Predstavme si teoreticky, že chcem cez internet zaútočiť na nejakú veľkú firmu. Aká komplikovaná a dlhá môže byť príprava na takýto útok?
To je veľmi všeobecná otázka. Ak by ste chceli vytvoriť priamy útok na jednu firmu, môže trvať v závislosti od útoku niekoľko hodín až niekoľko rokov. Napríklad keď sa uskutočnil útok na iránsky jadrový program, ktorý bol napadnutý pred niekoľkými rokmi, práve tu sa odhadujú prípravy na niekoľko rokov. V prípade bežných firiem, ktoré nemajú špeciálne zabezpečenie, to možno urobiť dokonca za jeden deň.
Dá sa pred takýmto niečím účinne brániť?
Primárnym cieľom útoku sú dnes ľudia a takisto tí, ktorí stoja za ochranou firmy, sú opäť ľudia. Nie stroje. Klasická technika, ako sa dostať do akejkoľvek firmy, je, že napríklad šéfovi marketingu pošle fiktívnu poukážku na 500 korún. No a ten človek si to otvorí, možno dostane nejakých 500 korún, no čo je dôležitejšie, útočník je už vo firme. Dokáže sa pohybovať po sieti, zisťovať práva, sťahovať informácie, a ak získa, čo chcel, jednoducho zahladí stopy. Ak firma nemá špecifické podmienky a postupy, ako otvárať mailové prílohy, nedá sa zabrániť infekcii.
Ako sa tie kvantá údajov potom dokážu dostať z firmy?
Informácie môžu v závislosti od druhu útoku unikať niekoľko týždňov alebo dokonca mesiacov. Existuje na to mnoho ťažko odhaliteľných techník. Napríklad tá najbežnejšia je, že zoberie údaje, ktoré potrebuje, a nahrá ich na Dropbox alebo iné bežné úložisko. Väčšina firiem totiž povoľuje používanie týchto úložísk. Iný variant je, že údaje pretečú cez niečo, čo sa tvári ako chránený hovor na internete, alebo ešte dokonalejšia technika je, ak sa niekam zasielajú fotografie, ktoré majú zakódované požadované údaje.
Môžem si takýto útok objednať na internete, prípadne koľko finančných prostriedkov musia ľudia vynaložiť, aby dokázali napadnúť dobre zabezpečenú firmu?
Existujú veľmi sofistikované čierne trhy, kde nakúpite všetko. Útok si od hackerov môžete kúpiť na kľúč alebo si dať vytvoriť účinný nástroj – malware. Ak sa rozhodnete pre druhý variant, musíte ho poslať do firmy a potom sa starať o jeho používanie. No ak ide o veľkú firmu, môžete si kúpiť už „nakazený“ počítač, ktorý sa už priamo v nej nachádza.
To môže niekedy stáť iba desiatky dolárov. Takisto si môžete zaplatiť aj to, že sa zamestnanci danej firmy vaším vírusom nakazia. Napríklad mali sme prípad, keď sa zamestnanci spoločnosti nakazili tak, že si večer objednávali jedlo vo svojej obľúbenej pizzeria a útočníci nakazili stránky pizzerie.
Dá sa odhadnúť cena takého útoku?
Cena môže byť od niekoľkých desiatok dolárov od náhodne infikovaných počítačov až po tisíce či desaťtisíce dolárov za počítače v dobre chránených sieťach.
Je možné, aby niečo podobné zvládol jeden človek alebo za tým stoja tímy ľudí?
Samozrejme, môže to byť aj jeden človek, no môžu to byť spolupracujúci jednotlivci. Takže napríklad sú ľudia, ktorí sa špecializujú na to, že hľadajú zraniteľné miesta, ďalší zase píšu kódy a samotný softvér, ďalší ten škodlivý softvér použijú. Podobne ako bežné firmy spolu obchodujú. Určite to môžu byť aj malé organizácie, kde pôsobia aj desiatky ľudí.
Dejú sa takéto útoky aj náhodne alebo ktoré údaje sú pre hackerov najcennejšie?
V podstate všetky údaje sú cenné. Väčšina útokov je takých, kde vám napríklad útočník zašifruje obsah a počíta s tým, že za údaje zaplatíte. Ak tam máte okrem iných dôležitých dokumentov napríklad fotky svojich detí, urobíte čokoľvek, aby ste ich dostali späť. A práve toto je aktuálne na internete veľmi úspešný biznis model.
Pri iných druhoch útokov však vzniká iný problém. Napríklad veľmi lacno a ľahko infikujete milióny počítačov, stiahnete kvantá dát, no potrebujete na to ľudí, aby ste zistili, čo je dôležité a čo nie. A to je veľmi nákladné. A tak na podobné útoky chýba ekonomická motivácia a nie je tých útokov toľko, ako by v skutočnosti mohlo byť.
Viete odhadnúť, aký bude trend v budúcnosti? Bude sa meniť správanie útočníkov alebo druh útokov?
Myslím, že to sa bude určite meniť. Všeobecne je dnes taký trend, že klesá bežná kriminalita a sofistikovanejší zločinci sa presúvajú práve na internet. Je to z toho dôvodu, že pravdepodobnosť, že ich vôbec chytia, je v porovnaní s bežnou kriminalitou veľmi malá. A čím viac ľudí sa do toho zapája, tým potrebujú viac peňazí a spolu s tým stúpa úroveň útokov a aj ich škodlivosť.
Nastáva tu problém s dokazovaním alebo vôbec s ich vypátraním, že sú takí nedostihnuteľní?
Je to veľmi komplikované aj z toho dôvodu, že jeden útok či jeden škodlivý softvér môže vytvoriť jeden človek, ktorý to predá desiatim organizáciám, no a tie to použijú proti 20 ľudom. Tí sú vybraní náhodne z celého sveta. Na rozdiel od bežnej kriminality v tomto prípade drvivá väčšina útokov potrebuje spoluprácu na medzinárodnej úrovni.
A máloktorý zločinec urobí takú chybu, aby útočil vo svojej krajine. Preto je vyšetrovanie jednotlivých útokov veľmi komplikované, pričom sa objavuje otázka, či vôbec bude kapacita policajných zložiek v rôznych krajinách na to, aby s tým začali niečo robiť. Ak pri útokoch vznikne škoda povedzme nižšia ako tisíc dolárov, potom je v tomto prípade šanca, že bude polícia pátrať po tomto jedinom útočníkovi, veľmi nízka. V tomto smere sa riešia najmä väčšie prípady.
Môžete povedať, na čo sa dnes najčastejšie útočí na internete? Sú to banky, globálne spoločnosti alebo obyčajní ľudia?
Podľa našich meraní, ktoré máme k dispozícii, sú najväčším cieľom marketingové firmy a inzerenti. Na druhom mieste sú povedzme obyčajní ľudia, kde im škodlivý softvér zašifruje obsah počítača a za odblokovanie žiadajú výkupné. Na treťom mieste sú práve sofistikované útoky, kde sa kradnú informácie.
Ak by som sa bližšie opýtal na sofistikované útoky, je možné, že väčšina z nich nikdy nebude odhalená alebo ich firmy radšej zataja?
Ťažko sa vyjadruje k útokom, ktoré nie sú známe. Ale poviem to takto. Keď nasadíme náš systém do siete, kde ešte nebol, a on práve vyhľadáva tieto útoky a škodlivý softvér, veľmi zriedka sa nám stane, že vo firmách nikdy nič nenájde. Väčšina veľkých firiem alebo organizácií má aspoň nízku mieru infekcie, ktorá tam je stále.
Čiže dá sa povedať, že každá z veľkých firiem je infikovaná?
V zásade áno, je, ale nedá sa povedať, že by tam niekto kradol dáta. Vo väčšine prípadov ani útočníci nemusia vedieť, že sú vo firme. Navyše existujú aj absurdné situácie, keď vidíme napríklad počítač, v ktorom sú údaje za milióny dolárov a je tam obyčajný škodlivý softvér, ktorý sa zaoberá tým, že zarába jeden dolár za deň za to, že kliká na inzerciu. Cielené útoky, ktoré sú pre firmy napríklad aj likvidačné, sú oveľa zriedkavejšie a ťažšie na odhalenie.
Dá sa proti takémuto útoku chrániť bez toho, aby som vo firme vypol internet? Alebo ak sa útočník rozhodne, že chce na túto firmu zaútočiť, je to iba otázka času?
Obrániť sa proti útoku vládnej organizácie alebo veľmi profesionálnej skupine je veľmi náročné a pre niektoré firmy takmer nemožné. Môžete však zvýšiť jeho cenu pre útočníka, ktorý vás chce napadnúť. Napríklad rozdelením siete a sústredením sa na ochranu kritických dát. Okrem toho stále radím, aby firmy svojim zamestnancom rozdali tablety, aby mohli chodiť napríklad na Facebook či súkromné emaily, a tým sa eliminuje obrovské riziko infekcie.
Potom sa firma môže sústrediť iba na to, aby zabezpečila čisto biznis operácie na sieti. Druhou jasnou úlohou musí byť ochrana emailu a jeho príloh. Napríklad jeho presunutím do cloudu. Tretí variant je, samozrejme, sledovanie siete. Napríklad stále obľúbenou metódou útočníkov je rozhádzať USB kľúče na recepcii firmy, zamestnanci ich vložia do počítača a útočník je vo firme. Každá bezpečnosť sa dá obísť tak, že zaútočíte na ľudí.
Ktorý je podľa vás najslabší článok v bezpečnosti?
Sú to ľudia alebo inak povedané, zamestnanci vo firme.