Na internetu jsou dnes závislé nejen miliony - a snad lze říci že i miliardy - lidí, ale na datech běhajících po síti sítí dnes často závisí také úspěšnost fungování jak jednotlivých firem, tak celých průmyslových odvětví; a do jisté míry i národních vlád či nadnárodních institucí. To s sebou nese jak výhody, tak i novou zranitelnost společnosti. Rovnice je zde jednoduchá – čím vyspělejší stát, tím větší zranitelnost prostřednictvím datových sítí.
Mimochodem – dovedete si představit ministerstva, policii či armádu bez výpočetní techniky a tykadel do kyberprostoru? Nedivme se tedy, že prostřednictvím kyberprostoru lze například ochromit infrastrukturu celého státu, jak se to stalo před pár lety v Estonsku, či v Gruzii a v Litvě.
To, že se tzv. Anonymous podařilo shodit servery FBI, Scottland Yardu nebo Bílého domu, zveřejnit hesla a e-maily lidí z NATO či české ODS, je proti tomu legrace, možná s výjimkou ohlášené, ale nedokonané snahy o shození celého internetu útokem na základní DNS servery z března letošního roku (tzv.operace Global Blackout), kterou už lze označit za teroristický útok.
Bohužel neříkáme nic nového - internet je stále více zneužíván nejen hacktivisty a´la citovaní Anonymus, ale přímo extremistickými a teroristickými strukturami, které zde šíří jednak svoji ideologii a propagandu, jednak mohou útočit na fyzické tj. průmyslové, vládní či vojenské objekty či energovody, napojené – jak jinak – na internet.
Kyberprostor tak dnes čelí drsnějším formám hrozeb, než je „pouhá“ kriminalita, byť je v řadě případů složité odlišit, zda jede o pouhý „kriminální“ čin, nebo o teroristický útok. Pokusme se tedy vymezit, co je obecně pokládáno za kyberterorismus.
Obecně řečeno: Jde o tzv. neletální (nikoli smrtící) formu teroristické činnosti realizovanou skrze služby, které podporuje a sdílí daná informační či komunikační síť. Sekundárním důsledkem kyberútoku ale může být i fyzická likvidace konkrétního objektu nebo systému, což může vést i k ztrátám na lidských životech. Ovšem – zde se většinou (zatím) nejedná o primární cíl útoku.
Kyberterorismus je tedy souhrnným názvem pro teroristické aktivity, jejichž cílem, použitým prostředkem nebo přenašečem je tzv. „kyberprostor“ a virtuální či fyzické objekty nacházející se v kyberprostoru. Komplikovanější je však samotná definice toho, co ještě lze zahrnout do kybernality a co už do kategorie kyberterorismus – je jím např. elektronický teror žáků vůči učitelům na školách (jejich zesměšňování např. na YouTube apod.), kybergrooming, sexting – nebo až SCADA útok na tranzitní trasu sibiřského plynovodu či atomovou elektrárnu?
Klasická - nebo chcete-li oficiální definice kyberterorismu formulovaná Dorothy E. Denningovou zní následovně: „Kyberterorismus je konvergencí terorismu a kyberprostoru obecně chápaný jako nezákonný útok nebo nebezpečí útoku proti počítačům, počítačovým sítím a informacím v nich skladovaným v případě, že útok je konán za účelem zastrašit nebo donutit vládu, nebo obyvatele k podporování sociálních nebo politických cílů.“
Bohužel, tato známá americká analytička dění v kyberprostoru chápe jako akty kyberterorismu téměř výhradně útoky směrované proti kritické infrastruktuře, jež mají za cíl získání informační nadvlády. Paradoxně častěji jsou na internetu zaznamenávány útoky narušující funkci určité služby či jejích součástí, aniž by daný útok byl veden proti konkrétní společnosti nebo vládě s konkrétním účelem (např. vydírání).
I ve svém příspěvku Whither Cyber Terror? k desátému výročí útoku na WTC, (věnovaném především tzv. „Džihad teroru”) ale konstatuje, že v zásadě „…žádná teroristická skupina zatím neprokázala schopnosti ani zájem o využití kyberprostoru k rozpoutání teroru jako takového. Tyto skupiny používají kyberprostoru především pro šíření svých informací a výzev k zapojení se (jejich příznivců) do dalších aktivit, které podpoří jejich konečné cíle...“ (Poznámka autora: A to v té době ještě nezačalo tzv. Arabské jaro…)
To podle Dorothy Denningové ale neznamená, že kyberprostor je bez vážných hrozeb. Naopak, podle ní se v posledních deseti letech ukázalo, jak zranitelné jsou počítačové sítě a jak škodlivý může být útok. Přitom jsou zatím tyto tzv. incidenty častěji charakterizovány jako činy počítačové kriminality, špionáže, nebo jako protest proti něčemu (viz ACTA – pozn. autora), než – kyberterorismus.
A připomíná několik destruktivních (už poměrně známých) DDoS útoků, jako byl ruský útok na Estonsko v r. 2007, na Gruzii v r. 2008 v období války o Jiží Osetii a také hacktivistické útoky skupin Anonymous či LuzSec. (Pozn. autora: Nešlo vlastně už v Gruzii o ukázku cyberware?)
Kybernetické útoky mají (nejen podle D. E. Denningové) jen zřídkakdy za cíl fyzické poškození či zničení objektu či aparatur - i když existují výjimky, jako např. při incidentu, kdy mladí polští hackeři v roce 2008 rozvrátili elektronické řídicí systémy čtyř tramvají (pomocí upravených ovladačů na televizi) a zranili při následné havárii desítky osob.
Jako zatím nejpozoruhodnější příklad uvádí Denningová případ Stuxnet, červa, který se šíří prostřednictvím Microsoft Windows a cíleně napadal SCADA systémy společnosti Siemens (viz napadení Íránských zařízení na výrobu obohaceného uranu), a varuje před obdobnými útoky na systémy zodpovědné za monitorování a kontrolu kritických infrastruktur, jako jsou rozvody elektrické energie, ropy a zemního plynu a vody. (info)
Kdeže ovšem ty časy Sutxnetu jsou! Tento worm („červ“), autonomní program schopný proniknout a ovládnout jiné systémy, měl celosvětový dopad - zasáhl, infikoval během roku 2009 odhadem 100 000 počítačů, z nichž většina – 60 procent – byla v Íránu.
Jeho cíle? Siemens S7-417 controller v íránském nukleárním centru Bushehr, a druhý, rovněž Siemens (S7-315), na íránské adrese Natanz, v centru Centrifuge operation. V poušti, více než 20 metrů pod povrchem v bezpečně zabetonovaném prostoru, kam hned tak nějaká bomba nepronikne, došlo v roce 2009 k snad nejznamenitějšímu aktu sabotáže v historii. Řekněme – do té doby!
Tvůrci tohoto malwaru jsou totiž nadále aktivní. Jeho bezprostředním nástupcem byla už též dobře známá hrozba označovaná jako DuQu. Na rozdíl od Stuxnetu není DuQu navržen za účelem sabotáže systémů řídících průmyslové procesy, ale především pro útoky na weby certifikačních autorit. Další cílem malwaru DuQu je špionáž – zejména krádeže duševního vlastnictví z informačních systémů průmyslových podniků (většina dat údajně putovala na servery do Číny). (info)
A abychom od tohoto tématu hned neutekli, zmiňme, že ruská softwarová firma Kaspersky Labs odhalila nedávno (viz ČTK 28. května 2012) mohutný počítačový útok dalšího červíka patrně ze stejné líhně, jehož účelem je sběr soukromých informací v zemích Blízkého východu včetně Izraele (zřejmě) a Íránu. Tento doslova špionážní virus Flame (Plamen) se šíří minimálně od srpna 2010, ale odhaduje se, že řádí už od března onoho roku. A že tak dlouho? Běžné antiviry jej totiž vůbec nebyly schopny zaznamenat!
Lidé od Kasperského označili Worm.Win32. Flame za "jednu z nekomplexnějších bezpečnostních hrozeb, jaká byla kdy odhalena.“ Zatímco dříve odhalené viry měly paralyzovat jaderná zařízení v Íránu (Stuxnet) a sbírat citlivá data v průmyslových podnicích (DuQu), cílem viru Flame je shromáždit široké množství nejrůznějších soukromých, citlivých a tajných dat. Zástupce této ruské firmy Vitalij Kamluk uvedl, že na rozdíl od svých předchůdců Flame zřejmě nezpůsobuje žádné materiální škody. "Jakmile je ale systém napaden, Flame spouští komplexní řadu operací včetně čmuchání v provozu sítě. Pořizuje snímky obrazovky (screenshots), zaznamenává zvukové konverzace (Skype), zachycuje pokyny přes klávesnici a tak dál," prohlásil Kamluk. Podle něj bylo zasaženo více než 6000 specifických cílů od jednotlivců přes podnikatelské subjekty a akademické instituce až po vládní systémy.
Podle Kamluka je virus natolik důmyslný, že za ním těžko mohou stát osamocení počítačoví piráti. Pravděpodobnější podle něj je, že ho sponzoruje nějaká vláda.
"V současnosti existují tři typy hráčů vyvíjejících viry a špionážní programy: hackeři, počítačoví zločinci a národní státy. Flame neslouží k tomu, aby bral z bankovních účtů peníze, také je odlišný od spíše jednoduchých hackerských nástrojů a virů. Takže když vyloučíme počítačové zločince a hackery, docházíme k závěru, že je to nejpravděpodobněji třetí skupina," poznamenal ruský expert.
Profesor Alan Woodward z Univerzity v Surrey, britský počítačový odborník, označil Flame za „v podstatě průmyslový vysavač citlivých informací." Cílem útoku se staly fyzické i právnické osoby v Íránu, Izraeli, Súdánu, Sýrii, Libanonu, Saúdské Arábii a Egyptě, což je snad v zásadě dalším důkazem, že útok organizuje nějaký stát.
"Obávám se, že ta hra teprve začala," řekl sám šéf společnosti Jevgenij Kasperskij v Tel Avivu 8. června na konferenci o počítačové bezpečnosti. A uvedl, že hrozí další podobné viry s mimořádně ničivým účinkem.
"Je logické, že vznikly další kybernetické zbraně, a je možné, že jsou napadeny i další počítače a že o tom ještě nevíme," prohlásil.
Dle Kasperského je Flame dvacetkrát účinnější než Stuxnet, který byl použit před třemi lety proti systémům v íránských jaderných provozech (viz výše). Hovořilo se tehdy o útoku na státní úrovni a spekulovalo se o vině Izraele. Spojovat Izrael s novým červem Kasperskij sice odmítl, faktem ale je, že virus byl objeven měsíc potom, co Írán ohlásil, že musel kvůli virovému útoku zablokovat počítačové systémy ve svém ropném průmyslu...
Kaspersky ovšem upozornil na důležitou věc – že totiž virus s tak ničivou kapacitou nemusí být nutně vyvinut jenom v zemích s rozvinutou počítačovou technologií. Ovšem podle jeho odhadu přišel Flame autory na "nejméně 100 miliónů dolarů" (dvě miliardy korun), což téměř jednoznačně ukazuje na státem financovaný útok (víceméně se však koncem června potvrdily informace, že za zrodem Flame stály Izrael a Spojené státy).
„ Hrozba kybernetického válčení je jedním z nejzávažnějších témat na poli informační bezpečnosti v posledních letech. Viry Stuxnet a DuQu patřily do řetězce útoků, který zvýšil obavy z kybernetických válek po celém světě. Malware Flame se zdá být další fází této války a je důležité pochopit, že takové kybernetické zbraně mohou být snadno použity proti kterékoliv zemi. Narozdíl od konvenční války jsou v těchto případech nejzranitelnější rozvinutější země,“ řekl m.j. Kaspersky. (info)
Přesto podle toho, co Jevgenij Kasperský prohlásil v Izraeli, v tomto případě nejde o kybernetickou válku, ale o kybernetický terorismus. Vypadá to, že si občas poněkud protiřečí...
Skuteční počítačoví zločinci (či státem podporovaní „hackeři“) se dnes už nezajímají ani tak o informace na bankovních účtech nebo platebních kartách. Trh s těmito údaji je už dostatečně nasycený a ceny, za které lze tyto údaje prodávat, nízké. A tak se na současném černém trhu výborně prodávají především státní tajemství, zdrojové kódy softwaru, databáze softwarových chyb, archivy firemních důvěrných e-mailů, znění právních smluv, technická dokumentace k výrobkům nebo údaje o konfiguraci systémů SCADA (aplikace pro řízení průmyslových procesů). A stále více se zvětšuje pomyslný otazník – je to stále ještě „pouhá“ kyberkriminalita, nebo už kyberteror? A není toto či ono už vlastně válečným aktem? Pravda, kdyby na íránský Bushehr spadla bomba, za válečný akt by se to jistě považovalo.
Jak je vidět, náš liberální svět se brání tomu si přiznat, že se zločinci a extremismem v kyberprostoru jsme už dávno ve válečném stavu. Za co např. označit další nedávnou obrovskou krádež dat – viz případ LinkedIn ze 6. června? Jde o více než šest miliónů přístupových hesel k uživatelským účtům na této sociální síti!
LinkedIn má na celém světě 161 miliónů členů a loni své akcie uvedla na burzu. Zaměřuje se na lidi, kteří hledají kvalifikovanou práci, a vychází vstříc poptávce firem po zaměstnancích. Má tedy dosti cenné údaje.
Následně se stejné skupině hackerů se podařilo získat přístupová hesla k některým uživatelským účtům z populárního hudebního webu Last.fm, což nejspíše souvisí s únikem miliónů hesel ze jmenované sítě LinkedIn. Jistě, může to být považováno za pouhý kyberkriminální čin.
Ukázkou dalšího dobře organizovaného útoku je zneužití 200 serverů na území ČR neznámou hackerskou skupinou k napadení vybraných cílů metodou DDoS v Lotyšsku z 11. června (2012).
Vůči jakému konkrétnímu subjektu byl útok veden, počítačoví experti s ohledem na probíhající vyšetřování do doby napsání této statě neupřesnili.
Jaká byla reakce ČR? Od lotyšských expertů šla první informace o útoku na český IT security tým CSIRT (Computer Security Incident Response Team), který řeší bezpečnostní incidenty v počítačových sítích provozovaných v České republice.
A výsledek „obranných“ kroků? Poznání, že ovládnout takové množství serverů se hackerům údajně podařilo díky jejich špatné konfiguraci. A ti jich mohli využit k útoku typu DNS Amplification attack. Pracovníci CSIRT zpracovali údaje poskytnuté Lotyšským týmem a předali je dál správcům jednotlivých zneužitých DNS serverů.
Jak se ale ukázalo, útok na Lotyšsko odhalil jen špičkou ledovce. Zneužít takové množství serverů (především těch, které jsou provozovány na routerech Mikrotik) se totiž útočníkům podařilo i přesto, že sdružení CZ.NIC, které je správcem české národní domény a zároveň provozovatelem týmu CSIRT, před špatnou konfigurací řady serverů u nás už dříve varovalo. Ovšem, pokud administrátoři nastavení opět nezmění, mohou se podobné útoky kdykoliv opakovat, podobně jako v případě webu ministra M. Kalouska. Tomu, lépe řečeno jeho webmastrovi pak nechali vzkaz: „Opravdu oceňujeme jaký je na vás spoleh. Zcela dle našich předpokladů jste úplně zbytečně vynaložili úsilí na opravu stránky, ale nějak jste opomněli zlepšit zabezpečení... Jaký to má smysl, když jste nezměnili přihlašovací údaje a neopravili chyby, které jsme využili při prvním útoku.“
Podobného poděkování se však většina správců nabouraných stránek či serverů nedočká.
Zatím nejmarkantnějším projevem kyberterorismu je – jak je vidět – tzv. mediální terorismus. Jde jednak o extrémisticky zaměřené internetové noviny a časopisy, či mediální nátlak určité skupiny lidí (viz tzv. ekoterorismus, zneužívající často demokratické principů řešení sporů, včetně tzv. procesního terorismu), ale i haktivistický spam atd. To se však postupně mění a mediální kyberteror v sobě skrývá latentní útočnost v reálném světě, kde kyberprostor je jen prostředím, útok umožňujícím.
Projekce obecných hrozeb do kyberprostoru je pak doprovázena skutečností, že společnost jej stále neakceptovala jako součást svého životního (byť virtuálního) prostoru a moderní technologie pak často negativně ovlivňuje nepřipravenou společnost.
![Schéma začlenění pojmu kyberterorismu do množiny terorismu. Zdroj: JÍROVSKÝ, V. Kyberterorismus. ICTfórum/PERSONALIS 2006. [předneseno 27.9.2006]. Praha. (Prezentace na konferenci – nepublikováno.)](../users/moje_2/k_clankum/kyberterorismus_400.jpg "Schéma začlenění pojmu kyberterorismu do množiny terorismu. Zdroj: JÍROVSKÝ, V. Kyberterorismus. ICTfórum/PERSONALIS 2006. [předneseno 27.9.2006]. Praha. (Prezentace na konferenci – nepublikováno.)")
Schéma začlenění pojmu kyberterorismu do množiny terorismu. Zdroj: JÍROVSKÝ, V. Kyberterorismus. ICTfórum/PERSONALIS 2006. [předneseno 27.9.2006]. Praha. (Prezentace na konferenci – nepublikováno.)Lze tedy obecně zasadit kyberterorismus do prostředí terorismu jako takového? Graficky se to pokusil vyjádřit ve své přednášce doc. V. Jirovský už v r. 2006 (viz obr. vpravo).
Dnes, po téměř šesti letech by tento graf vypadal zřejmě jinak – černá plocha kyberterorismu by byla jistě mnohem větší. Nicméně lokace kyberterorismu v celkové „aktivní zóně“ terorismu zůstává platnou. Jen se do ní přelévá více aktivit.
Podle zaměření a působnosti lze kyberterorismus dělit na dva směry: První směr je čistě propagandistický a inklinuje k negativní či odmítavé reakci na aktuální stav mezinárodní či národní politické situace (propagace jednotlivých extremistických či teroristických skupin, propagace ideologií, náboženství apod.).
Druhý směr ovšem realizuje přímá napadení konkrétních informačních sítí a likvidace síťových služeb a je tudíž výrazně nebezpečnější. Z hlediska informační nadvlády je to maximální informační výhra - nejsou-li informace, bude protivník dezorientovaný a nebude schopen reagovat na souběžné útoky na různá místa.
Tyto útoky lze ovšem rozdělit alespoň rozdělit do tří úrovní:
K nejnebezpečnějším typům kyberteroristů zřejmě patří kategorie specifikované jako Kyberválečník a Politický aktivista.
Kyberválečník je zpravidla profesionál, zabývající se primárně ochranou IT systémů před narušiteli, odborník s hlubokými technologickými znalostmi a často speciálním tréninkem, díky čemuž se stává velmi těžkým protivníkem a ideálním útočníkem. Motivace tohoto typu útočníků je buď ve vlastenectví nebo sounáležitost s náboženskou, sociální či jinou entitou (typicky názorově blízký ideologii teroristické skupiny). Typické útoky jsou vedeny za účelem destabilizace a poškození integrity dat či informačních systémů, především na úrovni kontroly rozhodovacích procesů.
Politický aktivista je možná nejhorší druh útočníka. Většinou se jedná o znalce z oblasti IT, jehož snahou je skrze kyberprostor reagovat na aktuální politické dění. Často se jedná o fanatika nebo idealistu zastávající extrémní politické názory, za něž vášnivě bojuje. Ke svým útokům využívá plně svých znalostí z oblasti a tudíž pro dosažení politických cílů může využívat široké spektrum různorodých metod – od propagandistického defacementu po přímé napadení a likvidaci státních informačních systémů. Tady si opět připomeňme hacktivistmus skupin a´la Anonymus či LuzSec.
Otázkou, zejména dnes aktuální, zůstává, zda je vůbec správné Anonymous označit pouze za hackery, když jejich hacktivistické aktivity přitáhly pozornost tisíců lidí po celém světě, kteří se (dobrovolně) zapojili do veřejných protestních akcí, častokrát spoluorganizovaných či podporovaných hnutím Anonymous? O kom všem se dá prohlásit, že patří k Anonymous, kdo všechno je členem, když Anonymous videa rozesetá po YouTube i na dalších místech deklarují, že „Anonymous je nikdo a každý?“
Jejich poselství z posledních let je v prosté informaci – změna je možná a je potřeba se o ni snažit. Okamžité svolání davu („flash mob“) se ukázalo jako efektivní zbraň v boji proti jakémukoliv režimu, což obyčejní občané zdá se pochopili mnohem dříve, než např. vládnoucí struktury v arabských zemích v průběhu tzv. „Arabského jara“.
Nicméně řada jejich akcí může být jako teroristický čin chápana. Viz např.:
O aktivitách Anonymus a jejich příznivců v souvislosti s úmluvou ACTA už ani nemluvě (viz 1. díl seriálu).
V běžném životě – a aktivity Anonymus jsou toho příkladem – některé typy útoků splývají a některé se mohou dále detailněji členit, což ovšem podléhá i času.
Můžeme tak uvažovat nad tím, zda např. defacement webových stránek je jen kriminálním činem, nebo už kyberterostickým útokem. Jsou některé islamistické weby navádějící k výrobě bomb a´la „vyrob si bombu v mámině kuchyni…“ teroristickým aktem, nebo až samotný výbuch bomby?
Jana Hybášková, exposlankyně Evropského parlamentu (m.j. známá arabistka) ve svém vystoupení na konferenci CYTER 2009 pod názvem „Radikální islám na internetu: Kde začíná a končí nebezpečí,“ velmi pregnantně definovala metodiku ideologického působení na islámskou populaci. A to už od dětství, kdy v zásadě nenápadně začíná na síti výchova k sebeobětování ve jménu islámu a likvidace „nevěřících“ často pomocí otřesných teroristických činů. Na takovýchto webech pak nejsou výjimkou ani návody na výrobu třaskavin a jejich použití, ale také videa s ukázkami brutálních vražd např. podřezáním.
Hybášková rovněž upozornila na liknavost a nejednotnost Evropy v přístupu k těmto militantním stránkám, proti kterým se lze zatím bránit jen odpojením jejich IP adres providery. V podstatě tak definovala nemohoucnost západního tzv. liberálního světa v boji proti militantnímu islámu (a nejen islámu) na internetu.
Ptejme se tedy: Kdy vlastně terorismus přerůstá v kybernetickou válku? Až v momentě, kdy si podle návodu na internetu doma v garáži někdo vyrobí atomovou bombu? (Ale je to pak kybernetická válka? Vždyť je vlastně reálná a internet je zde prostě jen jedním z prostředků.)
Nicméně podle docenta V. Jirovského (FD ČVUT, www.Cyter.cz) v současné době spočívá největší nebezpečí kyberterorismu v nově vznikajících hrozbách. Jde především o ohrožení už citovaných SCADA systémů, což jsou systémy pro řízení výrobních procesů, energetické sítě, ropovody, železnice apod. Není to tak dlouho, co byl podniknut útok na řídicí systém dálnic v Německu, před už časem byl podniknut útok na SCADA systém atomové elektrárny v Ohiu, či energetickou síť města New Orleans, o „íranském“ případu s červem Stuxnet už ani nemluvě.
Vyvstává ovšem reálné nebezpečí, že budoucí útoky postupně smažou rozdíly mezi kybernalitou a kyberterorem a bude jen záležet na chápání incidentu.
Tato fakta právo (ani mezinárodní) zatím nebere na vědomí a pokud, tak jen z hlediska státního zájmu. Kyberterorismus a na něj potenciálně navazující kyberválečné akty proto vyvstávají jako nová hrozba, které je nutné čelit a dostatečně dobře se na ní připravit – jak technologicky a personálně, tak především znalostně.
(Autorem seriálu je Stanislav Kužel, publicista, bývalý dlouholetý šéfredaktor magazínů Professional Computing a Software Developer.)
Podceňujeme nebezpečí digitálního světa, nebo je spíše přeceňujeme? Jak se změnil svět kybernetické kriminality - od časů hackerů pracujících pro zábavu k...
