Co je to cyberwarfare aneb když se válčí od počítače | Kapitola 4

Oblíbenou moderní technikou pro odhalování takových týpků, jejich filtraci a klasifikaci jsou honeypoty, rafinovaně připravené pastičky, které lákají útočníky na zdánlivě špatně chráněné systémy, ve skutečnosti jde ale o specializované systémy, které je mají přesvědčit, aby se snažili víc a nasadili nové hackerské postupy a nové nástroje. Honeypot najdeme i v českém bezpečném routeru Turris Omnia, podstatně více se o nich dočtete na výborném článku z The Registeru, kterému rozhodně věnujte pozornost.

Honeypoty jsou zajímavé v tom, že – mimo jiné – testují ochotu hackerů dotahovat útoky až do konce. Článek zmiňuje, že v roce 2015 vznikl honeypot, který simuloval metro včetně záběrů z bezpečnostních kamer a dovoloval hackerům převzít kontrolu nad vlakem a způsobit havárii. Tento honeypot se používal k tomu, aby rozdělil „zvědavce“ od „zlomyslných“, tedy identifikoval hackery, kteří testují, kam se můžou dostat od těch, kteří chtějí skutečně spáchat něco zlého.

Celý koncept honeypotů je velice zajímavý – už jenom proto, že ukazuje, že hackeři nejsou stejní, někteří jenom zkouší, k čemu se dostanou, jiní jsou zlí, snaží se páchat maximální škody – a potom tu máme profesionály, kteří jsou z čistě etického hlediska mezi oběma kategoriemi. Jejich cílem je spáchat škody, ale výhradně na jasně určených cílech. Vítejme ve světě profesionálů, světě kyberválky!

Od odhalení Stuxnetu (2010) víme, že existují specializované útočné softwary, které míří na speciální cíle. Stuxnet byl specificky vytvořen tak, aby zasáhl iránský jaderný program. Software fungoval tak, že napadal počítače přes slabinu ve Windows, pomocí rootkitu se ukýval před odhalením a pokoušel se identifikovat cíle, což byly počítače vybavené řídícím softwarem Siemens a hledal řídící programovatelná pole, která ovládala centrifugy, které za velmi specifických podmínek dostal do vyšších než specifikovaných otáček.

Stuxnet se šířil agresivně, ale v případě, že zjistil, že napadený systém nesplňuje požadovaná kritéria, nedělal nic. Navíc byl naprogramován tak, aby sám sebe zlikvidoval po roce 2012. Komplexita softwaru, využívající rovnou čtyři slabiny Windows a vytvořený v sedmi programovacích jazycích, naznačovala, že jde o software vyvinutý bohatě sponzorovanou organizací, která cílila na specifický cíl. Podezření v tomto případě padá na USA a na Izrael.

V současnosti se rozlišují dvě základní kategorie kyberoperací: Špionáž a aktivní kyberoperace, tedy v podstatě kybersabotáž. Špionážní operace je cosi zcela normálního – není to fér, ale je to „daily business“ u všech mocností. Druhá věc jsou ofenzivní kyberoperace, jako byl Stuxnet – jde o nepřátelský akt? Pokud vás nechytí – a Stuxnet se snažil, aby zdroj útoku odhalen nebyl – tak jste v pohodě, plausible deniability. To jsme nebyli my, to byla chyba firmwaru, která vznikla při nelegálním kopírování kódu pro řidící systém v přístrojích. Když s tím neumíš, tak na to, veverko, vůbec nešahej!!!

Model útoku s sebou nese silný stupeň podezření na to, kdo byl jeho autorem. „Cui bono?“, ptali se staří latiníci - „Komu to prospívá?“ I když nejste schopni dokázat, kdo je zadavatelem, můžete se důvodně domnívat, že to bude někdo, kdo z toho bude mít benefit.

Důvodná podezření beze schopnosti dokázat útočníka najdeme nalevo i napravo. Irán se důvodně domnívá, že Stuxnet je z Izraele. USA se důvodně domnívají, že u nich Čína provádí kyberšpionáž a že se Rusové pokusili ovlivnit jejich volby. Čína se důvodně domnívá, že se u nich o to samé pokoušejí Američané. A tak dále, a tak dále. Nicméně dokud neteče krev, tak je to jenom o vytahování špinavého prádla na ty druhé a o špionáži, kterou provádí protistrana, což není nijak neobvyklé.