Sociální inženýrství a jiné „podvody“

Falešná zpráva a akcie se mohly zbláznit

Stačilo málo: po útoku skupiny říkající si Syrská elektronická armáda na Twitterový účet agentury AP se zde objevily informace o dvou explozích v Bílém domě a o zranění prezidenta Baracka Obamy. Makléři na Wall Street (a jejich automatické obchodovací programy) reagovali promptně a během několika minut došlo k poklesu Dow Jonesova indexu o 143 bodů. Trval sice jen několik minut, než se zpráva ukázala jako falešná, ale i tak: akcie na těchto několik minut ztratily zhruba 200 miliard dolarů hodnoty! Už loni v červenci se na podobně napadeném účtu Foxnewspolitics objevilo několik zpráv o tom, že Barack Obama byl v Rossově restauraci v Iowě zraněn dvěma výstřely. Následně se objevila zpráva, že jim podlehl. A nakonec gratulace novému prezidentovi Bidenovi. Twitter se proto rozhodl posílit autorizaci, která by měla být do budoucna dvou faktorová. Inu, „slovo“ se stává nejsilnější zbraní 21. století.

Šťastné a veselé a podvodné vánoce

Útočník (lhostejno zdali ve fotbale nebo ve světě informační bezpečnosti) má vždy jednu velkou výhodu: míří na nejslabší místo systému. Dobře to vědí autoři různých škodlivých kódů nebo podvodných e-mailů: soubor „virus.exe“ asi spustí výrazně méně uživatelů, než soubor „ParisHilton.exe“. Aktivita útočníků pochopitelně reflektuje aktuální události nebo hlad po informacích.

Krátce před olympiádou tak vždy narůstá počet zpráv ve stylu „vyhráli jste vstupenky“, před polovinou února jsou masově rozesílána „přání ke svatému Valentýnovi“ apod. Kolem vánočních svátků se pak šíří nebezpečí v různých podobách: ve formě falešných novoročenek, předstírání potíží se smyšleným internetovým nákupem nebo informace o problémech s neexistující poštovní zásilkou.

Ostatně, přesně před tímto typem útoků letos opakovaně varovala Česká pošta. Ty jsou v letošním roce mimořádně zákeřné i z jednoho důvodu: jsou lokalizované. Zatímco ještě před několika lety chodily zprávy s tím, že „present for Xmas morning“ nebylo možné doručit „due to problems with United States Postal Service“ (což už samo o sobě mohlo být podezřelé), letos je situace jiná. Šíří se úhledné e-maily víceméně správně přeložené do češtiny, vybavené logem České pošty a typicky upozorňující na problém s doručením zásilky. Což text v našich končinách přece jen důvěryhodnější.

Cílem podobných útoků je přimět uživatele k instalaci škodlivého kódu na příloze (který následně monitoruje aktivity nebo např. odcizuje hesla), vyzrazení údajů ke kreditní kartě (třeba pod záminkou celního řízení se zásilkou ze zahraničí) nebo přinutit příjemce k návštěvě nějaké nebezpečné webové stránky.

Celé toto „umění klamu“ je označováno jako sociální inženýrství. Jedná se o metodu založenou na klamu, v podstatě jde o prachsprostý podvod. Jedno se jí ale nedá upřít: funguje. Sociální inženýrství je svým způsobem umění (no, spíše „umění“), jímž zavedete (obrazně řečeno) člověka tam, kam potřebujete. Zpravidla na základě nepřímých indicií jej útočník přiměje myslet, že realita je taková, jakou pro něj vytvořil útočník.

Jestli se sociálnímu inženýrství nedá něco upřít, pak fakt, že funguje. Pokud tedy budeme uvažovat jako útočníci, tak pochopitelně prosincové svátky nemůžeme přehlédnout. A propos, nejde o žádnou novinku: poprvé byly svátky vánoční využity (či spíše zneužity) k šíření škodlivého kódu už v roce 1987. Ano, čtete dobře – už před více, než čtvrtstoletím!

Co všechno leží mezi řádky

Nejde jen o to, co napíšete – ale taky o to, co nenapíšete. Aneb obrovské množství informací leží takříkajíc „mezi řádky“. Trefně to vystihl americký senátor Ron Wyden: „Když se úřady dozvědí, že jste během jednoho dne třikrát volali psychiatrovi, vědí toho o vás opravdu hodně.“ Svědčí o tom i příběh, který se stal ve Spojených státech a jehož smutným hrdinou je třetí největší maloobchodní řetězec Target. Ten provozuje zákaznické věrnostní karty a na základě nákupních zvyklostí spotřebitelům nabízí akce na míru (něco podobného dělá v Česku Tesco v rámci programu Clubcard). Jednoho dne vtrhl do obchodu na předměstí Minneapolis rozzuřený muž: jeho šestnáctiletá dcera dostala nabídku zlevněných dětských plen, výživy a kojeneckého oblečení. Pracovníci se mu omluvili s tím, že vyhodnocovací program nejspíše udělal chybu. Druhý den mu ještě volal osobně ředitel obchodu a krom další omluvu poslal květiny a bonboniéru. Uplynulo pár dní a onen muž se vrátil. Tentokrát nesl květiny a bonboniéru on. A omlouval se: „Věděli jste víc, než já. V srpnu máme termín...“ – Jeho dcera přitom nekupovala žádné podpůrné prostředky pro gravidní, těhotenskou literaturu nebo něco podobného. Prostě se změnily její spotřebitelské preference: dávala přednost jinému ovoci, chutím, značkám výrobků. A vyhodnocovací systém správně určil, cože je příčinou této změny. Mezi řádky se toho nachází opravdu hodně...

Příběhy psané Facebookem

Sociální sítě se staly nedílnou součástí kybernetického prostoru, takže jejich bezpečnostní dopady nemůžeme ignorovat. Synonymem pro sociální sítě bývá největší z nich, Facebook.

V různé podobě dnes sociální sítě používá 99 procent uživatelů a firem. Ale pozor: 38 procent správců a administrátorů tvrdí, že se jich tento fenomén netýká. Je to ovšem pověstné strkání hlavy do písku, které má za cíl vyhnout se realitě. Protože 95 procent zaměstnanců používá sociální sítě v práci – a 15 procent dokonce po celý den. (Mimochodem, podobný problém je s nástroji Instant Messaging, které používá 95 procent organizací, ale připouští to jen 31 procent IT manažerů. Statistiky jdou dle průzkumu provedeného organizací FaceTime.)

Pomiňme nyní historky typu „oběť si našla svého vraha na Facebooku“, protože zde jen došlo k nahrazení jednoho média (třeba seznamovacích rubrik v časopise) jiným (právě sociální sítí). A k podobným incidentům by docházelo, i kdyby Facebook nevznikl.

Facebook je především o lidech. A ti jsou bohužel často důvěřiví více, než by bylo zdrávo. Výzkumníci z University of British Columbia tak konstatovali poté, co se rozhodli zjistit, jak skutečně fungují „sociální boti“: automatizované programy, které se vydávají za skutečné uživatele sociálních sítí. Během osmi týdnů trvání experimentu boti odeslali 8570 žádostí o přátelství: na ně kladně reagovala více než třetina náhodně oslovených uživatelů Facebooku, celkem 3055 lidí. Test ukázal, že vyšší šanci na přijetí mezi přátele mají boti u uživatelů, kteří již mají přátel hodně. V některých případech se boti dostali na úspěšnost až 60 procent rozeslaných pozvánek. Rozšířená síť (tedy přátelé přátel) tvořila v případě sítě sociálních botů se 102 členy nakonec 1 085 785 uživatelů. Výzkumníci z této sítě získali 250 GB dat, z nichž významná část byla neveřejná.

Facebook ovšem navštěvují nejen lidé důvěřiví, ale i vyložení podvodníci. Oficiální statistiky lakonicky konstatují, že denně (!) se na účty cizích osob přihlásí 600 tisíc osob! Buď se takto pouze „pasivně“ dostávají k jinak neveřejným informacím, nebo je dokonce „aktivně“ monitorují. Oněch šest set tisíc je sice jen pověstnou kapkou v moři z celkového počtu přihlášení, ale rozhodně nejde o zanedbatelné číslo.

„Facebookový průšvih“ se nevyhnul ani zakladateli této sítě, Marku Zuckerbergovi. Zásluhou „programátorské chyby“ a „nedokumentované vlastnosti systému“ se totiž dostaly na veřejnost jeho soukromé fotografie. Inu, ve světě bezpečnostních incidentů jsme si opravdu všichni rovni.

Kde nechal tesař díru?

Jsou programy méně bezpečné a bezpečnější (ale nikoliv absolutně bezpečné). A je dobré vědět – alespoň orientačně – které jsou které, protože nám tato znalost umožňuje správně si volit nebo následně pečovat o příslušné aplikace. Dle studie Secunia Vulnerability Review 2014 monitorující stav zranitelností bylo v padesáti nejpopulárnějších aplikacích (sem patří internetové prohlížeče, kancelářské programy, poštovní klienti, čtečky PDF aj.) loni objeveno 1208 zranitelností. Zajímavé je, že ač má v „Top 50“ největší podíl Microsoft, který je zastoupený 33 produkty (což představuje 66 procent), na zranitelnostech měl podíl jen čtvrtinový (přesněji 24 procent, z čehož 8 procent bylo v operačních systémech a 16 procent v kancelářských aplikacích). Jen pro úplnost: v roce 2012 měly „nemicrosoftí“ aplikace podíl na zranitelnostech dokonce 86 procent.

Hacking + aktivismus = hacktivismus

Hacktivismus (tedy aktivismus hackerskými metodami) zatím není v našich končinách příliš rozšířený. Postupně ale vystrkuje růžky – a bezpochyby o něm ještě hodně uslyšíme.

Termín „hacktivismus“ byl poprvé použit v roce 1996 členem legendární hackerské skupiny Cult of the Dead Cow (Kult mrtvé krávy), který se skrýval pod přezdívkou Omega. Reálně ale tato činnost existovala mnohem dříve, prokazatelně nejméně od roku 1984.

Od té doby totiž právě „Kult mrtvé krávy“ začal využívat hackerských metod k prosazování svobody slova, práva na soukromí a ochranu před sledováním ze strany vládních organizací. Členové skupiny začali upravovat počítačové systémy především americké armády, ministerstev či silových resortů: šlo ale o osamocené akce jedinců bez hlubší provázanosti. Ostatně, v době používání internetu toliko na akademické půdě a úzkou skupinkou vyvolených beztak tyto aktivity neměly šanci oslovit větší skupinu osob.

První bezpečně zdokumentovaný hacktivistický útok je z října 1989, kdy byly sítě DOE, HEPNET a SPAN zasaženy červem WANK. Ten vyzýval k opuštění jaderných technologií: v inkriminovaný měsíc totiž NASA pomocí raketoplánu Atlantis vypouštěla do vesmíru meziplanetární sondu Galileo, která nesla jako zdroj energie právě plutoniové radioizotopové generátory. Start si vzalo na mušku mnoho protijaderných organizací a NASA musela k zabezpečení startu raketoplánu povolat i jednotky Národní gardy. Červ WANK tak byl součástí širší kampaně: po infikování počítače zobrazil na přihlašovací obrazovce vzkazy jako „červi proti jaderným zabijákům“ nebo „mluvíte o časech míru pro všechny – a pak se připravujete na válku“.

Dalším významným mezníkem byl rok 1994, kdy došlo ve Velké Británii k pokusu zákonem zakázat venkovní taneční festivaly a „muziku s opakujícím se rytmem“. Skupina Zippies provedla na „Noc Guye Fawkese“ (anglický voják a katolík, který se 5. listopadu 1605 pokusil vyhodit do povětří Westminsterský palác s králem Jakubem I. a členy obou komor parlamentu) útok DDoS. Bráno dnešními měřítky byl velmi primitivní: došlo k přetížení tehdejších poštovních serverů větším množství e-mailové pošty. Ovšem důležitý byl: mládež pochopila, že má díky elektronickým sítím v ruce nesmírně silnou zbraň. V následujících dnech se aktivity rozšířily a k první vlně e-mailové laviny se přidaly další typy DDoS útoků (Ping of Death apod.). Hacktivismus slavil prokazatelný úspěch: přijetí zákona sice nezabránil, ale ten alespoň doznal v některých bodech zmírnění.

Kde je poptávka, objeví se (zpravidla) i nabídka

Sledování partnera/manželky/zaměstnance (nehodící se škrtněte) nebylo díky moderním technologiím tak snadné, jako dnes. Prakticky každý týden to hlásají titulky v médiích – a mají často pravdu. Třeba v chytrých telefonech jsou různé „stopy“ dokumentující minulou aktivitu. Nebo do nich lze snadno instalovat aplikace, které tyto stopy vytvoří a zaznamenají (třeba pohyb zařízení v průběhu dne s pomocí záznamu GPS souřadnic). Proč se ale pracně snažit nějaký sledovací systém instalovat do mobilního telefonu (nebo dokonce k němu získávat fyzický přístup), když je mnohem jednodušší si takovéto zařízení s elektronickým špiónem rovnou koupit? Firma mSpy nyní na internetu nabízí kvarteto chytrých telefonů (HTC One, Nexus 5, Samsung Galaxy S4 a iPhone 5s) s předinstalovaným monitorovacím softwarem. Ten umožňuje sledovat data, jako jsou hovory, e-maily, SMS, stisknuté klávesy, Viber, WhatsApp a Skype, nebo GPS souřadnice. Program mSpy vznikl původně jako systém rodičovské kontroly (možnost nastavení toho, co na počítači/mobilu dítě může nebo naopak nesmí), ale pro svoji jednoduchost a spolehlivost si získal popularitu i mezi malými firmami. Ty totiž často řeší úniky dat nebo to, jak zaměstnanci nakládají se svěřenými mobilními zařízením. Firma upozorňuje, že k tomu, aby bylo použití takto „vylepšeného“ přístroje legální, musí být uživatel na jeho existenci předem upozorněný. (Což není tak docela pravda, protože varování nelze nadřadit nad zákon, takže ani upozornění nikoho neopravňuje k nelegálním aktivitám).

Když počítač obchoduje na burze

Umělou inteligenci jsme v případě počítačů ještě zdaleka nezvládli: maximálně nějaké učení, ale opět jen podle přesně daných algoritmů. Nicméně v jedné oblasti počítačům jako lidé konkurovat nemůžeme, a to je rychlost.

Vědí to velmi dobře třeba banky a další hráči na akciových trzích. Dokážou vydělávat na obchodech, kdy nakupují akcie nebo komodity jen na zlomky sekund. Z relativně malých obchodů se nakonec poskládá velmi významný zisk.

Jako jeden z mála přitom před fungováním podobných algoritmů varuje profesor Neil Johnson z University of Miami. Upozornil, že počítačové čipy jsou schopné fungovat tak, že člověk se na jejich rozhodování nemůže v reálném čase podílet. Ve své studii pak použil termín „automatičtí predátoři“ a umožnil nám nahlédnout do zákulisí automatických burzovních obchodů. Hovořil například o „miliardovém technologickém zbrojení“: některé banky investovaly ohromné sumy do položení transatlantického kabelu, který urychlil burzovní operace o – pozor! - pět milisekund. Možná nám to přijde přitažené za vlasy, ale Johnson upozornil na nejméně 18520 dramatických poklesů nebo růstů na akciových a komoditních trzích, ke kterým došlo od ledna 2006 do února 2011. Nejdelší z nich přitom trval 1,5 sekundy, nejkratší pod 640 milisekund. Tady už by pětimilisekundový rozdíl mohl hrát zásadní roli a být oním rozhodujícím faktorem, který překlopí jazýček vah od neúspěchu k úspěchu (nebo naopak). Tyto výkyvy byly přitom příliš krátké a příliš rychlé na to, aby je způsobily externí události.

Automatické algoritmy jsou tak pány burzovních trhů. Přesvědčili jsme se o tom třeba 23. dubna 2013, kdy se neznámí útočníci (k akci se přihlásila Syrská elektronická armáda, ale není jisté, zdali ji skutečně provedla) nabourali do twitterovského účtu agentury AP. Zde zveřejnili kratičkou zprávu o tom, že v Bílém domě došlo ke dvěma explozím a že při nich byl zraněný prezident Barack Obama. Automaty zaregistrovaly na Twitteru klíčová slova a než se kdo nadál, zahájily masivní výprodeje – ve snaze získat náskok před konkurencí a zbavit se cenných papírů, dokud ještě mají nějakou hodnotu. Historie se opakovala: vystrašeni masivní vlnou výprodejů (jeden z Murphyho zákonů je „pokud zůstáváte klidný, zatímco ostatní ztrácejí hlavu, znamená to, že jste něco nepochopil“) začali prodávat všichni. Cenné papíry ztratily během dvou minut na hodnotě 200 miliard dolarů.

Jsme stále ještě pány tohoto světa?

Přijde restart života?

Podle zakladatele Facebooku Marka Zuckerberga by měl mít každý člověk po dosažení plnoletosti právo změnit si jméno a další osobní údaje. Tím by mohl udělat jednou provždy tlustou čáru za „hříchy mládí“: za nerozvážnostmi, které sám nebo jeho kamarádi umístili na web. Pravdou je, že podobných úletů mnozí lidé často dodatečně litují, jenže co internet schvátí, to už jaksi nenavrátí. A tak zažívají rozkvět služby firem nabízejících „identity cleaning“ – čištění identit. Tedy upravování a odstraňování stop, které lidé po sobě zanechali na internetu a které pro ně představují kouli na noze v novém partnerském vztahu nebo při hledání zaměstnání. Stejně jako aplikace z kategorie Social Media Soberty Test: programy, který před umístěním zprávy na sociální síť zkontrolují, zdali jsme dostatečně při smyslech (= zdali nejsme pod vlivem alkoholu nebo drog). Pokud uživatel testem neprojde, zveřejnění není povoleno. Už naše babičky říkávaly „co jsi z úst vypustil, ani párem koní nedostaneš zpátky“.

Průmyslová špionáž: větší problém, než jsme si mysleli

Průmyslová špionáž stojí tak trochu stranou pozornosti manažerů, administrátorů a obránců počítačových sítí. Ovšem neprávem. Respektovaný institut SANS (SysAdmin, Audit, Network, Security) ji přitom zařadil mezi kybernetickými hrozbami na třetí místo.

Průmyslová špionáž (byť se jí tak pochopitelně neříkalo) je na světě odpradávna. Vždyť třeba ten, kdo se pokusil odcizit tajemství výroby benátských zrcadel, propadl hrdlem.

S nástupem elektronických dat, internetu či počítačových sítí ovšem dostala průmyslová špionáž zcela novou podobu – a i nové možnosti. Na rozdíl od masových útoků virů či pozměňování webových stránek ale zůstala jaksi stranou hlavního proudu pozornosti jak médií, tak odborníků. Je to krajně nebezpečné, ale logické: zatímco zneuznaný programátor často tvořil hypernebezpečný virus proto, aby se pomstil celému světu a aby si to onen zlý svět dobře uvědomil, vyzvědač si pochopitelně jakoukoliv publicitu nepřeje a pracuje v maximálním utajení. Ostatně, i poškozený (pokud na to, že se stal terčem útoku, vůbec přijde!) často raději mlčí, aby neztratil v očích partnerů svoji důvěryhodnost.

To je ale jen společenská stránka věci. Kybernetická průmyslová špionáž má ovšem i stránky technické. Především je nesmírně snadná. Ostatně, ne nadarmo se jedna z nejnebezpečnějších a nejrozšířenějších kategorií škodlivých kódů nazývá spyware (spy software, sledovací program). Není sice primárně orientovaná na špionáž průmyslovou, ale na špionáž jakoukoliv (tedy průmyslovou nevyjímaje). Na monitorování e-mailů, získávání hesel k internetovému bankovnictví či k přístupu do sítí apod.

Ale především nám pouhá existence spyware ukazuje na to, jak snadné je dnes „špehovat“ a získávat informace: ještě před desítkami let byla špionáž složitou hrou v terénu, dnes je možné ji provádět velmi sofistikovaně na velkou vzdálenost, z bezpečných lokalit a se zanecháváním minima stop. Navíc pokud o nějakého kybernetického „vyzvědače“ přijdete, je velmi snadné ho nahradit.

V bezpečnosti každopádně platí, že celý systém je tak silný, jak silný je jeho nejslabší článek. Nejslabší článek lze přitom nalézt mezi židlí a klávesnicí. Jeho motivace může být různá: od finanční, přes osobní (pomsta zaměstnavateli či spolupracovníkům) až třeba po iracionální důvody. Obecně se tyto metody nazývají „sociální inženýrství“ – v podstatě se jedná o manipulaci s lidmi.

Nepřítel od vedlejšího stolu

Neustále hledáme útočníky z druhé strany planety – ale že největší nepřítel často sedí u vedlejšího stolu si tak nějak pořád nejsme ochotni připustit. Přitom to dokládá čím dál více reálných situací.

Třeba v posledním roce více než sedmdesát procent organizací ve zdravotnictví zaznamenalo s únikem osobních informací pacientů, přičemž nejčastějším problémem bylo porušení bezpečnostních směrnic zvědavými zaměstnanci. Co je k této nekázni vedlo? Snaha získat citlivé lékařské údaje o spolupracovnících (cca 35 procent problémů) a známých či rodinných příslušnících (dalších 27 procent).

Stejně tak představuje zajímavé čtení studie „Password 2013“ provedená firmou Lieberman Software Corporation, která se věnuje dodržování bezpečnostních politik administrátory IT. Plných 74 procent administrátorů připustilo, že někdy použilo informační systém takovým způsobem a k takovému účelu, že kdyby se to dozvěděl zaměstnavatel, na hodinu by letěli. K nejběžnějším ze zapovězených činností patří to, že 54 procent administrátorů si z internetu stahuje nelegální obsah, 48 procent si nastavuje osobní výjimky (např. v pravidlech firewallu) v rozporu s politikou organizace, 41 procent používá sdílená hesla a přihlašovací atributy, 29 procent si domů odnáší citlivá data, 25 procent nahlíží do tajných souborů, k nimž by nemělo mít přístup, 16 procent čte e-maily kolegů, 15 procent maže nebo modifikuje logy...

A ještě jedno varování, tentokrát týkající se problematiky sociálního inženýrství: to je tak obehranou písničkou, že ho jako hrozbu snad už nikdo nemůže brát vážně. A přesně z této logiky mnoho bezpečnostních politik a manažerů vychází kyberútočníci: podle statistik Check Pointu se za poslední rok stalo obětí sociálního inženýrství 48 procent organizací! Bezkonkurenčně nejvíce problémů přitom působí noví zaměstnanci (52 procent) a kontraktoři (44 procent): tedy osoby, které často mají plná přístupová práva a rozsáhlé pravomoci, ale zároveň nemají dostatečné zkušenosti a znalosti vnitropodnikových procesů (a snadněji tak sednou na lep podvodníkovi). A pokud i vy považujete sociální inženýrství za překonané, pak vězte, že dle statistik Check Pointu jej 86 procent bezpečnostních manažerů považuje za rostoucí problém.

Co prozrazuje „čtení mezi řádky?“

Věrnostní zákaznické programy nejsou v našich končinách zatím příliš rozšířené – tedy alespoň ve srovnání se západním světem. Nicméně pomalu se prosazují, přičemž představují zcela nový neprobádaný svět. Svět, z něhož si můžeme odnést nejedno ponaučení do IT bezpečnosti.

Stalo se v Minneapolisu: do obchodu řetězce Target se přiřítil rozčílený pán a dožadoval se hovoru s ředitelem. „Mé dceři je šestnáct a vy jí posíláte toto,“ hodil na stůl balíček dopisů s výhodnými nabídkami těhotenského oblečení, dětského nábytku, plenek a dalšího zboží pro kojence či nastávající matky. „Studuje střední školu – tak jí nepleťte hlavu!“

Ředitel obchodu se pochopitelně za toto nedopatření omluvil. A pak ještě za několik dní dotyčnému pánovi telefonoval domů a omlouval se znovu s tím, že posílá bonboniéru a květiny.

Uplynulo několik dní a pán se objevil v obchodě znovu. Tentokrát nesl bonboniéru a květiny on. „Omlouvám se, unáhlil jsem se. Staly se věci, o kterých jsem neměl tušení. V srpnu máme termín...“

Pouhou analýzou změny chování spotřebitele totiž vyhodnocovací algoritmy řetězce Target dospěly k názoru, že dotyčná slečna očekává radostnou událost. Tým pod vedením analytika Andrewa Pola zpracovává data týkající se spotřebitelského chování za více než deset let, takže je schopen vytvořit poměrně přesné modely toho, jaké změny chování čemu předcházely nebo jaké změny následovaly.

„Zjistili jsme například souvislost mezi nákupem pleťové vody a těhotenstvím. Jistě, pleťovou vodu kupuje skoro každý – ale těhotné zkrátka více,“ vysvětluje Andrew Pole. „Stejně tak těhotné nakupují v prvních dvaceti týdnech potraviny bohatší na vápník, magnézium a zinek.“

Podotýkáme, že tak činí zcela podvědomě: tělo si prostě o některé potraviny samo řekne, má na ně „chuť“. Andrew Pole odmítá s poukazem na obchodní tajemství sdělit, jak vysokou má Target úspěšnost. „Mnohokrát se nám už stalo, že jsme někomu poslali gratulaci k prvnímu dítěti – a rodiče přitom vůbec neměli tušení, že čekají radostnou událost!“

I kriminalisté ostatně přiznávají, že obsah odposlouchávaných telefonických hovorů je jen (menší) polovinou informace. Dozvíme se z nich maximálně o kapřících, pěti na stole v českých nebo žluťoučkých kulaťoučkých. Mnohem důležitější je, kdo a komu volal, kdy, jak často, jak dlouho, odkud...

Zkrátka: když budeme používat třeba šifrovanou komunikaci nebo mobilní telefonování, skrýváme jen obsah informace. Nikoliv však formu!

Virtuální bomby a reálné škody

Nejvíce úsilí v případě ochrany informačních systémů zaměřujeme směrem „ven“ – hlídáme hackery, průniky virů, externí útočníky. Mnohem větší nebezpečí ovšem číhá „uvnitř“ – a k nejzákeřnějším (a bohužel čím dál rozšířenějším) způsobům útoku patří umístění tzv. logické bomby do vnitřního systému.

Logická bomba je kus programového kódu, který může být samostatnou aplikací nebo může být vložený do jiného programu. Přitom čeká na určitý podnět (stisk příslušné kombinace kláves, datum…), aby provedl svou programovou rutinu. Už z názvu „logické bomby“ vyplývá, že nejde o program užitečný, leč o kód nežádoucí. Rozdíl třeba mezi počítačovým virem a logickou bombou je přitom ve skutečnosti, že virus vstupuje do systému bez vědomí jeho uživatelů, „bomba“ je do něj ukládána s jasným (nekalým) záměrem.

Nejedná se přitom o fenomén nový. V roce 1998 kdosi umístil do počítačového systému americké společnosti UBS Paine Webber logickou bombu. Tato v daném případě „čekala“ deset dní, a pak se začal šířit po počítačové síti jako virus. Zasaženo bylo tisíc z 1500 počítačů společnosti, přičemž došlo k poškození či smazání souborů a škodě ve výši 3,1 miliónu dolarů! Jako původce incidentu byl identifikován bývalý zaměstnanec společnosti Roger Duronio, který předpokládal, že toto poškození bude mít za následek pád akcií společnosti – ty by levně nakoupil a po stabilizaci situace se ziskem prodal. Jeho plán ale selhal, neboť trh poklesem nezareagoval. Navíc ho netypický příkaz burzovnímu makléři prozradil.

A tak jedinou odměnou mu nakonec bylo odsouzení k 97 měsícům žaláře za počítačovou sabotáž a plánování podvodu s cennými papíry (americké soudy neřeší pouze legálnost úkonů, ale často i jejich neetičnost).

Podobným incidentům se v praxi předchází velice špatně. Základním sítem musí být už výběr vhodných pracovníků – což je někdy problém, protože špičkových specialistů nebývá tolik, jak by si personalisté představovali. Je třeba mít zavedenou bezpečnostní politiku, pravidelné a důkladné zálohování, dobře nastavenou počítačovou síť a propracovaný systém kontroly. Ani jeden z těchto faktů za běžných podmínek neusnadňuje práci, ale v případě krize má cenu zlata.

Lidé udělají cokoliv pro Wi-Fi zdarma

A cokoliv v daném případě opravdu znamená COKOLIV. Skupina bezpečnostních expertů rozmístila na různých místech v Londýně podvržené Wi-Fi přístupové body: stalo se tak v prominentních obchodních a politických čtvrtích města. Použité vybavení přitom bylo pořízeno za pár set korun a instalováno s minimem technických znalostí. Na jednom místě se k síti během třiceti minut připojilo 250 různých zařízení. Většina zřejmě automaticky a bez vědomí uživatelů (zkrátka měli nastaveno „připojit se k čemukoliv, co je k dispozici“), ale 33 z nich aktivně poslalo data (tedy zhruba jeden za minutu). V nich byly osobní data, e-maily, hesla… Experti si neodpustili jeden drsný žertík: v některých lokalitách zkusili během přístupu k Wi-Fi zobrazit licenční podmínky. Nebyly nikterak dlouhé, ovšem obsahovaly klauzuli „slibuji, že za volný přístup k této Wi-Fi obětuji své prvorozené dítě“. Nikdo podmínku neodmítl – s pravděpodobností hraničící s jistotou ji tedy ani nečetl. A co vy? Čtete licenční podmínky?