Počet kybernetických útoků roste. Hackeři bojují na obou stranách barikády

Kybernetické útoky jsou stále častější a hackeři umějí napáchat obrovské škody. Aby se jim firmy vyhnuly, mohou si hackera také objednat.

Počet kybernetických útoků roste. Hackeři bojují na obou stranách barikády
Martin Haller | foto Tomáš Novák, týdeník Hrot

Slovo hacker má obecně spíš negativní nádech. Většina lidí si při jeho vyslovení vybaví kybernetický zločin, ukradené údaje o bankovních kartách nebo zcizená data z firemních počítačových sítí. Méně už se ví, že existují také takzvaní etičtí hackeři. Jedním z nich je i majitel brněnské firmy Patron-IT Martin Haller. Hackingu se věnuje od mládí, rozhodl se ale pro cestu, na které nemusí porušovat zákon.

V čem se lišíte od hackerů „záporáků“?

Etičtí hackeři jsou lidé, kteří umějí totéž co zločinci. Jen místo toho, aby svými znalostmi škodili lidem nebo firmám, pracují v jejich prospěch a jsou za to zaplacení. Jde jim o to, odhalit chyby v systémech dřív, než si jich všimnou a zneužijí je zločinci. Upozorňují na ně potenciální oběti, aby si mohly systémy dát do pořádku dřív, než dojde k nějakému problému.

Předpokládám, že etických hackerů bude podstatně méně než těch, kteří se zabývají kriminální činností. Máte přehled, kolik vás v Česku je, jaká je ve vašem oboru konkurence?

Nevím, nikdy jsem to nepočítal a nezjišťoval. Ale rozhodně je etických hackerů nedostatek a poptávka po jejich službách je větší než nabídka.

Jak jste se k této práci dostal vy?

Už od puberty mě bavilo hrát si s počítači, věděl jsem, že se tomu chci věnovat. Líbilo se mi taky, jak hacking vypadal ve filmech, říkal jsem si, že bych to jednou chtěl dělat taky.

Ve filmech se ale objevují spíš ti záporní hackeři. Vy jste chtěl od začátku působit na té správné straně?

Ano. Jednak mě nelákalo páchat trestnou činnost, jednak mám rád svobodu a nechci se neustále bát a ohlížet přes rameno, jestli po mně nejdou.

Teď máte svou firmu, která se etickým hackingem zabývá. Jakým problémům dnes podle vašich zkušeností čelí lidé i firmy nejčastěji?

Je to hrozně široká oblast. V novinách se nejvíc píše o útocích typu ransomwaru (škodlivý kód, který zamyká přístup k počítačům nebo šifruje jejich obsah, pozn. red.), kdy se zastaví nemocnice, úřad nebo firma, kterým hackeři zašifrují data, to je ale jen jedna část.

Jaké jsou ty další, které se aktuálně objevují často?

U firem pozorujeme třeba podvody, které se souhrnně označují jako „business email compromise“, tedy podvody prostřednictvím zneužití firemních e-mailů. Ty probíhají tak, že útočníci ovládnou jen část komunikace v rámci firmy, většinou mezi dodavatelem a odběratelem, tu sledují a v určité chvíli se do ní vloží a upraví e-maily. Cílem je získat peníze.

Jak toho dosáhnou?

Dělá se to tak, že hackeři upraví e-maily například tak, že když dodavatel posílá odběrateli fakturu, hackeři ji pozmění a odběrateli přijde dokument s falešným číslem účtu. Odběratel pak pošle peníze hackerům. O tomto se moc nepíše, ale u některých firem to vidíme a často jde o částky v řádu stovek tisíc nebo milionů.

Na co by si měli dát pozor běžní lidé?

V tomto případě jde nejčastěji o podvody s platebními kartami, tedy klasický phishing, nebo podvody na různých bazarech a inzertních portálech.

Na phishing už někdy narazil asi každý. V čem spočívají podvody na online bazarech?

Když půjdete na Bazoš, Aukro nebo jiný podobný inzertní portál a něco tam vystavíte, velmi brzo se vám někdo ozve, že má velký zájem. Ptá se, jestli je zboží ještě dostupné, tvrdí, že ho hned bere, že uhradí poštovné a už objednal i přepravu. Pak vám pošle odkaz na webové stránky, které od vás chtějí zadání údajů o platební kartě. No a když to uděláte, ukradnou vám peníze z účtu.

Četl jsem, že také existují databáze osobních údajů lidí, s kterými se mezi hackery obchoduje…

Ano, existují hackeři, kteří prodávají kradené identity lidí, tedy hlavně přihlašovací údaje k účtům na sociálních sítích. Pak se prodávají i další osobní údaje, třeba ve Spojených státech se stává, že si pak na tyto údaje podvodníci berou půjčky a úvěry. Obchoduje se také s napadenými domácími počítači, které se pak používají k dalším útokům, když chce hacker skrýt svou identitu. No a potom existují podvody… Nevím, jestli jde ještě o hacking, spíš bych to nazval sociální inženýrství.

Ty spočívají v čem?

Typicky to probíhá tak, že vám zavolá neznámý člověk, který se vydává třeba za technickou podporu Microsoftu. Snaží se vás přesvědčit, že máte v počítači virus a že vám musí pomoci. Pokud mu dáte přístup k počítači, buď vám rovnou ukradne peníze, nebo vás nasměruje do internetového bankovnictví a ukradne vám je tam. Četl jsem taky o případech, kdy zavolali podvodníci, kteří lidem namluvili, že mají kompromitovaný bankovní účet. Pak jim tvrdili, že je potřeba, aby si peníze vybrali z bankomatu a vložili je na jiný účet. V Americe dokonce podvodníci okradeným zavolají i Uber, aby si k tomu bankomatu mohli dojet. Samostatná kapitola jsou podvody s kryptoměnami.

Martin Haller
foto Tomáš Novák, týdeník Hrot

Páchají tyto podvody stejné skupiny hackerů, nebo se specializují každá na vlastní obor?

Každá tato trestná činnost je úplně jiný byznys. A ani oni mezi sebou se většinou „nekamarádí“ a neznají. Na tyto různé typy kybernetických útoků potřebujete jiné znalosti a schopnosti.

Vy se věnujete jen firmám, nebo umíte pomoci i běžným lidem?

Pracujeme jen s firmami. Jsou zajímavější, technicky sofistikovanější, je tam větší tlak na rychlé vyřešení. Je to tedy i manažersky zajímavé. Navíc v těchto případech s problémem můžeme něco dělat, dokážeme ovlivnit, jak rychle dáme dohromady firmu, která třeba přišla o data. Drobné podvody z našeho pohledu nejsou tak zajímavé, ale hlavně s jejich řešením ani nemůžeme pomoci. Lidé přišli o peníze a je na policii a bance, aby vypátraly viníka, respektive stoply převod peněz. My v tomto ohledu nemáme žádné pravomoci.

Jak moc jsou útoky cílené? Předpokládám, že při útocích na domácí počítače jde o „kobercový nálet“, rozhodí se sítě a čeká se, kdo se chytne. Jsou útoky na firmy cílenější? Vybírají si útočníci firmy, které se pokusí okrást nebo vydírat?

I u firem je naprostá většina o náhodě. Existuje více způsobů, jak se do firmy dostat. Jedna možnost je udělat to přes e-mail, vlastně stejně jako v případě útoků na běžné lidi. Další varianta je, že útočníci nějak získají přístupové údaje do firemní sítě přes některého ze zaměstnanců. Najdou je třeba u něj na soukromém počítači nebo jim je zaměstnanec prozradí prostřednictvím phishingu. Jiný způsob je útok přes zranitelnost systému firmy. Například když se v nějakém softwaru objeví nová zranitelnost, útočníci napadnou firmy, které tento software používají.

Čili hackeři vlastně i u firem hrají dost na náhodu.

Ano. Když se pak dostanou dovnitř do sítě, zjistí si, koho chytili, a rozhodnou se, jestli budou pokračovat, nebo oběť „pustí“. Ale existují samozřejmě i výjimky. Existovaly i velké hackerské skupiny, které šly cíleně po velkých firmách, od nichž chtěly miliony dolarů. Většina z nich ale byla nucena ukončit činnost, protože dělaly příliš velké vlny. Byl velký politický tlak to vyřešit.

Například?

Typický příklad byl loňský útok na americkou společnost Colonial Pipeline, což je největší provozovatel potrubní sítě na přepravu ropných produktů ve Spojených státech. Ve stručnosti řečeno, kybernetický útok vedl k výpadkům činnosti firmy, což vyústilo v nedostatek pohonných hmot v části Spojených států a velkou nespokojenost veřejnosti. Tím se vytvořil tlak, aby se to začalo řešit na nejvyšších místech, apeloval na to i prezident Joe Biden.

Mimochodem, jak velká je úspěšnost při hledání pachatelů kybernetických útoků? Často je to přeshraniční záležitost…

Jsou i úspěšné případy, v Evropě se hackeři zatýkali třeba na Ukrajině, ve Francii, v Bulharsku, Estonsku. Druhá věc ale je, že i když je viník známý, může trvat dlouho, i několik let, než se shromáždí potřebné důkazy a policie pachatele zatkne a soud odsoudí.

Když se vrátíme k vašemu byznysu, jak vnímají firmy bezpečnost? Obracejí se na vás častěji kvůli prevenci, nebo si vzpomenou spíš až v momentě, kdy je pozdě a už jsou pod útokem?

Setkáváme se s oběma variantami, ale řekl bych, že se postoj firem k bezpečnosti zlepšuje. S rostoucím počtem útoků firem, které to chtějí řešit preventivně, postupně přibývá. Dříve byla tendence to podceňovat. Ale pořád platí, že významná část našich klientů jsou společnosti, které už jsou bez dat a musejí to akutně řešit.

Začněme prevencí. Když si vás firma objedná, jak probíhá vaše práce, co v rámci bezpečnostního auditu řešíte?

Snažíme se pracovat co nejefektivněji – za co nejméně času co nejvíce muziky. Díky tomu, že se dostáváme i k dokonaným útokům, víme, jak tyto akce probíhají, co se při nich děje a jaké jsou aktuální trendy. Když přijdeme do firmy, díváme se pak především na to, jak by dopadl její systém při útoku provedeném podle tohoto vzorce.

Takže neděláte kompletní audit?

Ne. Místo toho, abychom kontrolovali úplně všechno, díváme se na ty části, které se zneužívají. Protože hypoteticky je to ohrožení velice široké. V ideálním světě bychom se snažili vyřešit všechno, ale to by bylo časově extrémně náročné, takže řešíme ta kritická místa. Nejvíc dbáme na to, aby firmy nepřišly o data, respektive o zálohy dat. To se dá zajistit poměrně jednoduše, a pokud toto ošetříte, nikdy nemusíte vyjednávat s útočníky. A když je to vyřešeno, může se vylepšovat další zabezpečení. Ale žádná firma nikdy nebude stejně zabezpečená.

V jakém smyslu?

Opatření se volí podle toho, jaká hrozí škoda. Jedna věc je, když přijde firma a řekne, že by v případě odstávky kvůli kybernetickému útoku přišla o miliony denně. Pak dává smysl investovat mi­liony do ochrany. Něco jiného je firma, která řekne, že když se IT systém zastaví na týden, škody budou minimální – pak budou i investice nižší.

Jakých útoků se firmy nejvíc obávají, respektive proč si vás objednávají?

Například případy pozměněných faktur s námi firmy moc řešit nechtějí. Tam si stačí dobře nastavit proces, jak postupovat třeba při změně čísla účtu pro platby, proces schválení a ověření. Jiná věc je ransomware.

Dá se na útoky ransomwarem připravit jinak než poučit zaměstnance, aby neklikali na podezřelé odkazy v e-mailech?

Cílem útočníků je zašifrovat data a pak dostat peníze za jejich dešifrování. K tomu je potřeba kompromitovat síť a získat v ní nejvyšší oprávnění. Takže to, že nějaký zaměstnanec kliknul na odkaz v e-mailu, je jenom část příběhu. Protože zaměstnanec si může klikat, jak chce, ale stejně nikdy nezastaví celou firmu.

Uživatel nemá oprávnění k mazání dat, nemá se jak dostat k zálohám, to může jen administrátor. Takže útočníci začnou u jednoho zaměstnance, ale pak postupují dál, aby se dostali do celé sítě.

Postupují různé hackerské skupiny při tomto typu útoků stejně?

Mají podobný modus operandi, a existují dokonce manuály, jak se to dělá. Hackerské skupiny potřebují nové lidi, které musejí zaškolovat. Tito „brigádníci“ ale nejsou žádní raketoví vědci, aby vymýšleli vlastní unikátní postupy. Je to jako fastfood, sekají to jako hamburgery a postupy jsou jednoduché a velmi podobné. Čili když přijdeme za zákazníkem, kontrolujeme citlivá místa právě na základě těchto manuálů, postupů. Vyřeší to drtivou většinu hrozeb.

Chtějí od vás zákazníci i dokonalejší zabezpečení? Třeba proto, že se obávají cíleného útoku a ztráty dobré pověsti kvůli úniku dat?

O to až takový zájem není. V případě cíleného útoku už nejde o „brigádníky“, kteří budou postupovat podle manuálu, ale o experty, kteří na tom mohou trávit třeba i několik měsíců a útok bude daleko sofistikovanější.

Obrana je pak taky daleko dražší a u běžných firem nedává smysl. Jejich data nikoho nezajímají. Z jejich e-mailů se můžete s nadsázkou dozvědět maximálně informace o intimních vztazích ve firmě, proč by je někdo kradl?

Pak jsou tu případy, kdy se firma ozve až po útoku. Mediálně nejznámější byl v poslední době útok na Ředitelství silnic a dálnic, určitě je jich ale mnohem více. Kolik jste jich řešili vy?

Máme za sebou kolem stovky takových případů.

Jak vypadá postup při záchraně dat?

Firma nám zavolá, že má problém a nefunguje. Pak ale existuje několik scénářů, jak moc byl útok tvrdý. Jde o to, jestli nefunguje celá firma, nebo jenom část, a také jestli útok přežila nějaká data, nebo ne. Když podniku zůstanou zálohy dat, všechno opravíme z nich a pak zpracujeme na síti. Zjistíme, jak se tam útočníci dostali, a opravíme chyby tak, aby se to už neopakovalo.

A když zálohy nemá nebo nejsou kompletní?

Pokud data nemá, je to opravdu problém. Pak je potřeba se rozhodnout, jestli s útočníky vyjednávat, což je ale na firmě samotné. Někteří šéfové řeknou, že nic platit nebudou, protože vyjednávat se zločinci je pro ně morálně nepřijatelné. Pak se začíná od nuly nebo se použijí starší zálohy, jsou-li k dispozici. Druhá možnost je, že vyjednávat chtějí.

Skutečně se dá u hackerů vyjednat sleva?

Ano, může se podařit srazit požadovanou částku na nižší úroveň. Když pak firma zaplatí, pošlou jí dešifrovací klíč a potom pokračujeme podobně, jako bychom měli zálohy. Opět je tedy potřeba ošetřit díry v systému, aby se problém neopakoval.

Martin Haller
foto Tomáš Novák, týdeník Hrot

Jaká je pravděpodobnost, že když zaplatím, data skutečně dostanu? Dodržují hackeři slovo, aby si uchovali jakousi kredibilitu?

Pokud by vám data nedali, rozkřikne se to a už nikdo nezaplatí. To oni samozřejmě nechtějí. Takže i když jsou stovky útočníků, kteří se tím zabývají a kteří se mezi sebou neznají, obecně se to dodržuje.

Nám se ještě nikdy nestalo, že by firma, která zaplatila, data nedostala. Může se stát, že se data nepodařilo ani s klíčem kvůli nějaké chybě dešifrovat kompletně, ale to je jiná věc.

Podle čeho vlastně hacker stanoví „vyvolávací“ cenu? Jak odhadne, jestli je adekvátní třeba finanční situaci firmy?

Útočníci chtějí nějakou částku a často netuší, jakou hodnotu pro vás data mají. U větších firem si to mohou zjistit třeba z veřejně dostupných finančních výkazů, aby lépe odhadli, o kolik mohou žádat.

Asi to nejde zobecnit, ale doporučil byste opravdu zaplatit?

Jde o to, kolik hackeři chtějí peněz a jakou hodnotu pro firmu mají data. Pokud si je firma cení třeba na milion a útočník chce řádově desítky tisíc, z racionálního pohledu dává smysl zaplatit. Pokud tedy pomineme morální pohled.

Řeší pak firmy následky útoku? Hledají, kdo je za něj zodpovědný, a chtějí třeba nahradit škody?

Jak jsem říkal, vždycky tam existuje sdílená odpovědnost a chyba jednoho uživatele k dokonání útoku nestačí. Chybu pak většinou udělal také správce sítě, když útok včas neodhalil a nepostaral se o bezpečné zálohy. Bez viny není ani ředitel, protože zřejmě adekvátně nezkontroloval práci svého podřízeného přes IT nebo mu neposkytl potřebné finance na dobré zabezpečení. Ale kdo zaplatí škody?

Většinou nikdo, protože jsou to zaměstnanci, kteří jsou ze zákona chráněni a zodpovídají jen do určité výše… Ve výsledku to jde na konto majitele. Přijde mi to až zvláštní, ale asi jsem nezažil, že by firma byla naštvaná na toho člověka, který problém způsobil.

Projevila se nějak na aktivitě hackerů válka na Ukrajině? Na jejím začátku se někteří odborníci báli kybernetických útoků i v Evropě jako součásti bojů na kybernetickém poli.

Z úspěšných útoků, které se tu odehrály, s Ruskem nic nesouvisí. Všichni hackeři mají svoji práci a není to tak, že by seděli, nudili se a čekali na válku. Kvůli konfliktu se neznásobí aktivita hackerů na dvoj- nebo trojnásobek. Sice na Ukrajině na začátku proběhly nějaké útoky, ale část z nich byla dlouho předem připravená. Na druhou stranu ani Rusko asi nechtělo přelévat kybernetický konflikt mimo Ukrajinu.

Jak se naopak díváte na akce Anonymous proti Rusku, které byly hlavně zpočátku konfliktu populární?

Anonymous nemají konkrétní vedení, každý může být Anonymous, když se za něj prohlásí. Navíc v souvislosti s Anonymous se často zveřejňovaly falešné zprávy. Tvrdili například, že hackli a ukradli databázi firmy Danone kvůli tomu, že nechtěla opustit ruský trh. Všichni posílali odkazy na zveřejněnou databázi, ale nikdo se ani neobtěžoval si ten soubor stáhnout. Místo pěti gigabajtů měl pět megabajtů…

Když se do něj podíváte a všude vidíte slova „test, test, test“, je jasné, že nejde o reálná data, ale nejspíš o nějakou testovací databázi. Podobně byla kachna informace o hacknutém televizním vysílání. Nebyly k tomu žádné detaily, o co šlo, jaký typ šíření signálu to zasáhlo, na jak dlouho…

Takže to byla nafouknutá bublina?

Ne úplně. Na druhou stranu jsou pak skupiny, které neměly pozornost médií, ale dělaly skutečné věci. Třeba Network Battalion 65 napadají ruské firmy a kradou a šifrují jim data. Dělají to dobře a je to kvalitní práce, ale nic se o nich nedočtete, protože nenosí masku na obličeji a nedělají velkohubá prohlášení. 

Martin Haller (35)
• Vystudoval informační technologie na VUT v Brně.
• V oboru IT pracoval už během studia, v letech 2009 až 2011 se jako freelancer věnoval správě sítí a serverů.
• V roce 2011 založil společnost Patron-IT, která se věnuje počítačové bezpečnosti a etickému hackingu.