Club

"Firem, které nakonec výkupné zaplatí, je dost a v tomto "byznysu" se točí stále více peněz," říká v rozhovoru o hackerských útocích IT expert, Martin Haller.

Útoky hackerů jsou čím dál častější a sofistikovanější. Ukázkou může být případ z března 2020, kdy se hackerům podařilo nabourat do systému Fakultní nemocnice v Brně. Jak lze tomuto nebezpečí  předcházet a kde vlastně mohou hackeři ukradené informace využít? Na naše otázky odpovídá IT specialista ze společnosti PATRON-IT, Martin Haller.

 

CoolDialog

 

Martin Haller je expertem na kybernetickou bezpečnost. Správě počítačových sítí se věnuje od svých studií, profesně nikdy nedělal nic jiného a potom, co založil vlastní firmu, se začal sustředit pouze na IT bezpečnost. Razí heslo, že pokud má síť dobře zabezpečit, musí ji nejprve umět prolomit. Léta se věnoval etickému hackingu, aby dnes mohl své zákazníky před hackery chránit. Své poznatky sdílí na svém blogu, kde zajímavé informace najdou nejen IT profesionálové, ale koncoví uživatelé např. o bezpečnosti IP kamer.

 

Před pár týdny se odehrály útoky hackerů na Fakultní nemocnici Brno. Na pomoc přišlo několik dobrovolníků a IT expertů, aby zdravotníkům pomohli IT systém obnovit. Co podle vás bylo hlavním motivem hackerů?

Myslím, že stejně jako v jiných případech, jde útočníkům o získání peněz skrze výkupné. Poslední roky je tohle běžný scénář, který se všude na světě opakuje den co den. Firem, které nakonec výkupné zaplatí, je dost a v tomto „byznysu“ se točí stále více peněz. Tím, jak se hackeři dostávají k více penězům, zlepšují se i jejich schopnosti. Díky tomu zvládají napadat i větší a movitější firmy, což jim zase generuje více peněz. Například koncem roku zaplatila firma Travelex výkupné ve výši 2,3 milionů dolarů (cca 50 milionů korun) (https://www.scmagazine.com/home/security-news/ransomware/travelex-paid-2-3-million-ransom-report/). V dubnu letošního roku zas jiná skupina napadla a zašifrovala portugalskou firmu EDP a požaduje za data výkupné 10 milionů euro (https://adware.guru/ragnarlocker-ransomware-operators-attacked-energias-de-portugal/). To je gigantická suma.

 

V čem takový útok spočívá?

Celé to spočívá v tom, že hackeři nejprve prolomí zabezpečení počítačové sítě. Většinou to provedou skrze zapomenutou neopravenou zranitelnost, nebo phishingový e-mail (s nebezpečnou přílohou, nebo se snaží vylákat uživatelské přihlašovací údaje). Následně se v síti rozhlíží a snaží se získat přístup k co největšímu množství zařízení a informací. Když si myslí, že síť dostatečně poznali, smažou firemní zálohy dat, část dat si zkopírují k sobě na servery, a nakonec všechna data v síti zašifrují.

 

 

Takže pro firemní IT systém je to paralýza, ztráta či nemožnost dostat se ke svým datům...

Tím, jak jsou data zašifrovaná, nedá se k nim dostat a pracovat s nimi. Takže firmám přestávají fungovat informační systémy, e-maily, databáze, počítače. Firmy jsou po útoku paralyzovány a nemohou fungovat. IT oddělení většinou na svých serverech najde vzkaz od útočníků (tzv. ransomnote) se vzkazem, že pokud chtějí data zpět, ať kontaktují útočníky na uvedeném e-mailu. Častokrát je ve vzkazu už i částka, kterou bude třeba zaplatit.

 

Jsou firmy vždy odsouzené k vyjednávání s hackery?

U některých firem se útočníkům nepodaří smazat veškeré zálohy, a tak z nich vše mohou obnovit. Bohužel část firem nemá z čeho data obnovovat, a tak začne s útočníky vyjednávat o platbě výkupného.

 

Co když firmy zaplatit nechtějí, nebo jednoduše nemohou?

Aby toho nebylo málo, tak na přelomu roku útočníci vylepšili svou taktiku. Nově firmy vydírají i s tím, že pokud nezaplatí výkupné, tak část jejich soukromých dat zveřejní na internetu. Je to od nich chytrý tah, protože proti zveřejnění dat vás zálohy neochrání.

 

Existuje způsob, jak se dají hackeři najít? Zejména ti, kteří se podíleli na výše zmíněném útoku na nemocnici v Brně. Jaký trest jim případně hrozí? 

Hackeři pro zakrytí své identity a lokality používají řadu anonymizačních služeb. K útokům používají pronajaté servery, anonymizační VPN, či zařízení již napadených firem. Ke komunikaci využívají „bezpečné“ e-mailové služby jako ProtonMail.com, Cock.li, nebo vlastní webové stránky v rámci „dark webu“. Platby výkupného se pak provádí skrze kryptoměny.

Nejčastěji je to Bitcoin, ale asi stále častěji budeme potkávat Monero, které nabízí větší anonymitu.

Známé hackerské skupiny mívají mnoholetou historii a páchají různě po světě. Myslím, že za tu dobu udělaly dost chyb, aby je mohl někdo dohledat. Nicméně, stále operují. Příčinou bude asi globální rozměr těch útoků. Je třeba provádět přes hraniční spolupráci a ta je často z politických důvodů omezená (např. NATO vs. Rusko, Severní Korea vs. zbytek světa). Hackerské skupiny také často neútočí na cíle ve své vlastní zemi či spřátelených zemí, aby se nevystavili stíhání.

 

Jakým způsobem mohou ukradená data hackeři využít? Kde se taková data dají prodat?

Myslím, že je velice nepravděpodobné, že by útočníkům šlo o osobní zdravotní údaje. Pro tato data nemají na „dark webu“ zase tolik kupců a cena není tolik vysoká. Poptávaná jsou hlavně data, která mohou vést k dalšímu „zpeněžení“ – např. přihlašovací údaje k různým službám, čísla platebních a kreditních karet, skeny osobních dokladů, nebo data umožňující vydírání. Ale i tak, nejjednodušším způsobem, jak získat peníze, je pro útočníky právě výkupné.

 

Za každým úspěšným útokem hackerů pravděpodobně stojí špatné zabezpečení IT systému.  

Jak vždy říkám, náš obor je komplexní a rychle se vyvíjí. Může se stát, že bude nějaký systém prolomen a dojde k výpadku. Přeci jen vy jako obránce musíte znát a zabezpečit všechno. Kdežto útočníkovi stačí najít jen jednu chybu. Avšak nemělo by se stát, že firma přijde o data, nebo dokonce dojde k prolomení celé její sítě. V takovém případě bude chyba nejspíše na straně IT.

 

 

S jakými chybami v zabezpečení IT systémů se nejčastěji setkáváte?

Nejčastěji se setkávám s tím, že IT má mylnou představu o tom, jak probíhají hackerské útoky. V dobré víře pak vkládají do některých nastavení více úsilí, než je nutné. A naopak něco zase podceňují.

 

Vztáhneme-li to přímo na Česko, jak by podle Vás mohly naše tuzemské instituce zlepšit úroveň zabezpečení?

To je taková otázka za milion. Netroufám si tvrdit, že na ni mám řešení. Snad si jen dovolím pár postřehů. V současné době je nedostatek odborníků na zabezpečení. Na druhou stranu si každá nemocnice nebo instituce řeší IT sama. To znamená, že všichni se neustále pro sebe snaží najít nějaké „best practice“ (vynalézt kolo). Možná by byla jednou z cest určitá „standardizace“.

 

Součástí účinné prevence by mohla být i pravidelná školení zaměstnanců o IT bezpečnosti. Domníváte se, že za útokem hackerům může do jisté míry stát i nedostatečná znalost personálu o důležitosti IT zabezpečení?

Běžným uživatelům bych udělal nějakou rychlou osvětu v rozsahu dvou hodin jednou za rok, ale moc do hloubky bych nezacházel. Protože:

  • sami mají dost své práce,
  • některé útoky jsou natolik sofistikované, že je pro běžné uživatele těžké je odhalit,
  • velká část útoků jde mimo uživatele (útoky na různé zranitelnosti v aplikacích a zařízeních).

Řešení spíše vidím v tom, věci nastavovat tak, aby běžní uživatelé nemohli nic pokazit. Ať už omylem, ani naschvál.

Školení mi však dává obrovský smysl u IT správců. To jsou lidé, na kterých stojí zabezpečení celé sítě. Náš obor je hodně komplexní a velice rychle se vyvíjí, proto je třeba nás podporovat ve vzdělávání.

 

Máte na závěr nějakou radu pro firmy i jednotlivce, která by jim pomohla rozpoznat riziko hackerských útoků?

Hackerské útoky jsou velice rychlé. Většinou jdete večer spát a ráno se již probudíte do „smrště“ telefonátů a e-mailů, že něco nejde. Proto je třeba se zaměřovat hlavně na prevenci. Probírejte se svým IT tuto problematiku a klidně si do firmy přiveďte další pár očí, který opatření a nastavení překontroluje.

 

Medailonek Martina Hallera

Martin Haller je spolumajitel PATRON-IT a celým srdcem technik. Specializuje se na kybernetickou bezpečnost a má zkušenosti etického hackera. Věří, že aby mohl síť dobře zabezpečit, musí ji nejprve umět prolomit. Na svém blogu martinhaller.cz přispívá aktualitami z oblasti IT bezpečnosti a také vlastními postřehy z praxe. Má rovněž kanál na YouTube – dozvíte se na něm například, jak vypadá útok na webkameru.

 

 

Připravila: Petra Pruden