Invaze na harddisky notebooků a počítačů
ReportJeště před ruskou vojenskou invazí čelila Ukrajina nájezdu digitálních útočníků. V Česku se viry, které mažou data z počítačů, neobjevily. Přibylo však pokusů o shazování sítí. Pokusy o kybernetické zločiny se odehrávají prakticky neustále. Jak se jim brání počítačoví experti, banky nebo i česká armáda? A jak se můžete bránit vy?
Ve středu 23. února odpoledne, několik hodin před tím, než Vladimir Putin ohlásil vojenskou invazi, začal kybernetický útok na ukrajinské počítače. Napadal je poměrně neobvyklý malware, jak se obecně říká počítačovým virům a dalším škodlivým programům. „Jeho jediným cílem bylo toho co nejvíce a co nejrychleji poničit,“ popisuje Robert Šuman, detekční inženýr a vedoucí pražského výzkumného centra společnosti Eset, která o viru jako první informovala a nazvala jej HermeticWiper.
V drtivé většině kybernetických útoků jde vždy nějakým způsobem o peníze. Útočníci se snaží vydělat skrze krádeže dat, vydírání, omezení konkurence nebo jinými způsoby. Snaha o čirou destrukci je i pro zkušené detekční inženýry něčím neobvyklým. K ničivému „wiperu“ pak byly přidány ještě dvě další komponenty, které měly jeho účinky zesilovat.
Podle Roberta Šumana bylo navíc rychle zjevné, že se nejedná o náhodný čin, ale o dlouhodobě plánovanou rozsáhlou akci. Detekční inženýři Esetu zjistili, že malware se do ukrajinských počítačů dostával už před koncem loňského roku. Útočníci také zneužili bezpečnostní certifikát vydaný kyperské společnosti Hermetica Digital (podle toho dostal vir své jméno). Takové stopy podle odborníků svědčí o pečlivě připravovaném útoku. Pravděpodobným strůjcem by mohla být buď nějaká zpravodajská služba, nebo silná hackerská skupina.
„Jen u našich klientů jsme detekovali stovky takto napadených počítačů, ve skutečnosti jich muselo být výrazně více, ale tam už nedokážeme rozsah útoku přesně vyčíslit,“ říká Robert Šuman. Střízlivě se dá odhadnout, že napadeny byly tisíce počítačů. Firmy a instituce, které se staly obětí útoku, nespojuje nic dalšího než právě přítomnost na Ukrajině.
Odvedení pozornosti
Cílem takového plošného útoku je vyvolat chaos, říká brigádní generál Miroslav Feix, který velí „kybernetické části“ české armády. „V bojové situaci se potřebujete rychle a klidně rozhodovat. Pokud jste rozhození neobvyklými událostmi, dělá vám problémy rychle a správně reagovat. Takže ruským cílem bylo vyvolat v řadách nepřítele těsně před bojem zmatek,“ vysvětluje generál Feix. Zároveň dodává, že takový útok by se dal přirovnat k přípravnému bombardování před ofenzivou, jen místo raket vyvolávaly zmatek útoky na počítače. Při fyzickém střetu je pro útočníka nejlepší, když vojáci druhé strany chaoticky pobíhají po bojišti. Při tom digitálním je zase ideální, když vládne zmatek v kancelářích a v institucích, pak může například váznout předávání informací po tom skutečném válečném útoku.
Rozsah chaosu, který kybernetická „palebná příprava“ vyvolala, ale nakonec nebyl až tak zásadní. Rozhodně se nepodařilo před invazí nějak výrazně ochromit chod ukrajinských úřadů či tamních podniků. Ostatně ani samotná vojenská invaze nepřinesla agresorům takové okamžité výsledky, jaké očekávali.
V digitálním prostoru pak došlo ke druhému útoku 24. února, tedy v den samotné invaze. Detekční inženýři odhalili malware IsaacWiper. Zajímavostí bylo, že měl v sobě takzvané ladící hlášky. Ty slouží programátorům, aby viděli, jak jejich programy pracují. Z toho digitální bezpečnostní odborníci vyvozují, že první útok možná nenapáchal tolik škod, jak si útočníci představovali, a proto možná ve druhé vlně zkoumali, co se nepovedlo.
Anonymous v akci
Americké tajné služby krátce po zahájení ruské agrese nabídly prezidentovi Joeu Bidenovi možnost podniknout na Rusko odvetný masivní kybernetický útok. „Tam je otázkou, jak by to v praxi vypadalo. Může to být všechno možné – od vypnutí proudu v Moskvě až po zmrazení železnic. Z naší zkušenosti vím, že coby armáda předkládáme politickému vedení země možnosti, na jaké cíle a jakou intenzitou lze zaútočit. Pak už je na vládě, pro co se rozhodne,“ popisuje český brigádní generál Feix.
Biden nakonec pokyn pro kybernetický úder proti Rusku nevydal. Podle generála Feixe je vypnutí elektráren či ohrožení provozu další kritické infrastruktury země kybernetickým ekvivalentem atomového útoku. Zatím to je něco, k čemu žádná ze stran do uzávěrky tohoto textu nesáhla.
Do boje se ovšem vydali hackeři vystupující ve volném sdružení s názvem Anonymous. Rusové se tak kvůli této skupině hackerů například dívali v hlavním vysílacím čase na státních televizích dvanáct minut na nahrávky záběrů z Ukrajiny, kde vybuchovaly ruské bomby a hovořilo se o válečných zvěrstvech páchaných při invazi.
Podle Roberta Šumana je potřeba brát takové aktivity vážně. V rámci takového hnutí je možné velmi úspěšně aplikovat zejména DDoS útoky, kdy se k určitému serveru v jednu chvíli připojuje hodně počítačů najednou a tím službu nebo síť zahltí a vyřadí z provozu.
Anonymous je jakési volné sdružení, které se dlouhodobě profiluje jako zastánce svobody v digitálním prostoru a případně i v dalších oblastech života. Nejčastěji se projevovali předěláváním webových stránek, případně shazováním určitých serverů, nikoli však z kritické infrastruktury.
V této vypjaté situaci se ale může podle Šumana charakter hnutí změnit. Mohou posílit o špičkové programátory, kteří by byli schopni efektivně útočit na ruskou počítačovou infrastrukturu a ničit ji. Takoví lidé by mohli k hnutí přicházet jak z prostředí kybernetického zločinu, tak i z běžného legálního programátorského světa, pokud by cítili silnou motivaci k oslabení agresora. Na straně druhé ovšem Šuman dodává, že některé hackerské skupiny deklarují loajalitu a podporu Putinovi.
Generál Feix je vůči zapojování hackerů stojících mimo státní struktury velmi opatrný. „Ve fyzickém světě platí, že stát má mít monopol na vykonávání násilí – ať už ve formě vynucování bezpečnosti, nebo trestů. Čím méně to platí, tím je společnost divočejší,“ říká s tím, že bychom měli stejně uvažovat i o digitálním světě. „Samozřejmě nám pocitově nevadí, pokud hackeři stojí na naší straně a mají správný motiv. Ale pokud akceptujeme, že někdo svévolně bere spravedlnost do svých rukou, podkopáváme vlastní normy i bezpečí,“ říká velitel české kybernetické jednotky. Zdůrazňuje také, že proti zásahům státu se lze v civilizované demokratické společnosti bránit soudní cestou, což u hackerů samozřejmě nelze.
Česko v klidu
V polovině března se pak na Ukrajině objevil ještě jeden kybernetický útok. Program CaddyWiper byl zaměřen na finanční instituce. Ze zpráv přicházejících z Ukrajiny ovšem nevyplývalo, že by napáchal ještě další výrazné škody navíc k těm, které způsobila samotná válka.
Útoky, které byly vedeny proti Ukrajině, se českého digitálního provozu nedotkly. „Žádný z těch wiperů nebyl ani jednou detekován v Česku. V tomto směru se jednalo o izolovanou a cílenou záležitost,“ říká Robert Šuman z Esetu. Zároveň ale podle něj platí, že od dob, kdy Rusko začalo eskalovat napětí směrem k Ukrajině, přibývalo i kybernetických ataků na našem území. Jednalo se zejména o DDoS útoky, tedy snahu o vyřazení určitých služeb nebo sítí jejich přehlcením.
Digitální prostor se podle Roberta Šumana dlouhodobě stává dalším bojištěm. „Dá se předpokládat, že čím více budeme někým považováni za nepřítele, tím intenzivněji se nám bude snažit škodit i v kybernetické bezpečnosti,“ říká.
Laptop místo pušky
Na stále se zvyšující důležitost kyberbezpečnosti a informačních hrozeb v posledních letech zareagovala i česká armáda. Proto v roce 2019 vzniklo v rámci armády Velitelství informačních a kybernetických sil. „Moje primární zodpovědnost je chránit především armádní sítě,“ vysvětluje velitel jednotky, brigádní generál Miroslav Feix. „Válka na Ukrajině pro nás zatím zase tolik nezměnila. Máme nastavené určité procesy, díky nimž na nastalou situaci reagujeme,“ vysvětluje.
V praxi to znamená, že armáda na základě doporučení Národního úřadu pro kybernetickou a informační bezpečnost vezme na vědomí, že existuje větší pravděpodobnost útoku z ruských hackerských skupin. Na základě této informace si vyhodnotí jejich postupy, směr útoku a opakovaně se zaměří na jednotlivé zranitelnosti v systému. Dalo by se to tak trochu přirovnat k prohlídce a přípravě auta na dlouhou cestu.
„Největší nebezpečí není technika, ale uživatelé sami,“ popisuje generál. Klíčová jsou tak nejen technologická opatření, ale také školení jedinců, kteří síť využívají.
Armáda má například speciální pravidla, která se týkají používání sociálních sítí. „Skutečně existuje speciální nařízení, které řeší to, co můžeme a nemůžeme na sociální sítě dávat. Pokud nebudu zabíhat do detailů, dalo by se to přeložit zhruba jako heslo přemýšlej, než něco sdílíš,“ říká generál.
Vojáci už delší dobu nesmějí mít na služebních telefonech nainstalované aplikace WeChat a TikTok, které jsou čínského původu a mohly by znamenat vyšší riziko. Nyní armáda uvalila podobnou restrikci i na aplikaci Telegram, která je velmi populární mezi rusky a ukrajinsky mluvícími uživateli. Znemožnila také přístup z armádních počítačů na ruské webové adresy. „Všechna tato nařízení jsou preventivní. Snižuje se tím prostor, přes který může někdo naše systémy napadnout. Musíte vybalancovat, jestli je pro vás důležitější přístup k síti, nebo její bezpečnost, a v současné době převážilo to druhé,“ popisuje Feix.
Úkolem Velitelství kybernetických a informačních sil je chránit armádní infrastrukturu. Dokud země není ve válečném stavu, nemohou lidé generála Feixe vykonávat útočné operace, k těm by směli přikročit až po vypuknutí vojenského konfliktu.
„Jen bychom si v té fázi místo pušek vzali laptopy,“ říká s nadsázkou Miroslav Feix.
Ochrana nevojenských složek státu je v gesci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). A klíčová je samozřejmě také vlastní ochrana soukromých subjektů, zvláště těch, které jsou klíčové pro základní chod státu, ať už se jedná o energetické společnosti, vodárny, telefonní operátory, dopravce, nebo třeba banky.
Peníze v bezpečí
Pro všechny tyto subjekty je kybernetická bezpečnost klíčovým tématem i bez ohledu na stávající mezinárodní situaci. Pokusy o zneužívání dat a nejrůznější internetové podvody jsou prakticky nepřetržité. Čerstvě k nim přibyly například falešné sbírky na pomoc Ukrajině, které se objevily prakticky okamžitě po vypuknutí války, podobně tomu bylo například po loňském tornádu na Moravě.
„Kyberzločinci se nikdy nezastavují,“ říká Robert Šuman z Esetu s tím, že například banky jsou zvyklé na časté „otloukání“ různými pokusy o DDoS útoky, ale zejména na pokusy podvodníků vylákat z jejich klientů platby, údaje ke kartám či účtům.
„Takovým situacím se musíme neustále snažit aktivně předcházet a zajistit ochranu klientů ze všech směrů,“ říká Jan Dachovský, expert na platební metody v České spořitelně. Na příkladu největší české banky lze ukázat, jak se ochrana klientů a jejich prostředků za poslední roky posunula a jaké prvky při ní banky využívají.
Jedná se o kombinaci zpřísněných zákonných předpisů, nových technologií a také neustálé výchovy klientů.
Již několik let platí, že každá platba v internetovém bankovnictví musí být dvoufázově potvrzena. Kromě samotného „odkliknutí“ příkazu klient musí svou platbu znovu potvrdit. V případě České spořitelny k tomu slouží aplikace George klíč, ve které klient potvrdí svou platbu buď otiskem prstu, skenem obličeje, nebo zadáním číselného kódu. Tím je zajištěno, že zákazník znovu vidí, jakou částku a na jaký účet hodlá poslat. Pokud se mu cokoli na platbě nezdá, může ji zamítnout.
U plateb do maximální výše 500 eur mohou banky klientům placení zjednodušit, provést automatické vyhodnocení rizika a nabídnout platbu k přímé úhradě bez nutnosti potvrzení. Jedná se například o platby opakované nebo takové, které odpovídají profilu daného klienta.
„Na straně banky proběhne sofistikovaná analýza, která prověřuje nejen účet, na který peníze odcházejí, ale opírá se také o analýzu běžného chování zákazníka,“ popisuje Jan Dachovský z České spořitelny.
Systémy banky vyhodnocují například to, zda se jedná o opakovanou platbu na stejný účet, z jakého místa a v jakou hodinu klient platbu zadává, zda příkaz k platbě odpovídá jeho dlouhodobému profilu a podobně. Tento proces, nazývaný behaviorální analýza, musí proběhnout ve zlomcích vteřiny a podle Jana Dachovského se během tohoto okamžiku vyhodnocují desítky různých atributů. Ty pak rozhodnou o tom, zda je platba vyhodnocena jako „bezpečná“ bez nutnosti dalšího potvrzení, anebo zda je klient i u nižší částky vyzván k tomu, aby platbu potvrdil George klíčem.
Klienti, kteří nechtějí využívat automatického vyhodnocení rizik, si mohou nastavit, že schvalují všechny platby.
Od začátku loňského roku je druhé potvrzení povinné i u plateb kartou přes internet. Funguje zde obdobná metoda potvrzování i behaviorální analýzy a automatického vyhodnocování rizik. „Banky začaly používat dvoufázové potvrzování a zároveň začali na ověření plateb tlačit i se---riózní obchodníci. Výsledkem bylo, že počet podvodných transakcí klesl zhruba o čtyřicet procent,“ říká Jan Dachovský.
Klienti bank si mohou zřizovat také virtuální platební karty, které nemají žádnou plastovou podobu, a údaje z nich si tak nikdo nemůže ofotit či opsat. Ty mohou být buď trvalé, nebo jednorázové. Pro platbu na méně obvyklý účet lze využít právě jednorázovou virtuální kartu, která po provedení této jediné platby zase zanikne. Takové karty na jedno použití využívají lidé například při nákupech na čínských e-shopech. Hodit se mohou také v této době, a to třeba pro případ, že budou lidé chtít poslat peníze přímo na nějaký konkrétní účet rovnou na Ukrajinu.
Kritický odstup
Přinejmenším stejně důležité jako všechny technologické možnosti ochrany je ovšem samotné lidské chování. Stejně jako hovořil o lidském faktoru generál Miroslav Feix v případě armády, mluví o něm i bankovní a antiviroví experti. „Pokud už někdy podvodníci uspějí, je to nejčastěji ve chvíli, kdy se jim podaří zmanipulovat klienta,“ říká Jan Dachovský. Když člověk posílá platbu na účet, o němž ještě není bance známo, že je podvodný či problematický, klient platbu opakovaně potvrdí a ta nevykazuje žádné podezřelé parametry, bude to pro bankovní systémy vypadat jako běžná transakce. Proto je i v době převratných technologických novinek namístě také stará dobrá obezřetnost.
Falešné maily psané lámanou češtinou z údajných nigerijských bank, kde vám v pozůstalosti po vzdáleném strýci Johnovi přistál milion dolarů (a stačí poslat jen 2 000 USD na nutné poplatky), prý stále ještě existují. Nachytá se na ně ale už jen málokdo. Dnešní „nigerijci“ budou daleko spíš volat z dánského, belgického či jiného evropského čísla a nabízet mimořádně výhodnou investici do kryptoměn či NFT.
Maily, které podvodníci lidem posílají, jsou gramaticky správné, používají osobní oslovení jménem a často i řadu detailů, které si automaticky postahují z našich profilů na sociálních sítích. Pokud rodičům například přijde výzva, že mají potvrdit účast dcery či syna na soustředění sportovního oddílu, nejspíš ji odkliknou bez velkého rozmýšlení. Někteří z nich asi i rovnou pošlou částku, o kterou si pisatelé takhle personalizovaného mailu řeknou.
„Když vám někdo zavolá a přesvědčuje vás, abyste provedli nějakou platbu nebo si nainstalovali do počítače nějaký software, může to být docela působivé a účinné. Proto je důležité, aby si lidé zachovávali kritický odstup,“ říká Jan Dachovský z České spořitelny.
Robert Šuman pak s jistou nadsázkou říká, že mírná paranoia nemůže být nikdy na škodu. Také on mluví, stejně jako generál Feix, o zmenšení útočné plochy. „Platí to i pro váš domácí počítač. Pokud tam máte programy a aplikace, které nepoužíváte, je lepší je odinstalovat. Sníží se tak množství potenciálních mezer, přes které se vám někdo může do počítače dostat,“ vysvětluje šéf pražského výzkumného centra Esetu. Dále pak klade důraz na pravidelnou a důslednou aktualizaci používaných programů. Nové verze obsahují záplaty již známých bezpečnostních mezer, pokud si je člověk nenainstaluje, dává tak útočníkům zbytečně šanci. K tomu je samozřejmě namístě přidat i instalaci antivirového softwaru.
Ve firmách a institucích by pak mělo platit, že svá data důsledně zálohují, zabezpečení sítí pravidelně kontrolují a stanoví svým lidem pravidla bezpečného chování. „S množstvím dat, které daná firma má, roste samozřejmě chuť útočníků i potenciální škoda,“ říká Robert Šuman. Zdůrazňuje, že myslet na digitální bezpečnost a používat přitom zdravý selský rozum je důležité v každé době a nyní o to více.