COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 19/97)

Hackeři a ti druzí

V našich podmínkách si komplexní bezpečnostní řešení volí obvykle česká zastoupení zahraničních firem, kterým to jejich mateřské organizace ukládají jako podmínku.

Diskuse okolo hackerství se u nás vždy nějaký čas těší vzedmuté vlně zájmu, který posléze opět opadne. Poslední případ takto nastal ve chvíli, kdy neznámý útočník zničil stránku věnovanou mobilním telefonům, přičemž pozměnil nejen vstupní obrazovku (jako předtím známý CzERT), ale smazal i celou databázi. Následkem toho se v internetových periodikách objevily rozhořčené články, odsuzující útočníka; sbírka hacknutých stránek byla odstraněna ze serveru Neviditelného psa. Už předtím došlo k útoku na server Mamedia, kde byl zveřejněn seznam lidí obviněných z krádeže softwaru (následovala diskuse o omluvitelnosti takového počínání za okolností, kdy jsou u nás legálně získané softwarové balíky pro většinu soukromých uživatelů finančně nedostupné). V této chvíli však emoce opadly a je čas probrat celou záležitost hned z několika stran.

Některé další případy

Terčem hackerských útoků se stala např. America On Line. Hackeři svůj útok dopředu avizovali, když však k němu opravdu došlo, žádných zvláštních úspěchů nedosáhli. Nešťastná America On Line se přitom již předtím stala jednou obětí "vtipálků", když byl napsán program, s jehož použitím fungovala celá služba zdarma. Cílem agrese se již stala CIA, americký kongres, university po celém světě, newyroský policejní department...

Nejnovějším případem jsou oblíbené stránky NASA.

"E-mailová bomba" zasáhla na konci března kongres USA, potíže s hackery měla i americká armáda...

Podle údajů amerického ministerstva obrany a společnosti Datapro vzrost počet hackerských útoků na stránky amerických státních institucí roku 1996 v porovnání se situací o rok dříve více než dvojnásobně.

Názory se různí

Hackeři se v zásadě rozdělují na ty, kdo vyzdobí vstupní obrazovku svým výrazným podpisem a na ty, kdo pátrají po informacích. O těch druhých se zdaleka ne vždy někdo dozví; je často opakovanou skutečností, že neexistuje žádná absolutní bezpečnost, která by vaši síť ochránila, můžete jenom pracovat v oblasti pravděpodobností. V nejlepším případě jsou bezpečností řešení o krok napřed před útočníkem -- může ale snadno nastat i situace zcela opačná.

Boj proti hackerům

Řečníci na nedávno konané americké Banking & Information Security Conference přitom opakovaně hovořili o tom, že metoda vyvolání nestability systému prostřednictvím jeho bombardování velkým množstvím dat je používána standardně a beztrestně. Agresor přinejmenším dosáhne toho, že se zhroutí jakákoliv další komunikace příslušné aplikace. Hackeři mají řadu vlastních WWW stránek (např. elektronický časopis Phrack, na http://www.fc.net/phrack/), archivů (např. http://www.2600.com/hacked_pages) či usenetových konferencí.

Řada odborníků je v tomto ohledu pesimistická. Winn Schartau, autor knihy s charakteristickým názvem Informační válka: Chaos na elektronické dálnici, přitom hovoří přímo o kritické situaci internetových služeb.

Nicméně v poslední době byla navržena řada řešení. Za nejnadějnější je považován balík, který by měl svoji definitivní podobu spatřit v průběhu půl roku. Speciální moduly by měly detekovat příliv většího množství e-mailů či pingů z jednoho místa. Novinkou by mělo být však zejména jejich sledování až k vlastnímu zdroji -- bez ohledu na to, že se hacker tváří jako falešná IP adresa.

Další z variant ochrany

Jednou z možností ochrany proti hackerským útokům je řešení Open Source Monitoring. V USA jej nabízí již několik provozovatelů. V rámci této služby je prohledávána síť WWW, Usenet i různé sítě typu BBS. Jméno společnosti, která si službu objednala, je zde hledáno spolu s dalšími klíčovými slovy. Pokud se tato slova vyskytnou v diskusních skupinách či na WWW serverech, považované za hackerské, společnost je na to upozorněna a má ještě možnost podniknout kroky k minimalizaci rizika.

Hovoří guru Sterling

Vyjádření Bruce Sterlinga, jednoho z kyberpunkových vizionářů, můžeme najít na antivirové stránce společnosti IBM (http://www.av.ibm.com/current/CoverStory). Bruce Sterling, který je i autorem knihy The Hacker Crackdown, jež podle mnohých vypovídá o jeho sympatiích k hackerům, hovoří o rozdílu mezi hackery a tvůrci počítačových virů. Zatímco hackeři jsou v jeho podání lidmi, kteří získávají informace, jež by velké korporace nejraději před veřejností utajili, tvůrci virů jsou v jeho podání zločinci, jejichž aktivita poškodí především obyčejné uživatele, nevlastnící příslušný ochranný software a xkrát zálohovaná všecha data. Na případu socialistického Bulharska Sterling rovněž soudí, že na rozdíl od individualistických hackerů pracují tvůrci virů v týmech a často jsou politicky motivováni a řízeni vládními organizacemi. Je zřejmé, že v Sterlingově vymezení pojmů se hackerem míní především člověk shánějící informace a pracující nedestruktivně.

Ještě jedna autorita

V oblasti internetové bezpečnosti je dalším z uznávaných autorit Dan Farmer. Jeho program Satan, který hledá (a většinou také nalézá) bezpečnostní díry v systémech, mu vynesl proslulost přesahující hranice světa IT -- byť se na tom zřejmě podílel zejména samotný název. Farmerův profil dnes přinášejí i takové časopisy, jako je Scientific American.

Mylná zpráva o hackingu

Za lišácký kousek je možné označit nedávný případ, kdy hackeři napadli místo, kde byl odkaz na přestěhovanou stránku. Odkaz byl zaměněn a uživatelé byli dále vedeni na předpřipravenou stránku hackera -- aniž by ovšem došlo ke "skutečnému" hackingu. Zejména v případě organizací, které mají něco společného s armádou nebo národní bezpečností, může podobný trik snadno vzbudit všeobecnou paniku.

Tento kousek je samozřejmě umožněn za předpokladu, kdy společnost umístí odkaz (ať už je přesměrování automatické a nebo jako link) na méně chráněný počítač, neboť -- v jistém smyslu právem, alespoň co se vlastních dat týče -- nepovažuje zabezpečení v tomto případě vůbec za nutné.

Soudní procesy

Případy hackerů, kteří v poslední době skončili před soudem, jsou až tím poslední článkem řetězce. Právní aspekty této problematiky jsou záležitostí komplexnější a souvisejí spíše obecně s informačními systémy než konkrétně s Internetem.

Bezpečnost z trochu jiného soudku

I bez hackerů už zmatek a potíže panující na Internetu mnohdy dosahuje stupně, který uživatelům podstatně komplikuje jejich práci. Před nedávnem se na WWW stránce Internet Society po klepnutí na tlačítko "What is the Internet?" objevilo chybové hlášení. Ačkoliv je v tomto ohledu již vše v pořádku, celý případ je v jistém ohledu charakteristický.

S objevením Javy a ActiveX vstoupily navíc na scénu problémy zcela jiného charakteru. Microsoft v souvislosti s potížemi, které může ActiveX způsovit, zahájil program Web Executable Security Adviser. Dosavadní srovnání obou technologií provedené Bobem Trottem z amerického InfoWorldu přitom vede k závěru, že v současnosti jsou ActiveX controls nebezpečnější než javové applety. Nicméně v novém Communicatoru je technologie sandbox, která zatím působnost appletů omezovala, opuštěna...

Srovnání s bankovnictvím

Robert L. Ayers, ředitel Defence Information Systems Agency, soudí, že neexistuje žádné "konečné řešení" problému. Je ale možné dosáhnout takové úrovně zabezpečení, že se během času potřebného k prolomení na útočníka přijde. "Libovolný sejf lze nakonec vyhodit do povětří -- jde jenom o to, zda během té doby stihnete uvědomit policii," říká.

Jedno takové, zatím neprolomené řešení, používá First Network Bank, jež se elektronickým obchodem a transakcemi zabývá již od roku 1995. Došlo již přitom k několika pokusům o narušení bezpečnosti, ale systém vždy vydržel první nápor a útočníci v obavě před prozrazením akci vždy přerušili.

V této souvislosti se diskutuje otázka, nakolik mají být s podstatou zabezepčení sítě seznámeni vedoucí pracovníci. Názory se různí.

Bude Internet rozdělen?

Rozdělení Internetu na minimálně dvě spolu pouze jednosměrně propojené sítě, je řešení, o němž se začalo mluvit v okamžiku otevření Sítě komerčním zájmům. Konkrétní podobu budoucího modelu dnes (zřejmě) nikdo nezná. Projekt Internet II svědčí ovšem o odlišných požadavcích vědecké komunity na únosnou míru chaosu. Stejný rozdíl přitom zjevně existuje i v pohledu na únosnou míru rizika, pouze dělicí čára zde vede jinak: od bankovních transakcí po otevřené diskusní skupiny, přičemž prostředí univerzit stojí uprostřed.

Falšování e-mailu

Tvářit se jako někdo jiný není pro zkušenějšího narušitele zvláštní problém. Pokud se podíváte do kolonek From a Received v záhlaví došlého e-mailu, nezjistíte pravděpodovně vůbec nic. Pomocí nástroje NetScan (http://www.eskimo.com/~nwps/index.html -- zde si ho můžete i stáhnout) přitom dosáhnete následujícího: ačkoliv jméno domény v hlavičce zprávy je falešné, program najde skutečnou IP adresu a vy můžete napsat příslušnému správci, že někdo jeho server zneužívá. Doporučuje se však zůstat zdvořilý, neboť rovněž IP adresa může být zfalšována. NetScan přitom zahrnuje i další služby.

Co jsou "most important data"?

Obecně se soudí, že vše, co náleží do této kategorie, by raději nemělo s Internetem přijít vůbec do styku. Ovšem co vlastně tato skupina zahrnuje a jakým způsobem s těmito informacemi pracovat, to už záleží na vás -- ať už jste drobnými podnikateli, vědeckými pracovníky nebo snad pracovníky (nikoliv českých) tajných služeb.

(pah)


Jednu ze sbírek hacknutých stránek najdeme např. na http://www.2600.com


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |