ROZHOVOR | Vyděračský software má první lidskou oběť, na zahraniční útočníky zpravidla nedosáhneme, říká etický hacker

Kdo je hacker a jaký je rozdíl mezi klasickým a etickým hackerem?

Rozdělení na etické a neetické hackery dříve neexistovalo, bylo to označení pro lidi, kteří se rádi hrabali v technických věcech, přicházeli na kloub tomu, proč fungují, a snažili se je vylepšit nebo upravit. Před pár lety ale začala narůstat kybernetická kriminalita a slovo hacker získalo negativní nádech. Dnes si pod pojmem hacker každý představí zločince, proto se začalo mluvit i o etických hackerech, což jsou lidé se stejnými schopnostmi, které nepoužívají pro páchání trestné činnosti, ale pro obranu nebo pro rozvoj technologií.

Dají se hackeři nějak typizovat, mají nějaké společné charakteristiky?

Domnívám se, že jde převážně o muže a jsou to hlavně lidé, kteří rozumí technice a které baví. Na spoustě lidí to ale není vůbec vidět a člověk by do nich neřekl, že sedí od rána do večera u počítače.

Existují amatérští a profesionální, resp. notoričtí zloději. Lze toto dělení aplikovat i na hackery, nebo je podmínkou, že musí jít o profesionála, tedy odborníka na technologie?

Může to být kdokoliv. Hackeři se dají rozdělit na kyberzločince, jejichž hlavní motivací jsou peníze. Ti jsou průměrně dobří a pohybují se za hranou zákona. Pak máme skupinu elitních hackerů, kteří jsou často přímo nebo nepřímo podporovaní státem nebo vládou. Jsou za to placení a technicky jsou nejlepší. Jejich cílem je zájem jejich sponzora nebo zřizovatele, většinou jde například o špionáž nebo ekonomické zájmy státu. Náklady na ně jsou řádově nižší než škoda, kterou způsobí. Napadají třeba přenosové soustavy, státní úřady, nebo nemocnice.

Nemyslím si ale, že to musí být vždy lidé, kteří hluboké technické znalosti. Existují i sociální hackeři, podvodníci, kteří se snaží manipulovat lidmi a donutit je k něčemu. Například vám vymluví takovou díru do hlavy, že jim heslo sdělíte sami. Ze světa navíc víme, že kolikrát jde o mladé lidi, kteří například pošlou phishingový e-mail a někdo jim na něj skočí.

Může v budoucnu hacking hraničit s terorismem? Kdysi jsem četl myšlenku, že jedním z nejlehčích teroristických útoků by bylo hacknout semafory ve městě tak, aby se na všech objevila všude zelená. Tam už by mohl mít hackerský útok na následek fyzicky zraněné osoby či oběti.

V září převážela sanitka ženu do nemocnice v německém Düsseldorfu. Bohužel kvůli ransomware útoku (útok vyděračského softwaru, pozn. red.), který nemocnici vyřadil, ji museli převést do o 30 km vzdálenější nemocnice. Žena během převozu zemřela. V tu chvíli se začalo hovořit o tom, že ransomware má první lidskou oběť. V USA pro změnu napadli poskytovatele zdravotní péče, který má přes 400 zdravotních zařízení, z toho přes 250 právě v Americe. Všechna musela být odstavena a mohlo dojít až ke čtyřem úmrtím, protože lékaři nedostali včas výsledky z laboratoří. Do té doby se uvažovalo o tom, že by jednou mohlo dojít k lidským obětem, dnes se dá říct, že k nim dochází. Je samozřejmě otázkou, jestli by ti lidé nezemřeli stejně, i kdyby k útokům nedošlo.

Co se týče semaforů, existují hardwarové pojistky, aby nemohlo dojít k nesprávné konfiguraci, která by mohla způsobit nehody. Na konferenci DEF CON ale výzkumníci z Holandska upozornili na chytré semafory, které rozpoznají aplikaci v mobilu cyklistů, a ve chvíli kdy k nim člověk jede na kole, se tyto semafory chystají a připravují mu zelenou vlnu. Jim se ale podařilo komunikaci dekódovat a byli schopni se k těmto semaforům připojit na dálku a uměli je zmást tak, že si mysleli, že se k nim blíží cyklista. 

Jde o domácí útoky?

Zpravidla jsou pachateli podobných útoků lidé ze zahraničí, které jen tak nepotrestáte. Vím, že to možná bude znít kacířsky, ale více než útočníci mě trápí stav zabezpečení sítí ve firmách, úřadech a institucích. Internet je síť, která zatím nezná hranic. I kdybychom u nás trestali počítačovou kriminalitu doživotím, nikam bychom si nepomohli. Na zahraniční útočníky bychom stejně nedosáhli, část jich je stejně přímo ve službách cizích států. Cestu vidím v tom dělat IT pořádně a nebýt tak primitivní kořistí zlých hackerů.

Například v Budapešti zavedli nový systém pro kupování jízdenek. Nějaký kluk přišel na to, že je to udělané špatně a že je schopen si nakoupit lístky za minimální cenu. Udělal jednu transakci, aby si potvrdil, jestli to jde nebo ne, a pak to ohlásil zřizovatelům obchodu. Ale namísto toho, aby se to opravilo,  tak  obvinili onoho kluka, že spáchal trestný čin, a měl problémy (viz zde). Je to strkání hlavy do písku. Místo opravy chyb zakázat jejich zneužívání. Kyberkriminálníci z jiných zemí k tomu ale nemají respekt.Když budou chtít, chyby zneužijí a ty systémy vypnou.. Proto je potřeba ty věci dělat dobře.

Je to ale obor, který jde hrozně rychle dopředu a pro člověka, který pracuje 8 hodin denně, je těžké být celkově v obraze. Technologie se mění, něco se naučíte, a za pár let je to jinak. Teď například nastupuje cloud, kolem kterého se budují úplně jiné služby. Podle mě jde o milník, protože doteď jsme vídali hlavně servery u zákazníků, najednou se vše poskytuje formou služby a všichni jsme znalostně opět na startovní čáře. A ne každý má tolik energie, aby mohl nekonečně studovat a učit se nové věci. Navíc stále roste počet lidí, které jsou v IT potřeba. Dobrých lidí se zájmem o obor je nedostatek.

Jaký je postoj Čechů k této problematice?

Snažím se potkávat lidi a bavit se s nimi, protože mě samotného to zajímá. Například lidé z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jsou poměrně mladí, ale hodně ambiciózní. I když zpočátku neměli tolik znalostí, tak tím, jak se dostávají k případům a řeší je, se mi zdá, že se hodně rychle posouvají dopředu. Takže je u nás tendence, že se tyto věci budou zlepšovat. Státu se povedlo získat pracovníky, kteří v tom vidí smysl. Z případů, které řeší, si navíc vytváří know-how a best practices. Pokud se navíc podaří vytvořit šablony a standardizovat v budoucnu software pro nemocnice a úřady, tak je půjde spravovat lépe a v menším počtu lidí. Nejhorší je, když máte každou síť jinou, musíte se naučit mnohem více věcí, technologií. Čili to je také jedna z cest, jak snížit potřebu vysoce kvalifikovaných lidí, kterých je nedostatek.

Dá se proti hackerům efektivně bránit, nebo budou vždy o krok napřed?

Útočníci nejsou lepší než obránci. Kyberkriminálníci si například většinou nevytváří vlastní cesty. Nejprve musí někdo odhalit chyby, což často dělají ti „obránci“ v rámci výzkumu. Poté, co je odhalena chyba, musí někdo napsat kód, který tu chybu umí zneužít, a ani toho často nejsou schopni, a čekají, až ten kód někdo z obránců napíše. Potom ho ukradnou a používají. Jsou tedy méně zkušení než obránci. Problém ale je, že oněch obránců není dostatek na to, aby pokryly všechny firmy, a ne všechny firmy o tu obranu stojí.

Z úřadů, jako je právě NÚKIB, sem tam přijde zpráva, že se nějaká česká infrastruktura může stát s určitou pravděpodobností cílem hackerského útoku. Jak často tedy kybernetické útoky probíhají?

Každý den. Dějí se neustále. Například na routerech zákazníků jsou útoky vidět nonstop. Všem chodí spam, všem chodí phishingové maily, takže když řeknu, že vám do schránky přijde v příští dvou týdnech se 70% pravděpodobností spam, nejspíš se trefím. Je pravda, že sítě jsou často ve špatném stavu, jde o technologický dluh, který jsme roky budovali tím, že jsme některé věci přehlíželi, ale jsou útoky, který zabránit dokážeme. Opět se ale dostáváme k tomu, že je tady tolik firem, že i když začneme posilovat obranu u 10 % firem, tak ubude 10 % úspěšných útoků, ale pořád jich bude strašně moc.

Útoky trpí i komerční firmy, kyberútočníci jdou zkrátka po všem, z čeho jim může něco kápnout, a každým útokem se zlepšují. Někteří jsou ale tak dobří, že si troufnou i na světové korporace, kde žádají milionová výkupné v dolarech, které skutečně dostávají. Takže i nadnárodní korporace jsou cílem útoků. Musíme na tom zkrátka pracovat, ale jde o běh na dlouhou trať. Naprostá většina útoku je však dnes úspěšná proto, že u obětí je tak špatně udělaná síť, že jednoduše prochází.

Co to znamená v praxi? Jak jsou firmy napadány?

Nejčastějším začátkem vstupu do firmy je prolomení vzdálené plochy nebo phishing, kdy útočník vyláká uživatelské jméno a heslo od uživatelů. Tomu je potřeba bránit jak technicky, tak osvětou.

Mně se moc nelíbí, když se řekne, že útok se stal tak, že uživatel otevřel e-mail. Každý pracovník má nějaká oprávnění a nemá přístup do všech systémů, čili pokud spustíte nějaký virus, ten má stejná oprávnění, jako uživatel. Útoky ale často končí tím, že firma je zastavená, nemá data, a nemá zálohy, ty ale nemůžete jen tak smazat jako běžný uživatel. Často se už neříká druhá část příběhu. Útočníci pracují skrze ten počítač v síti tak, aby získali i další oprávnění, čímž se stanou pány sítě, my říkáme, že mají oprávnění doménového administrátora. Oni tedy nejen že obehrají uživatele, ale i správce, protože pokud by měl dobře udělanou síť, tak by útok skončil jen u uživatele a ta škoda by nebyla tak velká.

Dalším způsobem jak se dostávají do sítě je, že je objevena nějaká chyba. Máte například aplikaci, do které musíte zadat své jméno. Programátor předpokládá, že všechna jména se vejdou do 50 znaků, tak kolonku nastaví na 50 znaků. Někdo ale přijde na to, že když tam zadá 60 znaků, tak ta aplikace přestane fungovat. Pak se přijde na to, že přes těch 10 znaků, co jsou navíc, můžete aplikaci ovládnout. Útočník ji tak dokáže přesvědčit, aby mu otevřela cestu do sítě. A některé ty chyby jsou tak závažné, že umožní rovnou ovládnutí celé sítě.

Zároveň existuje černý trh, kde se s těmito zranitelnostmi obchoduje. Pokud je to chyba v celosvětově používaném zařízení, nebo programu, lze tyto chyby prodat i některému státu. Ten je bude využívat ne s cílem obohacení se skrze výkupné, ale pro průmyslovou špionáž.

Jak často se podaří hackery vypátrat a zadržet?

Občas se je povede dohnat před spravedlnost, ale jde spíše o výjimky. Organizované skupiny se zpravidla dopátrávat nedaří. Některé oznámí, že si vydělaly to, co chtěly a že končí, protože je pro ně zbytečné dělat další kriminalitu. Jen by se zvyšovalo riziko, že je někdo vypátrá.

Navíc, jak jsem říkal dříve, je to často přeshraniční kriminalita a je potřeba, aby mezi sebou státy kooperovaly. Hackeři ví, že pokud budou páchat kriminalitu ve svém státě, dopátrají je častěji, než v případě, kdy budou útočit například ve státech, s nimiž jejich země nespolupracuje.

Například Spojené státy častokrát i když hackery znají, nevydávají na ně mezinárodní zatykače. Čekají, až hackeři vycestují do země, se kterou má USA smlouvu o vydávání zločinců. Teprve pak požádají o mezinárodní zatykač. Zločinci tak často nevědí, že jejich identita byla odhalena.

FBI má navíc spolupracující hackery, kteří už jsou odsouzení a chtějí si takto snížit trest. Ti se například spojí s jiným hackerem, a pod záminkou spolupráce ho vylákají do státu spolupracujícího s USA, kde jej zatknout a přepraví do USA. (např. Confessions of an ID Theft Kingpin, Part I)

Útočníci se tedy nejprve musí dopustit chyby, při níž je odhalena jejich identita, ale ani to nestačí. Musí udělat i další chybu, a sice se dostat do státu, kde platí mezinárodní zatykač nebo smlouva o vydávání zločinců.

Když se vrátím k tomu phishingu, jak velká je v dnešní době počítačová gramotnost?

Lidé sami zabezpečení naproti nejdou, je proto potřeba jim připravit vhodné podmínky a trochu je k tomu tlačit. Ve firmě je za to zodpovědný správce sítě, ale doma je to už váš problém. Opatření přináší určitou míru zabezpečení, ale i omezení. Například nutnost opsat SMS při přihlašování se do banky. To snižuje pravděpodobnost, že Vám někdo ukradne peníze. Na druhou stranu to přináší diskomfort v podobě čísla z SMS, které je potřeba přepsat.

Občas se však objeví „zázračné“ technologie které zvyšují jak bezpečnost tak i uživatelský komfort. Například na mobilních telefonech jsme nejprve vyťukávali pin, což bylo zdržení. Poté jsme kreslili obrázky, což bylo také zdržení. Navíc se stačilo například v hospodě podívat, jaký kdo kreslí, a rázem je to k ničemu. Pak ale přišly otisky prstů, které nejen že nikdo neokouká, ale moderní telefony je odemykají už tak rychle, že ani nepostřehnete, že se nějaký otisk zpracovává. To dalo uživatelům lepší uživatelský zážitek a zároveň zvedlo zabezpečení. Tyto technologie jsou podle mě cesta vpřed. Chytrá řešení, která zvedají uživatelský komfort i bezpečnost.

Jaká je situace v případě různých chytrých zařízení? Často se hovoří například o hackování webkamer či chytrých domácností...

Vše je možné. V posledních měsících byly v internetových prohlížečích Chrome, Firefox i Internet Explorer nalezeny chyby. Ty umožňovaly ovládnout počítač pouhým navštívením zlé webové stránky a dostat se tak k veškerým datům i webkameře. Jak to může vypadat jsem ukazoval ve videu „Hacknutí webkamery na notebooku“ (viz výše).

Je třeba vědět, že chyby se nevyhýbají žádným zařízením. Například výzkumník Maul Marrapese tento rok demonstroval (viz „DEF CON Safe Mode - Paul Marrapese - Abusing P2P to Hack 3 Million Cameras“) lajdáckost, s jakou byly vyrobeny některé levné bezpečnostní kamery. Poměrně jednoduché chyby mu umožnili přistoupit ke třem milionům bezpečnostních kamer po celém světě. Navíc to vypadá, že chyba nepůjde jednoduše opravit. Majitelé, pokud se o chybě vůbec dozví, by měli zařízení ideálně vyhodit.

Jiný výzkumník zase v listopadu nalezl způsob, jak bezdrátově, ze vzdálenosti 5 metrů, naklonovat klíče pro auta Tesla X a s ujet (viz zde).

Takže tyto věci možné jsou, jde ale o to, co zařízení přináší a co hrozí, pokud by došlo k jejich ovládnutí. Někdo se bojí, když mu přijde mail, že byl natočen, jak se dívá na lechtivá videa, někomu je to jedno. Někdo by nechtěl mít doma Amazon Alexu, či Google Assistant protože by měl strach, že  někdo bude poslouchat co si doma povídá. Jiný usoudí, že si doma neříká nic tajného, a je mu to jedno.

Rizika se navíc mění i v čase. Co by útočník získal, kdyby hacknul chytrou lednici, kterých je zatím jen pár kusů. Raději se soustředí na zařízení, kterých jsou v tuto chvíli miliony. Stejně tak je otázka, co by útočník získal, kdyby hacknul webkamery na notebooku, které mají často mizernou kvalitu obrazu. Naopak telefony mají kvalitní kamery, máme je pořád v kapse, když si někde sedneme, dáváme je na stůl, takže třeba zrovna telefon slyší úplně všechno.

Pak ale máme například elektronické zámky, v autech v bytech, které lze odemknout na dálku. A tam už lze hackerský útok spojit s reálnou hrozbou ukradení či vykradení. Jak si tedy v tuto chvíli ověřit, jestli je například ten daný výrobce kvalitní z hlediska bezpečnosti?

Jako laik bych spíše volil střízlivý názor a nebyl takzvaný „early adopter“. Jednotlivé technologie bych začal používat až se zpožděním, to bývají více odladěné. Zároveň bych se zamýšlel nad tím, co mi přinesou a co mi vezmou.  Rozhodnoval bych se podle toho, jestli převažují výhody nad riziky.

Může si laik sám lehce zjistit, jestli byl napadený? Jinak než jen tím, že si u poskytovatele internetu ověří, jestli nemá napadený router.

Dobrá stránka je haveibeenpwned.com, kam uživatel zadá svou e-mailovou adresu a dozví se, jestli byly prolomeny některé jeho přihlašovací údaje. Ta je lehká na používání, a to potřebujeme. Aby uživatelé měli k dispozici něco, co je jednoduché a nepotřebovali k tomu odborníka, který jim bude pomáhat. Já osobně bych také doporučil, aby všichni používali nějaký antivirus, protože ten nejen kontroluje počítač, ale některé skenují i domácí síť. Sice to stojí několik stokorun, ale jakýkoliv odborník, kterého si najdou, bude pravděpodobně stát víc. Důležité je také používat kvalitní router, aktualizovat programy, vícefaktorové ověřování, tam kde to jde, a chovat se střídmě. Neklikat na každou blbost a neinstalovat vše, ale mít selský rozum. Je například velice pravděpodobné, že v cracku ke hře nějaký virus bude, protože proč by někdo jen tak vytvářel crack?

Warez obecně je velké riziko, stejně jako doplňky do prohlížeče. Ty si mohou říct o různá práva a mohou vykrádat informace, například mohou obejít nutnost přihlašovat se a útočníkovi poskytnout rovnou vaše hotové přihlášení. A může se jednat i o populární doplňky, které autor například někomu prodal Takové případy se už staly. Kupující pak nekupuje doplněk, ale jeho uživatelskou základnu. Uživatele, kteří ho mají nainstalovaný. Následně vydá novou o malware obohacenou verzi, která se díky automatické aktualizaci rozdistribuuje uživatelům a může napáchat velkou škodu.