„V desať rokov starej knihe o kryptografii už polovica vecí neplatí,“ hovorí Martin Rehák, zakladateľ firmy Cognitive Security (dnes súčasť spoločnosti Cisco). Nástrahy a možnosti v oblasti počítačovej bezpečnosti sú neustále v pohybe. Ale najprv zoberte svoj služobný notebook vašim potomkom z rúk.
Nie je hacker ako hacker
Je to lákavý biznis. Štatisticky je počítačová kriminalita oproti klasickej kriminalite bez rizika. Polície vo svete nemajú zďaleka takú úspešnosť v objasňovaní kyberzločinov ako pri objasňovaní lúpeží, vrážd a podvodov, hovorí M. Rehák. Dôvod: hackeri sú racionálni a inovatívni. Rozdeliť ich možno do troch skupín.
- Vlády alebo organizácie na vládnej úrovni. Dá sa u nich pozorovať vysoká profesionalita a tímová kultúra. Je veľmi ťažké ich identifikovať, lebo často nepôsobia na úrovni operačného systému, ale pod ním. Alebo dokonca v operačnej pamäti, takže po vypnutí počítača sa všetko stratí. Lenže dovtedy stihne malvér napadnúť ďalší počítač. Riešením by bolo vypnúť všetko na sieti. Čo je prakticky nemožné.
- Kriminálne organizácie. Tiež sú profesionálne, ale už nie tak technicky kreatívne, hoci sú extrémne kreatívni z biznisového hľadiska. Napríklad zistili, že majú malú výnosnosť z ransomware, lebo ľudia si robia zálohy. Prešli teda na model, keď sa nevyhrážajú vymazaním dát, ale ich zverejnením na internete. Ich prispôsobivosť sa dá sledovať na čiernom trhu. Ak sa napríklad zvýši cena nejakého druhu internetovej reklamy, je vidieť ako sa jej viac útočníkov začne venovať.
- Ľudia, ktorých táto oblasť baví. Nejde o útočníkov, ale o ľudí, ktorí inovujú bezpečnosť tým, že odhaľujú zraniteľné miesta. Sú úvahy, či je to správne, či to má byť legálne. Je to svet takzvaných whitehat a greyhat, teda hackerov, ktorí prelomia ochranu nejakého systému a informujú o tom majiteľa alebo správcu. Alebo mu túto informáciu predajú.
Súčasťou útokov sú často aj veľké firmy. Samozrejme, bez ich vedomia alebo súhlasu. Napríklad mnoho útočníkov využíva hostingové služby Amazonu, pretože ide o flexibilnú a kvalitnú službu s vysokým počtom klientov, a tak sa medzi nimi ľahšie stratia. Amazon robí všetko preto, aby tieto weby odhaľoval, je to ale sizyfovská drina.
Ako sa zarába na ransomware Zdroj: Cisco
Výkupné za milióny eur
Sú dva základné spôsoby monetizácie útoku. „Ak dáme bokom útok na firmu a krádež informácií alebo priame kradnutie financií z bankového účtu, najčastejší prípad je takzvaný ransomware. Teda zaheslovanie disku, až kým obeť nezaplatí,“ vysvetľuje M. Rehák.
Týmu Talos spoločnosti Cisco sa vlani podarilo odhaliť pôvod množstva útokov - súbor nástrojov na automatizáciu útokov Angler. Vďaka jeho analýze sa dala odhadnúť výnosnosť útokov. Ukázalo sa, že jediná kampaň mohla za rok len z ransomwarových útokov zarobiť zločincom 34 miliónov dolárov. Angler bol totiž schopný napadnúť 147 serverov mesačne a z každého vykonať 90-tisíc útokov. Tie uspeli približne v desatine prípadov.
Vzhľadom na vysokú efektivitu Angleru útok zasiahol asi 40 percent počítačov, ktoré sa pripojili na nakazený server. Aj keď vyhrážkam vydieračov podľahli len necelé tri percentá používateľov, pri priemernej platbe 300 dolárov to pre útočníkov znamenalo viac ako slušný zárobok.
O výraznom rozšírení ransomvéru aj na Slovensku začiatkom marca informoval Eset. Do počítačov sa dostal v príloha e-mailov, ktoré boli označené ako faktúra alebo ako oznámenie o dostavení sa na súd. Teda seriózne vyzerajúce správy, ktoré prekvapený príjemca môže otvoriť bez zaváhania. Šlo o trójskeho koňa Nemucod, ktorý potom mohol do počítača inštalovať akékoľvek škodlivé záležitosti. A najčastejšie práve ransomvér.
Druhý spôsob je, že napadnutý a ovládnutý počítač nechávajú útočníci „klikať“ na reklamy na weboch, ktoré hackeri spravujú. Zadávateľ inzercie neplatí za ľudí, ktorí videli jeho reklamu, ale za napadnuté počítače. M. Rehák dodáva, že podľa rôznych analýz by až nadpolovičná väčšina internetovej reklamy mohla byť spravovaná takýmito útočníkmi.
Mapa výskytu trojanu Nemucod vo svete Zdroj: Eset
Ako sa chrániť
Ľudia, ktorí sa s kybernetickými útokmi stretávajú denne a sledujú ich v podstate v priamom prenose, radia, na čo by si mal dávať každý pozor. Nielen doma, ale aj vo firme. Každému hneď napadne antivírus. Ten podľa M. Reháka funguje ako očkovanie: „Na globálnej úrovni je to výborná ochrana populácie. Na úrovni jednotlivca, žiaľ, nie je zárukou ničoho.“
Pomôcť môže aj jednoduché, a pritom efektívne oddelenie počítača určeného na prácu od zariadenia, ktoré je na zábavu. Pracovné PC obsahuje dôležité alebo citlivé dáta a mali by k nemu mať prístup len relevantné osoby. Počítač pre zábavu sa dá v prípade potreby kedykoľvek sformátovať.
„Veľa infekcií sme zaznamenali práve v prípadoch, keď sa deti zamestnancov firiem dostali k pracovnému notebooku a napríklad hrali flashové hry. Infikovali ich a v pondelok ráno sa to hneď ukázalo,“ spomína M. Rehák.
Zdroj: Wikimedia
Nie je tajomstvo, že disciplína pomôže tiež. Aj v prípade dobrého zabezpečenia a profesionálneho IT oddelenia sa stáva, že nákaza nepríde cez web, ale ako príloha e-mailu. Ten služobný je často tiež chránený. Ale nie zriedka si pracovník skontroluje súkromnú poštu na pracovnom notebooku, otvorí prílohu a už to ide.
Vtedy je dôležité jeho odhalenie. „Útočník sa už dostal zadnými dverami do firmy. Ale jeho práca sa len začína. Musí modifikovať informácie alebo kradnúť peniaze a to sa ťažko automatizuje. Jeho aktivitu tak vieme zachytiť. Plne automatizovať útok si vyžaduje vysoké náklady. Ako desiatky miliónov dolárov, ktoré museli investovať útočníci na iránsky jadrový program.“
Základná ochrana by pre každého používateľa by mala mať štyri kroky. Najprv staré známe zálohovať, zálohovať a zálohovať. Potom oddeľovať pracovný počítač od zariadení pre zábavu. Ďalej, dbať na aktuálnosť operačných systémov a softvéru. A napokon, nebyť naivný.
Stále viac útokov mieri priamo na jedinca, ktorého dovedú k tomu, aby niečo urobil. Množstvo malvéru sa do počítača dostane len tak, že používateľ povolí jeho inštaláciu. „V našej oblasti hovoríme, že silikón je odolnejší než uhlík.“
Nejde ale len o počítače
Čoraz viac ľudí má ten svoj „počítač“ vo vrecku alebo kabelke. A aj keď ide o smartfón, telefonovanie je len jedna z množstva jeho funkcií. Je tiež zdrojom zábavy a informácií - ako počítač. A rovnako, aj v mobiloch sa začínajú čoraz častejšie zhromažďovať citlivé údaje od bankových aplikácií až po dôležité prílohy e-mailov.
Podľa nedávneho prieskumu spoločnosti Kaspersky Lab a B2B International až 88 percent Európanov nemá problém mať dôležité dáta v smartfóne. A používajú ich ozaj všade. Nielen v aute (38 %) alebo v posteli (55 %). Tretina respondentov dokonca aj v kúpeľni.
Aj pri mobilných zariadeniach je okrem rôznych bezpečnostných aplikáciách a antiviroch často najlepšou ochranou jednoducho rozum a disciplína. A teda aj pri surfovaní na iPhone, Xperii alebo Galaxy je praktické prihlasovať sa silnými heslami a nespravovať si financie pri pripojení na verejnú Wi-Fi sieť niekde v kaviarni.
Ako funguje Cognitive Security
Cieľom Cognitive Security bolo analyzovať štatistiky o sieťovej premávke a pomocou toho hľadať nové útoky. Bolo to v dobe, kedy čínska vláda začala masívne investovať do tohto druhu útokov. Pomohlo im to získať silného investora Credo Ventures, ktorého jeden z partnerov je Andrej Kiska ml.
V roku 2013 sa rozhodovali, či pokračovať ďalej alebo či sa stanú časťou väčšieho celku. Druhú možnosť zvolili preto, že byť v Ciscu znamená prístup k obrovskému objemu dát. A mohli naplno využiť vlastný algoritmus a systém, ktorý je založený práve na ich analýze.
Zároveň získali viac klientov a to znamená, že ich môžu chrániť lepšie. V tejto oblasti je to ako snehová guľa. Čím viac klientov, tým viac dát a tým lepšia a rýchlejšia analýza útokov. Ak sa objavil útok u jedného, spôsob ochrany bol nasadený naraz u všetkých.
Tím Cisco Cognitive Threat Analytics funguje na pozorovaní odchýlok v správaní ľudí na internete. Nesledujú kto čo konkrétne robí. Ale vidia, ak zrazu robí niečo úplne iné než doteraz. 99 percent dát zahadzujú. Nielen kvôli ochrane súkromia. Jednoducho by bolo príliš drahé ich uchovávať. Posledné percento podrobne prekontrolujú a rozdelia do troch skupín.
Cognitive Security. Boj s kybernetickými útočníkmi neprebieha v supertajných laboratóriách. Zdroj: Marián Biel
Prečo si bol na tom webe?
Buď je nevšedná aktivita v poriadku a tieto údaje zahodia. Alebo je zjavné, že ido o druh útoku a okamžite o tom informujú relevantné osoby alebo firmy. V treťom prípade sa k výsledku dopracujú až po dlhšej a hlbšej analýze. „Ochrana nie je len zatvoriť pred útočníkom dvere. Ale aj o tom, aby sme vedeli čo najskôr zareagovať na to, že je zlodej v dome.
Každý jeden zámok sa dá skôr či neskôr otvoriť. Rovnako je každý jeden počítač napadnuteľný,“ vysvetľuje M. Rehák. Ich riešenie znižuje životnosť a výnosnosť útoku. A keď už sa počítač nedá úplne ochrániť, dá sa zabezpečiť, aby bol napadnutý kratšie a s menšími stratami.
V praxi to vyzerá tak, že na základe ich analýzy nahlásia administrátorovi v nejakej firme, že firemný počítač s touto IP adresou pristupuje na pre neho nevšedné servery. Navyše také so zlou reputáciou. Vidia, že si danú doménu vyhľadal cez Yahoo a dostal sa na taiwanskú stránku s videami, ktorá vyzerá úplne legitímne. Podobné stránky sú obľúbeným cieľom útočníkov. Majú dostatok návštevníkov a málo investujú do ochrany. Útočník priamo na nich nič nezničí ani neukradne. Len vloží na daný server svoj škodlivý kód. Ten potom návštevníkov infikuje.
Trendom je ale svoje útoky cieliť. Ak chcú napadnúť ľudí z armády, infikujú napríklad stránky s novinkami o zbraniach. Alebo sa dá zaplatiť cielená reklama na danú skupinu ľudí. Používajú tak legitímne marketingové nástroje. Škodlivý kód býva modifikovaný tak, aby bol unikátny a útoky sa na seba nepodobali. Často sú dôsledkom chyby prehliadača. „Alebo v tomto prípade skôr chybe Flashu,“ upresňuje M. Rehák. A pomocou nich môže útočník daný počítač ovládať.
Podľa druhu malvéru sa potom útočník rozhodne čo ďalej. Rozhodovať sa môže aj veľmi dlho. Správa Cisco Security hovorí, že kým v minulosti boli útoky zvyčajne hneď jasné, dnes sa snažia útočníci naopak zostať skrytí a zabrániť odhaleniu útokov bezpečnostnými mechanizmami siete.
V mnohých firmách tak môže škodlivý kód existovať v sieti až dvesto dní bez toho, aby bol odhalený. Práve skrátenie času, počas ktorého má útočník prístup k napadnutej sieti, je jedným z kľúčových prvkov bezpečnostných stratégií. Len na prevenciu sa tak už nedá spoliehať.
