CYTER 2010
Již čtvrtý ročník konference o kybernetickém terorismu probíhal ve dnech 23.-24. června 2010 v luxusních prostorách Hotelu Praha, a to ve zdejším konferenčním sálu, který může sloužit také jako kinosál. Proto se akce konala ve zcela uzavřené místnosti bez oken, která mohla působit poněkud depresivně nebo utajeně, jako by se tu projednávaly nejpřísněji střežené státní taktiky na obranu národní bezpečnosti proti (kyber)terorismu. Nicméně na druhou stranu bylo velmi příjemné, že nikdo nebyl rušen podněty zvenčí a všichni se plně soustředili na průběh akce, případně odpočinek.
Tento článek nabízí anotace příspěvků, které na konferenci zazněly, další informace lze nalézt na webových stránkách konference.
První den konference - 23. června 2010
Konference byla zahájena v 9,30 registrací a první přednáškou v 10,30. Zajímavé bylo povšimnout si, že kromě hotelového personálu a dvou dam u registrace jsem od 8,30, kdy se objevili první další návštěvníci této konference, až do 9,42 neviděla jedinou ženu; celkově jsem během akce potkala asi 10 účastnic.
V 10,29 se zavřely dveře přednáškového sálu a byla ztlumena světla, což byl pro některé členy publika signál otevřít oči a pro jiné je zavřít. Konference měla být zahájena ministrem vnitra ČR Martinem Pecinou, který se ale večer před akcí omluvil. Proto se úvodního slova krátce ujal Václav Jirovský, kterého lze označit za duchovního otce této akce. Ten rychle odkázal na první přednášku.
Role odboru kybernetických hrozeb v ochraně českého kybernetického prostoru
První příspěvek, který na konferenci zazněl, patřil k těm velmi zajímavým a byl přednesen Alešem Špidlou, ředitelem odboru kybernetické bezpečnosti MV ČR. Tento orgán byl založen vládním usnesením č. 205 z 15. 3. 2010, ve kterém jsou definovány i základní úkoly odboru. Úkoly jsou dále rozvedeny ve vládním usnesení č. 380 z 24. 5. 2010. Odbor kybernetické bezpečnosti je vzhledem k prozatím krátkému působení ve fázi formování, nicméně je nepochybné, že bude hrát významnou roli v informační bezpečnosti na národní i mezinárodní úrovni. Mezi cíle odboru patří mj. osvětová činnost, byla zmíněna nezbytnost působit na pedagogy. Významnou aktivitou odboru je jistě i vytvoření národního pracoviště CSIRT/CERT, které nebude orgánem státní správy, a tedy bude moci dělat to, co zákon nezakazuje. Na závěr A. Špidla uvedl, že si uvědomuje význam spolupráce s veřejnou správou, privátním sektorem i akademickou sférou, proto ji vítá.
Společnost v kyberprostoru
Václav Jirovský z ČVUT v Praze zahájil svůj příspěvek improvizací na téma HackerTools Rootkit. Svou prezentaci k příspěvku chtěl spustit na svém notebooku, který se ale nepodařilo spustit. Vysvětlil to tak, že při úpravách na poslední chvíli se mu do počítače dostal malware, což jasně ukazuje, že v ohrožení je každý a vždy a že informační problémy mohou znepříjemnit život. Po několika minutách pokusů se V. Jirovský vzdal a posluchači se museli spokojit se starší, neúplnou verzí prezentace. Dlouhá úvodní část se věnovala pojmu kyberprostor, jeho vzniku a souvisejícím termínům. Poté se V. Jirovský dostal k problémovým aspektům kyberprostoru, sahajícím od závislosti na internetu po kyberterorismus. Podrobnost příspěvku lze nejlépe ilustrovat tím, že přednášející cítil potřebu definovat MUD jako síťovou hru, aby posluchačům neunikl obsah sdělení. Věnoval pozornost problematickým faktorům kybernetické kriminality, zmínil časté nepochopení digitálních důkazů soudy, což může vést až k chybným rozhodnutím, ale i stálé chybné vnímání trestního práva jako hmotného ze strany občanů. Zajímavou informací je bezpochyby i to, že pouze cca 5 % případů oznámené internetové kriminality se dostalo k soudu. Příspěvek zmiňoval i nové a netradiční způsoby získávání informací, např. InFlow či vytěžování sociálních sítí. Následně byla krátce věnována pozornost kyberterorismu s odkazem na to, že téma bude blíže popsáno v následujícím příspěvku.
Hrozby, jak je neznáme. Kybernetická válka na obzoru?
Téma kybernetické války podrobněji probíral Jan Machník ze společnosti McAfee, Inc. (PCS spol. s r.o.). Tento příspěvek s velmi zajímavým tématem ovšem patřil svým provedením k slabším, protože přednášející monotónním hlasem četl připravený materiál. Příspěvek popisoval především výsledky výzkumu IT pracovníků z malých a středních firem pro společnost McAfee, které byly rozšířeny odkazy na související problematiku. První část přednášky byla naplněna čísly a grafy, které ukazovaly např. množství internetových útoků, malwaru či spamu. Poté přišly na řadu informace o kybernetické válce. Zmíněny byly podobné rysy s válečnými konflikty v reálném prostředí, ale i ty rozdílné a samozřejmě případy, které lze označit jako kyberválku (např. hackerské útoky Gruzínců během okupace Osetie). Kyberválka je nepochybně reálnou možností mezinárodních konfliktů a existuje několik specializovaných odborných výzkumů zjišťující, jak které státy kyber-zbrojí. Vzhledem k zapojení ICT do všech oblastí lidské činnosti mohou hackeři způsobit mnohem vážnější problémy než lidští vojáci, např. zničením kritických systémů pro dodávky vody, elektřiny atd. Proto je nezbytné, aby podobné hrozby nebyly brány na lehkou váhu. Připravena musí být nejen státní sféra, protože kritické části infrastruktury jsou v soukromém vlastnictví. Zmíněn byl i vliv ekonomické krize na internetovou bezpečnost. Útočníci mohou snadno využít nedostatku financí a nejistoty mezi lidmi a snadněji mohou oběti vmanipulovat do svých scénářů útoku. I závěr tohoto příspěvku patřil zmínce o významu vzdělávání.
Shromažďování provozních a lokalizačních údajů vs. svoboda soukromí
Příspěvek Jiřího Herczega z Právnické fakulty UK se věnoval tématu, které by vyvolalo bouřlivou diskuzi na každém setkání odborníků z různých oblastí blízkých internetu. Základním tématem byla Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES a jí odpovídajících zákonech ve státech EU. Pozornost patřila ústavnosti této zákonné úpravy, která byla nedávno řešena v Německu, přičemž německý soud rozhodl ve prospěch svobody jednotlivce. Ačkoli na základě této směrnice nejsou uchovávány obsahy zpráv, formální informace shromažďované na dobu danou zákonem plošně mohou být považovány za příliš velký zásah do soukromí oproti přínosům, které opatření mohou přinést. Současně v praxi často dochází ke zneužívání shromažďovaných informací, zejména na základě neznalosti ICT ze strany soudců. Přednášející jasně vyjádřil svůj příklon ke svobodě jednotlivce, což vyvolalo silnou vlnu nevole ze strany některých účastníků v publiku. Velmi krátká diskuze, která následovala, nepřinesla žádné výsledky. Osobně jsem byla přesvědčena spíše přednášejícím a jeho názorem, že informace, na které se vztahuje tato směrnice o tzv. data retention, by měly být upraveny obdobně, jako je tomu u odposlechů, a že je nutné i v této oblasti dodržovat princip presumpce neviny.
Lidská povaha a privilegované účty jako součást obchodních úkolů
Závěrečný příspěvek prvního dne a současně jediný zahraniční přednesl Gidon Pely ze společnosti Cyber-Ark Software. Tato firemní prezentace představila produkt, který by měl značně podpořit vnitřní i vnější bezpečnost dat jakékoli organizace. Daný typ nástrojů pomáhá zejména při nedodržování formulované bezpečnostní politiky dané instituce. Přednášející poukázal na časté ponechávání přednastaveních hesel, ale také možnost útoku ze strany bývalého zaměstnance, především pracovníka IT, který si často dokáže najít jednoduchou cestu zpět do systému. Těmto i dalším problémům by měla předcházet tzv. Cyber-Ark’s Patented Vaulting Technology, která tvoří součást dvou představených produktů - GFT & HSIM Suite (Governed File Transfer, Highly Sensitive Information Management) a PIM Suite (Privileged Identity Management).
Druhý den konference – 24. června 2010
První a delší část dne byla naplněna odbornými příspěvky a prezentacemi různých společností, závěr patřil kulatému stolu.
Ustanovení a fungování CSIRT týmu ve sdružení CZ.NIC
Martin Peterka se věnoval přiblížení aktivit své mateřské organizace CZ.NIC a jedné její sekce, CZNIC-CSIRT. Sdružení CZ.NIC je členem mnoha mezinárodních organizací. Zabývá se především provozováním registru doménových jmen .cz, provozem ENUM registru a osvětou v oblasti doménových jmen; významnou činnost vykazuje i v oblasti bezpečnosti, a to na úrovni osvěty, výzkumu a vývoje (mnoho dnes slyšíme např. o technologii DNSSEC, kterou je v ČR zabezpečeno 14 % domén, což je nejvíce na světě) i preventivních a represivních opatření. Významnou roli hraje tým CZ.NIC-CSIRT. Jeho smyslem bylo řešení incidentů v AS25192 a na nameserverech pro .cz, které se ale prakticky nevyskytovaly. Naopak uživatelé se na tým často obraceli s jinými problémy, které byly následně řešeny ve spolupráci s CSIRT.CZ. Významný problém se objevil v říjnu 2009, kdy byly zaregistrovány dvě domény a následně zneužity k nelegálním činnostem (phishing, malware, nelegální software). Sdružení o tom bylo informováno, ale nemělo legální podklad pro řešení. Nakonec byly domény na základě formálních nedostatků zrušeny, nicméně tento incident ukázal problém, který by mohl mít nedozírné následky. Proto byla rychle vykonána protiopatření (změna pravidel registrace domén .cz a rozšíření působnosti týmu CZ.NIC-CSIRT). Pokračování kauzy na sebe nedalo dlouho čekat: v mnohem větším rozsahu se obdobný scénář opakoval na počátku února 2010, kdy se jednalo o cca 150 domén. Tento problém byl ale díky připravenosti společnosti rychle vyřešen. Tím byly shrnuty důvody a způsob rozšiřující se spolupráce a pozornosti v oblasti bezpečnosti sdružení CZ.NIC.
WEBINT – problematika vytěžování a analýzy otevřených zdrojů
Velmi atraktivním tématem se zabýval Tomáš Hlavsa z české firmy BULL, s.r.o. Zřejmě nutnou, i když méně zajímavou částí byl úvod příspěvku, který patřil vysvětlení pojmů. Základem byl termín WEBINT, nicméně podrobně byl vysvětlen i význam pojmu deep web. V oblasti WEBINTU se objevilo v blízké minulosti několik výzev. Za zmínku jistě stojí sociální sítě, které mohou ukázat nečekané sociální vazby např. při vyšetřování obchodu s drogami. Opominout nelze ani virtuální světy, jako jsou World of Warcraft nebo Second Life, kde jsou např. věrně vymodelována reálná místa, což může sloužit k nácviku teroristických útoků. Výzev v oblasti WEBINTU je opravdu mnoho, ale jejich řešení může hrát významnou roli mj. v oblasti terorismu, činnosti extremistických skupin, cizojazyčných skupin, při praní špinavých peněz atd. Problematika WEBINTU je složitá, proto přednášející také představil vhodnou architekturu a procesy při administraci systému a správě případů, které jsou samozřejmě spojeny se společností BULL. T. Hlavsa podrobně vysvětlil význam jednotlivých složek systému. Na závěr je nutné zdůraznit omezení již vyjádřené v názvu, a to že výše uvedené informace se týkaly volně dostupných zdrojů.
Hry a sociální sítě na internetu
Nejinspirativnější příspěvek podle mého názoru přednesli Andrea Kropáčová a Jan Kolouch z CESNET z.p.s.o. Jako první se slova ujala Andrea Kropáčová, která popsala aktivitu CESNETU v oblasti vzdělávání a osvěty. Představila školení, která jsou v současnosti nabízeny vysokým školám. Studenti jsou na nich poučováni zejména o legislativních opatřeních, která jsou často porušována v souvislosti s ICT. Vedle toho se kurzy zabývají tématy jako anonymita na internetu, fungování základních programů a příkazů, etika nebo e-podpis. Vysokoškolští studenti často nemají zcela správné znalosti v této oblasti, ale po kurzu projevují o tematiku zájem, což představuje z hlediska informačního vzdělávání vhodnou příležitost. Na závěr přednášející doporučila inspirativní sociologickou studii s názvem Co dělají Češi a Češky na internetu.
Následně vystoupil Jan Kolouch, který se blíže zaměřil na populární záležitosti na internetu, a to hry a sociální sítě v souvislosti s virtuálními zločiny. Nejdříve bylo konstatováno, že lidé si hrají rádi a všude a s oblíbeností sociálních sítí roste i nabídka a využití her spojených s těmito službami. Současně ale v celé oblasti počítačových her vzrůstá zobrazovaná brutalita, což může mít negativní psychologické důsledky, např. lhostejnost k reálnému a vážnému násilí či přenos činností do reálného světa. Kolouch, stejně jako před ním Kropáčová, zdůraznil i klamný pocit anonymity na internetu a potenciální možnost, že informace, které uživatel o sobě zveřejní, mu mohou později ublížit. To si ale uživatelé neuvědomují, dokud jim to někdo nevysvětlí. Již běžně dnes personalisté shromažďují na internetu informace o žadatelích o zaměstnání. Mimo to je zde možnost problémů jako krádež identity, dat či malware, spam a další. Přesto lidé stále neváhají uvádět i velmi osobní informace. Toho využívají i různí lidé a organizace, které pomocí „výzkumů“ na Facebooku a sociálního inženýrství shromažďují osobní údaje uživatelů, kdy hraje roli mj. nepozornost při souhlasu s licenčními podmínkami. Následně J. Kolouch přešel k virtuálním světům a zločinům v těchto prostředích. Zajímavostí může být, že holandská policie chytila jednoho z prvních zlodějů v Second Life. Některé zde se vyskytující právní prohřešky jsou běžně uznávány a také rozšířeny (např. kyberšikana), jiné se teprve objevují a své místo získávají (např. virtuální znásilnění či vražda). Řešení problémů, které byly zmíněny, přednášející vidí v osvětě. Uživatelé by podle něj měli vědět, že to, co udělají na internetu, se prolíná do běžného života.
Moderní metody ochrany datové sítě
Vystoupení Pavla Minaříka ze společnost AdvaICT, a.s., bylo zajímavé nejen jako představení produktu, ale také jako inspirativní, i když specifický příklad spolupráce komerční a akademické sféry. Firma totiž vznikla, aby převáděla do praxe a komerce poznatky z výzkumu Masarykovy univerzity v oblasti bezpečnosti počítačových sítí. Je zřejmé, že oblast počítačové kriminality nabývá na významu, hrozeb přibývá a na straně útočníků i obránců je investováno množství peněz pro dosažení úspěchu. V oblasti ochrany existuje množství specializovaných programů (antiviry, antispywary, firewally atd.), ale často se zapomíná na pokročilý a systematický monitoring síťové bezpečnosti (Network Security Monitoring, NSM). NSM sleduje jednotlivé oblasti a vyhodnocuje je společně, a tím kvalitněji. Nejdříve je monitorována síť a shromažďována evidence, sesbíraná data jsou pravidelně analyzována, následuje vyhodnocení a vyšetření varování a na závěr jsou incidenty zdokumentovány. Výsledek je dán k finálnímu rozhodnutí o postupu bezpečnostnímu analytikovi. Kompletní řešení v oblasti všech uvedených fází přináší produkt MyNetScope® ADS, který umožní rozhodnout o řešení během několika minut od chvíle, kdy se problém objevil.
Inteligentní logovací server
Produkt Masarykovy univerzity představil Jan Vykopal. Jedná se o inteligentní logovací server, který může mít značný vliv na zvýšení bezpečnosti sítě. Jednou z jeho nepopiratelných výhod je, že je velmi levný oproti obdobným produktům. Funguje opět ve fázích – jsou sbírána, analyzována, korelována data, ze kterých jsou vytvořeny logy či zprávy, a to z heterogenních zdrojů. Pomocí tohoto postupu je možné včas a přesně detekovat kybernetické útoky, ale i chybné nastavení systému. Produkt vznikl na základě projektu, který stále trvá, v budoucnosti by měla být dokončena prezentační vrstva a mělo by dojít k nasazení kompletního systému na celé Masarykově univerzitě. J. Vykopal popsal případovou studii, jak by probíhal neautorizovaný přístup do počítačového systému při nevyužití a využití ILS. Nejvýznamnějším rozdílem je, že systém vyhodnocuje zaznamenané incidenty společně a tedy kvalitněji, např. více incidentů by bez produktu bylo označeno jako více útoků bez jasného spojení, kdežto ILS je označí jako jediný problém, který probíhá na více úrovních. Představený produkt by tedy měl zkvalitnit detekci bezpečnostních incidentů a odhalit jinak nezjistitelné korelace.
O krok před zločinci
Poslední příspěvek byl vytvořen Jiřím Gregorem ze společnosti GALEOS, a.s., a Janem Dienstbierem z PrincewaterhouseCoopers ČR. Přednášející představili komerční produkt, který nalézá význam v událostech, a to na základě velkého množství dat a v reálném čase. Současně doporučuje řešení, co se má udělat (ne co se mělo udělat). Je to obrovský rozdíl v přístupu ke zpracování dat. Při klasickém postupu jsou data shromážděna a analyzována zpětně. Takový přístup ale není vhodný při situacích, kdy je nutná co nejrychlejší reakce, např. při zneužití platebních karet. Na základě vnějších událostí jsou vždy po komplexním zpracování v reálném čase při splnění daných podmínek hlášeny významné události, se kterými se ihned dále pracuje, a to na základě vyhodnocení odborníkem. Rychlé reakce jsou stále významnější, není možné vše vyhodnocovat lidským zásahem, jsou nezbytné softwarové nástroje, z nichž jeden byl představen. Produkt s názvem Apama umožňuje vytvářet scénáře zpracování komplexních událostí a s jeho zapojením lze při incidentu bezprostředně provést akci. Jako ilustraci skutečného využití technologie přednášející popsal scénáře detekce podvodu s kreditními kartami, které již byly realizovány v EU, scénáře detekce teroristy, které jsou zatím stále vyvíjeny, a některé další příklady.
Kulatý stůl – Nové hrozby a ochrana před kybernetickou kriminalitou a terorismem
Finále konference patřilo kulatému stolu, ke kterému byli tento rok pozváni Aleš Špidla (Ministerstvo vnitra ČR), Jan Kolouch (CESNET z.p.s.o.), Martin Peterka (CZ.NIC) a Andrea Dufková (ENISA), debatu řídil Václav Jirovský (ČVUT). Diskutující nejdříve pozitivně zhodnotili průběh konference, následně byl dán prostor pro dotazy z publika. Jako první padl dotaz, který mne pálil na jazyku celé dva konferenční dny, a to jak, kdy a u koho začít se vzděláváním v této oblasti. Odpovědi všech čtyř účastníků kulatého stolu lze shrnout tak, že je potřeba komplexní vzdělání, začít se musí u všech, tj. rodičů, dětí i učitelů. Následující dotazy již byly zaměřeny na represivní opatření v oblasti informační bezpečnosti a jejich budoucnost. Na závěr lze uvést, že z diskuze u kulatého stolu nevyplynuly žádné konkrétní argumenty či odpovědi na otázky spojené s informační bezpečností.
Závěr
Je nepochybné, že pořadatelé se velmi soustředili na organizaci. Aby všichni účastníci přežili dva dny náročné tematiky, první příspěvky obou dnů byly načasovány na poměrně pozdní dobu, naopak konferenční dny končily ve srovnání s obdobnými akcemi brzy. Poměrně dlouhé přestávky a závěrečné občerstvení, které mělo sloužit k neformálním debatám, se příliš nepovedly, většina účastníků nevyužila možnosti konverzace a po občerstvení ihned opustila prostory akce. Zůstávala pouze malá skupinka lidí, složená převážně z pořadatelů a jejich zřejmě starých známých, kteří mezi sebe nikoho nepouštěli.
Z hlediska obsahu pozitivně nemůžu hodnotit ani propagaci akce. Název, pozvánky i webové stránky konference naznačovaly, že se jedná o úzce zaměřenou, odbornou a elitní akci, ovšem tato očekávání se z mého pohledu nenaplnila. Příspěvky byly vytvořeny tak, aby byly zajímavé především pro zaměstnance ve státní správě, většina z nich nebyla specializována na kyberterorismus, ačkoli akce se prezentuje jako konference o kybernetickém terorismu. Jako velký nedostatek vidím i možnost dotazů k přednáškám, které téměř nebylo možné položit.
Za zmínku stojí i to, že mimo můj dotaz nikdo nikdy na konferenci nezmínil knihovny či knihovnictví, takže zřejmě není jejich role vzdělávání v oblasti informační bezpečnosti dostatečně uznána odborníky z jiných oblastí spojených s IT. Po skončení diskuze mi svůj pozitivní názor na potencionální význam knihoven vyjádřili někteří účastníci v setkání v malém kroužku lidí.
Konference celkově byla přínosná, i když moje očekávání nebyla dostatečně naplněna. Přesto si myslím, že tematika, která zde byla probírána, nabývá na významu a snad nikdo by ji neměl odsouvat ze spektra zájmu. Významnou roli hraje i fakt, že základní otázka, která byla často připomínána na konferenci, je spojena se vzděláváním v oblasti informační bezpečnosti, což je nepochybně významnou složkou informačního vzdělávání a různých dnes významných gramotností, ke kterým mají knihovny co říct.