Nejnavštěvovanější odborný web
pro stavebnictví a technická zařízení budov
estav.tvnový videoportál

Občan a kybernetická bezpečnost – 1. část: Telekomunikace

Nejste si jisti „bezpečností“ svého telefonu? Znejistěli jste po prosincové zprávě BIS? Spojte se se svým operátorem – to vás (po konzultaci) uklidní. A co váš domácí/firemní kamerový systém, jeho bezpečný provoz vás netrápí? Spojte se se svým elektrikářem, který vám ho namontoval a zprovoznil nebo se svým známým z golfu, který vám ho prodal. Tak schválně, jestli vás jejich reakce uklidní!
Je v rámci globálního IT trhu možné rozlišovat mezi malým a velkým? A pokud ano, jak je na tom ale prostý občan nebo podnikatel – oba jako koncoví uživatelé – laici?


© Fotolia.com

Úvod

Koncem minulého roku nebylo možné nezaznamenat informaci, že Národní úřad pro kybernetickou a informační bezpečnost (dále již pouze NÚKIB) vydal, na základě § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, varování před používáním softwaru i hardwaru čínských společností Huawei Technologies Co., Ltd. a ZTE Corporation.

Varování Národního úřadu pro kybernetickou a informační bezpečnost

„K vydání tohoto varování nás vedly naše poznatky včetně poznatků z činnosti našich bezpečnostních partnerů a také zjištění našich spojenců. Hlavním problémem je právní a politické prostředí Čínské lidové republiky, ve kterém uvedené společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, a tudíž pouštět je do systémů, které jsou klíčové pro chod státu, může představovat hrozbu. Varování podle zákona o kybernetické bezpečnosti znamená, že správci systémů, které spadají do kritické informační infrastruktury, významných informačních systémů nebo provozovatelů základních služeb, se popsanými hrozbami musí zabývat a musí přijmout adekvátní opatření,“ uvedl ředitel NÚKIB Dušan Navrátil. (iHned.cz 17. 12. 2018)

Nejedná se o žádnou novinku. Pochybnosti o důvěryhodnosti zmiňovaných značek se ve světě řeší už takřka dvě desítky let. Obdobný přístup již zvolily Kanada, Indie, Austrálie, Velká Británie, Nový Zéland a Japonsko. Ale ani v České republice se nejedná o žádnou novinku. NÚKIB se nechal v minulosti slyšet, že se mu využívání čínských technologií u strategické infrastruktury příliš nezamlouvá. Navíc v listopadu roku 20141) došlo v tzv. Výroční zprávě Bezpečnostní informační služby za rok 2013 k označení obou firem jako zdroje potenciálního nebezpečí na českém telekomunikačním trhu.

Kromě upozornění na zkušenosti ze zahraničí bylo v této zprávě konstatováno, že obě společnosti ignorují hlášení o chybách ve svých produktech a nepracují na jejich odstraňování. Dále byla také zmíněna možnost, že by v jejich hardware mohly existovat úmyslně vložené chyby (tzv. backdoors = zadní vrátka), které jsou používány k vzdálené neautorizované manipulaci se zařízením.

BIS, NÚKIB a ani Český telekomunikační úřad nemohou výběr konkrétních dodavatelů infrastruktury zakázat, tak je na místě věřit, že klíčoví představitelé tuzemského mobilního trhu – T-Mobile, Vodafone i O2 si s danou problematikou zcela jistě poradí. To samé lze očekávat u všech provozovatelů kritické infrastruktury a souvisejících orgánů státní správy, nad kterými má NÚKIB jakožto tzv. národní koordinátor v oblasti kybernetické bezpečnosti „pravomoc“. Vydání varování je plně formalizovaný proces a jedním z jeho hlavních důsledků je, že se s ním ze zákona musejí vypořádat všichni provozovatelé kritické infrastruktury. Ať již pro své počítačové sítě v minulosti nakoupili aktivní síťové prvky, datová úložiště i servery od kohokoli.

Videopřenosová zařízení

Téma, které již tak mediálně řešeno není, je skutečnost zaznamenaná Bezpečnostní informační službou (dále již pouze BIS) ve Výroční zprávě za rok 20142. V kapitole 2.7. Kybernetická bezpečnost je na straně 19 uvedeno, že v rámci monitoringu zařízení a technologií, které by mohly představovat případná bezpečnostní rizika, došlo k testování IP kamer.

IP kamery a video surveillance system

Dle norem souvisejících s využitím kamerových systémů v bezpečnostních aplikacích se pod výše uvedeným termínem „IP kamer“ rozumí tzv. videopřenosová zařízení (Video Transmission device – VTD). Dle terminologického slovníku je VTD video zařízení s nejméně jedním IP rozhraním zpracovávající video. Možné příklady jsou: enkodéry, dekodéry, systémy síťových videorekordérů, systémy řízení videa.

VTD zařízení jsou klíčovými prvky moderních dohledový videosystémů (video surveillance system = VSS). Jedná se o systémy skládající se z kamerového vybavení, úložišť, monitorovacích a souvisejících zařízení pro účely přenosu obrazu a ovládání. Poznámka: Systémy CCTV jsou součástí obecnějšího pojmu „VSS“. (ČSN EN 62676-1-1 – Dohledové videosystémy pro použití v bezpečnostních aplikacích – Část 1-1: Systémové požadavky – Obecně)

Z pohledu BIS, vzhledem k úzce sledované oblasti (kritická informační a komunikační infrastruktura státu), se zde riziko zneužití bezpečnostních kamer nezdálo příliš vysoké. Ve zprávě je pro vysvětlení uvedeno, že aby mohla být zjištěná zranitelnost zneužita, musí dojít ke splnění hned několik podmínek – což je v řešené oblasti málo pravděpodobné. Informaci, o které konkrétní kamery se jednalo, zpráva neobsahuje. Výroční zpráva BIS na rozdíl od zahraničních serverů (https://krebsonsecurity.com ; https://www.theregister.co.uk ; https://www.wired.com) nikdy žádného konkrétního výrobce nejmenovala. Nicméně i přes to se ve zprávě uvádí, že nelze zcela podcenit skutečnost, že data z dosažitelných kamer mohou být systematicky získávána a vytěžována.

Co se týká vlastní praxe, je zde oproti problematice telekomunikační infrastruktury situace jiná. Výběrová řízení na dodávky bezpečnostních systémů probíhají obvykle pouze na koncové prvky a ne každou dodávku prvků síťové infrastruktury IP kamerových systémů je možné kyberneticky „ohlídat“. Ale i zde je v pravomoci veřejných subjektů3 využít jednoho z odstavců zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Konkrétně jde o § 4 odst. 3, ve kterém je uvedeno, že: „Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.“

Veřejné subjekty (státní organizace) obvykle mají zpracovány interní procesy řízení vztahů s dodavateli, podle kterých je možné provoz kamerového systému zařadit mezi bezpečnostní rizika. Umožňuje jim to už vymezení pojmů v § 2, kde je v obsahu písmene d) uvedeno, že významným informačním systémem se rozumí informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

Následné využití výše uvedeného může vést k výkladu, že „zohlednění bezpečnostních požadavků vyplývajících z bezpečnostních opatření v míře nezbytné nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži“.

S ohledem na současný trend mezinárodního obchodu lze s jeho využitím do budoucna počítat. Firem, které budou některým ze států Evropské unie v rámci obchodní války (mezi Čínou a USA, potažmo USA a Ruskem) označeny jako rizikové, může být do budoucna více, ať už z důvodu, že:

  • má sídlo nebo pochází z bezpečnostně nespolehlivé země;
  • nabízí nebo používá technologie, které představují potenciální nebo identifikované bezpečnostní riziko;
  • má vlastnickou strukturu, která je skrytá nebo představuje bezpečnostní riziko;
  • byl některou z členských zemí EU označený jako bezpečnostní riziko;
  • zaměstnává v České republice osobu nebo osoby představující bezpečnostní riziko;
  • nemá v pořádku ekonomické a finanční ukazatele (nedoplatky, „černá listina“, opakované účetní období ve ztrátě…);
  • nemá dostatečnou historii existence organizace v oblasti předmětných dodávek nebo ji nedokáže hodnověrně prokázat;
  • má nedostatečně popsané procesy zajištění poskytování služeb (včetně vlastních bezpečnostních opatření a jejich kontrolních mechanizmů) nezbytné pro plnění předmětné zakázky;
  • nedokáže jednoznačně garantovat kapacity, včetně technických specializací, pro případ vzniku bezpečnostního incidentu (nelze ošetřovat pojištěním nebo jinými instrumenty, např. sankčními);
  • obdržel dvě po sobě jsoucí negativní hodnocení poskytovaných služeb;
  • apod.

Tolik jen stručně k bezpečnostní problematice na úrovni státní správy. Jak je na tom ale prostý občan nebo soukromý podnikatel?

Mobilní telefon a běžný uživatel

Ilustrační foto © Fotolia.com
Ilustrační foto © Fotolia.com

Zůstaňme ještě chvíli u mobilních telefonů. Ty, jako koncové prvky telekomunikační infrastruktury, nám mohou posloužit jako příklad pro následující problematiku týkající se IP kamer4. Navíc prakticky každý mobilní telefon dnes obsahuje minimálně jeden fotoaparát (tedy snímací prvek) a datová komunikace je jedním z jeho klíčových parametrů. Je tedy technicky možné, například s instalací certifikátů u některých kamerových systémů, aby se i on stal „plnohodnotnou“ VSS kamerou5.

Mobilní telefon je dnes již typickým a běžným představitelem spotřební elektroniky. Jedná se o produkt denní potřeby, bez kterého si svůj život dovede představit jen málokdo. Varování týkající se jeho bezpečnosti jsme se naučili brát na lehkou váhu. Z pohledu bezpečnosti (ať už na úrovni státní správy anebo v rámci soukromé firmy, kde pracujeme) počítáme s tím, že nad námi někdo stále drží ochrannou ruku. Telefonujeme, sdílíme data a jsme si jisti, že podobná varování jako jsou ta od BIS a NÚKIB se nás netýkají. Riziko za nás přebírá bezpečnostní a rizikový management nebo IT oddělení.

Stejně bezstarostný přístup jsme si bohužel osvojili i coby občané/uživatelé. A možnost, že by náš mobilní telefon, chytré hodinky anebo fitness náramek představovaly ohrožení bezpečnosti, u nás vyvolá maximálně tak úsměv na tváři. Naši bezstarostnost navíc podporuje skutečnost, že výrobcům z rizikových zemí se stejně vyhnout nedá. I v případě, že si koupíte iPhone (Amerika), Samsung (Korea) anebo Nokii (Finsko), tak stejně budou tato zařízení obsahovat součástky vyrobené rizikovými firmami. Takže o co jde.

Deset „tech“ průšvihů roku 2018

„Síty Googlu pronikne více škodlivých aplikací, které jsou pak dostupné v oficiálním obchodě Google Play. Počty nakažených zařízení jsou relativně nízké, v řádech desetin promile, ale v absolutních číslech jde stále o velký problém. Ještě větší problém jsou potom „falešné“ aplikace, které správně neplní svou úlohu. Smutné je, že se to týká například i VPN služeb, které slibují zabezpečenou komunikaci, ale ne vždy používají šifrování a velmi často zobrazují uživatelům nevyžádané reklamy. Běžný uživatel přitom sám nepozná, které VPN službě může věřit, a které ne.“ Konstatuje ve svém článku „Deset tech průšvihů roku 2018“ editor rubriky Tech Otakar Schön. (iHned.cz 30. 12. 2018)

Pokud se nám někdo svěří, že si mobilní telefon nevybral podle počtu objektivů vestavěného fotoaparátu a rozlišení displeje, ale podle toho jak „čistý“ je jeho operační program (např. jeli zařazen v programu Android One = poskytnutí záruky bezpečnostních aktualizací po dobu dvou let pro každého uživatele a záruka aktualizací až na pět let pro firemní zákazníky), budeme se smát ještě víc. A přitom absence takovéto garance je pro běžného uživatele reálně mnohem větším rizikem než cíleně otevřená zadní vrátka od výrobce.

Pokud by k nějakému útoku na náš telefon došlo, tak platí, že možnosti koncového uživatele bránit se jsou velmi omezené. Žádná obrana proti takovémuto typu útoku není prakticky možná. Výpadku služeb zabránit nelze a odposlouchávání nebo manipulaci s komunikací lze například zabránit důsledným používáním End-to-End šifrování a podepisování, to je ale nejspíš všechno.

Až tedy prohlásí bezpečnostní expert (nebo někdo, ke komu máme důvěru), že existuje podezření, že námi používané zařízení spotřební elektroniky není bezpečné, záleží jen na naší míře paranoi, jestli se rozhodneme svůj mobilní telefon zahodit a koupíme si nový – „bezpečnější“.

Bezpečnostní aktualizace, záplaty atd.

Ať už ale jako koncový uživatel používáme libovolné zařízení s rozhraním zajišťujícím datovou komunikaci (pro další odstavce si tu obrazně můžeme představit nejen mobilní telefon, IP kameru, ale také standardní počítač), tak dalším krokem jeho bezpečného provozu je jeho programové vybavení – software/firmware (dále již pouze SW/FW).

Kromě chyb, které se do zařízení dostanou přímo od výrobce v rámci FW jednotlivých komponentů (jako příklad lze uvést procesory Intel, kdy záplaty a další vyvinutá řešení často způsobovaly problémy s chodem dalších jiných komponentů), jsou zcela standardní také chyby v klíčovém SW. U desktopových počítačů stojí za zmínku aktuálně nejrozšířenější operační systém Windows 10 od Microsoft. Například do veřejné aktualizace6 z října 2018 se kvůli nedostatečnému testování dostala chyba, která mohla vyústit ve smazání části uživatelských dat. Poté co výrobce jednu chybu opravil, objevili uživatelé druhou.

Pro dokreslení situace lze doplnit fakt, že říjnová aktualizace přinesla jen minimum viditelných uživatelských změn.

Všechna takováto vylepšení bývají obvykle umocněna „dobrovolným a zcela automatickým“ uživatelským kliknutím na tlačítko [Souhlasím]. Přece si vzájemně věříme – Bill, Steve, Mark, Sundar, Jack, Karel7 – ne? A děj (provoz) se dál obvykle vyvíjí bez našeho vědomí – v minulých letech to platilo např. pro Facebook, Google, ale také Twitter.

Když zůstaneme na chvíli v Čechách, tak stojí za zmínku skutečnost, že v této oblasti si v loňském roce společnost Google navíc vysloužila „zájem“ spotřebitelské organizace dTest8. Podle výzkumu, publikovaném norskou spotřebitelskou organizací Forbrukerrådet, ze kterého dTest vychází, shromažďoval Google data mobilních telefonů prostřednictvím svých služeb „Historie polohy“ a „Aktivita na webu a v aplikacích“, které jsou nedílnou součástí všech Google účtů. Společnost nejenže používala různé triky a praktiky, aby zajistila, že uživatelé budou mít tyto služby zapnuté, ale také spotřebitelům reálně neposkytla ani jinou možnost než tu, že údaje o své poloze poskytnou.

Ke všemu výše uvedenému lze doplnit již uvedené konstatování: „Takovéto drobnosti mohou přinést běžnému uživateli mnohem reálnější riziko napadení jejich zařízení, než cíleně otevřená zadní vrátka od výrobce.“

Pokud bychom konstatovali, že výše popsaná problematika se týká starších generací, tedy uživatelů narozených v minulém století – řekněme Husákovy děti a starší. A že nová generace dospělých uživatelů je na tom s přístupem k (elektro)technice již lépe, tak bychom se velice mýlili.

Nejznámější název pro skupinu lidí narozených od poloviny 90. let 20. století do současnosti je „Generace Z“ a píše se o ní jako o generaci, která vyrostla na síti World Wide Web9. A ačkoli jsou těmi nejpřirozenějšími představiteli éry globalizace, tak coby uživatelé zařízení s rozhraním datové komunikace, bezpečnost (primárně myšleno kybernetickou) neřeší.

QRecorder – aplikace pro nahrávání hovorů

Aplikace slibovala nahrávání telefonických hovorů, ale kromě toho obsahovala tzv. malware, který zaznamenával přihlašovací údaje k bankovním aplikacím.

Podle odborníků na bezpečnost byla původně aplikace v pořádku a neprováděla nic špatného. Až po aktualizaci dostala funkci trojského koně, tedy programu, který instaluje do systému ještě něco navíc bez vědomí uživatele.

QRecorder do systému stahuje malware Android/Spy.Banker.AIX, který útočníci ovládají ze vzdáleného serveru. Ten zkontroluje, zda jsou v telefonu nějaké „zpeněžitelné“ aplikace – typicky mobilní bankovnictví. Pak vytvoří „neviditelnou překryvnou vrstvu obrazovky“, která snímá zadávané údaje, včetně přihlášení do bankovního účtu. Je schopna dojít tak daleko, že ohlídá i textové zprávy, přes které se autorizují platby.

Útočník tedy může získat nejen uživatelské jméno a heslo k bankovnímu účtu, ale později i autorizační SMS. Může tak převést peníze na jiný účet včetně korektní autorizace. Z pohledu banky je navíc taková transakce naprosto korektní.

Z nabídky obchodu Google Play už byla odstraněna, ale není vyloučeno, že se její autoři pokusí podobným způsobem zaútočit znovu. Konstatuje Karel Kilián, redaktor portálu MobilMánia.cz, ve svém článku „Aplikace pro nahrávání hovorů krade hesla k bankovnictví. Cílí i na české uživatele“ (MobilMánia.cz 25. 9. 2018)

Doložit to můžeme výsledky výzkumu společností Seznam.cz a ESET, který se v září 2018 zaměřil na chování českých středoškolských a vysokoškolských studentů na internetu. Z výsledků vyplývá, že vlastní smartphone nebo chytrý telefon má podle průzkumu 96 % studentů. S tímto velkým zastoupením „chytrých“ zařízení ostře kontrastuje postoj studentů k ochraně těchto zařízení. Bezpečnostní aplikaci používá pouze 39 % respondentů. Ve srovnání s průzkumy z posledních dvou let zde nedošlo k žádné změně (+/− 1 %)10.

Přitom chytrá mobilní zařízení jsou dnes nejen běžnou součástí výuky, ale také platebních transakcí. V této souvislosti je dle odborníků alarmující zprávou způsob připojení se k internetu. U již zmiňovaných českých studentů je to pomocí otevřených Wi-Fi sítí. To samo o sobě není přímou bezpečnostní hrozbu – pokud využívají například tzv. virtuálních privátních sítí (VPN). Jak z předchozích odstavců víme (viz rámeček Deset „tech“ průšvihů roku 2018), tak ani u aplikací VPN služeb dostupných v oficiálním obchodě Google Play nepozná běžný uživatel, které věřit může a které ne.

Trend bezstarostného přístupu k technologiím je (bez ohledu na věk a vzdělání) stejný. Nízký podíl kvalitně zabezpečených tzv. mobilních zařízení (mobilních telefonů, osobních počítačů, IP kamer atd.) mezi českými uživateli je dlouhodobý problém. Stoupá nejen neochota platit za bezpečnostní aplikace, ale také je používat. A to i přes to, že v nabídkách renomovaných výrobců jsou spolehlivé aplikace zdarma. Bezpečnost prostě obtěžuje. A to bez ohledu na skutečnost, že na mobilní zařízení se přesouvá stále více aktivit spojených s využíváním internetu. Příkladem nenápadné aplikace u mobilních telefonů může být loni objevená aplikace QRecorder, která cílila už i přímo na české uživatele. A přitom nešlo o nic menšího, než o převzetí komunikace s bankou při provádění plateb. A popravdě, kdo z nás kdo u takovýchto operací na autorizační SMS zprávy používá druhý telefon – nejlépe takový, který kromě volání a posílání zpráv SMS nic jiného „neumí“?

Bezpečnost „v nás“

Když už jsme zmínili první tzv. uživatelský zákrok (stisknutí tlačítka „Souhlasím“) a tedy převzetí zodpovědnosti za rizika na sebe jakožto na koncového uživatele, tak je vhodné uvědomit si, že oblast kybernetické bezpečnosti je velmi složitá a rizik spojených s používáním spotřební elektroniky (tedy nejen telefonů) je nespočet.

Skutečnost, že žijeme v relativním blahobytu – služby (ačkoli na ně dnes a denně nadáváme) fungují, a je lidsky přirozené mít pocit, že není čeho se obávat. Jenže rizika, která nás obklopují, jsou (když už nic jiného, tak) plíživá.

Takzvaný „expert“ (pokud zvládneme dodržovat alespoň základní bezpečnostní pravidla) se k našim nezabezpečeným údajům pravděpodobně nedostane. Uklidnit by nás mohla skutečnost, že útoky se nejčastěji vedou hromadně a počítá se s tím, že se nachytá třeba jen velmi malá část obětí. Proto dodržování už jen základních bezpečnostních pravidel způsobí, že když útočník v prvním pokusu neuspěje, tak že se zaměří na snazší kořist.

Většina útoků totiž využívá principy tzv. sociálního inženýrství – nemíří totiž na slabiny chytrého telefonu, ale přímo na jeho majitele. U mobilních telefonů stále platí, že pokud HW, SW a FW čerpáme z „ověřeného“ zdroje a pokud pravidelně aktualizujeme, tak bychom mohli být v klidu.

Je-li tomu jinak, měl by zazvonit náš vnitřní „alarm“ a měli bychom konat. Pokud tedy už není pozdě.

Rozebrat do větších detailů firmware jednoho telefonu zvládne „kdekdo“ a pokud se vám takto do vašeho zařízení „dostal“ opravdový expert, se nejspíš nikdy nedozvíte. Nejen v aktuální kauze Huawei a spol., ale ani v těch předešlých nebyly nikdy zveřejněny žádné nenapadnutelné důkazy. Platí-li, že ve věcech kolem bezpečnosti státu se pravdu běžný smrtelník nedozví nikdy, tak jak a kde by si mohl ověřit, jestli se mu včera někdo díval do složek jeho domácího zařízení?

IP kamery

Ilustrační foto © Fotolia.com
Ilustrační foto © Fotolia.com

Tolik k mobilním telefonům, ale co naše domácí „bezpečnostní“ kamery – jak jste obezřetní zde? Snižujete možnost „hacku“ svých IP kamer? Jak jste na tom se zabezpečením své internetové sítě? Co víte o nastavení svého záznamového zařízení a kdy naposledy jste řešili úroveň jeho přístupového hesla? A nejlepší nakonec – aktualizujete firmware prvků svého kamerového systému svépomocí, nebo s odborníkem?

Než si na tyto otázky odpovíte, tak se po internetu podívejte, jestli vaše kamera nerozšířila počet tzv. „hacknutých“ IP kamer. Pamatujete si ještě na tři roky starou mediální kauzu, kdy Úřad pro ochranu osobních údajů analyzoval, jestli živé video z více než tří stovek kamer nezasahuje neoprávněně do soukromí majitelů kamer, ale i osob, které na záběrech figurují?

Zmíněné internetové stránky z roku 2016, které v důsledku špatného nastavení umožňují nahlížet nejen na veřejné prostory, ale také do bytů, na zahrady domů či obchodů soukromých osob, jsou stále v provozu. Jen místo původních 339 kamer z českých IP adres je jich tam v lednu 2019 přibližně 450.

Zdroje a literatura

1 ... „Potenciální nebezpečí pro ČR může představovat rostoucí podíl čínských společností Huawei a ZTE na českém telekomunikačním trhu. Obě společnosti jsou ve světě dlouhodobě podezřívány ze spolupráce s čínskými zpravodajskými službami a podílu na výzvědných aktivitách. V některých zemích byla společnost Huawei v minulosti vyloučena z účasti na vládních zakázkách či budování sítí pro přenos citlivých informací, neboť bezpečnostní rizika převažují ekonomické úspory, které tyto společnosti nabízí. Odborníci rovněž poukazují na to, že obě společnosti ignorují hlášení o chybách ve svých produktech a nepracují na jejich odstraňování. Rovněž upozorňují na možnost, že by v čínském hardware mohly existovat úmyslně vložené chyby (tzv. zadní vrátka), které umožní vzdálenou neautorizovanou manipulaci se zařízením. Zadní vrátka mohou v případě potřeby posloužit k vyřazení komunikační infrastruktury protivníka nebo získání citlivých informací.“
Zdroj: https://www.bis.cz/vyrocni-zpravy/vyrocni-zprava-bezpecnostni-informacni-sluzby-za-rok-2013-6e09661b.html ... Zpět

2 ... „V rámci monitoringu zařízení a technologií, které by mohly představovat případná bezpečnostní rizika, zkoumala BIS v minulém roce mj. IP kamery (také síťové kamery, web kamery, webcam). Na základě získaných informací i na základě vlastního šetření BIS potvrdila, že firmware zkoumané IP kamery obsahuje nedokumentovaný administrátorský účet, tedy tzv. backdoor. Kamera se po standardním zapojení snaží komunikovat s nastavenou konkrétní doménou, která je pravděpodobně součástí většího cloudu. Zařízení obsahující výše zmíněný backdoor mohou případní útočníci najít pomocí řetězce zadaného do internetového prohlížeče.
Ačkoliv není riziko vzdáleného přístupu k většímu množství bezpečnostních kamer příliš vysoké, neboť musí být splněno hned několik podmínek k tomu, aby mohla být výše uvedená zranitelnost zneužita, nelze zcela podcenit skutečnost, že data z dosažitelných kamer mohou být systematicky získávána a vytěžována. Jedná se o modelový příklad plošného šíření zranitelných hardwarových zařízení, která mohou být zneužívána k různým účelům, např. i k pronikání do počítačových struktur státu, státních úřadů a významných ekonomických subjektů.“

Zdroj: https://www.bis.cz/vyrocni-zpravy/vyrocni-zprava-bezpecnostni-informacni-sluzby-za-rok-2014-b72f2516.html ... Zpět

3 ... Veřejný subjekt – Subjekt, který je založen nebo zřízen za zvláštním účelem uspokojování potřeb obecného zájmu, který nemá průmyslovou nebo obchodní povahu, má právní subjektivitu, a zároveň je financován převážně (tj. z více než 50 %) státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty, nebo je těmito orgány řízen, nebo je v jeho správním, řídicím nebo dozorčím orgánu více než polovina členů jmenovaná státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty. Jde zejména o Českou republiku, státní příspěvkovou organizaci, územní samosprávný celek nebo příspěvkovou organizaci, u níž funkci zřizovatele vykonává územní samosprávný celek, nebo jinou právnickou osobu, pokud byla založena či zřízena za účelem uspokojování potřeb veřejného zájmu, které nemají průmyslovou nebo obchodní povahu, a je financována převážně některým z výše uvedených subjektů nebo těmito subjekty ovládána nebo tento subjekt jmenuje či volí více než polovinu členů v jejím statutárním, správním, dozorčím či kontrolním orgánu.
Zdroj: http://projektovakancelar.mkcr.cz/Slovn%C3%ADk/verejny-subjekt/ ... Zpět

4 ... IP kamera (IP camera) – zařízení snímající a přenášející živé video přes IP sítě, které umožňují vzdálené sledování, záznam a správu (3.1.25 – ČSN EN 62676-2-1)
Zdroj: www.unmz.cz/urad/unmz ... Zpět

5 ... VSS kamera (VSS camera) – celek obsahující snímací prvek, vytvářející z optického obrazu videosignál (3.1.4 – ČSN EN 62676-4)
Zdroj: www.unmz.cz/urad/unmz ... Zpět

6 ... Deset „tech“ průšvihů roku 2018. Zdroj: https://tech.ihned.cz ... Zpět

7 ... Bill Gates – Microsoft, Steve Jobs – Apple, Mark Zuckenberg – Facebook, Sundar Pichai – Google, Jack Dorsey – Twitter, a další ... Zpět

8 ... dTest – „Podáváme stížnost na Google kvůli porušení GDPR“. Zdroj: https://www.dtest.cz/clanek-7039/podavame-stiznost-na-google-kvuli-poruseni-gdpr ... Zpět

9 ... Generace Z – také známá jako generace M (multitasking), internetová generace, děti nového tisíciletí, je společný název pro skupinu lidí narozených od poloviny 90. let 20. století do současnosti. Zdroj: Wikipedie ... Zpět

10 ... Výzkum společností Seznam.cz a ESET – Antivir v mobilu používá méně než polovina studentů v Česku, smartphone přitom má 96 % z nich. Zdroj: www.eset.com/cz/ ... Zpět

 
Komentář recenzenta RNDr. Jiří Kopačka

S názory prezentovanými v článku souhlasím. Dovolím si k tomu připojit svůj pohled na věc.

Technologie, podporující telekomunikace a mobilní komunikace, představují různá rizika pro různé „zájmové skupiny“. Předpokládám, že stát a strategické firmy se budou varováním nadále zabývat a o tom běžný občan stejně nebude mít dostatečné a přesné informace, protože tyto jsou a budou v různém stupni utajení.

Stručná analýza rizik z pohledu občana:
  • kvůli hrozbě záznamu hovorů a přenášených informací pomocí komponent telekomunikační infrastruktury (infrastruktura telekomunikačních operátorů) je možné získat informace z mé telefonní a e-mailové komunikace – toto riziko neumím ošetřit žádným opatřením (prostě nesmím mluvit o věcech a posílat informace, které by mohl někdo zneužít),
  • kvůli hrozbě lokalizovat uživatele s využitím prostředků telekomunikačních komponent je možné sledovat detailně pohyb „zájmových osob“ za účelem získání „zpravodajsky užitečných informací“ – toto riziko neumím ošetřit účinným opatřením (prostě nesmím být „zájmovou osobou“ a nesmím se pohybovat v rizikových oblastech v jakémkoli smyslu tohoto slova,
  • kvůli hrozbě deaktivace mobilních telekomunikačních služeb pomocí komponent telekomunikační infrastruktury je možné cíleně snížit dostupnost konkrétní osoby, resp. v danou chvíli potřebných informací – toto riziko neumím ošetřit účinným opatřením – ve světě, kdy jsou všichni on-line, to nelze reálně „ošetřit“,
  • kvůli přístupu k informacím pomocí komponent telekomunikační infrastruktury může dojít k ohrožení jejich bezpečnosti – toto riziko neumím ošetřit účinným opatřením – nesmím mít v telefonu jakékoli citlivé informace, protože nepomůže ani jejich šifrování,
  • kvůli hrozbě pořízení neautorizovaného video nebo audio záznamu pomocí koncového zařízení (mobilního telefonu) je možné odposlouchávat „zájmovou osobu“ a natáčet videozáznamy s cílem „zpravodajsky je využít“ – toto riziko lze eliminovat jedině výměnou rizikových koncových zařízení za jiné, důvěryhodnější,
  • kvůli hrozbě lokalizovat uživatele pomocí koncového zařízení (mobilního telefonu) je možné sledovat detailně pohyb „zájmových osob“ za účelem získání „zpravodajsky užitečných informací“ – toto riziko lze eliminovat výměnou rizikových koncových zařízení za jiné, důvěryhodnější,
  • kvůli hrozbě podvržení identity pomocí koncového zařízení (mobilního telefonu) je možné provádět neautorizovaně aktivity, které mohou dotyčné osobě způsobit škodu – toto riziko lze eliminovat výměnou rizikových koncových zařízení za jiné, důvěryhodnější.

Takže z pohledu běžného uživatele se podle mého názoru nic zásadního nemění. Je potřeba si zmapovat rizika, která plynou z toho, že „posílám informace (mluvené slovo, elektronický dokument) do prostředí, nad kterým nemám kontrolu. A jako zvýšené riziko hodnotit prostředí, které má nebo může mít pod kontrolou někdo jiný.

English Synopsis
A citizen and cybernetic safety – part I.: communication

Can smartphones pose a threat to their users? And how about security camera system? Is it safer to trust hardware from bigger companies? These are the topics of this article.

 
 
Reklama