Na pražské Brumlovce se v sousedství globálních technologických obrů ukrývá poměrně malá kancelář, v níž skupina odborníků zkoumá nejnovější kybernetické hrozby. „Hacknout domácnost nebo firmu není až tak velký rozdíl. Liší se ale výše škod,” říká šéf českého týmu výzkumníků globální antivirové společnosti Trend Micro Jiří Gogela.
Řekl byste o sobě, že jste hacker?
To asi ne. Je to do značné míry módní označení. Pokud budete za hackera považovat někoho, kdo ví, jak používat techniky využívající programátorské chyby, tak bych něco dohromady dal. Ale nejsem profesionální hacker. Členové našeho týmu prošli školením, jak tyto techniky použít, zároveň se ale zavázali, že je nepoužijí ke zlému účelu. Já už jsem navíc spíše úředník než hacker.
Jak vypadá vaše práce?
Z našich 25 zaměstnanců asi polovina dělá výzkum a je to hodně různorodé. Máme specialistu na autoprůmysl, který testuje zranitelnost komponentů v autě. Máme lidi zabývající se reverzním inženýrstvím, tedy dešifrují nové vzorky malwaru (škodlivého softwaru – pozn. red.), které se nám podaří získat. Intenzivně se také snažíme získat vzorky malwaru vztažené k internetu věcí. Kolegové provozují takzvaný honey pot – vytvoříte zařízení, které předstírá, že je některou z běžných součástí chytré domácnosti, a sledujete, jaké útoky na něj přicházejí. Takových honey potů máme stovky.
Pracujete také s informacemi o chybách softwaru. Sami je vyhledáváte?
Máme program, kde nám nezávislí odborníci nabízejí informace o chybách a zranitelnostech, které odhalili. Může se stát, že na nějakou chybu narazíme sami, neděláme to ale programově. Hlavní náplni naší práce je záplatování chyb do doby, než je opraví výrobce softwaru.
Hledání chyb je tedy nahodilé?
V zásadě existují tři způsoby, jak se o zranitelnostech dozvídáme. Buď víte, jak je software napsaný, protože jste jeho autorem. To není tak vzácný případ. Pořádáme dvakrát ročně soutěže, kde nám lidé mají předvést, do jakého softwaru se dokážou nabourat, a tuto informací nám pak prodali. A zdá se, že část z nich měla něco společného s vývojem daného softwaru, takže vědí, kde mají chyby hledat.
Pak to jsou lidé, kteří se živí na plný úvazek tím, že provádějí masivní testování formou fuzzingu. To znamená, že testovaný software krmíte obrovským množstvím náhodných data a čekáte, až se přihodí něco nečekaného. A po té stopě pak jdete dál, až najdete jádro pudla. Třetí varianta je, že jako programátor používáte software, ten vám „spadne“ pod rukama a začnete se pídit proč.
Máme také navázanou spolupráci s velkými firmami jako Apple, Microsoft a podobně. My jim sdělujeme informace, které se dozvíme od našich zdrojů a naopak.
Kolik platíte za odhalené chyby?
Jde o tisíce, někdy i statisíce dolarů.
Údaje o chybách následně sdělujete dodavatelům softwaru. Bezplatně?
V zásadě lze říci, že vykoupíme chybu a informujeme příslušného výrobce. Zároveň mu dáme čas – typicky tři měsíce – aby vydal záplatu. Do našich bezpečnostních produktů mezitím přidáme prvek, který bude bránit zneužití chyby.
Víme třeba, že pokud pošlete určitá data chybovému softwaru, tak ho můžete zneužít. V tom případě nastavíme naše síťové produkty tak, že podobná data do zranitelného počítače vůbec nepustí. Zákazníci jsou tedy chráněni předtím, než dodavatel softwaru vyvine záplatu.
Sledujete, zda vývojáři chybu odstraní?
Ano. Ověřujeme, jestli chyba trvá. Někdy se stane, že to vydavatel nestihne. Buď hrozbu ignoruje, nebo situaci podcení, případně nemá dostatečné vývojové kapacity. Když se to stane, informaci o chybě zveřejníme. Náš zákazník tedy ví, že software je stále nebezpečný, a může zvážit, jestli jej nevyřadí z provozu.
Jak firmy reagují zveřejnění jejich pochybení?
Bývá to různé. Samozřejmě jsme se setkali i s dost negativní zpětnou vazbou. Ale firmy ví, že měříme všem stejně. Stejně postupujeme i v případě chyb, které se vyskytnou v našich produktech.
Obecně se mluví o tom, že stoupá počet kybernetických hrozeb i jejich závažnost. Potvrzuje to praxe?
Jak se svět automatizuje a digitalizuje, závažnost útoků automaticky vzrůstá. Nedávno nám kolegové z Tchaj-wanu demonstrovali zařízení, které lze koupit na Ebay za sto dolarů a dokáže vytvořit jakýkoli rádiový signál. Pomocí tohoto přístroje se jim podařilo nasimulovat signál z GPS družic. Zkrátka jsme seděli v zasedačce, dívali se na telefony a ty nám tvrdily, že jsme o tisíce kilometrů jinde. Představte si, že sedíte v samořiditelném autě, a někdo, kdo pojede vedle vás, zapne podobnou rušičku GPS a řekne vašemu vozu, že jede o pět metru vedle… Kvůli tomu, že na techniku stále více spoléháme, mohou být dopady hackerských útoků poměrně dramatické.
Dá se podobným zařízením bránit?
Asi by bylo možné kombinovat více systémů určování polohy, na druhou stranu i útočník může vysílat více matoucích signálů. S nadsázkou řečeno je jediná obrana ta, že za volantem bude řidič. Mohly by pomoci třeba senzory sledující jízdní pruhy. Stejně jako člověk za volantem nespoléhá jen na zrak, ale pomáhá mu i sluch a hmat, potřebujete stejnou logiku implementovat i do technických řešení, abyste nebyli závislí na jednom informačním kanálu.
Jaké formě kybernetických útoků čelí firmy nejčastěji?
Jsou dvě hlavní oblasti. Masové útoky, kdy útočníci rozesílají spam na všechny strany a někde uspějí, protože někdo na nebezpečný odkaz klepne. Pak tu jsou cílené útoky na konkrétní organizaci, ať kvůli obchodním sporům nebo mají politické motivy. Takové útoky jsou specializované, metody se ale moc neliší.
Ve statistikách stále převládá situace, kdy vstupním kanálem pro hackera je podvržený e-mail. Jsou samozřejmě i sofistikovanější metody. V nedávném případu IT firmy DarkMatter došlo ke zneužití iPhonů bez zásahu uživatele. Škodlivý kód, který do telefonu přišel prostřednictvím SMS, využil chyb v softwaru a nainstaloval se sám.
V kauze bezpečnostní společnosti DarkMatter se mluví o tom, že zaměstnanci za zády části vedení firmy spolupracovali s rozvědkou Spojených arabských emirátů.
V této části světa pravděpodobně nejde o nic ojedinělého. Podobné zprávy se totiž objevovaly již v minulosti. V zásadě ale nejde o nic, co by se nedělo v jiných oborech. Je to podobné, jako když se z válečného veterána stane žoldnéř.
Mají IT firmy účinné prostředky, jak se proti podobným hrozbám bránit?
Něco takového se vám asi může stát kdykoli. Předcházíme tomu tím, že si lidi pečlivě vybíráme.
Máte pak hodně specifické požadavky na zaměstnance?
Je tu velký rozptyl profesí. Samozřejmě většina lidí má nějaké IT vzdělání. Jeden kolega, který analyzuje big data, je ale původním vzděláním farmaceut. V této profesi analyzoval výsledky velkého množství chemických pokusů a tuto zkušenost využívá u nás.
Může se vaším zaměstnancem stát i člověk z „druhé strany“?
Mně se to nestalo. Když dodáváte bezpečnostní řešení tradičním firmám, jako jsou třeba banky – spolupracujeme i s americkými vládními agenturami – je to o důvěře. Svěří vám dost podrobností o tom, jakým problémům čelí. Když budete mít v týmu lidi, u kterých si nemůžete být jisti, jestli jsou opravdu na „světlé“ straně, tak to pro zákazníky může znamenat překážku.
Řešili jste u klientů i útoky ze strany států nebo objednané státem?
Přiřazení útoku někomu konkrétnímu bývá docela ošidná věc. Objevují se například analýzy, že nějaký útok přišel z určitého státu, protože ve zdrojovém kódu byl nalezen komentář v příslušném jazyce. Musíme se ptát, jestli ten, kdo škodlivý kód použil, jej také napsal, nebo si na to třeba někoho najal.
Můj otec byl kriminalista. Když jsem byl malý, tak jsem se díval na detektivky, a ptal jsem se ho, jestli by někdo někam mohl přinést falešné otisky prstů, aby svalil vinu na někoho jiného. A on mi na to odpovídal: „Proč by sis dělal falešné otisky? Stačí vzít slánku, co ten člověk osahal, a necháš ji na místě činu.“ A něco podobného se může stát i v případě malwaru. S jistotou nezjistíme ani to, odkud útok přišel. Dneska si můžete zřídit virtuální server kdekoliv na světě.
Takže zprávy, že útok přišel například z Ruska nebo z Číny, jsou nesmysl?
Obecně se bráníme tomu přisuzovat některé útoky konkrétním subjektům. Má smysl se spíš dívat po „cui bono“, tedy komu to slouží. Některé indicie ale máme. Na naše soutěže odborníků, kteří se snaží najít chyby ve vybraných celosvětově používaných produktech, zveme vítězné týmy z minulých ročníků. A loni se stalo, že úspěšné týmy jedné asijské země odmítly účast, protože jejich státní regulace jim zakazuje export těchto znalostí. Kdyby na soutěž přijely, dost možná by zveřejnily informace o chybě softwaru. Takto se můžeme domnívat, že informace o chybě softwaru připadne státu. Státu, pro který je taková informace natolik důležitá, že na její vývoz uvalí embargo.
Je pro vás otázka, kdo a za jakým účelem útočí, důležitá?
Po pravdě řečeno ani ne. My řešíme technickou stránku věci. Jak zabránit útoku. Když budete mít v domě pootevřenou ventilačku, tak my se budeme snažit na okno dát petlici. Je celkem jedno, jestli se k vám někdo pokusí vloupat proto, že vám chce domů dát štěnici, nebo vás okrást.
Nedávno jste zveřejnili studii, která varuje před nedostatečným zabezpečením internetu věcí. Je to větší hrozba pro firmy, nebo domácnosti?
Oba světy se prolínají. Ať už máte ve výrobním podniku různá čidla sledující výrobní linky, nebo chytrou domácnost, kde dálkově ovládáte světla a topení, je to velmi podobné. Neřekl bych, že nabourat chytrou domácnost a třeba skladovací systém je až tak velký rozdíl. Liší se to rozsahem škod. Obecně je snad zabezpečení na industriální úrovni větší. Domů si často lidé koupí hotový produkt a zabezpečení nijak neřeší. Když prolomíte jeden takový produkt, můžete napadnout i desetitisíce domácností.
Dřív byly technologie chytrých domácností výsadou luxusních rezidenčních projektů, dnes je řada movitých klientů právě kvůli obavám o bezpečnost odmítá. Je to opodstatněné?
Záleží, jak moc jste na těchto technologiích závislí. Dejme tomu, že máte doma meteostanici, která vám přes nějaký portál ukazuje, jakou máte uvnitř a venku teplotu. Když odjíždíte na dovolenou a stáhnete topení, někdo by mohl tato data zneužít a vytipovat si, že nejste doma. Pokud si třeba údaje o teplotě propojíte s facebookovým účtem anebo s adresou, dáváte potenciálnímu zloději do ruky spoustu informací. Když tato data budou anonymní, tak tu adresu nikdo nenajde.
Vždy záleží na míře, s jakou takové technologie používáte. A také obvykle na tom, zda se vaše data nebo třeba váš přístroj někomu hodí. První viry sice lidé vytvářeli pro zábavu, ale ty dobu jsou už dávno pryč. Dnes mají i běžné spotřebiče jako třeba televize nebo router dost velký výpočetní výkon na to, aby se hackerovi vyplatilo je ovládnout a podniknout s nimi nějaký útok. Třeba můj dům je technologicky hodně jednoduchý, v práci toho už mám dost.
Jsou české firmy dobře připravené na kybernetické hrozby?
Obecně lze říci, že tomu firmy věnují stále větší pozornost a jsou dobře zabezpečené. Ďábel ale bývá skryt v takzvaných „legacy systémech“, tedy těch, které v organizaci někdo před 20 lety zprovoznil a nikdo se je neodvažuje ani na chvíli odstavit, protože se bez nich firma neobejde. To jsou ty největší pasti, protože takový systém nikdo roky neaktualizoval. Výhodou je, že o podobných slabých místech většinou vědí jen insideři. Když se podíváte na velké úniky dat z posledních let, často za nimi stojí informace od současných či bývalých zaměstnanců firmy. A i velmi jednoduché útoky dokázaly některými firmami projít jako horký nůž máslem. Vzpomeňte si na fotky z německých železnic před několika lety, kdy na všech tabulích s příjezdy a odjezdy vlaků svítily jen vzkazy hackerů.
| Jiří Gogela (49) |
Oblasti IT se věnuje více než 20 let. Vystudoval Západočeskou univerzitu v Plzni, působil ve společnostech Nokia, Maersk nebo Sony. V roce 2014 stál u zrodu bezpečnostních laboratoří Hewlett-Packard TippingPoint DVlabs, které po dvou letech získala tchajwanská kybernetická společnost Trend Micro. |
