Včerejší článek o prolomení vízového systému vyvolal hodně reakcí. Rád bych k němu dodal ještě pár slov.

Ta úplně první námitka, kterou jsem slyšel (od jednoho člověka vysloveně arogantním tónem, od ostatních zdvořile), je ta, že „přečurání“ systému CAPTCHA není žádný hacking a že tomu nerozumím.

Eh. Toto je podle mého názoru snaha o terminologický purismus v situaci, kdy valná většina publika neví, o čem je řeč. Dokonce mi připadá, že ta událost se tím zbytečně banalizuje.

Pokud trváte na tom, že jediný úspěšný hack hodný toho jména je ten, kdy získáte na napadeném systému možnost spouštět libovolný kód s právy administrátora, nejlíp za pomoci nějakého vypečeného zero-day exploitu, tak bless your heart, klidně na tom trvejte, ale z hlediska praktických dopadů je to jedno.

Nebylo by to jedno na hackerské olympiádě. Tam by si dotyčný za takový výkon určitě odnesl nějakou pěknou cenu, kdežto bratři Voroninové, kteří vízový systém skutečně napadli, by nejspíš skončili někde ve středu pelotonu. Ale zase na tom svém triku vydělali společně s mafií údajně až tři čtvrti miliardy korun, což samo o sobě naznačuje, že technická elegance a originalita nejsou všechno.

*****************************

Podíváme-li se na IT systémy, a vlastně jakékoliv jiné systémy, z největší možné vzdálenosti, chceme po nich „jenom“ dvě věci. Které?

1. Aby dělaly, co mají.

2. Aby nedělaly, co nemají.

Ta druhá podmínka se plní daleko hůře než ta první.

A to nejenom u počítačů. O tom vědí svoje třeba farmakologické společnosti. Hodně nadějných léků skončilo v koši, protože jejich vedlejší účinky byly horší než původní léčená nemoc. U některých se na to přišlo až po masovém nasazení – s tragickými důsledky.

To časem vedlo k velké opatrnosti při schvalování nových léků a také k tomu, že výzkum a vývoj značně podražily. Slyšel jsem, že kdyby se měly Paralen nebo Acylpyrin schvalovat dneska, nikdo by je kvůli vedlejším účinkům nepovolil, a už vůbec ne do volného prodeje přes pult, ale jednou jsou schválené a zaběhané, tak co; jestli to čte někdo z farmacie (minimálně o jednom čtenáři z FAF UK vím), tak mi prosím napište, jestli si to myslíte taky nebo ne.

Já osobně považuji za úspěšný útok (hack) cokoliv, čím dokážete napadený systém přimět, aby dělal něco, co jeho architekti nezamýšleli. Ať už se tam nahackujete přes nějakou čerstvě objevenou slabinu operačního systému, nebo přes blbě naprogramované API, nebo třeba tím, že na administrátora nasadíte nějakou kočičku, která z něho po jedné erotické session vytáhne heslo. To jsou všechno vektory útoku, se kterými musejí obránci počítat.

Abych si zase půjčil přirovnání: vražda je vražda, bez ohledu na to, jestli pachatel tu oběť primitivně umlátil klackem, nebo otrávil supersofistikovaným jedem z vojenské laboratoře v Pchjongjangu. Podstatný je výsledek, totiž to, že ten člověk je mrtvý. Samozřejmě umlácení klackem asi neujde pozornosti policie, kdežto neznámý korejský jed může vypadat jako přirozené úmrtí, zvlášť u lidí pokročilejšího věku… a podobně je to i s útoky na IT systémy. Primitivy obecně odhalíte daleko snáze než nějaké profíky z oddělení elektronického boje jedné ze světových velmocí. U těch musíte spíš doufat, že pro ně nebudete zajímaví, to jsou nebezpeční protivníci.

Pak je tu další kategorie k uvažování, a to následky takového útoku. Jinými slovy, jak závažně jste narušili původní záměr autorů systému. Pokud se vám při útoku podařilo jen rozverně poblikávat diodou na DVD-ROMce, ale ničeho jiného jste nedosáhli, je to banalita, ekvivalent nachlazení. Ale bohužel mají počítačové systémy tendenci být zevnitř „měkké“ a podaří-li se vám do nich nějak proniknout, dost často už můžete napáchat velkou škodu.

Z tohoto hlediska byl útok na český vízový systém katastrofální, protože naprosto popřel původní záměr zadavatele, a ještě navíc na velmi dlouhou dobu – dokonce několika let.

*****************************

Ještě jedna námitka, se kterou se často přichází ve prospěch elektronických voleb. Totiž to, že po internetu funguje i nějaké to bankovnictví apod.

To je sice pravda, ale všimněte si, jak to probíhá. Banka zveřejní nějaké rozhraní, za chvilku se najde bezpečnostní slabina, pracovníci IT oddělení někdy v noci na pár hodin odstaví systém, provedou záplaty, a kolečko začíná znovu. I několikrát ročně. Někdy ty chyby nejsou v jejich vlastním kódu, ale v jiných komponentách systému, třeba v knihovně OpenSSL, která se široce používá k šifrování (tenhle bug byl legendární a postihl celou planetu naráz).

To je normální, protože bezpečnost je proces, ne stav. Dosáhnout 100 % bezpečnosti je nemožné, můžete jedině rychle reagovat na nalezené chyby a opravovat je. Příklad z České republiky – docela vážný.

Při tomhle procesu nikdy dopředu nevíte, a) jak vážná ta příští slabina bude, b) jestli ji někdo nezneužije dřív, než ji stihnete opravit, c) jaké škody přitom napáchá a konečně d) zda se vám případnou nepřátelskou aktivitu podaří vůbec identifikovat ze systémových logů nebo ne. Na to byste potřebovali funkční křišťálovou kouli, a to je notoricky nedostatkové zboží.

Tak, a teď si představte, že širokému voličstvu vysvětlujete, že systém pro digitální volby jste museli za první rok běhu záplatovat sedmkrát a že pětkrát to byly drobné záplaty a dvakrát větší, které ale podle administrátorů nikdo zneužít nestihl.

To je přeci přesně ten druh neprůhlednosti okořeněné technickým žargonem, který v lidech vyvolá těžkou paranoiu, částečně oprávněnou. (Například zneužití výše zmíněného bugu Heartbleed bylo velmi těžké prokázat z logů.)

A ta paranoia je přesně to, čím nechcete volební systém zatížit.

HOWGH, domluvil jsem. Aspoň pro dnešek, ne natrvalo, nebojte se.

*****************************

Hudební epilog
„Zlí“ hackeři nosí černé klobouky, a ty by mohly být potaženy třeba … sametem.
Všechny ostatní písničky téhle zpěvačky byly propadáky, ale ta jedna se opravdu povedla. Takříkajíc „hackla posluchače“.

****************************************
ZAPOMENUTÉ PŘÍBĚHY 2
Když je něco zapomenutého, je dobře se ptát, jak se to stalo. Zapomnělo se proto, že se něco dostalo za horizont času a zájmu, anebo proto, že se nějak někomu zapomenout chtělo? Autor v této knížce nahlíží do událostí zas tak ne moc vzdálených.
Objednat si ji můžete na této adrese.

Převzato z Kechlibar.net se souhlasem autora