Zbraně hackerů
Viry a trojské koně jsou opravdu nebezpečné hackerské nástroje. Skutečná síla datové mafie však závisí na nedbalosti uživatelů počítačů.
PETR KRATOCHVÍL, MANUEL
Marano, Neapol, konec března letošního roku. Když karabiníci zaútočili na luxusní sídlo na kopci na okraji města, mysleli si, že mají v hrsti jednoho z nejnebezpečnějších mafiánských bossů. Prohledali celé sídlo, hledaného mafiána ale nenašli. O něco později si jeden z policistů všiml, že manželská postel je ještě teplá a na stolku leží podivně vypadající ovládání. Zkusil ho použít, a místo spuštění TV či hudebního přehrávače se otočila zrcadlová skříň, za kterou se hledaný Antonio Cardillo, šéf neapolského klanu Camorry Lo Russo, skrýval.
O podobně snadném nalezení šéfů internetové mafie si IT bezpečnostní experti mohou nechat jen zdát. V této oblasti jsou internetoví zločinci podstatně dále než Camorra a Cosa Nostra dohromady: hackeři už dávno nejsou amatérští studenti nebo nudící se teenageři jako „script kiddies“.
Jde o profesionální obchodníky a programátory, kteří mají rozsáhlou podporu, schopnou například zajistit pronájem firemních prostor. Tento „paralelní“ internetový svět existuje mimo rámec pozornosti běžných surfařů, má vlastní komunikační kanály a funguje podle svých vlastních zásad. Především ale přináší zisk. Podle antivirových specialistů z firmy Symantec získali v roce 2011 internetoví zločinci od uživatelů více než 388 miliard dolarů (podrobnosti lze nalézt ve zprávě Norton Cyber Crime Report 2011). Experti tvrdí, že jde o částku, která dokonce překonává zisk mafie obchodující s drogami.
Nepříjemným faktem navíc je, že součástí tohoto „byznysu“ se může stát téměř každý. Díky specializovaným nástrojům je páchání počítačové trestné činnosti stále jednodušší. Typickou ukázkou může být nováček virových žebříčků posledních týdnů – bot Aldi. Za pouhých 10 eur je na černém trhu možné získat podobný „nástroj“ umožňující infikovat tisíce počítačů bez rozsáhlých IT znalostí. Získanou síť zotročených počítačů je pak možné využít k dalším nekalým aktivitám, včetně webových útoků, rozesílání spamu nebo kradení hesel.
Slídicí skripty na webových stránkách
Tento trend nevěstí pro obyčejné uživatele nic dobrého. Nepříjemné také je, že na rozdíl od profesionálních nástrojů může tento „poloamatérský“ malware „neopravitelně“ poškodit systém a místo nenápadného odcizení dat o ně „jen“ přijdete.
Situace však opravdu není snadná. IT experti stále častěji přiznávají, že jsou v souboji s hackery spíše v defenzivě a obvykle i o krok pozadu. Bezpečnostní specialista Sander, pracující u jednoho z největších světových providerů, podotýká: „Hackeři neustále vyvíjejí nové útočné metody, a i proto jsou vždy o krok před námi.“ Posledním „módním“ trendem je propašování trojského koně do počítače pomocí skriptu skrytého v obyčejné WWW stránce (viz str. 46 dole).
Využitím metody „Drive-by-Downloads“ pak hackeři získávají sítě boty ovládnutých počítačů, které jsou nejen obrovským zdrojem zpeněžitelných dat, ale lze je také využít k další nelegální činnosti. Jedničkou v této kategorii je pravděpodobně známý trojský kůň Zeus, který ovládl miliony počítačů a který najdete na některých systémech i nyní – několik měsíců poté, co se Microsoftu (ve spolupráci s americkou policií) podařilo zlikvidovat většinu řídicích serverů. Ironické je, že po celé řadě klidných let se cílem hackerů začínají stávat i zákazníci firmy Apple. Na počátku dubna využil metodu „Drive-by-Downloads“ trojský kůň Flashback a pronikl na více než 600 000 Maců. Podle expertů ale nešlo o nic překvapivého – po obrovských úspěších iPodu, iPhonu a iPadu bylo jen otázkou času, než se „Mac systémy“ stanou terčem hackerů.
Pravda také je, že i přes občasné médii zveličené úspěchy je boj s internetovou mafií spíše plný frustrace a proher. Například již zmiňovaný úspěch při „likvidaci“ Zeusu má svou černou dohru. Tato akce s kódovým jménem Operace B71 měla za cíl eliminaci řídicích serverů botnetu Zeus (a jeho variant SpyEye a Ice-IX). V rámci ní byly zlikvidovány servery v hostingových centrech v USA a zabezpečeno více než 800 napadených serverů. Nyní se objevují tisíce počítačů nakažených jeho nástupcem – výhra bezpečnostních firem byla hodně krátká…
Úroveň bezpečného surfování však nezávisí jen na vašem softwarovém vybavení, ale také na zemi, v níž surfujete. Například v Koreji je trojským koněm nakažen každý třicátý web (viz strana 46). Podle Bezpečnostní informační zprávy společnosti Microsoft z roku 2011 je možné nejbezpečněji surfovat v Japonsku, Rakousku a Austrálii, kde je škodlivým softwarem napaden jen každý stý web.
Nepřítel v prohlížeči
Hackeři ale neloví jen anonymně v datovém moři. Pokud se jejich oběť ukáže jako „velká ryba“, jsou schopni naplánovat specifický útok a vyplenit účet oběti do posledního desetníku. Typickou ukázkou použité metody může být například útok typu „man-in-the-browser“, při kterém hackeři manipulují s on-line transakcemi oběti v reálném čase (viz schéma na straně 47). Při tomto útoku dokážou hackeři pomocí infikovaného softwaru měnit příjemce, čísla účtů i bankovní kódy. Šikovný software dokáže zmanipulovat téměř veškeré elektronické informace, takže oběť často zjistí podvod až z „papírového“ bankovního výpisu.
Nikoho asi nepřekvapí, že konkrétní čísla o počtu a množství takto odcizených financí takřka neexistují – banky podobné případy důkladně tají a své klienty varují jen „velmi obecně“. O něco vstřícnější byly bankovní instituce v sousedním Německu, kde podle Federálního úřadu pro vyšetřování získali kybernetičtí zločinci v loňském roce z on-line bankovnictví více než 21 milionů eur.
Určitě vás napadne, jak je možné, že takovéto množství peněz zmizí beze stopy, a odkud podobné útoky pochází. Experti předpokládají, že většina „zdrojů“ pochází ze zemí bývalého východního bloku – především z bývalého Sovětského svazu. Finanční situace lidí je zde často velmi špatná, takže motivace k (ziskové) nelegální činnosti je vysoká. Důležitým faktem také je, že v těchto zemích lze narazit na obrovské množství vzdělaných a špatně placených odborníků.
Posledním dílkem v mozaice internetové kriminality je skutečnost, že celá řada z těchto zemí na podobný typ kriminality buď ještě nezareagovala (a chybí zde důležité zákony), nebo jsou zde silné tradiční „kriminální struktury“ a rozbujelá korupce. Na základě těchto skutečností tak v těchto zemích funguje jak programátorská základna (vytvářející malware), tak i struktura „bílých koní“, která umožňuje přesun nakradených peněz na nevystopovatelné účty.
K dalším zdrojům aktivit hackerů patří bezesporu i Čína. Už v roce 2009 způsobil rozruch po celém světě objev sítě „Ghostnet“. Šlo o špionážní síť 1 295 počítačů ve 103 zemích, přičemž stopy útočníků vedly do provincie Čcheng-tu v jihozápadní Číně. Čínská vláda odmítla jakýkoliv podíl na kybernetické trestné činnosti a prý sama spustila opatření proti hackerům.
Zajímavé na celém případě ale bylo to, že první stopy k odhalení „Ghostnetu“ se objevily při průzkumu počítačového systému patřícího tibetské exilové vládě v Indii. Když poté ottawský institut The Information Warfare Monitor, sledující aktivity hackerů, na tuto síť zaměřil pozornost, zjistil, že přibližně třetinu „kořisti“ tvořily tzv. vysoce postavené politické cíle, zahrnující počítače ministerstev, zastupitelských úřadů, mezinárodních organizací a médií.
Dalším zdrojem „internetových aktivit“ je pravděpodobně Izrael. Například za jedním z nejnebezpečnějších kybernetických útoků v podobě červa Stuxnet stojí podle odborníků izraelská organizace Mossad. Cílem červa totiž byla íránská atomová zařízení pro obohacování uranu – a podle všech dostupných informací se sabotáž pomocí červa podařila.
Všechny tyto případy ukazují, že většina vyspělých zemí už má specializované organizace zaměřené na boj proti internetovým útokům, případně týmy, které tyto útoky v jiných zemích provádí.
Špioni na internetu
Ačkoliv se většina zpráv o počítačových útocích zmiňuje o virech, červech a trojských koních, stále častěji používají hackeři i jiné metody získávání citlivých informací. I v Chipu jsme se již několikrát zmínili, že cílem útoků se stále častěji stávají sociální sítě – například Facebook. Výhodou této taktiky je skutečnost, že hackeři mohou nejen využít existující bezpečnostní mezery, ale často v těchto sítích najdou jako na stříbrném podnosu i osobní údaje obětí.
Například nová verze malwaru Zeus s názvem Ice IX, objevená na počátku dubna, získávala od uživatelů Facebooku údaje o kreditních kartách a čísla sociálního pojištění. Paradoxem je, že zmiňovaný malware bylo možné zakoupit za pár dolarů na amerických „digitálně undergroundových“ serverech, a to včetně videosouboru s návodem.
Na sociální sítě začali směrovat své aktivity i průmysloví špioni, kteří je používají jako výchozí bod pro kybernetické útoky: hackeři stále častěji získávají přístup k citlivým firemním datům přes špatně chráněné počítače zaměstnanců (viz schéma na straně 48).
Sociální sítě také útočníkům nabídnou další zajímavé informace – například umožní poznat vztahy mezi zaměstnanci. Psychologové tuto strategii pojmenovali jako „sociální inženýrství“ – útočník záměrně podněcuje lidi, aby v rámci „drbů“ prozradili důvěrné informace.
Ukázku, jak tento „trik“ může fungovat v praxi, předvedl americký počítačový expert Thomas Ryan. Ten (respektive jeho vymyšlené alter ego Robin Sage) získal přístup k důvěrným dokumentům, a dokonce byl coby „odborník na kybernetickou válku“ pozván na bezpečnostní konferenci jako konzultant. Nyní v roli experta školí vrcholné politiky a vysoce postavené vojenské důstojníky o problematice sociálních sítí.
Neopatrní uživatelé
Ať už jde o útok typu „drive-by-download“, nebo o sociální hacking, základem úspěchu většiny podobných „podvodů“ je naivita uživatelů a podcenění bezpečnostní problematiky. Tím nemáme na mysli instalaci pokročilých bezpečnostních softwarů nebo pravidelné záplatování systému. Sami uživatelé totiž hackerům svůj počítač přímo nabízí, a to kvůli lajdáckému heslu. Nevěříte? Poskytovatel mobilního bezpečnostního softwaru SplashData nedávno publikoval statistické informace o balíku čítajícím milion hacknutých hesel a zveřejnil 25 nejčastěji používaných hesel (viz rámeček dole). Výsledek byl šokující: naprostou většinu z nich je možné snadno (do deseti minut) hacknout, a to i pomocí volně dostupného softwaru. Zcela běžná jsou hesla typu „heslo“, „12345“ nebo „qwerty“ – a právě to je přímo volná vstupenka pro hackera.
Podcenění rizik
Základní příčinou takovéhoto chování uživatelů je podcenění problému – většina uživatelů je přesvědčena, že jim se něco podobného stát nemůže. A právě tito uživatelé (respektive jejich počítače) jsou poté základními kameny v botnetech hackerů, které slouží i k útokům na další, nic netušící surfaře.
Dobrou zprávou pro domácí uživatele je to, že se hackerům stále ještě nepovedlo v praxi obejít náš autorizační systém využívající mTAN (potvrzení platby zadáním čísla z obdržené SMS). Pokud tedy využíváte tuto metodu „ochrany svých peněz“, můžete zatím zůstat klidní – hackeři mohou jen ukrást vaše ostatní citlivé údaje. A to, zda se rozhodnete pro jejich ochranu, je jen na vás.
autor@chip.cz
DRIVE BY DOWNLOADS
V síti datové mafie instalují hackeři „čmuchací“ skripty na webové stránky, které využívají k hledání bezpečnostních mezer na špatně zabezpečených počítačích. Mezery poté použijí k propašování malwaru do počítače a k získání osobních údajů.
JAK SE CHRÁNIT:
› instalovat antivirový software;
› pravidelně aktualizovat operační systém a programy;
› vždy mít nejnovější verze plug-inů prohlížečů.
ÚTOK „MAN-IN-THE-BROWSER“
Hacking v reálném čase: Při tzv. Man-in-the-browser útoku je počítač nejprve napaden trojským koněm, který monitoruje jeho činnost. Díky tomu může hacker v reálném čase kontrolovat počítač a z něj přesměrovat jakékoliv množství peněz.
1 UŽIVATEL Záznamy na jeho on-line účtu.
2 TROJSKÝ KŮŇ Posílá záznamy neprodleně hackerovi.
3 HACKER Manipuluje on-line přenos bez povšimnutí uživatele.
4 BANKA převádí peníze hackerovi nebo do „prádelny“ peněz.
SOCIÁLNÍ HACKING
Hacker cíleně nakazí nedostatečně chráněné počítače zaměstnanců kvůli získání údajů o bezpečnostním systému společnosti. Poté lze často snadno proniknout do firemního serveru.
1 Infikování nechráněného počítače zaměstnance.
2 Jsou načteny informace z firemního firewallu.
3 Hacker získá přístup k firemnímu serveru.
SÍŤOVÁ PAST
Malware se z nechráněných počítačů šíří přes sociální sítě.
SPOKOJENÍ HACKEŘI: ZÍSKÁNÍ HESEL JE LEVNÉ A POHODLNÉ
Jednou z dobrých metod ochrany proti internetovým podvodům jsou kvalitní hesla. Přesto si mnoho uživatelů vybírá ta nejjednodušší hesla. Ta však dokážou hackeři cracknout za méně než deset minut. Poté získávají peníze především z účtů internetových platebních služeb.
JAK SE CHRÁNIT
› Změňte přednastavená hesla na svá vlastní.
› Bezpečné heslo má alespoň osm znaků, včetně těch speciálních.
› Používejte pro různé služby různá hesla. › Hesla pravidelně měňte.
PRŮMĚRNÁ DOBA POTŘEBNÁ K PROLOMENÍ TĚCHTO HESEL
HODNOTA CRACKNUTÝCH DAT
Kompletní (úplné datové záznamy se jménem, hesly atd.) 10-25 centů
PayPal účty (100 položek)
neověřené: 50 $
zkontrolované: 10 % hodnoty účtů
Hacknutá PC (1 000 počítačů)
Afrika: 7 $
Evropa/USA: 180 $
Útok „denial-of-service“ 50 $
DESET NEJČASTĚJŠÍCH HESEL
1 password
2 123456
3 12345678
4 qwerty
5 abc123
6 monkey
7 1234567
8 letmein
9 trustno1
10 dragon