Předpokládejte, že někdo o vás ví všechno
Týdeník Echo - rozhovor
V dnešním světě je vše připojené na internet. Elektrická síť, vládní databáze, bankovní účty, připojené mohou být i armádní zbraně. Neustále připojeni jsou i lidé, kteří tráví velkou část dne se svými chytrými telefony, tablety a počítači. Internet velmi zjednodušuje život, zároveň se na něm člověk vystavuje neustálému nebezpečí, že bude „hacknut“, podveden, zneužit. O rizicích na sítích a jak se jim bránit se rozhovořil americký expert na kybernetickou obranu doktor Abdul Rahman.
Když se řekne kybernetická obrana, představím si nějakého zloducha z Jamese Bonda, který párkrát zmáčkne klávesnici a na druhém konci světa exploduje ropovod. Je to něco realistického?
Možná ve filmech, ale ve skutečnosti je za tím mnohem víc práce, aby něco takového mohlo fungovat. Takže ano, ale chce to, jak říkám, mnohem víc práce.
Tak jak by ve skutečnosti takovýto kybernetický útok vypadal?
Obnáší to hodně výzkumu, je tam vícero fází, kdy lidé musí vykonat nejrůznější kroky. Například průzkum, pochopit, po čem jdou, poté musí dlouhou dobu studovat to určité prostředí. Co mají, co je nechráněno, jak se to tváří veřejně. Na základě těchto informací vyrobíte něco, co se velmi specificky hodí na to prostředí. Poté musíte vymyslet, jak to doručit. Doručení se může odehrát nejrůznějšími způsoby. Ve většině případů máte různé týmy. Jeden tým hledá slabinu, další tým doručuje, tak to chodí ve skutečnosti. Takže i když někdo někde sedí u klávesnice, nejspíš spolupracuje s velkým počtem týmů, nebo předtím strávil sám mnoho času vymýšlením toho, co je nejefektivnější.
Můžete dát konkrétní příklad?
Tak třeba ve zprávách se hodně mluví o tom, jak by zlovolné síly mohly zaútočit na SCADA systémy. SCADA systémy řídí takové věci, jako jsou elektrické sítě, energetické systémy, a nejsou dobře zabezpečeny, tradičně jsou špatně chráněny. Běží na počítačích, které jsou snadno napadnutelné, takže k nim lehce získáte přístup. Pokud chcete způsobit výpadek proudu a podobně, existují metody, jak využít toto prostředí.
Co armáda? Dnes se stále víc používají automatizované a na dálku řízené zbraně, například drony. Můžete „hacknout“ dron?
Cokoli funguje na základě počítačového systému, může být zkompromitováno, protože to bylo vyvinuto člověkem. Pokud něco vyvinul člověk, může to být poraženo lidskými prostředky. Musíte to jenom studovat a přijít na slabiny. Neexistuje dokonale navržený systém. Takže ano, „hacknutí“ dronu je možné.
Nepřehání se to s růstem výdajů armád a zpravodajských služeb na kybernetickou bezpečnost?
Nezapomeňte, že všechna klíčová infrastruktura běží na počítačových systémech a ty počítačové systémy musejí být bráněny. Jak se stále víc a víc lidí přesouvá od manuální práce k programování a stavbě aplikací, tím víc je potřeba tyhle systémy chránit. Ten počet roste exponenciálně.
Jaké jsou největší hrozby pro Západ, pro euroatlantickou sféru?
Myslím, že kdokoli, kdo má dobré financování, může jakkoli zaútočit na jakýkoli cíl, pokud chce a má kapacity, aby to udělal rychle. Nechci říkat příklady jmenovitě, ale ti, kteří jsou hrozbou, jsou extrémně dobře financovaní.
Co vlivové operace? Využívání internetu k ovlivňování názorů v ostatních zemích. Nebo byste řekl, že hlavní nebezpečí jsou kybernetické útoky, které například mohou vyřadit elektrickou síť?
Může to být obojí, že ano? Když plánujete nějakou akci, musíte nejdřív zjistit, jaké v místě panuje mínění, musíte si udělat analýzu nálady populace. Je to důležité pro efektivnost kampaně. Nemění to však statickou povahu toho, co chcete využít. Takže budete potřebovat obojí.
Řekl bych, že obrana proti hackerským útokům je celkem přímočará, musíte mít vlastní expertní tým. Ale jak se bránit proti vlivovým operacím? Může být jedním ze způsobů, jak bojovat proti dezinformacím, zbavit se internetových robotů?
Všechna ta infrastruktura robotů vyžaduje účty. Musíte vytvořit účty, které ty roboty budou používat. Takže otázkou je, jsou to opravdové účty, nebo falešné účty? Jsou napojené na opravdové lidi? Jsou to ověřené účty? Jak jsou ověřené? Ta armáda robotů musí být napojená na lidi a účty. Musíme se ptát, jaký mají přístup, jak jsou zajištěné, jak se chtějí šířit. Na druhé straně, analýza nálady lidí může být manipulovaná na základě zdrojů, které jim dáme. Lidé určité třídy, inteligence a ekonomického statusu podléhají určitému druhu zpráv. A vlivová kampaň na ně může fungovat. Všechno to musí být založeno na předchozím výzkumu.
Co kybernetická špionáž? Nastane někdy doba, kdy lidští zpravodajci budou zbyteční?
Nemyslím si, že někdy budou zbyteční. Vždy budete potřebovat lidský faktor. Protože neexistuje garance, že získaná informace je pravdivá. Pokud někdo vytvoří falešný profil a použije falešnou fotku a falešnou adresu, musíte to ověřit za pomoci člověka a dalších informací. Je důležité používat nejrůznější zdroje informací a ověřovat.
Je nějaký způsob, jak se bránit proti těmto útokům, nebo prostě nesmíte být na internetu?
To druhé. Musíte omezit svou digitální stopu.
Jaké jsou největší hrozby pro obyčejné lidi? Co se může stát mně?
Když používáte internet, dáváte mu informace o sobě, svou fotku, svou adresu, data o tom, kdo jste. Všechno se to těží. Instagram, Twitter, Snapchat, Facebook, ty informace se nikdy nemažou. Takže klíčovou věcí, které si musíte být vědom, je vědět, kde jste, a vědět, kdo jste v přesném čase a prostoru. Třeba kdybyste postnul na Twitter, jsem zde a dělám rozhovor, lidé budou vědět, kdo jste, a ověří si to s dalšími informacemi. Velmi rychle zjistí, jaký je váš vztah s ostatními v místnosti. Takže když zveřejníte tuto informaci, vystavujete se riziku. Pokud mají vaši fotku, vědí, jak vypadáte. V některých částech světa pokud mají vaši fotku, mají i vaše jméno, vědí, kde bydlíte. Můžou zjistit vaše číslo sociálního zabezpečení (americká obdoba rodného čísla – pozn. aut.), vaše telefonní číslo, jméno vašich rodičů... Je to jednoduché. Je to možné dokázat za patnáct minut, deset minut. Vše automatizované.
Takže za patnáct minut...
… za patnáct minut můžou mít všechny informace o vás.
Moje kreditní karty a vše je zkompromitováno za patnáct minut?
S kreditními kartami je to komplikovanější. Ale předpokládám, že používáte Amazon.
Ano.
Takže používáte Amazon a vím, kdo jste, zjistím si váš telefon. Dál už to není těžké.
Je jediný způsob, jak se proti tomu bránit, omezit vlastní digitální stopu?
Ano, omezit svou stopu. Třeba můžete použít stylizovaný obrázek místo fotky. Když někde musíte vyplnit adresu, třeba vyplňte jen své město a stát. Když se vás po internetu někdo zeptá na telefonní číslo, dejte mu jen svou e-mailovou adresu. Řekněte mu, že mu nechcete dávat své číslo. Tyhle informace se hodně prodávají. Hodně se předávají, nevíte, kdo je má, kdo je koupil. Často se tyhle informace předávají na dark webu a ostatních místech. Lidé je prodávají. Třeba vaše zdravotní informace. Říkají tomu PIA (personal indetifiable information – pozn. aut.), osobní identifikovatelné údaje. Takže znám vaši krevní skupinu, vaše jméno, vaši adresu, vaše telefonní číslo, vaše rodné číslo. Konec. Znám celou vaši identitu.
Lidé tyhle informace aktivně těží, nebo je korporace prodávají?
Co se týče těžby dat, je to deset minut. Je to jako přestávka na kávu. Nejde v pravém slova smyslu o těžbu. Všechno je to přímo před vámi, pokud chcete. Klíč je omezení vaší stopy. Musíte být chytrý, anticipovat, co někdo udělá, na co se zeptá. Prostě předpokládejte, že někdo o vás ví vše. Už je dokonáno. Dokonáno. Konec.
Co rčení, že pokud je něco zadarmo, tak potom vy jste produkt?
Něco je zadarmo, potom vy jste produkt? Ano, to zní dobře. Líbí se mi. Dává to hodně smysl. Informace jsou problém. A vy jste informace. Pokud vám něco dávají, pak za to chtějí něco zpět. To je stoprocentní marže. Je to skvělá přirážka. Protože vaše informace jsou důležité, váš profil, vaše energie, vaše práce, to, kdo jste. Vy reprezentujete hodnotu.
Zmínil jste dark web. Co je to?
Část internetu je adresovatelná, část není. Je to jako ledovec v oceánu. Ta část, co vidíte, je adresovatelná, ale také tam je celá část, která není dostupná. To je považováno za neadresovatelnou část internetu.
Je nějaký způsob, jak se k ní dostat?
Můžete použít několik mechanismů. Můžete použít TOR, nejrůznější přístupové body, přístupové stránky, které jsou normálně neadresné, základní DNS servery.
A to je to hlavní místo, kde se s těmito informacemi obchoduje?
Lidé to dělají všude. Vyřeší to rychle pře své telefony. Jde to všude možně.
Co technologičtí giganti? Vědí o nás víc, než si dokážeme představit?
Odpovím takto. Používáte Google jako svůj vyhledávač od šesti ráno až po jedenáctou večer. Padesátkrát denně. Vyhledáváte všechno, toaletní papír, povlečení na polštáře, kabáty, boty, restaurace. Děláte to měsíc, dva měsíce, šest měsíců, rok, dva roky. Váš kompletní profil, kdo jste, je on-line. Je tam kompletní historie vašeho vyhledávání. Vědí o vás všechno.
Tyto informace jsou uloženy navždy?
Nejspíš. Když se podíváte do svého cache, tak tam uvidíte všechno, co jste kdy vyhledal. Je to uloženo.
Podle nařízení EU poskytovatelé služeb musejí smazat za určitých okolností údaje, které o vás mají.
Vy tomu věříte?
Na to jsem se chtěl zeptat. Nedá se to jednoduše obejít?
Požádáte o vymazání. Oni řeknou, O. K., ale vy si to musíte ověřit. Jak si to ověříte a jak vám to řeknou? Prostě se na vás otočí a prohlásí, jasně vymazali jsme vás. Ale vaše informace jsou hodnotné. Vaše vzory chování jsou hodnotné. Celé to funguje na dobré slovo, že? Musíte věřit, že vás vymazali. Stejně jako musíte věřit, že někdo neprodal nebo neukradl vaše informace.
Dá se říct, že o mně vědí více než například moje vláda na základě daňového přiznání?
Je to jiný druh informací. Pokud jste ženatý, máte tři děti, žijete zde, podnikáte, vlastníte rybářskou loď, kupujete a prodáváte zboží, vláda si může ten profil vytvořit. Ale daňové přiznání podáváte jednou za rok. Na internetu vyhledáváte padesátkrát za den, každý den, 365 dní v roce, v tom je ten velký rozdíl.
Řekl byste, že existují skupiny, které jsou náchylnější k těmto útokům? Mám na mysli hlavně teenagery, kteří asi používají sociální sítě víc než starší lidé.
Všechno záleží na tom, jaký druh aplikací používáte. Pokud hodně využíváte sociální média, používáte hodně Amazon, jste často na vašem telefonu, jste hodně u počítače, tak to všechno vytváří schéma vašeho života. Toto schéma života časem narůstá. Například vaše nákupní schéma. Ve Spojených státech máme velký nákupní řetězec Target. Když jdete do Targetu, můžete si koupit nejrůznější věci. Balicí papír, ponožky, cereálie... a všechno to jde do jejich systému. Ale stejné věci můžete koupit po internetu, pak zajdete do Targetu a oni vám to zabalí.
Takže byste řekl, že toto shromažďování informací není nic nového, jen se to díky internetu hodně zjednodušilo?
Ano, internet to zjednodušil, ale jde také o aplikace, které využíváte. Internet slouží pouze jako základna. Ale jsou to aplikace, které využívají získaná data. Kdyby neexistoval Google, možná by neexistoval Google kalendář nebo Google mapy, Yelp, OpenTable, Amazon. Dohromady vytvářejí ekosystém, který váš život zjednodušuje. Je to, jako když řeknete Siri, ať vás vezme do čínské restaurace. Nyní vědí, že máte rád čínské jídlo.
Co případy, kdy se zajistí, že jste v mládí dělal něco, co je dnes považováno za problematické? Bude to čím dál větší problém, když je nyní celé vaše dětství dokumentováno na internetu? Například když váš zaměstnavatel nalezne fotografie z doby, kdy vám bylo šestnáct a kouřil jste marihuanu. Musí dnešní děti prostě myslet na to, že to, co provádějí dnes, může za třicet let být problém?
Na internetu se nic nezapomíná. Takže pokud jste měl těžké dětství nebo zrychlený způsoby života nebo jste příliš chodil na party nebo jste se stýkal s pochybnými lidmi, kteří byli ve vězení, nebo jste se zamotal do podivných okolností, tak to tam všechno je. Když jdete na pracovní pohovor, tak se vás na tyto věci ptají. Když je nepřiznáte, tak si vyhledají vaše jméno, vaše rodné číslo, datum narození, vrátí se s vaším digitálním profilem a zeptají se vás, proč jste jim lhal, a vy nedostanete práci. To je něco, co se už děje. Musíte se snažit omezit své vystavení. Znovu jde hlavně o to, kde, co a kdy sdílíte. Musíte se pokusit omezit tento trojúhelník, potom bude těžší vás identifikovat. Celé je to velmi nebezpečné. Vytváří to o vás průběžný záznam.
Co bych měl udělat, když někdo ukradne mou identitu?
Zavolat do své banky a zablokovat všechny svoje karty. A měl byste neustále monitorovat stav svého účtu, abyste viděl, kdo vám co účtuje. Dám vám příklad. Myslel jsem si, že se něco děje s mou debetní kartou. Viděl jsem jednu, dvě, tři, čtyři, pět věcí, které jsem si nekoupil. Někdo si objednal činky, ponožky, čelenku, boty. Potom jsem si uvědomil, že můj syn se dostal k mé kartě, dal si ji na svůj Amazon a všechno si to objednal. Možná jsem byl nezodpovědný s informacemi o své kartě, možná jen byl můj syn chytrý. Jsou případy, kdy lidé zjistili, že mají objednávky na iTunes nebo Amazonu, které neudělali. Musíte to bedlivě sledovat. Každý den to musíte zapnout a dívat se, co se objeví. Napsal jsem tento šek? Vyplnil jsem tento obnos na tento účet? Musíte o tom přemýšlet. Utratil jsem čtyři tisíce, vydělal jsem čtyři tisíce. Dobře, to je nula. Utratil jsem sedm tisíc, vydělal jsem čtyři tisíce. Dobře, někdo utratil tři tisíce za mě. Odkud se to vzalo? Jsem jenom nezodpovědný, nebo to udělal někdo jiný? Musíte používat svůj selský rozum a monitorovat se. Kdykoli je něco divného na vašem výpisu z účtu, měl byste zbystřit. Musíte být ostražitý.
Četl jsem, že lidé, kteří vedou Facebook a Google a podobné firmy, se snaží omezit čas svých dětí na internetu. První smartphone nedostanou, dokud nejsou relativně staré. Je to něco, co byste doporučil?
Znáte televizní marketing. Pro vás animáky a hračky nejsou věci, které míří na vaši věkovou skupinu. Míří na mladší. Na jednoleté, dvouleté, tříleté, čtyřleté, pětileté až desetileté. Přej si tuhle hračku, zajdi do tohohle obchodu. Je to velmi vnímavé publikum. Velmi lehce se zmanipulují. Zní to dobře, vypadá to dobře, takže půjdou a řeknou: „Tati, chci, abys mi to koupil. Běž a kup mi to, vezmi mě tam.“ Celý tento marketingový systém je nastavený tak, aby získal pozornost těchto diváků. Takže čím víc jste na internetu, tím víc se naučí o vašem chování, co děláte, co nakupujete. Poté se na vás začnou valit návrhy, co koupit, co konzumovat. Internet se čím dál tím víc mění ve spotřebitelský trh, kde zboží a služby jsou navržené a mířené přesně podle toho, co se dá vyčíst z vašeho chování. Čím méně času tam strávíte, tím se méně naučí o vašem chování. To je ten závěr. Tedy pokud nechcete, aby tam vaše dítě bylo a vy jste utratili všechny peníze za hračky. Je to samozřejmě těžké. Noví rodiče jsou unaveni, dítě jim skáče po hlavě, takže mu zapnou televizi a jdou si schrupnout. Když se probudí, dítě najednou chce koupit to a to.
Co je VPN? Je to něco, co může pomoci?
VPN znamená virtual private network (virtuální privátní síť). V podstatě jde o šifrovaný tunel přes internet, který zajišťuje komunikaci z bodu do bodu. Na nějakou adresu, na kterou se chcete přihlásit z vašeho místa. Pokud jste na jednom konci, znamená to, že všichni kolem vás nevidí přenos dat. Pořád jste spotřebitel toho, co je na druhém konci. Jen ostatní lidé nevidí vaše informace.
Takže to jen ztěžuje „hacknutí“ přenášených dat, ale lidé na druhém konci o vás stejně všechno vědí?
To je chyták. Není těžké to „hacknout“. Pokud se budete snažit, možné je obojí. Můžete vidět certifikáty a tokeny, můžete zachytit komunikaci a zkoumat, co si lidé posílají. Existují takové karty, které si můžete koupit, a takové krabičky, které slouží jako dešifrovací zařízení, a uvidíte celou komunikaci, takže to moc nepomáhá. Stejně všechno dešifrují.