Proč se obtěžovat, stačí být přesvědčivý

Hackování v tradičním slova smyslu se sice permanentně vyvíjí, avšak reálně bude jeho důležitost klesat, snad s výjimkou potenciálu útoků na kritickou infrastrukturu.

Proč to tak bude? Jednoduše proto, že hacknout podnikové systémy, obzvláště s kvalitním zabezpečením a schopným IT administrátorem, je velmi těžké. Mnohem snazší je zneužít naivitu či neznalost pracovníků. S nízkou digitální gramotností a rafinovanějšími metodami sociálního inženýrství roste nejen počet phishingových útoků, ale také hrozba takového, při kterém zločinec reálně fyzicky pronikne do firmy.
Během dubnového slavnostního otevírání Laboratoře etického hackování na ČVUT představili místní studenti zabývající se kybernetickou bezpečností zajímavou modelovou situaci. Představte si zločince, který si z veřejných zdrojů najde maximum informací o firmě. Má zkušenosti z korporátního prostředí, je sebevědomý, působí důvěryhodně a ví přesně, jak se chovat – elementární znalosti psychologie a sociologie mu postačí spolu s trochou "pouličního rozumu".

PHISHING I ZÁKLADY PSYCHOLOGIE

Vstoupí do budovy firmy, samozřejmě jsou tam pípačky, možná výtahy na kartu. Není nic jednoduššího, než přijít mírně naštvaně na recepci, rychle vysvětlit, že si zapomněl kartu, netrpělivě čekat a hrát trochu na city a trochu na aroganci: a věřit, že jej recepce pustí dál.
Pokud se mu to podaří, stačí najít volný počítač a nijak nevybočovat z anonymního davu pracovníků. V open space s desítkami či stovkami zaměstnanců to není vůbec žádný problém, obzvláště v době častých změn zaměstnání, jaká panuje dnes.
A ano, přes recepci by se pravděpodobně dostal. Studenti uvedli příklad bezpečnostního výzkumníka se znalostmi sociologie, který se tímto způsobem pokusil do nejmenované velké korporace proniknout. Úspěšně se mu to podařilo, zasedl k prvnímu nezabezpečenému počítači a stáhl si na Flash disk data, která potřeboval; kdyby chtěl, mohl i jakákoliv nahrát zpět.
Za pouhých 15 minut byl venku a splnil, co potřeboval. Nač složitě hledat zranitelnosti a snažit se proniknout firewallem? Stačí prostě přijít a udělat, co potřebuji.
A to není jediná účinná forma sociálního inženýrství. Starý známý phishing stále žije, avšak prošel evolucí: už není hloupým, zcela nedůvěryhodným e-mailem se špatnou gramatikou a polámaným jazykem, v němž vás nigerijský princ prosí o poskytnutí bankovního účtu, na nějž vám za malý poplatek pošle miliony dolarů. Tedy je, ale to je ta nejzákladnější forma. Specificky cílený phishing (je mimochodem škoda, že český pojem rhybaření se nikdy pořádně neuchytil) je dnes mnohem efektivnější, důmyslnější a hlavně dokáže zmást i ostříleného uživatele, nejen člověka nepoznamenaného internetem.
Je to vlastně jednoduché. Stačí zjistit, jak probíhá např. komunikace mezi dodavatelem a odběratelem. Dostat se alespoň částečně do systému malé firmy mnohdy bývá poměrně realistické a rychlé, na rozdíl od gigantického kolosu s cutting-edge zabezpečením, a představuje tak určitou přijatelnou vstupní bránu. Jsou i jiné metody, například se spřátelit se zaměstnancem a zjistit, jak ta komunikace probíhá "postaru". Poté nastává doba studování e-mailů, příloh, ideálně faktur.
Následuje zfalšování e-mailové adresy, aby alespoň zběžně připomínala originál, což standardně není žádný problém. Připojí se věrohodný, naprosto běžný text, který nikdo nebude číst dvakrát, a přílohu v .docx nebo v .pdf či v .xlm, samozřejmě infikovanou ransomwarem (ideálně Visual Basic skript ve Wordu) a úspěch je velmi pravděpodobný.
Někdy dokonce stačí jen e-mail otevřít a systém je infikován; nejde o nic výjimečného nebo neobvyklého.

RANSOMWARE JE JEN DŮSLEDKEM

Malware, ransomware a všelijaké viry jsou jen a pouze důsledkem; příčinou navíc nejsou samy zranitelnosti, rozhodně ne tou hlavní, přestože jsou samozřejmě nežádoucí a špatné. Faktem je, že prakticky jakýkoliv software vždy bude mít nějakou tu chybu, kterou lze zneužít, byť se firmy vší silou snaží o to, aby tomu tak nebylo.
Pravda je však taková, že tento "psychologický hacking", sociální inženýrství, které se postupně stává důležitým prostředkem moderních kybernetických zločinců, staví na nízké úrovni porozumění technologiím i všeobecného vzdělání. Digitální gramotnost není taková, jaká by měla a mohla být: už samotný proces vzdělávání je nastaven špatně a nezdá se, že by se měla situace jakkoliv pohnout správným směrem.
Přitom by tento smutný fakt bylo možné změnit a nebylo by to až tak obtížné. Nelze-li se spolehnout na vzdělávací systém, měly by iniciativu převzít firmy, a to i takové, které nemají s IT nic společného; o to právě jde – zneužít společnosti nebo jejich oddělení, jež nejsou s moderními technologiemi zrovna za dobře nebo kterých se to až tolik netýká.
HR nebo účetní či finanční oddělení představují lákavé cíle; stabilní, nepřehledný tok životopisů a faktur z nich dělá snadný a logický cíl.
Opravdu funkční školení, placené lekce, základní osvěta, i to může pomoci.
Jistě, firmu to bude něco stát a je to investice hlavně do nových zaměstnanců, ale vynaložené náklady se mnohonásobně vrátí v podobě jistoty a výrazného snížení možnosti ztráty dat vlivem kybernetického útoku.
Velmi užitečné jsou samozřejmě také zálohy. Firmy vyrábějící antivirové produkty i skutečně na zálohy zaměřené společnosti s ransomwarem počítají; pravidelné, automatické zálohování s využitím nových možností přinesených stále levnějším cloudovým úložištěm jsou cestou vpřed. Nabídka je navíc široká a vybrat si lze i relativně nenákladná řešení, která opětovně mohou pomoci ušetřit vysoké náklady: pokud už se vám ransomware dostane do systému, nebo nedej bože do sítě, prostě obnovíte prakticky aktuální zálohu.
Jednoduché, ale efektivní.

POMOCI MŮŽE BIOMETRICKÉ ZABEZPEČENÍ

Proti druhému typu sociálního inženýrství mohou efektivně působit bezpečnostní metody, kterým v tomto čísle věnujeme velký prostor. Jak popisujeme, biometrické metody ještě zdaleka nejsou zcela bez potíží a lépe poslouží spíše jako součást bezpečnostních řešení než jako hlavní bariéra. Avšak právě pro fyzické proniknutí do podniku jsou extrémně efektivní.
Zločinec se nevymluví na to, že je dlouholetý pracovník, který si zapomněl průkazku – prst nebo obličej si zkrátka doma nenecháte. Není výmluvy, která by mohla uspět. A stačí jedna dvě tři čtečky: u vstupu, u výtahů, u přístupu do jednotlivých oddělení, aby se zamezilo možnosti vniknutí do firmy skrze vyčkání na skupinku pracovníků třeba z oběda a její "infiltraci".
Osvěta, zálohování a biometrie. Pokud si tuto svatou trojici propojíte s kvalitním kybernetickým zabezpečením a schopným IT administrátorem, je vaše firma efektivně v bezpečí jak proti sociálnímu inženýrství, tak proti mnoha dalším moderním metodám nelegálního přístupu do systémů podniku.