Jindřich Karásek jako bezpečnostní analytik a „lovec kybernetických hrozeb“ předvídá, co je lákavý cíl a jak na něj nejlépe zaútočit. V soukromé bezpečnostní firmě také působí jako „etický hacker“ – simuluje hackerské útoky, aby posílil bezpečnost systému. Snaží se hrozby předvídat ještě předtím, než vůbec vzniknou, a odráží útoky vedené v reálném čase.
Zabývá se také tím, co mají běžně na starosti státní bezpečnostní služby: sleduje tzv. „pokročilé přetrvávající hrozby“ (APT, Advances Persistent Threats) v rámci České republiky a například spear phishing, což je útok na konkrétní osobu na sociálních sítích. Kromě toho rozumí také forenzní lingvistice, Large Language Models, a neurovědám. S Jindrou Karáskem se známe, takže jsme si při rozhovoru, stejně jako ve skutečnosti, tykali.
Jsi „etický hacker“. Co si pod tím můžeme představit?
Musím útočit jenom na předem domluvené cíle, předem schváleným způsobem a být po celou dobu transparentní ve všem, co dělám. Také je nutné dodržovat naprostou mlčenlivost vůči klientům a obětem. Musím chránit všechny citlivé údaje, všechna data, ke kterým se dostanu. Nesmím vytvářet malware pro nelegální účely – účel v tomto případě nesvětí prostředky. Taky nemůžu cíleně škodit něčí konkurenci nebo se angažovat v osobních sporech (např. při rozvodu). Moje činnost nesmí překročit hranice cyberstalkingu.
Musím dodrživat zákon o kybernetické bezpečnosti, což je někdy problém, protože v zákoně se nemyslí na to, že si občas potřebujete něco vyzkoušet „nanečisto“. Když vyvíjíte virus, tak v očích zákona je to stále škodlivý program, bez ohledu na to, že jej nikam neposíláte. Hackerům jako já se také říká white hat (bílý klobouk) a kybernetickým kriminálníkům black hat (černý klobouk). Těm, kteří se pohybují někde na pomezí, grey hat (šedý klobouk).
Jak tohle dělení vzniklo?
Dělení na klobouky je založené na westernech, kde měl záporák vždycky černý klobouk. Jak „hodný“, tak „zlý“ hacker může mít za sebou stejně velký rozpočet a mít přístup k nejmodernějším technologiím, rozdíl je ale v jejich motivaci. Dělení na bílé, černé a šedé klobouky je jen morální dělení, ne konstatování technické vyspělosti. Black hat zajímá vlastní profit anebo třeba politická agenda.
Dělení podle etiky není černobílé – ruský black hat, který útočí na naše elektrárny nebo železnici, je doma považován za hrdinu.
Dnes jsou black hats spojovaní hlavně s Ruskem – hackeři ale nejsou jenom tam, jsou po celém světě. Možná se to málo ví, ale i v Česku máme svou black hat scénu. Bohužel dělení podle etiky není vždycky černobílé. Co je pro nás ruský nebo čínský black hat, který útočí na naše elektrárny nebo železnici, je ve své domovině považován za hrdinu a věrného zaměstnance.
Každý hacker je asi jinak technicky vybavený, co dokáže takový začátečník z domova?
Typickému začínajícímu hackerovi se říká „script kiddie“ – pořádně nerozumí tomu, co dělá, ale dělá to s nadšením. Může napáchat velké škody, i když je to spíš dílem náhody než dobře provedeného útoku. Nejčastěji dělají třeba DDOS, což znamená, že zahrnujete systém tolika požadavky najednou, že spadne (v praxi to znamená, že se například na webovou stránku přihlašují tisíce počítačů najednou, a stránka pak spadne, protože nápor nezvládá – pozn. red.). Často to dělají koordinovaně. Někdy dělají problémy studenti a výzkumníci kybernetické bezpečnosti, kteří neměli špatný úmysl, ale zašli dále, než by bývalo bylo legální. Měli by používat platformy, jako je VulnHub, Hack The Box nebo i TryHackMe. S nimi je snazší se učit a zůstat u „White hat“ daleko snáze než kdy dřív. Pak jsou hackeři s povahou typického zločince – páchat trestnou činnost v kyberprostoru je levné, efektivní a často nepostižitelné trestním právem. Sem patří například cryptoscamy (podvody s kryptoměnami), útoky ransomware (izolují vás od dat a požadují „výkupné“), pokud neslouží jen jako maska pro nějakou politickou agendu nebo krádež dat.
Jak bys popsal aktuální scénu ve světě kybernetických hrozeb?
Podvodníci a korporace škodí kvůli finančnímu profitu už od začátku internetu a nic se na tom měnit nebude. Teď ale ve světě probíhá důležitější válka, ve které se bojuje o demokracii. K tomuto závěru jsem dospěl, když jsem sledoval, jak se v určitých komunitách řízeně šíří dezinformační narativy podle pořád stejné šablony. Když se tímhle zabýváte dost dlouhou dobu, dokážete většinou poznat už od pohledu, co je přirozené chování normálního uživatele a co je koordinovaná snaha šířit propagandu. Na Twitteru i Facebooku se pomocí fake profilů koordinovaně propagují polarizující informace, které mají za úkol zmanipulovat jednotlivce.
Narativy, vycházející z vlivové operace, jsou podobné kultu, jen na rozdíl od kultu mají mnohem větší záběr. Myslím tím například QAnon nebo proruskou sektu AllatRa. Jejich cílem je zdiskreditovat „západní“ hodnoty, zpochybnit a přepsat historii, rozvrátit základní pilíře společnosti. A to proto, že zemím, jako je Rusko, Čína nebo Írán, vyhovuje totalitní uspořádání. Aktuálně jsem se třeba zabýval hacktivisty, působícími v izraelsko-palestinském konfliktu. Potvrdilo se mi, že jsou do něj zapojené stejné skupiny, které dříve podporovaly Rusko.
Většina lidí má představu, o co jde Rusku, ale jak bys popsal to, o co se snaží Čína?
Během sběru dat jsem zpozoroval, že Čína se snaží upevnit svůj obraz leadera v kulturním světě, důležitého hráče na globálních trzích a ve světové ekonomice. Hájí své nároky v Jihočínském moři různými pokroucenými příběhy z historie, často doprovázenými vizualizací, mapou nebo krátkou animací. Taky velmi zpolitizovali výuku tradiční čínské medicíny a bojových umění. Většina toho, co teď najdete na sociálních sítích o tradičním kung-fu, bude alespoň do určité míry zasaženo čínskou propagandou. Budou tam až nerealistické formy, techniky, často dodělané pomocí animace a deep fakes, aby vypadaly nepřekonatelně. Velmi si hlídají narativ „jedné Číny“ a jakékoli odchylky dávají za vinu USA a Západu, který se snaží narušit jejich územní celistvost a rozdělit jejich jeden národ, stejně jako předtím s Tibetem, který se k Číně podle nich šťastně navrátil na své odvěké místo.
Čína se snaží získat vliv ve výzkumných institucích, aby zakryla nedostatek inovací. To se většinou pozná v článcích typu „Čínští vědci odhalili…“, šířených ve skupinách spolu s neuvěřitelnými a hlavně neexistujícími archeologickými nálezy.
Sem tam se objevuje i pobídka k tomu, aby lidé svou vládu, která to s nimi myslí dobře a jen potřebuje trochu korekce, poučili, že Čína je jediný možný obchodní partner, na kterém záleží, a volili politiky, kteří to otevřeně podporují. Pod záminkou akademické spolupráce se snaží získat vliv ve výzkumných institucích, aby pokryli vlastní nedostatek inovací. To se většinou pozná v článcích typu „Čínští vědci odhalili…“, šířených ve skupinách spolu s neuvěřitelnými a hlavně neexistujícími archeologickými nálezy, poukazujícími na jejich bájnou historii. Nedávno jsem analyzoval data ze sociálních sítí, aby bylo možno najít botnet, který se podílel na šíření pročínských dezinformací. Pracovalo na tom daleko více lidí, teamů, často nezávisle na sobě. A já si chtěl ověřit, že metoda, kterou používám, stačí k tomu, abych to taky dokázal odhalit. Výsledkem bylo to, že Facebook smazal mnoho účtů, placených reklam a profilů, které právě propagovaly čínský pohled na uspořádání světa a kulturu jako nadřazenou všem okolo.
Jaký máš vztah ke kyberaktivismu, jako dělají například Anonymous?
Jsem člověk, který si váží aktivní občanské společnosti a aktivismu pro správnou věc, jenže až příliš často vidím, že se k ideologii přidá někdo, kdo chce mít hlavně moc, a hnutí se tak vyprázdní. To se stalo i Anonymous. Anonymous nejsou jednotní, existuje několik paralelních skupin, které spolu soupeří. Asi se shodnou na tom, že násilí na dětech je špatné, ale zajímavě se štěpí třeba o hrany konfliktu Izrael-Hamás nebo Ukrajina-Rusko. S válkou se Anonymous polarizovali a vzájemně si jdou po krku. Když je hnutí v takovém stavu, je i mnohem snáze zranitelné a náchylné k infiltraci a manipulaci, takže jsem k Anonymous velice skeptický. Jako etický hacker nesmím být aktivistou. Musím se řídit fakty a ověřovat hypotézy, ne šířit svoji agendu.
Chápu správně, že nějaké věci děláš pro bono nebo jen tak z dobré vůle?
Dělám tak hlavně výzkum, což mi umožňuje poznat „nepřítele“. U kybernetických útoků je třeba vnímat osobní rozměr. Dobrý hacker je také schopný sociálního inženýrství, umí se vžít do mnoha různých situací, skupin a osobností. A ano, moc rád pomáhám lidem, kteří si to zaslouží. Sice se nepovažuji za aktivistu, ale touha dělat dobro mě motivuje v širším měřítku. Nerad nečinně přihlížím tomu, když se někomu ubližuje.
Nemůžu bohužel stíhat dělat všechno, co bych rád, taky se musím permanentně dovzdělávat po technické stránce. K tomu, abych udržel krok s komunitou podobných lidí, jako jsem já, taky patří účast a přednášení na konferencích. Takže vám pak zbyde míň času na to dělat „digitálního batmana“, za kterého mě jednou označila kamarádka. Lidé za mnou chodí s různými žádostmi. Když jen trochu můžu, tak se snažím poradit a často se i stane, že řešení je něco úplně jiného než to, co by vyžadovalo zásah hackera. A hlavně já nejsem policie ani záchranář nebo psychoterapeut, nesmím ani vzdáleně zasahovat do sféry jejich kompetencí – to by bylo krajně neprofesionální.
Jak kontakt s lidmi, kteří od tebe něco chtějí, vypadá?
Nejtěžší je vždycky začátek. Někteří lidé ale mají hodně divoké představy, co takový hacker dokáže, a hlavně za jak krátkou dobu, takže za mnou chodí s nereálnými požadavky. Taky za mnou chodí lidi, kteří mi lžou. Stane se, že mě dřív kontaktuje „ten zlej“ a snaží se mě přesvědčit, že mám hacknout „toho hodného“, což se stává třeba u malých podvodů v byznysu. Jednou mi takoví lidi nabídli auto s kufrem peněz, když hacknu jejich obchodního partnera – chtěli, abych ukradl data a know-how.
zdroj: Míša Rusaňuková, se svolením Jindřicha Karáska
Kontaktoval mě člověk, který měl podezření na zpronevěru od svého makléře, a nabízel mi doslova, že mi věnuje tehdy novou Škodu Superb v plné výbavě s kufrem peněz, když tomu makléři proniknu do e-mailu, seberu důkazy, stáhnu dokumenty a seberu mu přístupy k nim do firmy. Byla to dvojice lidí, se kterými normálně nechcete mít nic společného, a když jsem odmítl, proběhlo i nějaké vyhrožování, že skončím u nich ve sklepě a podobně. Obecně mi vadí lidi s uvažováním ve stylu „účel světí prostředky“ a „peníze nesmrdí“.
Stává se ti často, že ti někdo nabízí kufr peněz, nebo že ti vyhrožuje?
Stalo se mi to několikrát. Občas mi někdo nabízí odměnu za práci detektiva. To pro změnu naráží na mantinely toho, co je skutečně možné v kybersvětě vypátrat, nebo co z toho zmůžu já a co už například jen policie se soudním příkazem v ruce. Jednou jsem v podobném gardu dostal například nabídku, že když vystopuju zloděje kryptoměny a získám zpátky, co ukradl, že mi z toho zbyde cca 12 milionů CZK. Bohužel, něco takového je úplně sci-fi. Nebo teď nedávno mi někdo nabízel 10 000 EUR za to, když najdu útočníka, který úspěšně napadl jeho firmu phishingem. Zadavatel si představoval, že vypátrám fyzicky osobu za pár hodin.
Můžeš popsat některé úspěšné akce?
Ano. Nedávno jsem vrátil účet dvěma ženám – jedna z nich byla influencerka Nikol Dotková. Provedl jsem kvůli nim intenzivní dvouměsíční operaci, během které jsem nasimuloval skupinu hackerů tak, aby k ní chtěl vstoupit původní útočník. Když se připojil, vypěstoval jsem si s ním vztah, abych získal jeho důvěru. Nakonec mi hesla k účtům předal sám, protože se přede mnou chtěl pochlubit, že k naší skupině patří. Taky jsem našel nějaké důkazy proti pedofilům a poskytl je policii a párkrát jsem pomohl v prokazování domácího násilí, kdy pachatel používal vůči oběti výpočetní techniku. Oběti třeba potřebují obnovit z disku smazané video, nebo dostat data z notebooku, se kterým někdo hodil o zem, aby zničil důkazy.
Kdo stojí za typickými hackerskými útoky, které ohrožují bezpečnost?
Setkávám se s lidmi, kteří jsou zapleteni do obchodu s drogami a se zbraněmi. Jednoho člena gangu jsem dokonce prostřednictvím místní policie dostal až za mříže a jako zpětnou vazbu jsem zjistil, že to pomohlo alespoň trochu narušit související obchod s drogami a zbraněmi, které vozili do přilehlé válečné zóny. Něco takového se ale nepodaří vždycky a ani to není věc, za kterou bych byl placený – mým úkolem je hlavně prevence. Nejdřív k tomu, jak definujeme ohrožení bezpečnosti – hrozbu, protože ne všechny hackerské útoky jsou natolik nebezpečné, aby byly za hrozbu považovány. Za hackerským útokem, který je hrozbou, musí být někdo, kdo má dovednost, příležitost a vůli zaútočit. Za útokem stojí jednotlivci, organizované skupiny i národní státy.
Předběžné analýzy naznačují, že v informačních operacích na území Izraele a Palestiny figuruje jedna „entita“, což velmi obecně naznačuje, že zde dochází k rozdmýchávání konfliktu třetí stranou. A ta samá entita nejspíše působí nejen v Evropě a USA, ale i například v Japonsku a na Taiwanu.
Nejnebezpečnější hackeři, kteří jsou také pro mě nejvíc zajímaví, jsou APT (Advanced Persistent Threat) hackeři, za kterými je velký rozpočet na jejich aktivity, placený buďto z financí, které se jim podařilo získat a za tím účelem operují (zisk), nebo jsou motivovaní nějakou geopolitickou agendou, případně mají na práci třeba průmyslovou špionáž. Rozumět jejich metodám je kolikrát intelektuální výzva, která vyžaduje i znalosti z jiných oborů a nějaký všeobecný přehled o světovém dění. APT hackeři bývají špičkoví odborníci, školení vojáci nebo různí agenti, kteří mají k dispozici nejmodernější technologie a přístup k utajovaným skutečnostem. A pak jsou vlivové operace, se kterými se váže čerstvě vznikající kategorie manipulátorů APM – Advanced Persistent Manipulators.
A to je kdo?
Termín zahrnuje všechny aktéry, kteří se účastní vlivových operací v kyberprostoru. Patří mezi ně národní státy a jejich silové složky a zpravodajské agentury, nebo i částečně nezávislé armádní útvary. Jejich činnost je výhradně politicky motivovaná. Kromě pochybných praktik pracují i s konvenčními PR a marketingovými strategiemi. Jejich cílem je získat vliv v některé oblasti, například chtějí zmenšit vliv geopolitického soka v průmyslovém odvětví. Dnes se takto chovají v podstatě všechny nedemokratické režimy. Krajní pravice je na Západě na vzestupu i proto, že ruská propaganda, šířená během vlivových operací na Západě, se opírá o krajně pravicové narativy. To je ostatně v souladu s taktikou šíření propagandy k polarizaci obyvatelstva nepřátelské země, jak nás některá nejmenovaná mocnost veřejně označuje. Dělají to tak, že oficiálně podporují jeden narativ a skrytě ten opačný. Výsledkem je paralyzovaná občanská společnost, která nevěří v demokracii a je náchylnější hledat ochranu u „silnějšího bratra“.
Myslíš, že doma v Česku nám hrozí terorismus?
Myslím, že se u nás můžeme dočkat určité formy terorismu, ale spíš to bude ve formě různých výtržností. Dále se u nás dlouhodobě utváří lidové milice na hranicích. Ty mají ambice bránit veřejný pořádek a naši zemi před migranty. Ty skupiny mohou být velmi nebezpečné, protože některé z nich mají bojový výcvik a přímé napojení na (ruské) tajné služby. Pokud je mi ovšem známo, jedná se momentálně spíš o silně radikalizované jednotlivce s vlivem omezeným na jejich bezprostřední sociální okolí a jejich dosah na sociálních sítích.
Pokud se ptáš na terorismus, jak ho známe od irských anebo islámských extremistů, tak pokud vím, jedni i druzí se k nám historicky spíš snažili schovat než se tu nějak veřejně dekonspirovat. Je relativně snadné se zašít na periférii a relativně levně se nechat vydržovat ze zahraničí. Abych předešel spekulacím, mám na mysli konkrétní jednotky případů, o kterých bezpečnostní komunita ví, a je možné se o nich dočíst v jejich výročních zprávách.
Zaregistrovals nové trendy, když začal izraelsko-palestinský konflikt?
Obě dvě války, v Ukrajině i v Gaze, se dějí za přímé účasti médií a vzniku obrovského množství dokumentace, která se navíc bleskově šíří všemi sociálními sítěmi. Ať už to blokují, nebo ne. Tím se dostáváme k tomu, že je dnes šířit misinformace a dezinformace čím dál tím snadnější. Misinformace je, když nás někdo omylem, bez zlého úmyslu, špatně informuje. Dezinformace je zcela falešná nebo zkreslená informace vytvořená tak, aby se co nejvíce šířila a pracovala tak v něčí (ne)prospěch.
Misinformace je, když nás někdo omylem, bez zlého úmyslu, špatně informuje. Dezinformace je zcela falešná nebo zkreslená informace vytvořená tak, aby se co nejvíce šířila.
Pokud jde o Izrael a Palestinu, ač velmi nerad, tak musím říci, že na obou stranách vidím informační operace, probíhající se stejnou intenzitou. Dává to smysl, protože přímo před kamerami celého světa bojují o politickou podporu jak zahraničních partnerů, tak vlastních lidí, a oběma stranám dochází čas. Při vypuknutí obou dvou válek jsem si k tomu posbíral veliké množství dat. Zejména v druhém případě mám data srovnatelná například se 1,2 miliardy tweetů. Předběžné analýzy naznačují, že v informačních operacích na území Izraele a Palestiny figuruje jedna „entita“, což velmi obecně naznačuje, že zde dochází k rozdmýchávání konfliktu třetí stranou. A ta samá entita nejspíše působí nejen v Evropě a USA, ale například i v Japonsku a na Taiwanu.
Co myslíš tou „entitou“?
Může to být pár ruských operativců, mediální nebo PR agentura, trollí farma, nebo to zvenčí může vypadat jako call centrum. Já to vidím z druhé strany jako koordinovanou aktivitu profilu na sociálních sítích, jako „aktivované aktivisty“. V případě Izraele a Palestiny je za tím často extrémní levice. Jedná se o velmi předběžnou studii, na které spolupracuji s mezinárodní skupinou analytiků. Data pochází z otevřených neveřejných zdrojů, a pokud budou publikována, dojde k tomu nejspíš ve spolupráci s neziskovým sektorem nebo akademickou obcí. Je to proto, že tento závěr má poměrně vážné důsledky.
Reklama
foto: Míša Rusaňuková, se svolením Jindřicha Karáska, zdroj: Autorský článek
