Příběh průmyslové špionáže

V roce 2005 vyšla najevo neuvěřitelná aféra s průmyslovoum špionáží v Izraeli. Hlavní roli přitom sehrál malý sledovacím počítačový program, v rolích vedlejších se pak objevilym desítky velkých firem a společností. Případ, který dostalm mediální označení "trojangate" je rozhodně největším svéhom druhu v historii ICT bezpečnosti.



Celé odhalení se začalo odvíjet v pracovně izraelského spisovatele Amnona Jackonta, který náhodně našel na internetu kapitoly své rozepsané knihy. A to včetně konceptů s poznámkami u kapitol, které ještě nestačil napsat! Tyto nehotové dokumenty přitom nikomu neposkytl. Navíc se domníval, že je jeho počítač stoprocentně chráněný a zabezpečený. Ani následné kontroly všemi běžně dostupnými bezpečnostními programy neodhalily nic neobvyklého.
Jackont měl důvod k přemýšlení, ale nic kloudného nebyl schopen objevit. Pohár jeho trpělivosti ovšem přetekl v okamžiku, kdy zjistil, že se někdo pokusil použít jeho osobní údaje uložené na počítači k provedení bankovní transakce. V tu chvíli neváhal, zvedl telefon a informoval policii.
Specialisté si jeho počítač vzali do parády a odhalili na něm instalovaný sledovací program, který dosud nebyl veřejně známý a který tudíž nedetekovaly žádné běžné prostředky. Program byl pojmenovaný Rona - a jen pro úplnost dodáváme, že dnes už ho ve světě ICT bezpečnosti detekuje prakticky každá kontrolní aplikace.
Podle mínění odborníků je přitom Rona aplikací primitivní a veskrze jednoduchou. Nejde tedy o nějaký sofistikovaný software. Pro její úspěšnost stačilo, aby na sebe v napadených počítačích jakkoliv neupozorňovala.
Jak to, že tento program nedokázaly detekovat antivirové a další firmy? Jak to, že Rona dlouho unikala pozornosti - přestože fungovala v desítkách společností a pracovala dlouhé měsíce? Odpověď není jednoduchá, nicméně... Musíme si uvědomit, že bezpečnostní programy detekují především známé kódy. Ano, mají i více či méně sofistikované prvky heuristické analýzy, které odhalují i některé neznámé hrozby, ale právě jen některé - nikoliv všechny. Problémem totiž je, že hranice mezi regulérními a neregulérními programy je velmi tenká, nebo spíše neexistuje. Nástroj pro vzdálenou správu a konfiguraci počítače je v rukou administrátora sítě užitečným pomocníkem, v rukou hackera naopak velmi silnou zbraní...
Z tohoto důvodu nemohou bezpečnostní firmy se svými aplikacemi detekovat vše, co by třeba i detekovat chtěly. Kromě toho je na straně útočníků ještě jedna nezanedbatelná výhoda: mohou si detekci svého nově vytvořeného kódu vyzkoušet třeba proti různým demo a trial verzím, staženým volně z internetu. Pak svůj kód upravují tak dlouho, až se ocitne pod prahem citlivosti pravidel dotyčné aplikace a je považovaný za korektní. Bohužel toto je možnost, kterou bezpečnostní průmysl nemá...
Vraťme se ale zpět do Izraele k aféře "trojangate". Spisovatel Jackont byl pochopitelně vyslýchán policií, aby ji přivedl na stopu útočníka. A určité indicie začaly nasvědčovat tomu, že by o sledovacím programu Rona v jeho počítači "něco" mohl vědět jistý Michael Haephrati, bývalý manžel jeho nevlastní dcery, který už několik let žije střídavě v Německu a ve Velké Británii. Policie následně začala rozplétat neuvěřitelnou síť sledovacích počítačových programů, a to s pomocí vyšetřovatelů v Německu, Británii, USA a údajně i v dalších zemích.
Jistý policejní důstojník zapojený do řešení případu později uvedl, že jeho rozsah jej každým dnem vyšetřování nepřestával udivovat. Oběťmi průmyslové špionáže se staly izraelské filiálky firem jako Hewlett-Packard nebo Ace (řetězec prodejen hardwaru), nejmenovaný přední televizní reportér (z jehož počítače byl odcizen seznam kontaktů), jistý dovozce tabákových výrobků, ekonomický deník Globes, potravinářská skupina Strauss-Elite, kabelová televizní společnost HOT, public relations agentura Rani Rahav (mezi její klienty patří např. druhý největší izraelský mobilní operátor Partner Communications) atd.
A kdo byl zadavatelem útoků? Třeba společnost Amdocs Ltd., výrobce počítačových obchodních systémů (která je kotovaná i na newyorské burze), telefonní operátor Cellcom, jistá satelitní televizní společnost aj. Tři dceřinné společnosti monopolní telefonní společnosti Bezeq získávaly informace přímo ze svého mateřského podniku. Firma dovážející do Izraele automobily Volvo a Honda zase požadovala informace o dovozci vozidel Audi a Volkswagen...
Vyšetřovatelé zajistili sto serverů, plných desítek tisíc neveřejných dokumentů. Šlo mj. o FTP servery v Izraeli i v zahraničí, které shromažďovaly informace.
A za tím vším byl programátor Michael Haephrati (41), který vytvořil program, jenž prodal soukromým agenturám, které se zabývají analytickými a konzultačními službami. Přitom věděl, že ty chtějí program použít k průmyslové špionáži. Společně s ním byla zadržena i jeho manželka Ruth Brier-Haephrati. Michael prý program původně vytvořil jen pro zábavu, později jej nabídl izraelským bezpečnostním složkám, kde byl ale odmítnut. Manželka pak přišla s nápadem využít jej pro špionáž. Oba se po zadržení ke svým aktivitám přiznali a nabídli úřadům spolupráci výměnou za nižší tresty. Hrozí jim až pětileté nepodmíněné vězení - trest ale může být výrazně vyšší, pokud se prokáže, že jejich software posloužil k odcizení citlivých nebo dokonce tajných dokumentů...
Kromě manželů Haephratiových byli zadrženi tři ředitelé izraelských agentur, které program Rona zneužívali, a kolem dvou desítek dalších osob, jež služby agentur využívaly. Jeden z ředitelů tří agentur, Jitzhak Rath (54), krátce poté skočil z třípatrové budovy. Přežil, ale utrpěl velmi těžká zranění. Dodnes nebylo uspokojivě vyšetřeno, zda šlo o nehodu, pokus o sebevraždu nebo pokus o vraždu...
Pochopitelně si lze těžko představit, že by firma A chtěla přímo aplikovat nelegální metody proti firmě B. To si z mnoha důvodů nemůže dovolit, protože by jí to mj. v případě prozrazení srazilo vaz. Praxe je poněkud jiná. Máte zájem o určitá data/informace? Najměte si příslušnou konzultační agenturu nebo marketingovou firmu (upozorňujeme, že se nejedná o obvyklou praxi a že i v tomto segmentu drtivá většina subjektů podniká v rámci zákonů a etiky!) a ona vám data dodá. Nikdo se neptá, jak. Stejně tak žádná z těchto firem nepřiznává metody, jaké používá - ale na webových stránkách mnohých z nich je nabízen k prodeji sledovací software s garantovanou nedetekovatelností antivirovými nebo antispywarovými aplikacemi.
A to byl i scénář aféry trojangate v Izraeli. Michael Haephrati vytvořil program, který následně nabídnul výše popsaným agenturám. Ty mu dobře zaplatily a pak program používaly k získávání citlivých informací. Mnoho klientů se nyní brání, že o způsobu získávání informací neměli ani nejmenší tušení - vyšetřování je ale usvědčuje ze lži, protože za každý úspěšně napadený počítač bylo fakturováno zhruba 4 000 dolarů! Navíc charakter a přesnost získaných dat musely každému, kdo se v oboru pohybuje, jasně napovědět, že jde o materiál opravdu "od zdroje".
Zbývá vyřešit poslední nejasnost v celém případu: jak se sledovací program do napadaných počítačů dostával? V zásadě existovaly dvě cesty: pomocí CD nebo elektronické pošty. Šlo o to, že příslušným klíčovým lidem byl zaslán e-mail nebo bylo dodáno CD, maskující se jako důležitá obchodní informace. Po spuštění se pak zobrazily nejen slibované informace, ale zároveň byl do počítače instalovaný program Rona... A to pochopitelně byla velká bezpečnostní chyba na straně budoucích obětí: aktivovat přílohy z neznámých zdrojů nebo spouštět externí CD na počítači s citlivými daty není v pořádku. Neobstojí ani argument, že e-maily nebo CD byly kvalitně vytvořené, aby nevzbudily podezření - prostě do počítače s citlivými daty z principu nepatří.
Pokud si aféru trojangate dáme do širších souvislostí, musíme se ptát, jak častý je podobný případ. Na tom se odborníci nemohou shodnout. Rozhodně je to poprvé, co byla špionáž takového charakteru a rozsahu objevena. Ale není to poprvé, co vůbec byla zaznamenána. Na podzim 2004 byla např. jistá banka v oblasti New Yorku zasažena programem, který se snažil dostat jen na určité počítače a zde se snažil získávat kritická hesla. Ve stejném roce objevili specialisté z firmy MessageLabs trojského koně, orientovaného na sledování velmi speciálního softwaru, používaného pouze ke konstrukci letadel... Firma přitom odmítla zveřejnit, kde jej nalezla - asi by tím hodně napověděla, kdo měl o informace zájem...
V roce 1999 firma PriceWaterHouse Coopers oznámila, že americké firmy ročně utrpí ztráty 45 miliard dolarů v důsledku průmyslové špionáži (odcizení výsledků výzkumu a vývoje, nezískání zakázek apod.). Novější čísla nemáme k dispozici, ale faktem je, že současné nástroje a vyšší využívání ICT situaci jen zhoršují.
Každopádně výše popsané případy ukazují na jednoznačný trend v oblasti informační bezpečnosti - na trend provádění cílených útoků. Útočníci jdou po kvalitě, nikoliv kvantitě. Pomocí relativně jednoduchých programů mohou způsobit miliónové škody - a odhalit nemusíme ani útočníky, ani škody...
Bezpečností firmy se pochopitelně snaží s tímto trendem držet krok, ale příliš se jim to nedaří. Nelze zkrátka filtrovat všechno a nelze zakázat všechno. Zvláště, když si uživatel určitou aplikaci vysloveně přeje instalovat. Spíše než hardware a software proti výše uvedeným útokům pomůže disciplína a vzdělávání uživatelů ve spojení s kvalitní bezpečnostní politikou.










Komentáře