V Miami se konala první mezinárodní konference společnosti Acronis nazvaná Global Cyber Summit 2019. Firma zde svým partnerům a vybraným novinářům z celého světa představila tři nová řešení kybernetické ochrany. Acronis Cyber Protect, Acronis Cyber Platform a Acronis Cyber Infrastructure mají podle singapurské společnosti zásadně změnit způsob, jakým podniky řeší svou ochranu dat.
Ransomware: virus, který vás dostane na kolena
Nedostatečné zabezpečení systémů, špatně řešené nebo dokonce žádné zálohování a obnovení dat, to jsou podle zástupců společnosti Acronis jedny z hlavních důvodů, proč se v poslední době masivně daří útokům vedeným pomocí vyděračského softwaru, takzvaného ransomwaru. Dosud používané způsoby zabezpečení, zálohy a obnovy dat přestávají stačit.
Od roku 2013 bylo v USA vyděračským softwarem napadeno přes 170 měst. Z tohoto počtu ovšem připadá celých 40 případů na první polovinu letošního roku.
Zatím posledních 22 útoků se odehrálo během jednoho týdne v srpnu 2019 v Texasu. Malá i větší města byla v různém rozsahu paralyzována vyděračským virem, který zašifroval, a tím znepřístupnil klíčové databáze městských systémů.
Není přesně známo, kolik měst zaplatilo požadované výkupné za dešifrovací klíč, ale některé radnice vyděračům skutečně zaplatily. Náklady na likvidaci škod by totiž podle nich mohly být o hodně vyšší než několikasettisícové výkupné. Zaplatit výkupné je však každopádně velmi riskantní krok, protože data se ani s dešifrovacím klíčem nemusí podařit obnovit, vyděrač jej vůbec nemusí poslat nebo záměrně původní data modifikuje.
Pro vyděrače jsou dobrým cílem menší sídla, protože nemají prostředky na to, aby svou „digitální agendu“ dokázala kvalitně ochránit. Napadená města se pak pochopitelně snaží situaci příliš nemedializovat, aby se nestala terčem útoku znovu.
Největší svinstvo, co v online světě číhá. Ransomware je na vzestupuVirus budoucnosti Přečtěte si článek z roku 2016, který bohužel stále platí. |
Města pod „palbou“
Někde útočníci „jen“ vyřadili z provozu knihovnický systém, takže zájemci o četbu ve Wilmeru v Texasu se stejně jako za starých časů museli zapisovat na papírové kartičky. V jednom městě v Georgii napadli policejní systémy, takže místní policie nebyla schopna online dohledat údaje o zadržených řidičích, vypisovat pokuty a opět přišly na řadu papírové pokutové bločky. Hackeři také vyřadili místní hlavní nemocnici, lokální i státní soud.
Npadena byla i Atlanta a systémy místní vlády. Právě pro Atlantu to nebyl první útok. Už v březnu 2018 bylo město nuceno řešit situaci, kdy vyděrači požadovali několik desítek tisíc dolarů v bitcoinech. Město tehdy nezaplatilo, ale opravy poškozené IT infrastruktury vyšly podle dostupných informací na téměř 20 milionů dolarů.
Jinde však měly útoky ještě mnohem vážnější dopady, v jednom případě se úřad šerifa například nemohl dostat k údajům o vězních v místní trestnici, v Baltimoru nemohli lidé dva týdny prodávat ani kupovat domy, protože systém katastru nemovitostí byl zcela mimo provoz. Napadené úřady mnohdy až několik týdnů nemohly napsat e-maily občanům, stejně tak občan se nemohl elektronickou cestou domluvit s úřadem, nevyplácely se důchody, dávky, atd...
Poslední případ z USA je starý jen několik dnů. Tři velké nemocnice ve státě Alabama byly napadeny ransomwarem začátkem října. Lékaři museli všem neakutním pacientům zrušit schůzky a výkony. Problémy s obnovou IT systému byly takového rázu, že se majitel nemocnic rozhodl v úterý 8. října vyděračům zaplatit, aby obdržel klíč k dešifrování svých vlastních dat. Kolik přesně zločinci obdrželi, zatím nebylo zveřejněno.
Úspěšné útoky vyděračů na nemocnice jsou za poslední dny hlášeny také z Austrálie. Během srpna byla napadeny zdravotnická zařízení ve Filadelfii a Wyaomingu. A to nejsou zdaleka všechny případy posledních měsíců.
O tom, že situace je poměrně vážná, svědčí i fakt, že FBI vydala počátkem října speciální varování před ransomwarem a pro postižená města zřídila poradenskou linku.
Bez čokolády, bez kontejnerů a bez hliníku
Z nedávné historie známe ještě děsivější případy, kdy útočníci jen tak na zkoušku prohodili medikace u několika pacientů v nemocnici. Svůj čin posléze oznámili, protože to nebyli zločinci. Ale například letošní útok na jednoho z největších výrobců hliníku na světě, norskou společnost Norsk Hydro, už žádnou zkouškou nebyl. Firmu vyšel na 40 milionů dolarů. Nepočítaje v to problémy odběratelů kvůli zpoždění dodávek a vyšší ceně. Výroba se totiž kvůli útoku musela zcela obejít bez řízení počítačem.
Takto může vypadat to jediné, co se vám na počítači napadeném ransomwarem zobrazí - pokyn k zaplacení výkupného.
Ještě větší škody napáchali útočníci transportní společnosti Maersk. Případ z roku 2017 je dodnes uváděn jako největší pohroma svého druhu. Napadení ransomwarem Nopetya se odehrál z pohledu oběti neskutečně rychle. Během několika hodin byly vyřazeny z provozu všechny počítače ve firmě a celosvětový pohyb kontejnerů se zbožím se mohl zastavit. Na počátku přitom byl jediný infikovaný server společnosti v Africe. Nakonec virus odrovnal 50 tisíc firemních počítačů na 600 místech ve 130 zemích světa. Znovu vybudovat IT infrastrukturu, obnovit data a vůbec digitální akceschopnost firmy trvalo více než 10 dní.
Jeden nový kontejner každých patnáct minut musela během té doby firma odbavovat doslova a do písmene ručně. Převzít, zaevidovat, správně umístit v obrovských překladištích, znovu vyzvednout, odepsat, předat, poslat dál... Ztráty se jen v Maersku odhadují na 300 milionů dolarů.
Také u nás v jistém ohledu nechvalně známá firma Mondelēz (kauza nekvalitní piškoty) se stala obětí vyděračů. Její továrny, kde se vyrábí cukrovinky Cadbury, ochromila Nopetya. Celkem 1 700 serverů a 24 tisíc počítačů bylo kvůli útoku odstaveno v roce 2017. Firma se o náhradu škody, kterou vyčíslila na 100 milionů dolarů, soudí s pojišťovnou dodnes. Verdikt se očekává v následujících týdnech. Zajímavostí je, že pojišťovna odmítla firmu odškodnit s tím, že jde svým způsobem o kybernetickou válku (viníkem jsou pravděpodobně hackeři z Ruska) a na tu se pojistka Mondelēzu nevztahuje.
Útok na lanovku a podvržený telefonát
Také u nás se vyskytují „zajímavé“ útoky. Jeden takový ochromil podle dostupných informací například exekutorský úřad, kde zničil velké množství zálohovaných dat. Virus se rozšířil pravděpodobně přes podvržený e-mail s infikovaným odkazem. A protože na tento typ úřadu chodí opravdu různé zprávy psané někdy opravdu zvláštní češtinou, nebyl to zřejmě ani pro útočníky z ciziny velký problém.
Proč je nevyžádaná pošta plná chyb? Aby na ni reagovali jen troubové |
Útoky pomocí škodlivého softwaru jsou někdy až neuvěřitelně sofistikované. V jedné britské firmě obdržel zaměstnanec e-mail od svého šéfa, aby zaplatil fakturu jiné společnosti do Maďarska. Nezdálo se mu to, tak nadřízenému zavolal a ten mu transakci schválil.
Ve skutečnosti se firma stala terčem útoku ransomwarem a takzvané deepfake voice technologie. Zaměstnanec totiž vůbec nehovořil se svým šéfem, ale s robotem, který hlas jeho nadřízeného včetně lehkého německého přízvuku dokonale napodobil. Škoda 243 tisíc dolarů. Jak takzvané deep fakes fungují, si můžete přečíst v tomto článku.
Ne vždy naštěstí stihnou hackeři zranitelnosti systému využít. Některé chyby v systémech totiž odhalí takzvaní „white hackers“ neboli etičtí hackeři, kteří se hledáním zranitelností zabývají proto, aby na ně potenciální oběti dopředu upozornili. Tak to bylo i v případě kabinové lanovky v Patscherkofelu v Rakousku, jejíž kompletní ovládací systém byl volně přístupný přes internet. Kdokoliv tedy mohl změnit nejen směr jízdy lanovky, ale i její rychlost.
Některé firmy se právě s pomocí etických hackerů snaží útokům předejít. Už během vývoje a při samotném spuštění je nasadí na své nové systémy. Oni pak hledají zranitelnosti a reportují je. Mezi takové hackery patří i Keren Elazari, která o tomto přístupu na akci Acronis Global Cyber Summit 2019 referovala.
"Hackers can actually be the immune system for our connected reality" Researcher, friendly hacker and @TED talk speaker @k3r3n3 on how the best defense is a friendly offense.
Get #CyberFit at the #AcronisCyberSummit https://t.co/3pyTx1kgD3
Od města chtějí milion, od vás třeba „jen“ dolar
Stačí jeden infikovaný e-mail a nepoučená nebo příliš zbrklá obsluha, která klikne na link, z něhož se do systému nahraje virus. Klasickým a přesto stále velmi častým způsobem, jak se škodlivý software do firemního, ale i soukromého počítače dostane, je podle Gajdara Magdanurova z Acronisu nakažený přenosný USB disk. I do relativně zabezpečené sítě se takto dokáže virus dostat. Podle Magdanurova jsou relativně časté i případy, kdy vnitřní síť infikuje donesený notebook z domova, který se na ni připojí.
Nakazit se dá jednoduše i přes veřejnou wi-fi síť, kdy se do systému stáhne „aktualizace“ nějakého v počítači nainstalovaného programu, ale ve skutečnosti jde o virus. Pokud z roztržitosti takový soubor otevřete, jste nakaženi.
Legendární je případ útočníků, kteří přes podvrženou aktivační stránku veřejné wi-fi sítě v argentinské pobočce Starbucksu těžili za pomoci výkonu notebooků připojených zákazníků kryptoměnu Monero.
Ve výjimečném případě dokonce dokázali útočníci na firemní akci fyzicky přerušit drátové připojení k internetu z vedlejší místnosti a podvrhnout jej vlastním systémem.
Lidským chybám se ve většině případů nedá předejít. Dokonce ani Pentagon není vůči napadením hackery zcela imunní. První zneužitelnou zranitelnost našli účastníci akce Hack the Pentagon pořádané iniciativou HackerOne během třinácti minut od startu. Je však rozdíl v tom, když hacker sice entitu dokáže napadnout, ale bezpečnostní kybernetická ochrana mu neumožní napáchat větší škody, nebo když úspěšně zašifruje veškerý obsah a zastaví chod úřadu nebo továrny.
Hack the Pentagon
Nejčastější chyby, bez kterých by útočníci nemohli být úspěšní, spočívají ve špatném nastavení zálohování a obnovy dat. Nejvíce postižené oběti navíc neměly ani bezpečnostní software, který by neobvyklou činnost ransomwaru včas rozpoznal, natož rovnou zastavil.
A netýká se to jen firem, úřadů a velkých institucí, jak varuje expert na kyberbezpečnost Gajdar Magdanurov: „Hackeři se pokaždé nesnaží získat milion dolarů najednou. Stále častější jsou útoky, kdy ten milion sbírají od jednotlivců třeba po dolaru.“
Automatizace díky umělé inteligenci totiž dorazila i sem. Hackeři tak mají nástroje, kterými dokážou naráz oslovit obrovské množství potenciálních obětí a donutit je například, aby požadovanou částku za elektriku nebo vodné a stočné zaplatili na „jiný“ účet. Stačí v pravou chvíli podvrhnout e-mail v komunikaci mezi zákazníkem a poskytovatelem služby.
Oběť nemá šanci cokoli poznat až do chvíle, kdy jí přijde upomínka nebo přestane téct voda. „Dosud se hackerům nevyplatilo útočit na lidi jako jsem já nebo vy. S novými technologiemi však už ano,“ varuje Magdanurov.
Řada obětí se také stane terčem útoku víceméně omylem. Nakazí se z pracovního počítače, otevřou soubor nebo přílohu v mailu, který nebyl určen pro ně, atd.
Jak správně zálohovatTři, dva, jedna a máte problém. Nebo také ne, pokud zálohujete správně |
„Platí, že pokud máte správně nastavenou ochranu, zálohování a obnovu dat, dozvíte se o útoku ransomwaru v nejlepším případě jen ze systémové hlášky bezpečnostního programu. Na funkci vaší firmy pak nemusí mít útok zásadní vliv. Pochopitelně, ne pokaždé je obrana takto účinná. Právě u podvržených dat, e-mailové komunikace apod. je klíčové včasné rozpoznání nákazy,“ vysvětluje Magdanurov.
Tradiční a mnohde dodnes používaný způsob zálohování probíhá v předem nastavené časy (psali jsme například zde). Samotné zabezpečení systému pak v tom nejhorším případě řeší jiná utilita spadající pod jiné firemní oddělení. Když pak dojde k napadení systému několik hodin od zálohy, je v nejlepším případě možné obnovit jen data stará právě těch několik hodin. Navíc nikdo nemůže s jistotou vědět, zda obnovená data jsou skutečně ta originální a nikoliv podvržená nebo modifikovaná útočníkem.
To samé platí v okamžiku, kdy se napadený rozhodne vyděračům zaplatit a získá od nich dešifrovací klíč (většinou jej opravdu pošlou). Otázka, zda data, která opětovným rozšifrováním získal, jsou ta pravá, je zcela na místě.
Moderní bezpečnostní systémy mají aktivní ochranu se systémem umělé inteligence, která rozpozná nepatřičné chování a nechtěnou modifikaci dat (šifrování a další změny) a pokusí se zastavit útok viru hned na začátku. Pokud dojde ke ztrátě dat, obnoví je automaticky ze zálohy, která se vytváří v reálném čase (více zde). Nedojde tak ani ke ztrátě dat ani k časové prodlevě.
Aby měl uživatel jistotu, že při obnově dat získá zpět opravdu svá data a nikoliv podvržená, využívá například Acronis systém Blockchainu. Ten, zjednodušeně řečeno, zaznamenává na všech místech všechny operace, které v čase v celé síti proběhnou.
Acronis integroval Blockchain do svého řešení Acronis Notary, které veškerá data v každém okamžiku opatří jakýmsi otiskem prstu (hashcode) a časovým razítkem. V případě, že dojde ke změně dat, lze v zapsaném řetězci událostí vždy vyhledat, jak k těmto došlo a rozhodnout se, zda byly tyto změny chtěné, nebo nikoliv.
Když máte špatná data, uděláte špatné rozhodnutí
Právě modifikace a podvržení dat je nový směr, kterým se útočníci využívající škodlivý software podle Magdanurova aktuálně vydali. „Dám vám jeden skutečný případ jednoho velmi bohatého obchodníka, investora a veřejně známého člověka, kterému útočníci hacknuli e-mailový účet. Postupně jej během několika měsíců pomocí řady podvržených dokumentů a zpráv donutili zaplatit více než pět milionů dolarů. Oběť si přitom celou dobu myslela, že dělá přesně to, co sama chce. Podvod odhalila až zpětně,“ vysvětluje bezpečnostní expert.
Podvodné e-maily, takzvané scamy, tedy už dnes nejsou rozhodně jen doménou „nigerijských gangů“ a psané neuvěřitelně špatnou angličtinou nebo češtinou. Data jsou klíčová pro rozhodování a pokud je na nich například založená i firemní AI, může mít jejich podvržení pro společnost fatální následky.
Pokud navíc nemá oběť zajištěnu verifikaci pravosti obnovených dat, nikdy se nedozví, kdy a jak se útočníci do systému dostali, co přesně v něm napáchali a zda nejsou ještě někde schovaní.
Ransomware útok se dnes dá koupit relativně běžně na internetu jako služba (RaaS). Schopný automat pořídíte už za cenu kolem 750 dolarů. Útočníci tak už ani nemusí být zdatnými programátory. Tato zbraň se dostává do rukou prakticky každému zájemci a dokáže ji použít i naprostý IT analfabet.
Autoři škodlivých softwarů stále častěji masivně využívají takzvanou „zero day vulnerability“ - zranitelnost nultého dne. To je bezpečnostní skulina, která je v programu přítomna ve chvíli, kdy je dán k dispozici zákazníkům. A jak říká šéf společnosti Acronis Serguei Beloussov, „neexistuje software, který by takovou zranitelnost neměl.“ Právě touto skulinou (bez ohledu na to, zda se bavíme o Windows, iOS nebo jiném operačním systému či programu) se protáhne ransomware do systému. Nemusí škodit hned. Právě naopak, obvykle čeká, klidně i dlouhé měsíce na správnou chvíli a teprve pak udeří.
