V posledních desetiletích více než 40 států veřejně zřídilo nějaký druh vojenského kybernetického velení, přičemž nejméně tucet dalších to plánuje. Navzdory této proliferaci je stále málo oceňováno obrovské množství času a zdrojů, které efektivní kybernetické velení vyžaduje.
Ve své knize No Shortcuts: Why States Struggle to Develop a Military Cyber-Force rozděluji výzvy budování efektivního kybernetického velení do pěti kategorií, které nazývám rámec PETIO: lidé, exploity , sada nástrojů, infrastruktura a organizační struktura. Co to znamená pro aspirující kybernetické schopnosti? Za prvé, nejdůležitějším prvkem rozvoje útočných kybernetických schopností jsou lidé – nejen technicky zdatní, ale také lingvisté, analytici, front-office podpora, stratégové, právní experti a konzultanti pro konkrétní operace. Zadruhé, velká pozornost byla věnována nasazení států zero-day neboli neznámých exploitů. Známé exploity a nástroje však mohou být také vysoce účinné, pokud má útočník lepší znalosti o svém cíli a jeho schopnostech. Zatřetí, investice do infrastruktury – jako je vytvoření kybernetické řady pro školení a testování – jsou základním požadavkem pro rozvoj ofenzivních kybernetických schopností a jsou velmi nákladné.
Staňte se členem
Techničtí lidé nestačí
Rozšířeným názorem v řízení podniku je, že s rostoucími kognitivními dovednostmi v zaměstnání se lidé – spíše než technologie – stávají důležitějšími. Tyto „myšlenkové práce“, jak je nazývá Daniel Pink, vyžadují větší dovednosti při řešení problémů a kreativní myšlení, což znamená, že podniky mohou být úspěšné pouze tehdy, pokud pěstují kulturu, která upřednostňuje lidský prvek. Pro aspirující kybernetické schopnosti to platí nejen pro technické odborníky.
Vojenská kybernetická organizace samozřejmě potřebuje analytiky zranitelnosti nebo lovce chyb. Tito zaměstnanci hledají zranitelnosti softwaru. Potřebují také vývojáře, operátory, testery a systémové administrátory, aby úspěšně provedli operaci a zajistili, že schopnosti jsou spolehlivě vyvíjeny, nasazovány, udržovány a testovány.
Vybudování útočných kybernetických schopností však také vyžaduje komplexnější pracovní sílu. Zaprvé je nutná první pomoc na podporu činností operátorů a vývojářů. To může zahrnovat činnosti, jako je registrace účtů nebo nákup schopností od soukromých společností. Za druhé, vojenská nebo zpravodajská organizace s nejlepšími kybernetickými silami na světě bez strategického vedení selže. Operační nebo taktický úspěch se nerovná strategickému vítězství. Operace může být dokonale provedena a může se spoléhat na bezchybný kód, ale to automaticky nevede k úspěchu mise. Například US Cyber Command může úspěšně vymazat data ze serveru íránské ropné společnosti, aniž by ve skutečnosti zajistilo jakoukoli změnu v íránské zahraniční politice. Organizace může fungovat pouze tehdy, je-li jasné, jak dostupné prostředky dosáhnou požadovaných cílů. Důležitým úkolem stratégů je koordinace činnosti s ostatními vojenskými jednotkami a partnerskými státy. Podílejí se také na výběru cílových balíčků, i když se často vytváří samostatná pozice pro „cíleče“. Cíleníci nominují cíle, hodnotí vedlejší škody, řídí dekonflikt a pomáhají s plánováním operačního procesu.
Jakákoli vojenská nebo civilní agentura provádějící kybernetické operace jako součást vlády s právním rámcem bude také jednat s armádou právníků. Tito právní experti se budou podílet na školení, poradenství a monitorování. Dodržování válečného práva, zákona o ozbrojených konfliktech a jakýchkoli dalších zákonných mandátů vyžaduje právní školení operátorů, vývojářů a systémových administrátorů, aby zabránili porušování. Právní experti poskytují podporu při plánování, protože radí, přezkoumávají a monitorují provozní plány. Například při plánování operace US Cyber Command v roce 2016 Operation Glowing Symphony, která se snažila narušit a zakázat používání internetu ISIL, tito odborníci pomohli upřesnit plán oznámení, kontrolní seznam mise a proces autorizace.
Začlenit právní experty do různých fází kybernetické operace je obtížné. Pravděpodobně to vyžaduje četné kritické rozhovory s vedením a operačními týmy, aby bylo zajištěno, že dostatečně rozumí tomu, co je navrhováno, než budou moci dát souhlas. Také způsob provádění určitých operací ztěžuje právní prověrku. Například v případě malwaru, který se sám šíří, jako je Stuxnet, jakmile se zavážete, je obtížné se vrátit zpět.
Ke zpracování informací během operací a po nich je pak zapotřebí různorodá skupina technických analytiků. Nezbytní jsou i netechnickí analytici, zejména pro pochopení toho, jak budou lidé v cílové síti reagovat na kybernetickou operaci. To vyžaduje analytiky se specifickými znalostmi o zemi, kultuře nebo cílové organizaci. Je zde také potřeba vzdáleného personálu. Jak říká bezpečnostní výzkumník a bývalý zaměstnanec NSA Charlie Miller: „Kybernetické válce stále pomáhají lidské bytosti umístěné po celém světě a provádějící skryté akce. V případě útoků Stuxnet například holandský krtek, který se vydával za mechanika, pomohl Spojeným státům a Izraeli shromáždit informace o íránských jaderných centrifugách, které byly použity k aktualizaci a instalaci viru.
A konečně, kybernetické velení potřebuje administrátory pro lidské zdroje, spojení s dalšími relevantními domácími a mezinárodními institucemi a mluvení s médii. Jak poznamenává Jamie Collier, „[Jedni jsou dny, kdy špionážní agentury oficiálně neexistovaly" a držely „jejich personál a aktivity tajně střeženy před zraky veřejnosti“. Komunikace může pomoci překonat skepsi veřejnosti. To platí nejen pro zpravodajské agentury, ale do určité míry také pro vojenská kybernetická velení, zvláště když se jejich soubor misí rozšiřuje a rostou obavy z eskalace, zhoršování norem nebo spojeneckých třenic. Kromě toho může být více orientováno na veřejnost při náboru zaměstnanců na vysoce konkurenčním trhu práce.
Je to víc než jen nula dní
Nejčastěji diskutovaným prvkem vývoje útočné kybernetické schopnosti jsou exploity. Ty spadají do tří různých kategorií: zero-day exploity, neopravené N-day exploity a opravené N-day exploity. Zneužití nultého dne je takové, které odhaluje zranitelnost, kterou dodavatel nezná. Neopravený N-day exploit je takový, který odhaluje zranitelnost v softwaru nebo hardwaru, která je dodavateli známá, ale nemá nainstalovanou opravu, která by chybu opravila. Opravený exploit N-day je takový, který odhaluje zranitelnost v softwaru nebo hardwaru, která je dodavateli známá a má na svém místě opravu, která chybu opraví. Aby útočníci zaútočili na daný cíl, musí často kombinovat několik zranitelností do řetězce útoků, známého jako exploit chain.
Velká politická pozornost je věnována hromadění nulových dnů ve státech. Jason Healey, Senior Research Scholar na Columbia University’s School for International and Public Affairs, provedl v roce 2016 studii, aby pochopil, kolik zero-day zranitelností si vláda USA ponechává. Healey s velkou důvěrou uvádí, že v letech 2015/2016 si americká vláda udržela „[ne] stovky nebo tisíce ročně, ale pravděpodobně desítky. To do značné míry odpovídá ostatním zprávám. Vyspělejší vojenské a zpravodajské organizace těží z pečlivě navržených postupů, aby využily své činy co nejefektivněji.
Neměli bychom však přehánět význam nultých dnů. "[P]Lidé si myslí, národní státy, že běží na tomto motoru nula dnů, vyjdete ven se svým hlavním základním klíčem, odemknete dveře a jste uvnitř. Není to ono," pak Rob Joyce -vedoucí úřadu NSA pro operace přizpůsobeného přístupu, řekl během prezentace na konferenci Enigma. Pokračoval: „Vezměte si tyto velké podnikové sítě, tyto velké sítě, jakoukoli velkou síť – řeknu vám, že vytrvalost a soustředění vás dostanou dovnitř, dosáhnete toho vykořisťování bez nulových dnů. Existuje mnohem více vektorů, které jsou jednodušší, méně riskantní a často produktivnější než jít touto cestou.“
Zejména pro vojenské kybernetické organizace je závod o N-dní často stejně důležitý. Při nasazení N-day exploitů mohou útoky využít čas potřebný k vývoji opravy a čas potřebný k přijetí opravy. Průměrné zpoždění při opravě exploitu se liší podle velikosti dodavatele, závažnosti zranitelnosti a zdroje zveřejnění. Zatímco oprava „středně závažných zranitelností“ trvá v průměru jen něco málo přes měsíc, než produkční webové aplikace opraví, dodavatelům trvá oprava zranitelných míst v systémech dohledové kontroly a sběru dat v průměru 150 dní. Přijetí opravy může také zabrat značné množství času – zejména v prostředích, která postrádají standardizaci, jako jsou průmyslové řídicí systémy. Částečně kvůli dlouhé době realizace záplatování průmyslových řídicích systémů jsme byli svědky několika prominentních útoků proti těmto zařízením a protokolům. Například v prosinci 2016 hackerská skupina podporovaná Kremlem známá jako Sandworm použila malware zvaný CrashOverride nebo Industroyer, aby ztmavil velké části Ukrajiny. Za tímto účelem útočníci obešli automatizované chráněné systémy v ukrajinské elektrické přenosové rozvodně pomocí známé zranitelnosti v jejích relé Siemens SIPROTEC.
Na testování a infrastruktuře záleží
Existuje rozšířený názor, že kybernetické útoky jsou levné, zatímco obrana proti nim je drahá. Ale jak poznamenal Matthew Monte, na základě svých zkušeností v americké zpravodajské komunitě, „útočníci nenarazí na to, aby měli ‚jednou pravdu‘. Vynaložili čas a úsilí na vybudování infrastruktury a poté prošli údajnými ‚10 000 způsoby Thomase Edisona, které nebude fungovat.“ To vyžaduje infrastrukturu, naprosto zásadní prvek kybernetických schopností, o kterém se dostatečně nemluví. Infrastruktura může být široce definována jako procesy, struktury a zařízení potřebné k provedení útočné kybernetické operace.
Infrastruktura spadá do dvou kategorií: řídicí infrastruktura a přípravná infrastruktura. Řídicí infrastruktura se týká procesů přímo používaných ke spuštění operace. Ty jsou obvykle po neúspěšné operaci spáleny. Tento typ infrastruktury může zahrnovat názvy domén phishingových stránek, uniklé e-mailové adresy nebo jiné zneužité technologie. Zahrnuje také infrastrukturu příkazů a řízení používanou při vzdáleně řízených operacích, které udržují komunikaci s kompromitovanými systémy v cílové síti. Tuto infrastrukturu lze využít například pro sledování napadených systémů, aktualizaci malwaru nebo exfiltraci dat. V závislosti na cíli a zdrojích operace může být infrastruktura příkazů a řízení tak základní jako jeden server pracující na externí síti.
Vyspělejší aktéři však mají tendenci používat složitější infrastrukturu a techniky, aby zůstali nenápadní a odolní vůči zastavení šíření. Například ruská společnost Fancy Bear utratila více než 95 000 dolarů za infrastrukturu, kterou použila k cílení na lidi zapojené do prezidentských voleb v USA v roce 2016. A často jde o mnohem víc než jen o pronájem infrastruktury: Organizace může provozovat celou řadu operací, jen aby kompromitovala legitimní webové servery, aby je mohla používat pro budoucí operace.
Přípravná infrastruktura se týká souboru procesů, které se používají k tomu, aby se člověk dostal do stavu připravenosti k provádění kybernetických operací. Málokdy útočník zahodí tuto infrastrukturu po (nezdařené) operaci.
Jednou z nejobtížnějších věcí při vytváření dobrých útočných nástrojů je jejich testování před nasazením. Jak zdůrazňuje Dan Geer, významný odborník na počítačovou bezpečnost, „Vědět, co váš nástroj najde a jak se s tím vyrovnat, je jistě těžší než najít zneužitelnou chybu samu o sobě.“ Velká část přípravné infrastruktury pro útok se obvykle skládá z databází používaných při mapování cílů. Útočník bude muset vykonat hodně práce, aby našel své cíle. Cvičení mapování sítě mohou organizaci pomoci porozumět řadě možných cílů, někdy také označovaným jako „získávání cílů“. Nejvyspělejší aktéři v tomto prostoru proto investovali obrovské prostředky do nástrojů pro mapování sítí k identifikaci a vizualizaci zařízení v určitých sítích.
Existují také další cílené databáze. GCHQ například spravuje speciální databázi, která uchovává podrobnosti o počítačích používaných inženýry a správci systémů, kteří pracují v „centrech síťových operací“ po celém světě. Důvodem, proč jsou inženýři a správci systémů obzvláště zajímavými cíli, je to, že spravují sítě a mají přístup k velkým zásobám dat.
Ilustrativním a významným případem je hacknutí společnosti Belgacom, částečně státem vlastněného belgického poskytovatele telefonních a internetových služeb, jehož zákaznickou základnu tvoří Evropská komise, Evropský parlament a Evropská rada. Britská špionážní agentura GCHQ, pravděpodobně ve spolupráci s dalšími členy Five-Eyes, použila malware, který vyvinula, aby získala přístup k routerům GRX společnosti Belgacom. Odtud mohl podnikat „útoky Man in the Middle“, které umožňovaly tajně zachytit komunikaci cílů pohybujících se pomocí chytrých telefonů. Jak reportéři zjistili, Belgacom Hack, s kódovým označením Operation Socialist, „se vyskytoval ve fázích mezi lety 2010 a 2011, pokaždé pronikl hlouběji do systémů Belgacomu a nakonec ohrozil samotné jádro sítí společnosti“.
Příprava na kybernetické útoky také vyžaduje vytvoření kybernetického dosahu. Jedná se o platformu pro vývoj a používání interaktivních simulačních prostředí, které lze použít pro výcvik a rozvoj schopností. V minulých letech podniky stále více investovaly do kybernetických rozsahů založených na cloudové technologii. Tyto rozsahy jsou buď vyvinuty na veřejných poskytovatelích cloudu – jako jsou Amazon Web Services, Microsoft Azure nebo Google – nebo na soukromých cloudových sítích nasazených v areálu. Cloudové kybernetické řady obecně poskytují flexibilní praktická výuková prostředí s pohodlnými scénáři click-and-play pro školení. Pro vojenské kybernetické organizace jsou však konvenční rozsahy, které nejsou založeny na cloudu, obecně stále preferovány, vzhledem k potřebě vysoce přizpůsobitelných simulačních prostředí a zakázkového provozního testování a výcviku.
Ve snaze držet krok s rychlým tempem vývoje v oblasti kybernetických konfliktů se mnoho odborných komentářů soustředilo na to, zda operace s kybernetickým efektem mohou přinést strategické výhody nebo být ovlivněny normami. Nejprve si však musíme položit zásadnější otázku: Kdy jsou státy vlastně schopny provádět operace? Zatímco šíření vojenských kybernetických příkazů naznačuje, že v kybernetické válce probíhají velké změny, zajištění práce těchto organizací je stále mnohem těžší a dražší, než se zdá.
Staňte se členem
Tato esej je založena na No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, publikované nakladatelstvím Oxford University Press a Hurst Publishers v květnu 2022.
Max Smeets je vedoucí výzkumný pracovník Centra pro bezpečnostní studia na ETH Zurich a ředitel Evropské iniciativy pro výzkum kybernetických konfliktů,
Obrázek: Joseph Eddins, Airman Magazine
Komentář
