Urny jako nejlepší ochrana
Předstíraným hackerským útokem dříve společnost DCIT testovala připravenost Českého statistického úřadu na volby . Jeden z jejích hackerů Karel Mikola vysvětluje, jak takzvaný penetrační test probíhá. „Útočník by se musel spojit s někým z komise,“říká v rozhovoru.
Proč si instituce nechávají dělat penetrační testy?
Jde o simulovaný hackerský útok. Snažím se při něm napadnout testovaný systém, a tak hledáme nedostatky v jeho zabezpečení, zastaralý software či cesty, jak zabezpečení obejít. Když jsme dříve testovali systém pro Český statistický úřad, kladli jsme důraz na zahlcení serverů, aby bylo jisté, že unesou nějakou zátěž.
Jak to probíhá?
Třeba u systémů na statistickém úřadě jsme se snažili nabourat do dat, která se pak publikují. Nebo se také hodně zkouší odolnost notebooků, které se rozdávají komisím, kde sčítají hlasy. Testuje se také interní útok, že se někdo připojí přímo do sítě úřadu.
Techniky, které při útoku používáte, se průběžně přizpůsobují pokroku v IT?
Určitě. Ač se to samozřejmě dělá na počítači, ve výsledku je to mravenčí práce, kdy specialisté hledají v kódech programů různé nedostatky. Útok se přizpůsobuje také třeba tomu, na jakém operačním systému je systém postavený a na dalších detailech.
Jak dlouho celé testování trvá?
Útok má několik fází. Nějakou dobu útočíme zvnějšku testovaného systému, pak zase zevnitř. Poté se také věnujeme jednotlivým notebookům. Když se během útoků najdou chyby, opravují se a pak se to znovu testuje. Celý proces trvá asi měsíc a samotné hackerské útoky asi týden. Na testech na ČSÚ většinou pracovali tak dva hackeři.
V čem spočívá nebezpečí, že by servery či webové stránky někdo vyřadil z provozu?
V první řadě jde o reputaci. Do zabezpečení se investují velké peníze, takže by to byla velká ostuda. Pak by mohlo dojít k nějakému znevěrohodnění. Na druhou stranu data, která se zveřejňují, jsou už jen jakási kopie těch skutečných, na hlasovacích lístcích zanesených dat. A u nich je jisté, že je vše v pořádku.
Nakolik se může Česko obávat toho, že výsledky voleb budou zmanipulované?
U nás máme všude urny. Takže to sčítání probíhá v komisích ručně přes lístky. Pak se data uloží do počítačů a přes ně se pošlou do centra. Třeba oproti Americe máme výhodu, že nepoužíváme hlasovací stroje. Pro skutečné pozměnění výsledných dat by útočníci museli spíše na svou stranu získat někoho v jednotlivých týmech, které ty hlasy sčítají.