Hledání dne nula

2. 6. 2014

Očekávání kybernetického konfliktu v proměnlivém internetovém podsvětí vytvořilo nový průmysl za desítky miliard dolarů

Že se hledá specialista na vyhledávání slabin počítačových sítí, hlásal v půli května ve stoprocentně seriózním deníku Washington Post inzerát firmy Invertix. A jinde: „Firma hledá specialisty přes útoky na počítačové sítě, nabízí dlouhodobou smlouvu se státními úřady.“ „Dodavatel státních zakázek nabízí práci konzultantům v oblasti útoků a pronikání do sítí,“ stojí v dalších inzerátech.

Těmi hledanými odborníky jsou lidé, k jejichž hlavním schopnostem patří odhalování slabin počítačových systémů (od softwarového kódu až po strukturu sítí) a odhad, jakým způsobem by byla bezpečnost takových systémů zneužitelná. Specialisté, kteří touto kvalifikací disponují, mají jedinečnou šanci získat dobře placené zaměstnání kolem prudce rostoucího počtu státních zakázek v tomto oboru.

Potíž je pochopitelně v tom, že v počítačových útocích se nejlépe vyznají ti, kteří je sami provozují. Tým odborníků na počítačové hrozby, jenž vzniká na americkém ministerstvu obrany a má být základem tamního šestitisícového „státu ve státě“, má průměrný věk něco přes 20 let. Jeho členové nosí vlasy do culíku a chodí ve vytahaných tričkách, nejeden z nich jezdí do práce na skateboardu. „Jsme parta hackerů s bezpečnostní prověrkou,“ žertoval jeden z nich s reportérem The New York Times.

Riziko, které plyne z toho, že na nejcitlivějším místě americké bezpečnosti zahradničí parta kozlů, je nabíledni. A přece je ministr obrany Chuck Hagel podstupuje, protože nikdo jiný jejich práci odvést nedokáže; obor tvůrčího hackerství se na univerzitách nevyučuje. Snaží se tím odvrátit jiné, horší riziko: nepřipravenost na digitální útok vedený po internetu na životně důležité vojenské i civilní sítě v USA.

Nebezpečí číslo jedna Ta obava je logická. Letos poprvé od 11. září 2001 sestoupilo nebezpečí teroristického útoku ze špice oficiálního žebříčku nejakutnějších rizik, jimž USA čelí – nahradila je právě možnost kybernetického útoku. Již předloni se psalo, že Čína trénuje na různých místech a v různých institucích (například na šanghajské univerzitě Ťiao-tchung nebo ve státní firmě Nan-chao) týmy hackerů, kteří nemají na starost nic jiného než odhalovat slabiny v počítačovém zabezpečení (hlavně) amerických institucí. Když naopak v roce 2010 Američané nakazili virem digitální mozek íránského jaderného programu ve městě Natanz, Teherán okamžitě odpověděl kybernetickým úderem proti saúdskoarabské ropné firmě Saudi Aramco; během dvou dnů tak dokázal zničit 90 procent jejích počítačů i s obsahem.

Ministr Hagel zažádal o 20procentní zvýšení výdajů Pentagonu na přípravu na kvaziválečný konflikt online. A ve chvíli, kdy ostatní bezpečnostní složky výdaje nuceně omezují, požadované peníze dostal. Jak už však v USA bývá zvykem, o jednu věc se stará mnoho různých institucí najednou. Pentagon tak nemá na řečenou oblast monopol, její aktivity zastřešuje tajnůstkářská instituce U. S. Cyber Command. Celkově na tuto činnost USA letos vynaloží zhruba 30 miliard dolarů, trojnásobek sumy z roku 2012. Jen rozpočet na provoz samotného ústředí dosahuje 68 milionů dolarů. Až do letošního března stál v jeho čele čtyřhvězdičkový generál Keith Alexander, zároveň šéf střešní organizace tajných služeb NSA, známý pozoruhodnou schopností získávat od státu obrovské peníze.

„Co Keith chce, to taky dostane,“ řekl jeden z jeho podřízených časopisu Wired, který o Alexanderovi a jeho lidech loni napsal podrobnou reportáž. Generál však na podzim loňského roku oznámil rezignaci, když se dostal pod tlak kvůli své roli v ilegálních odposleších amerických civilistů a následném zapírání téhož.

V polovině května Alexander oznámil, že ve Washingtonu zakládá soukromou firmu – pochopitelně v oboru kybernetické bezpečnosti. Obři v nevýhodě A právě z oněch 30 miliard, nad jejichž osudem Cyber Command bdí, dostávají práci stovky či tisíce dodavatelů různé velikosti a významu. Jejich výběr se však řídí jinými pravidly než výběr běžných zbrojních dodavatelů. „Když je řeč o klasickém zbrojním dodavateli, mluvíme o hardwaru. Když taková firma dostane zakázku, může počítat s jistou zaručenou dobou odbytu,“ napsal vojenský analytik David Francis v magazínu Fiscal Times. „Je to možné proto, že například raketa Tomahawk umí velmi spolehlivě dělat jednu věc, o níž se ví, že je po ní poptávka,“ dodal. Ohledně možnosti kybernetického útoku tato jistota chybí. Ještě před dvěma lety bylo hlavní prioritou zabránit proniknutí škůdců do systému. Po aférách WikiLeaks a Edwarda Snowdena se to rychle změnilo: jako nejdůležitější se dnes jeví naopak schopnost zabránit úniku informací ven. V praxi to znamená, že se stejně rychle mění i kritéria pro výběr dodavatelů, což zase rizika zvyšuje. „Je to podobné, jako byste ke svému dítěti potřebovali každý den novou chůvu – pokaždé nevyzkoušenou a neznámou,“ řekl časopisu Forbes Loren Thompson, jenž vede firmu Source Associates a neziskovou organizaci Lexington Institute, které se problematikou kybernetické bezpečnosti zabývají. „To ztěžuje roli velkým zaběhnutým dodavatelům a dává více možností menším a pružnějším, úzce specializovaným firmám.“

Patrně nejznámější z nich je firma Endgame Systems. Vznikla v roce 2008 a zabývá se tím, že hledá dosud neobjevené bezpečnostní skuliny v počítačích všude na světě. Zadáte si adresu – třeba čínské ministerstvo obrany v Pekingu – a Endgame zjistí, jaké jsou v dotyčné budově počítače, jaké systémy ochrany používají a jak by bylo možné je co nejúčinněji napadnout. Odborný žargon přiřkl tomuto úsilí pojmenování „vyhledávání dne nula“, protože se jedná o odhalení dosud nezjištěné slabiny, na jejíž nápravu má terč vyhledávání právě nula dnů. (Ovšem špehovat milenku se tímto způsobem vyplatí jen náročným. Předplatné je 2,5 milionu dolarů za 25 takových hledání dne nula.)

Firma Endgame je financovaná soukromým kapitálem a žádné výsledky hospodaření nezveřejňuje.

„Nikdy nechceme své jméno vidět v žádné tiskové zprávě,“ řekl časopisu Wired zakladatel firmy Christopher Rouland. Vzhledem k povaze byznysu není divu; i Endgame Systems má počítačovou síť…

Virtuální válka v číslech

30 miliard dolarů letos celkem utratí americká vláda za kybernetickou bezpečnost.

O 4,4 miliardy dolarů letos stouply výdaje americké vlády na kyberbezpečnost, ačkoli výdaje tajných služeb v čele s CIA poklesly o 4,7 miliardy.

14 tisíc lidí ve 13 týmech pracuje pod velením generála Keithe Alexandera v rámci ústředí organizace Cyber Command, jež má na starost kybernetickou bezpečnost USA (jen ministerstvo obrany má do konce letošního roku v této oblasti zaměstnávat na šest tisíc lidí).

127krát se v zákonu o letošním americkém rozpočtu objevila předpona „cyber-“ (v roce 2012 to bylo 12 a v roce 2013 celkem 61 zmínek).