..NOVINKY..

S DATY UŽIVATELŮ A FIREM SE NA DARKNETU KŠEFTUJE JAK NA TRŽIŠTI
15.02.2018

Informace z platebních karet za pár dolarů, zdravotní záznamy už za stovku. S daty uživatelů a firem se na darknetu kšeftuje jak na tržišti

  • Útoky hackerů jsou v dnešním digitálním světIÍNě stále častější. Výjimkou není vydírání ani krádež identity.
  • Podle statistiky společnosti Accenture se průměrné náklady spojené s malwarovými útoky pohybují kolem 2,4 milionu dolarů za společnost.
  • Vyděračské softwary se nevyhýbají ani České republice. V tuzemsku se nejvíce šířil virus Cerber, který cílí na fotky a videa.

Stačilo pár kliknutí a výsledky voleb jsou jiné, než zamýšleli voliči. Prezidentem se stal kandidát, který si najal profesionálního hackera. Ten využil technické zranitelnosti volebního systému a nečestnému politikovi pomohl přidáním hlasů. Po zásahu po sobě smazal stopy, aby bezpečnostní technici nezjistili, jak se do systému dostal.

Naštěstí jde jenom o scénář cvičení, které připravili experti z kybernetického týmu brněnské Masarykovy univerzity. Volební výsledky v českém prostředí chrání roky zaběhlý systém papírových hlasovacích lístků. Archivují se a v případě pochybností je lze přepočítat. Pokud by však šlo o e-volby − tedy hlasování přes internet, jehož průkopníkem je Estonsko −, byl by už podobný scénář reálný. Právě kvůli obavám z manipulace s výsledky zakázala volit po internetu například německá nebo nizozemská vláda.

 

"Každý informační systém má nějaké slabší místo, které mohou útočníci využít a proniknout dovnitř. Nezáleží na tom, o jaký systém se jedná, princip je vždy stejný," popisuje rizika Tomáš Plesník, člen bezpečnostního týmu CSIRT-MU.

Jedním z jeho úkolů je výcvik takzvaných etických hackerů neboli white hats. Ti mají počítačové systémy zabezpečovat a odhalovat jejich chyby předtím, než je napadnou "zlí hackeři", kterým se přezdívá black hats. Některé útočníky motivuje chuť otestovat své schopnosti, jiným jde prostě o to, dostat za krádež dat zaplaceno. Pokusit se ovlivnit průběh voleb na zakázku je přitom jen okrajová možnost, jak mohou tito počítačoví experti své schopnosti zúročit.

Nečestné výdělky

Známé jsou případy firem jako Yahoo! nebo Equifax. Právě této americké společnosti, fungující jako registr dlužníků, black hats ukradli osobní údaje 145,5 milionu lidí. S podobnými krádežemi firemních dat, nebo dokonce osobních identit se v dnešním digitálním světě setkáváme stále častěji.

Podle analýzy společnosti Accenture, která oslovila 254 firem po celém světě, zaplatily loni firmy za kybernetickou bezpečnost průměrně 11,7 milionu dolarů. To je téměř o 28 procent víc než v předchozím roce. Za posledních pět let pak škody firem spojené buď se samotnými incidenty, přerušením podnikání, ztrátou zákazníků, nebo obnovou poškozených systémů stouply o 62 procent. Někteří hackeři za ukradená data inkasují tučné zisky na černém trhu. Prodají je konkurenci nebo marketingovým společnostem. Mohou také vydírat jejich majitele. Jiní berou útoky na počítačové systémy jako své zaměstnání a nechávají se najmout na objednávku.

Jedním z míst, kde si každý může nepozorovaně zjednat black hat hackera, je skrytá část internetu zvaná darknet. Zde se také obchoduje s ukradenými osobními daty. Ta nejlevnější většinou pocházejí z kreditních karet, jejich ceny se pohybují v jednotkách dolarů za kus, takže se prodávají ve větších baleních. Zajímavější údaje, jako zdravotní záznamy, stojí zhruba 100 dolarů za člověka. Nejdražší jsou informace o bankovních transakcích, zde jde cena do tisíců dolarů za osobu.

Dalším výdělečným byznysem hackerů jsou malwarové útoky. Obvykle přicházejí v podobě počítačového viru nebo červa třeba jako součást e-mailu. Pro správce datových sítí jde o noční můru, která znamená velké náklady. Viru si přitom nemusí ani všimnout. Jak upozorňuje Filip Linhart ze společnosti net.pointers, která se zaměřuje na kybernetickou bezpečnost, viry mohou v systému nepozorovaně "hnízdit" i několik let.

Chce to trpělivost

"Hacker spustí útok, teprve až se dostane k informacím, které chce. Může tak zkopírovat stovky nebo tisíce souborů a firma si toho ani nevšimne," popisuje zkušenosti z praxe Linhart. Výsledkem je obvykle vydírání firem a výhrůžky. "Stává se, že firma útočníkovi raději nabídne pracovní místo třeba jako poradci na kyberbezpečnost, protože neví, jak se k datům dostal," dodává Linhart.

Ze studie Accenture vyplývá, že průměrné náklady spojené s malwarovými útoky se pohybují kolem 2,4 milionu dolarů za společnost. Není přitom moc způsobů, jak se s následky útoku vypořádat. "Řada firem to řeší v tichosti, protože nechtějí negativní PR, kvůli kterému by přišly o klienty. Raději tedy zaplatí výkupné," vysvětluje Pavol Lupták, etický hacker a majitel společnosti Nethemba, která se zaměřuje na bezpečnost webových aplikací a pomáhá firmám opravovat skulinky v jejich IT zabezpečení. "Majitelé firem balancují nad tím, jestli se s útočníky vyrovnají a nebudou to muset řešit veřejně, nebo podají žalobu na neznámého pachatele. Tím vznikne humbuk a bude se to probírat v médiích," říká Lupták. Připomíná nedávný únik dat z databáze provozovatele alternativní taxislužby Uber, která incident veřejnosti zatajila.

Útok nemusí být cílený

Vyděračské softwary − ransomwary − se v minulém roce dostaly do povědomí hlavně kvůli útokům WannaCry a Petya, které ochromily stovky tisíc počítačů napříč světem. Zablokovaly systémy nebo zašifrovaly data a pak požadovaly od oběti výkupné za obnovení přístupu.

Jen program WannaCry vydělal útočníkům za pět dní na 73 tisíc dolarů. Infikované e-maily se nevyhnuly veřejným sítím, domácnostem ani firmám, které virus zastihl nepřipravené. Zasažena byla například globální kurýrní služba FedEx či počítačové systémy několika britských nemocnic.

Podle mezinárodního průzkumu společnosti SophosLabs zažilo loni útok typu ransomware 54 procent středně velkých podniků. Více než polovina dotázaných společností přiznala, že žádnou specifickou ochranu proti takovým útokům nemá. Nejčastějším cílem byly podniky působící v oblasti zdravotnictví.

Byznys kladných hrdinů

Zároveň s tím, jak roste počet kyberútoků, rozrůstá se i podnikání těch, kteří mírní jejich následky. Právě na bezpečnost zdravotnických zařízení, jež jsou jedním z nejčastějších cílů, se na evropském i českém trhu už téměř 30 let specializuje Petr Samek. Mělnická rodinná firma CNS, kterou vlastní spolu s Lubošem Hajnem, zajišťuje bezpečné převody lékařských záznamů například pro jeden z největších laboratorních řetězců v Česku − společnost Synlab.

"Jakmile jdou záznamy pacientů od lékaře do laboratoře a z laboratoře zpět k lékaři, musí být maximálně zabezpečeno, že je nikdo nepřečte. Kdyby útočník znal pacientův zdravotní stav, mohl by ho snadno poškodit," vysvětluje Samek úkol šifrování. CNS v současné době rozjíždí pobočku v Pittsburghu. "V USA je útoků daleko víc, a povědomost mezi lidmi je tedy vyšší než u nás. Firmy jsou do zabezpečení dat ochotny investovat více než v Evropě," popisuje, v čem vidí potenciál svého podnikání. 

Problémem Čechů podle něj je, že si dostatečně neuvědomují velikost hrozby spojené s kybernetickými incidenty. "U nás to ještě pořád vnímáme jako problém těch druhých, který se nás netýká. Američané si dobře uvědomují, že obhospodařují citlivá data, která je nutné zabezpečit, protože když o ně přijdou, bude jásat konkurence," říká Samek.

České republice se přitom útoky hackerů nijak zvlášť nevyhýbají. V seznamu zemí postižených ransomwarem společnosti Sophos obsadila 23. místo v Evropě a 60. místo celosvětově. Hrozby se navíc netýkají jenom firem a veřejných institucí. O bezpečnost svých systémů by se měli více zajímat i běžní uživatelé.

Nejslabším článkem je člověk

Veronika Zieglerová nepatří k těm, kteří si své digitální soukromí nehlídají. Přihlašovací hesla si mění každého půl roku a v on-line komunikaci je obezřetná. E-mail na Seznam.cz si založila už na střední škole, později ho začala používat i pracovně. Věnovala se výživovému poradenství a body fitness a se svými klienty potřebovala komunikovat přes internet. Posílali jí o sobě informace včetně osobních údajů, aby jim vypracovala jídelníčky.

"Systém psal, že heslo je neplatné," vzpomíná Zieglerová na chvíle poté, co se stala obětí takzvaného sociálního inženýrství. Jde o útok, kdy hackeři manipulují své oběti s cílem získat od nich třeba právě přístupové údaje.

"Napsala mi slečna na Facebooku a ptala se na jméno maminky za svobodna. Tvrdila, že na fotkách vypadá jako spolužačka její maminky, která zrovna chystá třídní sraz. Všechno sedělo a máma si v té době navíc stěžovala, že ztratila na spoustu lidí kontakt. Nepřemýšlela jsem nad tím a hned jsem napsala jméno," popisuje útok Zieglerová.

Tehdy si neuvědomila, že jméno matky za svobodna je kontrolní otázka pro vstup do jejího e-mailu, kterou si při založení účtu nastavila. Hacker se dostal do schránky, změnil přihlašovací údaje a e-mail zablokoval. Veronika Zieglerová přišla nejen o všechny kontakty, které za roky práce nasbírala, ale i o část svého soukromí. "Bylo to, jako by mi vzali kus svobody, cítila jsem se strašně zneužitá. Ten e-mail znalo mnoho lidí, kteří ho považovali za bezpečný kontakt na mě. Bála jsem se, že hacker bude třeba rozesílat zprávy mým známým, že jsem v nouzi, a žádat je o peníze," říká.

Hackeři využívají sociální inženýrství často a nejen jako cestu k účtům na sociálních sítích. Experti z oblasti kybernetiky potvrzují, že člověk je nejslabší článek řetězce. Kvůli nevědomosti většinou není potřeba ani ve firmách složitě obcházet technologii, která je dnes na špičkové úrovni.

"Stačí si vyměnit pár e-mailů s někým, kdo má přístup do administrativního rozhraní firemního systému. Pokud získáte jeho důvěru, pošle vám přihlašovací údaje sám, ani si to neuvědomí," upozorňuje Plesník z Masarykovy univerzity. Heslo by navíc správně mělo obsahovat alespoň osm znaků, kombinovat velká a malá písmena, číslice a další znaky. Zároveň je třeba je často měnit.

Nejlepším způsobem, jak se vyhnout dramatickým nákladům a ztrátě dobrého jména, je podle odborníků osvěta uvnitř firmy. Zaměstnanci si musí uvědomovat, jak velký význam data pro společnost mají, a chápat smysl bezpečnostních opatření. Ke zlepšení situace by pomohla i ochota podniků informovat veřejnost o napadení místo zatajování úniku dat. IT experti by pak mohli útoky zmapovat a popsat. Jak s nadsázkou říkají, jsou jenom dva typy společností. Ty, které o napadení vědí, a ty, které ho ještě neodhalily.

Vyšlo v Hospodářských novinách