Digitálne omyly

Jerguš Moravčík

Nie som pre nikoho zaujímavý cieľ

Tento omyl súvisí s neznalosťou bežných pohnútok útočníkov. Tu je niekoľko možných dôvodov, prečo niekoho hacknúť:

  • Chcem niekoho ošklbať alebo zničiť.
  • Chcem ošklbať niekoho konrétneho.
  • Chcem od niekoho získať informácie.
  • Chem použiť niečie prostriedky.
  • Chcem sa pobaviť.
  • Chcem vystupovať pod inou identitou.

K ošklbaniu – okrem možnosti krádeže si treba uvedomiť, že vydierať je možné aj toho, kto nič nevyviedol. Nástrojom vydierania je hrozba, nie vina.

K informáciám – informácie, ktoré máte o svojich blízkych, známych, o svojom zamestnávateľovi alebo klientoch môžu byť využité na útoky na ďalšie ciele.

K prostriedkom – keď hackeri získali prístup na jeden z počítačov, ktoré som mal na starosti, zistil som, že na tom web serveri bolo pridaných zopár filmov. Bolo to to nelegálne, ale zatiaľ tam bolo menej ako desať filmov. Mohli však využiť náš server, aby na ňom poskytovali napríklad detské porno alebo iný nelegálny obsah. Trestná zodpovednosť by podľa vtedajších zákonov bola na pleciach konateľa našej spoločnosti.

Napadnuté zariadenia môžu byť použité aj na dolovanie kryptomeny alebo na útok na iný cieľ.

Každý môže byť cieľ.

Niektoré riziká sa dajú znížiť naším správaním

Podobne ako bezpečná jazda znižuje riziko nehody, bezpečné správanie môže znižovať riziko, že sa stanem obeťou úspešného útoku. Dobré rady a zrozumieteľné vysvetlenia môžete nájsť na stránkach Jak na internet, infosecinstitute.com, verizon.com.

Aktualizácie programov sa robia, aby sa programy zlepšili, aby sa v nich opravili chyby alebo plátali bezpečnostné diery. Aktualizované systémy spravidla kladú útočníkom väčší odpor, než neaktualizované. Aj pri kúpe nového mobilu sa môžete spýtať, či bude váš nový prístroj dostávať aktualizácie hneď, ako ich tvorcovia programov/appiek/operačného systému zverejnia. Nie je to úplne bežná prax, ale ak sa na to zákazníci nebudú pýtať, nezlepší sa to.

Používajte antivírus/antimalvér.

Zálohujte! Najlepšie na médium, ktoré je normálne vypnuté a odpojené od počítača.

Používajte poriadne heslá. Silné heslo nemusí byť nezapamätateľné. Napríklad: nechceSA-MIvy myslat35 má celkom dobré skóre z hľadiska bezpečnosti. Dnes máte možnosť používať špecializované produkty na správu hesiel. V niektorých prípadoch sú zadarmo a umožnia vám používať ťažko uhádnuteľné heslá. Napríklad Keepass môže fungovať na počítači, v mobile a dá sa prepojiť aj s prehliadačom, aby sa zadávanie mena/hesla uľahčilo. Nechať však program dosadzovať prihlasovacie údaje automaticky nie je celkom šťastné, lebo stránka útočníka môže zmiasť dosadzovací plugin a môže tak tieto údaje získať bez pričinenia používateľa. Ukladanie hesiel vo webovom prehliadači by malo byť zakázané zákonom. To je môj osobný názor, ale väčšina bezpečnosttných rád, či firemných nariadení, s ktorými som sa stretol sú jasne proti ukladaniu hesiel v prehliadači.

Každé heslo používajte na jediný učel.

Používajte bezpečné pripojenie na internet. Ak je to Wifi, tak čo najlepšie zabezpečená. Na verejne dostupnej Wifi (obchodné centrá, autobusy, letiská...) sa neodporúča robiť nijaké citlivé operácie (pripájanie na internet banking, práca s e-mailami, ...).

Neinštalujte si zbytočne programy alebo pluginy. A ak ich naozaj chcete vyskúšať, nezabudnite ich po vyskúšaní zmazať.

Ak zadávate citlivé údaje (meno, heslo, osobné údaje) cez prehliadač, mali by ste mať jasno v tom

  1. Načo ich tam dávam.
  2. Je moje pripojenie bezpečné? Za každých okolností by ste mali byť pripojený šifrovaným spojením (https), čo prehliadače potvrdzujú zobrazením zámku pri adrese webovej stránky.
  3. Som pripojený tam, kde si myslím, že som pripojený? Napríklad: Podvodný mejl (phishing) sa vás snaží presvedčiť, aby ste si preverili nové transakcie na svojom konte, alebo aby ste si zmenili heslo na e-mail, a presmeruje vás na stránku, ktorá sa podobá na originálnu, a vy mu pošlete svoje prihlasovacie údaje vo viere, že sa prihlasujete.

Nehanbite sa blokovať vyskakujúce (pop-up) okná a reklamy (Adblock). Vždy ich môžete povoliť pre weby, ktorým chcete umožniť získať prostriedky na prevádzku za zobrazovanie reklám.

Byť zvedavý môže byť užitočné

  • Odkiaľ som dostal ten e-mail?
  • Prezerám sa na stránku cez šifrované spojenie?
  • Kto mi poslal SMS s adresou na internetový prieskum?
  • Načo chce tá pani vedieť, v ktorej banke mám konto?
  • Musím platiť kartou, alebo môžem prevodom?
  • Služba tvrdí, že je lepšia. Lepšia než čo? Trieska pod nechtom?
  • Dostal som e-mail od človeka, ktorý sa mi zobrazuje ako odosielateľ?
  • Načo potrebuje appka zobrazujúca predpoveď počasia prístup ku kamere, mikrofónu a kontaktom v mojom telefóne?

Nevyhľadávam správy o únikoch informácií o platobných kartách, osobných údajoch klientov, či prístupových údajov rôznych služieb cielene, ale aj tak o nich čítam aspoň tri- štyrikrát ročne. Keď nemusím, neplatím kartou na webe – čiže na webe neplatím kartou vôbec. Ak služba poskytuje platenie cez portál mojej banky, používam ten.

  • Pred zadaním citlivých údajov zvážte, či tí, čo si ich pýtajú, majú právo si ich pýtať a či ich naozaj potrebujú.
  • Pred zadaním citlivých údajov vždy skontrolujte, či ste na stránke s bezpečným pripojením, a či je adresa stránky naozaj tá, ktorú očakávate.

Dôveryhodný e-mail

Dostal som e-mail, ktorý vyzeral ako riadne odoslaná správa, ktorú som napísal ja. Autor sa ma snažil vydierať. Tvrdil, že má prístup do môjho počítača, a že ma má natočené na má nakrúteného na nejakých nelichotivých videách. Tým priamo potvrdil, že sa mi do počítača nedostal – na svojom počítači másom prelepil kameru hneď, ako som sa presvedčil, že funguje. Keby sa naozaj niekto dostal do môjho počítača, vedel by, že z neho video nevyrazí. Bolo ale jasné, že útočník má možnosť vytvoriť dôveryhodne pôsobiaci e-mail, ktorý vyzerá, že som ho napísal ja. Nemohol sa ale dostať k mojim prístupom na internet banking, ani k iným osobným či pracovným údajom. Telefonát poskytovateľovi pošty overil, že toto isté sa stalo mnohým jeho klientom.

Ako prísť o všetko

Už neviem, ako konkrétne som sa dostal k tejto informácii, ale správy z digitálneho sveta sledujem pomerne pravidelne a kdesi som narazil na tento príbeh.

Hackerov zaujala jeho trojpísmenová prezývka na Twitteri. Pretože práve čakal dôležitý hovor, okamžite zistil, že sa mu vypol mobil. Telefón (iPhone) sa z neznámych príčin začal dožadovať základných informácií, ako to býva pri prvom spustení nového telefónu. Pokúsil sa prihlásiť do iCloud, aby mohol dať obnoviť stav zo zálohy, ale jeho heslo nefungovalo. Náhodou urobil celkom nedávno zálohu do počítača (Apple), tak pripojil iPhone k počítaču a pustil ho. Vyskočila mu správa, že jeho sa nefunguje pripojenie na jeho gmailové konto a potom obrazovka zošedla a počítač sa dožadoval PIN kódu.

Mat nemal nijaký PIN. Až doteraz si myslel, že iPhone sa iba aktualizoval a to trochu rozhodilo systém. Nakoniec sa ukázalo, že všetky jeho Apple zariadenia boli premazané pomocou služby na ochranu proti krádeži.

Na Matovom Twittri sa začali objavovať rasistické a homofóbne príspevky, ktoré mu začali úspešne kaziť povesť. Urobil si druhé konto, aby mohol svoje kontakty upozorniť, že tie svinstvá nepíše on.

Nakoniec si ho všimli ľudia, ktorí ho hackli a jeden ho kontaktoval. Po sľube, že ho nebude prenasledovať, mu hacker povedal, ako to celé vzniklo. Zapáčila sa im prezývka na Twitteri, na jeho twitterovom konte bola uvedená linka na jeho osobnú web stránku, kde našli jeho gmailovú adresu. Keďže Mat nemal nastavenú dvojfaktorovú autorizáciu (prihlásenie podmienené zadaním kódu, ktorý dostane v SMS do telefónu), hackerovi sa zobrazila sekundárna adresa Mata Honana. Nebola vypísaná úplne celá, ale bola ľahko odhadnuteľná m...n@me.com.

Teraz potrebovali Matove platobné údaje. Príkaz whois zobrazuje verejne dostupné informácie o webstránkach. Tie, čo sa používajú aj pri fakturáciách. Druhý hacker zistil, že Mat má konto na Amazone, zavolal tam a tvrdil, že je vlastník konta, a chce ku kontu zaregistrovať ďalšiu platobnú kartu. Na overenie treba názov konta, e-mailovú adresu, ktorá je s kontom registrovaná a účtovné informácie (adresa, telefón, …).

O pár minút zavolal znova, s tým, že zabudol heslo, a chce ho zmeniť. Uvedie údaje o konte a na záver uvedie dôverné údaje z karty, ktorú ku kontu práve zaregistrovali, čo stačilo, aby ku kontu pridal nový e-mail. To im umožnilo vyžiadať zmenu hesla na Amazone, ktorý potom zobrazil v údajoch o konte čiastkové údaje o ozajstnej Matovej karte. Iba posledné štyri číslice. Také informácie o sebe trúsime bežne, keď platíme kartou – cez internet, kuriérovi, v reštaurácii, v obchode. Už získané údaje spolu so štyrmi číslami umožnili získať prístup k Apple ID. Tým získali prístup ku kontu, ktoré bolo ako záložné pre gmailové konto. A gmailové konto ich dostalo k twiterovému kontu… Premazanie všetkých zariadení od Apple bolo len na ukážku, a zároveň na zahladenie stôp – zrejme sa tam postupne zaznamenávali zmeny na Matových kontách.

Mat tam mal prácu, fotky z prvého roka života svojej dcéry, posledného roka niektorých svojich príbuzných, všetko stratené. O všetko prišiel, lebo hackera zaujala jeho prezývka na Twitri.

Dobrá správa je, že sa mu aspoň niektoré dáta podarilo získať z iCloudu späť.

Internet vecí (IoT)

Posadnutosť technológiami sa pomaly blíži k stavu, keď sa budú úspešne predávať aj použité použité papierové vreckovky, ak budú mať pripojenie na internet (IoT). Na sieť sa snažia pripojiť virtuálni asistenti v mobiloch, počítačoch, chladničky, autá, hriankovače, svetlá, domácnosti, dávkovače kŕmenia či zábavy pre domáce zvieratá, … Výrobcovia často investujú svoje prostriedky do zaujímavých funckcií zariadení, ale už nie do ich bezpečnosti, takže tie sú vítaným cieľom hackerov.

Keď sa niekomu podarí ovládnuť tisíce takýchto zariadení, môže pomocou nich zahlcovať servery a spôsobovať výpadky ich služieb. Niekoľkohodinový výpadok serverov, od ktorých môžu závisieť zisky spoločností, môže znamenať obrovské škody. Programy, ktoré sú v IoT zariadeniach sa spravidla neaktualizujú a niekedy obsahujú prístupy, ktoré sa dajú zistiť, a nemusia sa dať zmeniť. Človek, ktorý tieto prístupy pozná, ich môže využívať na svoje účely.

V roku 2018 vyšla správa, že isté kasíno bolo hacknuté cez teplomer v akváriu vo vstupnej hale. Nebezpečné zariadenie sa pripájalo do siete kasína, a dalo sa doň dostať zvonka. Útočník sa ho zmocnil, podarilo sa mu dostať do databázy hráčov kasína (osobné údaje, zrejme finačné údaje, obraty v kasíne, …)

V tejto chvíli mi nenapadá iná možnosť zmeny tohto stavu, než súdy poškodených majiteľov týchto zariadení, alebo – nekupovanie nezabezpečených IoT zariadení. Tá druhá možnosť je pravdepodobne nereálna, v prvom prípade asi bude treba, aby vysúdené odškodné bolo také veľké, aby sa výrobcom viac oplatilo investovať do zabezpečenia, než do vyplácania odškodného na súdoch.

Mimochodom, niektoré robotické vysávače posielajú výrobcom pôdorysy priestorov, v ktorých pracujú. To môže znieť neškodne – výrobca môže skúsiť vylepšiť fungovanie vysávača, ak vie, v akých priestoroch sa najčastejšie používa. Ale ako je zabezpečný prenos týchto údajov? Sú uložené bezpečne? Čo ak sa k nim dostane neoprávnená osoba, napríklad zlodej. Môže zistiť pôdorysy bytu, rozloženie nábytku v čase prípravy krádeže.

Chytré televízory pripravené na telekonferencie obsahujú videokameru a mikrofón a spravidla sú nonstop pripojené na sieť. Môže sa do nich niekto nabúrať? Môžu ma odpočúvať, snímať v mojom súkromí? Mám doma televízor bez kamery, ktorý už roky nemá ako byť aktualizovaný, lebo výrobca nemá záujem udržovať pri živote môj desaťročný televízor. Preňho je totiž výhodnejšie, ak si kúpim nový.

Ukážky, že je možné hacknúť moderné auto, a zasiahnuť do riadenia či motora, boli predvedené už pred rokmi, a z času na čas sa objavia nové prípady. Plynový pedál už dávno funguje, ako vstup pre palubný počítač, ktorý sa rozhodne, koľko benzínu a vzduchu má poslať do motora. A auto je schopné pripojiť sa na internet.

Ako ukradnúť 800 000 000 $

Banka v Bangladéši v rámci šetrenia kúpila použité routery (aktívne sieťové zariadenia). Hackeri využili zero-day zraniteľnosť v týchto zariadeniach. Zero-day zraniteľnosť je bezpečnostná chyba, o ktorej výrobca nevie, alebo ju aspoň neopravil, takže systém je zraniteľný. Hackeri v systémoch banky postupne získali nástroje a údaje, ktoré potrebovali a začali robiť prevody.

Pri kontrole prevodu dvadsiatich miliónov dolárov si zamestnanci Deutsche bank všimli preklep v údajoch o prijímateľovi peňazí. Overili si transakciu v bangladéšskej banke, kde sa začala, a táto banka potom zrušila nikoľko ďalších transakcií. Ukázalo sa, že v pláne bolo previesť 850 miliónov dolárov. Osemdesiat miliónov sa hackerom podarilo previesť už predtým.