COMPUTERWORLD
Specializovan² t²denφk o v²poΦetnφ technice
Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 60 - CW 38/98

PoΦφtaΦovß kriminalita

Alena H÷nigovß

95 % vÜech poΦφtaΦov²ch zloΦin∙, kterΘ byly odhaleny, byly odhaleny nßhodou, nikoliv jako v²sledek kontrolnφ Φinnosti.

NßÜ serißl BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho se blφ₧φ ke svΘmu konci. Mohli jste se v n∞m seznßmit se souΦasn²m stavem bezpeΦnosti informaΦnφch technologiφ, od bezpeΦnostnφ politiky a anal²zy rizik p°es jednotlivΘ aspekty poΦφtaΦovΘ a komunikaΦnφ bezpeΦnosti a stavu legislativy k podrobn²m popis∙m jednotliv²ch algoritm∙, pou₧φvan²ch v oblasti Üifrovßnφ, p°i aplikaci digitßlnφho podpisu ap. Mohlo by se zdßt, ₧e poΦφtaΦov² zloΦin nem∙₧e mφt p°i aplikaci vÜech dostupn²ch protiopat°enφ prostor k realizaci. Opak je vÜak pravdou.

Historie poΦφtaΦovΘho zloΦinu

Podφvejme se na v²voj poΦφtaΦovΘ kriminality ve sv∞t∞ v pr∙b∞hu poslednφch Φty° desetiletφ a vÜimn∞me si jejφho nßr∙stu.

PoΦφtaΦovß kriminalita v 60. a 70. letech: Sb∞r ·daj∙ o zneu₧itφ poΦφtaΦ∙ zajiÜ¥oval v USA ji₧ od r. 1958 Stanford Research Institute (SRI). V tΘ dob∞ byly ·daje rozd∞leny do 4 kategoriφ: vandalismus, namφ°en² proti poΦφtaΦovΘmu HW, krßde₧ majetku nebo informacφ, podvod uskuteΦn∞n² pomocφ poΦφtaΦe nebo krßde₧ pen∞z, a nep°φpustnΘ pou₧itφ poΦφtaΦe nebo krßde₧ a prodej poΦφtaΦovΘho Φasu. Zaznamenanß data nebyla v²znamnß a₧ do r. 1968, kdy bylo podchyceno 13 p°φpad∙. V r. 1977 dosßhl poΦet zaznamenan²ch p°φpad∙ ji₧ 85. Statistiku vedl SRI do r. 1978.

V tomto obdobφ jsou alarmujφcφ p°φklady r∙zn²ch podvod∙. V r. 1968 byl obvin∞n nap°. viceprezident brokerskΘ firmy z d∞rovßnφ specißlnφch datov²ch Ütφtk∙, pomocφ kter²ch p°evedl na sv∙j ·Φet v pr∙b∞hu 8 let 250 tis. dolar∙. V jinΘm p°φpad∞ modifikoval zam∞stnanec brokerskΘ firmy systΘm tak, ₧e odesφlal Üeky s dividendami na svou domßcφ adresu. V novinßch tehdejÜφho poΦφtaΦovΘho podzemφ Seed se ji₧ objevuje Φlßnek, popisujφcφ technologii zniΦenφ poΦφtaΦe. Objevujφ se rovn∞₧ ΦetnΘ p°φpady magnetickΘho vymazßvßnφ a elektronickΘho monitorovßnφ.

PoΦφtaΦovß kriminalita v 80. letech: Krom∞ podvod∙ a fyzick²ch Ükod dochßzφ ke krßde₧φm databßzφ, Üφ°enφ vir∙, infiltraci logick²ch a Φasov²ch bomb, k rozÜi°ovßnφ a vyu₧φvßnφ pirßtskΘho softwaru. Krßde₧ softwaru nelegßlnφm kopφrovßnφm se postupn∞ stßvß nejobecn∞jÜφm a nejdra₧Üφm typem poΦφtaΦovΘho zloΦinu.

V tomto desetiletφ se rovn∞₧ odehrßly dva zloΦiny, kterΘ dosßhly znaΦnΘ publicity a kterΘ vystihujφ poΦφtaΦov² zloΦin tohoto obdobφ. Prvnφ byl podrobn∞ popsßn v knize KukaΦΦφ vejce, vydanΘ Φesky v lo≥skΘm roce: jde o skuteΦn² p°φb∞h astronoma Clifford Stolla, pracujφcφho v Lawrence Berkeley Laboratory, a o jeho 10 m∞sφc∙ probφhajφcφ monitorovßnφ pr∙nik∙ do r∙zn²ch poΦφtaΦ∙ nßhodn∞ zjiÜt∞nΘho vet°elce, pojmenovanΘho Stollem Willy Hacker. Vet°elec se pokusil o p°φstup do 450 poΦφtaΦ∙, provozovan²ch americkou armßdou nebo jejφmi dodavateli a byl ·sp∞Ün² ve 30 p°φpadech. Z Willy Hackera se vyklubal poΦφtaΦov² profesionßl ze zßpadnφho N∞mecka s ·dajn²m propojenφm na KGB. Jeho sledovßnφ si vy₧ßdalo spoluprßci vφce ne₧ 15 organizacφ vΦetn∞ americk²ch a n∞meck²ch vlßdnφch ·°ad∙ a soukrom²ch organizacφ.

P°φpad internetovΘho Φerva je rovn∞₧ obecn∞ znßm²: autor Φerva, student R. T. Morris, vyu₧il bezpeΦnostnφ slabiny urΦitΘho typu Unixu a jeho program se nekontrolovan∞ rozÜφ°il sφtφ do cca 6 000 poΦφtaΦ∙ a zp∙sobil jejich kolaps. Morris byl uznßn vinn²m podle Zßkona proti poΦφtaΦovΘmu podvodu a zneu₧itφ z r. 1986 (Ülo o prvnφ usv∞dΦenφ podle zmφn∞nΘho zßkona).

PoΦφtaΦovß kriminalita v 90. letech: Statistika americkΘho Nßrodnφho st°ediska pro ·daje o poΦφtaΦovΘm zloΦinu ze zaΦßtku 90. let uvßdφ pronikßnφ poΦφtaΦovΘ kriminality do 6 hlavnφch oblastφ: nedovolen² vstup 2 %, krßde₧ slu₧eb 10 %, zm∞na dat 12 %, Ükody zp∙sobenΘ na SW 16 %, krßde₧ informacφ nebo program∙ 16 %, krßde₧ pen∞z 44 %. 90. lΘta p°inßÜejφ s celosv∞tov²m rozvojem Internetu i jeho zneu₧itφ k Üφ°enφ pornografie, rasismu, propagaci v²buÜnin a drog, k prezentaci extremist∙ a kriminßlnφch ₧ivl∙. Mezi ·toΦnφky, jejich₧ cφlem jsou informace uchovßvanΘ na poΦφtaΦφch, pat°φ vedle profesionßlnφch hacker∙ zpravodajskΘ slu₧by, detektivnφ kancelß°e, mΘdia, organizovan² zloΦin i politiΦtφ extrΘmistΘ.

A co u nßs?

Se Üiroce rozÜφ°enou p°edstavou o sofistikovan²ch ·tocφch dneÜnφch potencißlnφch pachatel∙ p°φliÜ nekoresponduje zprßva ve VeΦernφku Praha uve°ejn∞nß letos v poslednφm srpnovΘm t²dnu, rok po spßchanΘm poΦφtaΦovΘm podvodu. U M∞stskΘho soudu byla ob₧alovßna dvojice pachatelek, 24letß dcera a jejφ matka, z podvodnΘho vybrßnφ celkovΘ sumy 9 700 000 KΦ. Do poΦφtaΦovΘho systΘmu vstoupila a podvod spßchala jedna z pachatelek, v dob∞ Φinu ·°ednice KomerΦnφ banky tak, ₧e se vydßvala pomocφ odpozorovanΘho hesla a fingovan²ch podpis∙ za svoji kolegyni, autorizovanou u₧ivatelku systΘmu.

Zprßvy podobnΘho typu v dennφm tisku informujφ Φas od Φasu Φtenß°e o poΦφtaΦovΘ kriminalit∞, kterß se zam∞°uje p°evß₧n∞ na naÜe finanΦnφ ·stavy. Zßva₧nΘ Ükody zp∙sobujφ ovÜem i poΦφtaΦovφ pirßti: roΦn∞ p°ipravφ v ╚R v²robce program∙ o stovky milion∙ dolar∙

Charakteristika poΦφtaΦov²ch zloΦinc∙

S tradiΦnφ p°edstavou poΦφtaΦovΘho zloΦince, teenagera ve v∞ku 14 a₧ 16 let, kter² sßm v hlubokΘ noci p°ipravuje jednotlivΘ ·toky na poΦφtaΦovΘ systΘmy p°edevÜφm pro vlastnφ zßbavu, p°φliÜ nekoresponduje statisticky zjiÜt∞nß skuteΦnost: v∞k se rozÜφ°il a₧ k hranici 35 i vφce let, pachatel je obvykle vzd∞lan², ovlßdajφcφ pot°ebnΘ dovednosti, pou₧φvß automatizovanΘ postupy delÜφ ne₧ 24 hod., pracuje v t²mu a nezßkonnou Φinnost obvykle neprovßdφ pro zßbavu, ale pro zisk. V²razn²m rysem je skuteΦnost, ₧e pachatel nemß dosud zßznam v trestnφm rejst°φku. ╚asto pracuje na mφstech, majφcφch d∙v∞ru spoleΦnosti. Krßde₧ finanΦnφch Φßstek provßdφ obvykle po menÜφch Φßstkßch. Nechce ublφ₧it konkrΘtnφ osob∞, ale neosobnφmu zam∞stnavateli, jφm₧ se Φasto cφtφ vyko°is¥ovßn. Krßde₧ SW nebo dat pova₧uje za jejich pouhou v²p∙jΦku, s cφlem je pozd∞ji vrßtit. Äeny -- hacke°i majφ sv∙j debut a₧ v r. 1988.

Je ·kolem vlßd peΦovat o bezpeΦnost IT?

Podφvejme se, jak se k tΘto otßzce stavφ vlßda USA. Snaha americkΘ vlßdy zajistit nßrodnφ bezpeΦnost odpovφdala v₧dy mezinßrodnφmu postavenφ USA. Byly to proto vlßdnφ ·°ady, zejmΘna ·°ady pod ministerstvem obrany, kterΘ v USA podporovaly a °φdily pokrok v poΦφtaΦovΘ bezpeΦnosti ji₧ od poΦßtk∙ v²voje poΦφtaΦ∙. Vysoce tajn² Nßrodnφ bezpeΦnostnφ ·°ad (NSA) byl ustaven ji₧ zaΦßtkem 50. let. Jeho ·kolem bylo zajiÜ¥ovat zejmΘna komunikaΦnφ bezpeΦnost se z°etelem na nßrodnφ bezpeΦnost a dßle vztahy mezi Ministerstvem obrany USA a civilnφmi ·°ady, zab²vajφcφmi se poΦφtaΦovou bezpeΦnostφ, zejmΘna Nßrodnφm ·°adem pro normy a technologii, a komunitou prodejc∙.

V r. 1977 doÜlo takΘ k vytvo°enφ Nßrodnφho v²boru pro komunikaΦnφ bezpeΦnost, jeho₧ cφlem bylo rozd∞lit odpov∞dnost za komunikaΦnφ bezpeΦnost; NSA tak z∙stala odpov∞dnost za ochranu klasifikovan²ch informacφ a informacφ vztahujφcφch se k nßrodnφ bezpeΦnosti a Nßrodnφ sprßva komunikacφ a informacφ, podlΘhajφcφ Ministerstvu obchodu USA, odpov∞dnost za informace neklasifikovanΘ. Direktiva NSDD 145 z r. 1984 znovu rozÜφ°ila pravomoce NSA: po₧adovala, aby federßlnφ ·°ady ustanovily politiku, postupy a praktiky zajiÜ¥ujφcφ v poΦφtaΦov²ch systΘmech ochranu jak klasifikovan²ch, tak neklasifikovan²ch dat.

NovΘ Nßrodnφ st°edisko pro poΦφtaΦovou bezpeΦnost (NCSC) spolu s Radou COMSEC pak bylo odpov∞dnΘ za poΦφtaΦovou bezpeΦnost v civilnφ vlßdnφ oblasti i v komerΦnφm sv∞t∞. K dalÜφmu p°erozd∞lenφ odpov∞dnostφ doÜlo znovu v r. 1987, kdy Computer Security Act definoval roli NBS (nov∞ NIST) v ochran∞ citliv²ch informacφ a roli NSA omezil na jejφ tradiΦnφ oblast, ochranu klasifikovan²ch informacφ.

Stav informaΦnφ bezpeΦnosti se nevyvφjel samoz°ejm∞ v jednotliv²ch stßtech zcela jednotn∞. Nap°. kalifornskß legislativa po₧adovala ji₧ v 70. letech pro ka₧dΘ stßtnφ v²poΦetnφ st°edisko funkci pracovnφka specializovanΘho na informaΦnφ bezpeΦnost a Ministerstvo financφ USA vy₧adovalo pravidelnou kontrolu politiky na ochranu d∙v∞rnosti.

Jako reakce na skuteΦnΘ udßlosti vznikly dalÜφ iniciativy. Jako reakce na internetovΘho Φerva bylo nap°. ustaveno n∞kolik t²m∙, jejich₧ ·kolem bylo reagovat na incidenty, jmenujme nap°. CERT (The Computer Emergency Response Team), DDN SSC (The Defense Data Network Security Coordination Center) a CIAC (The Computer Incident Advisory Capability).

Odpov∞dnost americkΘ vlßdy za poΦφtaΦovou bezpeΦnost dokumentuje rovn∞₧ na°φzenφ Φ. 200 Nßrodnφho v²boru pro bezpeΦnost telekomunikacφ a informaΦnφch systΘm∙ (NTISSP) z r. 1987, kterΘ po₧adovalo, aby federßlnφ ·°ady a jejich kontrakto°i instalovali do r. 1992 u vφceu₧ivatelsk²ch systΘm∙ obsahujφcφch klasifikovanΘ nebo neklasifikovanΘ, ale citlivΘ informace, volitelnou kontrolu p°φstupu a audit na ·rovni C2 Orange Book.

Legislativa a prßvnφ normy

O legislativ∞ v oblasti poΦφtaΦovΘ bezpeΦnosti pojednßvaly samostatnΘ Φßsti naÜeho serißlu. Pro porovnßnφ v²voje prßvnφch norem nap°. se stavem u nßs uve∩me n∞kolik vybran²ch paragraf∙ 18 U.S.C , kterΘ byly k dispozici v USA ji₧ v r. 1989:

1029: zakazuje podvodnΘ Φinnosti ve spojenφ s pou₧itφm p°φstupov²ch za°φzenφ v mezistßtnφm obchod∞, zahrnujφcφ poΦφtaΦovß hesla, telefonnφ p°φstupovΘ k≤dy a kreditnφ karty.

1030: zakazuje vzdßlen² p°φstup s cφlem defraudace v souvislosti  s poΦφtaΦi federßlnφho zßjmu nebo vlastn∞n²mi federßlnφ vlßdou a zakazuje neautorizovan² p°φstup k poΦφtaΦi zam∞stnanc∙m spoleΦnosti.

1343: zakazuje pou₧φvßnφ mezistßtnφch komunikaΦnφch systΘm∙ s cφlem defraudace.

2512: zakazuje po°φzenφ, distribuci, vlastn∞nφ a inzerci na pr∙nikovß komunikaΦnφ za°φzenφ. 2778 a 2510: zakazujφ nelegßlnφ export SW a dat, kontrolovan²ch Ministerstvem obrany a Ministerstvem obchodu USA.

2701: zakazuje nezßkonn² p°φstup k elektronicky uchovßvan²m informacφm.

P°ipome≥me si, ₧e ani Evropa nebyla pozadu -- harmonizaΦnφ snahy Rady Evropy vy·stily v doporuΦenφ Rady Evropy o poΦφtaΦovΘm zloΦinu z r. 1990. Vyjmenovßvß 8 povinn²ch konkrΘtnφch typ∙ zloΦinu, mezi nimi₧ je nap°. poΦφtaΦov² podvod nebo neoprßvn∞n² p°φstup, a 4 nepovinnΘ, mezi n∞₧ pat°φ nap°. zm∞na poΦφtaΦov²ch dat nebo program∙ a neautorizovanΘ pou₧itφ poΦφtaΦe. U nßs ovÜem v²slovn∞ poΦφtaΦovß ustanovenφ existujφ pouze v n∞kolika zßkonech, a samostatn² zßkon o zneu₧itφ poΦφtaΦe naÜe prßvo neznß.

Zßv∞r

P°i anal²ze jakΘhokoliv zloΦinu, tedy i poΦφtaΦovΘho, je Φasto pou₧φvßn v anglosaskΘm sv∞t∞ akronym MOMM -- Motive (motiv), Opportunity (p°φle₧itost), Means (prost°edky), Method (metoda). Nejsiln∞ji motivujφ penφze, ideologie, hrozba kompromitovßnφ. P°φle₧itost spßchat zloΦin vy₧aduje p°φstup k systΘmu a obvykle urΦitΘ znalosti.

PoΦφtaΦovß kriminalita je rozsßhlß oblast a dot²kß se tΘm∞° vÜech Φßstφ naÜeho ₧ivota: poΦφtaΦe kontrolujφ dodßvky energie, leteck² provoz, finanΦnφ slu₧by, na poΦφtaΦφch se uchovßvajφ zßznamy o naÜem zdravφ i o kriminßlnφch p°φpadech samotn²ch, p°i volbßch se rozhoduje o budoucnosti nßrod∙. V d∙sledku poΦφtaΦov²ch chyb a ·tok∙ na poΦφtaΦe byly ztraceny lidskΘ ₧ivoty, doÜlo ke krßde₧φm pen∞z i ke krßde₧φm d∙v∞rn²ch informacφ. Hrozby proti poΦφtaΦov²m a komunikaΦnφm systΘm∙m mohou mφt mezinßrodnφ a politick² charakter. MoudrΘ vlßdy si toto vÜe uv∞domujφ a kladou na poΦφtaΦovou bezpeΦnost odpovφdajφcφ d∙raz. Ukßzky anga₧ovanosti americkΘ vlßdy nebyly samo·ΦelnΘ a Φtenß° si je jist∞ porovnß se situacφ u nßs. Krßtkozrakost v tomto sm∞ru m∙₧e mφt dalekosßhlΘ nßsledky.

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |