ESET: ze své centrály sledují celý svět, největší hrozbou je ransomware

  • Podívejte se, jak to vypadá ve slovenské centrále společnosti ESET zaměřené na IT bezpečnost
  • Na co si dát pozor, abyste nepřišli o data na Windows, OS X nebo Androidu?
  • Největším trendem je ransomware

Společnost ESET založenou v roce 1992 (reálně už zakladatelé vyvíjeli produkt od roku 1987) asi není potřeba obsáhle představovat. Sídlí na Slovensku a stojí za vývojem bezpečnostního softwaru NOD32 nebo Smart Security. Na celosvětovém trhu přitom soupeří se „sousedy“ z Avastu či AVG. Zašli jsme se podívat do jejich centrály.

Momentálně má ESET už téměř 1 200 zaměstnanců, třetina z nich přitom tvoří inženýry. Software pro koncové uživatele i firmy je distribuován po celém světě a s tím souvisí i šíře podpory a získaná data. 

NOD: Nemocnice na Okraji Disku

Na začátek jedna vtipná maličkost: Firma se v minulosti nejvíce proslavila svým antivirovým programem NOD a možná jste někdy přemýšleli, co tato zkratka znamená. Vychází z tehdy populárního seriálu Nemocnice na kraji města, ovšem v počítačovém světě se stal antivir Nemocnicí na Okraji Disku, odtud NOD.

Klepněte pro větší obrázekKlepněte pro větší obrázek 
Cen a diplomů jako u nějaké sportovní celebrity

ESET se může pochlubit spoustou ocenění v mnoha testech antivirů a bezpečnostního softwaru po celém světě, i když je konkurence v této oblasti poměrně velká. Podle IDC je ESET pětkou v celosvětovém srovnání, ale třeba v Japonsku je ESET nejoblíbenějším řešením. Software používá přibližně 100 milionů uživatelů, ale pokud jde o rozdělení mezi koncovými řešeními a firemními, je to přibližně 50 na 50.

Klepněte pro větší obrázek
Počet zaměstnanců ESETu se v rámci celého světa dostane brzy na k 1 200, třetina tvoří R&D

Pokud jde o vývoj, ESET má týmy u nás v Praze a Jablonci nad Nisou, několik dalších pak i v ostatních zemích. Ve všech zemích kde je ESET k dispozici jde ale hlavě o distributory. Zástupci se vyjádřili i k problému dostupnosti mladých „mozků“, které je stále těžké získat. Obory zaměřené na kyberbezpečnost teprve začínají a po letech ve školách je situace na trhu stejně zcela jiná. Realitou je tak většinou jediné řešení - je nutné si nadané studenty „vychovat“.

Houston aneb hlavní kontrolní centrum

Vývoj antiviru se dělí na dvě části – JAK detekovat (jádro) a CO (viruslab). Detekce se točí kolem velkého množství vzorků virů pro zlepšení přesnosti rozpoznání i s možností univerzálního použití (už nejde o hashe jako v historii). Cílem je, aby bylo možné signaturou pokrýt desítky tisíc virů ze stejné třídy, ale zároveň aby nedocházelo k falešné detekci.

Klepněte pro větší obrázek
Houston - centrální místnost

Denně na servery ESET chodí 300 tisíc unikátních souborů, které ještě nikdy předtím nebyly rozpoznané a dále se automaticky zpracovávají. Tvůrci škodlivých programů totiž často používají právě polymorfismus, který automaticky generuje obrovská kvanta verzí souborů (virů) které se liší a nějaký jednoduchý systém rozpoznání pomocí hashů tak už není možný. Jádro malwaru zůstává většinou zachované nebo se v rámci verzí mění velmi málo, ale co se mění hodně, jsou různé „ochranné vrstvy“ binárních souborů.

Klepněte pro větší obrázek
Hlavní obrazovky v „Houstonu“ ukazují detekce malwaru na jednotlivých místech planety, kde uživatelé zároveň používají ESET. Čím červenější, tím větší počet

V rámci viruslabů mezi sebou různé antivirové  společnosti spolupracují, konkurence je hlavně v technologii a marketingu.

Po automatickém zpracovávání se do zajímavých souborů a zkoumání pouští i lidští analytici, kteří mají k dispozici dva počítače – jeden pro běžnou práci napojený na firemní síť a druhý počítač, který je na oddělené síti a může se na něm infikovaný soubor pouštět pro sledování jeho chování v reálném čase. Zkoumání může probíhat klidně i hodiny či dny, pokud jde o podrobnější vyšetřování většího nebezpečí či útoku, tak i měsíce.

Masivní nástup vyděračů

Ransomware je druh malwaru, který různým způsobem blokuje přístup k zařízení nebo k vašim datům a pro odemknutí vyžaduje různě vysoké výkupné, které musíte zaplatit. Moderní ransomware používá i techniky pro urychlení zaplacení, například časový odpočet, po kterém odmaže tisíc souborů a podobně. Některé už jsou vychytané na takové úrovni, že po infekci uživatel nějakou dobu nic nepozná, potichu vyčkávají a objeví se například až po týdnu a podobně.

Klepněte pro větší obrázek
Často se využívá sociálního hackingu a cílem je přesvědčit uživatele, aby souboru důvěřoval

Nejhorším problémem je, že propracovaný malware dokáže simulovat na Windows i na Androidu například přihlašovací obrazovky, díky čemuž dokáže donutit uživatele zadat administrátorské heslo do falešného pole a tak ho získat.

Vzhledem k tomu, že ransomware soubory zašifruje nebo přístup do systému zahesluje, takřka neexistuje systém „vyčištění“. I když některé starší lze už dnes odšifrovat, moderní už používají silné šifry, takže zašifrované soubory nelze obnovit.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Ukázky ransomwaru a požadavků na výkupné pro dešifrování dat

Uživateli tak nezbývá než zaplatit nebo přijít o data. Tvůrci ransomwaru díky tomu získávají obrovské množství peněz, což jim umožňuje ještě dále vylepšovat tento typ malwaru a celého systému. Už se dokonce objevuje ransomware nejen s návodem, ale i online podporou, která vám poradí, jak pomocí bitcoinu zaplatit a získat dešifrovací klíč. Vše je pochopitelně řešené přes TOR a darknet.

Klepněte pro větší obrázek
Tvůrcům ransomwaru nechybí ani kreativita a klidně si zahrají hru, kdy vám smažou tisíc souborů za 24 hodin nebo po každém restartu počítače

Podle statistik už jedna z pěti organizací zažila útok pomocí ransomware, problém ale je, že se většinou vše tají, protože by to znamenalo ztrátu reputace, takže často raději zaplatí. Útočníci tak z tohoto přístupu začínají mít skvělý byznys, protože některý ransomware má schopnost šifrovat i data na vzdálených discích, zálohách a dalších zařízení na síti a v takovém případě firmě nezbývá nic jiného, než zaplatit. Výsledek je přitom nejistý, ani poté totiž nemají jistotu, že dešifrovací klíč dostanou a útočník může klidně požadovat ještě větší výkupné.

Jak se vyvarovat infekci?

Mezi hlavní kanály, jak se malware dostane na počítač, patří stažení aplikací z internetových stránek, stažení infikovaných aplikacích z „oficiálních“ webů známých aplikací, infikovaná příloha v emailu a trojan, který dodatečně stáhne škodlivý soubor. Samostatnou kapitolou je pak ruční vzdálená instalace přes vzdálenou plochu na daný počítač.

Základ tak je nestahovat nejen aplikace „třetích“ stran do operačních systémů, ale také si dát pozor i na ty, které se tváří jako oficiální. Jeden z případů ukázal, že útočníci vytvořili duplicitní web na stažení běžně používaného zdarma dostupného softwaru, přičemž po kliknutí na odkaz se většinou začal stahovat oficiální soubor. Pro počítače s vybranou IP adresou však došlo ke stažení upravené infikované verze, která se však tvářila zcela normálně a uživatel nic nepoznal ani po instalaci.

Klepněte pro větší obrázek
KeRanger se dostal do OS X přes infikovanou aplikaci Transmission přímo na oficiálních stránkách, protože měl i legitimní vývojářský certifikát. Došlo tak ke třem úspěšným podvodům v jednom až k finální instalaci na počítač uživatele

V případě desktopu to platí pro Windows i pro OS X. Na Androidu se rovněž vyvarujte stahování a instalací aplikací třetích stran, vždy používejte pouze oficiální obchody - App Store, Play Store, Windows Store a kontrolujte recenze, zda nejsou podezřele negativní.

Hlavně mít aktualizováno a zálohováno

Dalším problémem, který se rozmáhá, je, že záškodníci dokáží do počítače nejdříve dostat neškodný program s kódem, který žádný antivirus nedetekuje, protože nic škodlivého nedělá. Avšak i taková aplikace může například prohledat systém a zjistit slabinu například v neaktualizované verzi Acrobat Readeru a podobně. Dodatečně získá zvýšená práva a zajistí funkční malware skrze tuto díru.

Proti tomuto se nelze ochránit žádnou databází a detekcí, proto moderní antiviry prohledávají počítač na programy, které jsou staré a neaktualizované a jsou tak potenciálním nebezpečím.

Pro zvýšení bezpečnosti je zkrátka vhodné udržovat veškerý software v počítači aktualizovaný. Další důležitou věcí je zálohování, které je ideální provádět co nejčastěji, a to do offline zálohy, která pak nemůže být zašifrovaná prostřednictvím ransomwaru.

ESET pak nemůže ze své pozice jinak, než doporučit používání antivirového programu či komplexnější softwarové ochrany. 

Témata článku: Bezpečnost, Hacking, Antivirus, Ransomware, ESET, Reportáže, Zašifrovaná data, Svět, Transmission, Darknet, Potenciální nebezpečí, Infikovaná příloha, Co je software, Jediné řešení, Skvělý inženýr, Vzdálená instalace, Populární seriál, Výkupné, Centrála, Neaktualizovaný systém, Požadavek výkupného, Moderní svět, Dešifrovací klíč, Zašifrovaný disk, Druhý počítač

47 komentářů

Nejnovější komentáře

  • Izman 8. 5. 2016 18:19:52
    :D krásné, krásné :D Ještě by mě mohli zdejší experti poučit jak vypadá...
  • Miroslav Borovský 8. 5. 2016 13:30:12
    :-D:-D aktualizované a zálohované :) Dobrá rada!! Načo potom Eset??...
  • -Fík 8. 5. 2016 9:35:04
    Jé to bude mínusů. Vůbec nesouhlasím s místníma názorama proti Esetu. Mám...
Určitě si přečtěte

Týden Živě: CyberCon 2017, děravý CCleaner a mobilní platby Android Pay

Týden Živě: CyberCon 2017, děravý CCleaner a mobilní platby Android Pay

** V Brně se konal CyberCon ** CCleaner má ohromnou ostudu ** Google u nás vypustí Android Pay

24.  9.  2017 | Polesný David, Čížek Jakub, Kluska Vladislav

CCleaner: Ještě větší průšvih, než jsme si mysleli

CCleaner: Ještě větší průšvih, než jsme si mysleli

** Nejprve to vypadalo jako vážný, ale jen izolovaný problém ** Pak se to nafouklo do obřích rozměrů ** CCLeaner má problém a Avast ostudu

23.  9.  2017 | Polesný David, Čížek Jakub | 26

Začalo velké zbrojení. Všichni se připravují na studenou i horkou kyberválku

Začalo velké zbrojení. Všichni se připravují na studenou i horkou kyberválku

** V Brně se konal CyberCon ** Součástí dnešní obrany nemůže být pouze tradiční armáda ** Hybridní válka v kyberprostoru může napáchat stejné škody

22.  9.  2017 | Polesný David, Čížek Jakub | 7

Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač

Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač

** Běžný ransomware spočívá v uzamknutí počítače a požadování výkupného ** Nový vzorek však místo platby v Bitcoinech chce nahé fotky ** Může jít jen o vtípek bez reálného zašifrování dat

22.  9.  2017 | Janů Stanislav | 13

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

** Chyba v CCleaneru je závažnější, než se zdálo ** Update na novou verzi nemusí stačit ** Přinášíme detaily

21.  9.  2017 | Janů Stanislav | 63

CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu

CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu

** Do Brna se sjeli experti na kybernetickou bezpečnost ** Kritizovali český e-gov a nekompetentní lídry ** Studená kyberválka zítřka je realita

21.  9.  2017 | Čížek Jakub | 9