Denník N

Odkryl kyberútok na ukrajinské elektrárne: Každý by mal byť trochu paranoidný

Róbert Lipovský z ESET-u sa špecializuje na škodlivý kód BlackEnergy. Hackeri ním robia špionáž aj sabotáže. Foto N – Vladimír Šimíček
Róbert Lipovský z ESET-u sa špecializuje na škodlivý kód BlackEnergy. Hackeri ním robia špionáž aj sabotáže. Foto N – Vladimír Šimíček

Výskumník škodlivých kódov Róbert Lipovský z ESET-u opisuje, ako to funguje vo svete kyberzločincov, a radí, ako by sa mal každý jednotlivec aj veľké firmy proti nim chrániť.

Volá sa BlackEnergy – škodlivý kód, ktorým hackeri spôsobili výpadky elektrickej energie na Ukrajine. V inej verzii sa objavil aj na Slovensku. Útočili ním aj na konferencii Globsec. Expert antivírusovej spoločnosti ESET Róbert Lipovský sa špecializuje práve naň.

V rozhovore sa ho pýtame:

  • ako hackeri útočili na ukrajinské elektrárne
  • ako sa chrániť pred kyberútokmi
  • či treba mať antivírus aj na mobile a prečo je dôležité aktualizovať systémy
  • ako fungujú škodlivé kódy a prečo je Stuxnet taký sofistikovaný
  • čo je zraniteľnosť typu zero-day 

Tvrdíte, že hackeri v decembri spôsobili výpadok prúdu na Ukrajine. Do akej miery je to prelomová udalosť?

Prelomové je to hlavne tým, že to bolo viditeľné. Útoky na priemyselné objekty nie sú ničím výnimočné. Dejú sa každodenne, len o niektorých sa dozvieme, o väčšine zrejme netušíme. Napadnuté firmy nemajú tendenciu sa tým chváliť. No keď státisícom ľudí vypadne prúd, tak sa to nedá skryť.

Budú sa také veci diať častejšie?

Je to možné. Ak kyberzločinci vidia úspešný útok, snažia sa ho imitovať. Prvotní útočníci tak majú úzko zameraný cieľ, ale ich škodlivý kód sa potom šíri a mení ďalej a vie preto zasiahnuť oveľa viac objektov.

Pred pár dňami vyšiel prieskum, podľa ktorého sa tri štvrtiny IT manažérov obávajú, že ich firma je potenciálnym terčom útokov, ktoré by spôsobili reálne fyzické škody. Nie je to príliš paranoidné?

Bohužiaľ, obavy týchto troch štvrtín IT manažérov sú oprávnené. O to viac, že príklad útoku na Ukrajine ukázal, že takéto útoky sú vôbec možné.

Ako ste sa dostali k skúmaniu kyberútoku na Ukrajincov?

Od roku 2014 sledujeme jednu rodinu škodlivého kódu BlackEnergy, ktorá bola zodpovedná aj za výpadok prúdu na Ukrajine. Prvé verzie sa objavili už v roku 2007, druhá verzia prišla v roku 2010 a v roku 2014 prišiel comeback tohto škodlivého kódu. Vtedy sa tento kyberzločinecký nástroj začal používať na iné účely ako na začiatku. Predtým to bol bežný crimeware, ako sú napríklad DDoS útoky na znefunkčnenie webov či kradnutie bankových údajov, nie špecifický úzko zameraný malvér. V roku 2014 sme však zistili, že sa začal používať na cielenú kyberšpionáž na zaujímavé ciele. Na Ukrajine to boli napríklad štátne aj armádne inštitúcie. Týkalo sa to aj viacerých krajín NATO.

Ako to sledujete?

Máme analytikov vo Virus Labe, ktorí sledujú jeho činnosť. Tí prišli na to, že v elektrických distribučných spoločnostiach na Ukrajine sa objavil BlackEnergy. V správach sme tiež videli, že 23. decembra bol výpadok prúdu. Keď sme si toto spojili dohromady, začali sme si zisťovať, čo sa dialo.

Čo ste zistili?

Potvrdilo sa, že hackeri útočili malvérom BlackEnergy, ale aj inými technickými komponentmi. Zistili sme spôsob, akým sa to šírilo.

Išlo o klasický phishing, teda obete dostali email, ktorý sa tváril ako od ukrajinskej energetickej spoločnosti?

Áno, útok sa tváril ako legitímny mail s prílohou, išlo o dokumenty Wordu alebo Excelu s makrami. Makrá sa od istej verzie kancelárskeho softvéru už, chvalabohu, nespúšťajú automaticky, takže nato, aby sa spustili, ich musí povoliť používateľ. To útočníci obchádzajú sociálnym inžinierstvom. Napríklad falošným hlásením, že spustenie makra je údajne potrebné na zobrazenie celého obsahu dokumentu. Navedú tak používateľa, aby povolil spustenie nebezpečného makra, a tým aj inštaláciu BlackEnergy.

Chceli spôsobiť výpadok a ukradnúť údaje?

Bežne sa táto rodina vírusov využíva na špionáž, čiže má nástroje na kradnutie údajov. Ťažko povedať, o aké dáta mali útočníci záujem. Útok nie je vec, ktorá sa udeje jednorazovo. Prvotné emaily rozposielali už v marci minulého roku. Nemáme všetky detaily, ako postupne fázy útoku prebiehali, ale vieme, že to má súvislosť s výpadkom. Pri útokoch bol napríklad aj komponent, ktorý vedel mazať súbory a dokázal znefunkčniť systém. Jedna z prvých hypotéz bola, či práve toto nespôsobilo výpadok. Nakoniec sa ukázalo, že škodlivý kód BlackEnergy umožnil útočníkom vzdialený prístup ku kritickým serverom v elektrickej distribučnej spoločnosti. Existuje totiž veľa nástrojov, aj legitímnych, na vzdialenú správu. Podobne ako sa napríklad IT technici vo firmách prihlásia na váš počítač, tak prebehol aj záver tohto útoku.

Čiže výpadok riadil niekto zvonku tým, že najskôr sa dostal do systému cez nasadeného trójskeho koňa?

Áno. Malvér treba vnímať ako nástroj, zbraň na útok.

Dajú sa rodiny škodlivých útokov ako napríklad BlackEnergy kúpiť na undergroundových weboch a pre vlastné potreby upraviť?

Niektoré rodiny škodlivého kódu sú komerčne dostupné, o niektorých to nevieme. Nevieme, kto stojí za BlackEnergy, ani či s ním operuje len jedna skupina. Akurát vieme, že útoky z poslednej doby s BlackEnergy súvisia. Vidíme napríklad, že útočníci využívajú podobné servery na jeho riadenie. Niektoré veci však veľmi ťažko spojíte. Niektoré útoky s BlackEnergy majú špionážny charakter, niektoré deštrukčný charakter ako napríklad tento prípad. Ťažko preto povedať, kto každý má k BlackEnergy prístup. Rovnako nemáme informácie, že by najnovšia verzia BlackEnergy bola na predaj.

Prvá pasca: mail, ktorý sa tváril ako od energetickej spoločnosti UkrEnergo. FOTO - ESTE
Prvá pasca: mail, ktorý sa tváril ako od energetickej spoločnosti UkrEnergo. Foto – ESET
Vyzerá to ako potrebná aktualizácia Wordu, v skutočnosti sa po kliknutí do počítačov nainfikoval trójsky kôň. FOTO – ESET
Vyzerá to ako potrebná aktualizácia softvéru od Microsoftu, v skutočnosti sa po kliknutí nainfikoval do počítačov trójsky kôň. Foto – ESET

Jeho prvá verzia sa objavila v roku 2007?

Áno, ale hneď jeho druhá verzia bola úplne iná, bolo to celé prepísané. Prvá verzia medzitým unikla, jej zdrojové kódy sa objavili na undergroundových weboch.

Názov mu dali sami?

Áno, autori prvej verzie.

Ukrajinci nahlas špekulujú, že ide zrejme o Kremľom podporovanú skupinu hackerov. Vy ste však opatrnejší v takých tvrdeniach. Prečo?

Podozrenie tam určite je. Je to jedno z racionálnych vysvetlení. Tým, že na to však nemáme dôkazy, treba si dať pozor na vyhlásenia typu, že určite to boli Rusi. Nie je to jednoznačné. Mohol to spraviť niekto, kto chcel, aby to tak vyzeralo. Môžu tam byť iné záujmy, o ktorých nevieme. Navyše sa malvér BlackEnergy používa aj na ciele v Rusku. Určite treba brať do úvahy motiváciu útočníkov, ktorou v týchto prípadoch bola špionáž alebo deštrukčné útoky, čo je úplne iné ako napríklad osobné útoky na internetový banking starými verziami BlackEnergy.

O malvéri Stuxnet sa zase hovorí, že ho vyvinuli Američania s Izraelčanmi na útok do iránskych atómiek. Je medzi Stuxnetom a BlackEnergy veľký rozdiel?

Je to dosť veľký rozdiel. Stuxnet bol o dosť väčší kaliber. Využíval zraniteľnosti nazývané zero-day – teda chyby systému, o ktorých vie len útočník. V jeho prípade až štyri alebo päť. Pričom keď škodlivý softvér využíva čo i len jednu zraniteľnosť typu zero-day, je to veľká vec. Bolo vidno, že do Stuxnetu sa investovali obrovské peniaze a úsilie.

Vedel by taký škodlivý kód vyrobiť jednotlivec?

Veľmi ťažko. Keď vyvíjali túto zbraň, údajne si vybudovali nejakú vlastnú kópiu – model zariadenia, kde sa obohacuje urán, aby si všetko otestovali.

Je Stuxnet najvyšší kaliber?

Stuxnet je špecifický prípad. Keď som hovoril o exploitoch a zero-dayoch, pri Stuxnete je zaujímavé, že obsahoval v sebe kód pre PLCs, riadiacie jednotky Siemens, čo nie je bežný kód, s akým sa stretávame vo Windows. Bol zameraný na jednotky, ktoré riadia centrifúgy. Stuxnet vedel upravovať dáta, ktoré boli priamo na nich, kde to funguje úplne iným spôsobom, ako býva bežné.

Čo sú to exploity?

Je to jeden zo spôsobov, akými sa škodlivý softvér vie dostať do systému. Exploit je akési využitie zraniteľnosti vášho počítača. Zero-day je niečo, o čom nemusí nikto okrem útočníka vedieť. Nikto netuší, že váš systém má zraniteľnosť, dieru, cez ktorú sa dá dostať. Na rozdiel od známych zraniteľností, ktoré sa autori softvéru snažia zaplátať aktualizáciami, keď sa o nich dozvedia. To je dôvod, prečo Windows treba aktualizovať, aby sa tieto bezpečnostné diery zaplátali. Kto nemá systém aktualizovaný, je zraniteľný. Lenže zero-day je nebezpečný v tom, že naň neexistuje žiadna záplata, pretože o ňom vie len útočník, ktorý chybu objavil, a môže to zneužívať alebo niekomu predať.

Je to veľký biznis?

V biznise so zraniteľnosťami typu zero-day sa točí veľmi veľa peňazí.

BlackEnergy niečo také nemal?

Pri týchto posledných útokoch nie. Avšak v roku 2014 využíval dosť závažný zero-day exploit na svoje šírenie aj BlackEnergy. Síce nie je taký sofistikovaný ako Stuxnet, no je to schopne napísaný malvér, nie je to amatérska práca.

Ako v praxi fungoval útok pomocou BlackEnergy? 

V prípade BlackEnergy z roku 2014 išlo o zraniteľnosť v PowerPointe. Škodlivý kód vedel spustiť prostredníctvom odkazov v dokumentoch PowerPointu na súbory na vzdialenom serveri. PowerPoint bez akéhokoľvek upozornenia odkazy otváral. No a keďže tie vzdialené súbory mohli byť aj škodlivé (čo aj, v prípade inštalátorov BlackEnergy, boli), išlo o vážnu a kritickú zraniteľnosť.

Keď hovoríme o zraniteľnostiach typu zero-day, ide hlavne o diery v rozšírených softvéroch ako Word či PowerPoint?

Áno, pre útočníkov má zmysel „exploitovať“ softvér, ktorý je rozšírený, inak by to nebolo také účinné. Môže ísť o rôzne aplikácie, internetové prehliadače či pluginy v prehliadačoch, Flash, Java, samotný operačný systém Windows, ale aj iné systémy – Linux, Mac OS X, Android, iOS atď. Podstatou je vzdialené spúšťanie malvéru v počítačoch. Napríklad si používateľ spustí trójskeho koňa aj tým, že si v zraniteľnom prehliadači pozrie nejakú webstránku, ktorá v pozadí nainfikuje počítač bez jediného kliknutia. (Na rozdiel od sociálneho inžinierstva, kde ho „podvod“ presvedčí, aby na niečo klikol.) Druhá skupina útokov sa volá escalation of privileges. Ide o to, ako sú bezpečnostné mechanizmy vo Windows nastavené: napríklad máte počítač pod správou administrátora – ak sa v ňom spustí škodlivý kód, bude to mať väčší dosah na systém. V prípade tejto druhej skupiny útokov však exploit vie napáchať veľa škôd aj vtedy, keď má menšie práva. Vie si ich získať a narobiť paseku.

Robert Lipovský. FOTO N - Vladimír Šimíček
Robert Lipovský. Foto N – Vladimír Šimíček

Ako boli Ukrajinci pripravení na kyberútok?

Nemali dobre zabezpečené systémy. Nedodržali radu číslo jeden, ak odhliadneme od tých úplne najzákladnejších, ktoré sa týkajú každého bežného používateľa. Kritické priemyselné systémy majú veľmi veľký problém, keď sú napojené na internet. Mali by byť oddelené od siete, v ktorej sekretárka sleduje svoje maily a pozerá si správy na internete. Toto bol zásadný problém.

Ktoré bezpečnostné opatrenia by mali dodržiavať všetci?

Má to viacero úrovní, ktoré vyplývajú z toho, ako fungujú útočníci. Spôsoby prieniku sú buď založené na technických veciach, alebo na ľudskom faktore. Ochrana by preto mala byť na viacerých úrovniach. Systém by mal byť zaktualizovaný, aby ste tam nemali spomínané zraniteľnosti. Väčšina ľudí, keď im vyskočí, že Windows sa chce zaktualizovať, tak to ignorujú, lebo ich to otravuje. To sa týka hocičoho – od prehliadačov až po pluginy ako Flash či Java. V kadečom sa nachádzajú zraniteľnosti a útočníci ich zneužívajú. Potom je dôležité pracovať pod štandardným používateľským účtom – opäť je to pohodlnosť a lenivosť používateľov, že často pracujú pod administrátorskými účtami, aby ich počítač neotravoval. Lenže je to veľmi nebezpečné. Používanie aktualizovaného bezpečnostného riešenia – antivírusu či firewallu – je samozrejmosťou.

Ako je to pri „sociálnom inžinierstve“?

Hlavne vo firmách by mali vzdelávať zamestnancov, aby mali povedomie o počítačovej bezpečnosti, aby sa také útoky nestali. Miera zabezpečenia – to, koľko sa investuje do ochrany – by mala byť priamo úmerná tomu, čo tá firma alebo osoba chráni. Asi by nedávalo zmysel, aby hocikto investoval tisíce dolárov do zabezpečenia, keď mu v podstate až tak o veľa nejde. Avšak aj tí, čo si myslia, že nemajú nič zaujímavé, sa môžu stať terčom. Napríklad internetbanking používa takmer každý. A to je ten najlepšie viditeľný prípad.

Mali by sme byť všetci paranoidní?

Určite to nie je na škodu.

Platí to aj pre používanie mobilov?

Samozrejme. Podobné ako pri desktopových platformách je to aj na mobiloch, či už ide o „tvrdé“ malvéry, cez ktoré sú potom mobily ovládané zo vzdialených počítačov, alebo také, ktoré nazývame potenciálne nechcenými aplikáciami a sú na hrane medzi čistým a škodlivým softvérom. Sú to napríklad veci, ktoré zbierajú osobné údaje. Táto „ľahšia“ kategória má oveľa väčší podiel. Na mobiloch to platí obzvlášť. Zbierajú údaje od kontaktov až po nazbierané aplikácie, profily toho, čo navštevujete na webe. Väčšinou je to s cieľom poskytovania cielenej reklamy. Toto zbieranie osobných údajov je veľký biznis a veľa reklamných softverových frameworkov používa nie úplne čisté techniky.

Nezákonne získané informácie sa predávajú iným spoločnostiam?

Je to jeden zo spôsobov. Niektoré reklamné systémy, napríklad na systéme Android, sú pri zbieraní osobných údajov také agresívne, že prekračujú hranice legitímneho softvéru a ESET ich blokuje. Iné, naopak, hrajú čistú hru a my, používatelia, im naše osobné údaje odovzdávame dobrovoľne. Na reklame sú postavené aj najväčšie spoločnosti ako Google a Facebook. Ich služby a produkty sú super a zadarmo. Ale v skutočnosti nie sú zadarmo. Platíme za ne naším súkromím. Tým, že Google vie o nás také obrovské množstvo informácií. Je najväčším reklamným kolosom práve na základe takého kvanta informácií.

Malo by byť komplikovanejšie dostať sa k súkromným dátam?

Sú tlaky na veľké spoločnosti, aby poskytovali možnosť svojim používateľom, aby mali pod kontrolou osobné údaje. Zaujímavé pre mnohých ľudí by bolo, keby si mohli vybrať, či chcú mať tieto produkty zadarmo a platiť za ne súkromím, alebo by bola možnosť zvoliť si, aby o vás nezbierali informácie a zaplatili by ste si za to. Malo by to byť o voľbe.

Po parížskych teroristických útokoch sa spustila debata o tom, či by tajné služby mali mať kľúče k šifrovanej komunikácii. Bolo by to správne?

Je to dôležitá debata. Akékoľvek narušovanie šifrovania by však bol veľmi nebezpečný a nesprávny krok. Najviac by to uškodilo bežným ľuďom, mohli by prichádzať o svoje súkromie. Teroristi a zločinci si vždy nájdu spôsob, aby to obišli.

Je riziko uchovávať si dokumenty na cloudových serveroch, napríklad v Googli?

Pri prihlasovaní do mailu a svojho účtu treba používať dvojfaktorovú autentifikáciu (overenie prístupu napríklad cez SMS-ku). To silno odporúčam. To by už mala byť samozrejmosť. Kto sa chce k vám dostať, ľahšie sa dostane do vášho počítača ako do cloudových serverov Googlu. Problém býva skôr taký, ak si ľudia slepo nastavia heslá s milión ďalšími kontami, potom im príde link na resetnutie hesla do Gmailu a dajú si nejakú príliš jednoduchú bezpečnostnú otázku. To nemusí byť vôbec ultrasofistikovaný hacker, kto to prelomí. Ide znovu o netechnický aspekt. Nehovoril by som, že sa treba báť takých služieb, ale treba dbať na bezpečnosť, čiže si napríklad treba dobre zvoliť heslo.

Ako by malo vyzerať?

Malo by byť dlhé. Nemalo by to byť v podstate ani heslo, ale nejaká fráza či veta s mnohými prvkami.

Je nejaký rozdiel v bezpečnosti na mobiloch, ktoré fungujú na Androide či iOS?

Zraniteľnosti sú v softvéri ako takom. Apple má výhodu, že jeho systém je uzavretejší. Čiže je ťažšie dostať škodlivý kód do ich oficiálneho softvérového obchodu App Store a následne do iPhonu, čo však neznamená, že by sa to v minulosti nestalo. Android je síce otvorenejší, ale aj Google už prechádza na striktnejší proces revízie kódu, kontrolu aplikácií, ktoré sa objavia v jeho obchode. Dramatické principiálne rozdiely by som tam teda nevidel.

Oplatí sa mať antivírus aj na mobile?

Dnes už áno. Androidové hrozby sa začali sporadicky objavovať v roku 2010, vtedy sa to len začínalo a miera rozšírenia bola nízka. Teraz nám štatistiky hovoria, že sa objavujú desaťtisíce androidových škodlivých kódov denne. Dnes sa už útočníkom oplatí útočiť na mobilné zariadenia a používatelia sa preto musia chrániť. Bežní používatelia si hovoria, že je to bublina, ale firmy sa už na to začínajú pozerať s plnou vážnosťou, pretože vedia, že vo firemnom telefóne sú dôležité kontakty alebo dokumenty. Keď ho navyše niekto začne zneužívať na útok proti firme, tak to má potom úplne inú finančnú hodnotu ako napríklad strata osobných fotografií, hoci aj tie má zmysel chrániť. Silnú úlohu tu zohrávajú trendy, aké zariadenia používatelia používajú. Veľa netechnických typov prakticky nepoužíva počítač, ale má tablet či smartfón a o to viac sa stávajú zaujímaví pre útočníkov.

Ak chce niekto zohnať napríklad nejaký malvér, aby niekomu ukradol čísla kreditiek, je ľahké dostať sa na undergroundové fórum?

Veľa takých fór sa zabezpečuje tým, že sa tam dostanete len na nejaké odporúčanie, respektíve musíte mať nejakú reputáciu, aby ste tam získali prístup. Nie je to hocijaké fórum, kde sa dá ľahko zaregistrovať.

Na Slovensku ste riešili podobné útoky, ako sa stali na Ukrajine? Spomína sa napríklad prípad z konferencie Globsec…

Terčmi útokov bývajú často naše významné vládne inštitúcie. Také kampane ako BlackEnergy, samozrejme, existujú. Tieto pokusy nie sú výnimočné, bohužiaľ. V prípade Globsecu išlo o jednu z kampaní šírenia BlackEnergy. Účastníkom sa rozposlal mail s dokumentom o Globsecu. Na koho konkrétneho bol útok cielený a aký mal úspech, to nevieme.

Bol to podobný malvér BlackEnergy ako ten, čo sa teraz objavil na Ukrajine?

Bola to staršia, špionážna verzia. Tu hovoríme o zásuvných moduloch alebo pluginoch. Keď sa niekto nainfikuje škodlivým mailom, tak si nainštaluje jadro malvéru, ktoré si vie naťahať pluginy, aké potrebuje útočník, aby sa dostal k cieľu. Tie určujú, čoho potom bude ten trójsky kôň (back door) schopný. Pluginy dokážu napríklad zaznamenávať stlačené klávesy, robiť screenshoty, dať možnosť vzdialeného prístupu či spustiť deštrukčný komponent, čiže zmazať údaje, aby sa systém nevedel opäť naštartovať.

Prečo je také ťažké odhaliť, kto je za kyberútokmi? Pomohlo by vám, keby ste mali pri svojom „vyšetrovaní“ napríklad policajtov z FBI s ich právomocami?

Ťažko. Väčšinou sa nedá nikomu pripísať, kto konkrétne bol za útokom. Aj preto sa tak ťažko hovorí o tom, ktorý štát si mohol najať hackerov na kyberútoky proti inému štátu. Preto to je pre nich zaujímavé – vedia iniciovať nejaký útok a pokiaľ sa k nemu nikto neprihlási, tak vo väčšine prípadov je takmer nemožné odhaliť útočníka. Existujú nejaké stopy, pomôcky v kóde, ale aj tieto veci sa dajú ľahko sfalšovať a podvrhnúť.

Keď sa podarilo odstaviť francúzsku globálnu televíziu TV France, hackeri sa tvárili ako kyberkalifát z Islamského štátu, ale Francúzi nakoniec z toho podozrievali Rusov. Hovorilo sa, že by mohlo ísť o skupinu Sednit. Je to podobné ako BlackEnergy?

Je to podobné, avšak je to iná rodina, iný kód. Je to ako s pištoľami – je to zbraň, ale každá má iný kaliber. Hovorí sa o ruských koreňoch, ale ako som vravel, dokazovanie takých vecí je problematické.

Denník SME zažil veľký DDoS útok na spravodajský web, ktorý sa spustil presne v čase, keď sa v roku 2014 skončili prezidentské voľby. Kým sa nepodarilo odfiltrovať zahraničných návštevníkov, bolo sme.sk úplne vyradené. Je pravda, že také útoky sú pomerne lacné a stoja okolo tristo dolárov?

Je to presne tak. Špionáž alebo sabotáž v tomto prípade môže byť na úrovni štátov, ale môže to byť aj obyčajná snaha poškodiť konkurenciu. Súčasťou útoku sú počítače desaťtisícov ľudí, ktorí si možno mysleli, že nič zaujímavé u seba nemajú, a preto až tak nedbajú o zabezpečenie svojho počítača. Infikované zariadenia sa potom môžu stať súčasťou obrovského botnetu, ktorý niekto ovláda. Útočník vie zadať napríklad príkaz, aby sa tieto počítače naraz pripájali na konkrétnu webstránku, čím ju odstavia.

Existuje medzi hackermi špecializácia?

Áno, trendom v digitálnej kriminalite je profesionalizácia. Zločinecké skupiny sú organizované a jednotlivé zložky zohrávajú špecifické roly. Niekto zabezpečuje napríklad vývin kódu, je to programátor, ktorý ho môže poskytovať ďalej. Ešte aj v tom sa môžu tvoriť špecializácie zodpovedné za konkrétne časti. Keď sa bavíme napríklad o bežných útokoch, trebárs o bankových trojanoch, ktoré sa zameriavajú na získavanie údajov na prihlasovanie do internetbankingu, tak niekto vyvíja to funkčné jadro, niekto iný môže vyvíjať ochrannú obálku na malvér. Iní môžu pracovať na konfiguračných súboroch – takzvaných webinjectoch. Keď chce útočník získať prístupové údaje do banky, tak v prehliadači obete upraví stránku internetbankingu tak, že zmení jej obsah bez toho, aby to vzbudilo pozornosť; útok bude vyzerať dôveryhodne podľa vizuálu banky, aby ste neváhali zadať nový GRID kód a podobne. Takéto webinjecty – bankové trojany sú potom na predaj. Iní zase predávajú službu: poskytujú botnety na útoky s trojanmi.

Kyberzločinci sú teda vysoko špecializovaní a takmer nevystopovateľní. Čo s tým?

Dá sa im to strašne sťažiť. Je to nekonečná hra. Od začiatku je nevyrovnaná tým, že my, čo sa snažíme chrániť používateľov, potrebujeme ochrániť všetky možné kanály, akými sa útočník môže dostať do systému. Útočníkovi stačí narušiť len jeden z týchto kanálov. Z toho vyplýva, že nato, aby ochrana mala šancu na úspech, musí mať viac úrovní. Nie je to len o jednom konkrétnom riešení.

Ako to je so Slovenskom a jeho bezpečnosťou?

Slovensko sa zúčastňuje na cvičeniach NATO o pripravenosti na kyberútoky. Ide o simulované útoky, kde sú tímy z rôznych krajín. Pozitívne je, že sa zúčastňujeme týchto cvičení, že je snaha zlepšovať sa a že sa do toho investuje.

Ako je to medzi antivírusovými spoločnosťami, keď prídete na nejaký chytrý malvér? Podelíte sa navzájom o informácie?

Vymieňame si informácie. Antivírusová komunita je dosť špecifická v tom, že v nej existuje vymieňanie vzoriek škodlivého kódu, čo je super vec. Vytvára to vec pre spoločné dobro, aby mali povedomie o malvéroch aj iné antivírusy a mali možnosť chrániť svojich používateľov. Ale ten druhý krok, ako ktorá spoločnosť zareaguje na škodlivý kód, je už na každej firme.

Slovníček hackera a internetovej bezpečnosti

Malvér: Skratka zo slovného spojenia malicious software, čiže škodlivý kód. Zahŕňa napríklad počítačové vírusy, trójske kone a červov.

Exploit: Zneužitie programátorskej chyby alebo zraniteľnosti programu, napríklad operačného systému, internetového prehliadača alebo čítačky súborov PDF.

Zero-day: Ide o prívlastok takej hrozby alebo zraniteľnosti, o ktorej vie len samotný útočník a momentálne na ňu neexistuje ochrana. Takýto malvér nazývame zero-day alebo zero-day exploit a ide o veľmi nebezpečné a účinné hrozby a zraniteľnosti. Na čiernom trhu sa predávajú za vysoké sumy.

DDoS útok: Je to pokus o odstavenie služby, väčšinou webstránky. Útok pochádza z mnohých nakazených zariadení, ktoré sa akoby snažia otvoriť daný web, čím ho zahltia požiadavkami. Bežní návštevníci webstránky sa pri úspešnom útoku k jej obsahu nedostanú.

Phishing: Podvodná technika používaná na získavanie alebo lovenie (od slova fishing) citlivých informácií ako napríklad prihlasovacích údajov, hesiel a osobných informácií.

Botnet: Sieť infikovaných počítačov alebo iných zariadení, nad ktorými má istú kontrolu útočník. Majitelia týchto zariadení väčšinou netušia, že sú zneužívané na digitálne útoky.

Sociálne inžinierstvo: Nejde o útok na zariadenie, ale na samotnú ľudskú myseľ. Útočník sa snaží obeť klamstvom naviesť na istú činnosť, ktorá jej v konečnom dôsledku ublíži. Napríklad na kliknutie na link, na stiahnutie súboru alebo odoslanie osobných údajov či hesiel.

Pozn. redakcie: Šiesti spolumajitelia spoločnosti Eset sú akcionármi Denníka N

Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na pripomienky@dennikn.sk.

Hekeri a kyberbezpečnosť

Slovensko, Svet, Veda

Teraz najčítanejšie