Jste zde
Bezpečnostní střípky VI
Leden 2014, díl 2.
připravil Tomáš Přibyl a kolektiv
I Vy jste (můžete být...) Anonymous!
Skupina Anonymous je často prezentována jako „hackerská“, i když sama sebe prezentuje více jako „hacktivistickou“ (kde hacking není cílem, ale prostředkem k jiným cílům).
Skupina byla založena s cílem organizovat akce občanské neposlušnosti a koordinace rozlišných aktivit po internetu. Původně šlo především o aktivity v oblasti zábavy a zejména pak počítačového pirátství, později se začala angažovat v oblasti zviditelňování společensky citlivých témat. Než se ale skupina do této fáze dostala, musela urazit dlouhou cestu, na jejímž počátku byla snaha vytvořit „anarchistický, digitalizovaný a globální mozek“. Tedy komunitu, která nebude závislá na konkrétním vedení a nebude i jinak uchopitelná.
Anonymous přitom na rozdíl od jiných podobných dokáže přenášet akce z virtuálního do reálného světa. Příkladem budiž případ ze zábavního parku v americké Alabamě, kde zaměstnanci nepustili dvouleté dítě s virem HIV do bazénu. Aktivisté obratem ruky zorganizovali protest, kdy v jednotném šedivém obleku a masce černošského obličeje zablokovali vstup do bazénu s tím, že je „infikován nemocí AIDS“.
Akce Anonymous jsou vedené jedinci, kteří na ně nálepku organizace přidají. Je to trochu alibistické, protože to umožňuje skupině se od jakýchkoliv aktivit (v případě potřeby) distancovat. Cílem ale je, aby všechny aktivity vypadají jako z dílny jedné jediné osoby jmenující se Anonymous. Skupina nemá žádného vůdce, vše je založeno na kolektivních aktivitách nebo iniciativě jednotlivců. Jakmile je identita kteréhokoliv člena skupiny prozrazena, je z ní automaticky vyřazený. Jde o jakýsi „sebečistící“ mechanismus, který brání komukoliv stát se hlavou nebo mluvčím skupiny.
Anonymous dokázali překročit svůj stín tuctové internetové komunity v roce 2008, kdy rozšířili svůj záběr do oblasti politiky a lidských práv. Dočkali se široké mediální pozornosti, což přitáhlo další příznivce a aktivisty, a tak počet akcí rostl. To poutalo další pozornost, což opět přitáhlo další aktivity – a tak dále. Ve stejném roce se poprvé příznivci skupiny objevili na veřejnosti v masce Guye Fawkese z filmu „V jako Vendeta“. Pro připomenutí: Fawkes byl katolík, který se 5. listopadu 1605 pokusil vyhodit do povětří protestantský anglický parlament. Jeho maska z filmu se stala symbolem Anonymous.
Ovšem Anonymous nejsou jen parta občanských aktivistů, pomocníků slabších nebo nadšenců pro společnou dobrou věc: mnoho členů skupiny ji zneužívá jako pláštík pro provádění trestné činnosti v podobě různých internetových podvodů nebo obchodování s přihlašovacími či osobními údaji.
Internet věcí – katastrofa čekající na příležitost
Dle studie společnosti Gartner bude v roce 2020 na světě kolem třiceti miliard (!) zařízení připojených k internetu. Jen pro srovnání: v roce 2009 to bylo 2,5 miliardy připojených zařízení – zpravidla mobilů, tabletů nebo počítačů. Ovšem nyní nastupuje nová éra – éra „internetu věcí“ (Internet of Things). S masivním nástupem nových zařízení (připojeny budou měřiče energií, domácí spotřebiče, bezpečnostní hlásiče, čidla pohybu, oblékatelná eletronika apod.) se tak otevírá nový trh a zcela nová ekonomika, která by měla generovat roční obrat 309 miliard dolarů. Z toho bude osmdesát procent připadat na služby, zbytek na výrobu a prodej produktů. S tímto masovým připojením věcí k internetu se objeví zcela nové bezpečnostní výzvy: čekají nás zavirované ledničky, hacknuté televizory, obelstěná čidla... Fantazii se meze nekladou.
Čím delší heslo, tím bezpečnější - nebo taky ne?
Je to stará bezpečnostní poučka: čím je heslo delší, tím je bezpečnější. Jenže ono to nemusí být tak docela pravda. Délka hesla a vyšší bezpečnost je čistě technokratická rovnice, která ale zapomíná, že heslo v konečném důsledku používají běžné smrtelníci. Aneb jak by asi vypadalo, kdybychom museli používat dvacetiznakové (třicetiznakové, čtyřicetiznakové...) náhodně generované heslo, často je měnili a měli v každé aplikaci jiné? Samozřejmě špatně. Ale dlouhá hesla mohou být nebezpečná i jinak, jak se o tom nyní mohli přesvědčit třeba uživatelé prostředí Django, které využívá pro hashování (zjednodušeně: tvorbu otisků pro ověření) silný algoritmus PBKDF2. Jenže právě délka hesla se v daném případě může stát způsobem útoku: Django nemá žádné omezení délky a díky silnému algoritmu mu výpočty trvají poměrně dlouho. Aneb pokud útočník zkusí na systém použít dostatečně dlouhé heslo (klidně v řádu stovek tisíc znaků), systém ho nezvládne zpracovat a buď „spadne“, nebo skončí v dlouhém výpočtu a nebude reagovat na další uživatele. Což je útok typu Denial of Service – odepření služby – kdy je možné zablokovat ostatním uživatelům přístup k systému. V daném případě právě pomocí dlouhého hesla.
Jak vypadají svobodné a transparentní volby?
Že někdo vynese na veřejnost data, která měla zůstat neveřejná, se stává. Že uniknou jaksi „samovolně“ vinou špatného nastaveni nebo neopatrnosti uniknou data, i to se stává. Ale to, co se stalo loni v říjnu v Ázerbajdžánu, to by se asi opravdu stát nemělo. Aneb nedopatřením vystavené dokumenty na internetu ukázaly předčasně výsledky voleb v Ázerbajdžánu: výsledky tak byly známy o den dříve, než k volbám vůbec došlo! Takto nějak vypadá gól roku do vlastní brány. Ázerbajdžán se pak neobtěžoval data ani modifikovat a po „svobodných a transparentních“ volbách zveřejnil dokumenty znovu...