O vzdělání

Je možné „hacknout“ a kompletně vykrást autorizační údaje za 30 sekund?

Myslíte, že to není reálné? Bohužel, reálné to je... Jen to vždy nemusí trvat 30 sekund, ale třeba i 5 minut a musíte si na to připravit, jak se říká, půdu pod nohama. Sám jsem byl svědkem tohoto tzv. vykradení, které netrvalo více než právě těch 30 sekund. Když jsem si to poprvé vyzkoušel sám naživo (samozřejmě v LABu kopírujícím reálné prostředí, jinak bych páchal trestný čin), byl jsem překvapen rychlostí a účinností tohoto útoku. 

Počáteční nadšení nad rychlým úspěchem získání přihlašovacích hash(ů) ale po chvilce vystřídalo jemné mrazení v zádech a následně zděšení nad představou, kolik asi systémů v ČR a na světě používá NTLM autorizaci. Tenhle případ totiž není o „díře" v OS nebo nějaké zranitelnosti specifické aplikace na serveru, koncových stanicích, nebo specifickém OS. Tady jde o „chybu" v návrhu zabezpečení komunikace NTLM protokolu. Jenže jak chcete bránit svou síť proti něčemu, co nevíte, jak vypadá, jak funguje, a že to vůbec existuje? Logicky nijak. Přirovnal bych to k jednomu českému přísloví: „Co oči nevidí, to srdce nebolí". Převedeno do řeči IT: „To, že o bleše ve vašem kožichu nevíte, ještě neznamená, že tam není". Ani byste nevěřili, kolik firem se tím prvním příslovím řídí a kolik takových blech v českých sítích běhá (a to vycházím jen z osobních zkušeností).

 

Dnešní hacking je diametrálně jiný, než jaký býval před pár lety. Nikdo ze skutečných hackerů a skupin už nemá potřebu někomu dokazovat, že je lepší, že toho umí víc než ostatní. Nebo se chlubit, co hacknul a kam se naboural (pokud to není záměr, tzv. hack na zakázku - např. s politickým podtextem, nebo jen pro demonstraci síly atd.). Pro ty ostatní „pseudohackery", nazývejme je spíše „script kiddie", a jejich nutkavou potřebou exhibicionismu, jsou rájem sociální sítě a veřejné blogy, kde se to jimi jenom hemží. Skutečný hacker se pak především řídí heslem: „Čím tišší a nenápadnější budeš, tím více toho uslyšíš". A proč? Protože to, co uslyší, jsou informace a informace jsou peníze. Každá informace má svou cenu a svého kupce. Když ne teď hned, tak později. A čím déle dokážete skrytě poslouchat, tím jste zákonitě bohatší. A to je také důvod, proč stále častěji objevujeme sítě, ve kterých je roky uhnízděn polymorfní malware, a přesto si toho celou dobu nikdo nevšiml. Proč asi?

 

Vše je závislé na úhlu pohledu

 

Dnes už snad neexistuje (alespoň pevně doufám) organizace (ať už soukromá, nebo státní), která by neměla nějaké „zabezpečení" své sítě. Někdo lepší, někdo horší. Jenomže skutečná bezpečnost není o tom, jak kvalitní máte např. firewall, ale jak kvalitního máte administrátora, který daný firewall a bezpečnostní politiku firmy nastavuje a tvoří.

 

V době, kdy přichází v platnost směrnice GDPR a drakonické pokuty za únik osobních dat, se role z pohledu bezpečnosti zásadně mění. Zkusme se na to podívat ze tří úhlů pohledu. Z pohledu uživatele, hackera a majitele společnosti (i stát je majitelem – zřizovatelem organizací pracujících s osobními daty).

 

Z pohledu běžného uživatele sítě se rozhodně zaraduji, neboť konečně bude někdo zacházet s osobními údaji tak, jak má, a ne je zneužívat pro spam, telefonické nabídky zboží nebo s nimi např. obchodovat, jako se tomu děje nyní.

 

Z pohledu hackera se rozhodně zaraduji také, protože se tímto vytvořil nový prostor na poli kyberzločinu, je tu nová „generace vydírání“. Už nepotřebuji hacknout desítky vašich počítačů, ukradnout vám fotky, dokumenty, nebo šifrovat disky, zamést za sebou stopy a doufat, že o ta data fakt tak stojíte, že mi za ně zaplatíte. Stačí mi hacknout pouze jeden stroj - centrální uložiště, server, personální DB, CRM nebo cokoliv jiného, kde jsou osobní data (kohokoliv) pěkně pohromadě a v tichosti, nepozorovaně data vyexportovat ven. Pak už jen stačí napsat vyděračský dopis s tím, že když mi nezaplatíte nějaký ten bitcoin, zveřejním ukradená osobní data na nějakém webhostingu a pošlu odkaz na UOOU. A UOOU (Úřad pro ochranu osobních údajů) se už postará o „tučnou odměnu“ pro vás za únik a nedostatečnou ochranu osobních údajů. Takže buď zaplatíte mně, jako hackerovi, a nikdo se nic nedozví, nebo zaplatíte UOOU a s velkou pravděpodobností ztratíte minimálně svůj kredit spolehlivé, důvěryhodné společnosti.

 

Z pohledu majitele společnosti se patrně nejprve rozčílíte a ve vzteku vyhodíte pár lidí z IT a ostatním zrušíte odměny do konce roku. Pak si nejspíš popláčete nad výší výkupného se slovy „proč zrovna já“, ale nakonec tomu hackerovi stejně rádi zaplatíte. Jednak bude chtít menší částku, než by byla pokuta, a vlastně se to pak ve výsledku ani nikdo nedozví…. A začnete hledat nového „ajťáka“. To ale vůbec nic nevyřeší, protože díra ve vašem systému je dál a ten, co o tom věděl nejvíc, dostal výpověď. Jenže když zaplatíte jednou, je velmi pravděpodobné, že zaplatíte i podruhé. 

 

Lesk a bída českého internetu

 

Bohužel stále platí, že výdaje, které soukromé firmy nebo státní organizace vynakládají na kybernetickou bezpečnost, jsou buď naprosto nedostačující, anebo často neúčelně vynaložené. Kybernetická bezpečnost je stále ještě „Popelka", která něco dostane, jen když něco z rozpočtu zůstane. Bohužel ve státních institucích stále dost často platí pravidlo, že nejlevnější nabídka vyhrává a v soukromých firmách zase pravidlo, že než to dát na bezpečnost, tak raději vyměníme dozorčí radě společnosti jejich staré mercedesy za nové.

 

Jenže v kybernetickém světě neplatí, že nejlevnější může být nejlepší, stejně jako nejdražší není často nejlepší. Je to především o tom, že víte, co chcete zabezpečit, jak a čemu čelíte. A podle toho si musíte vybírat příslušnou technologii, kde by cena měla hrát až jednu z posledních rolí v rámci výběrových kritérií. Bohužel tomu tak ve většině případů není a podle toho taky vypadá kybernetická bezpečnost v ČR. Doufejme jen, že díky GDPR a kybernetickému zákonu, se blýská na lepší časy.

 

Kybernetická bezpečnost není jenom firewall na perimetru. Má-li za něco stát, musí se řešit koncepčně jako celek, nikoliv jen formou záplat na nejviditelnější díry v síti. Tzn. fyzickou bezpečností objektu počínaje a krizovým managmentem konče. Ale to vše je především o lidech a investicích do jejich rozvoje, vzdělání, znalostí a dovedností, protože oni jsou ti, kdo tuto bezpečnost koncipují, tvoří a uvádějí v život.

 

Firewall, DLP, sondy, segmentační firewall, IPS, AV, DDos řešení a mnoho dalších technologií ochrany sítě jsou jen nástroje ve vašich rukou, které vám s nastavením bezpečnosti sítě pomohou, ale neudělají ji za vás. A když bezpečnost vaší sítě navrhnete špatně, velmi pravděpodobně bude i špatně čelit kybernetickým útokům.

 

A teď ruku na srdce. Jak chcete vytvářet skutečně funkční bezpečnostní politiku, která má chránit organizaci proti specifickým kybernetickým útokům, když ani nevíte, že takové útoky vůbec existují a jak fungují? Odpověď už nechám na každém z vás...

 

Alois Andrýsek – Senior Security System Engineer a Certified Ethical Hacker ve společnosti Veracomp s.r.o.

 

V naší Veracomp Academy se to pro změnu hemží různými kurzy nejen z oblasti IT bezpečnosti. Najdete tu školení obchodní, technická, speciální certifikační kurzy na konkrétní výrobce, kurzy etického hackingu, školení soft skills a další zajímavá témata. Mrkněte do našeho kalendáře anebo rovnou na vypsané kurzy.