Svět podle lepšolidí

Korzáři digitálního věku

Marian kechlibar: Bez obav, nebude řeč o české politické scéně. Řeč bude o ransomwaru, vyděračských útocích na počítačové systémy, obvykle realizovaných přes půl planety.

Švédský obchodní řetězec Coop se stal terčem digitálního vydírání poté, co útočníci napadli softwarový systém v jeho pokladnách. Jelikož Coop je poměrně velký, zavřených prodejen je po celém Švédsku asi 500. Coop drží zhruba pětinový podíl na švédském trhu supermarketů, takže výpadek jeho služeb už znamenal určitý (i když ne zásadní) problém pro běžného švédského občana, který si chce koupit něco k jídlu. O pachatelích “potravinářského” útoku, který cílil na pokladní software Kaseya a který postihl mezi 800 a 1500 firem, se dočtete jen to, že operují z východní Evropy, mají vazby na Rusko a chtějí svoji odměnu v bitcoinech.

Zavřený krám s potravinami je pro řadového voliče přece jen o dost bližší a hmatatelnější jev než vykradená databáze nějaké firmy vzdálené veřejnému oku, takže o ransomware se začalo mluvit trochu více než dřív. Principiálně ovšem na takovém útoku nic nového není, jen pro něj trochu více dozrály podmínky.

Každopádně má situace určité paralely s jinou situací, na kterou už jsme dávno zapomněli. Žádné srovnání nesedí úplně přesně, ale tyhle útoky se podobají korzárství čili privateeringu na novověkých mořích.

William Kidd, něco mezi korzárem a pirátem (podrobnosti k jeho případu najdete v knize Zapomenuté příběhy 4). Autorem malby je Jean Leon Gerome Ferris

Podobnosti s klasickým korzárstvím jsou nápadné:

  • mezi privátními hráči a státy, které využívají jejich služeb, existuje určitý odstup, který se může hodit; pokud se například “navezou” do cíle, do kterého nemají (a to i klasičtí korzáři dělali velmi rádi, zvlášť, když to nikdo neviděl), lze od nich dát ruce pryč daleko snáze než od lidí ve vlastní uniformě;
  • jedním z důvodů, proč státy zaměstnávaly korzáry, bylo to, že samy měly problém zrekrutovat kvalitní lidi. Služba v královském námořnictvu byla těžká a plná otravných povinností. Soukromníci dokázali, pokud k tomu měli důvod, nabídnout svému mužstvu podstatně zajímavější pracovní podmínky;
  • potenciální zisk pro aktivní jedince je daleko větší, než na jaký by mohli pomýšlet při běžné kariéře státního zaměstnance. V případě útoku proti Kaseye nabídli útočníci odšifrování postižených počítačů za “akční” výkupné 70 milionů dolarů, což i při rozdělení mezi celou posádku jsou velmi slušné peníze;
  • náklady na “vystrojení výpravy” nenese státní kasa, ale korzár sám, což úředníky z ministerstva financí jistě potěší;
  • menší státy, mají-li k dispozici dostatečné množství talentovaných lidí, můžou hrát “hru o trůny” na úrovni jinak vyhrazené skutečným velmocem. Taková Anglie byla proti španělskému impériu dlouho malá a slabá, ale o anglických námořnících to neplatilo, tam byly celkové schopnosti daleko vyrovnanější.

Zvlášť první dva body jsou v moderním IT korzárství dotaženy do dokonalosti. Na rozdíl od Francise Drakea nemusí současný hacker lézt do nebezpečné zóny osobně a nevystavuje se tak příliš velkému riziku, že jej nepřátelé někde chytí živého a vytlučou z něj detaily, které měly zůstat utajeny. Formální odstup mezi ním a jeho vládou se tak udržuje ještě lépe než tehdy.

A co se druhého bodu týče – jako soukromý hacker, který občas dostane určitou pobídku k činnosti seshora, máte daleko zajímavější pracovní život, než kdybyste byli státním zaměstnancem. Ten musí poslouchat všelijaké nadřízené, pracovat ve všelijakém kolektivu a držet se všelijakých zkostnatělých pracovních regulí (“ten USB disk ti jen tak nekoupíme, podej si žádost a počkej si půl roku na vyjádření”). Kdežto ve specializované firmě bude nejspíš trávit pracovní dobu ve společnosti sobě podobných lidí a nebudou se mu do cesty plést různí kariérní plukovníci a náměstci, kteří ani nerozumějí tomu, co řídí.

Ještě jedna podobnost s klasickým korzárstvím tu je, také zajímavá. (Ne)bezpečnost IT je jednou z oblastí, ve které se schopnosti dobře vybaveného soukromníka dostávají na stejnou úroveň se schopnostmi státu, a to i ve vyspělém světě. Na fyzických bojištích se jednotlivé státy už v průběhu 18. a 19. století vesměs postaraly o to, aby soukromé síly nepředstavovaly reálnou konkurenci jejich vlastním ozbrojeným složkám; tam, kde tento vývoj nenastal nebo se zvrátil, dnes vesměs panuje až primordiální chaos (Libanon, Mali, Afghánistán).

V IT to tak není, tudíž se vyplatí ty soukromníky zaměstnávat i pro úkoly na nejvyšší světové úrovni.


Klasické korzárství skončilo hlavně proto, že a) korzáři začali být poněkud svévolní až nezvladatelní, b) velmocem se začalo daleko více dařit rekrutovat a udržovat regulérní vojsko a námořnictvo, v němž panovala podstatně větší disciplína. Víceméně se tak korzářina stala časem zbytečnou. Poslední zbytky tohoto přístupu se dodnes udržely ve formě různých “bounties” (odměn za hlavu), jejichž lovením se zabývají “bounty hunters“, ale celosvětově nejde o významný jev.

V případě IT to zatím na takový vývoj nevypadá. Na neposlušné nerdy si jejich mateřská země může snadno došlápnout a koncentrace know-how v soukromém sektoru (ve srovnání s tím státním) je zatím také vysoká. Připočteme-li existenci digitálních měn jako bitcoin, které umožňují snadné převedení výkupného do neznámých rukou kdekoliv na světě, dá se čekat, že digitální korzárství v dohledné době jen tak nepomine. Naopak se možná začne napodobovat i v jiných končinách světa. Toto je skutečně hra, k jejímuž hraní nemusíte být zrovna velmocí, ba ani kdovíjak bohatým státem.

Tak to se přesně s digitálními útočníky nepodaří udělat

Co mi z toho plyne pro Českou republiku?

  • Některé aktivity a služby by se neměly digitalizovat vůbec (volby!!), jiné jen opatrně a se zachováním papírových záloh, i když tisknout digitálně podaná lejstra na papír dnes vypadá jako anachronismus. Představte si třeba kompletně zašifrovaný katastr nemovitostí s tím, že se ztratily transakce za posledního půl roku. Všichni lidé, kteří si mezitím koupili nemovitost, mají tím pádem svůj status majitelů poněkud zpochybněn, protože údaje v katastru mají z hlediska zákona velkou váhu. Z papírových materiálů se ten skutečný stav dá pomalu a nevděčně, ale přece jenom rekonstruovat; bez nich je to úplné peklo.
  • Hotovost je dobrá věc a v případě výpadku centralizovaných digitálních platebních systémů za ni budeme vděční. Umožňuje ekonomické činnosti běžet i v mimořádných situacích. Švédský Coop musel po útoku zavřít své krámy mj. proto, že Švédsko je jednou z mála zemí, kde už hotovost téměř vymřela a v menších městech už nemáte ani bankomaty, tudíž zákazníci neměli jak platit. Na svých oficiálních stránkách se Švédsko chlubí svým téměř “cashless” statusem coby důkazem inovativního ducha národa; já v tom vidím hlavně velkou bezpečnostní díru a zneužitelný problém do budoucna.
  • Budovat adekvátní obranu je potřeba, protože při propojenosti světa se nedá čekat, že by se nám tento druh útoků donekonečna vyhýbal. Jednoho dne skřípnou neznámí útočníci třeba Billu nebo Veolii a bude vcelku jedno, jestli je k tomu navedlo Rusko, Indonésie, Turecko, nebo jestli jde o čistě soukromý útok uspořádaný proto, aby páni odborníci nevyšli ze cviku a vydělali si něco bokem. Důsledky budou srovnatelné. A také nedává moc velký smysl rozlišovat mezi ochranou dat státních úřadů a soukromých firem. Útočit na ně budou ti samí lidé a těmi samými nástroji.
  • Stejně tak je potřeba mít nějaký druh doktríny pro případ, že k úspěšnému útoku přece jen dojde – a to ono dojde, protože v IT světě rozhodně nemají obránci převahu nad útočníky. Například ujasnit si, zda napadená firma smí legálně zaplatit požadované výkupné nebo nikoliv. Toto je ošemetné téma, ve kterém může stanovit závazné standardy jenom zákon. Zaplacením výkupného odměňujete organizovanou kriminální činnost a povzbuzujete další útočníky k podobným akcím. Nezaplacením zase riskujete velkou hmotnou ztrátu a možná i životy lidí (co třeba, když je cílem útoku nemocnice a dokumentace pacientů? Taky se to dělá). To jsou přesně ty nejednoznačné situace, o které se tradičně zajímá právní řád. Tedy u nás zatím nikoliv.
  • Dívám-li se na ten pojem “doktrína pro případ útoku”, měl by asi zahrnovat i závazná pravidla pro zálohování dat ze státem provozovaných digitalizovaných agend.

Digitalizace znamená zvyšování efektivity, jenže ono to platí i pro efektivitu útoků. To je ten detail, který vám “prodejci” různých systémů (a tím myslím i politiky, kteří taková řešení tlačí) obvykle nezdůrazňují. Protože pokud byste jej měli brát vážně, znamenalo by to utrácet podstatně více za pravidelné bezpečnostní audity, vyškolené administrátory apod., a najednou by celkové náklady na provoz systému vypadaly úplně jinak a podstatně méně příznivě.

Z pohledu starého softwaráře k tomu mohu dodat jedině bonmot, který jsem kdysi dávno četl v knížce Murphyho počítačové zákony.

“Kdyby architekti stavěli domy stejně jako programátoři programují systémy, dokázal by jeden jediný datel zbořit celá města.”

PÁMBUVÍ KDO, ALE MĚL PRAVDU.

Myslím, že první vydání té knihy vyšlo někdy kolem roku 1990. Moc se toho od té doby nezměnilo, že? Tedy až na to, že za tu dobu natekly do IT odvětví investice v řádu desítek bilionů dolarů a každé nové vydání Windows či Linuxového jádra se chlubí zvýšenou bezpečností.

Jenomže lidé dokáží vyrábět další slabiny ještě rychleji, než je jiní lidé stíhají spravovat.

Diskusní fórum ke článku najdete zde.



Hudební epilog:

Zdroj