Esemeska, ktorá vám na mobil príde zo šéfovho čísla, ešte stále nemusí byť od šéfa. Špecialista na IT bezpečnosť Pavol Lupták zo spoločnosti Nethemba to reportérovi TRENDU predviedol za pár sekúnd. Stačilo mu poznať príslušné dva telefónne kontakty a vedieť o internetovej službe, ktorá dokáže zmeniť identitu odosielateľa SMS správy. Alebo aj volajúceho pri telefonickom hovore.
Nie je ťažké domyslieť si, že tieto systémy s obľubou využívajú počítačoví hackeri v rámci sociálneho inžinierstva. Na vyťahovanie informácií z nič netušiacich a pri „vhodne“ zvolenom texte esemesky aj patrične motivovaných obetí.
Zlá správa je, že nástrojov pre kybernetických útočníkov neustále pribúda. A že postihnuté firmy či organizácie sa často zmôžu iba na forenznú analýzu príčin vzniknutého incidentu. Alebo PR hasenie verejnej paniky.
Hackerská karta
Vyznať sa v hackeroch nie je jednoduché. Niekedy sa z nich vykľujú recesisti, ktorým naletia aj inokedy mienkotvorné médiá. Ako sa to stalo pri ohlasovanej Operácii Black–out, v rámci ktorej mal v posledný marcový deň skolabovať celý internet. Samozrejme, k ničomu takému nedošlo.
Naopak, až priveľmi reálne skúsenosti s hackermi majú napríklad manažéri spoločnosti Sony. V jednej z najväčších kyberkáuz minulého roka, ale aj elektronickej histórie ľudstva vôbec hackeri ukradli údaje desiatok miliónov jej klientov vrátane čísiel kreditných kariet.
Okrem viac či menej organizovaných útočníkov s ekonomickými záujmami sa na hackerskej scéne čoraz častejšie objavujú aj samotné vlády. Za exemplárny príklad sa považuje rozsiahly výpadok internetu v Estónsku v roku 2007. Podľa všeobecne akceptovanej (a čiastočne aj potvrdenej) konšpiračnej teórie bol odvetou ruskej vlády za rozhodnutie Tallinnu o presunutí vojnového pamätníka zo sovietskej éry z centra hlavného mesta na perifériu.
Pomsta za Bronzového vojaka trvala tri týždne a v čase špičky postihla 58 webových sídiel vládnych inštitúcií, bánk, telekomov a médií. Estónci už v tom čase patrili medzi najviac informatizované národy Európy a tak aj párhodinové výpadky online služieb niesli ťažko.
Estónsky incident bol jedným z faktorov, ktorý sa postaral o to, aby sa v slovnej výbave európskych a amerických politikov a najmä ich armádnych stratégov napevno usadili pojmy ako kybernetická vojna či kybernetický terorizmus. „Aký je rozdiel medzi blokádou prístavov alebo letísk suverénnych štátov a blokádou webov vládnych inštitúcií a novín?“ pýtal sa svojho času estónsky premiér Andrus Ansip.
Okrem Rusov sa v rebríčku kybernetických top hrozieb Západu – dokonca na vyššej priečke – celkom očakávane ocitli Číňania. O aktivitách kyberšpiónov z červenej Ríše stredu sa pravidelne debatuje aj na oficiálnych miestach. Nedávno napríklad na pôde amerického Senátu riaditeľ národnej bezpečnostnej agentúry NSA Keith Alexander burácal, že Číňania kradnú od Američanov „veľké množstvo“ vojenského intelektuálneho vlastníctva. A že stoja aj za viacerými útokmi na americké súkromné spoločnosti.
Špekuluje sa tiež o tom, že západné vládne štruktúry sa nezaoberajú len obrannými aktivitami (akým bolo napríklad cvičenie vojenských špecialistov NATO aj za účasti Slovákov). Ale že organizujú taktiež útočné akcie. USA a Izraelu sa pripisuje leví podiel na projekte vírusu Stuxnet, ktorý sa v internete šíril v roku 2010. Stuxnet sa špeciálne zameriaval na Irán (dve tretiny nakazených počítačov boli z ríše Mahmúda Ahmadínežáda) a na poškodzovanie zariadení v jeho jadrovom programe.
Udržať badžet
Kým vládni predstavitelia bijú na poplach, skeptici varujú, že to s vojnovou rétorikou preháňajú. Americká neziskovka Council on Foreign Relations si napríklad všimla, že v databáze Národného protiteroristického centra ani jeden zo 63-tisíc nahlásených incidentov nemal kybernetický charakter.
Thomas Rid z londýnskeho King’s College zasa v magazíne Foreign Policy polemizuje, že hackerské útoky (aspoň zatiaľ) nemajú charakter vojnového aktu: nezabíjajú ani nepoškodzujú budovy. Píše tiež, že niektoré incidenty, ktoré sa pripisovali „vládnym“ hackerom, mali v skutočnosti úplne iné, a podstatne triviálnejšie príčiny.
Motívom, prečo sa vládni predstavitelia snažia situáciu dramatizovať, môže byť celkom pokojne to, že chcú odôvodniť existenciu špeciálnych projektov a novej legislatívy. Napríklad americké kybernetické veliteľstvo Cybercom, ktoré vedie generál K. Alexander z NSA, má v tomto roku rozpočet vo výške troch miliárd dolárov. V roku 2010 začínalo s balíkom 120 miliónov dolárov.
Administratíva Baracka Obamu zasa minulý mesiac simulovala kybernetický útok na energetické dodávky pre mesto New York, aby získala podporu pre nový zákon o kybernetickej bezpečnosti. Senátori, ktorí sa zúčastnili prezentácie jej výsledkov, hovorili o tom, že „dobre ilustrujú problém, kvôli ktorému je táto legislatíva tak zúfalo potrebná“.
Dá sa očakávať, že podobné vládne kyberiniciatívy sa vyskytnú aj v Európe. Slovenské ministerstvo financií sa už vlani stihlo zviditeľniť návrhom na vytvorenie takzvaného červeného tlačidla. Mechanizmu, ktorým by sa slovenské webové servery v prípade „vlny kybernetických útokov“ odpojili od zahraničného internetu.
Hackeri, hactivisti, zamestnanci
Bez ohľadu na to, ako prehnane a účelovo vládni úradníci strašia hackerskou kartou, fakt je, že počítačové útoky na firemné weby, podnikové systémy či jednotlivcov sa v priebehu uplynulých rokov stali bežnou rutinou. Americká FBI vlani prijala 350-tisíc sťažností, týkajúcich sa počítačovej kriminality, dvojnásobne viac ako rok predtým. Prieskum Norton Cybercrime Report, do ktorého sa zapojilo takmer dvadsaťtisíc ľudí v 24 krajinách sveta, odhalil, že obetí kyberzločinu je trikrát viac ako tých, čo majú skúsenosť s klasickou offlinovou kriminalitou, napríklad vreckovou krádežou.
A oficiálne štatistiky môžu byť ešte pomerne skreslené. Veľké množstvo organizácií ani nevie, že sa stali terčom počítačového útoku (väčšinou sa o tom dozvedia po upozornení treťou stranou). Odhalené incidenty sa firmy snažia udržať pod pokrievkou, v lepšom prípade interne vyšetriť. Len zlomok z nich prenikne na verejnosť. No prípad Sony či americkej burzy Nasdaq, kde došlo ku krádeži dokumentov jej predstavenstva, naznačujú, že ambície útočníkov nemajú hranice.
Popri organizovaných kriminálnych živloch musia podniky rátať aj s čoraz intenzívnejším vyčíňaním hacktivistov, ako sú tí zo skupiny Anonymous. Podľa zistení amerického telekomunikačného operátora Verizon ukradnú veľkým korporáciám viac dát ako „tradiční“ kyberzločinci. Verizon vo svojej štúdii dospel k znepokojujúcemu záveru, že charakter ohrozenia zo strany hacktivistov sa v priebehu rokov zmenil. Od webového vandalizmu, pri ktorom útočníkom stačilo, že vizuálne zmenili obsah internetovej stránky, k situácii, keď sa pokúšajú získať (ukradnúť) čo najviac informácií z počítačového prostredia atakovaného subjektu.
No hoci význam hackerských útokov stúpa, väčšinu bezpečnostných incidentov majú stále na svedomí interní zamestnanci postihnutej organizácie. Nasvedčuje tomu aj lanský prieskum slovenskej softvérovej spoločnosti Eset, v ktorom konanie insiderov ako hlavný dôvod incidentov uviedlo viac ako 60 percent respondentov.
Do tejto kategórie rizík patrí aj prvý v literatúre zaznamenaný kyberzločin. Koncom 50. rokov zamestnanec brokerskej kancelárie Walston naprogramoval firemný počítač tak, aby prevádzal peniaze z firemného účtu na jeho vlastné konto. Keď mu na to prišli, mal na ňom štvrť miliardy dolárov.
No úmyselný insider attack –že zamestnanec zneužije prístup k dátam, odcudzí ich a predá – je ešte stále skôr výnimkou. Častejší je útok, ktorý je výsledkom externého nátlaku či sociálneho inžinierstva.
Čím modernejší, tým zraniteľnejší
Úroveň ochrany firemných systémov a dát voči hackerom každého druhu je obvykle veľmi slabá. Odchádzajúci šéf kyberdivízie FBI Shawn Henry ju nedávno pre The Wall Street Journal zhodnotil tak, že „počítačoví zločinci sú priveľmi talentovaní a obranné opatrenia sú príliš slabé na to, aby ich zastavili“. Podľa neho si mnoho firiem, od veľkých nadnárodných koncernov po malé start-upy, dostatočne neuvedomuje finančné a právne riziká prevádzky zraniteľných počítačových sietí.
Podobný názor má aj P. Lupták zo spoločnosti Nethemba. Z výsledkov penetračných testov, v rámci ktorých preverujú zraniteľnosť systémov, usudzuje, že firemné počítačové siete sú často zabezpečené veľmi zle, pričom bezpečnostné povedomie zamestnancov, dokonca na IT oddeleniach, je veľmi nízke.
Podľa neho tiež neplatí, že drahý systém je bezpečnejší: „Čím komplexnejší a proprietárnejší systém, tým je pravdepodobnejšie, že obsahuje veľké množstvo zraniteľností.“ Naopak, jednoduchšie alebo masívne používané systémy, napríklad na báze open sourcu, sú podľa neho často bezpečnejšie.
Akákoľvek investícia do bezpečnosti by podľa P. Luptáka mala byť ekonomická: „Nemá zmysel investovať neúmerne veľa, keď hodnota chránených informácií nie je takmer žiadna.“ No podľa neho sa pri tomto uvažovaní často zabúda, že potenciálny prienik môže spôsobiť stratu reputácie či dobrého mena spoločnosti na trhu, čo je veľmi ťažko finančne vyčísliteľné.
Podľa konzultačnej spoločnosti Ernst & Young sa zraniteľnosť firemných systémov zvyšuje priamoúmerne využívaniu moderných technológií – cloud computingu, tabletov alebo sociálnych sietí. „So snahou čo najrýchlejšie ich zaviesť do praxe klesá schopnosť podnikov čeliť novým bezpečnostným hrozbám,“ píše sa v záveroch prieskumu medzi 1 700 firmami po celom svete.
Digitálne výpalníctvo
Príprava niektorých útokov – typicky tých, ktoré zahlcovaním webových serverov spôsobujú ich nedostupnosť (DDoS) – je pritom taká jednoduchá, že ju zvládne aj priemerný používateľ internetu. „Navyše je to relatívne lacné, služby nelegálnych botnetov [sietí útočiacich počítačov] stoja na čiernom trhu rádovo stovky dolárov,“ dodáva P. Lupták.
Hoci sú zahlcovacie útoky relatívne primitívne, dokážu firmu potrápiť. Pár dobre „naplánovaných“ výpadkov webu, ktorý jej slúži ako rozhodujúci distribučný kanál, môže znížiť tržby, podpísať sa pod odlev zákazníkov (prípadne aj trvalý) a spôsobiť ťažko a nákladne napraviteľné škody na imidži.
Na tomto princípe postavil svoj „podnikateľský“ plán aj hacker, ktorý v roku 2010 vydieral šesticu najväčších nemeckých online stávkových kancelárií. Vyhrážal sa im, že ak mu nezaplatia po 2 500 eur (neskôr požiadavku znížil na tisícku), odstaví ich počas futbalových majstrovstiev sveta od internetu. V tomto prípade polícia na identitu vydierača prišla a súd ho na 34 mesiacov poslal za mreže.
Ale opäť, hackeri môžu byť aj v štatistikách zahlcovacích útokov v menšine. Podľa zistení spoločnosti Corero Network Security viac ako polovicu takýchto incidentov v amerických firmách vlani iniciovali konkurenti. Alebo aspoň si to ich obete myslia. Naopak, len v každom šiestom prípade malo ísť o digitálne výpalníctvo.
Článok bol zverejnený v Špeciáli TREND + IT bezpečnosť a elektronický podpis, ktorý je súčasťou TRENDU 14/2012.
Partner projektu
Foto - Maňo Štrauch
