V posledních letech se čas od času v médiích objevují zprávy o tom, že je nedostatek IT odborníků. Je situace pořád stejná, nebo už se lepší?
Podle toho, co se mezi námi „ajťáky“ říká, chybí celosvětově asi milion a v České republice tisíce odborníků na bezpečnost. Je po nich proto obrovská poptávka a kvůli tomu vznikla spousta školicích center i různé studentské obory, které se zaměřují právě na počítačovou bezpečnost.
Je nedostatek IT odborníků důvod, proč jste katedru informační bezpečnosti otevřeli?
Do určité míry ano. Katedra by měla koncentrovat odborníky zabývající se informační bezpečností, součástí bude výzkum v laboratořích. Vznik katedry je ale také signálem pro veřejnost, že existuje škola technického charakteru, která se vážně zabývá výchovou odborníků pro tento obor.
K otevření katedry vedla dlouhá cesta. Na začátku byl výzkum v laboratořích, pak jsme v roce 2010 nejdříve otevřeli magisterský obor počítačová bezpečnost a později jsme přidali i několik oborových předmětů na bakalářském studiu. Před rokem jsme dostali akreditaci na doktorské studium, do kterého spadají i tři předměty týkající se IT bezpečnosti. No a nyní jsme otevřeli celou katedru, aby mohlo být studium komplexní. Celkem nyní máme na katedře šedesát studentů v bakalářském a magisterském studiu.
Mají o studium na katedře zájem i dívky?
Relativně ano, máme jich tu na oboru přes deset procent. Naše studentky studují průběžně a pracují při vypracovávaní úkolů víc systematicky než jejích kolegové. Co pozoruji u naších oborů týkajících se bezpečnosti je to, že studentky na těchto oborech jsou navíc zdatnější v matematice.
Zmínil jste, že součástí studia bude i výzkum v laboratořích. Jednou z nich je laboratoř etického hackování. Vy tedy na Fakultě informačních technologií vychováváte ze studentů hackery. Nebojíte se, že zneužijí toho, co se u vás naučí?
Je to do určité míry riziko. Ale myslím, že tak hrozné to nebude. Studenty naučíme především vytvořit bezpečný kód, používat síťové aplikace, rozumět protokolům, aby byli schopni nacházet slabá místa systémů.
Jak tomu ale chcete zabránit?
Je to jako když vyrobíte nůž. To můžete zneužít stejně tak. Nemusíme vychovávat hackery a nemusíme vyrábět nože. Čas ukáže, ale já mám nejlepší mínění o lidech, kteří zde studují, a když se někdo z nich rozhodne, že začne útočit, tak tomu samozřejmě nezabráníme. Myslím si ale, že procento takových lidí bude strašně malé. Absolventi si budou uvědomovat riziko postihu a naopak že jako odborníci chránící bezpečnost systémů toho mohou spoustu získat. To pro ně bude lákavější než stát se „tím zlým“.
Katedra informační bezpečnosti na FIT ČVUT
|
Říká se, že příští světová válka bude v kyberprostoru. Co si o tom myslíte?
Myslím si, že je to celkem reálné. Vemte si jenom když nastane blackout a není proud. Kdyby takový rozsáhlý blackout způsobil nějaký útok, je jednoduché si domyslet, co všechno by se mohlo stát. Kolem síťové bezpečnosti je neuvěřitelný boom, dějí se útoky na sítích, na servery. Na druhou stranu už jsou dnes firmy velmi dobře vybavené softwary, které dokážou odhalit nebezpečí a ochránit systém před napadením.
Jiná věc je bezpečnost hardwaru, to je slabé místo, v České republice se touto oblastí zabývá zatím málo lidí. Právě na detekci hardwarových trojských koňů se chceme na katedře jako jedni z mála zaměřit. Další studená válka může vypadat tak, že se aktivují hardwarové trojské koně a já si neumím představit, co by takový útok způsobit v globálním měřítku. Není nic jednoduššího než rozšířit něco po síti, co by způsobilo kolaps informačních systémů. Proto je potřeba zaměřit se na hardwarovou bezpečnost.
Co to jsou ti hardwarové trojské koně, o kterých mluvíte, a co by se stalo, kdyby jejich prostřednictvím někdo zaútočil?
Pod hardwarovými trojskými koňmi si lze představit například nežádoucí čip nebo změněnou část čipu, která nemá v počítači co dělat. Tento čip se může později aktivovat a díky tomu, že je integrovaný přímo na základní desce, může obcházet všechna bezpečnostní opatření. Tato činnost se může projevit v podobě uniku informací nebo odmítnutí služby (DoS - Denial of Service) nebo modifikací dat. Ochrana proti těmto trojským koňům je oproti softwarovému malware značně komplikovanější a to proto, že tento škodlivý hardware je těžce detekovatelný již ve vyrobeném obvodě.
Hardwarová bezpečnost je podle mého názoru opomíjená při realizaci různých informačních systémů a zařízení. Přitom, jak jsem se již zmiňoval, v případě masové aktivaci hardwarových trojských koňů je mnohem nebezpečnější než jiný útok vedený prostřednictvím softwarového malware. Vysvětlení je jednoduché, systém zasažený softwarovým malware mohu detekovat a bránit se proti němu odpojením od sítě, opravou kódu nebo restartem. Ale v případě „nakažení“ systému hardwarovým malware je takový systém více méně dále nepoužitelný.
Jaké druhy útoků jsou vůbec nejčastější?
Do značné míry jsou to útoky využívající sociální inženýrství, které se spoléhá na nedostatečnou informovanost a nepozornost uživatelů. Dále jsou časté plošné útoky na počítače a síťové prvky, které využívají známých, ale nezáplatovaných zranitelností softwaru. V neposlední řadě jsou to notoricky známé problémy při vytváření a správě hesel (například ponechání výchozího hesla od výrobce), které umožňují vysokou úspěšnost útoků na hesla.
Jak častou příčinou útoku hackerů je takzvané sociální hackování, tedy nabourávání se do osobních účtů, na sociální sítě a podobně?
Sociální inženýrství (sociální hackování) je co do počtu hackerských útoků dominantní a vyplývá z nedostatečné informovanosti uživatelů. Když si vezmete, jak vyspělé dnes máme technologie, je edukace lidí ve smyslu bezpečnosti nedostatečná. Přes polovinu útoků je způsobeno kvůli tomu, že lidé neví, jak se chránit na síti. Lidé mají umět detekovat jakékoliv nebezpečí, které jim může způsobit újmu na majetku i psychice, kybernetický útok nevyjímaje.
Snížil by se počet útoků, kdyby se o kyberbezpečnosti víc hovořilo?
Ano, určitě by to pomohlo, prevence je velice efektivní. Je velmi důležité začít s edukací už na základních školách, aby už děti věděly, jak se chovat v kyberprostoru, jakým způsobem zpracovávat informace. Tato oblast přitom není náročná na pochopení. Stačí se chovat podle určitých jednoduchých pravidel. Dobrou zprávou je, že se o této problematice snad konečně začíná mluvit. Teď například probíhá akce Říjen - Evropský měsíc kybernetické bezpečnosti. Konají se různé akce, například v Praze je konference o bezpečnosti v kyberprostoru.
Jaké jsou vůbec nejčastější uživatelské chyby?
Pochybuji například o tom, že většina lidí ví, jak vytvořit heslo. Existuje na to přitom velmi jednoduchá metodika. Není potřeba znát X hesel a nosit je napsané na papírcích po kapsách nebo si je psát na monitory, s čímž jsem se také setkal. Je třeba vytvořit si jedno velmi silné heslo, které si zapamatujete, které bude mít přístup do databází hesel, které běžně používáte. Takže když budete znát to jedno heslo, které vám umožní přístup k ostatním, pak všechna ostatní hesla můžete zapomenout. Často lidé také klikají na odkaz v e-mailu, aniž by se podívali, kdo jim ho posílá, a dostanou se na nezabezpečenou stránku. Je třeba se dívat na to, jestli je ten odkaz korektní, jestli sedí URL adresa. Často mažu e-maily od neznámých odesílatelů a ještě se mi nestalo, aby se mi zaviroval počítač.
Jak je vůbec v dnešní době složité se někomu dostat do počítače?
Záleží na uživateli, jestli dodržuje elementární pravidla pro tvorbu hesel, pokud ne, pak to není problém. Problémem jsou například soukromé i firemní wi-fi sítě. Často ten, kdo si koupí router, není schopen ho nastavit, nechá defaultní heslo a pak je jednoduché se mu nabourat do sítě. O tom by přeci mohli informovat i prodejci.
Některé státy si najímají hackery, aby chránili jejich systémy. Proč to nedělá také Česká republika?
Děje se to i u nás. Je možné najmout si skupinu, která udělá penetrační testování nebo bezpečnostní audit systému, který prověří míru bezpečnosti systému. Některé firmy to tak dělají i pravidelně. Měl jsem kolegu, který odešel do praxe a teď se tím živí. Není to tak neobvyklé, jak se zdá.
Jak se jako odborník stavíte k užívání sociálních sítí?
Jsem jejich odpůrce, ale už kvůli tomu, že na nich lidé pořád visí a strádají v sociálních kontaktech. Jejich myšlenka byla dobrá, ale nebyl domyšlen globalizační dosah. Z hlediska bezpečnosti opět záleží na konkrétním uživateli, jak svůj účet chrání. Problém je také to, že děti si na sociálních sítích neuvědomují, co je ještě etické a bezpečné a co už ne.
Když se řekne hacker, spousta lidí si nejspíš představí ajťáka s maskou na obličeji a kapucí na hlavě. Jak moc se tato představa míjí se skutečností?
Myslím, že kapuci mít nemusí, ale proč ne. Jsou to lidé, kteří mají radost z toho něco vyřešit. Hackování může být bráno i jako hra na kočku a na myš, která má za následek euforii z úspěchu. Pokud jsem na správné straně, tak dělám dobrou věc, sloužím bezpečnému kyberprostoru a mám z toho radost. Ne vždy je hacker ten, který chce úmyslně páchat škody.
Nicméně pořád je obraz hackerů spíš negativní. Tak třeba se vám ho podaří napravit...
Možná, že se to změní, uvidíme. Slovo hacker je vlastně synonymum k analytikovi, testerovi, tak proč to měnit. Ale myslím, že by se těm „dobrým“ hackerům mělo říkat etický hacker, aby v tom byl rozdíl.