Máme se víc bát ajťáka, co přešel na temnou stranu, nebo obyčejného podvodníka, který nás „natáhne“ i bez užší specializace? Jakými způsoby v současnosti nejvíce hackeři útočí na obyčejné lidi a jak se to liší od útoků na firmy? O současných metodách kyberzločinců jsme si povídali s etickým hackerem, který pomáhá útokům předcházet nebo je odrážet.
Ač si spousta lidí význam domyslí, na úvod raději řekněme, kdo je etický hacker, co v praxi dělá a co přesně je vlastně hackování?
Když to zjednoduším, tak jsme „hračičkové“, co rádi zkoumají, jak věci fungují, a vymýšlíme, jestli by se nedaly vylepšit, přechytračit či zneužít. Tuto naši vášeň pak praktikujeme legálně, se svolením či na žádost zákazníka. V tomto případě se bavíme o etických hackerech, kteří dodržují zákon a pravidla. Ti, co jednají protizákonně, jsou hackeři-kyberzločinci.
Jaké všechny motivy může dnes mít hacker, který je na té „temné straně“? Spousta lidí si myslí, že musí jít jen o peníze.
Ano, nejčastěji jde právě o peníze. Avšak jsou i další motivace. Někoho žene vpřed jeho ego, pomsta, či zvědavost. A pak jsou tu vládní skupiny hackerů, pro které je to práce.
Nesmím taky zapomenout na hackery, kteří útočí, aby propagovali své hodnoty a vidění světa. Tuto skupinu nazýváme „hacktivists“. Jsou to v podstatě aktivisti, kteří místo blokování silnic traktory blokují systémy svými počítači. Takovouto haktivistickou skupinou je třeba skupina Killnet, která před pár měsíci útočila i na české weby.
Jaké jsou v poslední době největší trendy v kyberkriminalitě cílící na firmy a cílící na obyčejné lidi? Vnímáte, že se pozornost hackerů stále víc upírá na firmy, protože z nich mají větší zisk?
Já bych se na to nekoukal pohledem „buď, anebo“. Hackeři, kteří se zaměřují na firmy, jsou jiní než ti, co se zaměřují na lidi. Jsou to dva rozdílné světy, úplně jiný sport.
Kyberzločinecký byznys je mnohem komplexnější, než si lidi myslí. Není to žádná one-man show. Dochází zde ke specializacím, kdy se na jednom útoku podílí i několik skupin, přičemž každá skupina zajišťuje jinou část útoku. Například zvlášť se zajišťuje vývoj malware, phishing, pronikání do sítí, zpeněžení ukradených dat.
Pro představu, na začátku roku 2022 unikla interní komunikace zločineckého gangu s názvem Conti, ze které vyplynulo, že skupina „zaměstnávala“ kolem 100 lidí. To by byla v Česku středně velká firma.
Martin Haller
CEO a zakladatel společnosti Patron-IT a etický hacker.
Specializuje se na kybernetickou bezpečnost a ochranu dat před útoky hackerů.
Naučil se hackovat, aby uměl zabezpečit sítě firem i veřejných institucí.
Stal se druhým Čechem oceněným GURU rankem v žebříčku HackTheBox.
Píše blog o ochraně a správě firemního IT.
Jaké podoby může mít napadení hackery cílící na obyčejného spotřebitele?
Nejčastějším motivem jsou peníze. Útočníci tedy jdou po věcech, co dokážou nějak zpeněžit. Standardní hrozby tedy jsou zašifrování dat s požadavkem o výkupné, krádež kryptoměn, zneužití platebních karet, krádež prostředků z elektronického bankovnictví, krádež účtů na sociálních sítích, které použijí k dalším podvodům. Dále krádež skenů osobních dokladů, jako je občanský průkaz, pas nebo řidičák pro finanční a další podvody, také krádež přihlašovacích údajů do firemního prostředí za účelem útoku na firmu, zneužití napadených zařízení k páchání dalších zločinů – například zapojení do DDoS útoků či schování se za vaši IP adresu. Dále pak krádež důvěrných informací ze soukromé komunikace za účelem vydírání.
To jsou věci, co mě v rychlosti napadají. Ne vždy se však musí jednat o hackera. Stává se, že zařízení či online účty vám napadne i žárlivý (ex)partner či rodič za účelem šmírování.
Jaké podoby může mít napadení hackery cílící na firmu?
Přečtěte si také: Experti: Největší hrozbou na internetu je uživatel
Nejčastější podoba, se kterou se potkáváme, je právě ransomware. Jde o vydírání, kdy oběť platí za navrácení zašifrovaných dat a za to, že je útočníci nezveřejní. Následují různé podvody typu BEC, tedy business e-mail compromise, kdy se útočníci snaží přesvědčit někoho ve firmě, aby zaplatil falešnou fakturu či poslal peníze na špatný účet.
Některé útoky proběhnou i za účelem špionáže či způsobení škody, říká se jim wiper malware. Tyto útoky jsou však velice málo časté.
Když je pozornost hackerů upřená na firmu, soustředí pozornost hlavně na její pracovníky, kteří jsou snazším cílem?
Je to tak půl na půl. Za polovinou útoků mohou běžní zaměstnanci, kteří se stanou obětí phishingu.
Druhá půlka případů je důsledek špatného nastavení, neopravené zranitelnosti či slabých hesel a to jde zase za správci IT. Avšak ať má na tom větší podíl jedna, či druhá skupina, většinou je za každým úspěšným útokem vícero pochybení na různých stranách.
Jakými chybami zaměstnanci nejčastěji připraví svou firmu o peníze?
Záleží podle typu útoku. U těch BEC podvodů, kdy zaplatí falešnou fakturu, je to zpravidla z nepozornosti či naivity. U ransomware pak často pustí útočníky do sítě skrze phishingový e-mail tím, že spustí škodlivou přílohu či útočníkům prozradí své přihlašovací údaje.
Někdy se také stane, že uživatelům utečou firemní přístupové údaje skrze domácí počítač. Ten bývá často sdílený mezi více členů rodiny a nepodléhá takovému zabezpečení a dohledu jako firemní počítače. Stává se pak, že někdo z rodiny na počítači používá pirátský software (warez), který si s sebou nainstaluje keylogger, tedy program, co sleduje, co vše píšete do počítače. Když se pak z PC někdo přihlašuje na dálku do firmy, jeho heslo poputuje i k útočníkům, kteří jej prodají někomu dalšímu.
Když se ještě zastavím u ransomwaru, jak probíhá vyjednávání o výkupném? Jak vysoké může být u obyčejného spotřebitele a jak u firmy?
Komunikace probíhá v angličtině skrze e-mail, aplikaci Telegram, či jejich webovou stránku. Výkupné pro běžné lidi se pohybuje kolem 10 000 Kč (400 USD). U malých firem do 20 zaměstnanců v desetitisících korun. U firem do 1000 zaměstnanců jsou to stovky tisíc a u větších firem pak miliony korun.
Přičemž z naší zkušenosti běžní lidé téměř nikdy nezaplatí, protože pro ně ta data takovou cenu nemají. Naopak u firem je placení poměrně běžné, ale to může být zkreslené tím, že se dostáváme zejména k těm vážnějším případům. Každopádně mi z toho vyplývá, že je finančně mnohem zajímavější útočit na firmy.
Nejnověji se podařilo útočníkům zašifrovat data Ředitelství silnic a dálnic, které odmítlo výkupné zaplatit. Dá se dle vaší zkušenosti paušálně říci, že oželet data je lepší než zaplatit? A dá se vůbec spoléhat na to, že mi po zaplacení vůbec data rozšifrují?
Já se na to koukám víc pragmaticky. Za předpokladu, že data mají větší hodnotu než požadované výkupné a není pro vás morální či právní problém výkupné zaplatit, pak bych zaplacení zvažoval.
Ano, je zde riziko, že ani po zaplacení data nedostanete, ale toto riziko je mnohem menší, než si lidé myslí. Když člověk ví, na co se podívat, co po útočnících chtít, tak by to mělo klapnout na první dobrou. Nám se ještě nikdy nestalo, že bychom se k datům následně nedostali.
Ono je v podstatě v zájmu útočníků dodržet slovo. Když by se totiž vědělo, že ani po zaplacení data nedostanete, jejich byznys by přestal fungovat. Myšleno, žádná další oběť už by jim nikdy nezaplatila.
Teď otázka laika na ajťáka. Když mi ransomware jako spotřebiteli zašifruje počítač, já zaplatím a získám je zpět, co bych měla dělat, aby bylo užívání počítače dál bezpečné? Můžu znovuzískaným datům a počítači obecně vůbec věřit, nebo bych se jich měla bát, že se v nich může skrývat škodlivý kód, který mě může v budoucnu připravit o další peníze?
Určitě bych si data okamžitě zálohoval na nějaký externí disk, abych o ně případně nějakým chybným krokem znovu nepřišel a nemusel opět jednat s útočníky. Následně by se určitě hodilo napadené zařízení přeinstalovat.
Dešifrovaným datům můžete věřit, když se jedná o dokumenty, fotky, videa, databáze a jiná data. Aplikace bych si však nainstaloval znovu.
Když výkupné nezaplatím, znamená to, že mi zbyde aspoň ten hardware s tím, že si počítač mohu úplně přeinstalovat? Je pak bezpečné ho používat?
Ano, je to tak. Ta zařízení můžete po přeinstalování považovat opět za důvěryhodná.
Samozřejmě, pokud tuto mou odpověď bude číst nějaký profesionál, tak namítne, že existuje i malware, který neodstraníte ani reinstalací.
Samozřejmě má pravdu. Avšak, i když takové možnosti existují, tak jsme se s nimi u běžných zločineckých útoků zatím nesetkali. Pokud by se mělo jednat o útok provedený nějakými vládními hackery (APT skupiny), pak by záleželo na dalších okolnostech.
Může běžné uživatele upozornit nějaký signál na to, že máme napadený počítač? Mám na mysli např. nižší výkon, pomalejší odezva kvůli skrytému těžení kryptoměn apod.?
Říkáte to správně. Zpozornět by člověk měl, když počítač začne být dlouhodobě (tedy několik dní vkuse) zpomalený, začnou mu v počítači vyskakovat reklamy, přestanou fungovat nějaké weby či má pocit, že někdo ví informace, které by znát neměl.
V jednom vašem videu zmiňujete „dobré nastavení antiviru“, v souvislosti s firmou. Můžu mít dobře nebo špatně nastavený antivirus i jako spotřebitel bez firemního IT specialisty za zády? Nebo jsou dnešní produkty pro spotřebitele „blbuvzdorné“ a všechna podstatná nastavení mají daná? Zaujalo mě, že jste mluvil např. o zaheslování antiviru, aby se zabránilo po napadení počítače jeho odinstalaci.
Dlouhodobě si myslím, že z uživatelů bychom se neměli snažit dělat odborníky na bezpečnost. Jedná se o složitý obor a lidi mají svých problémů a starostí dost. Proto věřím, že cestou vpřed je dělat věci „blbuvzdorné“, jak říkáte.
Ať si každý na svůj počítač i Android tablet či mobil nainstaluje alespoň nějaký antivirus. Pokud se chce hrabat v nastavení, ať to klidně udělá. Nicméně i výchozí nastavení mu prokáže dobrou službu.
U firem je situace trochu jiná. Jak jsem řekl dříve, hraje se tam o více peněz. To láká schopnější útočníky, kteří mají motivaci vyvinout více kreativity než u běžných uživatelů. Správci firemních sítí proto musí vyvinout více úsilí pro zabezpečení jejich sítě. Avšak na druhou stranu, oni jsou profíci, co svému oboru rozumí, a konfigurovat antivirus je pro ně srozumitelnější než pro běžného uživatele.
Když na svém videu ukazujete, jak mohou útočníci obcházet antiviry, nedáváte tím nápovědu třeba začínajícím hackerům, jak se posunout v útocích dál a vést sofistikovanější útoky?
To si nemyslím. Jakmile nějaký takový postup zveřejním, tak přestane do pár týdnů fungovat, protože antivirové společnosti tento typ tvorby sledují a promptně na to reagují aktualizacemi. Začínající hackeři to tedy nemohou jen okopírovat 1:1 a zkušení hackeři to dávno znají.
Tvorbou však chci apelovat na obránce. Ukázat jim, že se nedá spoléhat jen na jednu technologii a že obejít ji může být snazší, než si myslí.
Vrátím zpět ke spotřebitelům, dnes máme free Wi-Fi v kavárnách, obchodních centrech i vlacích. Jak je (ne)bezpečné je používat nebo co dělat, aby jejich využití bezpečné bylo?
Myslím, že už to není takový problém jako dřív. Aktuálně je téměř všechen provoz šifrovaný a správce té Wi-Fi ani další uživatelé do jeho obsahu nevidí. Věřím, že do pár let už to nebude potřeba vůbec řešit.
Být uživatelem, zaměřil bych se tedy spíš na to mít dobrá hesla, vícefaktorové ověřování, aktualizovaný telefon a čuch na podvody.
Co naše domácí wifiny? Většina spotřebitelů je prostě nechají nainstalovat technikem a pak už s nimi dál nepracují. Je to riziko?
Riziko vidím v tom, že domácí chytrá zařízení jsou v rámci vnitřní sítě zranitelná. Mají slabá, nebo žádná hesla a často obsahují chyby. Lidé, co se na Wi-Fi připojují kvůli znalosti hesla, tak jsou o krok blíže je zneužít.
Opět se ale bavíme spíše o hypotetických problémech. Stále by se musel najít někdo, kdo by měl motivaci vám s nimi něco provést. Vyžaduje to znalosti a čas. Lidé, co tyto znalosti mají, pak většinou čas nemají, protože práce je hodně. Zároveň rizik pro uživatele a jejich data je více než jenom vaše Wi-Fi.
Pokud to však chce někdo řešit, tak bych doporučil: vytvořte si doma dvě Wi-Fi sítě. Jednu pro rodinu, s přístupem k celé síti. Druhou pak pro návštěvy, která bude mít přístup jen do internetu. Svůj Wi-Fi router pak jednou za pět až deset let v rámci technologického upgradu vyměňte.
Pokud se hacker nabourá např. do videochůvičky, jak to lze poznat? A jaká preventivní opatření učinit, aby rodinu nikdo nešmíroval?
Toto se bohužel poznat nedá. Pokud se tedy útočník nerozhodne dítě strašit tím, že na něj bude skrze chůvičku mluvit (to už se opravdu stalo). Nejlepší prevence je pak chůvičku nepoužívat, stejně tak bezpečnostní kamery. Avšak uvědomuji si, že tato rada moc praktická není. V takovém případě bych přemýšlel nad místy, jaká budou zabírat, a kupoval bych jen výrobky známých výrobců (avšak ani to není vždycky zárukou).
V současnosti už je celkem běžné platit chytrými hodinkami, kde máme uloženou platební kartu. Jsou útoky na taková zařízení časté? Existuje antivir i na ně? Jak se chránit v tomto případě?
Dobrou zprávou je, že operační systémy v mobilních zařízeních jsou bezpečnější než operační systémy v počítačích. Útoky na mobilní zařízení se nejčastěji dějí, že si uživatel nainstaluje „pochybnou“ aplikaci, které pak udělí příliš vysoká oprávnění. Či si sice nainstaluje legitimní aplikaci, ale v „pirátské“ verzi z pochybného zdroje.
Rada tedy je, kupujte si mobilní zařízení, která od výrobce dostávají aktualizace, a instalujte si do nich pouze aplikace, které znáte a používáte.
V čem podle vás nejčastěji chybují obyčejní spotřebitelé doma?
To je dobrá otázka. Celou dobu se tu bavíme o hackerech, co napadají naše zařízení, a kradou nám data i finance. Paradoxně však většinu podvodů okolo mě neměli na starost hackeři, ale obyčejní podvodníci.
Z mého pohledu je mnohem pravděpodobnější, že uživatel naletí nějakému podvodníkovi, než že by se na něj zaměřil hacker. Poslední rok jsou dost populární a účinné podvody na inzertních serverech, před pár lety to byly „sextortion“ podvody a podvodné e-shopy. Na osamělé osoby stále cílí „romance scams“. A na sociálních sítích již nejspíše každý také dostal žádost od „kamaráda“, kterému hacknuli účet, aby mu poslal nějaké peníze.
Médii kolují různá desatera, která mají snížit riziko napadení spotřebitele. Co je nejdůležitější pro vlastní ochranu podle vás?
Ta desatera jsou zpravidla dobrá. Jen je problém, že i když všichni ví, co mají dělat, tak se tím neřídí. To je bych řekl obecně problém našeho oboru IT bezpečnosti.
ČLÁNKY DO MAILU