Názory

Proč jsou drony bezpečnostní hrozbou?

Kevin Townsend, 14. prosinec 2019

Drony jsou stejně náchylné na hrozby jako internet věcí, mohou tedy být hacknuty a zneužity k nekalým účelům

Drony neboli bezpilotní letadla jsou novou amatérskou hračkou, prodejním zbožím i víceúčelovým vojenským zařízením.

Ty nejmenší mají jen pár desítek centimetrů a unesou kameru či minipočítač Raspberry Pi, ty největší mají rozpětí křídel 20 metrů a unesou 200kilogramové laserem naváděné bomby či rakety Hellfire.

Ve většině případů jde v podstatě o IoT zařízení, které se může svobodně pohybovat, dokáže bezdrátově komunikovat a vejde se do létajícího stroje, jenž je menší než sekačka na trávu. Jako bezdrátové IoT zařízení je dron ohrožován stejnými hrozbami jako internet věcí, mohou být hacknuty a zneužity k nekalým účelům.

Drony: amatérské, komerční a vojenské

První amatérské drony byly víceméně jen hračkou pro bohaté lidi nebo nadšence. Postupem času se ale začala rozšiřovat jejich nabídka, objevily se drony s lepší ovladatelností a integrovanými kamerami a jejich cena klesla. Trh s drony v současné době vzkvétá. Evropská komise odhaduje, že do roku 2035 bude evropské odvětví dronů přímo zaměstnávat více než 100 000 lidí, a bude mít ekonomický dopad přesahující 10 miliard eur ročně, především ve službách.

Trh s komerčními drony, přestože je menší než trh s amatérskými drony, roste nejrychleji, čehož řada firem využívá k experimentování. Mezi nejznámější experimenty patří používání dronů firmami Amazon a Domino‘s Pizza k doručování zásilek. Takové použití už sice není možné, protože mnozí lidé považují drony za nebezpečné a hlučné, ale v příštích pár letech se to může změnit. Americké Ministerstvo dopravy letos navrhlo, že by se přelety dronů nad obydlenými oblastmi a lety v noci mohly obejít bez zvláštních povolení, což by do budoucna mohlo pomoci firmám, které chtějí drony používat k doručování. V Evropské unii máme od března 2019 nové Nařízení o společných pravidlech v oblasti civilního letectví, které stanovuje základní zásady pro zajištění bezpečnosti, ochrany před protiprávními činy a ochrany soukromí a osobních údajů.

Vojenských dronů je ještě méně, ale trh s nimi také roste. Umožňují útočníkovi zasáhnout prakticky jakýkoli cíl na jakémkoli místě, aniž by byla nějak ohrožena posádka. Navíc si nacházejí čím dál širší uplatnění. Podle Steva Durbina, výkonného ředitele organizace Information Security Forum, se technologie v dronech neustále vyvíjejí a časem už drony nebudou jen jednoduchými zbraněmi, ale i sofistikovanými špionážními nástroji. Různé organizace vyvíjejí drony, které dokážou odposlouchávat nebo rušit komunikační systémy či zachytávat datové přenosy a pokud jsou dopadeny, umí se samy zničit. Vojenské drony, které unesou výzbroj, jsou mimo jiné vyráběny v USA, Izraeli, Číně, Rusku či Íránu.

Drony mají také méně známá, specifičtější uplatnění, která nelze zařadit do amatérské, komerční ani vojenské kategorie. Drony opatřené kamerami lze používat ke sledování infrastruktury, hůře přístupných částí památek, lesních požárů či dobytka a drony se specializovanými snímači najdou své uplatnění při geologické prospekci.

Všechny tyto druhy dronů se pojí s bezpečnostními riziky. Za relativně bezpečné lze považovat jen vojenské drony. Ty ostatní lze stejně jako jakékoli jiné IoT zařízení hacknout a zneužít k něčemu nekalému. Mohou tak ohrozit naše soukromí, kybernetickou bezpečnost i fyzickou bezpečnost.

Hrozby pro drony

Pro drony existují dvě hlavní kybernetické hrozby: hacknutí a dodavatelský řetězec.

Hacknutí

Nevojenské drony lze hacknout relativně snadno. Bezpečnostní odborník Jonathan Andersson v roce 2017 vytvořil zařízení, které nazval Icarus a které mu umožňovalo naladit se na komunikační frekvenci dronu. Ačkoli se komunikační kanál dronu každých 11 milisekund měnil, Icarus čekal na jednom konkrétním kanálu a během těchto 11 sekund, které měl k dispozici, dokázal prolomit šifrování dronu a hacknout jej.

Dodavatelský řetězec

Hrozba dodavatelského řetězce je reálná, protože drony jsou vyráběny především v zahraničí (například v Číně), případně jsou sestavovány ze zahraničních součástek. Vzhledem k současné geopolitické situaci existuje vždy riziko, že takový dron může obsahovat skryté místo, které je důležité pro zahraniční tajnou službu.

Dalším problémem je, že prakticky každý dnešní amatérský dron je vybavený kamerou. Hackeři tak z něj mohou krást různé záznamy. Řada dronů však rovnou nahrává pořízené záznamy do cloudového úložiště.

Když pilot dronu třeba i nechtěně zaznamená něco citlivého, příslušný záznam se automaticky přenese do online úložiště, odkud může být ukraden, pokud daná služba není řádně zabezpečená. Uchovávání dat z dronů dělá americké administrativě tak velké vrásky, že Ministerstvo vnitřní bezpečnosti vydalo varování před drony čínského původu. Uvedlo v něm, že takové drony mohou představovat „potenciální riziko pro informace v organizacích“ a že mohou svému výrobci odesílat záznamy pořízené za letu.

Hrozby způsobené drony

Nevojenské drony mohou ohrožovat především naše soukromí, kybernetickou bezpečnost a fyzickou bezpečnost.

Soukromí

Problém s ochranou soukromí je na první pohled zřejmý. Drony mohou být vybavené kamerou a mohou nahrávat obraz a zvuk i z míst, která jsou člověku nepřístupná. Verze používané bezpečnostními složkami mohou být propojené se systémy rozpoznávání obličejů a mohou tiše sledovat davy lidí, venkovní shromáždění či chodce. Militantní aktivisté s nimi mohou dělat průzkumné přelety nad místy, na která chtějí zaútočit.

Policii nabízejí doposud nevídané možnosti dohledu. V rukou civilistů je však prakticky nejde kontrolovat. Data civilistů mohou být uchovávána v cloudu, a to i bez svolení uživatelů a bez odpovídajícího zabezpečení.

Kybernetická bezpečnost

I amatérské drony dokážou unést malý počítač Raspberry Pi. Tyto malé počítače lze naprogramovat k zachycování signálů Wi-Fi sítí. Bezpečnostní výzkumníci je uplatnili při testování zabezpečení odlehlých zařízení (např. elektráren), která nejsou přímo přístupná přes internet.

Penetrační testeři je za podobných okolností uplatnili při řízených simulacích útoků. Jedna výzkumná firma byla požádána, aby otestovala kybernetické zabezpečení ropné plošiny na otevřeném moři. Bez fyzického přístupu k ropné plošině by to byl nelehký úkol. Proto si firma najala malou loď a zakotvila ji v určité vzdálenosti od plošiny. Pak naprogramovala Raspberry Pi k zachycování signálů Wi-Fi sítí a přenesla jej dronem nad plošinu, aby výzkumníci mohli odposlouchávat tamní komunikaci.

Když něco takového dokážou výzkumníci, můžete si být jistí, že hackeři a možná i různé státní organizace to také dělají. Cílem nemusí být vzdálená a izolovaná místa. Podobné útoky mohou cílit na kteroukoli budovu, ať se nachází kdekoli. Vzhledem k tomu, jak amatérské drony nabyly na popularitě, při spatření takového dronu poblíž vaší kanceláře se ve vás nejspíš neprobudí podezření.

Fyzická bezpečnost

Drony mohou ohrožovat naši fyzickou bezpečnost, ať už náhodně, kvůli chybnému úsudku, nebo cíleně.

Náhodné škody jsou způsobovány drony, které se vymknou kontrole. Příčinou může být nefunkční ovládání dronu (uživatel nebo hacker nad ním ztratí kontrolu), případně hardwarová či softwarová závada. Ať už je příčina jakákoli, zásah padajícím dronem způsobí škody – a čím je dron větší, tím je škoda vyšší. Proto Evropská unie novým nařízením rozděluje drony do několika kategorií dle váhy a rizika, které mohou představovat pro své okolí. Pro každou kategorii pak platí pravidla užívání a provozu, u některých kategorií je třeba povolení či certifikát.

Škody kvůli chybnému úsudku mohou vzniknout, když člověk neodhadne možná rizika správného používání dronu. Britská skupina ekologických aktivistů Extinction Rebellion bojuje proti výstavbě třetí ranveje na letišti Heathrow. K protestům používá i přelety dronů v 5kilometrové zakázané zóně kolem letiště, kterými narušuje letecký provoz. Skupina nechce nikomu ublížit, ale kdyby se někdy přepočítala, mohlo by to mít katastrofální následky.

Cílené útoky budou v příštích pár letech nejspíš častější. Jejich účelem je ubližovat lidem – motivace může být čistě osobní nebo ideologická. Veškeré újmy, které amatérské drony lidem doposud způsobily, byly vesměs náhodné a nepříliš závažné. Zatím se ještě nestalo, že by byl amatérský nebo hacknutý komerční dron cíleně použit k útoku na někoho konkrétního.

Nedávné události v Saúdské Arábii celou situaci mění. Letka „vojenských“ dronů úspěšně napadla saúdská ropná zařízení. K útoku se přihlásili jemenští húsijští povstalci, ale většina lidí si myslí, že se neobešli bez íránské pomoci. Samotné drony téměř jistě pocházely z Íránu. O Íránu se ví, že prodává vojenské drony svým spojencům a zemím, s nimiž sympatizuje. Čína naopak prodává vojenské drony prakticky každému zájemci.

Vojenské drony je čím dál snazší si pořídit. Matt Rahman, provozní ředitel bezpečnostní firmy IOActive, situaci na trhu s drony pozorně sleduje. „Úmysl používat drony jako kamikaze s výbušninami není žádnou novinkou,“ řekl tomuto blogu, „ale až do tohoto íránského útoku jsem si myslel, že k něčemu podobnému hned tak nedojde.“

Budoucnost

Ve vývoji dronů jsme stále ještě na začátku. Jejich schopnosti se v příštích několika letech rozšíří a společnost i policie si musí uvědomit hrozby, které se za nimi mohou skrývat. Každé zařízení, které bylo vyvinuto v dobré víře, může být nějak zneužito.

Jako příklad si vezměme poslední novinku z Číny – dron se solárním napájením, který už brzy bude schopný trvale se udržet ve vzduchu. Když takový dron vybavíme výkonnou kamerou a technologií na rozpoznávání obličejů, dokáže nepřetržitě létat, dokud nenajde předem naprogramovaný cíl. A když jej vybavíme malou bojovou hlavicí (a nemusí jít nutně o dron vojenské kategorie), dokážeme s ním najít a automaticky zničit konkrétní cíl. Může to znít jako sci-fi, ale dnes už je to možné.