Studentská grantová soutěž - předchozí roky

Nekonvenční výpočetní metody v praktických aplikacích.

SP2013/114

Zelinka Ivan prof. Ing., Ph.D.

01. 01. 2013 - 31. 12. 2013

Nekonvenční výpočetní metody v praktických aplikacích. V rámci navrhovaného projektu bude skupina PSaS pracovat na výzkumu v oblasti počítačové bezpečnosti a zpracování dat a to za použití moderních a nekonvenčních výpočetních metod. Významnými představiteli této třídy výpočetních metod, které budou použity jsou umělá inteligence, fraktální geometrie a deterministický chaos. Je plánováno jejich využití v oblasti zpracování dat (biomedicinské obrazy, burzovní vývoje) a počítačové bezpečnosti (inteligentní spam filtry, detekce kybernetických hrozeb,...). Konkrétní struktura zapojení doktorandů do očekávaného výzkumu je: Počítačová bezpečnost Doktorandi (pod vedením prof. Zelinka a doc. Šaloun): Václav Bortlík, Peter Bubelíny, Václav Duc, Dávid Siro, Zbyněk Složil, Daniel Stříbný, Patrik Dubec, Jan Plucar Předmět výzkumu: inteligentní honeypot, steganografie a metody umělé inteligence, identifikace malware pomocí umělé inteligence, iteligentní malware a spyware, využití softcomputingu ve zpracování rozsáhlých datových souborů z honeypotu Pozn.: předpokládáme využití skupiny zaměřené na zpracování dat Zpracování dat Doktorandi (pod vedením prof. Zelinka a doc. Ličev): Lenka Skanderová, Michal Belanec, Adam Karczmarczyk, Jiří Urbášek, Předmět výzkumu: zpracování biomedicínských obrazů pomocí softcomputingových metod, využití softcomputingu ve zpracování datastreamingu a rozsáhlých multiatributových dat (petabytové rozsahy) z obasti počítačové bezpečnosti, příp. astroinformatiky a bioinformatiky Pozn.: předpokládáme využití skupiny zaměřené na počítačovou bezpečnost Ostatní členové PSaS (http://psas.cs.vsb.cz/Members.html) se budou podílet na obou částech projektu úměrně své specializaci Dále stručně nastíníme již zmíněné oblasti. Umělá inteligence V minulém století vznikla nová vědecká oblast nazvaná umělá inteligence a která začíná a končí s našimi výpočetními technologiemi. Její součástí jsou nejen klasické směry jako strojové učení, počítačové vidění, ale i modernější směry jako je softcomputing, který obsahuje množinu algoritmů nového typu jako jsou evoluční algoritmy, neuronové sítě či fuzzy logika. Tyto algoritmy mají několik zvláštností, jenž je činí široce použitelnými a také i používanými, stejně jako částečně přehlíženými „klasickými rigorózními“ matematiky. Nevýhodou těchto algoritmů je pro změnu to, že částečně pracují s náhodou a tudíž jejich výsledek nelze dopředu přesně předvídat. Z toho plyne i fakt, že matematické důkazy se k tomuto druhu algoritmů sestavují poměrně těžce. Většinou se tedy vychází ze zkušeností s těmito algoritmy, které jednoznačně ukazují na jejich životaschopnost a použitelnost. Jako příklad za všechny lze uvést optimalizaci spotřeby paliva u leteckých motorů Boeing, která byla provedena na základě genetických algoritmů a která šetří leteckým společnostem na palivu ročně stamilióny dolarů. Současně s vývojem evolučních technik a rozvojem teoretické informatiky se ukázalo, že ruku v ruce s evolučními technikami zřejmě půjdou i nové počítačové technologie založené na paralelizaci. Budoucnost vědeckotechnických výpočtů zcela nesporně leží v paralelizaci matematických operací. Tedy za předpokladu, že nebude nalezena nějaká matematická zkratka, která by umožnila řešit problémy, které již z principu řešitelné nejsou. Stačí, vezmeme-li se v úvahu monografie Umělá inteligence (Mařík, Štěpánková, Lažanský, 2001), kde je uveden mimo jiné exponenciální růst n!, který platí mimo jiné i pro obchodního cestujícícho, pak pro instanci o velikosti (v tabulce není uvedeno) n = 59 lze získat množství kombinací (10^80), jejichž počet přesahuje odhadovaný počet protonů (10^79) ve vesmíru. Pokud by se podařilo na každý proton zapsat jednu možnou kombinaci pro pozdější vyhodnocení, tak pro problémy s n > 59 není ve vesmíru dost paměti. Nemluvě o délce výpočtů (počet mikrosekund od vzniku vesmíru má údajně 24 cifer). Je tedy jasné, že pokud nebude objevena nějaká nová matematika nebo alespoň legální matematická zkratka přes toto „kombinatorické bludiště“, je reálnou cestou paralelizace a použití heuristických či obecně netradičních výpočetních technik. Některé z nich jsou velmi exotické, nicméně jejich použití, případná hybridizace s jinými technikami přináší velmi slibné výsledky. Za zmínku stojí fraktální geometrie a deterministický chaos. Tyto techniky lze použít např. v oblasti kryptologie, analýzy dat apod. Fraktání geometrie a chaos. Na přelomu 19. a 20. století se začaly objevovat matematické konstrukce podivných útvarů, značně se lišících od geometricky „ideálních“ objektů. Mnohými matematiky byly přijímány s odporem. Jednou z prvních takovýchto konstrukcí, objevenou Karlem Weierstrassem v roce 1872, byla spojitá funkce, která nemá v žádném bodě derivaci. Následně přišel v roce 1884 Georg Cantor s diskontinuem – množinou s nenulovou dimenzí menší než 1 a v roce 1904 Helge von Koch s nekonečně dlouhou křivkou, která ohraničuje konečnou plochu. Tyto a další konstrukce byly matematickou veřejností přijímány s odporem jako „matematičtí strašáci“ či „monstra“. Později se však ukázalo, že jsou k popisu některých přírodních jevů mnohem vhodnější, než útvary klasické geometrie. V roce 1918 popsali Gaston Julia a Pierre Fatou konstrukci tzv. Juliových množin a o rok později podal Felix Hausdorff definici Hausdorffovy dimenze, která pro mnohé objekty vychází neceločíselná a často dokonce iracionální. Podobná situace byla i ve fyzice. Klasická mechanika popisovala systémy, jejichž dráhy se daly vyjádřit pomocí přesných deterministických vzorců, které byly v podstatě ekvivalentní možnostem klasické geometrie s celočíselnou dimenzí. Avšak už od konce minulého století klasická mechanika (a dynamika vůbec) začala narážet na vážné potíže. Zatímco pohyb soustavy dvou hmotných bodů bylo možno analyticky vypočítat a tyto výsledky souhlasily skvěle s realitou, už výpočet pouhých tří těles s porovnatelnou hmotností vedl ke krizi mechaniky - bylo dokázáno, že analytické řešení neexistuje! Čili není možno přesně spočítat a teoreticky předpovědět dráhy například soustavy tří blízkých hvězd o stejné hmotnosti. Při řešení tohoto problému byly objeveny podivné nestability, které vedly k chaotickému chování v situaci, která sama o sobě nijak chaotická či náhodná nebyla. Chaotické chování se začalo objevovat i v jiných oblastech - u turbulentních (vířivých) pohybů tekutin, u vývoje klimatu a v mnoha dalších situacích. V polovině 60. let 20. století meteorolog Edward Lorenz numericky počítal, na počítači tehdejší úrovně, vývoj jistého velmi zjednodušeného modelu počasí (vyjádřeného poměrně stručnými rovnicemi s jistými parametry charakteru konstant), který měl pouze tři proměnné, měnící se v čase. Byl překvapen nestabilitou a chaotickým vývojem tohoto meteorologického modelu, protože s velmi nepatrnými změnami výchozích dat se dostavovaly zcela rozdílné meteorologické výsledky. Ani zmenšování diferencí dat na jakoukoliv úroveň leckdy nevedlo ke zvýšení spolehlivosti předpovědi. Odhalil však, že přesto se vypočtená "dráha" vývoje pohybuje v rámci jistého podivného útvaru. Při studiu chyb u přenosu signálů v telekomunikačních sítích, kdy se v signálech střídaly intervaly bez chyb s chybnými intervaly, si matematik Benoit B. Mandelbrot (*1924 ve Varšavě) všiml jisté formy pravidelnosti. Po zvýšení přesnosti měření se intervaly, které se jevily jako bezchybné, opět rozpadly na chybné a bezchybné intervaly. To se opakovalo při libovolném zpřesňování měření. Mandelbrotovi to připomnělo matematickou konstrukci Cantorova diskontinua. Podruhé se s takovou „soběpodobností“ setkal při studiu kolísání cen na trhu, kde si jejich krátkodobý a dlouhodobý průběh byly nápadně podobné. Díky těmto dvěma poznatkům se začal o soběpodobnost blíže zajímat. Mandelbrot dospěl k doměnce, že v přírodě existuje skrytý fraktální řád. Tato myšlenka se potvrdila prací Michaela Barnsleyho. Fraktální útvary byly rovněž objeveny v časových řadách systémů jako je burza, sluneční aktivita apod. a to ve formě tzv. Elliottových vln. Tyto vlny objevil R. N. Elliott po mnohaletém pozorování hodinových dat na burze v New Yorku. Vznik, či snad lépe objev, Elliottovy vlny a popis jejího chování lze datovat do období 1935 - 1947, během kterého byl panem Elliottem vytvořen soubor empirických znalostí o struktuře a vzájemných souvislostech mezi jednotlivými fázemi Elliottových vln. Teprve později, v druhé polovině našeho století, bylo zjištěno, že Elliottovy vlny nejsou nic jiného než fraktály. Později se ukázalo, že úzce souvisí s chováním na první pohled chaotických systémů, jakým je např. burza. Elliottovy vlny nejsou vázány jen na činnost burzy, ale lze je pozorovat i v chování jiných dynamických systémů, nicméně zde se z historických důvodů bude mluvit jen o burze. To, že je Elliottova vlna fraktálem, je dáno tím, že v sobě opakuje vlastní motiv (tvar), což je základní atribut fraktálů. Dobrá znalost teorie Elliottových vln umožňuje fundovanému uživateli s velkou pravděpodobností určit případné zlomy v cenovém vývoji a tím minimalizovat, nebo alespoň snížit, riziko obchodování na burze. Jinými slovy, Elliottovy vlny jsou části časových řad, které se dají použít na jejich predikci. Počítačová bezpečnost Informace a informační technologie hrají v dnešní společnosti klíčovou roli roli. Stále více kritické infrastruktury je na funkčnosti informačních systémů bezpodmínečně závislé a to ve všech oblastech – fungování státu, průmyslu, podnikatelských subjektů, služeb, akademické sféry a v poslední době také vojenské oblasti. Jedna se přitom o stále sílící tendenci, přičemž návrat zpět již není myslitelný. Zkušenosti posledních dvou dekád vedly postupně k etablování informační bezpečnosti jako jednoho z neodmyslitelných pilířů - v počátečním období rozšiřování výpočetní techniky v minulých desetiletích byly hlavní rozhodovací hlediska postupně dostupnost technologie, pořizovací náklady, výkon, zajištění dostupnosti a spolehlivosti a nakonec propojitelnost výpočetních systémů. Na zabezpečení většinou nikdo příliš nehleděl, protože jeho důsledná aplikace koneckonců IT řešení prodražuje a brání prvně jmenovaným cílům. Na přelomu tisíciletí ale došlo díky obrovskému počtu a rozmanitosti počítačových útoků a značným škodám s nimi spojenými k realistickému vystřízlivění a do popředí se nyní dostává především bezpečnost informací uložených v počítačích. Díky tomu dnes máme k dispozici spolehlivé antiviry, firewally, systémy detekce průniku, Windows Update, antispyware, spamové filtry, zdokonalené verze operačních systémů a další technologie, které nás chrání. Budou při takovém vývoji vůbec za několik let bezpečnostní specialisté potřeba? Podle názoru předních světových bezpečnostních expertů a podle našich každodenních zkušeností jednoznačně ano. Bezpečnosti se sice dostává nesrovnatelně více pozornosti než v minulosti, stejně tak ale roste počet a složitost technologií, které je nutné při ochraně brát v potaz. Pro účely této publikace přebíráme následující definici počítačové bezpečnosti: „ochrana informací a informačních systémů proti neautorizovanému přístupu nebo manipulaci, ať už v uchovávání, zpracování, přenosu a proti odepření služby autorizovaných uživatelů. Informační bezpečnost zahrnuje opatření pro detekci, zaznamenání a reakci na tyto hrozby.“ Dnes sice již pominula doba naivních útoků, kdy byl teenager-hacker schopen spuštěním z intenetu stažených skriptů shodit největší webové servery na Internetu (případ Mafiaboy, rok 2000), jistý si nicméně nemůže být opravdu nikdo. Stejně jako se zlepšila naše obrana totiž pokročily i technologie a postupy útočníků. Následující výběrový přehled ukazuje jednak to, že boj probíhá na mnoha rozdílných frontách a také to že útoky se dají označit za cokoliv jiného jen ne za konvenční V srpnu roku 2003 se milionům uživatelů operačních systémů Windows XP a Windows 2000 na obrazovce objevilo okno „Vypnutí systému. Systém bude vypnut, prosím ukončete veškerou práci.. „. Po šedesáti sekundách se počítač opravu vypnul. Při opětovném spuštění se objevila stejná zpráva a následovalo opětovné vypnutí. Jednalo se o útok červa Blaster, který zneužíval právě zranitelnost v protokolu SMB v kombinaci s tím že v této době ještě byly porty na kterých tento protokol naslouchá obvykle volně přístupné i z internetu. Červ naštěstí neprováděl žádnou destruktivní činnost, přesto vypínáním počítačů způsobil ekonomické ztráty a hlavně velkou ostudu společnosti Microsoft. Tento červ měl ovšem i jeden pozitivní důsledek - zasloužil se o přidání firewallu jako standardní součásti všech verzí operačního sytému Windows. Windows XP ji dostaly v rámci Service Packu 2 a veškeré další budoucí verze již firewall obsahovaly. V říjnu 2008 byla opět objevena chyba v RPC systému zasahující všechny v tehdy existující verze operačního systému Windows (2000, XP, 2003, Vista, 2008). Pomocí chyby lze na vzdáleném systému spustit libovolný kód pod systémovým účtem (tzn. v nejhorším případě vzdáleně nainstalovat rootkit). Chyba byla natolik závažná, že Microsoft zcela mimořádně publikoval záplatu mimo běžný termín vydávání patchů (pro vydávání bezpečnostních záplat pro všechny produkty Microsoftu je vyhrazen pravidelný termín - každé druhé úterý v měsíci, obvykle se jedná o několik desítek záplat). Z počátku zdálo že Microsoft měl tentokrát štěstí, protože chybu objevil dříve než druhá strana a stihnul v rekordním čase vydat záplatu. Toto mimořádné úsilí bylo motivováno zejména strachem z ostudy pokud by se objevil podobný červ jako byl nechvalně proslulý W32.Blaster v roce 2003. Červ zneužívající tuto chybu přesto vznikl, objevil se měsíc po vydání záplaty a zcela překonal i ty nejhorší obavy. Dostal název Cornficker a na následující čtyři roky - do objevení modulární kybernetické zbraně Flame (původem v USA a Izraeli) v roce 2012 se jednalo o nejsofistikovanější (a nejtajemnější – jeho původ dodnes není objasněn) známý malware. Cornficker se dokázal rozšířit i přes existující záplatu díky pomalému tempu nasazování této záplaty (ještě v roce 2009 zůstalo odhadem 30% dotčených instalací operačního systému Windows nezáplatovaných). Malware se dočkal celkem pěti variant a infikoval podle různých odhadů devět až patnáct milionů počítačů (ještě v roce 2012 zůstává stále infikováno několik milionů stanic) a obsahoval pokročilé funkce pro sebeobranu: decentralizovanou architekturu řízení kdy jednotlivé napadené stanice („zombies“) stahují příkazy pro svou činnost nikoliv z předem daného seznamu domén nebo IP adres ale pomocí dynamicky generovaného seznamu: červ každý den vygeneruje 250 nových pseudonáhodných domén které se pokusí kontaktovat pro získání příkazů. Aby červ příkazy spustil musejí být digitálně podepsané! Soukromý klíč k tomu podpisu mají pochopitelně pouze tvůrci červa. Původní varianta A využívala SHA1 hashovací funkci, RC4 proudovou šifru a 1024 bitový RSA klíč. Druhá varianta přešla na hashovací funkci MD6 (tato funkce byla poprvé publikována pouhých několik měsíců předtím! Poté co v ní několik týdnů poté byla nezávisle objevena kryptografická slabina a zveřejněna záplata, Cornficker updatoval na tuto novou verzi). Délka RSA klíče byla zvýšena na úctyhodných 4096 bitů. I téměř pět let poté je délka RSA klíče 2048 bitů považována za naprosto bezpečnou. Malware také vypínal celou řadu systémových služeb a procesů – Windows Automatic Update, Windows Security Center, Windows Defender a předdefinovaný seznam antivirových, diagnostických a systémových nástrojů. Nebezpečené nepočítačové zařízení („devices“) Na ročníku 2008 konference BlackHat byla velká pozornost soustředěna na možnost vývoje univerzálních rootkitů pro směrovače Cisco. Routery této značky se starají o zhruba 2/3 internetového provozu, pokud se vývoj takového rootkitu opravdu podařil, dostal by se všem druhům útočníků do rukou nesmírně silný nástroj. Na konferenci byl prezentován kód typu „Proof of concept“, díky rychlé reakci Cisca (tři kritické patche a „best practices“ doporučení zákazníkům) se nejčernější scénáře nenaplnily. Je nicméně známý fakt že velké množství Cisco routerů má velmi zřídka nebo nikdy neupdatovaný firmware díky čemuž jsou k tomuto typu útoků náchylné i do budoucna. Obdobný poprask způsobilo na konfenci … v roce … uveřejnění výzkumu možností útoku na síťové (to znamená jakékoliv současné modely kromě těch zcela nejlevnějších) tiskárny, včetně kompletního ovládnutí (přepsání) jejich firmware a jejich použití pro další útoku dále do vnitřních sítí do kterých tyto tiskárny patří. Tyto případy ilustrují rozšíření počítačové (ne)bezpečnosti z tradiční sféry počítačů do mnohem širší oblasti „zařízení“. V současnosti jsou mimo jiné popsány kybernetické útoky například na kávovary, televizory, automobily, vojenské bezpilotní letouny, mobilní telefony.. Již před současnou generací chytrých telefonů byla část mobilních telefonů je zranitelných vůči útokům pomocí bluetooth nebo MMS. Například u některých verzí populární Motoroly RAZR k instalaci škodlivého software stačilo pouze přijmout MMS s infikovaným JPEG souborem. Takový přístroj lze pak proměnit například v štěnici přeposílající veškeré hovory a textové zprávy. V současnosti kdy naprostá většina mobilních telefonů obsahuje operační systém a často i přístup na internet je situace taková že se v podstatě jen očekává kdy nastane první opravdu závažný útok mobilního malware. Za nejčastěji cílenou platformu pro malware je nyní považován Android. Přestože se jedná o operační systém který je od základů navržen s ohledem na bezpečnost (je postaven na linuxovém jádře, každý program běží ve vlastní instanci virtuálního stroje), jeho ekosystém je přeci jen o něco otevřenější než jeho hlavní konkurent Apple iOS – na rozdíl od něj totiž umožňuje instalovat vlastní programy z instalačních souborů, nikoliv pouze aplikace nainstalované z distribuční platformy Google Markeplace (toto u iOS zařízení není možné, je na nich možné legitimně instalovat pouze programy z Apple Store - s výjimkou zařízení které podstoupily tzv. „jailbreak“). Podle zprávy společnosti MacAffee za rok 2012 se množství mobilního malware meziročně zvýšilo o 700%, nejvíce postižený byl právě Android. Mezi typy malware které se na této platformě vyskytují patří malware posílající SMS, mobilní botnety, spyware a destruktivní trojské koně. Povahou se už nejedná o programy typu „proof of concept“ ale o plnohodnotný škodlivý software zaměřený na získání obchodních dat a dat o uživatelích. Stejně jako na PC platformě se zde začíná objevovat útok typu „drive-by download“, tedy druh napadení kdy k infikování postačí pouze to když obět navštíví zlovolnou webovou stránku. Na rozdíl od PC je zde ovšem nutné aby napadený uživatel spustil stažený apk balíček (na PC je situace taková že při použití příslušných exploitů webového prohlížeče proběhne vše bez zásahu a vědomosti uživatele, zcela na pozadí). Vyskytly se také případy kdy se malware dostal na legitimní Google Marketplace – kontrola kterou každá aplikace musí projít není zatím dokonalá (s obdobným případem se už nicméně setkali i uživatelé na konkurenční platformě Apple Store). Lehce kuriózně pak na první pohled působí zprávy o tom bezpečnostní chyby byly objeveny i v takových zařízeních jako jsou kávovary – konkrétně v kávovaru značky Jura F90 (kávovar má síťové rozhraní umožňující servis na dálku). Samo o sobě to zní téměř komicky, nicméně úspěšné zneužití těchto chyb může vést až ke kompromitaci počítače s Windows XP spojeného s kávovarem. V současnosti jde spíše o zajímavou kuriozitu, ale není daleko doba, kdy téměř každé elektronické zařízení v domácnosti včetně elektrických zásuvek bude mít svou vlastní IPv6 adresu (koncept tzv. inteligentních domů). Napadnutelná plocha tedy opět poroste. Na zcela opačné straně stupnice potenciální závažnosti než napadnutelný kávovar je pak třeba bezpečnostní chyba objevená v počítačovém systému nového Boingu 787, která cestujícím dovolovala získat z veřejné sítě přístup do sítě určené pro letové přístroje. Už ani letadla ovšem nejsou nepředstavují konečný limit pro malware - stačil totiž proniknout již i do kosmu. Červ W32.Gammima.AG byl v srpnu 2007 zachycen na počítači mezinárodní vesmírné stanici ISS v notebooku jednoho z ruských kosmonautů. K přímému ohrožení systémů ISS sice nedošlo, neboť notebook neměl žádné přímé připojení na síť stanice (navíc se naštěstí nejednalo o cílený malware ale o relativně neškodný trojan určený pro krádež hesel k online hrám) a veškerá data jsou navíc při přenosu mezi zemí a stanicí jsou na přítomnost malwaru skenována, přesto je tento případ kromě svého historického vesmírného „prvenství“ pro malware významný ještě jedním aspektem a to sice že k infekci počítače došlo i přestože nebyl napojený na síť – pomocí přenosu na flashdisku. Tento vektor infekce se své plné (nechvalné) „slávy“ dočkal o několik let později při infekci íránských jaderných zařízení. Úniky dat a jejich důsledky Databáze jako http://datalossdb.org/ a další sledují veřejně odhalené průniky dat za posledních více než deset let. Od roku 2001 dochází k neustálému růstu incidentů, od několika jednotek případů měsíčně na počátku sledovaného období, přes několik desítek měsíčně okolo roku 2006, po současných zhruba sto evidovaných případů (ve špičce až 300) měsíčně. Každý z pěti největších evidovaných případů přitom přesahuje 50 milionů (!) odcizených údajů, ve čtyřech z těchto pěti případů včetně údajů o kreditních kartách. Za nějvětší dosud známý únik dat je považován případ Shanghai Roadway D&B Marketing Services – údaje o 150 milionech zákazníků. Takovéto úniky dat často obsahují také uživatelké hesla, ať už v podobě nezašifrovaného textu nebo v podobě kryptografické hashe. Nechvalně proslulou se v této éře stala stránka pastebin.com na které byly uniknuté hesla/hashe pravidelně uveřejňovány. Vedlejší efekt neustále rostoucího obrovského množství volně dostupných přihlašovacích údajů napomáhá bezpečnostním výzkumníkům ve studiu chování uživatelů na reálných datech, ještě silněji však napomáhá internetovému podsvětí zlepšovat se v nabourávání hesel. Kromě toho že je k dispozici stále výkonnější hardware – běžný PC s jednou grafickou kartou typu AMD Radeon HD7970 dokáže crakovat okolo 8 milionů hashovaných hesel za sekundu (v závislosti na použitém hashovacím algoritmu). Dále neustále roste základna znalostí o tom jak skuteční lidé volí a vytváří svá hesla, což hackerům umožňuje zabudovat do crackovacích programů lepší pravidla a dále tak zlepšovat jejich efektivitu. Pokrok v této oblasti jde jasně vidět na soutěžích typu „Crack me if you can“ které jsou součástí DefCon bezpečnostních konferencí. V současné době se díky inteligentnějším postupům daří nabourat i šestnáctiznakové hesla, skutek který by před pěti lety byl nemyslitelný. Nejvýznamější jednotlivý příspěvek do databází reálných „prosáknutých“ hesel představuje útok vůči online herní službě rockyou.com – 32 milionů nezašifrovaných hesel (14 milionů po odstranění duplicit). Bez nádsázky se dá říci že tímto útokem došlo ke změně pravidel v crackování hesel. Slovníky typuv výtah z Websteru nebo obdobného výkladového slovníku (s případnou modifikací) se přes noc staly minulostí. Slovníky poskládané z této datové základny dokážou podle některých refrencíí okamžitě cracknout hashe až u 60% účtů u nově kompromitovaných webových stránek. Příklad několika těchto inteligentních pravidel pro novou generaci slovníků? Velké písmena se téměř vždy vyskytují na začátku hesla. Všechny čísla a interpunkční znaména naopak na konci. Silný trend je používat kombinaci křestního jména a roku (Steven1985). Bezpečnější hesla používají techniky které zvyšují náročnost pro vyzkoušení všech možností, přesto i u nich se dají vysledovat určité pravidelnosti: nahrazení písmen podobným číslem nebo znakem (č1$l0, zn4k), přidání nealfabetických znaků na konec nebo začátek hesla, reálné slovo psané pozpátku. Hesla složené za pomocí těchto pravidel pak bezpečně pouze vypadají na první a nezkušený pohled, ve skutečnosti jsou ale stále mnohem zranitelnější než opravdu náhodně vygenerované hesla. Nevýhoda náhodně vygenerovaných hesel je zřejmá – obvykle se nedají zapamatovat, což vede k jejich uchovávání jinde než v paměti a tím zase zpětně ke snížení bezpečnosti. Určité řešení představují programy pro správu hesel, ovšem i tyto musí být samy nějak chráněny – obvykle opět heslem – a v případě kompromitace takovéto databáze jsou následky katastrofické. Za nejefektivnější metou je používání hybridní metody útoku za použití nových inteligentních pravidel – příklad z oblíbené třídy hesel křestní jméno + rok: Steven1985. Při útoku čistou hrubou silnou na takovéto devítiznakové heslo by bylo nutné vyzkoušet 62^9 kombinací – za použití běžně dostupného výkonného počítače s výkonnou grafickou kartou by trvalo vyčerpat celý tento prostor za několik desítek dnů. Při použití tzv. maskovaného útoku jde účinnost zvýšit na několik desítek sekund (místo zkoušení hesel aaaaaa0000-ZZZZZZ9999 a všech mezi nimi by se na první pozici zkoušely pouze velké písmena a na dalších pěti pouze malé písmena). V případě hybridního inteligentního útoku se nebudou zkoušet kombinace písmen ale všechna jména z připraveného slovníku (například křestní jména všech uživatelů na facebooku) v kombinaci s rozumným rozsahem letopočtů (1900 – 2020). V závislosti na velikosti použitého slovníku křestních jmen tento útok sice může i vyžadovat vyzkoušení s větším počtem kombinací než maskovací útok, ovšem s radikálně větší účinností vůči velkým sadám crackovaných hashí. Další velkou zbraní crackerů hesel jsou rainbow-tabulky. Jsou to datové struktury založené na kryptografickém principu známém jako „memory-time trade-off“ (kompromis mezi časem a pamětí), v této podobě publikovaném na počátku minulého desetiletí. Útok na hashe obvykle probíhá tak že pro zvolené heslo (ze slovníku, vygenerované hrubou silou nebo inteligetními pravidly) se v reálném čase spočítá hash daného typu a porovná s hashí kterou se znažíme hacknout. Očividný přístup jak toto urychlit je provést předpočítání hashe – pro všechny slova z určité množiny a poté pouze vyhledávat crackovanou hash v tomto slovníku. Vytvoření takového slovníku trvá dlouho, jeho znovupoužívání ale čas šetří. Nejvíce limitujícím faktorem je nicméně nutné místo pro uložení takové datové struktury.Trik rainbow tabulek je v možnosti vyjádřit každé možné heslo z dané množiny bez toho aby byla každá hash uložena (na disku nebo v paměti). Používá k tomu tzv. redukční funkce které z hashe jednoho hesla generují další heslo. Například uložení tabulky všech hesel složených z deseti malých písmen a příslušných hashí by zabralo přes 3000 terabytů na disku. Oproti tomu rainbow tabulka obsahující 99,9% těchto kombinací by zabrala 167 gigabytů. Efektivita rainbow tabulek vedla v éře Windows XP k vývoji nástroji „Ophcrack“, který byl schopný cracknout libovolné heslo během několika minut. Deset let po svém vzniku jsou rainbow tabulky na ústupu díky obrovskému pokroku ve využívání GPU pro crakování hesel (high-endové grafické karty v současné době obsahují 3x více tranzistorů než nejlepší CPU – v roce 2012 sedm respektive dvě miliardy tranzistorů). Hesla s méně než sedmi znaky jdou pomocí GPU cracknout dostatečně rychle na to aby bylo zbytečné pro ně vytvářet rainbow tabulky. Hesla s více jak devíti znaky naopak zabírají i při použití rainbow tabulek příliš mnoho místa na disku. Prostor pro rainbow tabulky se zmenšil pro pro hesla o délce sedm a osm znaků, tam jsou užitečné i dnes. Své použití také stále mají v crackování bezdrátových sítí založených na WPA. Tato šifra totiž využívá SSID (název přístupového bodu) jako salt. Protože velké množství uživatelů nemění defaultní pojmenování svého bezdrátového routeru (tedy ssid), má význam vytvářet rainbow tabulky pro populární hesla saltované známými ssid. Takové tabulky existují až pro 1000 nejčastěji používaných SSID. V neposlední řadě útočníkům také nahrává nejaktuálnější IT revoluce – cloud computing. Problém cracknutí hashe je jednou z úloh které se dají bez problémů paralelizovat, tudíž se jedná prakticky o ideální typ úlohy právě pro cloud. Použít lze jak legitimní cloud (Microsoft Azure, Amazon EC2), tak ilegální botnety. Přestože je používání hashí potažmo saltovaných hashí dobře známý a prověřený způsob jak zvýšit zabezpečení uložených hesel, datové úniky neustále ukazují že překvapivě velké množství společností stále ukládá hesla v nešifrované podobě – včetně tak velkých firem jako je Yahoo nebo LinkendIn (respektive tyto to nepoužívaly do nedávných úniků jejich dat, nyní se dá téměř s jistotou předpokládat že hesla již hashují). Existuje také zajímavý vedlejší kanál který dokáže napovědět zda daná webová aplikace hashuje hesla nebo ne a to bez jakéhokoliv přístupu nebo znalosti jejího zdrojového kódu nebo databáze – pokud je délka hesla (vyžadováno při založení účtu nebo změně hesla) omezena jedná se s nějvětší praděpodobností o stránku která hashování nepoužívá ale místo toho hesla ukládá do databáze v nezašifrované podobě. Pokud by heslo bylo hashované, nebylo by potřeba nijak omezovat jeho délku – výsledná hash má totiž vždy konstantní velikost pro libovolnou délku jejího vstupu. Příkladem webové aplikace která je z tohoto prohřešku podezřelá je v poslední době například live.com (online identita využívaná pro značnou část infrastrukty Microsoftu). V současné době se odhaduje že celkem na internet uniklo již přes 100 milionů jedinečných hesel, počet incidentů toho typu přitom nadále roste. Vznikají proto databáze ve kterých je možné ověřit zda vaše heslo/hash někdy uniklo (leakedin.org, lastpass.com/linkedin). Tato situace samozřejmě vyvolává příslušnou protireakci. Největší hráči na poli poskytování a ověřování identity na internetu postupně přechází na vícefaktorovou autentizaci – obvykle pomocí sms nebo aplikací pro mobilní telefony. Tradiční jsou alternativou k heslům bývá také autentizace založená na biometrii. I zde se ovšem vyskytují problémy – například nedávný případ firmy UPEK, prakticky výhradního výrobce čteček otisků prstů pro laptopy na celém světe. Taková čtečka umožňuje uživateli přihlásit se do počítače bez zadávání hesla což je v pořádku, heslo je ovšem nutné při prvním použití senzoru zadat aby čtečka mohla napíšte heslo zadávat za nás. Problém není v samotném principu ale v chybné implementaci – sotware společnosti UPEK totiž zadané hesla ukládá v registrech, sice šifrované ale velmi slabou šifrou, navíc vlastní výroby (nechvalně známý princip security by obscurity). Bezpečnostní výzkumníci zjistili že šifrování je natolik slabé že je možné takto uložené heslo bez větších obtíží extrahovat. To sice vyžaduje mít přístup do registru Windows, ve spoustě scénářů je toto ale možné – například infekce počítače malwarem,což je sice samo o sobě velkým bezpečnostním selháním, nicméně malware obvykle nemá možnost se dále šířit například do firemní sítě. Pokud si ale z registrů počítače dokáže dešifrovat hesla uživatelů, potenciálně se mu otvírá další a mnohem horší přístup dále do sítě. Existují i zajímavé nápady typu podvědomá hesla, která uživatel nemůže prozradit protože ho nezná – je uloženo v jeho podvědomí. Princip spočívá v tom že uživatel musí strávit nějakou dobu (řádově hodiny) cvičením ve speciální počítačové aplikaci připomínající hru, jenž je založena na rychlé reakci v kombinaci s rozeznáváním vzorců. Aplikace uživatele podvědomě vytrénuje na určité pro něho specifické vzorce díky čemuž je pak možné jej zpětně identifikovat měřením jeho rekcí a statistickým vyhodnocováním odchylek. Zda se tento zajímavý způsob někdy dočká reálného rozšíření je ale spíše nepravděpodobné. To že se problému s autentizací nevyhnou ani celebrity nebo vysoce exponované osobnosti například politického života je dokumentováno řadou mediálních případů. Za všechny například tento: v roce 2008 ve Francii hackeři ukradli peníze z osobního bankovního účtu úřadujícímu prezidentu Nicolasi Sarkozymu. Nejednalo se přitom o žádnou organizovanou skupinu na vysoké úrovni ale o dva drobné podvodníky. Částka také nebyla příliš vysoká, zpráva kterou tento případ sděluje je ovšm jednoznačná: není příliš odvážné spekulovat, že proti cílenému cyber-útoku schopných útočníků není prakticky nikdo imunní (Nicolas Sarkozy se o několik let později opět stal obětí útoku, když byl unesen jeho účet na facebooku). Kybernetická válka Jak je vidět, dovednosti a důvtip původců počítačových útoků rok od roku rostou. Triky které jsou schopni provést se rozhodně nedají označit jako konvenční. Co víc – počítačové podzemí se čím dál více profesionalizuje. Podle přední antivirové společnosti McAfee´s se zhruba od roku 2007 charakter internetového podsvětí změnil v tom smyslu, že zmizeli mladí hackeři (tzv. script-kiddies), kteří vytvářeli viry a nabourávali počítače pro svou zábavu, zvědavost nebo touhu dokázat (sobě či jiným) své schopnosti a byli nahrazeni organizovanými gangy profesionálních zločinců. Z původně „amatérské záliby“ se stala výdělečná sféra organizovaného zločinu. Vznikla celá šedá ekonomika, ve které je možné si služby hackerů, tvůrců spyware a pronajmutí botnetů nakoupit jako každý jiný produkt. Další logický vývojový krok v této evoluci představuje angažování národních států a armád – kybernetická válka. První incident považovaný za kybernetickou válku se odehrál na jaře 2007 – jednalo se o napadení Estonska v důsledku politických nepokojů po přesunu památníku druhé světové války. Útoky estonské vládní stránky, zpravodajské servery a banky trvaly několik týdnů a podle odhadů způsobily škody až ve výši dvou procent hdp. Byly využity především útoky typu DDoS a útoky na DNS servery. Zatím se tedy jednalo ještě poměrně „neškodný“ útok který nezpůsobil žádné ztráty na životech nebo přímné škody na majetku, nebezpečí kybernetického útoku ovšem nelze v žádném případě podceňovat. Pokud by se cílem stala například elektrická rozvodná síť, dopravní systém nebo lékařské zařízení bylo by to jinak. Za zemi s nejrozvinutějším kyber-válečným programem je v současnosti považována Čína. Historie národnostně motivovaného hackingu v Číně spadá do konce devadesátých let minulého století. V roce 1998 vznikla jako spontánní reakce na protičínské protesty v Indonésii samoorganizovaná skupina „China Hacker Emergency Meeting Center“. Odhaduje se že se skládala až ze tří tisíc hackerů. Cílem skupiny se staly webové stránky vládních indonéských úřadů. Další skupina „Chinese Red Hacker Aliance“ se zformovala zhruba o rok později, poté co byla letounem NATO omylem bombardována čínská ambasáda v Bělohradě. Cílem skupiny byly stovky webových stránek amerických vládních úřadů. Další významný milník byla kolize amerického vojenského letadla s čínským stíhačem v jihočínském moři v roce 2001. V tomto případě se do útoku zapojilo odhadem 80 000 čínských hackerů. V současnosti se čínské hackerské útok zaměřují na kybernetickou špionáž s cílem smazat pomocí krádeží intelektuálního vlastnictví technologickou nadvládu USA. Další kybernetické obranné a útočné národní programy vznikají po celém světě. Velmi aktivní jsou v tomto ohledu také Rusko, Izrael, Írán, Severní Korea a pochopitelně USA. U Severní Korei je svým způsobem paradoxní že země s nejhorší ekonomikou světa projevuje snahy rozvíjet se v těchto nejmodernějších technologiích, vzhledem k agresivní povaze tohoto totalitního státu ve všech dalších oblast to však není až takové překvapení. Podle zprávy severekorejského důstojníka který zběhnul v roce 2007 měla tehdy Severní Korea k dispozici dvě kybernetické brigády o síle 30 000 mužů, z toho asi 600 speciliazovaných hackerů. Výuka hackerů probíhala distančním studiem za podpory Ruska. Severní Korea po své hackery vyvinula vlastní distribuci Linuxu, označovanou jako Rudá hvězda. V USA je od roku 2011 kybernetická strategie formální součástí vojenské doktríny. Útok na počítačové systémy cizí zemí je nyní plně považován za válečný akt. K aktivnímu použití počítačových útoků ze strany USA bylo přikročeno jak za administrativy George Bushe ml., tak za administrativy Barracka Obamy. New York Times roce 2012 uvedly že prezident Obama nařídil kybernetické útoky na íránské zařízení pro obohacování uranu. Malware nalezený v těchto zařízeních vešel ve známost jako Stuxnet. Na druhé straně jsou USA cílem rozsáhlých programů kybernetické špionáže, poslední odhalené případy ukazují snahy nabourat systémy dodavatelů vojenských technologií, jako například případ útoku na Lockheed Martin v květnu 2011. Zajímavým důsledkem zapojení národních států od kybernetického zbrojení je to že cena nejlepších exploitů je tak vysoko že si je organizovaný zločin již nemůže dovolit. Podle mnoha indicií existují celé knihovny zero-day exploitů které jsou „někomu“ známy a drženy v tajnosti dokud nejsou potřeba (k cílenému vysokoprofilovému útoku) nebo dokud nedojde k jejich nezávislému objevení – poté jsou urychleně využity než dojde k jejich záplatě (nyní je také podezřela částá situace kdy se prakticky ihned po zveřejnění informace o zranitelnosti – bez jakýchkoliv technických podrobností - objeví exploit, okno příležitosti je v takovém případě pro útočníky velmi krátké a je třeba exploit využít dokud je to možné) Hrozby tedy rostou a stejně tak musí růst naše znalosti, abychom se těmto hrozbám dokázali úspěšně postavit. V boji proti jakémukoliv protivníkovi je nezbytné znát svého nepřítele – jeho taktiku, dovednosti, nástroje a motivy. Činnosti, znalosti a dovednosti, které slouží k tomuto účelu se obvykle nazývají etický hacking, lidé kteří jej provádějí pak „white-hat“ hackeři. Nelze popřít, že informace, které jsou v této a podobných publikacích k dispozici lze stejně tak použít k prevenci jako zneužít k provádění počítačových útoků. To je ale nevyhnutelný aspekt vědomostí a řešením určitě není takové informace utajovat a cenzurovat – druhá strana se k nim stejně dostane neboť i přes obrovskou rozmanitost motivů a úmyslů všechny hackery spojuje zvědavost a touha poznávat.

Ing. David Seidl, Ph.D.
Ing. Pavel Moravec, Ph.D.
prof. Ing. Lačezar Ličev, CSc., prof.h.c.
doc. RNDr. Petr Šaloun, Ph.D.
Ing. Petr Olivka, Ph.D.
prof. Ing. Ivan Zelinka, Ph.D.
Ing. Patrik Dubec
Ing. Jan Plucar, Ph.D.
Ing. Daniel Stříbný
doc. Ing. Lenka Skanderová, Ph.D.
Bc. Václav Bortlík
Ing. Jiří Urbášek
Ing. Michal Belanec
Ing. Adam Karczmarczyk
Ing. Peter Bubelíny
Ing. Dávid Siro
Ing. Zbyněk Složil
Ing. Václav Duc

Specifikace výstupů výzkumu (cíl projektu)

Cílem projektu je výzkum a vývoj nových netradičních postupů v oblasti zpracování dat a počítačové bezpečnosti. Na základě existujících průkopnických prací je zřejmé, že výše zmiňované metody mají své opodstatnění. Projekt bude realizován skupinou PSaS (viz http://psas.cs.vsb.cz/Home.html) , jejíž součástí jsou i doktorandi, kteří pracují v oblasti počítačové bezpečnosti, zpracování dat a netradičních výpočetních technik.

Cíle projektu jsou:

1. modifikovat / hybridizovat / inovovat stávající netradiční výpočetní metody pro zpracování dat, jejich analýzu a příp. tvorbu modelu systému generující daná data,
2. využít netradiční výpočetní metody v oblasti počítačové bezpečnosti (inteligentní detekce spamu, útoků, studium inteligentního malware, ...).

Očekávané výstupy projektu jsou

1. příspěvky na konferencích indexovaných na WOS, plánované konference jsou:
a. INTELLI 2013, The Second International Conference on Intelligent Systems and Applications, duben 22 - 26, 2013 - Benatky, Italie
b. Mendel 2013, Brno
c. Nostradamus 2013, Ostrava
d. Interdisciplinary Symposium on Complex Systems, 2013, Praha
e. PCO 2013, Praha
f. IEEE Congress on Evolutionary Computation (CEC) to be held in Cancun, Mexico, June 20-23, 2013.
g. WOFEX 2013
2. monografické příspěvky, viz rozpracovaný knižní projekt u nakladatele Springer http://arg.vsb.cz/data/UCCS/Home.html
3. materiály, které budou sloužit pro rozšíření a podporu výuky předmětů, které budou volně přístupné pro studenty na stránkách http://psas.cs.vsb.cz/Projects.html a http://www.ivanzelinka.eu/hp/Vyuka.html . Zmiňované předměty jsou:
a. 460-4053/01 BIC Biologicky inspirované výpočty
b. 460-4054/01 PVBPS Počítačové viry a bezpečnost počítačových systémů

Výstupy projektu budou zveřejněny na http://psas.cs.vsb.cz/Projects.html ve formě závěrečné zprávy, publikací a materiálů pro podporu výuky. Vše bude pro studenty volně přístupné.