České Radiokomunikace

Bezpečnostní ohlédnutí za rokem 2018

Bezpečnostní ohlédnutí za rokem 2018
V tomto roce mělo s hackerským útokem zkušenost 10 % české populace. Nejčastějším cílem byly e-maily a Facebook. Rostly především útoky cílené na mobilní zařízení i útoky na koncové uživatele metodami sociálního inženýrství.

Podle statistik společnosti ESET byl letos nejčastější uživatelskou infekcí počítačový červ Win32/Bundpil, který se síří pomocí vyměnitelných médií. Nejčastějším útokem z webových stránek pak byl malware JS/Adware.Serhoxs, jehož účelem je šířit nevyžádanou reklamu. Objevily se také zcela nové typy hrozeb jako je například EFI/LoJax, který útočí přes UEFI, tedy přes obecné rozhraní mezi hardwarem a operačním systémem. Tento typ ohrožení byl dosud považován pouze za teoretický; hrozba je to však vážná, zranitelných zařízení je velké množství.

Data jako hodnota

Firmy a instituce často čelily útokům na data, často v rámci konkurenčního boje a průmyslové špionáže. „Tento rok znovu začal řádit červ ACAD/Medre, který je cíleně poslán jako součást dříve ukradeného projektového souboru pro AutoCAD. Při jeho spuštění jsou pak oběti ukradeny všechny její vlastní AutoCAD projekty,“ uvádí jako příklad Martin Jirkal, detekční inženýr společnosti ESET.

Jak rozsáhlá může ztráta být, ukazuje letošní únik dat z hotelové sítě Marriott. „Tento únik dat se zapíše do historie nejen množstvím ukradených dat, ale i jejich citlivostí. V hotelové databázi byly totiž uloženy citlivé osobní údaje milionů hostů a v mnoha případech i údaje o jejich platebních či kreditních kartách. Díky tomu kyberzločinci získali spoustu materiálů pro své cílené phishingové útoky nebo kybernetickou špionáž,“ komentoval to David Emm, bezpečnostní odborník ze společnosti Kaspersky Lab. I když byla ukradena zašifrovaná data, je velmi pravděpodobné, že hackeři ukradli i klíče k jejich odemčení.

Hardwaroví špioni

Metody hackerů si osvojili i firmy a instituce, jejichž cílem je špionáž. Nejhorší je, že tyto aktivity jsou – pravděpodobně navíc pod státním dohledem – organizovány především v Číně, která je vedoucím světovým dodavatelem hardwaru. Na tam vyrobených serverových deskách se našly ilegální čipy, které by mohly umožnit útočníkům převzít kontrolu nad IT infrastrukturou. Závadné síťové komponenty zase odesílají po síti neidentifikovaná data neznámého účelu a obsahu. Situace dospěla tak daleko, že se o tom začalo veřejně hovořit a státy se začaly bránit. Třeba výrobky čínské společnosti Huawei jsou už v některých zemích vyloučeny z výběrových řízení pro veřejnou infrastrukturu (u nás však nikoli).

Sabotážní byznys

Klasické DoS nebo DDoS útoky, které zahltí svou oběť prostřednictvím sítě takovým množstvím požadavků, že to její počítače nezvládnou, byly v roce 2018 na ústupu. Obranu proti takovým útokům zpravidla musí zabezpečit poskytovatel infrastruktury, u těch seriózních je nějaké anti-DoS/DDoS řešení pravidlem. Kromě obchodně cílených útoků (proti konkurenční firmě) jsme letos zaznamenali i útoky na univerzity, za kterými byli pravděpodobně sami studenti. Letošní nižší aktivita armád botů pro uvedené typy útoku je patrně dána jejím přesměrováním na těžbu kryptoměn.

Peníze na prvním místě

Kyberzločin se dávno proměnil v průmyslové odvětví, ve kterém jde o výdělek. A nejkratší cestou k němu je zmocnit se rovnou peněz. Letos jsme byli svědky řady útoků na elektronická bankovnictví, a to i českých bank. Smartphony jsou nejzranitelnější, a tak intenzita útoků rostla s tím, jak stále více klientů bank využívá mobilní bankovnictví. Jedním z rizik je i to, že se stejné zařízení používá jak pro ovládání účtu, tak i pro ověřování transakcí. V ČR využívá pro správu financí elektronické bankovnictví polovina populace, přitom podle letošního průzkumu České bankovní asociace (ČBA) je nás přístup ke kybernetické bezpečnosti stejně tristní jako před pěti lety, kdy ČBA s průzkumy začala. Nejkritičtější je podle průzkumu zabezpečení mobilního telefonu. Stranou zájmu nezůstávají ani virtuální měny, aktivitě hackerů čelily i kryptoměnové burzy a po úspěšném útoku často nastal pokles bitcoinu i ostatních kryptoměn.

Únosy za bílého dne

Jednou ze zákeřných možností, jak z uživatelů dostat peníze je „unést“ jim jejich data. Tento únos má technicky podobu zašifrování souborů a útočník požaduje výkupné za klíč k datům. To je zpravidla nutné zaplatit v nevystopovatelné kryptoměně – v bitcoinech. Bohužel s ransomwarem je to podobné jako s únosy v reálném světě. Zaplacení tak není zárukou, že se podaří zašifrovaná data obnovit. Pro některé případy útoků byly antivirové firmy schopny najít klíč pro odemčení, ale je to výjimka. Podle statistiky společnosti Trend Micro se letos ve firemním prostředí 58 % ransomwarových útoků uskutečnilo prostřednictvím elektronické pošty. Roste počet ransomwaru mobilního – už na začátku roku 2018 bylo jeho rozšíření takové, že bylo srovnatelné se situací na desktopech. V mobilní variantě ransomware nemusí šifrovat soubory, ale může zamknout obrazovku – to stačí, aby uživatel měl problém dostat se k datům.

Útok na nejslabší článek

Nejslabším článkem je bezpochyby uživatel, proto i v letošním roce pokračovala rostoucí intenzita útoků s využitím metod sociálního inženýrství. Jednou z variant takového útoku je phishing, kdy se útočník – zpravidla s využitím falešných stránek – snaží ze své oběti získat hesla nebo jiné citlivé údaje. Často se pracuje aktuálním kontextem, v roce 2018 se objevovaly útoky s odkazy na Office 365 nebo s odkazy na stránky předstírající nějakou nutnou aktivitu uživatele v souvislosti s GDPR. Velmi časté (a také velmi úspěšné) byly e-mailové útoky vyzývající ke stažení (zpravidla „bezpečnostní“) aktualizace.

Hodně kybernetické odolnosti do roku 2019!

Pokud někomu přejeme do nového roku hodně zdraví, tak je jasné, že se o to adresát musí také trochu zasloužit (nepřejídat se, sport a tak). I v podtextu mého přání je to, že byste neměli na kybernetickou bezpečnost zapomínat. Antivirus je základ, platí to i pro mobilní zařízení. Aktualizujte operační systém, opět se to týká i mobilních zařízení. Ale nejen jich, rovněž síťová zařízení potřebují aktualizovat firmware, stejně jako třeba chytré televize. Ve firmách je proškolení ohledně zásad chování se v kyberprostoru stejně důležité jako instruktáž o bezpečnosti práce. Běžní zaměstnanci mají většinou mnohem menší povědomí o rizicích, než se jejich „ajťáci“ domnívají. I jednoduchá pravidla mohou být užitečná, tak si pro inspiraci jedno takové řekneme na závěr: 
„Na e-mail, že jsi vyhrál milion euro, neklikej! Patří určitě někomu jinému.“

Autor: Alexander Lichý