COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 60 - CW 38/98

Počítačová kriminalita

Alena Hönigová

95 % všech počítačových zločinů, které byly odhaleny, byly odhaleny náhodou, nikoliv jako výsledek kontrolní činnosti.

Náš seriál Bezpečnost pro všechny, soukromí pro každého se blíží ke svému konci. Mohli jste se v něm seznámit se současným stavem bezpečnosti informačních technologií, od bezpečnostní politiky a analýzy rizik přes jednotlivé aspekty počítačové a komunikační bezpečnosti a stavu legislativy k podrobným popisům jednotlivých algoritmů, používaných v oblasti šifrování, při aplikaci digitálního podpisu ap. Mohlo by se zdát, že počítačový zločin nemůže mít při aplikaci všech dostupných protiopatření prostor k realizaci. Opak je však pravdou.

Historie počítačového zločinu

Podívejme se na vývoj počítačové kriminality ve světě v průběhu posledních čtyř desetiletí a všimněme si jejího nárůstu.

Počítačová kriminalita v 60. a 70. letech: Sběr údajů o zneužití počítačů zajišťoval v USA již od r. 1958 Stanford Research Institute (SRI). V té době byly údaje rozděleny do 4 kategorií: vandalismus, namířený proti počítačovému HW, krádež majetku nebo informací, podvod uskutečněný pomocí počítače nebo krádež peněz, a nepřípustné použití počítače nebo krádež a prodej počítačového času. Zaznamenaná data nebyla významná až do r. 1968, kdy bylo podchyceno 13 případů. V r. 1977 dosáhl počet zaznamenaných případů již 85. Statistiku vedl SRI do r. 1978.

V tomto období jsou alarmující příklady různých podvodů. V r. 1968 byl obviněn např. viceprezident brokerské firmy z děrování speciálních datových štítků, pomocí kterých převedl na svůj účet v průběhu 8 let 250 tis. dolarů. V jiném případě modifikoval zaměstnanec brokerské firmy systém tak, že odesílal šeky s dividendami na svou domácí adresu. V novinách tehdejšího počítačového podzemí Seed se již objevuje článek, popisující technologii zničení počítače. Objevují se rovněž četné případy magnetického vymazávání a elektronického monitorování.

Počítačová kriminalita v 80. letech: Kromě podvodů a fyzických škod dochází ke krádežím databází, šíření virů, infiltraci logických a časových bomb, k rozšiřování a využívání pirátského softwaru. Krádež softwaru nelegálním kopírováním se postupně stává nejobecnějším a nejdražším typem počítačového zločinu.

V tomto desetiletí se rovněž odehrály dva zločiny, které dosáhly značné publicity a které vystihují počítačový zločin tohoto období. První byl podrobně popsán v knize Kukaččí vejce, vydané česky v loňském roce: jde o skutečný příběh astronoma Clifford Stolla, pracujícího v Lawrence Berkeley Laboratory, a o jeho 10 měsíců probíhající monitorování průniků do různých počítačů náhodně zjištěného vetřelce, pojmenovaného Stollem Willy Hacker. Vetřelec se pokusil o přístup do 450 počítačů, provozovaných americkou armádou nebo jejími dodavateli a byl úspěšný ve 30 případech. Z Willy Hackera se vyklubal počítačový profesionál ze západního Německa s údajným propojením na KGB. Jeho sledování si vyžádalo spolupráci více než 15 organizací včetně amerických a německých vládních úřadů a soukromých organizací.

Případ internetového červa je rovněž obecně známý: autor červa, student R. T. Morris, využil bezpečnostní slabiny určitého typu Unixu a jeho program se nekontrolovaně rozšířil sítí do cca 6 000 počítačů a způsobil jejich kolaps. Morris byl uznán vinným podle Zákona proti počítačovému podvodu a zneužití z r. 1986 (šlo o první usvědčení podle zmíněného zákona).

Počítačová kriminalita v 90. letech: Statistika amerického Národního střediska pro údaje o počítačovém zločinu ze začátku 90. let uvádí pronikání počítačové kriminality do 6 hlavních oblastí: nedovolený vstup 2 %, krádež služeb 10 %, změna dat 12 %, škody způsobené na SW 16 %, krádež informací nebo programů 16 %, krádež peněz 44 %. 90. léta přinášejí s celosvětovým rozvojem Internetu i jeho zneužití k šíření pornografie, rasismu, propagaci výbušnin a drog, k prezentaci extremistů a kriminálních živlů. Mezi útočníky, jejichž cílem jsou informace uchovávané na počítačích, patří vedle profesionálních hackerů zpravodajské služby, detektivní kanceláře, média, organizovaný zločin i političtí extrémisté.

A co u nás?

Se široce rozšířenou představou o sofistikovaných útocích dnešních potenciálních pachatelů příliš nekoresponduje zpráva ve Večerníku Praha uveřejněná letos v posledním srpnovém týdnu, rok po spáchaném počítačovém podvodu. U Městského soudu byla obžalována dvojice pachatelek, 24letá dcera a její matka, z podvodného vybrání celkové sumy 9 700 000 Kč. Do počítačového systému vstoupila a podvod spáchala jedna z pachatelek, v době činu úřednice Komerční banky tak, že se vydávala pomocí odpozorovaného hesla a fingovaných podpisů za svoji kolegyni, autorizovanou uživatelku systému.

Zprávy podobného typu v denním tisku informují čas od času čtenáře o počítačové kriminalitě, která se zaměřuje převážně na naše finanční ústavy. Závažné škody způsobují ovšem i počítačoví piráti: ročně připraví v ČR výrobce programů o stovky milionů dolarů

Charakteristika počítačových zločinců

S tradiční představou počítačového zločince, teenagera ve věku 14 až 16 let, který sám v hluboké noci připravuje jednotlivé útoky na počítačové systémy především pro vlastní zábavu, příliš nekoresponduje statisticky zjištěná skutečnost: věk se rozšířil až k hranici 35 i více let, pachatel je obvykle vzdělaný, ovládající potřebné dovednosti, používá automatizované postupy delší než 24 hod., pracuje v týmu a nezákonnou činnost obvykle neprovádí pro zábavu, ale pro zisk. Výrazným rysem je skutečnost, že pachatel nemá dosud záznam v trestním rejstříku. Často pracuje na místech, majících důvěru společnosti. Krádež finančních částek provádí obvykle po menších částkách. Nechce ublížit konkrétní osobě, ale neosobnímu zaměstnavateli, jímž se často cítí vykořisťován. Krádež SW nebo dat považuje za jejich pouhou výpůjčku, s cílem je později vrátit. Ženy -- hackeři mají svůj debut až v r. 1988.

Je úkolem vlád pečovat o bezpečnost IT?

Podívejme se, jak se k této otázce staví vláda USA. Snaha americké vlády zajistit národní bezpečnost odpovídala vždy mezinárodnímu postavení USA. Byly to proto vládní úřady, zejména úřady pod ministerstvem obrany, které v USA podporovaly a řídily pokrok v počítačové bezpečnosti již od počátků vývoje počítačů. Vysoce tajný Národní bezpečnostní úřad (NSA) byl ustaven již začátkem 50. let. Jeho úkolem bylo zajišťovat zejména komunikační bezpečnost se zřetelem na národní bezpečnost a dále vztahy mezi Ministerstvem obrany USA a civilními úřady, zabývajícími se počítačovou bezpečností, zejména Národním úřadem pro normy a technologii, a komunitou prodejců.

V r. 1977 došlo také k vytvoření Národního výboru pro komunikační bezpečnost, jehož cílem bylo rozdělit odpovědnost za komunikační bezpečnost; NSA tak zůstala odpovědnost za ochranu klasifikovaných informací a informací vztahujících se k národní bezpečnosti a Národní správa komunikací a informací, podléhající Ministerstvu obchodu USA, odpovědnost za informace neklasifikované. Direktiva NSDD 145 z r. 1984 znovu rozšířila pravomoce NSA: požadovala, aby federální úřady ustanovily politiku, postupy a praktiky zajišťující v počítačových systémech ochranu jak klasifikovaných, tak neklasifikovaných dat.

Nové Národní středisko pro počítačovou bezpečnost (NCSC) spolu s Radou COMSEC pak bylo odpovědné za počítačovou bezpečnost v civilní vládní oblasti i v komerčním světě. K dalšímu přerozdělení odpovědností došlo znovu v r. 1987, kdy Computer Security Act definoval roli NBS (nově NIST) v ochraně citlivých informací a roli NSA omezil na její tradiční oblast, ochranu klasifikovaných informací.

Stav informační bezpečnosti se nevyvíjel samozřejmě v jednotlivých státech zcela jednotně. Např. kalifornská legislativa požadovala již v 70. letech pro každé státní výpočetní středisko funkci pracovníka specializovaného na informační bezpečnost a Ministerstvo financí USA vyžadovalo pravidelnou kontrolu politiky na ochranu důvěrnosti.

Jako reakce na skutečné události vznikly další iniciativy. Jako reakce na internetového červa bylo např. ustaveno několik týmů, jejichž úkolem bylo reagovat na incidenty, jmenujme např. CERT (The Computer Emergency Response Team), DDN SSC (The Defense Data Network Security Coordination Center) a CIAC (The Computer Incident Advisory Capability).

Odpovědnost americké vlády za počítačovou bezpečnost dokumentuje rovněž nařízení č. 200 Národního výboru pro bezpečnost telekomunikací a informačních systémů (NTISSP) z r. 1987, které požadovalo, aby federální úřady a jejich kontraktoři instalovali do r. 1992 u víceuživatelských systémů obsahujících klasifikované nebo neklasifikované, ale citlivé informace, volitelnou kontrolu přístupu a audit na úrovni C2 Orange Book.

Legislativa a právní normy

O legislativě v oblasti počítačové bezpečnosti pojednávaly samostatné části našeho seriálu. Pro porovnání vývoje právních norem např. se stavem u nás uveďme několik vybraných paragrafů 18 U.S.C , které byly k dispozici v USA již v r. 1989:

1029: zakazuje podvodné činnosti ve spojení s použitím přístupových zařízení v mezistátním obchodě, zahrnující počítačová hesla, telefonní přístupové kódy a kreditní karty.

1030: zakazuje vzdálený přístup s cílem defraudace v souvislosti  s počítači federálního zájmu nebo vlastněnými federální vládou a zakazuje neautorizovaný přístup k počítači zaměstnancům společnosti.

1343: zakazuje používání mezistátních komunikačních systémů s cílem defraudace.

2512: zakazuje pořízení, distribuci, vlastnění a inzerci na průniková komunikační zařízení. 2778 a 2510: zakazují nelegální export SW a dat, kontrolovaných Ministerstvem obrany a Ministerstvem obchodu USA.

2701: zakazuje nezákonný přístup k elektronicky uchovávaným informacím.

Připomeňme si, že ani Evropa nebyla pozadu -- harmonizační snahy Rady Evropy vyústily v doporučení Rady Evropy o počítačovém zločinu z r. 1990. Vyjmenovává 8 povinných konkrétních typů zločinu, mezi nimiž je např. počítačový podvod nebo neoprávněný přístup, a 4 nepovinné, mezi něž patří např. změna počítačových dat nebo programů a neautorizované použití počítače. U nás ovšem výslovně počítačová ustanovení existují pouze v několika zákonech, a samostatný zákon o zneužití počítače naše právo nezná.

Závěr

Při analýze jakéhokoliv zločinu, tedy i počítačového, je často používán v anglosaském světě akronym MOMM -- Motive (motiv), Opportunity (příležitost), Means (prostředky), Method (metoda). Nejsilněji motivují peníze, ideologie, hrozba kompromitování. Příležitost spáchat zločin vyžaduje přístup k systému a obvykle určité znalosti.

Počítačová kriminalita je rozsáhlá oblast a dotýká se téměř všech částí našeho života: počítače kontrolují dodávky energie, letecký provoz, finanční služby, na počítačích se uchovávají záznamy o našem zdraví i o kriminálních případech samotných, při volbách se rozhoduje o budoucnosti národů. V důsledku počítačových chyb a útoků na počítače byly ztraceny lidské životy, došlo ke krádežím peněz i ke krádežím důvěrných informací. Hrozby proti počítačovým a komunikačním systémům mohou mít mezinárodní a politický charakter. Moudré vlády si toto vše uvědomují a kladou na počítačovou bezpečnost odpovídající důraz. Ukázky angažovanosti americké vlády nebyly samoúčelné a čtenář si je jistě porovná se situací u nás. Krátkozrakost v tomto směru může mít dalekosáhlé následky.


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |