Novinky

Absolvoval jsem opět jednu z konzultací založenou na představě kyberútočníků vytvořenou na základě hollywoodských filmů s mladými génii v mikině s kapucou ťukající v rohu zšeřelého pokoje do klávesnice aby se „nabourali“ do pečlivě vybraného cíle se záměrem ukrást pár miliard nebo začít světovou válku. Bohužel dělat si na základě těchto scén představu o počítačové bezpečnosti je asi tak mimo, jako mít představu o prostituci podle zápletky filmu Pretty woman.

Největší nebezpečí takové představy je, že její praktická nepravděpodobnost dává svému nositeli podvědomě pocit bezpečí pramenící z pocitu vlastní anonymity a bezvýznamnosti. Ono je to ale přesně naopak – počítače odemykají možnost konat zlo dosud nevídaného rozsahu právě vůči těm, kteří se na svoji davovou anonymitu mohli dosud spoléhat. Děje se tak dokonce od jejich prvopočátků https://www.root.cz/serialy/derne-stitky-a-holocaust/.

V současnosti už jsou kyberútoky dobře zaběhlé průmyslové odvětví, komercionalizované na všechny strany v takovém rozsahu, že ničivou kampaň proti vám občas spustí i polodementní negramot s pár dolary na kreditce, který jméno vaše, vaší firmy a často ani vašeho státu nikdy neslyšel. Jelikož je tohle tvrzení pro většinu lidí příliš nepředstavitelné, chtěl bych do detailu ilustrovat kdo, proč a jak chce na internetu útočit, aby bylo jasné, jak banální a běžná aktivita to je.

• Máte pocit, že kyberútok vyžaduje rozsáhlé znalosti a počítačovou odbornost, aby byl útočník schopný nalézt chybu ve vašem systému? Ne, útočník si zajde na stránku https://cve.mitre.org/, kde se (jako zcela legitimní služba veřejnosti) publikují 0-day zranitelnosti a vybere si pár nejnovějších, které budou mít největší šanci na úspěch.
• Máte pocit, že spuštění kyberútoku vyžaduje náročnou přípravu a mnoho specializovaného softwarového vybavení? Ne, ke spuštění útoku se používají zcela legálně a komerčně dostupné all-in-one nástroje typu https://www.metasploit.com/, kde si stačí vybrat z výše uvedeného seznamu (a mnoha jiných) nějaký exploit, zadat cíl a zmáčknout enter.
• Máte pocit, že právě váš server nebo zařízení v té záplavě věcí připojených k internetu nijak nevyčnívá a proto možnost, že by se právě na něj zaměřil útočník, je minimální? Ne, prakticky celý internet je perfektně zmapován a zaindexován službami jako je https://www.shodan.io/, kde útočník jednoduchým dotazem najde všechny připojená zařízení s verzemi software zranitelným výše vybranými zranitelnostmi. Pokud jste nezáplatovali svoje servery dost rychle tak smůla, budou mezi nimi.
• Máte pocit, že na vašich zařízeních nejsou žádná cenná data a proto nikoho nezajímají? Ne, v prvním kroku jde o kvantitu. Co nejvíc ovládnutých zařízení se nejprve nahrubo roztřídí podle základních vlastností a prodávají se dalším zpracovatelům „na kila“. Až v dalším kroku se vymýšlí monetizace úlovku a užitek se najde pro každý přístroj:
  • Jakékoli zařízení je možné prodat do poolu pro DoS útoky (prodávané zcela legálně pod názvem a účelem „network stress testing“)
  • Na osobních počítačích se spustí keyloggery pro sběr hesel, čísel karet apod. a připraví se do poolu pro pozdější spouštění malware kampaní ve kterých je potřeba na co největší počet zařízení distribuovat co nejrychleji nový malware typu bankovního trojana, aby se vyinkasovalo co nejvíc peněz dřív, než se proti danému malware začnou zasažené subjekty bránit.
  • Servery mohou sloužit pro sběr hesel koncových zákazníků jejich služeb a další diseminaci malware svým návštěvníkům.
  • Osobní počítače i servery mohou sloužit jako nody nepřehledné sítě VPN typu https://www.torproject.org/ ke krytí další kriminální činnosti.
  • Když nic jiného, jakákoli elektronika se dá použít k těžení kryptoměn. A to je stále jen špička ledovce.
• Máte pocit, že v případě útoku prostě přeinstalujete počítač, což může být pruda, ale vlastně žádný problém? Ne, útok bez velké kompetence vůbec nepoznáte. Z výše uvedeného jasně vyplývá, že útočníci mají zásadní zájem NEpoškozovat přímo majitele zařízení a naopak udržovat jeho zařízení v rámci možností OK dokud jej mohou prodávat, což vede až k absurdním situacím, že kvalitní malwary napadené počítače čistí od těch více obtěžujících, aby nezavdaly důvod k podrobnější investigaci.

Ne, na internetu nikdo neútočí na Frantu Vomáčku, protože ho již týdny sleduje poté, co získal dědictví od babičky, aby zjistil, kdy má dovolenou a nebude aplikovat updaty. Ne, na internetu nikdo neútočí na Kristýnu Novákovou, protože se mu líbí a chtěl by její nahé selfie.

Pokud se jim to stane, je to proto, že dotyční už dávno napadeni byli a v databázích jen čekali, až se najde koncový zákazník, který za pár dolarů využije superjednoduché maloobchodní rozhraní k nim.

Je libo číslo nějaké kreditní karty? Prodávají se v balících po stovkách, aby jich tam bylo vždycky alespoň pár desítek funkčních a z nich alespoň pár pořádně tučných. Je libo seznam oblíbených hesel vašeho objektu zájmu? Najděte si nelegální variantu služby https://haveibeenpwned.com/, která k seznamu kompromitací zobrazuje i ona kompromitovaná hesla. Žádná technická zručnost není potřeba, je to výstup zcela indiferentního, automatizovaného, hromadného byznys procesu, který jako jakýkoli jiný predátor trpělivě čeká, až se jakýkoli slabší kus trochu opozdí za stádem.

Obranu proti tomuto ohrožení není možné, stejně jako očkování, vidět z pohledu jednotlivce. Je naše oborová odpovědnost nenabízet zákazníkům levnější variantu projektu s osekanou bezpečností a jeho rozhodnutí použít jako alibi. Když to nebudeme dělat sami, dřív nebo později přijde regulace.

Autor: František Řezáč