Kyberterorismus v informační společnosti. Část I

Kyberterorismus je možné vnímat jako jednu z největších hrozeb pro rozvoj a budoucnost informační společnosti. Tak jak se rozvíjí komunikační sítě a roste závislost na rychlém a okamžitém přístupu k informacím a online spolupráce, tak se také zvyšuje zranitelnost takto vybudovaných kanálů třetími osobami.

Informační společnost je možné chápat různým způsobem. Nejčastěji se můžeme setkat s vysvětlením sociálně ekonomickým; tedy že jde o společnost, která chápe informaci jako základní ekonomický statek a manipulace s ní přináší určitý profit. Mohli bychom samozřejmě sledovat více hledisek - třeba možnost volného přístupu k informacím a jejich zveřejňování nebo míru elektronické komunikace.

V tomto kontextu je možné říci, že zásadním způsobem narůstá význam počítačových sítí. Zatímco první počítače, které tvořily internet, vůbec nepočítaly s jiným využitím, nežli akademickým, situace se rychle měnila. Síť, která byla navržena jako univerzitní komunikační kanál, se otevřela společnosti a stala se rychle předmětem ekonomických, politických či marketingových zájmů (téměř každý někdy nakupoval v e-shopu, viděl reklamní banner nebo četl zprávy na internetu). S tím se začala rychle rozšiřovat otázka bezpečnosti.

Zranitelnost internetu

Internet byl od svého počátku navržený jako nezabezpečený. IPv4 neobsahuje žádný mechanismus, kterým by bylo možné komunikaci zajistit proti záměně či odposlechu. Postupně se tak začaly do rodiny internetových technologií a protokolů dostávat způsoby, jak toto zabezpečení provést. Za všechny je možné uvést VPN, IPv6 či IPSec pro IPv4 a řadu dalších. V řadě rysů se ale ukazuje, že internet je pro systematické zabezpečení navržený nepříliš vhodně a to především ve dvou oblastech. 

Tou první je možnost provádět DDoS útoky (k jejich popisu se ještě dostaneme), což je v zásadě triviální metoda, která dokáže zahltit i poměrně velké servery. Druhou slabinou jsou kořenové DNS servery. Jak známo, DNS server převádí adresu z doménového tvaru (např.: www.inflow.cz) na IP adresu (např.: 123.156.008). Pokud přestanou fungovat, museli by si uživatelé pamatovat IP adresy serverů, což je velmi nepraktické. Otázkou je, zda by to pomohlo úplně - DNS servery totiž hrají dosti důležitou roli také v oblasti směrování.

Kořenové DNS servery jsou sadou serverů, nebo spíše skupin serverů (díky anycastu), označovaných písmeny A až M. Jsou rozmístěny po celém světě a jsou ve správě různých organizací. Paradoxní je, že nejhůře zabezpečené jsou ty, které spravuje americká armáda. DNS servery jsou hiearchicky uspořádané a právě kořenové DNS servery stojí na vrcholku stromu a jejich prostřednictvím drží celý internet pohromadě.

Teoreticky tak stačí vyřadit těchto třináct serverů a internet se stane nefunkčním. Díky existenci anycastové adresy (ta ale existuje jen pro IPv6) je přece jen situace o něco příznivější. Nedochází totiž k odkazování na konkrétní server, ale celou skupinu, která odpovídá na otázky podle toho, jak je zrovna vytížena. Fyzická likvidace několika desítek strojů by tak nezpůsobila žádné vážnější problémy, kromě mírného zpomalení sítě. Aktuálně je asi 259 serverů s adresou kořenového DNS, ale za každým z nich se mohou skrývat celé skupiny provázaných počítačů. 

Ač jsou DNS servery díky zrcadlení a anycastu relativně dobře chráněny, především ty, které spravuje americká armáda, by nebyl problém teoreticky znepřístupnit. Obecně se ale má za to, že jde o jednu z největších slabin mezinárodní počítačové sítě a řada společností aktivně pracuje na snížení rizik. Jako příklad je možné uvést Google, který buduje vlastní strukturu DNS serverů po celém světě, které využívá pro lepší vyhledávání a směrování. V případě potřeby by je ale mohl použít na záložní DNS.

Pokud jde o zmíněné DDoS (Distributed Denial of Service), tak představuje jednu z nejjednodušších a přitom nejúčinnějších forem útoku. Jejich základem jsou dotazy, které jsou kladeny serveru a obsahující podvrženou IP adresu. Server na ně odpovídá, čímž zahlcuje linku, na kterou se mu stále vracejí další pakety, které sám vyslal a na které musí znovu reagovat. Detaily provedení mohou být dosti různorodé. Díky tomu, že je útok koordinovaný a distribuovaný (prováděn z velkého množství IP adres) je jen velmi obtížné se proti němu bránit. Výsledkem úspěšného útoku je nedostupná stránka. 

Samozřejmě, že forem útoků je mnohem více - může jít o aktivity proti infrastruktuře, napadení směrovačů nebo využití chyb v zabezpečení počítačů a serverů, ze kterých je možné odcizit data, zneužít jejich výpočetní výkon atp.

Kyberterorismus a jeho důsledky

Zřejmě nejznámější definicí kyberterorismu je ta od Denningena:

„Kyberterorismus je konvergencí terorismu a kyberprostoru, obecně chápaný jako nezákonný útok nebo nebezpečí útoku proti počítačům, počítačovým sítím a informacím v nich skladovaným v případě, že útok je konán za účelem zastrašit nebo donutit vládu, nebo obyvatele k podporování sociálních nebo politických cílů." [1]

Na to archaické definici je paradoxní to, že nepostihuje nejčastější formy útoků. V současné době jsou rozhodně nejfrekventovanější útoky ty, které mají za cíl vyřadit s funkčnosti nějakou službu. Aby se mohlo mluvit o kyberterorismu, mělo by jít o službu klíčovou pro fungování společnosti.

Jistě je vhodné zmínit skutečnost, že rozdělení na partyzány a teroristy je vždy otázkou dějinného pohledu. V zásadě obě skupiny osob usilují o totéž, jen jedné dáváme nálepku hodných a druhé zlých. Takto chápaný kyberterorismus - prožívaný v aktuálním prostředí není vůbec tak jednoznačný, jak by se mohlo zdát. Příkladem může být skupina Anonymous, která útočí na korporátní weby, bojuje proti přijetí ACTA či autorských právům. Řadě osob může jejich činnost připadat sympatické (propagování svobody slova, svobodného přístupu k informacím atp.), ale další část je může vnímat jako kyberteroristickou organizaci, která poškozuje soukromé statky, obchází principy demokracie a porušuje autorská práva či zneužívá osobní data uživatelů.

Pokud jde o možné důsledky kyberterorismu, je možné uvést především následující:

  • krádež dat či informací;
  • zničení dat;
  • destabilizace systému;
  • blokování systémových prostředků;
  • nedostupnost služby.

Nejčastějším důsledkem je právě krádež dat nebo informací, případně šíření informací nepravdivých. [2] Uplatňuje se v oblasti snahy o získání průmyslových či jiných výrobních tajemství, dolování osobních údajů, dat a dokumentů. Cílem těchto útoků může být jak jednotlivec (například se snahou o získání přístupu k internetovému bankovnictví) nebo i server (získání seznamu uživatelů a jejich osobních údajů).

V současné době není kyberterorismus jen nějakou amorfní, teoretickou hrozbou, ale má řadu reálných důsledků. Z velkých mezinárodních útoků jsou zřejmě nejznámější útoky na Jižní Koreu, za kterými stála organizovaná skupina útočníků, která čítá 500 až 1000 osob. Cílem byly především osobní počítače a hlavní motivací bylo vyřazení sítě a poškození či zničení osobních dat. Útočníci znali velice dobře konkrétní síťovou infrastrukturu a zničeno bylo na 440 počítačů. [3]

Dalším známým cílem byla Gruzie a to během konfliktu s Ruskou federací (rok 2009). Parlamentní stránky této republiky byly vyřazeny z provozu a web prezidenta země jej připodobňoval k Adolfu Hitlerovi. Jako oficiální státní stránky pak sloužil blog na Blogger, který útočníci nebyli schopni napadnout.

Jen několik měsíců před tím, byly napadeny servery v Litvě, protože ruští hackeři protestovali (ruská strana odmítla, že by šlo o vojenskou aktivitu) proti rozhodnutí Litevského parlamentu, který přijal zákon stavějící na roveň propagaci totalitních režimů nacistického i komunistického, tedy mimo jiné také zákaz používání symbolů obou režimů. Zasaženy byly jak státní weby, tak soukromé stránky bank a dalších institucí. [3]

Za určitou formu kyberterorismu lze považovat také šíření nepravdivých informací na internetu, jejímž cílem je dezinformace uživatele a změna jeho chování. [2] Mimořádně nebezpečné jsou v tomto ohledu socialboti. Tedy softwarový agenti, kteří se snaží vydávat za osoby a pohybují se uvnitř sociálních sítí. Jejich úspěšnost je mimořádně vysoká. [4]

Základní kyberteroristické metody

Kyberteroristických metod existuje relativně velké množství a je možné říci, že útočníci volí obvykle tu, která je pro jejich cíle optimální. Pokud chtějí vyřadit z provozu nějaký web, není spam zřejmě optimální řešení. Naopak se velice dobře hodí pro různé podvodné obchody nebo propagaci politických názorů. Zde uvádíme (abecedně seřazené) základní skupiny metod, které se běžně používají. Každá z nich může mít řadu konkrétních technických provedení.

  • Cracking je metoda, při které dojde k narušení informačního systému zvenčí. Využívá se přitom celé řady konkrétních prostředků, jako jsou trojské koně pro zaslaní přihlašovacích údajů nebo skenování portů.
  • Cyberbullying (kyberšikana) je založená na zveřejňování materiálů s cílem poškodit druhou osobu. Často může jít o videa, fotografie či kruté texty. V oblasti kyberterorismu jde o doplňkovou činnost, která se obvykle využívá při napadení serverů nebo cybersquattingu.
  • Cybersquatting je založený na zaregistrování si doménového jména, které koresponduje s jmény známých osob, institucí nebo firem. Cílem je zmatení návštěvníka, prodej zboží nebo jen doménové spekulantství. Díky podobnosti s oficiálními stránkami může představovat nejen ekonomické, ale také informační a bezpečnostní riziko.
  • Hacking označuje souhrn metod narušení bezpečnosti nebo stability počítačových sítí. Může být spojený s likvidací či zablokováním určitých webů nebo síťových služeb.
  • Phishing je snahou o získání osobních údajů nebo jiných informací na základě vydávání se za určitou společnost. Může jít o maily, které žádají zaslání čísla a hesla k PayPal a weby, které vypadají na první pohled stejně, jako weby bank.
  • Pharming označuje metody získání přihlašovacích údajů k určité internetové službě odposlechem zadaných údajů skrze podvodnou webovou stránku. Úzce navazuje na Phishing.
  • Social engineering je jednou z nejúčinnějších metod počítačového útoku. Probíhá na základě komunikace s osobou, kterou se snaží přesvědčit, aby svým chováním poškodila ochranu systému. Klasickým příkladem může být šíření viru na CD, který je označován jako zábavné video. Zatímco systém ochran proti síťovému útoku je ve firmě dostatečný, proti podobným nástrahám se lze bránit jen velmi obtížně. [5]
  • Spamming je jednou z nejméně nebezpečných metod. Spočívá v rozesílání reklamních nebo jiných nevyžádaných zpráv. Představuje více než polovinu zaslané pošty a má relativně závažné ekologické i ekonomické důsledky.

V zásadě je možné všechny útoky rozdělit do tří velkých skupin. První využívá softwarových prostředků, druhá služeb sítě a třetí je založená na čistě personálním provedení. Té poslední se nebudeme příliš věnovat, protože není z hlediska IT nijak zajímavá.

Pokud jde o softwarové útoky, tak je možné rozlišit různé druhy škodlivého kódu podle jejich činnosti. Na druhou stranu je třeba upozornit, že dělení je možná trochu staromódní, protože řada konkrétního malware spojuje více skupin dohromady.

  • Adware sloužící k podpoře systematického získávání dat a odposlechu z koncových stanic. Spyware slouží k získávání informací o konkrétním uživateli. Původně bylo cílem získání informací pro efektivní reklamu (spam), ale postupně se využití rozšiřovalo, například i do oblasti sociálního inženýrství.
  • Počítačové viry mají za cíl zničení či poškození konkrétního hardwaru, softwaru nebo síťového prvku.
  • Trojské koně představují dnes nejsofistikovanější skupinu škodlivého softwaru. Vydávají se za užitečný program, který „mimochodem" plní další funkce, jako je odposlech, skenování portů, zasílaných zpráv mezi aplikacemi atp. [6]

Pokud jde o jednotlivé varianty síťového útoku, tak je možné zmínit především následují:

  • Bombing je nejprimitivnější metodou, která je založená na zahlcení sítě pakety. V zásadě je možné jej užít jen v lokálních sítích. Dnes nepředstavuje větší nebezpečí.
  • DoS (Denial of Service) je formou útoku, kdy je server zahlcen falešnými požadavky na poskytnutí konkrétní služby nebo informace (typickým útokem je např. Ping of Death (PoD) - Ping využívá ICMP, který je mnohem kratší než vracející se IP paket).

Dnes je tato metoda užívána výhradně ve variantě DDoS (Distributed Denial of Service), tedy když je prováděna velkým množství počítačů současně.

  • MiM (The Man in the Middle) je forma útoku zaměřená na konkrétní komunikaci mezi dvěma uzly.
  • Sniffing je označení metod, které slouží k odposlechu paketů. Pro útok stačí využít špatně zabezpečený směrovač, který zpracovává nešifrovanou komunikaci. Mimořádně efektivní je především u FTP serverů.
  • Spoofing označuje útoky založené na falšování imunity. Často je spojen se sniffingem, kdy se na základě odposlechu umožní přístup k datům ještě třetí osobě.

Závěrem

Jak je vidět, množnosti provádění útoků jsou relativně pestré a v současné době dokonce již hojně používané. Zmíněné akce proti Gruzii a dalším státům dávají nahlédnout do složitosti celého procesu, nabízejí řadu dalších otázek - jaká je typologie takových útočníků, zda je možné určité druhy útoků považovat za užitečné a společensky přijatelné atp. I na tyto otázky se pokusíme nalézt odpověď v pokračování článku příští měsíc.

 

[1] JANOUŠEK, Michal. Obrana a strategie [online]. 2007 [cit. 2012-08-20]. Kyberterorismus: terorismus informační společnosti. Dostupné z WWW: <http://www.defenceandstrategy.eu/filemanager/files/file.php?file=6513>.

[2] CHVALOVSKÝ, Karel. Lupa.cz [online]. 2000 [cit. 2012-08-21]. Internet jako zdroj informací a dezinformací. Dostupné z WWW: <http://www.lupa.cz/clanky/internet-jako-zdroj-informaci-a-dezinformaci/>.

[3] ČERNÝ, Michal. Kybernetická válka je reálnou hrozbou. 2009. [cit. 2012-3-3]. Dostupný z WWW: <http://www.lupa.cz/clanky/kyberneticka-valka-je-realnou-hrozbou/>.

[4] ČERNÝ, Michal. Socialbot: nebezpečí pro uživatele i marketéry. [cit. 2012-3-3].  Dostupný z WWW: < http://www.lupa.cz/clanky/socialbot-nebezpeci-pro-uzivatele-i-marketery/>.

[5] WEINBERG, Alvin. Can Technology Replace Social Engineering? In. American Behevioral Scientist. May 1967 vol. 10 no. 9. Page 7n.

[6] SHAW, Geoff. Spyware & Adware: the Risks facing Businesses. In Network Security  Volume 2003, Issue 9, September 2003, Pages 12-14.

 

Líbil se vám článek?
Stáhnout článek v PDF

2 komentáře

Obrázek uživatele Anonym
Anonym
13. 3. 2016

Estonsko, nikoliv Litva. Prosim opravit.

Obrázek uživatele Anonym
Anonym
21. 3. 2016

Vzhledem k datu článku je správně skutečně Litva. Jakkoli útoky na Estonsko byly také. MČPS: více třeba zde - http://www.lupa.cz/clanky/treti-svetova-valka-soubojem-hackeru/

Přidat komentář

(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.

Přečtěte si také

Přihlášení Registrace
RSS Facebook Twitter YouTube
Zobrazit standardní verzi webu

Taky děláme

Feedback