Český CyberCon 2018: Kybernetická gramotnost je tragická. Jsme roky pozadu

  • Do Brna se po roce opět sjeli experti na kybernetickou bezpečnost
  • Hybridní válka tu je a nejsme moc připravení
  • S kybernetickou gramotností se musí začít už na školách

Brněnské univerzitní kino Scala v týdnu hostilo čtvrtý ročník konference CyberCon 2018. Do prostoru hluboko pod zemí, který tak trochu připomíná protijaderný kryt nebo hackerské doupě, se sjeli experti na kybernetickou bezpečnost, u čehož jsme samozřejmě nemohli chybět. A to nejen proto, že naše redakce sídlí doslova za rohem.

Akce, na jejíž organizaci se vedle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) podílí také zdejší studentský portál Security Otulines, se mnoha jiným možná trošku vymyká, na kybernetickou bezpečnost státu totiž pohlíží komplexně – interdisciplinárně.

Cizí státy útočí (nejen) na česká ministerstva

Ale pěkně popořadě. Letošní ročník zahájil ředitel NÚKIB Dušan Navrátil, který shrnul krátkou historii úřadu (vznikl teprve loni), jenž má varovat před aktuálními hrozbami, informovat premiéra, provádět audity a nabízet doporučení pro 150 kritických systémů státní správy.

Sídlo brněnského NÚKIB na Street View:

Co to znamená v praxi? Letos NÚKIB analyzoval kybernetický útok na jedno z českých ministerstev, nebo ransomware, který na dva týdny položil na lopatky počítačovou síť v nemocnici Janov. To v praxi dokládá, že Česko má stále silné mezery a role kybernetické obrany nejen na úrovni NÚKIB, ale i v rámci vojenské obrany poroste. Ostatně i proto by NÚKIB někdy v roce 2024 rád otevřel svoji novou centrálu, která by měla vyrůst v brněnských Černých Polích.

Když k tomu připočítáme hromadu dalších brněnských bezpečnostních startupů, zdejší Avast/AVG, který se nedávno přestěhoval do nových prostor, Univerzitu obrany a Kybernetický polygon, z jihomoravské metropole se pomalu stává klíčový hub kybernetické obrany státu.

Kybernetická bezpečnost je očkování 21. století

Leckdo by si možná pomyslel, že na konferenci s názvem CyberCon mají všichni na klíně laptop s Kali a navzájem se hackují, tak tomu ale není. Součástí je samozřejmě hromada praktických workshopů, přednášky jsou ale o něčem jiném – vždyť kybernetická obrana je komplexem jak informačních, tak společenských věd.

Klepněte pro větší obrázek
Stejně jalo loni i letos otevřel CyberCon tento výrok vrchního velitele ozbrojených sil. Experti jsou pochopitelně z podobných prohlášení nešťastní.

Šéfanalytik z NÚKIB Ondřej Rojčík tedy ve své přednášce přesvědčoval přítomné, že nejlepší zbraní je elementární kybernetické vzdělávání. „Kybernetická bezpečnost je očkování 21. století,“ prohlásil. Pointa je totiž ta, že většinu problémů, které způsobí nejrůznější záškodníci od script kiddies po státní hackery, je založená na docela primitivních technikách sociálního inženýringu, phishingu atp.

Jinými slovy, schopnost kybernetické a informační obrany státu exponenciálně poskočí už tehdy, když jeho občané – sakra – přestanou klepat na jakýkoliv odkaz v e-mailu. Zvláště, pokud se nejedná o pana Nováka z Kozojed, ale třeba o vysokého státního úředníka, manažera v klíčové společnosti atp.

Kybernetická gramotnost je tragická. Jsme roky pozadu

NÚKIB by proto rád skrze rámcové vzdělávací programy pronikl do českých škol takovým způsobem, aby byla napříště základní kybernetická gramotnost naprostou samozřejmostí. Všichni se totiž shodli, že v tomto směru (nejen) Česku nebezpečně ujel vlak a země má skluz možná i deset a více let!

Nejedná se přitom o žádné přehánění, trendy jsou totiž jasné. Kybernetický způsob boje se stává samozřejmostí, účastní se jej stále více státních aktérů (zdaleka nejen tolik citované Rusko a Čína), a kdo na to nezareaguje, společnost se mu rozloží bez jediného výstřelu ze starého kalašnikova.

Hybridní válka je už samozřejmost

Tuto tezi potvrdil i podplukovník Otakar Foltýn z Generálního štábu, podle kterého je ostatně i pojem hybridní válka jen určitou zkratkou, aby problém pochopili i ti, kteří mu vůbec nerozumějí. Skutečnost je taková, že hybridní boj je už dávno integrální součástí vojenských strategií, přičemž Rusko s ním zcela otevřeně počítá v rámci své inovované strategické doktríny z roku 2013.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Jak se v letech 2018-2050 změní válčení podle armádních analytiků

Dává to smysl, útočit v kyberprostoru a zlehka rozkládat důvěru ve státní instituce je totiž mnohem, opravdu mnohem levnější než na západní výspu ruské sféry vlivu posílat obrněné vozy, „které ostatně ani nesplňují emisní normu Euro 6,“ jak svérázně podotkl Foltýn.

Co se týče nákladů, Foltýn nabídl ještě jednu paralelu. Aby mohla Al-Káida 11. září 2001 zaútočit na Spojené státy, potřebovala směšných 500 000 USD. Náklady na následnou konvenční válku proti terorismu však byly o několik řádů vyšší.

Nejlepší hybridní válka je ta, o které oběť vlastně vůbec neví

Cílem hybridních válek zítřka přitom nemusí být zničení protivníka, ale jen jeho oslabení. A nejlepší hybridní válka je ta, o které oběť ani neví, a tak nemá jasno, před kým a jak se má vlastně bránit.

V podstatě stačí v zemi X založit pár protisystémových webů, do diskuzí poslat pár tuctů stejně naladěných protisystémových botů, provádět útočné kybernetické operace a při troše trpělivosti nahlodáte demokratický systém tak, aniž by tušil, že jej rozhlodává cizí státní moc.

Pokud je tedy podle Ondřeje Rojčíka kybernetická obrana očkováním 21. století, podle Otakara Foltýna je zase kybernetická gramotnost brannou povinností 21. století. I proto mají aktivní zálohy v plánu nabídnout možnost uplatnění pro ajťáky. Na cvičeních se nebudou plazit v blátě se samopalem, ale u počítače ochrání stát před fiktivní digitální hrozbou. To nám totiž aktuálně v srdci Evropy hrozí opravdu mnohem více.

Nudíte se? Hledejte nejen na Googlu uniklá kritická data. Nepotřebujete k tomu doktorát z počítačových věd. Bohužel.

Poměrně vypovídající ukázku tristní kybernetické gramotnosti nakonec předvedl bezpečnostní expert Michal Špaček, který prezentoval několik vlastně naprosto primitivních technik, jak hledat uniklá data na veřejném internetu. O mnohých jsme psali i u nás na Živě.cz.

Klepněte pro větší obrázek
Michal Špaček ukazuje hrátky na webu crt.sh, což je jeden z vyhledávačů vydaných bezpečnostních certifikátů pro weby HTTPS. A jelikož je dnes HTTPS norma, snadno se dozvíme třeba prakticky o všech doménách a webech O2. Některé by mohly být třeba testovací, mohly by na nich být chyby, prostě bychom se z nich jako hackeři mohli dozvědět nějaké další informace pro útok.

A skutečně, opravdu stačí zajít na starý dobrý Pastebin, který se v posledních letech stal nepsanou normou, kde se anonymně publikují rozsáhlé úniky v prostém textu. Pastebin má samozřejmě fulltextový vyhledávač, když tedy zadáte třeba výraz .cz, zobrazí se vám převážně úniky, které obsahují české e-mailové adresy.

Brzy narazíte na ty, kde je vedle e-mailové adresy i dešifrované heslo, a přestože 9/10 kombinací naštěstí nebude fungovat, ta 10. už ano.

Na Seznam E-mail, Facebook, Instagram a Snapchat českého uživatele jsem se dostal během pěti minut brouzdání na Pastebinu

Jelikož se domnívám, že praktická ukázka (sic) na hraně etiky je onou příslovečnou fackou potřebnou k probuzení, která toho čtenářům dá více než pětapadesátá teoretická bezpečnostní poučka o volbě správného hesla, sám jsem si to vyzkoušel.

Najít na Pastebinu funkční pár přihlašovací jméno + heslo na e-mail od Seznamu, mi trvalo asi tři minuty. Když jsem se dostal do e-mailu oběti, získal jsem díky bohaté historii prakticky ihned přehled o tom, kde všude má účet.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
9/10 kombinací přihlašovacího jména a hesla na Pastebinu naštěstí nefunguje, protože je v zájmu webových služeb tyto úniky hledat a hesla resetovat. Jenže v tom 1/10 případů uspějete. Dostat se z webmailu oběti na její Facebook, je pak už jen formalita.

Pět minut po navštívení Pastebinu jsem už byl přihlášený na jejím Facebooku, Messengeru, Instagramu a mohl bych tedy dále zinscenovat v rámci sociálního inženýringu útok na stovky jejích přátel, pro které bych byl naprosto důvěryhodná osoba.

Je to snazší, než si mnozí myslí

Weby jako Pastebin nebo Haveibeenpwned, kde si můžete zkontrolovat, zdali vaše přihlašovací jméno figuruje na některém z uniklých seznamů, by měl znát každý, kdo se pohybuje na internetu. Ten druhý jmenovaný má přitom i funkci notifikace, takže když vyplníte svůj e-mail, může vám na něj dorazit údaj o tom, že jste se ocitli na novém seznamu, ještě dříve, než vás bude varovat třeba konkrétní internetová služba, u které došlo k úniku dat.

Opravdovou kuriozitou však byla Michalova ukázka webového rozhraní konfigurace jisté české fotovoltaické elektrárny, které bylo jen tak mimochodem dostupné na veřejném internetu.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Na veřejném webu najdete nejen nejrůznější webkamery z ložnic, ale třeba i webové rozhraní solární elektrárny, ukazuje Michal Špaček. Výchozí heslo 1234 je základ!

Provozovatelé si totiž často neuvědomují, že i když nikde na veřejném webu nebudou sdílet odkaz, IP adresu podobného serveru stejně odhalí vyhledávače internetu věcí jako Shodan aspol., anebo mnohdy i Google, jehož indexovací roboti vyčmuchají skoro každou veřejnou webovou stránku a publikovaný dokument, kam se mohl dostat třeba i nevědomky odkaz na něco podobného.

Jedním z poselství letošního CyberConu, jehož program se protáhl na celé dva dny, tedy bylo vedle potřeby kybernetického vzdělávání také to, že drtivá většina útoků je ve své podstatě naprosto primitivní a spoléhá na běžné chyby a neznalost uživatelů. A právě proto jsou podobné útoky stále tak levné, tak nebezpečné a tak lákavé.

Diskuze (15) Další článek: Vyděsili jsme vás složitostí Garmin Pay a Fitbit Pay? Dneska vám ukážeme, že nebude tak zle

Témata článku: USA, Google, Facebook, Bezpečnost, Instagram, Evropa, Česko, Hacking, Čína, Heslo, Brno, Únik dat, Rusko, E-mail, Reportáže, eGovernment, Vzdělávání, Správné heslo, Podobný server, Česká škola, Messenger, Praktická ukázka, Naprostá samozřejmost, Kali, Česká republika


Určitě si přečtěte

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

** Co se může stát, když relativně maličký dron narazí do křídla letadla? ** Tuto otázku zodpověděli odborníci laboratorním pokusem ** Kvadrokoptéra způsobila významné poškození křídla

Karel Kilián | 19

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

** Osobní odběr v Alze vyjde na 45 Kč ** Když zaplatíte kartou předem, dostanete slevu 30 Kč ** Většina ostatních e-shopů poplatek za osobní odběr nevede

David Polesný | 171

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

** Google v týdnu ukázal nové telefony Pixel ** V Londýně se ale také konal Google Cloud Next ** Konference o tom, jak bude vypadat internet v cloudu zítra

Jakub Čížek | 31

Loopwheels znovu vymyslelo kolo. Místo drátů má v ráfcích kompozitové pružiny, které vylepší komfort jízdy

Loopwheels znovu vymyslelo kolo. Místo drátů má v ráfcích kompozitové pružiny, které vylepší komfort jízdy

** Proč vymýšlet kolo? Protože ho lze vymyslet lépe! ** Kola Loopwheels nabízejí integrované odpružení ** Cílem je poskytnout pohodlnější a klidnější jízdu

Karel Kilián | 14

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 29

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 35


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku