ROZHOVOR | Policie nemá na hackerské útoky čas ani kapacity. Dokonalá obrana neexistuje, weby bank mohou kolabovat dál, říká expert

Ke středečním a čtvrtečním útokům na české banky se přihlásila skupina NoName057(16) (EuroZprávy.cz na to upozornily jako první zde). Co o nich víme?

Včera, dnes (rozhovor byl veden ve čtvrtek, pozn. red.) a před týdnem v Polsku se skupina NoName057(16) rozhodla, že udělá koordinovaný DDoS útok na české banky. Na ty největší. Oznámili to i na sociální síti Telegram, kde mají přes 50 tisíc sledujících.

Je ale důležité zmínit, že tato skupina 057(16) není stejná, jako originální NoName. Ta existuje asi od roku 2016 a má mezinárodní složení. Zatímco skupina NoName057(16) vznikla v období okolo invaze Ruska na Ukrajinu.

Je složená z ruských a běloruských hackerů a zároveň jde o hacktivistickou skupinu. To znamená, že jejich motivace jsou politické, proruské či proběloruské. Podporují invazi a tak dále. Zaměřují se tak většinou na vlády a státy, které podporují Ukrajinu, nebo které nejsou proruské. Tam Česká republika patří.

Jak vypadá takový DDoS útok, který skupina podnikla?

DDoS je anglická zkratka pro Distributed Denial of Service. V překladu do znamená, že jde o distribuovaný útok tak, aby došlo k přehlcení nějaké služby. Může to být webová stránka, internetové bankovnictví, cokoliv.

Dá se například popsat tak, že si jako podnikatel založíte večerku, která má velikost padesát metrů čtverečních a vejde se vám tam dvacet lidí. Vy víte, že máte nejvyšší návštěvnost ve chvíli, kdy lidé jedou z práce. Dvacet se jich tam vejde, víc jich nechodí.

Kdyby se parta nějakých kamarádu na sociální síti domluvila, že vezme dvě stě lidí a najednou půjdou nakoupit rohlíky, tak se stane strašně moc věcí.

Za prvé přehltí večerku. Normální člověk se tam nedostane. Vykoupí věcí, takže večerka nebude schopna poskytnout službu. Jinými slovy – přestane na nějakou dobu fungovat.

Obzvlášť se to děje ve vánočním období – například u online e-shopů. Tyto útoky je dokážou vyřadit z provozu na několik hodin. Dochází tak k velkým škodám.

Můžeme si to laicky představit jako ovládnutí cizích počítačů, funguje to tak?

Máte dvě možnosti. Buď budete vlastnit čtyři miliony počítačů, kterým v jeden okamžik řeknete, ať se podívají na danou stránku – v tomto případě na internetové bankovnictví. Tím pádem ji zahltí.

Čtyři miliony jsou poměrně dost…

Samozřejmě, tato skupina nevlastní čtyři miliony počítačů, protože by to bylo drahé, dělají to přes síť botnet.

Tím, že jsou aktivisté, mají dvě cesty. První cestou je, že někde pro své fanoušky vyhlásí: „Jdeme teď útočit, vezměte si počítač nebo telefon, a otevřete tuto webovou stránku.“ Najednou z tolika zařízení chodí dotazy na jednu webovou stránku, a když jich je hodně, tak to dokážou zahltit.

Druhou cestou je síť botnetu. Spousta lidí, aniž by o tom věděla, má v počítači malý virus, který jí sice neškodí, ale využívá její počítače. Pravidelně komunikuje s command and control centrem neboli serverem, který řídí hackeři. Ten komunikuje se všemi zařízeními. Všem zařízením, která jsou právě zapnutá, dokáže v jeden okamžik říct, ať se v tento okamžik podívají na jednu stránku.

Obyčejný člověk, který o ničem neví, může mít na svém počítači bot, který nic nedělá a jen čeká na příkaz. Běží to na pozadí, takže uživatel nic nepozná. Ale stal se součástí DDoS útoku.

Takže nemám šanci poznat, když to v počítači mám?

Máte šanci, ale většina lidí, řekněme určitě přes 98 %, to nepozná. Ten virus neškodí, jen využívá částečný výkon počítače. Ale počítače i telefony jsou dnes tak výkonné, že nemáte šanci poznat, že se něco děje. Musel byste to proaktivně zjišťovat, na což existují dobré antivirové programy, které v placené verzi dokážou tento virus identifikovat a odchytit.

Jsou tyto skupiny schopné i něčeho jiného než DDoS útoků?

Všechny tyto skupiny dělají dvě věci. Jedny jsou DDoS útoky – někomu jdete zničit reputaci, vyvolat paniku a zaměstnat lidi v IT oddělení. Což možná mohl být záměr při včerejším útoku, poškodit reputaci bank a zasít mezi lidmi nedůvěru v internetové bankovnictví. IT oddělení můžete zaměstnat natolik, že pokud někde v jejich systémech máte jiné úmysly, můžete je přivést do takového stresu, až udělají chyby.

Jaké další typy útoků existují? O co při nich jde?

Vždycky jde o motivaci. Pokud jde o zničení reputace, jména či vyvolání paniky, používají DDoS. Druhým typem jsou finančně motivované ransomwarové útoky. Standardně člověk klikne na něco v e-mailu s tím, že něco dostal zdarma nebo vyhrál soutěž. Využívají sezón, jako jsou Vánoce nebo dovolené.

Tím, že na něco někde nevědomky kliknete, nebo jste moc důvěřiví a klikáte, kam nemáte, stáhnete si zase malý vir, který vám zásadně v počítači nic nedělá, ale v jeden moment začne šifrovat dokumenty, obrázky a tak dále.

Jakmile je hotový, okénko v počítači vám nahlásí, že jsou vaše dokumenty zašifrované. Pokud je chcete zpátky, musíte získat klíč, který dostanete za úplatu například v Bitcoinech. Pokud nezaplatíte dejme tomu do deseti dnů, tak o data přicházíte. Další motivací, jak donutit někoho zaplatit, může být nejenže vám data nevrátí, ale zároveň jejich zveřejnění někde na dark webu.

Když taková data ukradnete například v nemocnici, a ta jsou mimořádně citlivá, a zveřejníte je na dark webu, časem se dostanou ven. Reputaci nemocnice může úplně zničit – nikdo by nechtěl být ošetřen u někoho, kdo ztratil klientská data. Spousta jiných firem, aniž by to přiznala, zaplatí.

Jsou to opravdu organizované skupiny, které mají 24/7 chat-centrum. Mají denní a noční služby, jsou se s vámi ochotni bavit o slevě, dávat vám vzorky dat, abyste jim věřili. Byl jsem i svědkem diskuze při vyjednávání o slevě, a opravdu jsme dosáhli slevy asi padesát procent. Ten člověk se musel ještě ptát svého manažera. Dokonce se i připomínají. Jsou to normální obchodníci, kteří se snaží, aby z vás alespoň vytáhli nějaké peníze.

Jsou schovaní za spoustou anonymizačních technologií, takže je lze jen velmi těžko dohledat. Nekomunikují nijak jinak než touto cestou, nepoužívají telefony a hlasy. Případů je tolik, že policie ani nemá čas a prostředky se tím zabývat.

V posledních letech se často hovoří o phishingových útocích. Jak byste veřejnosti přiblížil?

Je to snaha vytáhnout citlivé a přihlašovací údaje k bankovnictví nebo na sociální sítě. Někdy už je to tak uvěřitelné, že tomu může propadnout opravdu každý. Zkrátka vám přijde e-mail z banky nebo vašeho Facebooku: „Zaznamenali jsme podezřelou aktivitu na vašem účtu, přihlaste se přes tento odkaz a ověřte, že jste to vy.“

Link je falešný, webová stránka také. Oni získají vaše údaje, a pokud nemáte zapnutou dvoufázovou autorizaci, mohou vám změnit heslo a zrušit digitální existenci na sociálních sítích. Většinou vám je přejmenují, vy už to nedohledáte. A prostřednictvím vašich bývalých účtů šíří další phishing na vaše sledující a přátele.

Dokážou se vám vloupat do banky i přes dvoufázovou autorizaci. Bokem se přihlašují do banky za vás a zeptají se na SMS kód. Jsou schopni vám i zavolat. Peníze pak odesílají přes několik účtů bílých koní a proměňují na Bitcoin. Finance rozdrobí a rozešlou do různých peněženek, policie už to nedohledá.

Národní úřad pro kybernetickou bezpečnost viděl, co se dělo v Polsku, co se dělo včera, a dnes se to opakovalo znovu. Mohl proti tomu něco udělat?

Může maximálně vydávat doporučení. Proto vznikl i zákon o kybernetické bezpečnosti, který se soustředí na kritickou infrastrukturu, aby byla dobře zabezpečená proti těmto útokům. NÚKIB není dvě stě etických hackerů, kteří válčí proti těm zlým. Jsou to úředníci a odborníci, kteří dávají dohromady procesy, nařízení, pravidla a varování. Mohou mít i podněty od tajných služeb. Ve spoustě případů varovali a stalo se to. A také se to mnohokrát stalo a nemluvilo se o tom. Nebezpečí je tady pořád, DDoS útoky už jsou standardní věc.

Neměly by banky v kyberprostoru být nedobytné? Co bude dál, když se to bude opakovat?

Banky jsou jako komerční firmy a pracují s nějakým rozpočtem. Jejich bezpečnostní systém je na špičkové úrovni. Ale že se neubrání tak masivním DDoS útokům je úplně normální. Aby se tomu mohly bránit, musely by mít infrastrukturu ještě stokrát dražší. Je to jako s tou večerkou – musel byste prodejnu pro dvacet lidí provozovat v obrovské hale pro pět tisíc. A byli byste tam sami. Nejde to ani ekonomicky utáhnout.

Jak se banky mohou bránit?

Mají různé bezpečnostní nástroje. Jeden z nich dokáže rozlišit legitimní provoz od distribuovaného útoku. Jenže těch DDoS útoků je několik typů – existují různě sofistikované a vedené z různých zemí. Je těžké je dokonale rozlišit.

Každému útoku se musí trochu přizpůsobit. To je těch pár hodin, kdy jsou weby nedostupné. Pracovníci nastavují systém tak, aby útok mohli odklonit. Nejčastěji zakážou přihlašování ze zahraničí, čímž ale zase omezí tamní klienty. Není to jednoduché a je potřeba pracovat s mírou určitého rizika naštvání některých zákazníků a zároveň vyřešení problému většiny.

Dalším způsobem je domluva s operátory na tom, aby jim na chvíli nafoukli linky propustnosti, aby mohly odbavovat legitimní uživatele i bojovat proti útoku. Jenže útočník může styl útoku pozměnit a za pár hodin ho zopakuje.

Neexistuje dokonalá obrana, která ho dokáže odklonit. Pokud se domluví partička lidí, jen těžko jí v tom dokážete zabránit a pouštět jen ty správné lidi. Děje se to a dít se to bude. Je třeba s tím počítat.

Takže se v podstatě musíme smířit s tím, že se občas nedostaneme do bankovnictví?

Pokud bude pod útokem, tak se to může stát. Neexistuje stoprocentní zabezpečení.

Říkal jste, že jakmile podnikají DDoS útok, tak mezitím mohou udělat i něco jiného. Co kdyby něco takového podnikli například v případě pražské burzy?

To už budeme spekulovat. Pražská burza je velice dobře zabezpečená – jako každá burza. Zároveň zpracovává celou řadu údajů. Hackeři by mohli ukrást data klientů, měnit přihlašovací údaje. Pokud by se tam někdo dostal, tak může kontrolovat spoustu věcí a burzu položit nebo zničit.

Ale pravděpodobnost takového útoku je extrémně malá až nulová. Burza má několik úrovní zabezpečení a dokáže s tím nějak pracovat. Nemyslím si, že se může velmi jednoduše stát, že se hackeři dostanou do pražské burzy, zničí ji a vykradou lidem akcie, a budou je prodávat pod cenou a podobně.

Hypoteticky je možné úplně všechno. Je to technologie, jsou tam lidi. Mohou obalamutit i zaměstnance a tím získat přihlašovací údaje. V rámci burzy ale funguje řada zabezpečení, každý má přístupy jen na některá místa.

Stojí za těmito skupinami ruský a běloruský režim?

Organizace těm nejaktivnějším útočníkům nabízí odměny až tisíc dolarů a podobně. Chlubili se tím přímo na svém Telegramu. Jsou to definitivně prorusky a probělorusky orientovaní lidé.

Může takovýto boj časem ohrozit národní bezpečnost?

DDoS útoky rozhodně nemohou. Když budou fungovat kritické systémy, je to v pořádku. Lidé a stát dokážou žít bez webových stránek.

Ohrožovat národní bezpečnost mohou ve chvíli, kdy se někdo zmocní systému jaderné elektrárny nebo zařízení, které přidává chlor do vody. Nebo kdyby někdo hypoteticky dokázal ovládnout křižovatky, to pak může ohrožovat životy lidí. V takovém případě ale nejde o DDoS útoky. Proto je zásadní, aby organizace používali sofistikovaná preventivní bezpečnostní řešení, která je ochrání před nejrůznějšími kyberútoky, a aby zabezpečení bylo také nedílnou součástí zařízení internetu věcí.

Takže hacker s nějakými dovednostmi dokáže ovládnout například světelnou křižovatku?

Je to možné, ale je to trestný čin, podobně jako řady jiných hackerských útoků. Naštěstí náš stát není tak daleko, jako třeba Čína. Ne úplně všechny křižovatky jsou řízené ne dálku. Ani to není tak jednoduché.

Vím ale, že takhle v Bělorusku proukrajinská skupina zpomalila transporty tanků po železnici, protože jim vyřadila systémy pro řízení dopravy a výhybek. Takové věci se mohou dít, ale oni je dokážou poměrně rychle zprovoznit zpátky. Dá se cokoliv, ale je to už trochu sci-fi.

Česká republika je navíc součástí NATO, které dělá pravidelná kybernetická cvičení. Dokážeme si vzájemně pomoct. Nečeká nás žádná apokalypsa. Armádní systémy jsou navíc úplně oddělené od internetu. Nehrozí, že by někdo sestřelil satelit nebo odpálil jadernou bombu.

V Las Vegas se nedávno sešli vrcholní hackeři a pokoušeli se napadat systémy umělé inteligence. Zaměstnávají vlády etické hackery?

DevCon je jedna z nejznámějších hackerských konferencí na světě, doporučuji se tam zajet podívat, je to neuvěřitelné. Je to týden, kdy je skoro všechno dovolené. Na letištích třeba někdy vidíte hacknuté terminály, což je samozřejmě asi s povolením letiště. V podstatě je to show, exhibice toho, co dnes hackeři dokážou udělat. A zase bezpečnostních firem, jak se tomu dokážou bránit.

To, že některé vlády zaměstnávají etické hackery, není žádné tajemství. Můžeme se tu bavit o pravděpodobnosti. A nejvíce pravděpodobné je, že větší vlády jako USA, Čína nebo Rusko zaměstnávají v nějaké míře profesionální hackery. Můžeme se bavit, jestli jde o etické nebo neetické hackery. Etický se snaží udělat to samé, ale nesnaží se na tom profitovat.

Etičtí hackeři fungují všude jinde po světě. I u nás. Pracují pro komerční firmy a stát. Používají se zejména především ve chvíli, kdy chce firma něco otestovat. Etický hacker zkouší prolomit klíčové systémy, napíše o tom zprávu a firma podle ní navrhne zlepšení. Pak se útok udělá znovu a když to vydrží, tak je pravděpodobnost, že to vydrží i proti těm zlým hackerům.