Únik informací a dat
Zpráva, kterou byste měli znát
O organizované čínské kyberšpionáži toho bylo napsáno hodně. Ovšem ruku na srdce, přes velkou kvantitu zpráv bylo skutečně konkrétních informací poskrovnu (byť je to z taktických i strategických důvodů pochopitelné). To ale už nyní neplatí, protože naprostý zvrat přinesla v únoru 2013 publikovaná zpráva americké konzultační firmy Mandiant. Tu si najal deník The New York Times poté, co byl odhalený závažný a sofistikovaný průnik do jeho systému: i z něj vedly stopy do nejlidnatější země světa.
Konzultanti firmy Mandiant zjistili, že stopy z tohoto útoku stejně jako z mnoha jiných (např. hackerských skupin Comment Crew a Shanghai Group) vedou k dvanáctipatrové budově v Šanghaji (na ulici Datong ve čtvrti Gaoqiaozhen), v níž sídlí vojenský útvar označovaný „jednotka 61398“. Byť se nepodařilo vystopovat datový tok až do této budovy, většina sledovaných aktivit začínala (nebo naopak končila) v sítích v jejím okolí: šlo přitom o nejméně 141 útoků proti organizacím působícím ve dvaceti oborech. K jejich provedení byla vytvořena síť 937 řídicích serverů s 849 IP adresami ve třinácti zemích.
Už při zveřejnění zprávy APT1 - Exposing One of China’s Cyber Espionage Units ředitel společnosti Mandiant Kevin Mandia předpovídal, že to bude mít za následek změnu taktiky těchto útoků. Předpověď se naplnila: útoky prakticky ustaly a „někdo“ začal zametat stopy (např. mazat data nebo ukončovat činnost určitých systémů). Což ale neznamená, že je po problému: Mandiant upozornil, že jen dochází k přesunu na záložní infrastrukturu a servery a že v ČLR je dvacet podobných menších útvarů (z pochopitelných důvodů jejich identitu neodhalil), mezi něž se nyní úkoly rozptylují.
Manidant každopádně vypustil džina z lahve a další firmy ho vzápětí následovaly: bezpečnostní firma FireEye zveřejnila informace o cílené kampani vůči americkým společnostem vyrábějícím bezpilotní letouny UAV (Unmanned Aerial Vehicles). Útoky se přitom zaměřily hlavně na menší společnosti a dodavatelské firmy, u kterých se nepředpokládal takový bezpečnostní dohled. Navíc využily velmi sofistikovaných nástrojů (ty si byly navíc v jednotlivých případech podobné, což svědčí o společném jmenovateli útoků). Síť byla pojmenována BeeBus, přičemž FireEye ji dokázala odhalit již loni v březnu. Od té doby bedlivě monitorovala další pokusy o průnik do systémů, které se pravidelně opakovaly. Celkem bylo do útoku zapojeno nejméně 214 serverů s šedesáti unikátními IP adresami.
Zprávu společnosti Mandiant lze stáhnout z: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
Nejen obsah, ale i forma
Causa technika CIA Edwarda Snowdena, který zveřejnil informace o rozsáhlých monitorovacích programech CIA zaměřený na všechny formy elektronické komunikace, je dostatečně známá. Nebudeme se proto věnovat obecně známým faktům nebo spekulacím, ale upozorníme na jednu zajímavou skutečnost: podstatou monitorovacích programů nebylo studování obsahu komunikace, ale její formy. Jinými slovy: sledovalo se, kdo a s kým komunikoval, kdy, jak dlouho, jak často, v jaké podobě apod. To umožňovalo vytvářet přehled o „normálním stavu“ komunikace a vyhledávat odchylky, které by napovídaly, že se „něco“ děje. Ostatně, i policie přiznává, že polovina informací z odposlechů není o tom, cože v telefonech zaznělo, ale vyplývá z toho, že hovory vůbec proběhly. Aneb různé formy šifrování jsou sice pěkná věc, ale v případě komunikace skryjí jen část informace.
Špióni z NSA sledovali své milence
Jednou z nejvýznamnějších událostí roku 2013 v oblasti informační bezpečnosti byla bezesporu „causa Snowden“: bývalý technik zveřejnil podrobnosti o rozsahu sledování osob a organizací, kterému se věnovaly Spojené státy – a zvláště NSA (National Security Agency, Národní bezpečnostní agentura). Přestože špionáž je stará jako lidstvo samo, NSA se přece jen chovala jako „utržená z řetězu“. Logicky tak přišla legislativní omezení nebo vnitřní kontroly. Z nich vyplynulo mnoho zajímavého. Například rozsáhlý interní audit zjistil, že od roku 2003 zaměstnanci NSA v nejméně dvanácti případech zneužili svých možností ke sledování milenců, milenek či rodinných příslušníků. Zneužili zkrátka dostupných technických možností a značné volnosti k tomu, aby sledovali telefonickou a e-mailovou komunikaci. V jiném odhaleném případu zase analytik NSA nechával odposlouchávat náhodná telefonní čísla v nejmenované zemi: to proto, aby si zdůvodnil výuku cizího jazyka v rámci své pracovní doby. Výše uvedené případy jsou ale jen špičkou ledovce, protože k nim došlo v době udělování nebo prodlužování bezpečnostního oprávnění: tedy v době, kdy byli příslušní pracovníci pod bedlivějším dohledem. Kolik podobných případů se asi stalo v době „normálního provozu“?
I Vy jste (můžete být…) Anonymous!
Skupina Anonymous je často prezentována jako „hackerská“, i když sama sebe prezentuje více jako „hacktivistickou“ (kde hacking není cílem, ale prostředkem k jiným cílům).
Skupina byla založena s cílem organizovat akce občanské neposlušnosti a koordinace rozlišných aktivit po internetu. Původně šlo především o aktivity v oblasti zábavy a zejména pak počítačového pirátství, později se začala angažovat v oblasti zviditelňování společensky citlivých témat. Než se ale skupina do této fáze dostala, musela urazit dlouhou cestu, na jejímž počátku byla snaha vytvořit „anarchistický, digitalizovaný a globální mozek“. Tedy komunitu, která nebude závislá na konkrétním vedení a nebude i jinak uchopitelná.
Anonymous přitom na rozdíl od jiných podobných dokáže přenášet akce z virtuálního do reálného světa. Příkladem budiž případ ze zábavního parku v americké Alabamě, kde zaměstnanci nepustili dvouleté dítě s virem HIV do bazénu. Aktivisté obratem ruky zorganizovali protest, kdy v jednotném šedivém obleku a masce černošského obličeje zablokovali vstup do bazénu s tím, že je „infikován nemocí AIDS“.
Akce Anonymous jsou vedené jedinci, kteří na ně nálepku organizace přidají. Je to trochu alibistické, protože to umožňuje skupině se od jakýchkoliv aktivit (v případě potřeby) distancovat. Cílem ale je, aby všechny aktivity vypadají jako z dílny jedné jediné osoby jmenující se Anonymous. Skupina nemá žádného vůdce, vše je založeno na kolektivních aktivitách nebo iniciativě jednotlivců. Jakmile je identita kteréhokoliv člena skupiny prozrazena, je z ní automaticky vyřazený. Jde o jakýsi „sebe čistící“ mechanismus, který brání komukoliv stát se hlavou nebo mluvčím skupiny.
Anonymous dokázali překročit svůj stín tuctové internetové komunity v roce 2008, kdy rozšířili svůj záběr do oblasti politiky a lidských práv. Dočkali se široké mediální pozornosti, což přitáhlo další příznivce a aktivisty, a tak počet akcí rostl. To poutalo další pozornost, což opět přitáhlo další aktivity – a tak dále. Ve stejném roce se poprvé příznivci skupiny objevili na veřejnosti v masce Guye Fawkese z filmu „V jako Vendeta“. Pro připomenutí: Fawkes byl katolík, který se 5. listopadu 1605 pokusil vyhodit do povětří protestantský anglický parlament. Jeho maska z filmu se stala symbolem Anonymous.
Ovšem Anonymous nejsou jen parta občanských aktivistů, pomocníků slabších nebo nadšenců pro společnou dobrou věc: mnoho členů skupiny ji zneužívá jako pláštík pro provádění trestné činnosti v podobě různých internetových podvodů nebo obchodování s přihlašovacími či osobními údaji.
Jak vypadají svobodné a transparentní volby?
Že někdo vynese na veřejnost data, která měla zůstat neveřejná, se stává. Že uniknou jaksi „samovolně“ vinou špatného nastaveni nebo neopatrnosti uniknou data, i to se stává. Ale to, co se stalo loni v říjnu v Ázerbájdžánu, to by se asi opravdu stát nemělo. Aneb nedopatřením vystavené dokumenty na internetu ukázaly předčasně výsledky voleb v Ázerbájdžánu: výsledky tak byly známy o den dříve, než k volbám vůbec došlo! Takto nějak vypadá gól roku do vlastní brány. Ázerbájdžán se pak neobtěžoval data ani modifikovat a po „svobodných a transparentních“ volbách zveřejnil dokumenty znovu…
Smazaná data, která nejsou tak docela smazaná
Smažu data – a víc se o ně nemusím starat. (Samozřejmě nemáme na mysli jen „přesunutí“ soubory do složky Koš v systému Windows, ale jejich reálné smazání.) Chyba lávky! Takto zlikvidovaná data lze totiž nesmírně snadno obnovit! Uvědomte si to vždy, když dáte z ruky počítač, mobil, pevný disk či paměťovou kartu!
Začněme zjednodušeným vysvětlením toho, jakým způsobem systémy soubory odstraňují z paměťového média. Mazaný soubor totiž není fyzicky zlikvidován, ale operační systém pouze poupraví hlavičku FAT nebo NTFS. A to tak, že označí místo, kde byl původně umístěný příslušný soubor, jako prázdné. Jinými slovy: [smazaný] soubor dále fyzicky existuje na disku, jen na něj neexistuje odkaz. Z toho plyne docela jednoduchá zákonitost: dojde-li k obnovení příslušného odkazu, dojde zároveň k obnovení „smazaného“ souboru. Na disku zůstává až do víceméně náhodného přepsání jinými daty. Také z ostatních médií jako jsou paměťové karty či USB flash disky, se data dají obnovit – přestože fungují na jiném principu záznamu a mazání než pevné disky.
Ostatně, vyzkoušejte si sami: na internetu zadejte „undelete“, „undelete software“ nebo „undelete files“. Vyjedou vám desítky odkazů na „obnovovací software“, přičemž většina je zdarma. Jednoduchý na ovládání je např. program Glary Undelete – zapnete jej, zvolíte disk, kterých chcete prozkoumat a program okamžitě vypíše seznam „smazaných“ souborů s tím, jaká je šance na jejich úplnou obnovu. Následně stačí zadat Restore (Obnovit) – a smazaná data se vrací do počítače. Jak prosté…
Jedná se přitom o mnohem větší problém, než jsme ochotni si připustit. Stačí se podívat na průzkum provedený společností Disklabs, která se zabývá repasováním starého hardware. Ta získala nákupem v internetových aukcích sto pevných disků a pět desítek paměťových karet (SD karty, USB flash disky, MS a SIM karty). A výsledek? Devět z deseti médií obsahovalo alespoň nějaká využitelná data: osobní údaje, korespondenci, přihlašovací jména a hesla, fotografie…
Získávat smazaná elektronická data přitom umožňuje útoky přímé (získání hesel či přihlašovacích jmen), ale i mnohem nebezpečnější nepřímé. Útočníci se tak dostávají k informacím, které mohou použít například pro vydírání, pomlouvání, k odcizení identity…
V případě paměťových karet je dostatečně účinnou ochranou (před běžnými útočníky, o možnostech CIA nebo FBI se nebavíme) formátování. U pevných disků ale ani to nestačí: doporučuje se použít nějakou elektronickou skartovačku data (data shredder). Nabídka na internetu je dostatečně široká.
Cesta do cloudů, nebo do záhuby?
Fenomén cloud computing obecně představuje využití počítačů bez ohledu na to, kde jsou příslušné zdroje umístěné. Základním pravidlem tak je „využívat službu a příliš se neptat“. Je to podobné jako s elektrickým proudem: také stisknete vypínač, světlo svítí, ale zdali jde o proud vyrobený v uhelné, vodní, věrné, jaderné či jiné elektrárně už nevíte. A v podstatě neexistuje možnost to zjistit.
Typicky do cloudů „uklízíme“ data. Cloudy přinášejí mnohé nové a zajímavé možnosti, které tady dosud nebyly a jsou lákavé i z hlediska šetření nákladů, zvyšování efektivity nebo zjednodušování správy a údržby. Ale pořád musíme mít na paměti, že jde o nedefinované lokality či prostor.
Cloudy jsou z mnoha úhlů pohledu přínosné, užitečné, rozšiřují naše možnosti a snižují náklady. Přednosti cloudů jsou omílané stále dokola, takže jen stručně: snížení nákladů na nákup a správu hardware, možnost koncentrace výkonu, snížení nároků na obsluhu, rozšíření služeb, platformová nezávislost…
Jenomže zároveň z bezpečnostního hlediska představují rizikovou oblast: 43 procent firem cloudy využívající s nimi mělo během uplynulých dvanácti měsíců bezpečnostní problém.
Svědčí o tom i loňský případ firmy Epsilon, která poskytuje e-mailové služby zhruba 2500 různým společnostem na celém světě a obhospodařuje stamilióny unikátních adres elektronické pošty. Nevodným nasazením cloud computingu ovšem došlo k závažnému úniku, který se týkal více než šedesáti miliónů e-mailů (u Epsilonu je mělo 75 firem). Přímé náklady na řešení incidentu byly vyčísleny částkou 225 mil. USD v případě Epsilonu a dalších 412 mil. USD u jednotlivých firem, nepřímé by mohly dosáhnout až čtyř miliard dolarů.
Pak je zapotřebí zmínit také otázku dostupnosti. Při veškeré spolehlivosti komunikačních linek jsme na ně v případě cloudů odkázáni. Každopádně je to další faktor, který se může pokazit. Nebo dokonce, proti kterému je možné podniknout útok. Ostatně, to je přece podstata DoS (Denial of Service, odepření služby): obsazení přístupových cest (tedy přenosové kapacity). I když jsou obě strany v nejlepším pořádku, komunikační dálnice je mezi nimi ucpaná a není možné přenášet data.
Z výše uvedeného plyne i fakt, že při využívání cloudů pro storage si musíme velmi pečlivě vybírat dodavatele, protože tato technologie z mnoha důvodů ani nemůže být transparentní, a tak mu musíme do značné míry důvěřovat, že svoji práci odvedl, odvádí a bude odvádět kvalitně. Jsou totiž věci, které v nich z principu nelze z bezpečnostního pohledu nadefinovat a garantovat.
O data je zájem, a tak se kradou
Tady unikla soukromá data o miliónu osob, tady o deseti miliónech, tady o padesáti miliónech. Únik databáze čítající 27 tisíc hlav se tak v tomto kvantu snadno ztratí coby bezvýznamný. Přesto ale za pozornost stojí: nejen proto, že šlo o klienty britské banky Barclays. A nejen proto, že databáze byla skutečnou bonanzou dat: obsahovala nejen relativně obvyklá jména, adresy, data narození nebo čísla kreditních karet, ale také detaily o minulých příjmech, rozbory osobností, analýzu ochoty jít do rizika, finanční cíle, zdravotní stav nebo osobní zájmy jednotlivých klientů. Takováto data mají úplně jinou hodnotu, než jen strohá databáze. Zajímavé je, že Barclays o únik databáze sice věděla, ale neinformovala – mnohem zajímavější je, že databáze byla nabídnuta k prodeji finančním domům a poradcům ve Velké Británii. Někteří z nich pak tuto – prokazatelně kradenou – databázi skutečně zakoupili, a to za nemalou cenu: každý kompletní záznam klienta přišel na 50 liber! Na tento obchod s kradenými daty se přišlo poté, co jeden z finančních poradců informaci o tom, že databázi jeho zaměstnavatel zakoupil, zveřejnil.
Únik dat přijde na miliardy korun
Únik osobních údajů ze systému amerického maloobchodního řetězce Target na konci loňského roku se stal pátým největším podobným incidentem v historii. Útočníci se dostali k údajům o čtyřiceti miliónech platebních karet a o sedmdesáti miliónech klientských účtů. Banky, které na situaci musely reagovat (vydání nových karet, rušení podvodných transakcí apod.), se nyní rozhodly Target žalovat. Jen vydání nových karet vyčíslily na 172 mil. USD a dalších 30,6 mil. USD stály operace spojené s blokováním starých: nepřímé náklady (ztrátu důvěry aj.) dosud nevyčíslily.
Německá stopka americkým firmám
Čína nedávno oznámila, že výrobcům a dodavatelům IT služeb, kteří se na její trh pokusí dostat s technologií, která umožňuje neoprávněné získávání informací, zakáže na svém trhu jednou provždy působit. Není jediná: podle deníku Süddeutsche Zeitung mění také Německo podmínky veřejných kontraktů. Nově bude pro vyřazení z jednání o dodávce stačit pouhé podezření na možnost úniku dat (je tedy prosazována presumpce viny). Stejně tak budou po dodavatelích nově požadovány garance, že jakákoliv data nebudou poskytovat dále. I tady – stejně jako v případě Číny – jde o krok vůči Spojeným státům. Protože americké firmy mají ze zákona povinnost veškerá spravovaná data skladovat na americkém území (a to se týká i jejich dceřiných či jinak vlastněných či provozovaných společností). Na jedné straně se sice nepředávání dat s uchováváním na americkém území nevylučuje, na straně druhé je otázka, zdali jsou firmy něco podobného schopné zaručit. – Analytici spočítali, že pokles důvěry v americké technologické firmy po vyzrazení mnoha zákulisních informací analytikem Edwardem Snowdenem bude stát během pěti let nejméně 160 miliard dolarů. Evidentně se nemýlili.
Když utečou data z plastické chirurgie
Z informačního systému firmy Harley Medical Group (Velká Británie) byly zkopírovány záznamy týkající se 480 tisíc osob, které se zajímaly o plastické operace. Firma tvrdí, že nedošlo k úniku finančních nebo lékařských, ale „pouze“ osobních údajů. Jak uvedl její tiskový mluvčí: „Zjistili jsme, že neznámá osoba záměrně obešla naše bezpečnostní prvky a získala přístup k našim interním informacím.“ (Pozn.: jak se asi bezpečnostní prvky obchází nezáměrně?) Největší problém je v tom, že plastické operace bývají poměrně citlivou záležitostí, a tak i v případě „pouhého“ odcizení osobních údajů hrozí dotčeným vydírání, zneužití osobních údajů či nějaký typ podvodu, kdy jsou kontaktováni jménem nemocnice.
Miliardy ukradených údajů
Ukradeno milión přihlašovacích údajů, ukradeno deset miliónů přihlašovacích údajů, ukradeno sto miliónů přihlašovacích údajů… Titulky, nad kterými se už ani nepozastavíme. Ovšem ruský gang CyberVor šel ještě dále a dle americké firmy Hold Security, která jej sedm měsíců monitorovala, dokázal ukrást před 1,2 miliardy přihlašovacích údajů (tedy login plus heslo)! Ve skutečnosti to bylo přes 4,5 miliardy údajů, ale mnoho z nich bylo duplicitních. Gang pro své zločinné aktivity původně údaje nakupovat v podsvětí, ale počátkem letošního roku změnil taktiku a začal je aktivně krást. Na vyhledávání zranitelností využil nejmenovaný botnet (síť počítačů, kterým útočníci bez vědomí majitelů/provozovatelů zadávají úkoly) postupně napadl přes 400 tisíc webů a FTP serverů! Gang CyberVor podle všeho tvoří skupina dvanácti osob v jednom menším městě ve středním Rusku.
Problém, který teprve propukne
Organizace Elastica provedla bezpečnostní analýzu více než 100 miliónů souborů, které jsou sdílené ve veřejných cloudech. Z průzkumu vyšlo, že dvacet procent (tedy každý pátý soubor!) obsahuje data, která podléhají ochraně nějakou legislativní normou. Právě tato tzv. stínová data (data, nad kterými nemá majitel plnou kontrolu, ovšem nejsou přímo v rukou útočníka) představují narůstající hrozbu). Elastica spočítala, že pět procent uživatelů je zodpovědných za 85 procent sdílených dat. A že každý zaměstnanec takto „sdílí“ průměrně 2037 souborů. Stínová data představují ohromné riziko problémů s legislativou stejně jako riziko úniku regulovaných dat.
A data z cloudu jsou v… nenávratně ztracena
Dropbox je velmi populární služba umožňující odkládání souborů do cloudových úložišť – tedy od velkých serverových farem, kdy se data nacházejí „někde v internetu“. Teoreticky je to výhodné: o data se nemusíte starat, můžete k nim přistupovat odkudkoliv, s kýmkoliv je (v případě potřeby) sdílet apod. Jenže nyní díky chybě Dropboxu přišlo „menší množství“ (představit si pod tím můžeme jakékoliv číslo) zákazníků o svá data nenávratně. Chybu obsahovala funkcionalita Selective Sync, která zajišťuje synchronizaci dat lokálních a cloudových. Dle firmy šlo o starší verzi klienta, která se někdy uzavírala nebo restartovala ve chvíli, kdy uživatelé měnili nastavení. Závadný klient byl záplatovaný a distribuovaný, nikdo ho už dnes nevyužívá. Část dat se sice podařilo obnovit, ale zdaleka ne všechny. Všem poškozeným byla nabídnuta zdarma služba Dropbox Pro na rok. Což je ironické: můžete využívat další rok službu, která vás připravila o data…
