Dějiny hackování od Scotta J. Shapiro s názvem Fancy Bear Goes Phishing jsou poutavým převyprávěním skutečných příběhů poukazujících na díry v našich systémech.
Profesor Scott J. Shapiro je podivuhodně činorodý autor. Učí právo a filozofii na Yaleově univerzitě. Spolu s Oonou A. Hathaway napsal vynikající historicko-právní monografii The Internationalists zaměřenou na právní pojetí legality války, ve které obhajují mnohými zapomenutý a některými vysmívaný Briandův-Kelloggův pakt, který roku 1928 zakázal válku.
K tomu také nemilosrdně shitpostuje na Twitteru, v padesáti letech se vrátil k počítačové vědě, naučil se stavět si vlastní operační systémy a studenty učí hackovat. Letos v květnu mu navíc pod názvem Fancy Bear Goes Phishing vyšla historie hackování v pěti pečlivě vybraných příbězích. Pojďme se podívat na to, jak se mu tyto neobvyklé dějiny podařilo odvyprávět.
U historických faktů to nekončí. Jsou ilustrací univerzálně platných principů i děr v našich systémech.
Pod prsty a nad prsty
Pětice příběhů, které si Shapiro vybral, chronologicky mapuje historii hackingu. Každé vyprávění přináší nový pohled na kyberbezpečnost, nové technologické problémy a vysvětluje postupy digitálních útoků. Udržet pozornost a bránit přehlcení technickými informacemi přitom pomáhají osobní příběhy jednotlivých útočníků i obětí.
K problému digitální bezpečnosti přistupuje s komplexností, která není úplně běžná. Věnuje se nejen tomu, jak jednotlivé případy interpretoval soud nebo jaké měly ekonomické důsledky.
Zabývá se i psychologií útočníků a obětí a počítačovou vědou jako takovou. V jeho knize dostanete také lekci z Daniela Kahnemana a jeho myšlení rychlého a pomalého. A kritický rozbor dobových náhledů předních expertů na kyberbezpečnost – včetně toho, v čem se mýlily a v čem se trefily.
U historických faktů to tedy u Shapira nikdy nekončí. Všechny jsou ilustrací univerzálně platných principů (ale i děr) v našich technických, právních a ekonomických systémech. Než si je představíme a na jednom z nich ukážeme, jak jeho metoda rozboru funguje – jeho uvažování o kyberbezpečnosti pracuje v základu s poměrně jednoduchou a nápomocnou dualitou.
Každý text, slova a způsoby předávání informací jsou pro autora buď downcode, nebo upcode. Downcode je to, co je „POD vašimi prsty“ při práci na klávesnici: operační systémy, protokoly, kód. Věci s relativně jasnou technickou interpretací a zpravidla i předvídatelností výsledků.
Upcode je to, co je „NAD vašimi prsty“. Právo, psychologie, ekonomické vztahy. Svět, který je výrazně širší, a přestože i on má nějakou předvídatelnost a pravidla, je v principu mnohem neurčitější. A právě pečlivé rozdělování toho, kde selhal upcode, kde byla díra v downcodu a kde selhaly oba, tvoří hlavní osu knihy a drží všechny příběhy pohromadě.
Červ dobyvatel
Shapiro začíná příběhem prvního internetového červa, tedy sebereplikujícího se programu, který se snaží šířit co nejdál. Morris worm, pojmenovaný podle svého tvůrce Roberta Tappana Morrise, přišel na svět druhého listopadu 1988 a zvládl posbírat obří množství prvenství – mimo jiné téměř shodil internet.
Získal si širokou mediální pozornost a jeho následkem byl i první velký soudní proces týkající se kyberbezpečnosti. Cílem červa bylo cestovat sítí a v každém počítači zjišťovat svoji přítomnost, aby se mohl nainstalovat naprosto do všech. Tento cíl se mu nakonec podařilo překročit až údernicky. Zaplavil sítě a některé systémy úplně přetížil.
Zajímavé je, proč k tomu došlo. Morris se obával, že administrátoři se budou bránit jeho červu hlášením „zde už červ je“. Aby to obešel, naprogramoval ho tak, aby se nainstaloval ve 14 % případů kontaktu s počítačem. To ale znamenalo mnohem rychlejší šíření, než sám čekal, a také mnohonásobné instalace stejného červa do systému, který pak zpomaloval počítače až k nepoužitelnosti. Hacker výrazně přecenil existující bezpečnostní systém.
Čtěte také: Hackeři stojící za výpadkem Microsoftu jsou nejspíše skupinou podporovanou Ruskem
Rozhodl se využít širší paletu děr, které v síťových protokolech a komunikačních nástrojích mezi tehdejším malým množstvím univerzitních a firemních počítačů existovaly, typicky snadnou možnost vzdáleného přístupu. Jenže útoky, které naplánoval, byly téměř všechny úspěšné.
Většinou jednoduše proto, že velká část počítačů měla slabá nebo žádná hesla a bylo možné se do nich vzdáleně připojit bez větších potíží. Lidské opomenutí, podle Shapira tedy typická upcode zranitelnost.
Na tomto příběhu je jasně patrné, v jak odlišných časech se odehrával. Zaprvé: červ měl v nejhorší chvíli reálný potenciál závažně poškodit celý internet. Od té doby jsme nikdy nedospěli tak blízko tomu, že by síť, které říkáme internet, byla ohrožena na životě kusem softwaru.
Zadruhé: lidí, kteří by se seriózně zabývali digitální bezpečností, bylo málo. Když Robert Morris zjistil rozsah průšvihu, nezbylo mu než zavolat příslušné odpovědné osobě v National Security Agency: Robertu Morrisovi staršímu, svému otci.
Zatřetí, kauza získala pravděpodobně i díky přetrvávající popularitě filmu WarGames z roku 1983 široké mediální pokrytí, první skutečně všeobecné.
Shapiro pak k Morrisově případu poskytuje právní výklad a dává ho do politického kontextu. Osmdesátá léta stále ještě žila ve stínu studené války a hrozící jaderné výměny. Všeobecnou nervozitu podpořily právě i WarGames, ve kterých se mladý hacker omylem dostane k ovládání amerických jaderných hlavic. Film měl zásadní vliv i na tehdejšího prezidenta Ronalda Reagana, který po jeho zhlédnutí nařídil zjistit další informace o příslušných systémech.
Je vlastně jedno, jestli hackerem spuštěná jaderná válka byla reálná. Její představa byla sugestivní a jí formovaný kulturní proud se zrcadlil i v právním prostředí. Tento přístup a právní rámec ovšem vůbec neseděl na relativně čerstvou univerzitní počítačovou kulturu.
Ta byla výrazně více založená na důvěře a velmi omezeném okruhu uživatelů, u kterých se předpokládala dostatečná míra dovednosti a odpovědnosti.
Kauza prvního červa tedy měla výraznou dohru a skončila prvním velkým soudním procesem na základě Computer Fraud and Abuse Actu z roku 1986. Robert Morris odešel s pokutou, 400 hodinami veřejně prospěšných prací a tříletou podmínkou. Ve svém dalším životě se se zákonem nijak nezapletl a dále se věnoval IT a bezpečnosti, v roce 2006 se pak stal profesorem na MIT.
Bulharsko vystupuje v knize jako země, která měla počítače, vzdělané muže, ale neměla pro ně práci.
Celá eskapáda však nastartovala novou éru v přemýšlení o kyberbezpečnosti – od silnějších hesel až po často neúspěšnou snahu rozbíjet systémové monokultury, a nové instituce dedikované čistě otázkám rychlé reakce na problémy sítí.
Morrisův příběh je tak úvodem do toho, jaké lapálie vůbec lze s počítači nadělat a jak přemýšlet o tom, jakou roli při tom hrají lidé a jakou stroje.
Paris Hilton, fešný méďa a bulharská továrna
Na příkladu takzvané bulharské virové fabriky Shapiro dál nastiňuje různorodost motivací útočníků, ale i pozadí hackingu ve východní Evropě a otázky statusu a vzájemných vztahů útočníků a obránců.
Bulharsko vystupuje v knize jako země, která měla počítače, vzdělané muže, ale neměla pro ně práci. Vesměs pro vlastní zábavu a přivýdělek tak začali vyrábět viry, které zneužívaly mezer v existujících operačních systémech. Mezi nimi vystupuje téměř jako legenda hacker Dark Avenger (Temný mstitel), jehož identita nebyla dodnes najisto potvrzena.
Otevřeněji komunikoval pouze s americkou sociální pracovnicí, kterou zajímalo, proč to vlastně dělá. Začala pak mapovat psychologii hackerů a, možná trochu překvapivě, zjistila, že většinu z nich tehdy nemotivovaly peníze, nýbrž status, zvědavost nebo jen nuda. Velká většina z toho později prostě vyrostla.
Příběh krádeže dat z mobilu Paris Hilton Shapirovi slouží jako ilustrace nových způsobů útoků a asymetrie mezi záměry útočníka – jen něco dokázat – a reálnými dopady na oběť.
Hacker Cameron Lacroix, v té době ještě náctiletý, v tomto případě získal přístup do celé sítě Vodafone a tím i k datům dědičky hotelového impéria. Zásadní roli v tom hrály takzvané mumlací útoky: útočník volá na infolinku s žádostí o reset hesla na nový e-mail. Klíčové údaje přitom tak nějak neurčitě mumlá tak dlouho, dokud mu daný pracovník technické podpory heslo skutečně nevyresetuje.
Kód na laptopu / Zdroj: Shutterstock
Sám Lacroix se později Hilton omluvil, hackingu ovšem nenechal a strávil velkou část života v nápravných zařízeních a vězeních.
Shapiro se pak mezi řádky zaobírá i širšími strukturálními problémy informačních technologií. To, jak ekonomická incentiva vítězí nad bezpečností, ukazuje na příkladu Microsoftu.
Ten potřebuje obsadit co největší část IT trhu. A protože americký právní řád nepřikazuje odpovědnost za chyby v softwaru, mohl se soustředit na přidávání co největšího množství nových zákaznických funkcí na úkor bezpečnosti. Až do začátku tisíciletí ji prakticky neřešil. Selhání v upcode tak vedlo k selhání v downcode.
Když už máte pocit, že mumlačům a špatnému nastavení firemních procesů i korporátní chamtivosti rozumíte, přichází Shapiro s opět novým vektorem útoku: psychologickými tricky hackerů. Ruská hackerská skupina Fancy Bear, neboli Fešný méďa z titulu knihy, zvládla ukrást e-maily kampaně Hillary Clinton ne čistě díky své downcode zdatnosti, ale protože dokázala perfektně využít kognitivních problémů lidského mozku.
Strategie využívající nejrůznější metody od zdánlivé urgence přes důvěryhodnost barevných schémat až po načasování odesílání e-mailů přesně tak, aby na ně klikali ideálně zmatení, rozespalí lidé, slavila úspěch: z úniku komunikace se v době prezidentských voleb stalo prakticky národní téma.
Kniha se dál zabývá množstvím dalších problémů, výzev a poučení. Za všechny lze zmínit například známé Minecraftové války, které svého času zvládly přetížit internet tak moc, že i někteří experti spekulovali, zda za nimi nestojí útoky světových velmocí, nebo rozsáhlý americký sledovací systém porušující právo i bezpečnost, na který jako první upozornil Edward Snowden.
Tím se Shapiro dostává až do oblasti interakcí státu s občany a států mezi sebou. V mezinárodním měřítku nabízí jednoduchou rovnici: státy na sebe vždy používaly tajné služby a vždy je používat budou. Jako výzvu pro budoucnost vidí nutnost definovat, jaká špionáž je ještě přijatelná a co už je zásah za hranou.
Ruský zásah do amerických voleb, tedy procesu vnímaného jako nejvýraznější vnitřní, „posvátná“ záležitost státu, je za hranou těžce. Co je sporné, je účinnost takových zásahů, nezpochybnitelně však narušují základní dohody mezi státy. Jako řešení Shapiro nabízí i vznik „klubů států“, které si navzájem domluví, jaké typy kybernetických útoků jsou pro ně vzájemně přijatelné, a tím silněji budou reagovat na překročení těchto hranic.
Demokratizace a otevřenost
V závěru pak autor přináší jak shrnutí, tak doporučení. Z nich má smysl vyzvednout tři body.
Zaprvé, média hrají v pokrytí kyberbezpečnosti a s ní spojených incidentů často negativní roli. A ani politici rychlými soudy moc nepomáhají. Mazání rozdílů mezi útoky, které podle adresy přišly z jiného státu, a útoky státem kontrolovaných skupin pak může snadno vést k disproporčním reakcím – ať už zlepšováním bezpečnosti, nebo dokonce diplomatickou eskalací.
Zadruhé, velká část nebezpečí plyne ze strany států a megakorporací. Obojí navíc často zneužívají digitální technologie i v rozporu s vlastními pravidly. A to nejen Čína, ale i USA, a jak se ukázalo při posledním skandálu užívání sledovacího systému Pegasus, tak i evropské země.
Selhávají ve vymáhání stávajících pravidel a samy nastavují podmínky tak, aby nemusely nést odpovědnost. Těžko lze čekat zázraky v oblasti digitální bezpečnosti, pokud nebude postihované úmyslné zanedbání péče v tomto směru – tou pravou hrozbou není nutně člověk sedící v mikině v temném sklepě.
Zatřetí: hacking se demokratizoval. Kyberútoky už nejsou nutně vymezenou doménou mudrců. Nejprimitivnějším stačí jen záměr uškodit a ochota investovat trochu času, případně pustit něco z kreditky. Stejně tak se dle Shapira dlouhodobě osvědčuje spíše otevřený přístup než uzavřené systémy. Otevřený je koneckonců i v tom, co učí a z čeho vychází – sami můžete zkusit projít jeho kurz Lawfare na příslušném repozitáři, je volně dostupný.
Kniha Fešný méďa se může leckomu zdát příliš zaměřena na právní stránku, pro někoho může být zase příliš technická. Přináší ale řadu nových úhlů pohledu skrze kombinaci několika vědních disciplín a zachycuje širší kontext kyberbezpečnosti jako nové dimenze ekonomiky, práva a politiky. Pokud vás tedy zajímá komplexní pohled na kyberbezpečnost jako fenomén v reálném světě i se všemi jeho složitostmi, je rozhodně čtením pro vás.
