Hlavní navigace

Kdo si špionážní nástroje od Hacking Teamu ještě nekoupil…

27. 7. 2015
Doba čtení: 3 minuty

Sdílet

 Autor: archiv redakce
…tak ten si je teď může stáhnout zadarmo, varuje bývalý hacker Jiří Nápravník před důsledky úniku dat ze známé bezpečnostní firmy.
Jiří Nápravník 27. 7. 2015
Doba čtení: 3 minuty

Únik dat z firmy Hacking Team vyvolává diskuse o tom, jak je možné, že takové nástroje měla k dispozici Policie ČR. Další a možná ještě vášnivější diskuse se vedou o tom, koho policejní orgány za pomoci takového nástroji špehovaly, a zda to bylo v souladu se zákony.

Jenže při pohledu na skutečný rozsah problému, jsou diskuse o tom, kam nainstalovala policie Trojského koně vyloženě malicherné. Problém je totiž mnohem vážnější.

Týmů jako je Hacking Team se na internetu pohybuje více než deset. Každý z nich má své know-how, svůj způsob, jak zneužívat objevené slabiny v operačních systémech, prohlížečích, Javě nebo ve Flashi. Společné mají tyto týmy fakt, že si z hackerských nástrojů udělali byznys, a to dobře fungující business. Kdo zaplatí, může si takový nástroj koupit. Touto cestou se k nástrojům pro průnik i do relativně dobře zabezpečených systémů mohly dostávat skupiny podvodníků a hlavně teroristické skupiny. Soukromá konzultační firma má při nákupu hackerského nástroje jednodušší pozici než policie nebo zpravodajská agentura.

Při úniku dat z firmy Hacking Team unikly i zdrojové kódy a informace o nástrojích pro proniknutí do počítačů a sítí. Je to podobná situace jako po objevení viru Stuxnet a zveřejnění popisu jeho architektury. To vedlo následně ke vzniku celé skupiny virů, které Stuxnet přímo kopírovaly nebo které se jeho principy inspirovaly.

Teď je situace mnohem vážnější než v případě zveřejnění architektury viru Stuxnet. Z firmy Hacking Team unikly nástroje pro průniky do počítačů, mobilů a sítí. Mnoho podvodníků a teroristů tak snadno dostává do rukou nástroje a zkušenosti, které jim umožní vytvářet nové pasti na uživatele a připravovat sofistikované útoky na firmy, banky nebo technologické celky. Jinými slovy: kdo z podvodníků si nástroj v minulosti nekoupil, tak si jej mohl po útoku na Hacking Team stáhnout zadarmo.

Diskuse o tam, proti komu naše policie použila hackerský nástroj, je malicherná v porovnání s tím, že stejné a možná i aktuálnější nástroje mají v ruce teroristé po celém světě. V souboji s těmito nástroji běžné bezpečnostní systémy dlouhodobě nestačí a selhávají.

Skutečně fungující obranou by bylo vytvořit v prostředí Internetu nové, bezpečnější prostředí, ve kterém by nebylo možné modifikovat počítačové programy a kde by bylo možné kdykoliv ověřit integritu souboru vydaného autorem a porovnat je s parametry odpovídajícího souboru u uživatele. Ale o tom podrobněji zase příště.