eGovernment | Bezpečnost | Česko | Reportáže

Český CyberCon 2018: Kybernetická gramotnost je tragická. Jsme roky pozadu

  • Do Brna se po roce opět sjeli experti na kybernetickou bezpečnost
  • Hybridní válka tu je a nejsme moc připravení
  • S kybernetickou gramotností se musí začít už na školách

Brněnské univerzitní kino Scala v týdnu hostilo čtvrtý ročník konference CyberCon 2018. Do prostoru hluboko pod zemí, který tak trochu připomíná protijaderný kryt nebo hackerské doupě, se sjeli experti na kybernetickou bezpečnost, u čehož jsme samozřejmě nemohli chybět. A to nejen proto, že naše redakce sídlí doslova za rohem.

Akce, na jejíž organizaci se vedle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) podílí také zdejší studentský portál Security Otulines, se mnoha jiným možná trošku vymyká, na kybernetickou bezpečnost státu totiž pohlíží komplexně – interdisciplinárně.

Cizí státy útočí (nejen) na česká ministerstva

Ale pěkně popořadě. Letošní ročník zahájil ředitel NÚKIB Dušan Navrátil, který shrnul krátkou historii úřadu (vznikl teprve loni), jenž má varovat před aktuálními hrozbami, informovat premiéra, provádět audity a nabízet doporučení pro 150 kritických systémů státní správy.

Sídlo brněnského NÚKIB na Street View:

Co to znamená v praxi? Letos NÚKIB analyzoval kybernetický útok na jedno z českých ministerstev, nebo ransomware, který na dva týdny položil na lopatky počítačovou síť v nemocnici Janov. To v praxi dokládá, že Česko má stále silné mezery a role kybernetické obrany nejen na úrovni NÚKIB, ale i v rámci vojenské obrany poroste. Ostatně i proto by NÚKIB někdy v roce 2024 rád otevřel svoji novou centrálu, která by měla vyrůst v brněnských Černých Polích.

Když k tomu připočítáme hromadu dalších brněnských bezpečnostních startupů, zdejší Avast/AVG, který se nedávno přestěhoval do nových prostor, Univerzitu obrany a Kybernetický polygon, z jihomoravské metropole se pomalu stává klíčový hub kybernetické obrany státu.

Kybernetická bezpečnost je očkování 21. století

Leckdo by si možná pomyslel, že na konferenci s názvem CyberCon mají všichni na klíně laptop s Kali a navzájem se hackují, tak tomu ale není. Součástí je samozřejmě hromada praktických workshopů, přednášky jsou ale o něčem jiném – vždyť kybernetická obrana je komplexem jak informačních, tak společenských věd.

c8bcfe9b-9a81-45d7-bf51-e7435d6de190
Stejně jalo loni i letos otevřel CyberCon tento výrok vrchního velitele ozbrojených sil. Experti jsou pochopitelně z podobných prohlášení nešťastní.

Šéfanalytik z NÚKIB Ondřej Rojčík tedy ve své přednášce přesvědčoval přítomné, že nejlepší zbraní je elementární kybernetické vzdělávání. „Kybernetická bezpečnost je očkování 21. století,“ prohlásil. Pointa je totiž ta, že většinu problémů, které způsobí nejrůznější záškodníci od script kiddies po státní hackery, je založená na docela primitivních technikách sociálního inženýringu, phishingu atp.

Jinými slovy, schopnost kybernetické a informační obrany státu exponenciálně poskočí už tehdy, když jeho občané – sakra – přestanou klepat na jakýkoliv odkaz v e-mailu. Zvláště, pokud se nejedná o pana Nováka z Kozojed, ale třeba o vysokého státního úředníka, manažera v klíčové společnosti atp.

Kybernetická gramotnost je tragická. Jsme roky pozadu

NÚKIB by proto rád skrze rámcové vzdělávací programy pronikl do českých škol takovým způsobem, aby byla napříště základní kybernetická gramotnost naprostou samozřejmostí. Všichni se totiž shodli, že v tomto směru (nejen) Česku nebezpečně ujel vlak a země má skluz možná i deset a více let!

Nejedná se přitom o žádné přehánění, trendy jsou totiž jasné. Kybernetický způsob boje se stává samozřejmostí, účastní se jej stále více státních aktérů (zdaleka nejen tolik citované Rusko a Čína), a kdo na to nezareaguje, společnost se mu rozloží bez jediného výstřelu ze starého kalašnikova.

Hybridní válka je už samozřejmost

Tuto tezi potvrdil i podplukovník Otakar Foltýn z Generálního štábu, podle kterého je ostatně i pojem hybridní válka jen určitou zkratkou, aby problém pochopili i ti, kteří mu vůbec nerozumějí. Skutečnost je taková, že hybridní boj je už dávno integrální součástí vojenských strategií, přičemž Rusko s ním zcela otevřeně počítá v rámci své inovované strategické doktríny z roku 2013.

ba0342b3-cf3f-419f-8ef3-1d1b1456f9a1a43d9533-c728-4ae6-aefc-949f495b75b1
Jak se v letech 2018-2050 změní válčení podle armádních analytiků

Dává to smysl, útočit v kyberprostoru a zlehka rozkládat důvěru ve státní instituce je totiž mnohem, opravdu mnohem levnější než na západní výspu ruské sféry vlivu posílat obrněné vozy, „které ostatně ani nesplňují emisní normu Euro 6,“ jak svérázně podotkl Foltýn.

Co se týče nákladů, Foltýn nabídl ještě jednu paralelu. Aby mohla Al-Káida 11. září 2001 zaútočit na Spojené státy, potřebovala směšných 500 000 USD. Náklady na následnou konvenční válku proti terorismu však byly o několik řádů vyšší.

Nejlepší hybridní válka je ta, o které oběť vlastně vůbec neví

Cílem hybridních válek zítřka přitom nemusí být zničení protivníka, ale jen jeho oslabení. A nejlepší hybridní válka je ta, o které oběť ani neví, a tak nemá jasno, před kým a jak se má vlastně bránit.

V podstatě stačí v zemi X založit pár protisystémových webů, do diskuzí poslat pár tuctů stejně naladěných protisystémových botů, provádět útočné kybernetické operace a při troše trpělivosti nahlodáte demokratický systém tak, aniž by tušil, že jej rozhlodává cizí státní moc.

Pokud je tedy podle Ondřeje Rojčíka kybernetická obrana očkováním 21. století, podle Otakara Foltýna je zase kybernetická gramotnost brannou povinností 21. století. I proto mají aktivní zálohy v plánu nabídnout možnost uplatnění pro ajťáky. Na cvičeních se nebudou plazit v blátě se samopalem, ale u počítače ochrání stát před fiktivní digitální hrozbou. To nám totiž aktuálně v srdci Evropy hrozí opravdu mnohem více.

Nudíte se? Hledejte nejen na Googlu uniklá kritická data. Nepotřebujete k tomu doktorát z počítačových věd. Bohužel.

Poměrně vypovídající ukázku tristní kybernetické gramotnosti nakonec předvedl bezpečnostní expert Michal Špaček, který prezentoval několik vlastně naprosto primitivních technik, jak hledat uniklá data na veřejném internetu. O mnohých jsme psali i u nás na Živě.cz.

1327cb78-4b69-4f23-ab20-31a76d2e0776
Michal Špaček ukazuje hrátky na webu crt.sh, což je jeden z vyhledávačů vydaných bezpečnostních certifikátů pro weby HTTPS. A jelikož je dnes HTTPS norma, snadno se dozvíme třeba prakticky o všech doménách a webech O2. Některé by mohly být třeba testovací, mohly by na nich být chyby, prostě bychom se z nich jako hackeři mohli dozvědět nějaké další informace pro útok.

A skutečně, opravdu stačí zajít na starý dobrý Pastebin, který se v posledních letech stal nepsanou normou, kde se anonymně publikují rozsáhlé úniky v prostém textu. Pastebin má samozřejmě fulltextový vyhledávač, když tedy zadáte třeba výraz .cz, zobrazí se vám převážně úniky, které obsahují české e-mailové adresy.

Brzy narazíte na ty, kde je vedle e-mailové adresy i dešifrované heslo, a přestože 9/10 kombinací naštěstí nebude fungovat, ta 10. už ano.

Na Seznam E-mail, Facebook, Instagram a Snapchat českého uživatele jsem se dostal během pěti minut brouzdání na Pastebinu

Jelikož se domnívám, že praktická ukázka (sic) na hraně etiky je onou příslovečnou fackou potřebnou k probuzení, která toho čtenářům dá více než pětapadesátá teoretická bezpečnostní poučka o volbě správného hesla, sám jsem si to vyzkoušel.

Najít na Pastebinu funkční pár přihlašovací jméno + heslo na e-mail od Seznamu, mi trvalo asi tři minuty. Když jsem se dostal do e-mailu oběti, získal jsem díky bohaté historii prakticky ihned přehled o tom, kde všude má účet.

caaff538-e5ea-4acb-afb9-58d089e25dcd43b34b37-9f6b-468e-ac5f-1dc04d55a7807975e99d-cfd0-403a-b72d-8f71f018fccc
9/10 kombinací přihlašovacího jména a hesla na Pastebinu naštěstí nefunguje, protože je v zájmu webových služeb tyto úniky hledat a hesla resetovat. Jenže v tom 1/10 případů uspějete. Dostat se z webmailu oběti na její Facebook, je pak už jen formalita.

Pět minut po navštívení Pastebinu jsem už byl přihlášený na jejím Facebooku, Messengeru, Instagramu a mohl bych tedy dále zinscenovat v rámci sociálního inženýringu útok na stovky jejích přátel, pro které bych byl naprosto důvěryhodná osoba.

Je to snazší, než si mnozí myslí

Weby jako Pastebin nebo Haveibeenpwned, kde si můžete zkontrolovat, zdali vaše přihlašovací jméno figuruje na některém z uniklých seznamů, by měl znát každý, kdo se pohybuje na internetu. Ten druhý jmenovaný má přitom i funkci notifikace, takže když vyplníte svůj e-mail, může vám na něj dorazit údaj o tom, že jste se ocitli na novém seznamu, ještě dříve, než vás bude varovat třeba konkrétní internetová služba, u které došlo k úniku dat.

Opravdovou kuriozitou však byla Michalova ukázka webového rozhraní konfigurace jisté české fotovoltaické elektrárny, které bylo jen tak mimochodem dostupné na veřejném internetu.

ca9f5c1a-a027-425d-a3f5-b1bc6c3a610cabdd09c8-72a9-41f8-8453-3590d20920ca
Na veřejném webu najdete nejen nejrůznější webkamery z ložnic, ale třeba i webové rozhraní solární elektrárny, ukazuje Michal Špaček. Výchozí heslo 1234 je základ!

Provozovatelé si totiž často neuvědomují, že i když nikde na veřejném webu nebudou sdílet odkaz, IP adresu podobného serveru stejně odhalí vyhledávače internetu věcí jako Shodan aspol., anebo mnohdy i Google, jehož indexovací roboti vyčmuchají skoro každou veřejnou webovou stránku a publikovaný dokument, kam se mohl dostat třeba i nevědomky odkaz na něco podobného.

Jedním z poselství letošního CyberConu, jehož program se protáhl na celé dva dny, tedy bylo vedle potřeby kybernetického vzdělávání také to, že drtivá většina útoků je ve své podstatě naprosto primitivní a spoléhá na běžné chyby a neznalost uživatelů. A právě proto jsou podobné útoky stále tak levné, tak nebezpečné a tak lákavé.

Diskuze (18) Další článek: Vyděsili jsme vás složitostí Garmin Pay a Fitbit Pay? Dneska vám ukážeme, že nebude tak zle

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,