě spamu s malware a odkazy na phishingové stránky jsme pak s nostalgií vzpomínali na již zmiňovaného Aštara. A protože už byli administrátoři hodně otrkaní, častou funkcí malware bylo otevření open-relay na počítači nic netušícího uživatele.

Bezpečnosti se také začíná dostávat čím dále větší pozornosti, o čemž ostatně svědčí i první díl seriálu bezpečnostní střípky.

Doba úřednická

Kybernetická bezpečnost se stává takovým tématem, že už si jí všiml dokonce i státní aparát. Zároveň se ukazuje, že si státy začínají uvědomovat naši čím dál větší závislosti na informačních technologiích. Ukazují to události, jako byl malware Stuxnet, malware Red October, únik dat ze společnosti hacking Team, ale třeba také informace, které vynesl Edward Snowden. Státům jsou trnem v oku WikiLeaks, Anonymous, dezinformační kampaně cizích mocností a vůbec nemožnost řádně kontrolovat, co jejich občané ve virtuálním světě provádějí.

Proto vzniká řada iniciativ a zákonů, které se snaží nějakým způsobem zajistit ochranu státu a pro občany důležité infrastruktury, jako je náš ZKB nebo evropská NIS, ale vznikají také obskurní návrhy na různé internetové občanky, plošné zavedení cenzury, zadní vrátka pro vyvolené nebo zákazy konkrétních technologií.

Na stále častější informace o zásazích států do soukromí uživatelů reaguje také soukromý sektor a vznikají tak nové služby, slibující bezpečnou komunikaci a zvýšenou bezpečnost. V posledních letech také vznikla řada zajímavých bezpečnostních projektů a to jak v zahraničí, tak i v České republice. Ať už jsou to projekty zaměřené na bezpečnost síťového provozu, lepší rozpoznávání malware, decentralizaci honeypotů, nebo ochranu specifických prostředí. Mnoho provozovatelů webových stránek také využilo možnost zdarma získat certifikát Let's Encrypt a tak lépe zabezpečit důvěrnost a integritu přenášených dat.

Malware dosáhl nových výšin rafinovanosti v podobě ransomware a zároveň se začal šířit i do našich televizí, routerů, NASů, CCTV kamer a začal páchat čím dále větší škody. Množství údajů, které o nás kolují sítí, ať už z našeho vlastního přičinění nebo kvůli stále častějším únikům stále většího množství uživatelských dat z různých serverů pak posunulo na novou úroveň i phishing, který dnes mnohem častěji nese předložku spear.

Doba nejistá

Součástí tohoto textu má být i krátké zamyšlení nad budoucností v oblasti bezpečnosti. Nemám moc takové věštění z křišťálové koule rád a od strašení tu navíc máme bezpečnostní vendory. Ale jsem určitě schopen říci, co bych si přál, aby se stalo, či naopak. Moc bych si přál, aby Internet zůstal co nejvíce svobodný a byl co nejméně regulován ze strany států. Bylo by hezké, kdyby sami uživatelé vzali konečně bezpečnost do svých rukou a aspoň trochu aktivně se zapojili, s čímž souvisí i zavedení aspoň základní výuky bezpečnosti do našeho školství.

bitcoin školení listopad 24

Budu také rád, pokud se nové zákony a směrnice nestanou nástrojem šikany, ale naopak pomohou zvýšit standard zabezpečení v některých doposud opomíjených oblastech, například ve zdravotnictví, které drží velké množství velmi citlivých dat a přitom dle mých zkušeností jejich zabezpečení někdy celkem pokulhává.

Závěrem přeji serveru Root.cz hodně spokojených čtenářů do dalších let.

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.