31.01.22

Jak a čím útočí hackeři - část 2.

Jak a čím útočí hackeři - část 2.

Většina lidí ví, co jsou počítačové viry. Někteří ještě vědí, co je spam, a vzhledem k posledním bezpečnostním a hojně medializovaným událostem tuší, co je ransomware. Ale málokdo si dokáže představit, jak rozmanité jsou a kudy vedou cesty a často i pěšinky, po nichž se hackeři ubírají ke svým nekalým cílům, a jak nepřeberné je množství strategií a technologií, které při tom využívají. Pojďme se podívat alespoň na ty nejčastější.

Okolo kybernetické bezpečnosti poletuje celá řada pojmů. Některé z nich už se staly součástí nezřídka otřepaných marketingových frází a, byť jejich význam většinou intuitivně chápeme, bývají občas nesprávně interpretovány nebo vzájemně zaměňovány. Většinu pojmů a také povinností týkajících se kybernetické bezpečnosti v České republice specifikuje zákon 181/2014 Sb., tzv. zákon o kybernetické bezpečnosti. Stojí za to si přečíst aspoň jeho úvodní části. 

Kybernetický prostor a kybernetický útok
Za kybernetický útok (Cyber Attack) lze považovat jakékoliv úmyslné jednání útočníka v kybernetickém prostoru, které směřuje proti zájmům jiné osoby. Útočníky i napadenými mohou být jednotlivci či skupiny osob, firmy nebo organizace. Důležitý je zde pojem kybernetický prostor (kyberprostor), který vymezuje hranici mezi kybernetickými útoky a ostatními „nekybernetickými“ kriminálními činy. Na rozdíl od sci-fi románů, vřele doporučuji dnes už kultovní Neuromancer od Williama Gibsona z roku 1984, zákon o kybernetické bezpečnosti rozumí kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací. Kyberprostor je zde jasně vymezen popisem infrastruktury a výčtem činností, které infrastruktura poskytuje. Lidově řečeno, za kybernetický lze tak považovat útok na jakákoliv elektronická zařízení, počítače, sítě, síťové prvky, data, aplikace a další součásti informačních systémů, který směřuje proti zájmům jejich majitelů, provozovatelů nebo uživatelů.

Pasívní a aktivní útoky
Pasívní útok, byť označení útok se zde může zdát poněkud zavádějícím, spočívá především ve sledování a analýze dat, jimiž informační systém oběti komunikuje se světem. Pasívní útoky nejsou destruktivní, cílem bývá získat od oběti důvěrná data, IP adresy a další užitečné informace.
Cílem aktivních útoků je proniknout do systémů oběti, narušit nebo zastavit jejich činnost či manipulovat s nimi nebo s daty.

Slabiny a zranitelnosti
Programátorská latina praví, že každý program obsahuje alespoň jednu chybu. Dotaženo ad absurdum to znamená, že i program o jedné řádce je špatně. Moderní software přitom tvoří programy, které mnohdy obsahují statisíce i miliony řádků, a stoprocentně je otestovat je už čistě statisticky nemožné. Chyby, které obsahují, mohou představovat i bezpečnostní slabiny a zranitelnosti. Ty hackeři samozřejmě hledají a zneužívají. I proto je třeba veškerý software udržovat neustále aktuální, neboť důležitou úlohou aktualizací je i odstraňování zranitelností. Bezpečnostní díry v zastaralých operačních systémech a aplikacích jsou jedním z nejčastějších cílů kybernetických útoků. Slabiny a zranitelnosti může samozřejmě obsahovat i hardware. Aktualizovat, modernizovat a obnovovat zde platí úplně stejně.

Nejčastější vektory útoku

Připomeňme si pro začátek, že vektorem útoku se rozumí způsoby nebo cesty, jimiž se útočník pokouší proniknout do systému. Při výběru vektorů útoku hackeři často využívají dříve získané znalosti o systémech oběti, např. o typech operačních systémů, síťové infrastruktuře, provozovaných aplikacích nebo o způsobu zabezpečení, a o jejich možných slabinách nebo zranitelnostech. Vektorů útoku je nepřeberné množství a s vývojem technologií jejich počet a rozmanitost variant neustále roste. Zkusme si velmi stručně popsat aspoň ty nejčastější.

Zneužití přístupových údajů
Zneužití uživatelského jména a hesla je jedním z nejčastějších způsobů, který hackeři využívají k průniku do systému. Bohužel stále platí, že lidé se o bezpečnost svých uživatelských jmen a hesel starají jen málo. Často jedno a totéž heslo používají ve firmě i v soukromí, např. k přihlašování do e-shopů, na sociální sítě nebo do nejrůznějších, často i značně obskurních služeb, a to včetně erotických nebo evidentně podvodných. Přitom případy krádeží obrovských kvant přístupových údajů ze sociálních sítí jsou dobře známé a nejsou zřídkavé. Existují obrovské databáze obsahující miliony odtajněných přístupových údajů, stejně jako databáze profláknutých a provařených hesel typu „samé nuly“, „heslo123“ apod. K dalším způsobům, jak získat přístupové údaje, patří např. využití malware nebo phishingu. Jedinou obranou je používání silných hesel, tvořených nejlépe náhodnou posloupností malých i velkých písmen, číslic a dalších znaků, a disciplína uživatelů. Je třeba si uvědomit, že datum narození dcery není silné heslo. Útočník ho snadno zjistí třeba z blahopřání na sociální síti.  Neklikat na podezřelé přílohy mailů a nepoužívat stejné heslo pro různé aplikace by mělo být samozřejmostí.

Malware
Malware je souhrnný název pro nesmírně širokou a enormně rozmanitou skupinu škodlivých programů. Zahrnuje počítačové viry, červy, trojany, vyzvědačský spyware, ale třeba i ransomware, který nejdříve zašifruje data, a pak vyžaduje výkupné. Nejčastěji je cílem útoku propašovat malware do počítačů oběti, kde následně může začít škodit. Obranu proti malwaru tvoří nejenom technologie jako antiviry, firewally, snadboxing apod., ale také poučení a disciplinovaní uživatelé, kteří neklikají na podezřelé přílohy nebo odkazy v mailech a nenavštěvují nebezpečné weby.

Phishing
Phishing, někdy se v češtině používá termín rybaření, využívá principů a metod sociálního inženýrství. Útočníci se prostřednictvím rádoby autentických emailů, SMS nebo i telefonních hovorů, které se snaží vyvolat dojem důvěryhodnosti, pokoušejí přesvědčit uživatele, aby něco vykonal. Například klikl na přílohu, navštívil určité webové stránky, obvykle zřízené s cílem vylákat z obětí citlivé údaje, nebo stránky obsahující třeba malware. Phishing cílený na určitou skupinu lidí, například na klienty jedné banky, bývá označován jako cílený phishing (Spear Phishing). Speciální formou phishingu zaměřeného na určité skupiny manažerů je tzv. Whaling. Poslední dobou se objevuje nový typ phishingu, tzv. sociální phishing (Social Phishing), kdy odkazy na škodlivé weby jsou prezentovány přímo na sociálních sítích.

Falšování (Spoofing)
Falšování obecně označuje techniky, kdy se osoba, program, síťová adresa nebo jiná komponenta síťové komunikace vydává za někoho jiného s cílem uskutečnit kybernetický útok. Bohužel imitovat je možné prakticky každou součást počítačové komunikace, zmiňme tedy velmi stručně jen ty nejčastější.
Podvržení IP adresy (IP Address Spoofing) spočívá v generování síťové komunikace, jež pochází z IP adresy, kterou napadený systém považuje za důvěryhodnou, zprávy přijímá a zpracovává.
Podvržení ARP zpráv (ARP Spoofing, ARP Poisoning). ARP zprávy informují v počítačové síti o tom, kterému serveru v síti odpovídá určitá IP adresa. Podvržením adresy reálného serveru za podvodný v ARP zprávě se tak provoz přesměruje k podvodnému serveru.
DNS Spoofing (DNS Cache Poisoning) známý také jako otrava mezipaměti spočívá ve vkládání falešných informací do vyrovnávací paměti DNS serveru. DNS servery, které zajišťují správu jmen a adres v síti, potom místo správných poskytují IP adresy podvodných serverů. Zneužití DNS serverů stojí za mnoha rozsáhlými a medializovanými útoky. Největší registrátor domén GoDaddy např. zažil nepříjemný útok na své uživatele, kterým byly změněny DNS záznamy a byly přidány domény 3. řádu odkazující na malware stránky.
Falšování odesílatele emailu (Email Spoofing) se obvykle využívá při rozesílce nevyžádaných emailů, zejména při phishingu. V poli odesílatele může být uvedena zcela neexistující adresa nebo, co je ještě horší, skutečná adresa nic netušící osoby. Přitom zfalšovat adresu odesílatele není vůbec žádný problém.
Poslední dobou se objevují další způsoby, jak obalamutit lidi a přesvědčit je, aby třeba klikali na podvodné stránky. Jednou z nich je i zneužívání vyhledávacích strojů (Search Engine Poisoning). Cílem je dostat podvodné stránky na přední místa vyhledávačů tak, aby na ně lidé klikali nejdříve.

Vkládání SQL příkazů (SQL Injections)
SQL je programovací jazyk, který se používá při programování komunikace mezi webovými formuláři a databázemi, které je obsluhují. Injektování spočívá ve vkládání do polí formulářů specifických SQL příkazů, které špatně navržený, zastaralý, nesprávně zabezpečený nebo jinak zranitelný formulář předá databázi. Ta pak může vydat i data, která by vydávat neměla, např. citlivé údaje.

Křížové skriptování (Cross-Site Scripting, XSS)
Křížové skriptování se podobá SQL injektování s tím rozdílem, že škodlivý kód se vkládá přímo do webové stránky. Cílem není poškodit napadenou stránku, ale vnutit škodlivý odkaz jejím návštěvníkům. Nejčastěji se podvodné odkazy vkládají do komentářů k článkům, kde je také vysoká pravděpodobnost, že na odkaz někdo klikne. Infikované stránky někdy bývají označovány jako napajedla (Watering holes).

Ukradené cookies (Session Hijacking)
Při přihlašování si většina webových aplikací ukládá do počítači nevelký soubor, obvykle nazývaný cookie, v němž si uchovává informace o aktivitách uživatele. Umožňuje to např. vrátit se po opětovném přihlášení na poslední prohlíženou stránku nebo dokonce vstupovat do aplikace bez přihlašování. Pronikne-li do špatně zabezpečeného počítače útočník, může informace v cookies zneužít a získat např. přístup k citlivými informacím. Cookies lze v prohlížeči zakázat nebo nastavit, někteří poskytovatelé ale v takovém případě omezí nebo zcela zablokují poskytované služby.

DDoS útoky
Povědomí o DDoS útocích je díky růstu jejich počtu a masívní medializaci relativně vysoké. Základní princip útoku spočívá v soustředěném zasílání serveru velkého množství vhodně zvolených požadavků, na něž server z principu své činnosti musí nějakým způsobem reagovat, a které jej tudíž zatěžují. S růstem zátěže roste také doba odezvy na vlastní služby serveru a ty se postupně stávají nepoužitelnými. Nezřídka pod náporem požadavků server zcela zkolabuje. Záplava dotazů navíc neúměrně zatěžuje i přenosovou trasu k serveru a zpomaluje komunikaci s ním. Na většině DDoS útoků se současně podílí velké množství útočících zařízení. Bývají součástí tzv. botnetů, sítí tisíců infikovaných a hackery ovládaných počítačů a dalších zařízení připojených k internetu, od pouličních kamer až po domácí spotřebiče. Fungují podle principu „střílí na nás odevšad“, jemuž se jen těžko lze bránit i v počítačovém světě. Firewall na DDoS útoky nejenomže nezadrží, ale navíc se sám může stát cílem DDoS útoku. Účinná obrana spočívá v odfiltrování nežádoucího provozu, což je technicky i technologicky poměrně složitá záležitost. Službu, která spočívá v přesměrování provozu do tzv. pračky, která dokáže nežádoucí data odfiltrovat, mívají ve své nabídce solidní poskytovatelé internetu nebo specializované firmy.

MITM útoky
Název MITM pochází z anglické zkratky „Man-in-the-middle“, tedy zhruba „člověk mezi“. MITM je ve své podstatě jistou formou falšování. Představme si, že komunikujeme s kolegou a na trase je člověk, který naše zprávy čte, upravuje nebo zcela mění, a teprve poté posílá dál. Ve světě digitálních komunikací může MITM například monitorovat zahajování SSL relací a získat nebo pozměnit šifrovací klíče, přesměrovat provoz k jinému než cílovému serveru a podobně. K MITM útokům dochází často ve veřejných Wi-Fi sítích, nicméně nejenom tam. Obrana proti MITM spočívá především v použití solidních virtuálních privátních sítí (VPN), kvalitních firewallů s detekcí průniků (IDS Firewall), MITM agent může totiž sedět přímo v síti oběti nebo dokonce i v uživatelském počítači, spolehlivých antivirových systémů, šifrování citlivého provozu či ve správné konfiguraci mobilních zařízení při využívání veřejných Wi-Fi sítí.

Hrubá síla
Známé pořekadlo řemeslníků praví, když to už jinak nejde, prašť do toho kladivem. Totéž platí i pro kybernetické zločince. Útoky označované jako hrubá síla (Brute Force) jsou založeny na metodě pokusu a omylu. Útočníci se obvykle pokoušejí nejrůznějšími způsoby proniknout do systémů oběti, dokud se jim to nepodaří nebo dokud nezískají alespoň nějaké informace, které by jim pomohly naplánovat cílenější útok. Nejčastěji jde o postupné zkoušení nejrůznějších kombinací uživatelských jmen a hesel. V databázích hackerů jsou jich miliony, práci za ně odvedou stroje. Obecně ale může jít prakticky o kterýkoliv z výše popsaných útoků.

Výčet vektorů útoku zdaleka není vyčerpávající a jejich popis už vůbec není podrobný. Většinu útoků tvoří ve finále kombinace několika vektorů správně přizpůsobených zranitelnostem a slabinám potenciální oběti nebo obětí. Brát v současné době na lehkou váhu zabezpečení a ochranu firemního IT je tak nezodpovědné a silně na pováženou.

Služby pro vyšší kybernetickou bezpečnost
Každý kybernetický útok může mít nedozírné následky a způsobit nemalé ztráty. Proto je vždy lepší učinit preventivní opatření, než odstraňovat mnohdy tragické následky. Kybernetická bezpečnost od Českých Radiokomunikací dokáže snížit rizika na minimum. Poskytuje nejrůznější druhy ochrany počínaje antivirovými a antismapovými filtry, přes firewall nové generace a webový aplikační firewall, detekci průniků a prevenci proti nim až po ochranu před DDoS útoky. Nadstandardní CRA Firewall navíc kompletně zabezpečí i ty části síťové infrastruktury, na které firewally běžně nemusí stačit. Začít se dá například bezpečnostním auditem, který ukáže, jak se správně kybernetickým hrozbám bránit.