Dnes ji ještě nemáme a zřejmě hned tak mít nebudeme. Ale existují různé cesty, jak se k ní přiblížit. Ostatně děje se to už desítky let (což je ve světě ICT nějaká doba).
Stačí se jen podívat na antivirové programy, jejichž aktualizace trvala počátkem devadesátých let měsíce. Byť se podobně „rychle“ šířily i škodlivé kódy, výrobci se snažili tuto propast překlenout.
A tak přišli s nejrůznějšími analytickými nástroji, které se snažily odhalovat „nové“ viry nebo varianty existujících. Třeba na základě projevů, chování, způsobů fungování apod.
Systémy byly úspěšné jen částečně. Určité procento škodlivých kódů skutečně dokázaly zachytit, ale daní často byla velká chybovost.
Navíc tvůrci virů měli možnost otestovat své „výtvory“ proti různým antivirovým programům, takže je modifikovali tak dlouho, až přes heuristiku bez problémů „procházely“. Kdyby se ovšem podařilo udělat analytický systém, který není útočník schopný replikovat, jeho úspěšnost by dramaticky narostla.
V devadesátých letech to ale možné nebylo, neexistovala na to kapacita. Dnes se v této souvislosti často hovoří o využití cloudů pro potřeby bezpečnosti: nabízejí velkou výpočetní kapacitu a schopnost zpracovávat „big data“.
To je ale jen částečná pravda, protože kapacity cloudů mohou (opět) využít i útočníci. Spíše jde o to, že cloudy či jiné propojené sítě mohou vytvořit složitější infrastrukturu, ve které se podezřelé chování hodnotí v širším kontextu.
Mozaika ze střípků
Abychom se trochu oprostili od frází, pojďme si onen „širší kontext“ představit na názorném příkladu z historie. Při sportovních událostech na amerických univerzitách se připravují rozsáhlá chorea: společně secvičené aktivity, ve kterých se pak předhánějí podobně jako ve sportovních výkonech.
Jedním z nejtěžších na přípravu (a relativně nejlehčích na vykonání) je tvorba společných nápisů. Diváci dostanou při vstupu na stadión podle svého místa do ruky tašku s očíslovanou sadou barevných desek, které pak na povel zvedají nad hlavu. Na celé tribuně pak vznikne nápis nebo grafický obrazec.
V roce 1961 se skupina studentů z Kalifornské techniky rozhodla „pomstít“ týmu Washington Huskies za vyřazení. Pomocí metody sociálního inženýrství (prostě pozvali několik studentek na schůzky) se dozvěděli, jaký je mechanismu tvorby těchto nápisů, kde jsou tašky s deskami uskladněné a jak k nim získat klíč. Jedné noci pak vyměnili všech 2 700 desek s pořadovým číslem jedenáct.
Když pak došlo na televizí přenášené finále soutěže mezi Washingtonem a Minnesotou a přišel příkaz zvednout inkriminované desky, diváci na stadiónu i u obrazovek zašuměli vzrušením. Na tribuně se skvěl velký nápis CALTECH, tedy jméno univerzity, která se do finále vůbec neprobojovala.
Pro úplnost: organizátoři akce rychle pochopili, že se stali terčem útoku, a do konce utkání příkaz ke zvednutí další sady desek už nevydali. Měli strach, že by se na tribuně mohlo objevit něco horšího.
Od této doby byl žertík uskutečněn mnohokrát v různých podobách: na tribunách se objevily i mládeži nepřístupné nápisy nebo obrázky.
Hlavním poučením z tohoto typu „útoku“ pro nás může být jedno: je v podstatě neodhalitelný. Jakmile jednou desky vložíte do tašek, už je nekontrolujete. Při vstupu na stadión pak procházejí jednotlivci se svazkem desek, což může být třeba naprosto korektní aplikace. Až když se všechny desky spojí do jednoho celku, vznikne ona finální mozaika.
A právě něco podobného nabízí komplexnější pohled na bezpečnostní incident. Jedna vlaštovka jaro nedělá, jedna drobnost nevzbudí pozornost. Ale když je oněch drobností povícero, získávají vypovídací hodnotu.
Předvídání konání pachatelů
Zdaleka nejdále jsou dnes v oblasti „předpovídání budoucnosti“ behaviometrické metody – při nich dochází ke sledování vlastností systému. Zrodila se doplňující podmnožina biometriky, ovšem v poslední době žije čím dál více svým životem.
Behaviometrické systémy tak dnes slouží třeba v japonském metru, kde dokážou v jinak anonymním davu rozpoznat podle chování (tedy nikoliv podle biometrických prvků) člověka chystajícího se spáchat sebevraždu.
V náročných provozech jsou zase schopné rozpoznat únavu jednotlivce dříve než on sám – totéž platí o zdravotních potížích. Na letištích či jiných kritických místech se používají k odhalování teroristů, chování prozradí i tipaře, zloděje či kapsáře. Opět: bez znalosti konkrétních osob.
Dokonce se hovoří o tom, že až jednou budou ve všech sedadlech v letadlech instalované u „zábavních center“ i kamery, bude možné identifikovat únosce podle chování dříve, než se rozhodnou svůj čin uskutečnit.
Samozřejmě že v ICT systémech by pak mohly sloužit k odhalování zcela neznámých forem incidentů – bez znalosti jakékoliv historie či kontextu.
Použitím behaviometrických systémů se ovšem otevírá pověstná Pandořina skříňka, protože vychází z presumpce viny. Což je ale už jiná otázka...
Tento příspěvek vyšel v Security Worldu 1/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU