Občan a kybernetická bezpečnost – 1. část: Telekomunikace

Úvod

Koncem minulého roku nebylo možné nezaznamenat informaci, že Národní úřad pro kybernetickou a informační bezpečnost (dále již pouze NÚKIB) vydal, na základě § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, varování před používáním softwaru i hardwaru čínských společností Huawei Technologies Co., Ltd. a ZTE Corporation.

Nejedná se o žádnou novinku. Pochybnosti o důvěryhodnosti zmiňovaných značek se ve světě řeší už takřka dvě desítky let. Obdobný přístup již zvolily Kanada, Indie, Austrálie, Velká Británie, Nový Zéland a Japonsko. Ale ani v České republice se nejedná o žádnou novinku. NÚKIB se nechal v minulosti slyšet, že se mu využívání čínských technologií u strategické infrastruktury příliš nezamlouvá. Navíc v listopadu roku 2014¹⁾ došlo v tzv. Výroční zprávě Bezpečnostní informační služby za rok 2013 k označení obou firem jako zdroje potenciálního nebezpečí na českém telekomunikačním trhu.

Kromě upozornění na zkušenosti ze zahraničí bylo v této zprávě konstatováno, že obě společnosti ignorují hlášení o chybách ve svých produktech a nepracují na jejich odstraňování. Dále byla také zmíněna možnost, že by v jejich hardware mohly existovat úmyslně vložené chyby (tzv. backdoors = zadní vrátka), které jsou používány k vzdálené neautorizované manipulaci se zařízením.

BIS, NÚKIB a ani Český telekomunikační úřad nemohou výběr konkrétních dodavatelů infrastruktury zakázat, tak je na místě věřit, že klíčoví představitelé tuzemského mobilního trhu – T-Mobile, Vodafone i O2 si s danou problematikou zcela jistě poradí. To samé lze očekávat u všech provozovatelů kritické infrastruktury a souvisejících orgánů státní správy, nad kterými má NÚKIB jakožto tzv. národní koordinátor v oblasti kybernetické bezpečnosti „pravomoc“. Vydání varování je plně formalizovaný proces a jedním z jeho hlavních důsledků je, že se s ním ze zákona musejí vypořádat všichni provozovatelé kritické infrastruktury. Ať již pro své počítačové sítě v minulosti nakoupili aktivní síťové prvky, datová úložiště i servery od kohokoli.

Videopřenosová zařízení

Téma, které již tak mediálně řešeno není, je skutečnost zaznamenaná Bezpečnostní informační službou (dále již pouze BIS) ve Výroční zprávě za rok 2014². V kapitole 2.7. Kybernetická bezpečnost je na straně 19 uvedeno, že v rámci monitoringu zařízení a technologií, které by mohly představovat případná bezpečnostní rizika, došlo k testování IP kamer.

Z pohledu BIS, vzhledem k úzce sledované oblasti (kritická informační a komunikační infrastruktura státu), se zde riziko zneužití bezpečnostních kamer nezdálo příliš vysoké. Ve zprávě je pro vysvětlení uvedeno, že aby mohla být zjištěná zranitelnost zneužita, musí dojít ke splnění hned několik podmínek – což je v řešené oblasti málo pravděpodobné. Informaci, o které konkrétní kamery se jednalo, zpráva neobsahuje. Výroční zpráva BIS na rozdíl od zahraničních serverů (https://krebsonsecurity.com ; https://www.theregister.co.uk ; https://www.wired.com) nikdy žádného konkrétního výrobce nejmenovala. Nicméně i přes to se ve zprávě uvádí, že nelze zcela podcenit skutečnost, že data z dosažitelných kamer mohou být systematicky získávána a vytěžována.

Co se týká vlastní praxe, je zde oproti problematice telekomunikační infrastruktury situace jiná. Výběrová řízení na dodávky bezpečnostních systémů probíhají obvykle pouze na koncové prvky a ne každou dodávku prvků síťové infrastruktury IP kamerových systémů je možné kyberneticky „ohlídat“. Ale i zde je v pravomoci veřejných subjektů³ využít jednoho z odstavců zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Konkrétně jde o § 4 odst. 3, ve kterém je uvedeno, že: „Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.“

Veřejné subjekty (státní organizace) obvykle mají zpracovány interní procesy řízení vztahů s dodavateli, podle kterých je možné provoz kamerového systému zařadit mezi bezpečnostní rizika. Umožňuje jim to už vymezení pojmů v § 2, kde je v obsahu písmene d) uvedeno, že významným informačním systémem se rozumí informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

Následné využití výše uvedeného může vést k výkladu, že „zohlednění bezpečnostních požadavků vyplývajících z bezpečnostních opatření v míře nezbytné nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži“.

S ohledem na současný trend mezinárodního obchodu lze s jeho využitím do budoucna počítat. Firem, které budou některým ze států Evropské unie v rámci obchodní války (mezi Čínou a USA, potažmo USA a Ruskem) označeny jako rizikové, může být do budoucna více, ať už z důvodu, že:

• má sídlo nebo pochází z bezpečnostně nespolehlivé země;
• nabízí nebo používá technologie, které představují potenciální nebo identifikované bezpečnostní riziko;
• má vlastnickou strukturu, která je skrytá nebo představuje bezpečnostní riziko;
• byl některou z členských zemí EU označený jako bezpečnostní riziko;
• zaměstnává v České republice osobu nebo osoby představující bezpečnostní riziko;
• nemá v pořádku ekonomické a finanční ukazatele (nedoplatky, „černá listina“, opakované účetní období ve ztrátě…);
• nemá dostatečnou historii existence organizace v oblasti předmětných dodávek nebo ji nedokáže hodnověrně prokázat;
• má nedostatečně popsané procesy zajištění poskytování služeb (včetně vlastních bezpečnostních opatření a jejich kontrolních mechanizmů) nezbytné pro plnění předmětné zakázky;
• nedokáže jednoznačně garantovat kapacity, včetně technických specializací, pro případ vzniku bezpečnostního incidentu (nelze ošetřovat pojištěním nebo jinými instrumenty, např. sankčními);
• obdržel dvě po sobě jsoucí negativní hodnocení poskytovaných služeb;
• apod.

Tolik jen stručně k bezpečnostní problematice na úrovni státní správy. Jak je na tom ale prostý občan nebo soukromý podnikatel?

Mobilní telefon a běžný uživatel

Zůstaňme ještě chvíli u mobilních telefonů. Ty, jako koncové prvky telekomunikační infrastruktury, nám mohou posloužit jako příklad pro následující problematiku týkající se IP kamer⁴. Navíc prakticky každý mobilní telefon dnes obsahuje minimálně jeden fotoaparát (tedy snímací prvek) a datová komunikace je jedním z jeho klíčových parametrů. Je tedy technicky možné, například s instalací certifikátů u některých kamerových systémů, aby se i on stal „plnohodnotnou“ VSS kamerou⁵.

Mobilní telefon je dnes již typickým a běžným představitelem spotřební elektroniky. Jedná se o produkt denní potřeby, bez kterého si svůj život dovede představit jen málokdo. Varování týkající se jeho bezpečnosti jsme se naučili brát na lehkou váhu. Z pohledu bezpečnosti (ať už na úrovni státní správy anebo v rámci soukromé firmy, kde pracujeme) počítáme s tím, že nad námi někdo stále drží ochrannou ruku. Telefonujeme, sdílíme data a jsme si jisti, že podobná varování jako jsou ta od BIS a NÚKIB se nás netýkají. Riziko za nás přebírá bezpečnostní a rizikový management nebo IT oddělení.

Stejně bezstarostný přístup jsme si bohužel osvojili i coby občané/uživatelé. A možnost, že by náš mobilní telefon, chytré hodinky anebo fitness náramek představovaly ohrožení bezpečnosti, u nás vyvolá maximálně tak úsměv na tváři. Naši bezstarostnost navíc podporuje skutečnost, že výrobcům z rizikových zemí se stejně vyhnout nedá. I v případě, že si koupíte iPhone (Amerika), Samsung (Korea) anebo Nokii (Finsko), tak stejně budou tato zařízení obsahovat součástky vyrobené rizikovými firmami. Takže o co jde.

Pokud se nám někdo svěří, že si mobilní telefon nevybral podle počtu objektivů vestavěného fotoaparátu a rozlišení displeje, ale podle toho jak „čistý“ je jeho operační program (např. jeli zařazen v programu Android One = poskytnutí záruky bezpečnostních aktualizací po dobu dvou let pro každého uživatele a záruka aktualizací až na pět let pro firemní zákazníky), budeme se smát ještě víc. A přitom absence takovéto garance je pro běžného uživatele reálně mnohem větším rizikem než cíleně otevřená zadní vrátka od výrobce.

Pokud by k nějakému útoku na náš telefon došlo, tak platí, že možnosti koncového uživatele bránit se jsou velmi omezené. Žádná obrana proti takovémuto typu útoku není prakticky možná. Výpadku služeb zabránit nelze a odposlouchávání nebo manipulaci s komunikací lze například zabránit důsledným používáním End-to-End šifrování a podepisování, to je ale nejspíš všechno.

Až tedy prohlásí bezpečnostní expert (nebo někdo, ke komu máme důvěru), že existuje podezření, že námi používané zařízení spotřební elektroniky není bezpečné, záleží jen na naší míře paranoi, jestli se rozhodneme svůj mobilní telefon zahodit a koupíme si nový – „bezpečnější“.

Bezpečnostní aktualizace, záplaty atd.

Ať už ale jako koncový uživatel používáme libovolné zařízení s rozhraním zajišťujícím datovou komunikaci (pro další odstavce si tu obrazně můžeme představit nejen mobilní telefon, IP kameru, ale také standardní počítač), tak dalším krokem jeho bezpečného provozu je jeho programové vybavení – software/firmware (dále již pouze SW/FW).

Kromě chyb, které se do zařízení dostanou přímo od výrobce v rámci FW jednotlivých komponentů (jako příklad lze uvést procesory Intel, kdy záplaty a další vyvinutá řešení často způsobovaly problémy s chodem dalších jiných komponentů), jsou zcela standardní také chyby v klíčovém SW. U desktopových počítačů stojí za zmínku aktuálně nejrozšířenější operační systém Windows 10 od Microsoft. Například do veřejné aktualizace⁶ z října 2018 se kvůli nedostatečnému testování dostala chyba, která mohla vyústit ve smazání části uživatelských dat. Poté co výrobce jednu chybu opravil, objevili uživatelé druhou.

Pro dokreslení situace lze doplnit fakt, že říjnová aktualizace přinesla jen minimum viditelných uživatelských změn.

Všechna takováto vylepšení bývají obvykle umocněna „dobrovolným a zcela automatickým“ uživatelským kliknutím na tlačítko [Souhlasím]. Přece si vzájemně věříme – Bill, Steve, Mark, Sundar, Jack, Karel⁷ – ne? A děj (provoz) se dál obvykle vyvíjí bez našeho vědomí – v minulých letech to platilo např. pro Facebook, Google, ale také Twitter.

Když zůstaneme na chvíli v Čechách, tak stojí za zmínku skutečnost, že v této oblasti si v loňském roce společnost Google navíc vysloužila „zájem“ spotřebitelské organizace dTest⁸. Podle výzkumu, publikovaném norskou spotřebitelskou organizací Forbrukerrådet, ze kterého dTest vychází, shromažďoval Google data mobilních telefonů prostřednictvím svých služeb „Historie polohy“ a „Aktivita na webu a v aplikacích“, které jsou nedílnou součástí všech Google účtů. Společnost nejenže používala různé triky a praktiky, aby zajistila, že uživatelé budou mít tyto služby zapnuté, ale také spotřebitelům reálně neposkytla ani jinou možnost než tu, že údaje o své poloze poskytnou.

Ke všemu výše uvedenému lze doplnit již uvedené konstatování: „Takovéto drobnosti mohou přinést běžnému uživateli mnohem reálnější riziko napadení jejich zařízení, než cíleně otevřená zadní vrátka od výrobce.“

Pokud bychom konstatovali, že výše popsaná problematika se týká starších generací, tedy uživatelů narozených v minulém století – řekněme Husákovy děti a starší. A že nová generace dospělých uživatelů je na tom s přístupem k (elektro)technice již lépe, tak bychom se velice mýlili.

Nejznámější název pro skupinu lidí narozených od poloviny 90. let 20. století do současnosti je „Generace Z“ a píše se o ní jako o generaci, která vyrostla na síti World Wide Web⁹. A ačkoli jsou těmi nejpřirozenějšími představiteli éry globalizace, tak coby uživatelé zařízení s rozhraním datové komunikace, bezpečnost (primárně myšleno kybernetickou) neřeší.

Doložit to můžeme výsledky výzkumu společností Seznam.cz a ESET, který se v září 2018 zaměřil na chování českých středoškolských a vysokoškolských studentů na internetu. Z výsledků vyplývá, že vlastní smartphone nebo chytrý telefon má podle průzkumu 96 % studentů. S tímto velkým zastoupením „chytrých“ zařízení ostře kontrastuje postoj studentů k ochraně těchto zařízení. Bezpečnostní aplikaci používá pouze 39 % respondentů. Ve srovnání s průzkumy z posledních dvou let zde nedošlo k žádné změně (+/− 1 %)¹⁰.

Přitom chytrá mobilní zařízení jsou dnes nejen běžnou součástí výuky, ale také platebních transakcí. V této souvislosti je dle odborníků alarmující zprávou způsob připojení se k internetu. U již zmiňovaných českých studentů je to pomocí otevřených Wi-Fi sítí. To samo o sobě není přímou bezpečnostní hrozbu – pokud využívají například tzv. virtuálních privátních sítí (VPN). Jak z předchozích odstavců víme (viz rámeček Deset „tech“ průšvihů roku 2018), tak ani u aplikací VPN služeb dostupných v oficiálním obchodě Google Play nepozná běžný uživatel, které věřit může a které ne.

Trend bezstarostného přístupu k technologiím je (bez ohledu na věk a vzdělání) stejný. Nízký podíl kvalitně zabezpečených tzv. mobilních zařízení (mobilních telefonů, osobních počítačů, IP kamer atd.) mezi českými uživateli je dlouhodobý problém. Stoupá nejen neochota platit za bezpečnostní aplikace, ale také je používat. A to i přes to, že v nabídkách renomovaných výrobců jsou spolehlivé aplikace zdarma. Bezpečnost prostě obtěžuje. A to bez ohledu na skutečnost, že na mobilní zařízení se přesouvá stále více aktivit spojených s využíváním internetu. Příkladem nenápadné aplikace u mobilních telefonů může být loni objevená aplikace QRecorder, která cílila už i přímo na české uživatele. A přitom nešlo o nic menšího, než o převzetí komunikace s bankou při provádění plateb. A popravdě, kdo z nás kdo u takovýchto operací na autorizační SMS zprávy používá druhý telefon – nejlépe takový, který kromě volání a posílání zpráv SMS nic jiného „neumí“?

Bezpečnost „v nás“

Když už jsme zmínili první tzv. uživatelský zákrok (stisknutí tlačítka „Souhlasím“) a tedy převzetí zodpovědnosti za rizika na sebe jakožto na koncového uživatele, tak je vhodné uvědomit si, že oblast kybernetické bezpečnosti je velmi složitá a rizik spojených s používáním spotřební elektroniky (tedy nejen telefonů) je nespočet.

Skutečnost, že žijeme v relativním blahobytu – služby (ačkoli na ně dnes a denně nadáváme) fungují, a je lidsky přirozené mít pocit, že není čeho se obávat. Jenže rizika, která nás obklopují, jsou (když už nic jiného, tak) plíživá.

Takzvaný „expert“ (pokud zvládneme dodržovat alespoň základní bezpečnostní pravidla) se k našim nezabezpečeným údajům pravděpodobně nedostane. Uklidnit by nás mohla skutečnost, že útoky se nejčastěji vedou hromadně a počítá se s tím, že se nachytá třeba jen velmi malá část obětí. Proto dodržování už jen základních bezpečnostních pravidel způsobí, že když útočník v prvním pokusu neuspěje, tak že se zaměří na snazší kořist.

Většina útoků totiž využívá principy tzv. sociálního inženýrství – nemíří totiž na slabiny chytrého telefonu, ale přímo na jeho majitele. U mobilních telefonů stále platí, že pokud HW, SW a FW čerpáme z „ověřeného“ zdroje a pokud pravidelně aktualizujeme, tak bychom mohli být v klidu.

Je-li tomu jinak, měl by zazvonit náš vnitřní „alarm“ a měli bychom konat. Pokud tedy už není pozdě.

Rozebrat do větších detailů firmware jednoho telefonu zvládne „kdekdo“ a pokud se vám takto do vašeho zařízení „dostal“ opravdový expert, se nejspíš nikdy nedozvíte. Nejen v aktuální kauze Huawei a spol., ale ani v těch předešlých nebyly nikdy zveřejněny žádné nenapadnutelné důkazy. Platí-li, že ve věcech kolem bezpečnosti státu se pravdu běžný smrtelník nedozví nikdy, tak jak a kde by si mohl ověřit, jestli se mu včera někdo díval do složek jeho domácího zařízení?

IP kamery

Tolik k mobilním telefonům, ale co naše domácí „bezpečnostní“ kamery – jak jste obezřetní zde? Snižujete možnost „hacku“ svých IP kamer? Jak jste na tom se zabezpečením své internetové sítě? Co víte o nastavení svého záznamového zařízení a kdy naposledy jste řešili úroveň jeho přístupového hesla? A nejlepší nakonec – aktualizujete firmware prvků svého kamerového systému svépomocí, nebo s odborníkem?

Než si na tyto otázky odpovíte, tak se po internetu podívejte, jestli vaše kamera nerozšířila počet tzv. „hacknutých“ IP kamer. Pamatujete si ještě na tři roky starou mediální kauzu, kdy Úřad pro ochranu osobních údajů analyzoval, jestli živé video z více než tří stovek kamer nezasahuje neoprávněně do soukromí majitelů kamer, ale i osob, které na záběrech figurují?

Zmíněné internetové stránky z roku 2016, které v důsledku špatného nastavení umožňují nahlížet nejen na veřejné prostory, ale také do bytů, na zahrady domů či obchodů soukromých osob, jsou stále v provozu. Jen místo původních 339 kamer z českých IP adres je jich tam v lednu 2019 přibližně 450.

Zdroje a literatura

¹ ... „Potenciální nebezpečí pro ČR může představovat rostoucí podíl čínských společností Huawei a ZTE na českém telekomunikačním trhu. Obě společnosti jsou ve světě dlouhodobě podezřívány ze spolupráce s čínskými zpravodajskými službami a podílu na výzvědných aktivitách. V některých zemích byla společnost Huawei v minulosti vyloučena z účasti na vládních zakázkách či budování sítí pro přenos citlivých informací, neboť bezpečnostní rizika převažují ekonomické úspory, které tyto společnosti nabízí. Odborníci rovněž poukazují na to, že obě společnosti ignorují hlášení o chybách ve svých produktech a nepracují na jejich odstraňování. Rovněž upozorňují na možnost, že by v čínském hardware mohly existovat úmyslně vložené chyby (tzv. zadní vrátka), které umožní vzdálenou neautorizovanou manipulaci se zařízením. Zadní vrátka mohou v případě potřeby posloužit k vyřazení komunikační infrastruktury protivníka nebo získání citlivých informací.“
Zdroj: https://www.bis.cz/vyrocni-zpravy/vyrocni-zprava-bezpecnostni-informacni-sluzby-za-rok-2013-6e09661b.html ... Zpět

² ... „V rámci monitoringu zařízení a technologií, které by mohly představovat případná bezpečnostní rizika, zkoumala BIS v minulém roce mj. IP kamery (také síťové kamery, web kamery, webcam). Na základě získaných informací i na základě vlastního šetření BIS potvrdila, že firmware zkoumané IP kamery obsahuje nedokumentovaný administrátorský účet, tedy tzv. backdoor. Kamera se po standardním zapojení snaží komunikovat s nastavenou konkrétní doménou, která je pravděpodobně součástí většího cloudu. Zařízení obsahující výše zmíněný backdoor mohou případní útočníci najít pomocí řetězce zadaného do internetového prohlížeče.
Ačkoliv není riziko vzdáleného přístupu k většímu množství bezpečnostních kamer příliš vysoké, neboť musí být splněno hned několik podmínek k tomu, aby mohla být výše uvedená zranitelnost zneužita, nelze zcela podcenit skutečnost, že data z dosažitelných kamer mohou být systematicky získávána a vytěžována. Jedná se o modelový příklad plošného šíření zranitelných hardwarových zařízení, která mohou být zneužívána k různým účelům, např. i k pronikání do počítačových struktur státu, státních úřadů a významných ekonomických subjektů.“
Zdroj: https://www.bis.cz/vyrocni-zpravy/vyrocni-zprava-bezpecnostni-informacni-sluzby-za-rok-2014-b72f2516.html ... Zpět

³ ... Veřejný subjekt – Subjekt, který je založen nebo zřízen za zvláštním účelem uspokojování potřeb obecného zájmu, který nemá průmyslovou nebo obchodní povahu, má právní subjektivitu, a zároveň je financován převážně (tj. z více než 50 %) státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty, nebo je těmito orgány řízen, nebo je v jeho správním, řídicím nebo dozorčím orgánu více než polovina členů jmenovaná státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty. Jde zejména o Českou republiku, státní příspěvkovou organizaci, územní samosprávný celek nebo příspěvkovou organizaci, u níž funkci zřizovatele vykonává územní samosprávný celek, nebo jinou právnickou osobu, pokud byla založena či zřízena za účelem uspokojování potřeb veřejného zájmu, které nemají průmyslovou nebo obchodní povahu, a je financována převážně některým z výše uvedených subjektů nebo těmito subjekty ovládána nebo tento subjekt jmenuje či volí více než polovinu členů v jejím statutárním, správním, dozorčím či kontrolním orgánu.
Zdroj: http://projektovakancelar.mkcr.cz/Slovn%C3%ADk/verejny-subjekt/ ... Zpět

⁴ ... IP kamera (IP camera) – zařízení snímající a přenášející živé video přes IP sítě, které umožňují vzdálené sledování, záznam a správu (3.1.25 – ČSN EN 62676-2-1)
Zdroj: www.unmz.cz/urad/unmz ... Zpět

⁵ ... VSS kamera (VSS camera) – celek obsahující snímací prvek, vytvářející z optického obrazu videosignál (3.1.4 – ČSN EN 62676-4)
Zdroj: www.unmz.cz/urad/unmz ... Zpět

⁶ ... Deset „tech“ průšvihů roku 2018. Zdroj: https://tech.ihned.cz ... Zpět

⁷ ... Bill Gates – Microsoft, Steve Jobs – Apple, Mark Zuckenberg – Facebook, Sundar Pichai – Google, Jack Dorsey – Twitter, a další ... Zpět

⁸ ... dTest – „Podáváme stížnost na Google kvůli porušení GDPR“. Zdroj: https://www.dtest.cz/clanek-7039/podavame-stiznost-na-google-kvuli-poruseni-gdpr ... Zpět

⁹ ... Generace Z – také známá jako generace M (multitasking), internetová generace, děti nového tisíciletí, je společný název pro skupinu lidí narozených od poloviny 90. let 20. století do současnosti. Zdroj: Wikipedie ... Zpět

¹⁰ ... Výzkum společností Seznam.cz a ESET – Antivir v mobilu používá méně než polovina studentů v Česku, smartphone přitom má 96 % z nich. Zdroj: www.eset.com/cz/ ... Zpět