Běžní „bad guys“

V současném době máme dvě skupiny útočníků, kteří ohrožují naši kybernetickou bezpečnost. Tou první skupinou jsou běžní kyberkriminálníci. Jsou to jednotlivci i menší skupiny o desítkách členů s velice proměnlivou úrovní znalostí a pečlivosti. Jde jim nejčastěji o ekonomický profit, kterého dosahují zejména vydíráním (ransomware), krádeží finančních prostředků (kryptoměny, elektronické bankovnictví, údaje platebních karet), nebo prodejem získaných dat. Útočí zpravidla masově (na co největší počet cílů), své oběti neznají, útoky se nesnaží nijak skrývat a používají k nim nástroje vytvořené někým jiným.

Jelikož tito běžní kyberzločinci jednají ve svém vlastním zájmu a každý zavirovaný počítač je jejich zamýšlenou obětí, není zde asi možnost mluvit o collateral damage (ledaže by zavirovali sami sebe).

Elitní „bad guys“

Druhou skupinu tvoří takzvané APT skupiny (Advanced Persistent Threat). Jedná se o profesionalizované elitní skupiny/organizace, typicky financované nebo provozované státy. Jejichž cílem je prosazovat ekonomické a politické zájmy svého zřizovatele. Často se jedná o špionáž, sabotáž, diskreditaci/kompromitaci, vydírání, manipulaci, a ovlivňování veřejného mínění. Na své oběti útočí cíleně (ví, o koho se jedná a proč útok provádí) a využívají k tomu často chyby/exploity/programy, o jejíchž existenci zbytek světa netuší. Své útoky se snaží provádět co „nejtišeji“. Jejich odhalení by totiž kromě diplomatického konfliktu vedlo i k znehodnocení nástrojů, které k útočení používají (řádově v ceně milionů dolarů a více). Výrobci antivirů totiž napíšou na tyto nástroje signatury a výrobci zranitelného SW vydají opravné aktualizace.

Dá se říci, že mít svou vlastní státní hackerskou skupinu se vyplatí. V konvenčních válkách se státy jako Severní Korea, Irán, nebo Vietnam nemohou rovnat USA, Číně nebo Rusku. Avšak v kybernetickém prostoru mohou všichni společně hrát první ligu.

Bezpečnostní firmy sledují několik desítek APT skupin (např. FireEye nebo MITRE). U většiny těchto skupin se tuší, v zájmu kterého státu operují, avšak žádný stát se oficiálně k jejich kontrole, vlastnictví nepřizná.

Učebnicový příklad NotPetaya

V roce 2017 došlo k učebnicovému případu „collateral damages“. APT skupina, která se nazývá Telebots (někdy také jako Sandworms), vytvořila nový neznámý a antiviry nedetekovaný virus. Tento virus naučila dva zajímavé kousky, které pomohly k jeho obrovské „infekčnosti“ (schopnosti se rychle rozšířit celou firemní sítí).

Prvním trikem bylo vykrást hesla přihlášených uživatelů na napadnutém počítači a použít je při napadání dalších počítačů v síti. Druhým pak bylo zneužívat exploit EternalBlue, který o pár měsíců dříve utekl americké NSA a umožnil prolomit veškeré počítače s operačním systémem Windows, které neměly aktualizaci. S takovou výbavou dokázal virus eliminovat sítě globálních firem s desítkami tisíc počítačů během pár hodin (např. společnost Maersk).

Virus se na první pohled tvářil jako běžný vyděračský ransomware, který zašifrovaná data obnoví po zaplacení požadované částky v Bitcoinech. Pravdou však bylo, že od prvního okamžiku již byla data nenávratně zničena.

Podle Bílého domu stála za útokem ruská armáda. Dle společnosti ESET se 80 % zavirovaných/napadených zařízení nacházelo na Ukrajině. Ukrajina je od roku 2014 s Ruskem v konfliktu kvůli poloostrovu Krym. Z toho můžeme usoudit, že cílem útoku měla být Ukrajina. Nicméně tento virus postihl firmy z celého světa (collateral damages) a způsobil škody v řádu desítek miliard dolarů. Zasaženy byly globální firmy jako Saint-Gobain, Merck & Co., Maersk, WPP, Rosneft, DHL.

Je toho více

Aktuálním trendem je získávat kontrolu nad rozvodnou elektrickou sítí států. Američanům se podařilo propašovat malware do ruské rozvodné elektrické sítě. Stejně tak ruská hackerská skupina spojovaná s ruskou vládou se pokoušela prolomit americkou rozvodnou síť. V prosinci 2015 ruská hackerská skupina Sandworms (viz výše) prolomila část ukrajinské rozvodné sítě a odstřihla od elektřiny necelého čtvrt milionu civilistů.

V roce 2010 byl objeven vysoce sofistikovaný virus, který dostal název Stuxnet. Jeho cílem bylo sabotovat íránský jaderný program, což se mu částečně podařilo a s velkou pravděpodobností za ním stáli USA spolu s Izraelem. I přesto že byl virus cílen na Írán, tak cca 40 % „obětí“ se nacházelo mimo Irán a byly tak nejspíše nezamýšlené.

V roce 2016 hackerská skupina „Shadow Brokers“ zveřejnila nástroje, které pro své „účely“ používala americká NSA. Byly mezi nimi i exploity zneužívající zatím neznámé chyby v celosvětově používaných programech a zařízeních (Microsoft Windows, Cisco, Fortinet, Juniper, Watchguard, Mikrotik). S pomocí těchto nástrojů dokázala NSA nepozorovaně naplňovat své zájmy. Pokud bychom považovali zájmy NSA jako dobré, pak by mohlo být vše v pořádku. Problém ovšem je, že často se tyto nástroje dostanou do rukou, ve kterých nechcete, aby se nacházely. Existují vodítka, že k daným nástrojům se ještě před jejich zveřejněním v roce 2016 dostali čínští hackeři ze skupiny Buckeye a používali je pro své globální útoky.

Co nás může čekat v budoucnu?

Jak se firmy, které si uvědomují, že mohou být cílem cizího státu, opevňují a zlepšují svou ochranu, bude pro APT skupiny náročnější je kompromitovat. Z toho důvodu se dle mého názoru budou APT skupiny více zaměřovat na útoky v rámci dodavatelského řetězce, stejně jako to dělají běžní kyberkriminálníci.

Všechny firmy totiž nepřistupují k bezpečnosti stejně pečlivě. Pro útočníky pak může být jednodušší kompromitovat svůj cíl skrze firmu, která mu dodává například informační systém, a tudíž má přístup na jeho servery. Bonusem pro útočníky je i to, že skrze jednu hacknutou firmu se mohou dostat ke stovkám či tisícům dalších firem, které se tak mohou stát nezamýšlenou obětí.

Co vidíme v praxi: čím větší je firma, tím více třetích stran se k ní vzdáleně připojuje. Například již zmínění dodavatelé informačních systémů, externí IT správci/konzultanti, outsourcované účetní a auditorské firmy, zákazníci nahlížející do IS, nebo správci kamer či zabezpečovacích systémů. Nebezpečí může přijít i skrze automatické, či manuální aktualizace k používanému software.

Zároveň u těchto třetích stran, kterým jsou dána oprávnění (např. vzdálený přístup/správa) nedochází k dostatečnému prověření jejich IT bezpečnosti. Ani nás se nikdo za 8 let co podnikáme nezeptal, jak máme vyřešeno zabezpečení, a to nám zákazníci dávají přístup k veškerým systémům. Možná firmy očekávají, že když někdo dělá IT profesionálně, tak jej musí dělat dobře. To je však špatný a nebezpečný předpoklad.

Co můžeme dělat?

Je jedno, jestli se snažíme bránit běžným kyberkriminálníkům, nebo elitním hackerům. K IT bezpečnosti musíme přistupovat hlavně systematicky a racionálně, ne koupit první software či hardware, který nám někdo nabídne.

Čím více peněz do obrany zainvestujeme, s tím větší pravděpodobností se dokážeme hrozbám ubránit (i když existují výjimky). Množství zainvestovaných peněz by mělo reflektovat, kolik by firmu stála ztráta dat, nedostupnost systémů, únik dat a jak pravděpodobné je, že by na ni někdo cíleně útočil.

Pokud bych měl bodově vyjmenovat technologie/věci, které v současné době udělají nejlepší službu za rozumné peníze, tak bych doporučil následující.

V první řadě, protože většina technologií vyžaduje pro správné nastavení a vyhodnocování informací expertní obsluhu, je nutnou součástí bezpečnosti dobrý IT tým. Dobrý tým může vybudovat dobrou obranu, špatný tým nikoliv. Zároveň manažer mimo IT těžko pozná, když ho IT vodí za nos a jestli své práci dostatečně rozumí. Proto se výběr IT týmu nesmí podcenit.

A nyní ty technologie. Preventivní technologie, chránící před problémy: zálohy které přežijí i útok hackera/ransomware, antivirus, pravidelné aktualizace operačního systému a používaných aplikací, application whitelisting, dvoufaktorové ověřování (2FA), šifrování komunikace a mobilních úložišť, antispam, firewall. Technologie umožňující odhalit prolomení zabezpečení, aby se mohla sjednat náprava: monitorovací systém (sledování změn a nastavení na zařízeních), IDS/IPS, centrální sběr a vyhodnocování logů ze zařízení a reporty z antivirů.

Závěr

Vojenské akce v kyberprostoru jsou každodenní součástí internetu, avšak zraku běžných uživatelů jsou skryty. Jejich cílem je zejména špionáž a získávání zadních vrátek v cizích sítích pro případ, že by doba „míru“ skončila. Dobře provedeným kyberútokem se dá ochromit velká část firem, produkce a služeb nepřátelského státu bez ztrát na životech a čím rozvinutější ekonomika, tím větší bude dopad. Je proto na nás všech (IT správcích i IT manažerech) abychom svou práci dělali správně a nestali se přímou či vedlejší obětí kybernetické války.

Martin Haller Autor článku je spoluzakladatel společnosti PATRON-IT a celým srdcem technik. IT se profesionálně věnuje již 15 let a za tu dobu získal prestižní certifikace MCSE, CCNP, ECSA, CHFI, OSCP. Jeho vášní je etický hacking. Martina baví zkoumat nové technologie a poznatky sdílet na IT konferencích, ve firmách nebo na blogu MartinHaller.cz.