ESET: ze své centrály sledují celý svět, největší hrozbou je ransomware

  • Podívejte se, jak to vypadá ve slovenské centrále společnosti ESET zaměřené na IT bezpečnost
  • Na co si dát pozor, abyste nepřišli o data na Windows, OS X nebo Androidu?
  • Největším trendem je ransomware

Společnost ESET založenou v roce 1992 (reálně už zakladatelé vyvíjeli produkt od roku 1987) asi není potřeba obsáhle představovat. Sídlí na Slovensku a stojí za vývojem bezpečnostního softwaru NOD32 nebo Smart Security. Na celosvětovém trhu přitom soupeří se „sousedy“ z Avastu či AVG. Zašli jsme se podívat do jejich centrály.

Momentálně má ESET už téměř 1 200 zaměstnanců, třetina z nich přitom tvoří inženýry. Software pro koncové uživatele i firmy je distribuován po celém světě a s tím souvisí i šíře podpory a získaná data. 

NOD: Nemocnice na Okraji Disku

Na začátek jedna vtipná maličkost: Firma se v minulosti nejvíce proslavila svým antivirovým programem NOD a možná jste někdy přemýšleli, co tato zkratka znamená. Vychází z tehdy populárního seriálu Nemocnice na kraji města, ovšem v počítačovém světě se stal antivir Nemocnicí na Okraji Disku, odtud NOD.

Klepněte pro větší obrázekKlepněte pro větší obrázek 
Cen a diplomů jako u nějaké sportovní celebrity

ESET se může pochlubit spoustou ocenění v mnoha testech antivirů a bezpečnostního softwaru po celém světě, i když je konkurence v této oblasti poměrně velká. Podle IDC je ESET pětkou v celosvětovém srovnání, ale třeba v Japonsku je ESET nejoblíbenějším řešením. Software používá přibližně 100 milionů uživatelů, ale pokud jde o rozdělení mezi koncovými řešeními a firemními, je to přibližně 50 na 50.

Klepněte pro větší obrázek
Počet zaměstnanců ESETu se v rámci celého světa dostane brzy na k 1 200, třetina tvoří R&D

Pokud jde o vývoj, ESET má týmy u nás v Praze a Jablonci nad Nisou, několik dalších pak i v ostatních zemích. Ve všech zemích kde je ESET k dispozici jde ale hlavě o distributory. Zástupci se vyjádřili i k problému dostupnosti mladých „mozků“, které je stále těžké získat. Obory zaměřené na kyberbezpečnost teprve začínají a po letech ve školách je situace na trhu stejně zcela jiná. Realitou je tak většinou jediné řešení - je nutné si nadané studenty „vychovat“.

Houston aneb hlavní kontrolní centrum

Vývoj antiviru se dělí na dvě části – JAK detekovat (jádro) a CO (viruslab). Detekce se točí kolem velkého množství vzorků virů pro zlepšení přesnosti rozpoznání i s možností univerzálního použití (už nejde o hashe jako v historii). Cílem je, aby bylo možné signaturou pokrýt desítky tisíc virů ze stejné třídy, ale zároveň aby nedocházelo k falešné detekci.

Klepněte pro větší obrázek
Houston - centrální místnost

Denně na servery ESET chodí 300 tisíc unikátních souborů, které ještě nikdy předtím nebyly rozpoznané a dále se automaticky zpracovávají. Tvůrci škodlivých programů totiž často používají právě polymorfismus, který automaticky generuje obrovská kvanta verzí souborů (virů) které se liší a nějaký jednoduchý systém rozpoznání pomocí hashů tak už není možný. Jádro malwaru zůstává většinou zachované nebo se v rámci verzí mění velmi málo, ale co se mění hodně, jsou různé „ochranné vrstvy“ binárních souborů.

Klepněte pro větší obrázek
Hlavní obrazovky v „Houstonu“ ukazují detekce malwaru na jednotlivých místech planety, kde uživatelé zároveň používají ESET. Čím červenější, tím větší počet

V rámci viruslabů mezi sebou různé antivirové  společnosti spolupracují, konkurence je hlavně v technologii a marketingu.

Po automatickém zpracovávání se do zajímavých souborů a zkoumání pouští i lidští analytici, kteří mají k dispozici dva počítače – jeden pro běžnou práci napojený na firemní síť a druhý počítač, který je na oddělené síti a může se na něm infikovaný soubor pouštět pro sledování jeho chování v reálném čase. Zkoumání může probíhat klidně i hodiny či dny, pokud jde o podrobnější vyšetřování většího nebezpečí či útoku, tak i měsíce.

Masivní nástup vyděračů

Ransomware je druh malwaru, který různým způsobem blokuje přístup k zařízení nebo k vašim datům a pro odemknutí vyžaduje různě vysoké výkupné, které musíte zaplatit. Moderní ransomware používá i techniky pro urychlení zaplacení, například časový odpočet, po kterém odmaže tisíc souborů a podobně. Některé už jsou vychytané na takové úrovni, že po infekci uživatel nějakou dobu nic nepozná, potichu vyčkávají a objeví se například až po týdnu a podobně.

Klepněte pro větší obrázek
Často se využívá sociálního hackingu a cílem je přesvědčit uživatele, aby souboru důvěřoval

Nejhorším problémem je, že propracovaný malware dokáže simulovat na Windows i na Androidu například přihlašovací obrazovky, díky čemuž dokáže donutit uživatele zadat administrátorské heslo do falešného pole a tak ho získat.

Vzhledem k tomu, že ransomware soubory zašifruje nebo přístup do systému zahesluje, takřka neexistuje systém „vyčištění“. I když některé starší lze už dnes odšifrovat, moderní už používají silné šifry, takže zašifrované soubory nelze obnovit.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Ukázky ransomwaru a požadavků na výkupné pro dešifrování dat

Uživateli tak nezbývá než zaplatit nebo přijít o data. Tvůrci ransomwaru díky tomu získávají obrovské množství peněz, což jim umožňuje ještě dále vylepšovat tento typ malwaru a celého systému. Už se dokonce objevuje ransomware nejen s návodem, ale i online podporou, která vám poradí, jak pomocí bitcoinu zaplatit a získat dešifrovací klíč. Vše je pochopitelně řešené přes TOR a darknet.

Klepněte pro větší obrázek
Tvůrcům ransomwaru nechybí ani kreativita a klidně si zahrají hru, kdy vám smažou tisíc souborů za 24 hodin nebo po každém restartu počítače

Podle statistik už jedna z pěti organizací zažila útok pomocí ransomware, problém ale je, že se většinou vše tají, protože by to znamenalo ztrátu reputace, takže často raději zaplatí. Útočníci tak z tohoto přístupu začínají mít skvělý byznys, protože některý ransomware má schopnost šifrovat i data na vzdálených discích, zálohách a dalších zařízení na síti a v takovém případě firmě nezbývá nic jiného, než zaplatit. Výsledek je přitom nejistý, ani poté totiž nemají jistotu, že dešifrovací klíč dostanou a útočník může klidně požadovat ještě větší výkupné.

Jak se vyvarovat infekci?

Mezi hlavní kanály, jak se malware dostane na počítač, patří stažení aplikací z internetových stránek, stažení infikovaných aplikacích z „oficiálních“ webů známých aplikací, infikovaná příloha v emailu a trojan, který dodatečně stáhne škodlivý soubor. Samostatnou kapitolou je pak ruční vzdálená instalace přes vzdálenou plochu na daný počítač.

Základ tak je nestahovat nejen aplikace „třetích“ stran do operačních systémů, ale také si dát pozor i na ty, které se tváří jako oficiální. Jeden z případů ukázal, že útočníci vytvořili duplicitní web na stažení běžně používaného zdarma dostupného softwaru, přičemž po kliknutí na odkaz se většinou začal stahovat oficiální soubor. Pro počítače s vybranou IP adresou však došlo ke stažení upravené infikované verze, která se však tvářila zcela normálně a uživatel nic nepoznal ani po instalaci.

Klepněte pro větší obrázek
KeRanger se dostal do OS X přes infikovanou aplikaci Transmission přímo na oficiálních stránkách, protože měl i legitimní vývojářský certifikát. Došlo tak ke třem úspěšným podvodům v jednom až k finální instalaci na počítač uživatele

V případě desktopu to platí pro Windows i pro OS X. Na Androidu se rovněž vyvarujte stahování a instalací aplikací třetích stran, vždy používejte pouze oficiální obchody - App Store, Play Store, Windows Store a kontrolujte recenze, zda nejsou podezřele negativní.

Hlavně mít aktualizováno a zálohováno

Dalším problémem, který se rozmáhá, je, že záškodníci dokáží do počítače nejdříve dostat neškodný program s kódem, který žádný antivirus nedetekuje, protože nic škodlivého nedělá. Avšak i taková aplikace může například prohledat systém a zjistit slabinu například v neaktualizované verzi Acrobat Readeru a podobně. Dodatečně získá zvýšená práva a zajistí funkční malware skrze tuto díru.

Proti tomuto se nelze ochránit žádnou databází a detekcí, proto moderní antiviry prohledávají počítač na programy, které jsou staré a neaktualizované a jsou tak potenciálním nebezpečím.

Pro zvýšení bezpečnosti je zkrátka vhodné udržovat veškerý software v počítači aktualizovaný. Další důležitou věcí je zálohování, které je ideální provádět co nejčastěji, a to do offline zálohy, která pak nemůže být zašifrovaná prostřednictvím ransomwaru.

ESET pak nemůže ze své pozice jinak, než doporučit používání antivirového programu či komplexnější softwarové ochrany. 

Témata článku: Bezpečnost, Hacking, Ransomware, Antivirus, Reportáže, ESET, Hlavní kanál, Potenciální nebezpečí, Neaktualizovaný systém, Firemní síť, Výkupné, Vzdálená instalace, Počítač aktualizovaný, Centrála, Software co to je, Zašifrovaný disk, Jednoduchý systém, Zašifrovaný data, Co je software, Zašifrovaná data, Moderní svět, Populární seriál, Transmission, Kontrolní centrum, Jediné řešení

Určitě si přečtěte

Zranitelnost Wi-Fi KRACK: Kdo by se měl bát nejvíce?

Zranitelnost Wi-Fi KRACK: Kdo by se měl bát nejvíce?

** Wi-Fi má problém ** Šifrování WPA trpí kritickou chybou ** Výrobci už naštěstí chystají záplaty

21.  10.  2017 | Polesný David, Čížek Jakub | 10

Přichází doba hypersonických zbraní. Hrozí zvýšené riziko jaderného konfliktu

Přichází doba hypersonických zbraní. Hrozí zvýšené riziko jaderného konfliktu

** Světové mocnosti vyvíjí nové, nesmírně rychlé zbraně ** Jsou schopné pokořit rychlost Mach 5 ** Tyto zbraně mohou zvýšit riziko rozpoutání válečného konfliktu

19.  10.  2017 | Mihulka Stanislav | 20