S tím, jak stále více pokračuje technologický pokrok, zlepšují se i schopnosti hackerů a kyberútočníků. Ti nacházejí čím dál sofistikovanější metody, jak krást data nebo peníze. Podle analýzy společnosti Cisco se více než 40 procent firem stalo terčem DDoS útoků, další potíže může přinést také rozvoj internetu věcí. Stále více tak organizace spoléhají na ochranu, kterou jim poskytuje umělá inteligence, jež narozdíl od člověka dokáže spravovat miliony zařízení naráz. Důvodem je ale také to, že v oboru kyberbezpečnosti není dostatek kvalifikovaných lidí, říkají Petr Černohorský a Martin Rehák z výzkumného a vývojového oddělení společnosti Cisco, které sídlí v Praze.
V analýze Cisca je zmíněno, že podvody jako spam se znovu vrací na scénu. Nejedná se o starý trik?
PČ – V poslední době se jednalo například o podvody, které cílily na majitele kryptoměn a kryptopeněženek. Plno lidí totiž bylo schopno kliknout na odkaz, na kterém pak odevzdali své údaje k peněženkám a přišli o své osobní údaje. Spam se vrací ve vlnách. Bylo období, kdy jsme si mysleli, že to je starý trik a už se nevrátí, nicméně v posledních měsících je opět na vzestupu hlavě v souvislosti s cryptofraudem.
Spam mi přijde jako specifický druh komunikace, jak je možné, že je stále úspěšný?
MR – Spam jde filtrovat a my ho filtrujeme. V minulosti se zdálo, že je tento problém vyřešen a všichni jsou dostatečně ochráněni. Nyní se ukazuje, že útočníci se zlepšují podobně rychle, jako my zlepšujeme ochranu. Emaily jsou stále přesvědčivější a lépe zacílené. Už to není tak, že byste poslali milionu lidí reklamu na viagru, ale cílíte konkrétně například na lidi, kteří používají kryptopeněženku. Stejně, jako firmy se snaží cílit reklamu, tak mohou hackeři cílit útoky.
Odkud získávají hackeři potřebné informace?
PČ – Útoky mohou být cílené přímo s reklamními kampaněmi, které sledují vaše vyhledávání. Na uživatele pak vyskakují odkazy, které se tvářily jako legitimní kryptopeněženky, ale nebyly.
MR – Snaha poznat uživatele je stejná u útočníků i u marketingových firem. Je však otázkou, kde je hrana legitimního chování a ta debata se stále více zostřuje. Techniky, které byly před rokem na marketingové úrovni tolerovány, nyní velké prohlížeče mnohem více postihují a snaží se tak více chránit identitu svých uživatelů. To má dva efekty – vidíme více reklamy s horším zacílením, a hůře odlišíme, co je reklama a co je útok. Skript tvářící se jako reklama na stránce může získat otisk informací o vás a ty pak spárovat s emailovou databází, čímž dojde k přesnému zacílení. Jinými slovy, marketing firem se vždy snažil o poznání a oslovení svých zákazníků a útočníci se od nich inspirovali a snaží se o totéž u svých obětí.
Jaké další problémy jste v souvislosti s kryptoměnami museli řešit?
MR - Samozřejmě jedním druhem útoků byly ty, které kradly identitu a přímo z peněženek pak kryptoměnu. Mnohem častěji ale docházelo k útokům, jež využívaly výpočetní kapacitu počítačů. Nepoškodí vás tedy přímo, ale ve výsledku na tom útočník vydělá mnohem více peněz. Z pohledu útočníka je to extrémně výhodné, protože na policii těžko vyčíslíte škodu, kterou útočník spotřeboval na elektřině. Když to ale uděláte úspěšně, a máte miliony cílů, bude to znamenat globální zisk pro útočníka. Jsou to dva paralelní světy, je však dobré nepodcenit ani jeden.
Z analýzy také vyplývá, že hackeři čím dál častěji využívají k útokům šifrovanou komunikaci. Není to paradox, když je většina uživatelů používá právě kvůli vyšší bezpečnosti dat?
PČ – je to částečný paradox, šifrování je ze své podstaty dobrá věc pro zachování skryté komunikace. Bohužel druhou stranou mince je, že ji útočníci mohou využít taktéž, například pro doručení malwaru. Reakcí pro nás je, že musíme mít zacílenou obranu i na tuto vrstvu, která byla opomíjena. Nemůžeme se totiž dívat do obsahu komunikace.
MR – Vždy je to otázkou priorit. Když šifrujete komunikaci, je to dobře z hlediska ochrany proti krádežím dat. Zároveň se ale částečně zbavujete možnosti detekovat napadení, než když nešifrujete. Pomocí řešení ETA (Encrypted Traffic Analytics) se snažíme tyto hrany otupit a najít v síti útočníky i v rámci šifrované komunikace, kdy do obsahu nevidíme. Stále totiž vidíme, že probíhá datový tok. Z toho můžeme rozpoznat video, telefonní hovor, že je na webu nebo že používá TOR, což nám umožňuje odhalit charakter toho chování.
V reportu byly zmíněny služby jako Google Disk a Dropbox, což by dle mého měly být služby zajišťující největší bezpečí.
MR - Ty služby jsou především zneužitelné. Jsou však kvalitní a používá je hodně lidí. Nejpokročilejší malware se chová tak, aby co nejvíce splynul s davem. To, že někdo používá Gmail, je dnes běžná věc, nic tedy nebrání tomu, aby útočník použil tyto služby k přenosu souborů nebo malwaru. Zajímavé je, že to z pohledu služby není legitimní – daný e-mail se může tvářit jako normální text, do kterého je zakódován šifrovací klíč. Z pohledu Googlu je velmi těžké, že se jejich služba nedá využít, především ve chvíli, když má jeho služba miliardy uživatelů. Kriminální organizace se čím dál tím víc chovají jako legitimní a usnadnit si život dostupnými službami.
PČ – Úroveň ochrany cloudových služeb je na vysoké úrovni, problémem je však zneužití bezpečnostních údajů jednotlivých uživatelů. To, čím se zabýváme, je analýza chování jednotlivých uživatelů – tedy zda je za danou operací legitimní uživatel, nebo se jedná o napadení.
V současnosti je jednou z nejčastěji skloňovaných technik na poli kyberbezpečnosti využívání umělé inteligence. V čem je to výhodné?
PČ - Umělá inteligence je v současnosti jediná možnost jak čelit neustále narůstajícímu počtu hrozeb a zároveň žalostnému nedostatku bezpečnostních expertů.
MR – Na starosti máme přes sedm milionů zařízení po celém světě, jedná se však o ta, která bývají nejčastěji napadána. Zkoumáme tak dění v sítích vlád, firem a úřadů, které jsou nejčastějšími terči útoků. Díky tomu získáváme nejhodnotnější data. Inženýři jsou tak každý den v souboji s největšími mozky ze strany útočníků a snažíme se být o krok napřed. Když vezmeme v potaz nové útoky pomocí Gmailu, tak na této variantě hrozeb pracujeme již dva roky. Cílem je tak postavit síť, která chrání, ale bere si jen minimální množství dat, takže nevytváří Velkého bratra.
Jak se podobá systém vaší práce tomu, který používají hackeři?
MR - Ten systém je diametrálně odlišný Naše práce je opačná, oni často vytvářejí místo umělé inteligence optimalizační algoritmy, které přicházejí například ze strany marketingových sdělení. Z jejich pohledu je tak hlavní disciplínou získávání identit a sledování lidí. U těch ostatních věcí se jedná především o manuální práci hackerů. V horizontu deseti let se dostaneme do doby, kdy budou proti sobě soupeřit dva algoritmy, ještě tam ale nejsme.
PČ – Hackeři se snaží hlavně generovat miliony nových útoků denně. Na základě pozorování obrovského množství dat se naopak my snažíme extrapolovat, co jsou ještě neviděné typy útoků v tom nekonečném běhu.
Je pak možné vyvinutou umělou inteligenci využít i jinak?
MR – je možné ji použít trochu jinak. Systém, který tu vyvíjíme, je specificky zaměřený na chování lidí v síti a neměl by zkoumat nic jiné, jednoduše proto, že by neměl mít víc informací ani práv, než nutně potřebuje. Když máme informaci navíc, tak ji úmyslně zlikvidujeme, což od nás požaduje nařízení GDPR. Dokážeme ale zjistit, kolik lidí je v síti nebo jaká zařízení používají. Umíme říct, kdy lidé chodí do práce, jaký bude jejich účet za elektřinu nebo kolik firma utratí za cloudové služby. Ale neumíme zpracovávat fotografie, protože to je od naší práce příliš odlišné. V podstatě všechny AI systémy jsou dnes velmi specificky zaměřené.
Jedná se především o hledisko efektivity, nebo i nějakých morálních zásad?
MR - Ti, kdo nyní staví univerzální AI, se dnes spíš pohybují na úrovni marketingu a PR. Třeba Google ale dokázal vyhrát hru go. Postup od vítězství v šachu a vítězství v go je postup od skvěle definovaného problému k dobře definovanému problému. Ale kdybyste se zkusili posunout k tomu, jak vyhrát skutečnou bitvu, ve které musíte počítat s veškerou nejistotou, umělá inteligence by pravděpodobně neuspěla. Je to ještě několik úrovní nejistoty nad tím. Úlohy, kde je AI úspěšná, jsou ty, kde které jsou dobře definovány. Diagnostika rakoviny pomocí rentgenových snímků je u AI spolehlivá, ale diagnostika zraněného pacienta na ulici je pro AI těžko definovaný problém. Je to postupný proces.
Stále více se mluví také o problematice nedostatku IT odborníků v odvětví. Jaké je vůbec řešení tohoto problému?
MR – Otázka se dá zodpovědět na dvou úrovních. Tou první je, že vzdělání je z pohledu investic zanedbáno. Je tu velká debata, zda se mají posílat děti na učiliště nebo gymnázia, která je podle mě bezpředmětná. Je jedno, kde děti budou studovat, spíše jde o to, co se naučí. S tím nemůže být člověk dnes spokojený. Sám učím na vysoké škole a vidím, jak se rozevírají nůžky mezi studenty. Ti nejchytřejší jsou stále stejně schopní, ale ta běžná úroveň běžného studenta klesá. Což není důsledkem toho, že by děti byly hloupější, ale že jim škola dává horší přípravu do života. Druhou úrovní je nedostatek lidí.
U nás v centru máme 50 inženýrů, kteří s desítkami dalších zabezpečují sedm milionů počítačů po celém světě. To je něco, co v Česku firmám v oblasti bezpečnosti IT jde, jednoduše proto, že si myslím, že na to máme talent. Je proto potřeba jich vychovat více. Když poptávku nedoplníme, jiné země to udělají za nás. Je na čem pracovat, ale primární problém je něco tak triviálního, jako výchova a výuka matematiky na základní škole.
