Operace Facebook
Skupina hackerů Anonymous chtěla zaútočit na sociální sítě – a to zcela překvapujícími metodami.
DOMINIK HOFERER
Pátý listopad 2011 se do dějin zapíše jako den, kdy zemřel Facebook," sebevědomě prohlašovala hackerská skupina Anonymous. Zpráva se šířila všemi médii a nebyla brána na lehkou váhu. Tato skupina hackerů už totiž dokázala potrápit i finanční instituce jako MasterCard, Visa nebo PayPal. Nicméně nakonec k žádnému útoku nedošlo. Skupina, skrývající se za maskou britského rebela Guye Fawkese, pouze vyzvala své příznivce, aby v tento den vyšli v maskách, které jsou pro ně typické.
A dokonce se od informací o útoku na Facebook distancovala. Je to jen příprava na větší útok? Mají vůbec členové skupiny dostatečně výkonné prostředky na to, aby srazili největší sociální síť světa na kolena?
Útok na sociální síť totiž nijak nezapadá do konceptu útoků této skupiny. Jednu dobu byl dokonce jejím oficiálním mluvčím herec Tom Cruise a skupina prováděla činy, které lze vnímat i pozitivně – třeba se jí podařilo rozprášit sítě s pedofilním obsahem. Ostatní útoky, například proti zmíněným finančním institucím nebo webu firmy Sony, či zveřejnění platů šéfů amerických bank už za "chvályhodné" považovat nelze. Mnoho příznivců skupina získala, když zaútočila na instituce, které chtěly odstřihnout servery WikiLeaks. Tom Cruise se po těchto útocích vzdal role mluvčího.
Skupina ale nebojuje jen na internetu. Pořádá množství protestů, které probíhají i ve skutečném světě. Skupina se podílela na organizaci demonstrací během íránských prezidentských voleb. Při demonstracích nebo protestech mají členové skupiny masku, která je symbolem celé sekty. Pokud neznáte příběh rebela Guye Fawkese, doporučujeme zhlédnout film "V jako Vendeta". Ten je zasazen do totalitní Británie. Maskovaný muž jménem V zachrání mladé dívce život a podněcuje spoluobčany, aby povstali proti totalitě, tyranii a útlaku. A právě skupina Anonymous má stejný cíl jako tajemný V alias Guy Fawkes. Bojuje proti všemu, co z jejího pohledu narušuje svobodu.
"Anonymita musí z internetu zmizet. "
Randi Zuckerberg, bývalá ředitelka marketingu Facebooku,
sestra Marka Zuckerberga
V roce 2010 se skupina proslavila právě díky WikiLeaks. Poté, co tento server uveřejnil tajné dokumenty, chtěla americká vláda servery zavřít. Právě díky skupině Anonymous se to nezdařilo. Finanční služby MasterCard, VISA a PayPal totiž zablokovaly posílání peněz na provoz serveru WikiLeaks. To se hackerům vůbec nelíbilo, a proto všechny tři služby vyřadili z provozu. Podle skupiny neexistoval žádný právní ani morální důvod, proč by neměly příspěvky na provoz serveru přicházet. Celá skupina stála za útokem jednomyslně. V případě operace Facebook je ale situace jiná.
Facebook je neobvyklý cíl
Útok na Facebook byl oznámen v srpnu tohoto roku. Na videozáznamu říká počítačově zkreslený hlas: "Facebook prodává informace státním institucím a poskytuje jim přístup k neveřejným informacím." Trnem v oku je, že kdo má peníze, ten si může koupit soukromé informace, což je proti veškerým principům svobody. Dále se skupině nelíbí, že jednou nahrané obrázky navždy zůstávají uloženy na serverových farmách Facebooku. Když je ze svého profilu nebo alba smažete, tak se pouze zruší odkaz k nim, ale dále zde údajně zůstávají uložené. Skupina chce přitom bojovat proti kybernetické špionáži a zneužívání dat.
Na oficiálním twitteru skupiny, @anonops, se objevila informace, že útok na Facebook je organizován několika členy skupiny, ale neznamená to, že je to operace celé skupiny Anonymous. Facebook totiž není jen porušování soukromí a prodej informací. Je to také nástroj svobody. Ukázalo se to třeba při jarní arabské krizi, kdy Egypťané dávali na Facebook necenzurované informace, videa a fotografie mnohem rychleji než konvenční média.
Útok na sdělovací prostředky nebo média obecně je pro skupinu tabu. Jenže skupina nemá žádnou hierarchii. Anonymous má tedy různé frakce, jejichž ideály jsou jiné než koncept jádra skupiny.
Náročné hacknutí
Srazit Facebook na kolena není vůbec jednoduché. Pro vyřazení serverů z provozu by byl potřeba obrovský arzenál. Serverové farmy Facebooku si denně bez problémů poradí s návalem 500 000 000 návštěvníků. Všechny předchozí útoky vedle toho vypadají jako školní pokusy.
Při útoku proti serverům MasterCard stačilo 2 000 uživatelů, kteří zrovna byli na IRC chatu. Jen ti, kteří byli přihlášeni, se mohli podílet na útoku. Pokud by stejný počet uživatelů zaútočil na Facebook, nejspíš by to výkonné servery ani nepoznaly. Servery navíc mají mnohem větší výkon než ty bankovní, protože zpracovávají hudbu, fotografie, náhledy webových odkazů, to vše musí zvládat v reálném čase, což je výkonově velmi náročné.
Na Facebook navíc denně zkouší útočit tisíce hackerů. Anonymous by tak nebyli ani první, ani poslední. Srazit Facebook na kolena se snaží hackeři snad od prvního dne, co byl spuštěn. Mark Zuckerberg se však projevil jako dobrý stratég a hackery štědře odměňuje za nalezené zranitelnosti své sítě.
"Neplánujeme DoS útok proti Facebooku."
Anonymous
Již po třech týdnech "odměňování hackerů" vyplatil Facebook útočníkům 40 000 dolarů. Každý hacker, který najde chybu, dostane minimálně 500 dolarů. Facebook počítá s útoky již od začátku vývoje nových funkcí. Ještě než je nová funkce spuštěna, běží v tzv. skrytém režimu. Uživatel ji ještě nevidí, ale browser ji má již spouštěnou. Pokud je chyba v programování, na problém se rychle přijde. Sami vývojáři pak zkouší na prohlížeče útočit a snažit se "nabourat" novou funkci. Nezřídka se jim to povede. V tom případě Facebook přechází do nouzového režimu a uživatel má všechny funkce kromě základního Facebooku vypnuté. Potom nefunguje chat, aktualizace nejsou "push", tedy v reálném čase, nedostupná jsou alba fotografií. Díky tomuto způsobu ochrany je Facebook jen velmi obtížně napadnutelný.
I takový kolos, jako je Facebook, lze samozřejmě shodit. Je k tomu potřeba obrovský výpočetní výkon, který je dostupný díky cloudovým serverům, ale také díky výkonným grafickým kartám v počítačích běžných uživatelů. Jenže navíc je třeba znát slabá místa struktury Facebooku. Použít hrubou sílu na místo, které není zranitelné, nemá smysl. Maximálně by došlo na pár minut k výpadku, ale nic jiného. Toho by si většina uživatelů ani nevšimla. Ale útokem na známé zranitelné místo by mohlo dojít ke kaskádovitému selhání celé infrastruktury. Jedná se tedy o závod, kdo dříve objeví zranitelné místo.
Nemusíme ale Anonymous podceňovat, oni své práci rozumí. Jeden z hackerů skupiny prohlašoval, že DoS útok nemají v plánu. Útok musí být nečekaný a musí směřovat tam, kde ho nikdo nečeká, na zranitelné místo, o kterém sami programátoři Facebooku nevědí.
Jak je u skupiny zvykem, její členové nebojují s Facebookem jen na internetu, ale vedou i "partyzánský" odboj. Snaží se rozšiřovat uvědomění uživatelů o Facebooku a upozorňují na rizika spojená s jeho používáním, ukazují, jak správně nastavit zabezpečení a soukromí. Vytváří také množství falešných účtů, čímž dělají Facebook méně atraktivním pro hledače osobních údajů. I mimo svět internetu se činí. Najdete tak plakáty i trička, která brojí proti Facebooku.
Členové skupiny Anonymous nechtějí poškodit uživatele Facebooku, ale napadnout uživatelský účet není pro hackera složité. Stačí, aby byl uživatel se svým notebookem připojen do nezabezpečené Wi-Fi sítě. Pomocí plug-inu Firesheep pak může hacker ukrást uživatelovu identitu. I když jen dočasně – nezíská heslo k Facebooku, ale pomocí cookies bude moci být nějakou dobu přihlášen jako tento uživatel. Může jej přidávat do skupin, posílat zprávy, psát na zeď, zkrátka pracovat stejně jako majitel účtu.
Bojovat proti Facebooku však neznamená bojovat proti sociálním sítím. Skupina Anonymous ukazuje, že existují alternativní sociální sítě, které jsou mnohem důslednější v ochraně soukromí. Třeba open-source síť Diaspora, kterou vyvinuli studenti v New Yorku. A samotní členové skupiny Anonymous pracují na síti AnonPlus, která klade důraz na ochranu osobních údajů. Je tedy docela možné, že operace Facebook má být reklamní kampaní právě na AnonPlus.
AUTOR@CHIP.CZ
JAK MOHOU ANONYMOUS NAPADNOUT FACEBOOK
STRATEGIE: Útočníci použijí jednoduchý DoS útok, třeba pomocí nástroje LOIC nebo novým #RefRef. Neustále se bude volat nějaká stránka, což zahltí server a ten nebude určitou dobu odpovídat.
SERVER: Hackeři vytvoří na server spojení a neustále jej budou zahlcovat obrovským množstvím požadavků. Až nebude výkon serveru stačit, tak ho to položí.
INFRASTRUKTURA: Pokud zná hacker infrastrukturu sítě, může provést cílený útok na konkrétní komponentu. Třeba Ping of Death. Hardware to položí.
WEBOVÁ STRÁNKA: Přes slabé místo ve zdrojovém kódu může útočník spustit skript, který změní nebo smaže miliony uživatelských profilů.
AnonPlus: Síť s ochranou soukromí
Programátoři skupiny Anonymous pracují na alternativě k Facebooku. Tím je síť AnonPlus, která klade důraz na ochranu soukromí uživatelů.
Více ochrany pro uživatele
Projekt běží od srpna, takže je zatím v plenkách. Na webové stránce http://anonplus.bombshellz.net si programátoři vyměňují informace k této síti a radí se. Jedno je jisté – síť by neměla být jako Facebook nebo Google+, kde se uživatelé přihlašují pod svým skutečným jménem. Místo toho stačí pseudonymy nebo nicky, tak jak je to na internetu běžné. Neměla by zde existovat cenzura, nikdo by se neměl bát zde vyjádřit to, co si opravdu myslí. AnonPlus je reakcí i na to, že Anonymous byli vykopnuti ze sítě Google+.
Prozatím však není známo, kdy bude AnonPlus spuštěn do ostrého provozu.