Jako z amerického velkofilmu. V Česku se nedávno hackeři dostali hodně vysoko aneb případ, o kterém se příliš nemluví

Iva BrejlováIva Brejlová

hackerInsider

Foto: Clint Patterson/Pexels

Hackerům se v Česku podařilo dostat hodně vysoko

0Zobrazit komentáře

Koukněte se v jakoukoliv denní či noční hodinu – a na darknetu zaručeně najdete soubory párů uživatelských jmen a hesel dostupných ke koupi. Někdy je to vlastně jen podvod na podvodníky: úplně smyšlené údaje, soubor náhodných znaků, o nichž kupující neví, že nic nepřinesou. Jindy podvodník, který s nimi hodlá třeba vydírat, a tedy vydělávat, narazí na terno. To třeba když se v jednom takovém souboru nedávno objevily e-maily vedoucí i k české vládě.

„Vlastně jsem čekal zvýšený zájem o různé vládní systémy. To zákonitě musí být, když se v médiích objevilo, jak si premiér nechává přeposílat zprávy na jen minimálně zabezpečené infrastruktuře,“ popisuje Jindřich Karásek, bezpečnostní analytik společnosti Trend Micro. Ten také soubor našel a zjistil, že jde o řadu platných údajů.

Co je však ohromující, je jeho velikost. Celkem deset milionů kombinací jména a hesla k e-mailu obsahovalo sice některé zastaralé informace, například z roku 2011, ale i množství údajů z konce roku 2019. A vlastně: kdy jste si naposledy měnili všechna hesla?

Dveře do 80 institucí

Obrovský seznam si hackeři skládali z více souborů. Nebyl zaměřený výhradně na Česko, ale e-mailové adresy s koncovkou .cz byly čtvrté nejrozšířenější. K tomu řada poměrně nadnárodních domén, které se často používají i v tuzemsku, jakou je například Gmail.

Kromě toho ale šlo o jména a hesla směřující na uživatele v parlamentu, do jedné z tuzemských elektráren, do několika univerzit, České pošty nebo Povodí Vltavy, na které ostatně hackeři také nedávno vedli útok. Navíc nešlo jen o řadové zaměstnance, ale také o některé výše postavené členy z těchto organizací. „Zjevně už se dostali dál,“ popisuje Karásek. Přístupy otevíraly cestu do celkem 80 institucí.

dumpg71a

Foto: 4n6strider

Vizualizace nedávných kybernetických útoků

„Běžně uniklé přihlašovací údaje nejsou většinou přihlašovacími údaji do e-mailových schránek. Jedná se o úniky z databází internetových obchodů a dalších internetových služeb, přičemž v databázi jsou e-mailové adresy, které slouží jako přihlašovací jméno ke službě, a hesla k dané službě,“ vysvětluje Radek Holý, mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Jenže to bohužel často stačí, aby se hackerům otevřely i další dveře. „Častým problémem však je, že řada uživatelů nedodržuje základní bezpečnostní pravidla a používá při registraci do těchto služeb stejné heslo jako k e-mailové schránce,“ dodává druhým dechem Holý. Přestože to třeba nevypadá, správná kombinace jména a hesla skutečně terno je. Pokud se totiž zamíří s trochou štěstí, je možné se dostat ke komukoliv v organizaci.

„Mysleli by si, že ten hacker jsem já. Možná jim křivdím, ale nehodlám to riskovat.“

Paradoxně je docela vhodné útočit na někoho níže postaveného na firemním žebříčku. Aby měl celý princip smysl, je potřeba najít si někoho, kdo má legitimní místo v organizaci, jako jsou asistentky nebo pracovníci oddělení lidských zdrojů. Ti často posílají zprávy, které jsou urgentní, mají přílohu a vlastně mají přesně tu podobu, na kterou bez otálení kliknete – a stáváte se obětí phishingového útoku. Ze stejného důvodu se útočí i na subdodavatele, i když zájmem hackerů jsou třeba větší firmy.

A že je to celé poměrně obvyklý postup, dokazuje třeba i stránka Shoppy.gg s mnoha soubory dat na prodej. Máte zájem o klienty čínské banky? Indickou databázi uživatelů jedné z mobilních aplikací? Nebo třeba balíček překvapení s názvem Ultra Pack 20+1? Budou vás stát už od 100 dolarů, tedy klidně jen pár tisíc korun. Zhruba takto vypadá tržiště i na darknetu, jak se nazývá část internetové sítě dostupné pouze skrze specifický software, autorizaci a další nestandardní postupy. Právě tam je ráj hackerů.

Česko? Na policii nejdu

Česká republika má poměrně propracovaný systém pro to, jak čelit kybernetickým hrozbám. Zastřešuje jej zmíněný Národní úřad pro kybernetickou a informační bezpečnost. S tím povinně spolupracují všechny důležité instituce, třeba právě i česká vláda. A všude se s nebezpečím reálně pracuje.

„Kybernetická bezpečnost patří mezi jednu z hlavních priorit současné vlády a stejně tak i vedení Úřadu vlády ČR,“ říká Jana Adamcová, mluvčí vlády. Ze zákona musí provádět bezpečnostní opatření proti kybernetickým hrozbám, chrání informační systémy a řeší problematiku jak po stránce technické, tak organizační.

Na kybernetickou bezpečnost má vláda stanovený výbor, manažera, správce a analytiky, různé garanty a administrátory. Zaměstnanci jsou pravidelně vzděláváni a školeni. Hesla u e-mailů jsou doplněna vícefaktorovým ověřením, musí mít daný počet znaků, speciální symboly a odolnost proti slovníkovým útokům.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

„Tyto požadavky jsou definované, průběžně aktualizované a supervizované Odborem informatiky. Doba platnosti uživatelských hesel je časově omezena a jejich změna je po uplynutí doby jejich platnosti informačním systémem automaticky vynucována. Za účelem zajištění důvěrnosti a integrity dat, přenášených prostřednictvím e-mailových služeb, pak uživatelé využívají kryptografických nástrojů s implementovanými, aktuálně bezpečnými, kryptografickými algoritmy,“ popisuje Adamcová.

NÚKIB ani veškerá zaváděná opatření však nemůžou odhalit všechny hrozby, které se na síti vyskytnou. Občas na podezřelé aktivity narazí spíše lidé právě jako Jindřich Karásek. Jsou to zaměstnanci antivirových společností, nadšenci nebo programátoři na volné noze. Konkrétně Karásek se označuje jako threat hunter, tedy lovec hrozeb. Říká, že loví, spíš než zkoumá.

Jenže ať už jde o výzkum nebo rovnou lov, snaha varovat napadené se pojí s problémem, jak se k nim vlastně dostat – a přes koho. Jít za úřadem přímo, nebo ohlašovat kybernetickou hrozbu policii totiž ve skutečnosti není nejlepší nápad. „Vždycky mě to napadne, ale pokaždé si také uvědomím, že by si mysleli, že ten hacker jsem já. Možná jim křivdím, ale nehodlám to riskovat,“ popisuje další etický hacker, který si pod rouškou anonymity nepřál být jmenován.

dumpg1001a

Foto: 4n6strider

V uniklém souboru se často opakují i hesla jako „milacek“, „heslo“, ale i „happyhair“

On i jeho kolegové, kteří se v této situaci klasicky jednou za pár měsíců ocitnou, mají poměrně propracovaný systém přenosu informací. Je možné nechat kontaktovat konkrétní lidi i přes hlubiny internetu – s přesným postupem se ale svěřit nechtějí. Obvykle však vede cesta velmi křehkým řetězcem lidí, kde informaci každý posune jen o jeden další krok ke svému cíli. Tedy od bílého hackera až k postižené instituci typu vláda, právě přes NÚKIB. Pomalu, tajně, a především poměrně riskantně.

„Neznáme se navzájem všichni osobně,“ shrnuje hacker. Sám řekne informace jedinému člověku, kterému věří. Ten postupuje stejně. Nezbývá než doufat, že každý z nich zvolí toho správného. Jediná chyba naruší celý řetězec, poskytne citlivé informace protistraně a zničí několikaměsíční práci. Nebo dokonce odhalí identity, které z bezpečnostních důvodů musejí zůstat skryté.

musk-gates-twt

Přečtěte si takéHackeři napadli Twitter účty Muska, Gatese, Bezose a dalších. Podvodem už v bitcoinech vylákali přes 100 tisíc dolarůHackeři napadli Twitter účty Muska, Gatese, Bezose a dalších. Podvodem už v bitcoinech vylákali přes 100 tisíc dolarů

Každý další článek řetězce přitom nemusí ideálně spolupracovat. „Pro nás je trochu problém nedostatek zpětné vazby ze strany kompetentních úřadů. Zatímco běžný uživatel má správně nahlásit incident a tím je hotov, my ještě musíme mít další informace, abychom mohli například ochránit naše klienty i zaměstnavatele,“ dodává k tomu Karásek. A výsledek téhle snahy se navíc vlastně nikdy nemusí dozvědět.

„Právě proto se anonymně kontaktuji s jedním člověkem a komu celou záležitost předá on, to už je na něm. Já to nevím a ani vědět nemůžu,“ říká Karásek. Mezi ním a konečnou, varovanou organizací jsou však obvykle maximálně dva další lidé. „Do více už bych nešel. To už je opravdu riskantní,“ doplňuje.

Co neprosákne, to funguje

Cesty už jsou však prošlapané. Nezřídka jsou etičtí hackeři v úzkém kontaktu s FBI nebo CIA, ostatně ty se zajímají o jakoukoliv možnou bezpečnostní díru v jakémkoliv softwaru, který se ve Spojených státech hojně používá. Nicméně i český NÚKIB, jakmile se k němu etický hacker už jednou dostane, umí řešit situaci velmi rychle a efektivně.

„NÚKIB tyto úniky eviduje jak z veřejných, tak neveřejných zdrojů – jsme součástí celosvětové sítě bezpečnostních týmů, které si i neveřejně vyměňují svá zjištění a poznatky. Na základě zjištěných a ověřených informací následně podle domén notifikujeme státní instituce a další subjekty, které jsou důležité pro chod našeho státu,“ popisuje mluvčí NÚKIB Holý. Podle informací CzechCrunche úřad zasáhl i v tomto případě.

Pokud se kybernetická napadení dostanou na veřejnost, jako třeba u nedávných problémů některých českých nemocnic, tak spíš odkazují na pomalé a ne to nejlepší možné řešení problému. Jakmile o ničem nevíte, vše funguje, jak má. Ale kybernetické útoky tu přesto jsou.

„Jediné druhé vysvětlení, které mě k tomu napadá, jsou snad skvrny na slunci, které přiměly desetitisíce lidí dát si jako heslo stejný shluk písmenek a čísel.“

„Existuje i jedna veřejná služba, kde je možné sledovat nové uniky a je možné si ověřit, zda je konkrétní e-mailová adresa evidována v rámci nějakého úniku. Jedná se o službu Have I Been Pwned?. Tato služba však není provozována ani nijak kontrolována naším úřadem, proto je nutné zvážit veškeré možné dopady při vkládání jakékoli e-mailové adresy,“ říká Holý.

Proč to všechno? Někdy vede útoky nuda, jindy jasná vidina peněz. S jedním heslem zjistíte ta další: do účtů na sociálních sítích, za které se dá dobře vydírat, nebo třeba rovnou do internetového bankovnictví. S představou výkupného lze zablokovat chod celé firmy nebo organizace. Těžko odhadnutelný je pak další důvod, který Karásek nastiňuje: snaha o kontrolu vlivu.

V daném souboru uniklých hesel je totiž zvláštní specialita. Mezi těmi obvyklými, velmi početnými, ke kterým patří třeba password, 123456, qwerty nebo Passw0rd, jsou i hesla opravdu bezpečná. Tak třeba 5L0Xbf2W se pojí rovnou s 55 858 účty.

„Po tisících se vyskytují i další velmi neobvyklá hesla. Dalo by se to vysvětlit tím, že existuje někdo, kdo řídí třeba nějakou dezinformační kampaň, tedy armády trollů, které šíří obsah. Tak fungují lidé, kteří vystupují pod řadou identit. A musejí se střídat. Proto mají všichni stejná hesla. Jediné druhé vysvětlení, které mě k tomu napadá, jsou snad skvrny na slunci, které přiměly desetitisíce lidí dát si jako heslo stejný shluk písmenek a čísel,“ popisuje Karásek.

Španělsko masivně experimentuje se základním příjmem. Peníze od státu dostanou přes 2 miliony lidí

Jiří SvobodaJiří Svoboda

Panorama Barcelony

0Zobrazit komentáře

Je to ožehavé téma nejen mezi politiky, ale i podnikateli a špičkami světového technologického průmyslu. Se základním nepodmíněným příjmem (známým také pod zkratkou UBI z anglického universal basic income) se doposud operovalo jen v rukavičkách, ovšem významné poznatky může přinést ekonomický experiment, který se právě teď rozjíždí ve Španělsku.

Tamní vláda už na konci května schválila program, který odstartoval se začátkem července a cílí v konečné fázi na 850 tisíc nejchudších domácností, neboli až 2,5 milionu lidí. Španělsko ovšem nebude dávat lidem rovnou, jednotnou dávku. Místo toho bude dorovnávat hodnotu nízkého příjmu lidí do určité částky, která pro jednotlivce tvoří v přepočtu zhruba 12,5 tisíce korun měsíčně. U rodin jsou částky nastavené různě, podle počtu členů domácnosti.

Peníze dostanou lidé nezávisle na tom, jestli mají práci, ale stanovené jsou další podmínky například v maximální hranici hodnoty majetku, který daná rodina nebo jednotlivec vlastní. Pokud ji překročí, na tuto podporu nemají nárok. Primárně by ovšem mělo jít o osoby, které jsou už nyní zapojeny do španělského sociálního systému.

Diskuze o zavedení UBI ve španělské vládě (částečně tvořené levicovou stranou Podemos) zažehla znovu koronavirová pandemie, nicméně výsledný kompromis se tak o celou ideu pouze opírá.

„UBI by měl být úplně pro všechny a ve stejné výši. Španělský model je spíše nastavení sociálního řešení minimálního příjmu, jakéhosi životního minima. Pravý UBI by odstraňoval složitý sociální systém,“ upřesňuje pro CzechCrunch viceprezident Svazu průmyslu a dopravy Radek Špicar.

spicar

Foto: Archiv RŠ

Radek Špicar, viceprezident Svazu průmyslu a dopravy

Z obecnějšího pohledu je však ideální čas s UBI zaexperimentovat ve velkém – fixní minimální příjem od státu je totiž podle některých podnikatelů, politiků i ekonomů potřebný instrument ke zvládnutí stále větší automatizace a postupného zanikání některých pracovních míst, například kvůli čím dál větší funkčnosti umělé inteligence. Špicar a jeho kolegové nicméně v analýze pro CzechCrunch potvrdili, že jedním z hlavních benefitů je především zjednodušení současných, často složitých sociálních systémů nebo zvýšení obecné jistoty lidí.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

Jak shrnuje magazín Nature, myšlenka UBI není nová, ostatně v novele Utopie ji nastínil filozof Thomas More už v roce 1516. Ekonomové ji ovšem začali brát vážně až v druhé polovině 20. století. Ve své podstatě nemá jít nutně o socialistickou iniciativu, ale také institut, díky němuž se lidé mohou více věnovat osobnímu rozvoji, kreativní činnosti nebo dobrovolnictví a tím ekonomiku de facto posouvat v dlouhodobém horizontu.

Už v 60. a 70. letech UBI zajímavě navrhli politici v USA a Kanadě. Na několika vybraných místech uvedli v provoz pobídky v podobě negativní daně z příjmu. Jinými slovy, pakliže člověk vydělával pod určitou finanční hranici, stát mu peníze na daních nebral, ale naopak dával.

Větší míra docházky do škol

Dílčí studie (žádná nedosahovala takové šíře jako španělská iniciativa) probíhaly za posledních patnáct let v několika afrických zemích nebo i v Indii. Tamní příklady z několika vesnic z roku 2011 například ukázaly, že UBI zvýšil docházku dětí do škol o 25 % ve vesnicích se zajištěným příjmem oproti kontrolním vesnicím bez zajištěného příjmu.

V Evropě experimentovalo s UBI především Finsko. To mezi roky 2017 a 2019 platilo dvěma tisícům náhodně vybraným nezaměstnaným 560 eur (dnes v přepočtu zhruba 15 tisíc korun) měsíčně. Ačkoliv se ukázalo, že program nemotivoval nezaměstnané dál pracovat, zlepšilo se jim psychické zdraví i životní úroveň.

oldrich-bajer

Přečtěte si takéPřed dvěma týdny hovořil o velkých plánech. Teď ale Oldřich Bajer v čele Mall Group nečekaně končíPřed dvěma týdny hovořil o velkých plánech. Teď ale Oldřich Bajer v čele Mall Group nečekaně končí

„Sám o sobě UBI významněji nezvýší zaměstnanost, to naznačují i dosavadní experimenty, a ani nemusí být vždy jasná souvislost mezi touto metodou a motivací k práci. Ani v realizovaném španělském modelu nečekáme silný efekt na zvýšení zaměstnanosti,“ komentuje myšlenku Špicar.

Za myšlenku se postavil nedávno také americký prezidentský kandidát Andrew Yang. Ve své kampani navrhoval skutečný základní nepodmíněný příjem, tedy dávat každému Američanovi ve věku 18 až 64 let 1 000 dolarů měsíčně, tedy dle současného kurzu přes 23 tisíc korun. Yang ve své kampani zmiňoval i příklad Aljašky, která má na kontě vskutku ekonomický unikát. Už od roku 1982 rozdává mezi své obyvatele výdělky ze státního fondu inkasujícího z těžby ropy.

Každému aljašskému obyvateli včetně dětí tak ročně rozdává mezi 1 000 a 2 000 dolary v závislosti na tom, jak se těžebnímu průmyslu daří. Iniciativa údajně vedla k vymizení extrémní chudoby a zároveň vyvrátila domněnku, že se sníží počet obyvatel, kteří pracují.

Od jedné mizející práce ke druhé

Vládní iniciativy prozatím příliš neoperují s rétorikou, která by UBI spojovala s automatizací a potenciální ztrátou pracovních míst, nicméně právě v souvislosti s těmito trendy uvažuje například světově uznávaný odborník na umělou inteligenci Kai-Fu Lee. Ten říká, že základní nepodmíněný příjem je jednou z metod, jak zmírnit dlouhodobě následky automatizace a robotizace na pracovní místa.

Lee ovšem zároveň tvrdí, že není správné jen tak rozdat všem obyvatelům určitou částku měsíčně a naopak je nutné toto opatření spojit s dalšími kroky. Konkrétně spolu s UBI navrhuje třeba vytvoření většího míst v kreativních nebo sociálních odvětvích a podporu dobrovolnictví.

Bez dalších kroků se totiž podle Leeho bude stávat, že zejména lidé z mizejících profesí budou jen nadále přecházet k další mizející profesi. Například řidič nákladního auta, který už nebude potřeba, bude mít spíše tendenci přeučit se například na práci v továrně, která bude brzy také zrušena, než aby si zvyšoval kvalifikaci na zcela odlišnou profesi.

Za myšlenku základního nepodmíněného příjmu se v minulosti postavila i velká jména technologického průmyslu. Šéf automobilky Tesla a vesmírného startupu SpaceX Elon Musk uvažuje v podobných souvislostech jako Kai-Fu Lee a před dvěma roky řekl serveru CNBC, že nevidí jinou možnost, jak se s nástupem umělé inteligence vyrovnat.

Aby všichni měli čas zkoušet nové věci

UBI podporují i další, například miliardář Richard Branson nebo zakladatel Facebooku Mark Zuckerberg. Ten ve svém proslovu před třemi roky řekl, že musíme „prozkoumávat myšlenky jako UBI, abychom zajistili, že všichni budou mít (finanční) polštář na to zkoušet nové věci“.

mark-zuckerberg-facebook

Foto: Facebook

Šéf Facebooku Mark Zuckerberg

Do konkrétní roviny přesunul úvahy o penězích pro všechny zakladatel Twitteru Jack Dorsey. Ten na začátku července přislíbil zainvestovat tři miliony dolarů (70 milionů korun) do experimentů ve více než tuctu amerických měst, což je zároveň součástí jeho větší dobročinné iniciativy, v rámci níž chce rozdat až miliardu dolarů ze svého jmění.

superman-james-gunn-01

Přečtěte si takéNový Superman funguje. Jak dokázal, že superhdinové pořád baví?Nový Superman funguje a lidé se na něj hrnou. Jak dokázal, že únava ze superhrdiny není skutečná?

Celý pilotní program zafinancovaný Dorseym by měla provést skupina Mayors for a Guaranteed Income (Starostové pro zaručený příjem). Ta tvrdí, že by mohl ovlivnit životy až 7 milionů lidí ve městech jako Los Angeles, Atlanta nebo New Jersey. Velikostně by tak jako jediná iniciativu španělské vlády pokořila.

Pokud bychom se měli bavit o zavedení UBI například v českém prostředí, podle Špicara je třeba se zaměřit na produktivitu a strukturu naší ekonomiky. „Zatím nejsme v situaci, kdy by čistý model UBI dávalo smysl zavádět. Pokud bychom ale chtěli hledat zjednodušení pro systém dávek, určitě zde prostor pro diskusi je,“ dodává.