Autor této publikace Sean Brian Townsend, nezávislý badatel ve sféře informační a počítačové bezpečnosti, protagonista a mluvčí Ukrajinské kybernetické aliance, vypráví, jak si Kasperskij a FSB zahráli na „hackery“ The Shadow Brokers, aby nabourali a vyzradili tajné vývojové produkty americké NSA. Kvůli tomuto vyzrazení se přehnaly vyděračské epidemie WannaCry, NotPetya a BadRabbit.
Redakce InformNapalmu nemusí sdílet názory autorů publikací v rubrice [opinion] a připouští volnější textový styl pro tuto část.
Antivirový software: mýty vs. skutečnost
Kolem antivirových společností (AV) často koluje mnoho mýtů. Uživatelé je obviňují ze dvou smrtelných hříchů: že samy píšou viry kvůli vlastnímu obohacení a že antivir lze zneužít ke sledování. Tyto mýty se sice nezakládají na pravdě, jsou však velmi vytrvalé, výrobci AV se tak nedokážou těchto konspiračních teorií zbavit ani po desetiletích. Podezření vzniká proto, že je používání antivirového softwaru založeno na důvěře.
Kasperského laboratoř se držela 25 let, nakonec však přece jen neodolala. Tento antivir se tak nyní nevryje do paměti jako ochránce, ale jako v onom vtipu o staviteli, koze a lidské vděčnosti.
Mýty o hackerech
Mýtů o hackerech není o nic méně. V masové kultuře je hackerství vnímáno jako „supermoc“. Jak říkal Arthur Clarke, „dostatečně vyvinutá technologie je k nerozeznání od magie“. Postava v masce Guye Fawkese údajně stiskne několik málo tlačítek a vytáhne hesla z „hvězdiček“, převede milion dolarů nebo přepne tunel do protisměrného provozu, čímž rozsévá paniku a zkázu. Nic takového se neděje. Přesněji řečeno se to děje, ale ne tak úplně doslova.
Většina hackerů působí v některé vymezené oblasti a vyhrává počtem, stabilitou a jednoduchostí technologií, nikoli esoterickým počítačovým vúdú. Základem jsou jednoduché ekonomické a statistické zákonitosti. Lepší je tisíckrát získat jednu korunu než jedenkrát tisícovku. Šance jsou neúměrné. Hodnota cílového útoku proto začíná na několika tisících dolarů. Vývoj hackerských nástrojů však vyžaduje čas (tudíž také peníze), který se dá vynaložit na něco užitečnějšího než pokusy prorazit hlavou zeď.
Říkám to, abych zdůraznil, že existují rozpoznatelné vzorce chování, které odlišují hackery od těch, kdo se za ně snaží vydávat. A vždy je tu pokušení zahladit vlastní chyby nebo zmást stopy tak, že se vše hodí na hackerský útok („I was hacked“, „Virus mi sežral soubor s návrhem rozpočtu“, The Shadow Brokers). Jen málokdo rozumí tomu, jak hackeři pracují, podobné výmluvy tak působí dost věrohodně. Tajné služby však potřebují docela konkrétní informace, nejsou omezeny časem, penězi ani jakýmikoli etickými důvody. Národní bezpečnost a hotovo.
Anabáze s únikem z NSA (Národní bezpečnostní agentury USA) trvala nějaký ten rok. V únoru 2015 Kasperského laboratoř uveřejnila zprávu o Equation Group (jde o kódové označení, které vymyslel Kasperskij pro útvar NSA údajně se zabývající kybernetickou rozvědkou). V březnu téhož roku se agentura teprve vzpamatovala ze Snowdenova úniku a dost na rovinu naznačila ruským bezpečákům, že vlezli do nesprávného zelí. Bloomberg uveřejnil článek Společnost, která chrání váš internet, má úzké vazby na ruské špiony. Zakladatel společnosti Jevgenij Kasperskij se tvářil, že těmto narážkám nerozumí.
Samotná skutečnost, že Kasperskij spolupracuje s ruskými tajnými službami, samozřejmě není žádným tajemstvím. Kasperského podnikání začalo tím, že ho podpořil bývalý vyučující z Vyšší školy KGB Rešetnikov, i zaměstnanci společnosti se spoluprácí s tajnými službami nejenže netají, ale jsou na ni také patřičně hrdí.
Kancelář často navštěvuje policie. Když jsem přistoupil ke stolu, kolem něj už seděli dva muži. „Promluvíme si za pět minut“, požádal je Ševčenko a nabídl mi, abych se posadil. „Je to oddělení K. Přišli si pro další zprávu“, řekl, jakmile muži za sebou přivřeli dveře. „FSB jsou u nás také pečení vaření…“ Ševčenko se ani nezamračil, když tuto zkratku vyslovil. (Novaja Gazeta, Gostěv z budoucnosti, září 2005)
Proč se NSA do Kasperského pustila teprve v roce 2017
„Proč NSA zakázala používat software od Kasperského teprve v roce 2017? Je to přece špion KGB!“, zeptá se čtenář. Celou dobu předtím totiž šlo jen o vzorky škodlivého SW. Vzorek (neboli v odborné hantýrce sample, těleso) je jen část velkého programu. Jde právě o onen virus, který by měly zachytit antiviry. V dnešní době virů vzniká tolik, že by jejich analýzu nezvládl žádný člověk ani společnost. Většinu virů zachytí automatika, do antiviru jsou zaintegrovány desetitisíce nejasných pravidel, a když soubor působí příliš podezřele, antivir ho zašle mateřské společnosti k vyhodnocení. Takto funguje většina antivirů.
Tajné služby různých zemí světa byly nejednou chyceny při činu kvůli autorství virů, které zachytí i antiviry. Kdyby šlo o pouhé samply, americké tajné služby by o tom pomlčely a dokonce ani nehrozily Kasperskému prstem svobodného tisku. Už měly podezření, že se tentokrát vše odehrálo úplně jinak než obvykle. Když byla v létě 2016 nabourána DNC (Demokratická strana USA), z útoku byli obviněni Rusové. A hned v srpnu se najednou zničehonic objeví dosud zcela neznámá hackerská skupina The Shadow Brokers a prohlásí, že nabourala Equation Group. A začala sdílet nikoli jen analytiku nebo samply, ale kompletní soubory hackerského softwaru i s dokumentací. Peníze stejně jako v případu NotPetya ve skutečnosti nikoho nezajímaly.
Hackeři, nebo tajné služby (rozbor chování bez rovnítka)
Byla to zásadní chyba. Kdyby šlo o hackery, prohlásili by, že nabourali NSA nebo skupinu operačního přístupu NSA (TAO – Office of Tailored Access Operations), zajisté by však neoznačovaly skupinu pomyslným názvem, který (pozor) jim dal Kasperskij. Nemluvě o tom, že by hackeři jen tak veřejně nesdíleli nástroje v hodnotě několika milionů dolarů (!). Je to zvláštní, nabourat počítač a nepoznat, komu vlastně patří. NBA si někdy z legrace říká No Such Agency (Taková Agentura Neexistuje), v žádném případě však Equation Group, což vymyslel nějaký Rus.
Lidé, kteří stojí v pozadí The Shadow Brokers, buď nedocenili relativní závažnost uveřejněných nástrojů, nebo naopak chápali, že tak zranitelné věci jako Eternal Blue nebo Eternal Romance hned využijí černí hackeři. Případně ti, kdo se bude chtít za černé hackery vydávat. Což by mělo odpoutat obecnou pozornost od Trumpgate, ruských hackerů a špionážních operací. Přesně to se stalo, „vyděrači“ WannaCry, NotPetya a BadRabiit používají produkty z dílny NSA, které nasdíleli The Shadow Brokers.
„Hackerský skandál“ však stále nepolevoval. The Shadow Brokers pokračovali ve vyzrazování produktů NSA. A agentura toho nakonec měla definitivně dost. Na jaře 2017 se začíná řešit zákaz používání Kasperského antiviru ve veřejném sektoru USA, a když byl tento zákaz schválen, ruský antivir odmítli prodávat největší američtí prodejci. Proč tak pozdě? Rusové a Američané totiž nejsou jedinými účastníky kybernetické války, v tomtéž roce 2015 se do této války zapojily i tajné služby Izraele (kódové označení Duqu).
Izraelská rozvědka nabourala Kasperského laboratoř a několik dalších velkých technologických společností. Na tento útok se přišlo v červnu 2015 (Kaspersky Lab investigates hacker attack on its own network – Kasperského laboratoř vyšetřuje hackerský útok proti vlastní podnikové síti). Izraelská intervence nebyla vůbec náhodná. Nebylo to poprvé, co Kasperskij hází klacky pod nohy rozvědce (Stuxnet). Tím na sebe upoutal pozornost těch nejsilnějších hráčů. Uzel se utáhl pevně. Kasperskému na krku.
Co se vlastně stalo: moje verze
Trh s antiviry začal být pro Kasperského moc malý. Přidávat do databáze 100.500.000. bankovní trojan (nejde o žádnou nadsázku) je velká nuda. A tak se Kasperského laboratoř pustila do špionážních hrátek. Z katalogu ANT NSA (Snowden, prosinec 2013 (!) zjistili kódová označení tajných programů NSA. Jako je třeba COTTONMOUTH („bavlněná ústa“). Pak by se tento výraz dal vyhledávat mezi nasbíranými podezřelými soubory (těch má Kasperskij desítky, ne-li stovky milionů). Dal by se také přidat speciální postup do antivirové databáze.
Databáze dnešních antivirů tvoří nejen vyhledávací šablony, ale i kód. A když Kasperskij Američanům nabízí, aby prověřili kód jeho antiviru na přítomnost „záložek“, jde o obyčejnou lest. Antivirová databáze má tisíce subprogramů, prověřit je všechny není vůbec možné, navíc se mohou změnit hned po první aktualizaci. Kód může vypadat takto: libovolný soubor obsahující slovo z 11 písmen, jejichž součet je 164 (A=1, B=2,…) se musí odeslat na „středisko“ k další analýze. Což znamená, že soubor obsahující řádek COTTONMOUTH bude odeslán do KSN (Kaspersky Security Network – úložiště podezřelých souborů). Když se použije algoritmus o něco složitější než pouhé sčítání, žádný rozbor kódu neumožní prokázat, že Kasperskij nehledal nějaký prehistorický virus z dob MS DOS, ale právě tajný americký produkt.
Když Američanům došlo, že Kasperskij nezkoumá jejich víry náhodně, ale cíleně, právě tehdy vyslali varovný vzkaz prostřednictvím Bloombergu. Kvůli náhodnému ojedinělému prozrazení by se nikdo ani neobtěžoval, aby nemusel porušovat režim utajení. Izraelci, kteří nabourali Laboratoř, tu však podle všeho našli nejen samostatná tělesa virů, ale také dokumenty a pomocný neškodlivý kód. Kasperskij neidentifikoval jen víry, ale i počítače, na nichž byly napsány a testovány. Co na těchto počítačích dělal Kasperského antivir, je na samostatné povídání. Jevgenij Kasperskij neodolal, porušil první přikázání antivirových společností nepoužívat k nabourání vlastní produkt a celý obsah počítačů dokonale vybílil. A pak se patrně pustil do vydírání: buď přestanete obviňovat ruské hackery, nebo The Shadow Brokers uveřejní informace o tom, jak vy nabouráváte ty ostatní. Je možné, že Kasperskij nejdříve předal informace FSB, která pak s kradenými daty nedokázala rozumně naložit a využila je k politickému nátlaku.
J’accuse! Jsem si zcela jistý, že Kasperského laboratoř a „hackerská“ skupina The Shadow Brokers je jedno a totéž. Bez ohledu na to, zda v Kasperského pozadí stojí FSB, nebo spunktoval všechno sám. Odbočkou tohoto příběhu je Kyberberkut a nabourání Ústřední volební komise v květnu 2014. Kyberberkut je low tech skupina, která se specializuje hlavně na vyzrazení. Po útoku však prohlásili, že použili exploit nultého dne v Cisco. Mohli napsat cokoli nebo zcela pomlčet, napsali však přesně takto. Nikdo jim tehdy neuvěřil. Exploity nultého dne pro Cisco však patří NSA, i The Shadow Brokers je zveřejnili hned v první várce hacknutých souborů Equation Group.
Část závěrů je zatím kontemplativní, nicméně celkově vše působí právě tak, jak jsem předpokládal. Nyní máme všechny komponenty hlavolamu: Úřad prezidenta RF, který udává celkové politické směřování, černé hackery všeho druhu, kteří jsou využívání příležitostně a může se jednat jak o skutečné hackery, tak o krycí příběh, a nakonec Federální bezpečnostní službu (FSB), která úzce spolupracuje s výrobci SW a firmami podnikajícími v IT bezpečnosti.
A v tu chvíli člověk, který na první pohled nepůsobí jako hloupý, se dopustí fatální chyby. Jevgenij Kasperskij v rozhovoru pro Assotiated Press potvrdil, že měl k dispozici nejen tělesa virů (ta se k němu mohla dostat přirozenou cestou), ale také pomocný software a tajné dokumenty, které mohl získat pouze nabouráním.
Kasperskij tvrdí, že se soubory k odborníkům společnosti dostaly v rámci sběru informací o hackerské skupině Equation Group, která údajně spolupracovala s NSA. Podle podnikatele, když se o nečekaném nálezu dozvěděl, požádal, aby byla tato data ihned smazána. („Kasperského laboratoř nechtěně stáhla tajné dokumenty NSA“)
Nezáleží ani na tom, zda je vážně nechal „smazal“. Ve skutečnosti ne. Nejvýznamnější je, že Kasperskij přiznal, že opravdu pomyslně „ukřižoval chlapečka v samotných trenýrkách“, tedy zneužil antivir k nabourání a špionáži. A také minimálně vyprovokoval (ne-li zorganizoval) virovou pandemii. Otevřel Pandořinu skříňku, na jejímž dně není v zásadě vůbec žádná naděje!
Když je dohoda jednou porušena (jak se to stalo s Budapešťským memorandem), systém kolektivní bezpečnosti už nefunguje. A máme tu co dělat nejen s obvyklým soubojem kybernetických špionů, ale s účastí ve světové kybernetické válce. Stejně jako v případě rusko-ukrajinské války Rusům ani nedošlo, že překročili sice neviditelný, ale velmi významný předěl. A teď budou mávat rukama a naříkat: „A proč my?“, „Proč oni můžou, ale my ne?“ Opravdu to nechápou, což ovšem nic nemění, protože kvůli jejich šílenému počínání se již nevratně změnil celý svět.
Redakce InformNapalmu nemusí sdílet názory autorů v rubrikách [názor / opinion] a [občanská společnost / civil society]. Příspěvky se zveřejňují pro informativní účely.
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM