Falešná data, chyby, krádeže a další nepravosti
Kapitáne, kam s tou lodí?
Studenti University of Texas v Austinu dokázali „unést“ jachtu za 80 miliónů dolarů, a to „pouhým“ podvržením signálu GPS! V rámci výzkumného programu k tomu měli souhlas majitele jachty, která se nacházela ve Středozemním moři. Výzkumné zařízení vysílalo silné signály, které „přehlušily“ regulérní navigační věty: automatický řídicí systém jachty pak změnil směr a nikdo z posádky si toho nevšiml. Při pokusu odklonili jachtu od požadovaného směru o plných devadesát stupňů! - V některých zemích je přitom prodej programovatelných vysílačů GPS signálu legální. Používají jej třeba zaměstnanci, kteří nechtějí, aby jimi používané vozidlo měl možnost zaměstnavatel sledovat. Jižní Korea pak hlásí, že jen v roce 2012 hlásilo 1016 letadel a 254 lodí incident s podvrženým signálem GPS od severního souseda. A to jsou jen hlášené (tedy odhalené) případy. Evidentně nás v blízké budoucnosti čeká velký průšvih. Pokud si ho vůbec všimneme…
Kradu, kradeš, krademe – Bitcoiny
Bitcoin je název internetové virtuální měny, o které v poslední době slýcháme čím dál častěji. Buď v souvislosti s raketovým růstem její hodnoty, nebo v souvislosti s internetovou kriminalitou, kdy slouží (nejen) k platbám za nelegální zboží či služby (drogy, hacking…) či je cílem útoků (viz nedávná zpráva o odcizení Bitcoinů v hodně téměř dvou miliard korun z internetového tržiště Sheep Market).
Nebudeme se věnovat technickým aspektům Bitcoinu, které výrazně překračují možnosti tohoto textu. Pro základní představu se spokojme s tím, že jde o měnu založenou na kryptografii (šifrování), kterou není možné zfalšovat, která je zcela anonymní a zároveň je ověřována ostatními účastníky systému. Pro podrobnější lze zavítat například na: http://en.wikipedia.org/wiki/Bitcoin
Pro ilustraci možností této měny začněme raketovým tempem růstu její hodnoty: v únoru 2010 s ní byla provedena historicky první transakce, kdy bylo za dvě pizzy zaplaceno 10 tisíc Bitcoinů. Jinými slovy: hodnota jednoho Bitcoinu byla nějaké dva haléře. A dnes? Počátkem prosince 2013 ovšem jeden Bitcoin stál přes 1000 dolarů! Když se vrátíme o tři roky zpět, tak (teoreticky) jedna pizza tehdy stála pět miliónů dolarů. Tedy zhruba sto miliónů korun…
Pokud jde o měnu s vysokou hodnotou, navíc anonymní, neprovázanou s nějakou centrální autoritou, nepadělatelnou a snadno převoditelnou, poutá pochopitelně pozornost kyberzločinců. Ti tak využívají třeba botnetů (síť počítačů, které kromě právoplatného majitele slouží i útočníkům) k těžbě dalších Bitcoinů: ty jsou do oběhu uvolňovány postupně na základě přesně definovaných matematických postupů. Přitom platí, že čím více počítačů má jeden provozovatel k dispozici, tím je větší pravděpodobnost, že dokáže Bitcoiny vytěžit. Aneb sto tisíc počítačů je přece jen větší výpočetní kapacita, než osamocený domácí stroj.
A tak byl například botnet ZeroAccess v prvním čtvrtletí 2013 dvacetkrát (!) aktualizován s cílem provádět početní úkony, a tedy realizovat „těžbu“ Bitcoinů. Stejně tak se v dubnu začal šířit trojský kůň, který uživatelům komunikačního programu Skype zobrazuje odkaz se zprávou „this is my favorite picture of you“: po kliknutí na něj ovšem dochází k instalaci aplikace, která počítač zapojuje do sítě těžící Bitcoiny. Opakovaně také došlo ke zpronevěře Bitcoinů uložených ve veřejných úložištích (pro úplnost: je možné je skladovat i doma nebo na jakémkoliv jiném médiu – mobilním telefonu, USB disku apod.). Ostatně v úvodu zmíněná viz causa Sheep Market.
Bitcoiny zkrátka aktuálně táhnou.
Resetujte heslo, vysajte kredit
Zatímco historicky oblíbený cíl kyberútoků - internetové bankovnictví - už dávno přešlo na dvou faktorovou autorizaci (heslo plus hardwarový předmět, který má podobu mobilu nebo třeba generátoru hesel), taková internetová telefonie zůstává polem neoraným. Přitom přístup ke kreditu chrání často jen přihlašovací jméno a heslo. Tedy kombinace, nad kterou se dnes každý rozumný člověk už jen shovívavě pousměje. Jistě, ono to asi jinak nejde - ale uvědomme si, že takto slabým způsobem chráníme přístup k finančnímu kreditu a svým způsobem i k naší důvěryhodnosti. Že jde o zásadní bezpečnostní výzvu, potvrdila nyní společnost Skype, která byla nucena znemožnit funkcionalitu „reset hesla“. Ukázalo se totiž, že tato mohla být zneužita k únosu účtu za podmínky, kdy měl útočník k dispozici odpovídající e-mailovou adresu majitele. A to díky chybě, která umožňovala založit nový účet s e-mailovou adresou stávajícího uživatele - a jeho prostřednictvím provést reset hesla k existujícímu účtu.
Když děti vesele nakupují bez vědomí rodičů
Firma Apple vrátí 32,5 mil. USD rodičům, jejichž děti provedli „omylem“ nákupy na internetu. Aneb rodiče dali do rukou svých ratolestí mobilní zařízení – a díky uloženým identifikačním údajům pak děti mohly vesele nakupovat na vrub svých rodičů. Jenže firma Apple uživatele neinformovala, že se v některých případech otevírá zcela automaticky okno, kterým lze uskutečňovat přímé transakce. Proto se omluvila a peníze stěžovatelům (kterých jsou desítky tisíc) vrátí. Není to poprvé, co k něčemu podobnému došlo: tříletý Jack Neal z Lindolnshire ve Velké Británii náhodně ťukal do klávesnice plus učil se zacházet s myší. Dostal se na stránky aukce eBay, kde následně provedl úspěšný nákup. A nejen nákup, ale i platbu: účet svých rodičů zatížil částkou zhruba 380 tisíc korun. Následně vysvětloval: „Koupil jsem auto.“ Majitel vozu měl naštěstí pro tento bezpečnostní incident pochopení, peníze vrátil a vozidlo nabídnul do aukce znovu.
NSA využívala kriminální síť
Edward Snowden, americký štvanec, který nám umožnil nahlédnout do tušeného i netušeného zákulisí tajných služeb, zveřejnil další porci informací. Hovoří o tom, že americká NSA (National Security Agency) neváhala využít pro svoji „práci“ i botnety, ovšem vytvořené někým jiným. Botnety jsou sítě počítačů, k nimž získali přístup útočníci a které mají možnost ovládat: používají je k rozesílání spamu, koordinovaným útokům, lámání hesel apod. NSA prý dokázala do některých botnetů proniknout a převzít nad nimi nebo jejich částí kontrolu. Od srpna 2007 tak získala přístup k 140 tisícům počítačů, do nichž následně vložila vlastní řídicí software. Botnety vytvořené ke kriminálním aktivitám pak „ve službách státu“ používala k testování nebo přímo k útokům na další systémy. Technika přebírání řízení botnetů dostala název QUANTUMBOT a podle dostupných informací byla „vysoce úspěšná“.
Nové a nebezpečné
Organizace Tripwire se rozhodla podívat „na zoubek“ 25 nejprodávanějším bezdrátovým směrovačům na internetovém obchodě Amazon. Výsledek byl velmi tristní: osmdesát procent z nich obsahuje v základním nastavení nějakou chybu nebo potenciální zranitelnost. Ve třetině případů jde dokonce o chybu, jejíž zneužití je veřejně popsáno na internet: případný útočník tak nemusí být nějaký mistr světa v hackingu, ale stačí mu umět si vyhledat příslušný návod na webu. Přitom útoky na směrovače jsou velmi zrádné, protože i technicky zdatní uživatelé mohou mít problém s jejich odhalením: provoz je typicky neviditelný a možnosti uživatelů monitorovat jej na směrovači, jsou zpravidla silně omezené.
Neexistující systém ECHELON mění svět
Spojené státy existenci systému, který je označovaný jako ECHELON, nikdy oficiálně potvrdily. Tento název se začal objevovat v médiích v souvislosti s globálním systémem získávání a vyhodnocování informací, přičemž právě pro tuto aktivitu se stal synonymem. Je totiž pravděpodobné, že ani Američané původní systém jako ECHELON nenazývali: podle velmi kusých informací se takto jmenovala jen jeho hardwarová komponenta (a to ještě jen v určité době).
Zkusme se trochu povznést nad věc, akceptovat ECHELON skutečně jako synonymum a trochu se podívat do jeho (zamlžené) historie. Obecně se dá říci, že jde o automatizovaný globální systém, jehož kořeny sahají do roku 1947. Tehdy podepsaly
Spojené státy, Velká Británie, Kanada, Austrálie a Nový Zéland dohodu o národní bezpečnosti známou též jako „dohoda Spojené království - Spojené státy" (UKUSA). Jejím cílem bylo vytvoření vztahu směřujícího k realizaci cílů zajištění bezpečnosti jednotlivých účastníků. Dohoda byla bezprostřední reakcí na druhou světovou válku, která přinesla nejedno varování. Dohoda UKUSA žila, ale fungovala víceméně ve starých kolejích. K dramatické změně došlo v roce 1964, kdy jedenáct zemí založilo komerční organizaci pro družicovou komunikaci Intelsat. Bylo jasné, že svět se mění stejně jako způsoby komunikace - a samozřejmě i získávání dat.
V ten okamžik se ECHELON zásadně proměnil. Protože je ale namířený především proti Sovětskému svazu a východnímu bloku, funguje dlouhé roky bez většího zájmu odborné i laické veřejnosti. Díky tomu americké tajné služby v čele s NSA (National Security Agency) nabývají pocitu beztrestnosti a všemocnosti: když se tak v roce 1988 provaluje v souvislosti s ECHELONem první skandál, týká se odposlechů členů Kongresu USA! Následně se ocitáme v obvyklém bludišti zpravodajských her: NSA existenci ECHELONu popírá, ale slibuje, že se to nebude opakovat. Jsou přijata opatření, která tomu mají zabránit (jak skončily sliby a opatření, všichni víme – viz kauza Snowden).
Studená válka o několik let později končí, ale ECHELON přežívá. Absurdní je, že v době studené války měl systém dvě pozemní stanice, dnes je jich známo deset základen – a další zhruba tucet je pravděpodobných. Sám Snowden zveřejnil seznam devíti z nich spravovaných přímo americkou stranou plus sedmi spadajícími do kompetence spojeneckých zemí.
Systém každopádně mění své cíle: kromě orientace na nové nepřátele se zabývá sledováním hospodářských zájmů.
Nebezpečná bezpečnost – už od výrobce
Pořídíme-li si bezpečnostní aplikaci, automaticky předpokládáme, že bude fungovat přesně tak, jak deklaruje výrobce. Paradoxní přitom je, že u jiného software si možnost selhání jaksi připouštíme. Tato slepá důvěra k dodavatelům – bohužel nutná, protože komu jinému už bychom měli věřit – se ovšem už mnohokrát vymstila.
Prakticky každý výrobce bezpečnostních řešení má v šuplíku příběhy, se kterými se příliš nechlubí. Tedy takové, na které by nejraději zapomněl – nebo které vykládá s odkazem „to se stalo někomu úplně jinému“. Zkrátka a dobře: nikdo není svatý a imunní, ale bezpečnostní průšvihy producentů bezpečnostních aplikací jsou jaksi více na očích.
Třeba Symantec, jehož řešení Norton Antivirus v roce 2006 nepotěšilo anglikánskou církev: začalo totiž detekovat jako škodlivý kód knihovnu vlitils.dll – a hned nabízelo uživateli možnost ji smazat. Jenže knihovna byla součástí regulérního programu Visual Liturgy, který používalo zhruba půl miliónu věřících. Pokud uvěřili i radě od aplikace, zbyly jim jen oči pro pláč: ta se bez klíčové knihovna stala nepoužitelnou.
Podobný lapsus se v roce 2010 povedl i společnosti McAfee, která zasáhla ještě citlivější místo světa IT: její bezpečnostní aplikace detekovala legitimní soubor ze systému Windows XP SP3 jako virus – a následně jej smazala. Systém se tím stal nepoužitelným. V americkém státě Iowa bylo důsledkem chyby v programu dokonce odstavení střediska tísňové linky 911.
Svého času se vyznamenal i Google, který spolupracuje s organizací StopBadware.org na klasifikaci webových stránek: uživatelé jsou tak o jejich (ne)bezpečnosti orientačně varování ještě před vlastním vstupem. Stačila ale drobná chybička a poslední lednový den roku 2009 začal označovat Google celý internet jako nebezpečný. Varoval dokonce i před sebou samotným: událost byla označena jako „největší falešný poplach v historii“. Problém sice trval „jen“ 45 minut, ale i tak byly zasaženy desítky miliónů návštěvníků.
Mnohem menší - ale o to pikantnější - záběr měl problém na konferenci AusCERT v Austrálii, kde společnost IBM rozdávala účastníkům USB flash disky s informačními materiály. Co čert nechtěl, tyto „flešky“ se ukázaly zavirované, a to hned dvojicí škodlivých kódů (W32/LibHack-A a W32/Agent-FWF). Ironické přitom bylo, že obsahovaly materiály o bezpečnostních projektech IBM – a že konference AusCERT je zaměřená právě na informační bezpečnost.
Virtuální světy, reálné problémy
Fyzický i virtuální svět jsou sice na první pohled velmi oddělené, přesto se často ovlivňují více, než by nám bylo milé. A tak se čím dál častěji přelévají problémy z virtuálního do reálného světa.
Policie ve Finsku provedla v pěti městech razii, při které zabavovala počítače a shromažďovala důkazy, aby usvědčila zločince – z krádeže virtuálního nábytku v on-line světě Habbo Hotel. Jedná se o hru, kdy si hráči nakupují nebo vyměňují kredity a s nimi vybavují virtuálního hotelové pokoje. Kredity se samozřejmě nakupují za reálné peníze.
Policie se rozhodla konat poté, co několik hráčů podalo oznámení, že jim byl odcizený virtuální nábytek za více než tisíc euro. Útočníci nepoužili kdovíjak sofistikované metody, nýbrž nasadili klasické phishingové stránky nebo spyware: s jejich pomocí pak podvodem získali uživatelská jména a přístupová hesla, čímž mohli s virtuálními artefakty libovolně nakládat.
Nebylo to mimochodem poprvé, co se v Habbo Hotelu „kradlo“. Už dříve podobný případ řešila policie v Nizozemsku, kde si podobnou činností přivydělával sedmnáctiletý mladík. Krádeží virtuálního nábytku a jeho následným předprodejem si přišel na nějakých 6000 dolarů.
Cílem útoků reálných zločinců ve virtuálním světě ovšem není pouze nábytek. Kvalitní postavy z úspěšných on-line her se stejně jako rozličné magické předměty či vlastnosti z těchto her běžně prodávají na specializovaných internetových burzách. A to ne za malý peníz: opravdu zajímavá postava s dobrými vlastnostmi stojí běžně stovky, občas i tisíce dolarů…
Čínské soudy tak musely řešit žalobu jednoho hráče on-line hry na hráče druhého s tím, že poškozený byl údajně ve hře podvodem spoluhráče (nikoliv protihráče!) zabit s cílem zmocnit se meče s mimořádnými magickými schopnostmi…
Velmi kuriózní je případ virtuální vraždy, který ovšem může skončit reálným vězením! Japonská policie zadržela ženu (43) a obvinila ji z vraždy svého virtuálního partnera (33), s nímž byla sezdána ve virtuálním světě MapleStory. Ženu rozzuřilo, že jí virtuální partner nečekaně oznámil záměr nechat se virtuálně rozvést. Rozhodla se proto postavu svého manžela zabít, což se jí také podařilo. Protože k tomu ale použila neoprávněnou manipulaci s elektronickými daty (agentury neupřesňují, jakou měla podobu), hrozí jí nyní pokuta až 5000 dolarů nebo až pět let žaláře nepodmíněně. A to navzdory tomu, že žena evidentně neměla žádný úmysl pomstít se svému virtuálnímu manželovi v reálném světě.
Doživotí pro pachatele závažných kyberútoků
„Když je komunikační centrum napadeno střelou, nazýváme to válečným aktem. Jak to tedy nazveme, když to samé zařízení je zneškodněno kybernetickým útokem?“ Takto se ptal nejmenovaný vysoký představitel NATO v rozhovoru pro týdeník The Economist. Podotýkáme, že se psal rok 1999. Pokud o něčem tento citát vypovídá, tak o tom, že díky informačním technologiím musíme totálně přepsat pravidla, podle kterých náš svět funguje. To si začala uvědomovat i Velká Británie, která zvažuje zavedení doživotního odnětí svobody pro hackery: konkrétně pro ty, kdo organizují a/nebo vykonávají devastující kybernetické útoky. Ve Velké Británii totiž dnes platí Zákon o zneužití počítačů z roku 1990, který je jaksi beznadějně zastaralý. S rozvojem informačních a komunikačních technologií a jejich možností je totiž potřeba, aby možný trest odpovídal závažnosti poškození, které bylo způsobeno. Nový zákon by tak měl doživotním vězením trestat ty, kdo provedou „kybernetický útok, v jehož důsledku dojde ke ztrátě života, závažným zraněním nebo závažnému poškození národní bezpečnosti či významnému souvisejícímu riziku“. Stejně tak by měla být zvýšena trestní sazba za kybernetickou špionáž, zvláště pak za průmyslovou. Dnes je trestní sazba deset let odnětí svobody, nově by měla být zvýšena na čtrnáct let.
Dobrá rada nad zlato
Mezi lákavé cíle kybernetických útočníků patří také hráči počítačových her. Ti totiž často vypínají bezpečnostní aplikace, nebo je rovnou vůbec neinstalují. Vyměňují tak své bezpečí za co nejvyšší výkon počítačů. Organizace Webroot toto konstatovala po anketě na jednom herním festivalu, kde plných 35 procent hráčů uvedlo, že žádný bezpečnostní program nepoužívá nebo jen občas využije služeb on-line kontrolních nástrojů. Webroot vzápětí přidává pro hráče „dobrou radu“: nainstaluje si bezpečnostní program.
Chci si zavirovat počítač!
Dobrovolně si zavirovat počítač i s vědomím všech důsledků z toho plynoucích, a ještě z toho mít radost? Že to snad ani nejde? Omyl, děje se tak poměrně často. V poslední době se tak děje v Rusku a na Ukrajině: napětí mezi oběma zeměmi je totiž nejen v reálném, ale také v kybernetickém světě. Navzájem si napadají weby, vyřazují systémy z provozu, ucpávají komunikační linky apod. Děje se tak přitom výhradně prostřednictvím dobrovolnických skupin a vlády obou zemí popírají, že by s těmito aktivitami měly cokoliv společné (to že jim nebrání, je věc jiná). Každopádně na internetu probíhá nábor uživatelů počítačů, kteří nejsou příliš technicky zdatní, ale rádi by se do „boje“ zapojili. Těm je nabízeno zavirování počítačů, které se pak stávají součástí větších útočných sítí. Jak ale upozorňuje zpráva informační služby IDG News Service, operátoři těchto sítí pak na nějaké vznešené síly z vysoka kašlou a počítače využívají jen k prachobyčejnému vydělávání peněz: rozesílání spamu, získávání výpalného, lámání hesel, generování bitcoinů apod.
Bezpečnostní kostlivci ve skříních informatiky
V oblasti informační bezpečnosti nabývá zcela nových rozměrů jeden z Murphyho zákonů: „Zůstáváte-li klidní, zatímco ostatní ztrácejí hlavu, znamená to, že jste něco nepochopili.“ Aneb nejhorší bezpečnostní průšvih je takový, který existuje – ale o němž nemáte tušení.
Své by o tom mohl vyprávět třeba jistý David Hotchkiss, který v červenci 2011 nastoupil jako správce informační bezpečnosti na městskou kolej v San Franciscu. Předpokládal běžné administrátorské místo s obvyklými slastmi i strastmi. Jenže záhy po nástupu zjistil, že jeho předchůdci stejně jako management a uživatelé se skálopevně drželi hesla „když to funguje, nesahej na to“.
Což v informatice nebývá na škodu: naopak, občas je to nejlepší přístup. Jenomže tento laxní přístup dosáhl v místní síti obludných rozměrů. Hotchkiss zde nalezl tolik čítankových bezpečnostních přešlapů, až mu zůstával rozum stát. Nalezl na mnoha místech administrátorská i uživatelská hesla, která nikdy nikdo nezměnil. Nalezl tu desítky spokojeně vegetujících virů a dalších škodlivých kódů. Nalezl tu (pre)historické verze bezpečnostních programů, u kterých ani jejich výrobci netušili, že je někdy prodávali. Jak to bylo třeba s topologií sítě, aktualizacemi, přidělováním přístupových práv, si jistě domyslíte sami. Že se to stává, že se s něčím podobným dá při troše štěstí (smůly…) setkat i jinde? Pak vězte, že základny této sítě byly položeny v roce 1999 (!), administrátorská hesla, bezpečnostní programy a první stopy zavirování jsou z této doby!
Svého kostlivce ve skříni objevila nedávno i australská vláda. Neznámí útočníci (pravděpodobně se „státními zájmy“) se dokázali dostat a následně působit v počítačových sítích ministerského předsedy, ministerstva zahraničí či obrany a zhruba deseti dalších význačných institucí. Útočníci získali tisíce e-mailů z blíže neupřesněného časového období v posledních letech. Australská vláda se následně snažila zlehčit problém obvyklým konstatováním, že napadené systémy byly určené pouze k běžné e-mailové komunikaci, nikoliv k výměně tajných informací. Pěkné: takže podle této logiky lze úniky dat vlastně považovat za normální stav a vizitku kvalitního zabezpečení?
Největší perličkou ovšem byla skutečnost, že na kompromitaci systémů (výše uvedený výčet napovídá, že skutečně nešlo o drobný krátkodobý zádrhel) musela Australany upozornit americká CIA. Odkud a jak získala ona informace o průniku, zprávy samozřejmě neuvádí.
Čím delší heslo, tím bezpečnější - nebo taky ne?
Je to stará bezpečnostní poučka: čím je heslo delší, tím je bezpečnější. Jenže ono to nemusí být tak docela pravda. Délka hesla a vyšší bezpečnost je čistě technokratická rovnice, která ale zapomíná, že heslo v konečném důsledku používají běžné smrtelníci. Aneb jak by asi vypadalo, kdybychom museli používat dvacetiznakové (třicetiznakové, čtyřicetiznakové…) náhodně generované heslo, často je měnili a měli v každé aplikaci jiné? Samozřejmě špatně. Ale dlouhá hesla mohou být nebezpečná i jinak, jak se o tom nyní mohli přesvědčit třeba uživatelé prostředí Django, které využívá pro hashování (zjednodušeně: tvorbu otisků pro ověření) silný algoritmus PBKDF2. Jenže právě délka hesla se v daném případě může stát způsobem útoku: Django nemá žádné omezení délky a díky silnému algoritmu mu výpočty trvají poměrně dlouho. Aneb pokud útočník zkusí na systém použít dostatečně dlouhé heslo (klidně v řádu stovek tisíc znaků), systém ho nezvládne zpracovat a buď „spadne“, nebo skončí v dlouhém výpočtu a nebude reagovat na další uživatele. Což je útok typu Denial of Service – odepření služby – kdy je možné zablokovat ostatním uživatelům přístup k systému. V daném případě právě pomocí dlouhého hesla.
Počítačové hry a bezpečnost
Velmi zajímavým cílem z hlediska útočníků byly a jsou počítačové hry. Postupem času se měnila jejich role od pasivních nosičů nákazy až po nynější aktivní vytváření nových her (s jasným záměrem) nebo útoky na on-line hry (s neméně jasným záměrem vydělat peníze).
V posledních letech se hry dostávají do středu pozornosti útočníků, a to hned z několika hledisek. Předně se začaly krást postavy z on-line her a světů. Kvalitní trpaslíci, kouzelníci a jiní avataři z úspěšných her se stejně jako rozličné magické předměty či vlastnosti z těchto her běžně prodávají na specializovaných internetových burzách. Opravdu zajímavá postava s dobrými vlastnostmi stojí běžně stovky, občas i tisíce dolarů…
Přímo čítankovým příkladem takovéhoto útoku proti hře může být trojský kůň LegMir-Y, který zjišťoval, zdali je v napadených počítačích on-line RPG hra Lineage-II. Pokud zde byla, LegMir-Y odesílal útočníkovi bez vědomí uživatele přihlašovací jména a hesla jeho postavy. Útočník se pak přihlásil ke hraní hry pod dvěma účty: pod svou vlastní postavou a také pod postavu, ke které zcizil přihlašovací údaje. Herní postavu oběti následně přiměl odevzdat magické předměty, peníze, schopnosti a kdoví co všechno ještě. A tyto posléze zpeněžil na internetových aukcích. (Alternativou útoku byla změna přihlašovacího jména a hesla k této postavě a prodej celé postavy.) Dnes přitom známe tisíce exemplářů malware, s jehož pomocí jsou vedeny podobné útoky na počítačové hry.
Výrobce hry Battlefield 2142 (společnost Electronic Arts) zároveň doporučoval odinstalaci (!) bezpečnostní záplaty KB917422 pro Windows. Tím vlastně vedl uživatele k vytvoření zranitelného systému, jímž by se počítač stal napadnutelný malwarem.
Ovšem počítačové hry objevili postupně nejen kyberútočníci, jejichž motivace se dá vyjádřit heslem „peníze, peníze, peníze“. Objevila je totiž i mnohem nebezpečnější skupina – extremisté. Vychází z toho, že modifikování počítačových her je velmi rozšířené a oblíbené. Počítačoví nadšenci si k obrazu svému vytvářejí vlastní prostředí či vlastní postavy. Z internetu je tak možné stáhnout si třeba hry, které modifikovali islámští radikálové. Tyto hry jsou přitom záměrně umisťované například na dětské stránky („doporučené od sedmi let“).
Protože ke stažení těchto her je nutná registrace, do rukou extremistů se tak dostávají i osobní údaje těch, kdo si hru stahují…
Spam v kalendáři
Není to nic nového pod sluncem – spam (nevyžádaná elektronická pošta), která se šíří v podobě záznamů do kalendáře Outlook. Jeho podstatou je, že zpráva od spammera dorazí ve formě přílohy formátu *.ics, kterou filtry spamu (zpravidla) neblokují. Původně se takovéto e-maily objevily v roce 2008, pak se ale na několik let odmlčely. Aktuální oživení nám připomíná, že je nesmírně snadné se v případě počítačových útoků inspirovat v minulosti, protože „všechno už tu jaksi bylo“. Stejně jako připomíná, že když ochabne ostražitost, nepřítel udeří znovu.
Šifrování skutečně funguje
„Šifrujte, šifrujte, šifrujte,“ hrne se na nás ze všech stran. Potřebu šifrování všichni samozřejmě chápeme, ale často zůstává nevyřčená otázka jeho reálné funkčnosti. Protože o ní se přesvědčit lze až ve chvíli, kdy skutečně „jde do tuhého“.
Historie nám ovšem přináší celou řadu příběhů a případů, které dokládají, že šifrování skutečně funguje – často bohužel v kontextu ochrany zločinců, kteří už této technologii přišli na chuť. Šifrování tak dozajista bude velebit jistý Rohan James Wyllie (39) z Austrálie, který se „bavil“ velmi prazvláštním způsobem: v bytě, který sdílel s ještě jedním mužem a dvěma ženami rozmístil sofistikovanou síť špehýrek a špionážních minikamer a věnoval se intenzivnímu pozorování svých spolubydlících ve chvílích intimních a nejintimnějších. Když tito zařízení odhalili, přivolali policii.
Soud sice Wyllieho shledal vinným, ale mohl mu udělit pouze podmíněný trest: policii se totiž nepodařilo prokázat, že by svůj šmírovací systém skutečně použil. Všechny dráty od kamer i další stopy sice vedly k jeho počítači, ale data na něm byla bezezbytku zašifrovaná – a počítač nebyl v okamžiku příchodu policie ke kamerovému systému připojený. Wyllie heslo odmítl prozradit, takže soudce musel vycházet z presumpce neviny a uložil mu pouze dvouletý ochranný dohled.
Dalším výtečníkem, kterého šifrování pravděpodobně uchránilo od pobytu „v chládku“ byl jistý brazilský bankéř. Ten byl podezřelý z praní špinavých peněz, ovšem s obsahem jeho pěti šifrovaných pevných disků, které byly považovány za klíčový důkaz, si místní policie nedokázala poradit. Předala je proto americké FBI: ani ta ovšem po dvanáctiměsíčním (!) úsilí nebyla informace schopná dešifrovat. Jistě, dá se namítnout, že FBI mohla blafovat a přístup k datům získala: v takovém případě by ale pravděpodobně svým brazilským kolegům dešifrovaná data předala a přidala nějaký jednoduchý, leč nezpochybnitelný příběh. Třeba o nevhodně uloženém či zvoleném hesle. Leda, že by blafovala na druhou…
Velká Británie uvádí, že dnes má její policie v rukou několik set počítačů osob podezřelých z terorismu nebo pedofilních zločinů, přičemž vyšetřovatelé nejsou schopni dešifrovat data na jejich discích. Díky použití silných šifrovacích algoritmů tak čím dál více podezřelých uniká spravedlnosti, protože se schovají za tuto technologii.
Ostatně, o kvalitě (správně implementovaného) šifrování svědčí i různé pokusy vlád celého světa omezovat vývoz či dovoz šifrovacích zařízení nebo algoritmů.