Na Fakultě informačních technologií Vysokého učení technického v Brně Martin Vondráček momentálně dokončuje magisterské studium. V létě 2018 se díky programu Freemovers tři měsíce věnoval výzkumu počítačové bezpečnosti populárních technologií pro virtuální realitu na University of New Haven v americkém Connecticutu. S týmem odhalili bezpečností slabiny v aplikaci Bigscreen a v platformě Unity. Náš rozhovor se tudíž točil nejen kolem virtuální reality, ale také bezpečnosti na internetu obecně.

O jakém virtuálním prostoru se konkrétně bavíme?

Projekt, kterým jsem se zabýval, se věnuje bezpečnosti sociálních aplikací pro virtuální realitu – lze si je představit jako sociální síť ve virtuální realitě. Nejde jen o hry, statisíce lidí dnes tyto aplikaci využívají pro nějakou interakci. Lidé z různých koutů světa se mohou potkat, povídat si, dívat se společně na filmy nebo hrát společně hry ve virtuálním prostoru. Další využití má pak tato virtuální realita ve firemním prostředí nebo k produktivitě. Stejně jako si dnes můžeme zavolat přes skype nebo messenger a vidět video toho druhého, tak se mohou lidé potkat uprostřed virtuální reality. Nelimituje je však pouze dvourozměrný obrázek a zvuk. Můžete si vytvořit 3D postavičku, vzít do ruky ovladače, nasadit si headset a ocitnout se ve virtuálním prostoru. Můj pohyb rukou se promění v pohyb ve virtuálním prostoru a headset mi stimuluje smysly. Mohu gestikulovat a stejně tak si povídat se svým protějškem. Ve firemním prostředí si tak můžete vytvořit zasedací místnost, třeba i s promítacím plátnem, monitorem počítače pro každého a pořádat pracovní schůzku.

Jak se člověk do této virtuální reality dostane?

Jde o aplikaci, která je běžně dostupná na internetu a dá se stáhnout do počítače stejně jako hry nebo skype. Ve chvíli, kdy si připojím hardware, tak ji mohu používat. My jsme se při výzkumu na univerzitě v New Haven zaměřili na virtuální realitu konkrétní aplikace Bigscreen, která funguje na principu virtuálních místností.

Jak jste se k výzkumu na New Haven dostal?

Na této univerzitě se věnují bezpečnosti moderních technologií – konkrétně aplikacím s kryptoměnami či řeší právě virtuální realitu. S doktorem Baggili, vedoucím výzkumné skupiny UNHcFREG, jsme se domlouvali, za jakých podmínek bych mohl na univerzitu přicestovat a v úvahu přišla právě virtuální realita. Ve výzkumné skupině působí akademici i studenti, stejným způsobem to funguje i na Fakultě informačních technologií při VUT v Brně, kde jsem se na výzkumu v oblasti počítačových sítí také podílel.

Jak v praxi výzkum v Americe vypadal?

Postupovali jsme velice podobně, jak by postupovali reální útočníci. My jsme se však pohybovali v kontrolovaném prostředí na základě bezpečnostních přístupů a metodik a hlavně etickým způsobem. Nalezli jsme slabiny, ale naším cílem nebylo je zneužít, odposlouchávat, ovládnout počítače či zpeněžit. Objevili jsme několik chyb, věděli jsme, jaký mohou mít dopad, uvedli jsme ukázkový způsob, jak by se daly zneužít, a v ten moment jsme chybu nahlásili. Mohl vzniknout opravdu kritický problém, neboť Bigscreen má přes půl milionu uživatelů a platformu Unity lze nalézt až na třech miliardách zařízení po celém světě. V momentě, kdy jsme našli zranitelnosti, tak jsme kontaktovali společnosti, které aplikace vytvářejí. Zkontaktovali jsme se výkonným ředitelem Bigscreen a předali mu technické detaily chyby. Jejich programátoři poté byli schopni chyby opravit, ovšem v době opravného procesu se o výzkumu nemluvilo. Výzkum byl ukončen v říjnu loňského roku, avšak výsledky byly dlouho neveřejné, neboť chyby byly opravdu závažné. Prohlášení univerzita vydala až pro opravě aplikace letos v únoru a od té doby předáváme informace dál.

Jaký byl přímo váš podíl na výzkumu?

Na University of New Haven jsem jel hlavně s tím, že jsem schopen být maximálně prospěšný v oblasti analýzy síťového provozu. Zkoumal jsem, jak aplikace komunikuje i aplikaci samotnou. V dané aplikaci máme uživatele, který potřebuje komunikovat přes internet s někým na druhé straně internetu a využívá při tom servery a systém aplikace. Primárně jsem se podíval, jak vypadá infrastruktura, servery a samotná komunikace a zda jsou všechny informace dostatečně zabezpečené, jak je využito šifrování a autentizace. V případě šifrování jsem byl schopen provoz dešifrovat a pozorovat samotnou komunikaci, jak vypadá uvnitř. Zjišťoval jsem, jak daná aplikace komunikuje se servery na internetu, a když jsem našel některé zranitelnosti přímo v této oblasti, přesunul jsem se k samotné aplikaci na počítači, abych zjistil, jak funguje a jestli je možné s tím něco udělat. Jde o součást reverzního inženýrství, kdy zjišťujete, jak aplikace vypadá zevnitř. Běžný uživatel by tyto věci znát ani zkoumat neměl. Dále jsem aplikaci upravil tak, aby nedělala kontroly, na které byla nastavená, a naopak učinila některé kroky, které bych mohl využít. Tuto „zmrzačenou“ verzi jsem dokázal připojit k jiným aplikacím a přitom jsem byl v rámci virtuálního prostředí neviditelný. Připojil jsem se do místnosti, ale ostatním jsem nedal informace, zda v té místnosti vůbec jsem. Přitom jsem získal informace o dalších uživatelích – kde v oné místnosti stojí a co říkají.

Mohl se uživatel tomuto nebezpečí nějak bránit?

Uživatel nemohl udělat žádný krok, aby problému předešel. Nebyla žádná chyba či slabina na straně uživatele, ten si pouze stáhl aplikaci – správným způsobem ze správného místa. Chyba byla přímo v aplikaci Bigscreen a v platformě Unity. A jen díky tomu, že si ji uživatel zapnul a stáhl, jsme my byli schopni se připojit a ovládnout jeho počítač – zablokovat ho či nainstalovat nějaký malware. 

Jak často se stává, že samotná aplikace nese chybu?

To si netroufám odhadnout. Na univerzitě se ve výzkumu věnují věcem, které jsou momentálně moderní a sledují nejnovější trendy. Oblast virtuální reality je žhavé téma a mnoho vývojářů se snaží vytvořit nějakou firmu, aplikaci nebo hru a rychle ji dostat k potenciálním zákazníkům. A vymýšlí jedno vylepšení za druhým, aby si zákazníku udrželi, protože existuje velká konkurence. Proto také nebývá moc prostoru, aby si vývojáři zajistili i bezpečnostní kontrolu.

Co přinesl váš výzkum běžnému uživateli?

Asi informaci, že něco takového je možné, ale že už došlo k opravě. Podle vývojářů mají být nahlášené chyby již vyřešeny. Nic to ovšem nevypovídá o dalších aplikacích. Virtuální realita, ač jde o lákavou technologii, může skrývat různé záludnosti a hrozby pro počítače i soukromí uživatelů. V rámci nových technologií je dobré být obezřetný. Každý by měl zvážit, co si do počítače instaluje. Instalace každé aplikace do počítače nebo telefonu je určitá důvěrná dohoda mezi mnou a aplikací. Je to určitá forma pozvání a vy musíte zvážit, jak moc aplikaci důvěřujete, a přemýšlet o tom, kdo ji vytváří a jestli je za ní důvěryhodná společnost, která investuje peníze i do počítačové bezpečnosti, nebo jen pár vývojářů, kteří ji vytvoří tzv. „na koleně“. Věnovat byste se měli také tomu, jaká oprávnění po vás aplikace požaduje. Kalkulačka asi nepotřebuje přístup k vašim sms zprávám.

Jak jste vy sám tento výzkum zúročil a jak pokračuje?

Pokračováním výzkumu je svým způsobem i moje diplomová práce, kterou jsem právě dokončil. Konkrétně v ní uvádím i výzkum, jak jsme aplikaci testovali. Může být i informací pro bezpečnostní experty, jak by měli postupovat nebo něco řešit dál. I pro mne byl tento výzkum přínosný. Kromě toho, že jsme zachránili od napadení statisíce uživatelů, vyzkoušel jsem si různé metodiky při testování bezpečnosti. Kolegové v Americe se virtuální realitě věnují dál a jeden z nich se zaměřil přímo na hardware pro virtuální realitu. Zjistil, že kybernetickým útokem lze ovládnout člověka i fyzicky – např. mu upravit prostor ve virtuální místnosti a ovlivnit tak jeho pohyb po místnosti a tudíž i pozici v reálném prostoru.

Co plánujete dál?

V září bych chtěl zahájit doktorát a věnovat se dál počítačové bezpečnosti. Udělat si větší přehled a následně se hodně specializovat. Kdykoliv zjistím o bezpečnosti něco nového, odkryje mi to dalších deset nových oblastí, kterých jsem se ještě nedotkl. Rozhodně bych se rád dál věnoval kybernetické bezpečnosti a získal pohled na ni jak na akademické půdě, tak i z oblasti komerční sféry, protože je zajímavé sledovat tuto problematiku z obou stran. Bezpečnost je zásadní téma pro každou firmu, která začne zpracovávat nějaká data. Práce na univerzitě mi umožní účastnit se různých výzkumů a konferencí po světě. Mám také nabídku podílet se dál na výzkumu v Americe.