facebooktwittergoogleinstagram

Věda a výzkum

Portál Vědavýzkum.cz - Nezávislé informace o vědě a výzkumu

IOCB Tech, s.r.o. - hlavní partner portálu Vědavýzkum.cz

Hlavní partner portálu
newsletter
facebooktwittergoogleinstagram

Ross Anderson: Kyberbezpečnost na trase Brno–Cambridge

12. 6. 2022
Tisk Email
Ross Anderson: Kyberbezpečnost na trase Brno–Cambridge

Ross J. Anderson se zabývá bezpečnostním inženýrstvím, bezpečnostní ekonomií, kryptografií a technologickou politikou. Působí v počítačových laboratořích na Univerzitě v Cambridge a univerzitě Edinburgh a je členem Churchillovy koleje. Na konci dubna na Masarykově univerzitě obdržel čestný doktorát.

20220610MUNIcestnydoktorat

Ross J. Anderson při slavnostním udělování čestné akademické hodnosti.

Čestný doktorát není jen oceněním jeho profesionality a vědeckých výsledků, ale také uznáním za rozvoj spolupráce s Masarykovou univerzitou, především s fakultou informatiky.

Ocenění a vyznamenání jste během své kariéry obdržel celou řadu. V čem je pro vás speciální čestný doktorát Masarykovy univerzity?

Šlo o naprosto neočekávanou událost, když jsem se o něm dozvěděl. Což se stalo už před třemi lety, krátce před tím, než Česko a posléze i Velkou Británii uzavřela pandemie, takže si jej budu pamatovat i kvůli tomu čekání.

S fakultou informatiky spolupracujete od roku 1996. Jak se vaše vzájemné propojení celé ty roky vyvíjelo?

Tehdy jsem se poprvé setkal s Vaškem (Matyášem, vedoucím centra CRoCS FI MU), který s námi strávil rok prací na projektu zabezpečení dokumentů v HTML. Bezpečnostní protokoly jsou ostatně pojítkem naší spolupráce celou tu dobu. Vedoucí mé diplomové práce, profesor Roger Needham, v Cambridgi v roce 1992 začal na toto téma pořádat workshopy, kterých se od poloviny devadesátých let účastnili i lidé z Masarykovy univerzity. Třikrát se konaly i v zahraničí, z toho dvakrát v Brně.

Jaký největší úspěch tato spolupráce přinesla?

Z poslední doby jde určitě o projekty související s platebními protokoly a jejich testováním. Když totiž vyvíjíte platební protokol, musíte otestovat, zda na všech zařízeních funguje správně a zda není napadnutelný. Při tom jsme přišli na tzv. útok „no-PIN“ neboli na to, jak zneužít platební kartu tím, že přesvědčíte platební terminál akceptovat PIN, který zadáte, a kartu zase o tom, že k autorizaci transakce byl použit podpis. Dnes se k takovým útokům používají takzvané překryvné SIM karty, tenké jen několik mikronů s kontakty na obou lze s pomocí Java Card přeprogramovat a použít klidně uvnitř platebního terminálu. Podvodníci tak rádi obírají například turisty, kteří se pak diví, že mají vybílené účty.

Na začátku celé této ságy byl jeden rumunský Ph. D. student, který vytvořil prototyp zařízení, na němž demonstroval programování těchto útoků. Pak do toho vstoupil pro změnu český výzkumník Dan Cvrček, kterého nám představil Václav, a který z prototypu udělal opravdový produkt čili skutečný integrovaný obvod. Domluvil se u nás v Cambridgi s firmou na výrobě a prodal jich asi dva tisíce kusů, zejména bankovním bezpečnostním technikům. Tohle je tedy jeden z nezpochybnitelných úspěchů, který naše spolupráce přinesla, když ve finále vyústila ve zrod nejen nového produktu, ale i firmy.

Jak obecně hodnotíte práci a projekty, které se na fakultě informatiky a v Brně v oblasti informatiky a technologií dějí?

Reputace Brna v oblasti zabezpečení a kryptografie je všeobecně známá. Těch konkrétních projektů, které na ose Cambridge–Brno probíhají, je víc, takže já o některých vůbec nevím. Napadá mě ale třeba firma vyvíjející zařízení pro odposlechy různých druhů komunikace, ve které spolupracovali lidé z Cambridge i MU.

Váš záznam na Wikipedii uvádí, že jste se vždy zasazoval o to, aby kyberbezpečnost byla studována v širším společenském kontextu. Sledujete, že v tomto směru dochází v posledních letech k progresu?

Řada lidí z oboru na něj stále nazírá pouze technickýma očima, což je ale stále méně a méně relevantní. Dnes už máme k dispozici poměrně dobré mechanismy pro řízení přístupu i kryptografické mechanismy, musíme se však vypořádat s tím, že pro běžné programátory jsou často těžko uchopitelné, a za druhé, všechna možná rizika je třeba chápat v náležitém kontextu. Už to nejsou jen kyberzločinci, kdo používá manipulativní techniky, aby nás přiměl na něco kliknout nebo se něčemu upsat.

Dnes už to dělají i legitimní firmy. Stačí se podívat, jak Evropská komise bojuje s Googlem, Facebookem, Amazonem a dalšími kvůli jejich klamavým obchodním praktikám. Od obtěžování běžných uživatelů formou cookies až po jejich kořistnické jednání. Člověk si musí uvědomit, co je pro něj větší riziko. Zda nějací ruští kluci, kteří doma s kouskem pizzy v ruce vymýšlejí, jak vám nabourat počítač, aby se dostali k bitcoinům, anebo predátorské společnosti, které používají obdobné psychologické triky, aby mohly zneužívat data svých uživatelů a zákazníků.

Technologie jde vpřed mílovými kroky. Stíháme na její vývoj reagovat dostatečně rychle?

Ta nejaktuálnější témata našeho výzkumu se mění, mnohé jiné věci však zůstávají. Někdy v letech 2010 a 2011 jsme dělali průzkum na téma ceny kyberkriminality, kdy jsme zjišťovali, kolik peněz padlo na nejrůznější typy internetových podvodů. Totéž šetření jsme zopakovali v letech 2017 a 2018 a zjistili jsme, že ta částka se liší jen velmi málo. Je fascinující, že za těch sedm let se sice naprosto změnil způsob, jak používáme technologie, ale vzorce a obecná typologie kyberzločinců zůstala víceméně stabilní.

Z toho vyplývá, že to, co určuje míru těchto podvodů, není technologie jako taková, ale společensko-právní rámec, který se jí týká. Ve většině zemí policii například nezajímají drobné podvody dělané cizinci. Takže pokud se někdo pustí do kyberzločinu, může tak činit v podstatě beztrestně, pokud nebude okrádat lidi ve vlastní zemi.

Mluvil jste o kyberzločinu, o manipulaci, o zneužívání dat a o tom, jak se svět a technologie rychle vyvíjí. Čistě lidsky, neděsí vás to všechno někdy?

Témata kyberkriminality mě neděsí. Pomyslím-li na svá vnoučata, mnohem víc mě znepokojují věci jako zhoršování životního prostředí, globální oteplování, vyčerpávání oceánů rybolovem nebo ztráta biodiverzity. Aktuálně samozřejmě i riziko velké války, která se může rozhořet v celé Evropě, byť mě uklidňuje, že jestliže Rusové nejsou schopni dobýt Ukrajinu, tak by určitě nebyli schopni dobýt Polsko, jehož nebe navíc hlídají americké stíhačky.

Ve střednědobém horizontu mě pak dost zneklidňuje vyhlídka na technologickou konkurenceschopnost Číny, uvážíme-li, co všechno se v ní vyrábí. Takže pokud k podobnému boji, jaký teď vedeme s Ruskem kvůli Ukrajině, někdy dojde s Čínou kvůli Tchaj-wanu, může jít o dalekosáhlejší problém. Neméně mě pak znepokojuje nárůst monopolů, kterých je především v techno-logických odvětvích spousta. Sice chápeme proč – kvůli kompatibilitě, konektivitě a tak dále –, ale pomalu si začínáme všímat, že těch odvětví, která začínají být monopolizována, přibývá. Tím se vytrácí konkurenceschopnost, což je něco, co utlumuje inovaci, a vidíme, že v důsledku vede i k polarizaci společnosti. Jedná se o zásadní problém související s velkými technologickými firmami, který musíme v nadcházejících dejme tomu dvaceti letech nějak vyřešit.

 

Autor: Václav Tesař

Foto: Martin Indruch

Zdroj: Masarykova univerzita

Zpět do rubriky Rozhovory a profily
Zpět do rubriky Rozhovory a profily
Vědavýzkum.cz

Související články