„Optimismus není na místě, spíše naopak, je třeba připravit se na to, že to v budoucnu nebude legrace,“ říká o kyberbezpečnosti šéf společnosti net.pointers Martin Půlpán.
Virtuální prostor už není, co dřív býval. S rozšiřujícími se technickými možnostmi se z něj pomalu ale jistě stává nejen místo bezmezných možností, ale také drsné bojiště. O kybernetických hrozbách, chování českých uživatelů i hackerů jsme hovořili s Martinem Půlpánem, jednatelem společnosti net.pointers. „Optimismus není na místě, spíše naopak, je třeba připravit se na to, že to v budoucnu nebude legrace,“ dodává ve své predikci vývoje kybersvěta.
Zabýváte se analýzami hackerských útoků a jejich signaturami. Jaká je v současnosti nejpoužívanější strategie a způsob DDoS útoku na weby?
DDoS útoky se velmi rychle vyvíjí, jsme stále o krok pozadu. Proti nám stojí armáda ambiciózních hackerů, kteří k tomu mají nejrůznější důvody – hobby, ego, byznys… Často to jsou mladí lidé, kteří nemají žádná pravidla, fungují v různých komunitách. Druhým typem hackerů jsou dobře organizované skupiny, součástí klasického organizovaného zločinu. Kybernetická kriminalita podle některých statistik svým objemem už výrazně předčila tu „klasickou“.
Předstihla ji v objemech „ukradených“ peněz či počtu krádeží?
V objemu peněz, které se v ní „točí“, v ziskovosti. Jde o velkou finanční sílu, která lze velmi snadno zneužít.
K čemu třeba?
Kybernetický útok může mít různé cíle: někoho jen poškodit, shodit server, anebo vytvořit zástěru pro další útok na specifická data – vytvořit podmínky pro průnik do systému. A to už se bavíme o díle organizovaného zločinu.
DDoS totiž zpravidla destabilizuje servery, případně restartuje komunikační systémy či je donutí k nestandardnímu chování, kterého následně využije další skrytý útok a jeho fáze, kdy třeba dojde k infiltrování malwaru, který následně může skrytě posílat citlivá data v rámci průmyslové špionáže, osobní údaje, finanční informace.
Například některé globální logistické firmy s tímto měly zásadní problémy – někdo jim dokázal trasovat zásilky. Pokud daný balík byl pro zločince nějak zajímavý (nová edice elektronického zboží, hodnotné předměty, či skrytá přeprava drog), nebylo snazší než pak přepadnout dodávku před tím, než dorazí třeba na celnici.
Takto vzniklo mnoho „čistých“ drogových distribučních kanálů, často z Jižní Ameriky do Evropy. Případně pokud byla na trh uváděna nová vlna například spotřební elektroniky, organizovaný zločin tyto přístroje mohl odchytit ještě před tím, než dorazily na oficiální prodejny, ukrást a výhodně prodat na černém trhu ještě před jejich oficiálním uvedením.
Šéf net.pointers Martin Půlpán. Foto: Týdeník Euro
Útoky nicméně mnohdy nemají zjevný důvod…
To je naše realita. Je to o tom, že jednoduchý kybernetický útok typu DDoS se dnes dá uskutečnit velmi snadno. Internetovému laikovi stačí trocha času, stažení pár „polotovarů“ z internetu a dopsání specifických příkazů, a útok je na světě. A to vše bez hlubokých odborných znalostí, stačí jen zaplatit. Celý útok si samozřejmě lze i objednat, zaplatit kartou podobně, jako si kupujeme věci na e-shopu.
Nedávno se provalila chyba Heartbleed. Zaregistrovali jste vyšší snahu hackerů využít této chyby? Například na serverech, které ještě danou knihovnu nestihly aktualizovat?
Situace se opakuje – největší bezpečnostní hrozby jsou dány tím, že jim nebyla dostatečná pozornost prevenci a údržbě systémů, zejména pravidelné aktualizaci. To jsou nejsnadnější místa, jak se prolomit do jakéhokoliv systému. A to je velký problém. Chyby, které byly detekovány před několika lety, se neustále využívají k útokům. Stále funguje mnoho serverů, které je nemají opraveny. Medializace případu tomuto problému nicméně pomohla. Mnoho správců serverů bylo „vystrašených“ a značné množství jich zareagovalo updatem. Hlavní roli však hraje lidský faktor.
Takže admin serveru?
Ano, chyba lidského faktoru je nejčastější příčinou průniku do sítě. A nemusí to být přímo admin. Stačí, když uživatel klikne na infikovanou přílohu v e-mailu či nezkontroluje flash disk. Občas se vyskytne i zhrzený admin, který dostal výpověď, a tak se rozhodl škodit, případně je dlouhodobě nespokojený ve své práci a začne si tak tímto přivydělávat. To se pak velmi těžko kontroluje bez potřebné technologie.
Kromě firewallů je tedy potřeba mít přehled nad děním v síti…
Velkým nebezpečím je právě chování uživatelů sítě. Většina administrátorů je slepých, jen tuší, co se jim v síti děje. Velmi málo firem detailně monitoruje, co a proč se v síti odehrává. Jsou bezpečnostní pravidla, která definují nastavení procesů ve firmě, jak by se uživatel měl chovat, co by měl či neměl dělat, ale reálně neexistuje kontrola těchto pravidel nebo jejich vynucení. My se zabýváme detekcí toho, co by v síti být nemělo.
Většinou nehledáme konkrétní věci, signatury či kódy. Mnohem účinnější v prevenci útoků, byť technologicky náročnější, je dívat se na tuto logiku obráceně – tedy popsat, co by se mělo dělat, co uživatel smí. Vše, co do tohoto vzorce chování nezapadá, pak je problém či bezpečnostní riziko pro síť. Zpravidla jde o nedbalostní problémy, nedodržení pravidel.
Typickým příkladem je třeba rok a půl starý případ úniku výsledků ČEZu o několik hodin dříve než dovolují pravidla burzy. Proč? Protože někdo nakopíroval na server data, k nimž novináři z Reuters měli přístup. Někoho pak napadlo se na ten server podívat dříve a informace tam našel a v předstihu publikoval, čímž byla porušena burzovní pravidla a ČEZ za to dostal pokutu.
Velmi častým prohřeškem je pak třeba využívání freemailových serverů k zasílání si práce domů. V případě bankovních domů, které pracují s citlivými daty, je to problém. Pro bankovního zaměstnance může být někdy složité požádat o nějakou vlastní VPN, a pokud banka nemá nástroje, prostřednictvím kterých by kontrolovala odchozí komunikaci, tak je to velké bezpečnostní riziko. K datům totiž mají přístup pracovníci poskytovatele mailu, a ti samozřejmě nemusí být zcela loajální k vaší firmě a data mohou zneužít.
Martin Půlpán. Foto: net.pointers
Z hlediska VPN a externích úložišť – jak jsou na tom ty „velké“ služby typu OneDrive, Dropbox, Google disk?
Záleží na typu dat, které jim svěřujete. Pokud to jsou třeba čísla platebních karet, tak tomu rozumí každý. V lokálním, českém, kontextu by se dalo říci, že je to o „trochu“ bezpečnější.
Když však používáte takovéto typy služeb, tak de-facto souhlasíte s tím, že o svá data můžete kdykoliv přijít a že nemají privátní charakter. Například fotografie – ty se velmi často kradou. Setkali jsme se už s případem, kdy hacker ukradl soukromé fotografie, prodal je do fotobanky a následně fotobanka žalovala pro porušení autorských práv daného člověka, kterému původně fotky patřily. Nikdo už nezjišťoval, kdo je autorem. Byl to cílený byznys. Privátní data zůstanou privátní pouze v privátním prostoru.
Jak je na tom Česko? Je to stále malý rybník, který nikoho z „velkých“ hackerů „nezajímá“?
Co se týče atraktivity cílů, tak jsme stále v těch zadních řadách. Ale to se postupně mění. Fungují zde globální firmy, které sem začínají přesouvat datová centra či své pobočky. A to naši atraktivitu pro hackery samozřejmě zvyšuje. Pak je třeba zmínit velké množství šikovných „domácích“ hackerů. Česko je po světě proslulé šikovnými programátory.
Dva tři roky nazpátek začaly být DDoS útoky poměrně četnou záležitostí. Prvními oběťmi byli operátoři sítí, kteří nyní již mohutně investují do ochrany proti těmto typům útoků. Minulý rok se staly cílem mediální servery. Tyto útoky nebyly zas tak nebezpečné, nicméně velmi medializované, byl to dobrý marketing hackerů. Efekt ztráty dat tam tak veliký nebyl.
Mnohem horší jsou pak útoky na finanční instituce či platební portály, ty už tolik vidět nejsou. Obecně je známo, že například hackeři z Číny velmi rádi kradou know-how. Pro hackery napojené na organizovaný zločin jsou také zajímavé informace či databáze pojišťoven – obsah smluv, umístění pojištěných cenných předmětů a podobně.
Poměrně daleko v boji proti kyberkriminalitě jsou pak samozřejmě banky, pro které je to otázka života a smrti. Tragédii však představuje státní správa. Země v západní Evropě, jako třeba Velká Británie, Nizozemí, Francie či Německo, investují 1,5 až 2 procenta do kybernetické bezpečnosti. Francie s Německem a Velká Británie již deklarovaly, že jsou v kybernetické válce. Dnes se už neválčí komerčně, mnohem více škod se dá udělat dobře cíleným kyberútokem.
Krásně je to vidět třeba na ukrajinském konfliktu. Jakmile se Rusko a Ukrajina začaly přít, v on-line světě se zvýšila intenzita a počet DDoS útoků Ukrajina-Rusko, Rusko-Evropa, Rusko-USA a podobně. Jde o nástroj na vyvíjení tlaku. Při anexi Krymu měla spousta ruských bank problém fungovat – důvodem nebyla nějaká chyba v jejich infrastruktuře, ale soustava dlouhodobých DDoS útoků. DDoS je politický nástroj, kterým lze vyřadit státní struktury. Samozřejmě, řízení jaderného reaktoru je od sítě internet fyzicky odděleno, ale aby fungovala distribuční síť, tak k tomu stát potřebuje celou řadu dalších komunikačních systémů, které už jsou zvenčí napadnutelné.
Další věcí je ochrana e-governmentu. Většina států západní Evropy používá internet k primární komunikaci s občanem – výběr daní, základní agenda, distribuce informací, chod bezpečnostních systémů typu 112 – to jsou všechno služby, které lze „snadno“ napadnout. V Česku máme velký nedostatek legislativy i odborníků.
Většina administrátorů je slepých, jen tuší, co se jim v síti děje Více na: http://nazory.euro.e15.cz/rozhovory/martin-pulpan-kybersvet-se-stava-drsnym-bojistem-cesko-neni-pripravene-1089347#utm_medium=selfpromo&utm_source=e15&utm_campaign=copylink.
Nový kybernetický zákon nepomůže?
Kybernetický zákon, který je v přípravě, je z mého pohledu, jakožto odborníka, pouhým politickým kompromisem, abychom si mohli odškrtnout jeden úkol, který nám EU zadala. Obsah daného zákona je však o ničem. Není v něm třeba správně definováno, co vlastně kritickou infrastrukturou státu je, je tam malá vynutitelnost informační povinnosti napadených organizací, či nedostatečné pravomoci při kontrolách. Navíc nemáme právní řád, který by byl schopen vyšetřit kybernetický útok a náležitě jej postihnout. Zoufale chybí v bezpečnostních složkách a justičním systému odborníci.
Dovedete si například představit, že přijdete jakožto ředitel firmy na místní oddělení PČR a řeknete: „Můj PC byl napaden a došlo ke zneužití mých osobních dat, pomozte mi.“ Soudy podobné případy v životě neviděly, neřešily, neexistují precedenty, jak tyto věci soudit. V boji proti kyberkriminalitě jde o rychlý zásah, zajistit potřebné důkazy, než je hacker za sebou zamete a vypátrat jeho identitu. Laxní a neodborný přístup není na místě. Kyberzločinci nemají zábrany, nemusí a neřídí se v podstatě ničím. Proti takovým typům lidí je potřeba postupovat velmi rychle a exemplárně.
Příkladem je třeba Velká Británie, kde jsou tyto delikty velmi těžce postihovány a jdou mimo jakoukoliv běžnou legislativu – mají absolutní prioritu a vlastní přísná pravidla. V těchto případech se hraje o čas – často stačí jen minuta od napadení a dojde k úniku informací. Vyšetřovatelé musí být schopni velmi rychle jednat, mít k dispozici forenzní data, z nich rychle připravit podklady pro soud a zároveň rychle zasáhnout. Důležitá je také mezinárodní spolupráce – vyšetřovatelé potřebují zmapovat, kam případně ukradená data tečou, případně z jakého regionu přichází útok a kdo je za nimi. Tyto aspekty mezinárodní spolupráce však téměř v Evropě nefungují.
Popisujete reakci na to, když uživatel zjistí, že jeho PC je napaden nebo je například součástí botnetové sítě, ze které se útočí. Jak to však má možnost zjistit?
Většinou na to přijdete tím, že vás poskytovatel připojení odpojí poté, co sám dostal výstrahu od poskytovatelů primární konektivity na nestandardní datové toky z daného PC.
Jinak uživatel nemá šanci?
Má, ale musel by mít analyzátory a trochu více se zabývat kybernetickou bezpečností. Často jde o dodatečný malware, který si nainstalujete třeba v dobré víře při instalaci užitečného shareware.
Antivirové systémy v tomto případě pomohou?
Pomůžou jen na známé věci. Nevýhodou těchto systémů je, že hledají určité signatury. Pokud něco zatím není popsáno, tak to tyto systémy neodhalí. Pokud tedy přímo neanalyzujete obsah komunikace vašeho PC se sítí.
Android, to je zásadní bezpečnostní problém Více na: http://nazory.euro.e15.cz/rozhovory/martin-pulpan-kybersvet-se-stava-drsnym-bojistem-cesko-neni-pripravene-1089347#utm_medium=selfpromo&utm_source=e15&utm_campaign=copylink.
Takže kdykoliv se můžeme stát nástrojem hackerů?
Díky tomu, jak blízko máme k českým internetovým operátorům, můžu říci, že 15 až 25 procent uživatelů ADSL je součástí botnetových sítí. A to je obrovské číslo, které neustále stoupá. Z toho si pak lze udělat obrázek o tom, jak asi jsou zabezpečeny PC českých domácností. Mnohdy by stačilo mít klasický slušný antivirový systém. Pořád se najde dost uživatelů, kteří na něco kliknou, ani neví, na co.
Přenosná zařízení jsou výjimkou?
Kdepak. Například nejnebezpečnější v tomto ohledu je otevřený systém Android. To je zásadní bezpečnostní problém. Na trhu je přes 300 variant Androidu, nejrůzněji modifikovaného. Dalším problémem je služba Google Play, která nemá některá zásadní pravidla. Například není možné jednoznačně identifikovat prodejce dané aplikace. To například u Apple Store není přípustné a proto Apple platí za relativně bezpečný mobilní systém.
Dalším problémem je to, že Android jakožto operační systém má mnoho funkčností, které se dají využít pro mnoho úžasných aplikací, které se však dají velmi snadno zneužít. Proto je například Apple iOS blokuje.
Jaké například?
Například z Applu bez potvrzení nic neodešlete – e-mail, SMS, nic. Musíte povolit přístupy a podobně. Samozřejmě, i Android lze zabezpečit, zpravidla ale jen díky tomu, že aplikacím zakážete přístup k určitým typům dat: zakážete monitorování polohy, zakážete odesílání dat, přístup k adresáři a podobně. Často si aplikace samy stahují updaty, a pokud hacker napadne server výrobce dané aplikace, tak mu může podstrčit modifikovaný software/malware. A uživatelé si to pak nevědomky automaticky stáhnou.
Jak na takové zneužití jako uživatel lze přijít? Monitoring datových toků?
Někdy rychle vyčerpáte datový tarif, někdy ale ani to ne, často jde o drobné pakety. Pak se lze orientovat dle výdrže baterie, no a v krajní řadě pak uživatelům třeba začnou mizet peníze z účtu, protože v telefonu mohou mít aplikace, v nichž mají uloženy čísla karet či přístupová hesla. A marginálních částek si lze těžko všimnout. Případně vám hacker „odposlechne“ hesla, která píšete do aplikace v telefonu, a pak si skrze ni může vzdáleně poslat třeba vaše peníze.
Důležité je dodržovat pravidla – nestahovat si nedůvěryhodné aplikace či hry, kontrolovat výrobce aplikací, zhodnotit si, zda tuto aplikaci opravdu potřebuji. Za hezkým screensaverem může být mnohdy něco schováno. Často takové aplikace chtějí přístup k datovým přenosům, osobním adresářům, polohovacím službám – k čemu? Uživatel si toho nevšimne, odkliká svolení a pak se diví.
Pomohou v těchto případech mobilní antivirové a antimalwarové softwary?
Na to pozor, na trhu je spousta výrobců a aplikací, řekněme levných aplikaci, kteří nejsou schopni zjistit téměř nic. Bohužel jich je zhruba polovina. Chce to používat renomovaného výrobce, etablovanou firmu. A pak samozřejmě mít jakožto uživatel disciplínu. A pokud náhodou máte podezření, že se něco takového stalo, tak je důležité vypnout datové přenosy, zálohovat si osobní data a smazat telefon do továrního nastavení.
Národní kyberbezpečnost startuje. Bere i absolventy
Vrátíme-li se do českého prostředí. Co hrozí nejvíc? Napadení PC nebo napadání mobilů?
Mobil bude v budoucnosti velkým problémem. Jak pro mobilní operátory kvůli přechodu na vysokokapacitní LTE sítě. Mobil je počítač s vysokým výpočetním výkonem a díky LTE mu dá další možnosti k „rozletu“. Pokud pak bude více infikovaných mobilů v LTE síti zapojených do botnetové sítě, tak to bude operátorům působit velké potíže.
V současné době jsou největším problémem finanční operace, citlivá data a průmyslová špionáž či obyčejný vandalismus. Podíváme-li se na statistiky toho, co vede hackery k útokům, tak dříve to byl finanční zisk (prolomit se na bankovní účet a ten vysát), nyní je to díky dostupnosti hackerských nástrojů hlavně vandalismus. A tam je problém, že jakožto správce sítě nevíte, odkud ten útok přijde.
To není moc optimistický výhled. Je něco v této oblasti pozitivního, čím bychom mohli náš rozhovor zakončit?
Tam není místo na optimismus. Musíme si uvědomit, že kybernetická bezpečnost se týká nás všech. To, že ČR byla chvíli mimo zájem hackerů, je sice fajn, ale jsme součástí Evropy a časem to na nás také dopadne. Naopak, začneme být zajímavým cílem, a to právě díky naší nízké úrovni zabezpečení či absenci kooperace resortů. Je potřeba vytvořit platformy, kde si třeba konkurenti budou sdělovat informace o tom, co se jim kde jak stalo a jak na to reagovali.
Není to jen o investicích do drahého HW, ale také nadefinování rizik, procesů, krizového řízení… A to jak na lokální, tak mezistátní úrovni. Navíc bude potřeba sdílet informace o zdrojích, které útočí. A s tím jde ruku v ruce výše zmíněná represe takových skutků. Optimismus není na místě, spíše naopak, je třeba připravit se na to, že to v budoucnu nebude legrace.
