Dnes ráno (26.5.2019) jsem se účastnil živého vysílání na CNN Prima News, kde jsme si v pořadu Nové ráno v rychlosti popovídali o tom, na koho a proč útočníci cílí a dal jsem pár velmi základních rad, jak se bránit. Nic nového pod sluncem, ale opakování je matka moudrosti 🙂

Celý rozhovor (video) můžete zkouknout zde: https://cnn.iprima.cz/videa/cnndomaci/i-na-ceske-organizace-utoci-hackeri

Pokud si chcete info jen poslechnout, tak je na světě i podcast pro Vaši oblíbenou platformu: https://anchor.fm/spajk

K počtení

Protože v televizi je čas omezen a ne všechno se stihne/může říci, rozepíši se zde. 🙂 A vezmu to postupně k jednotlivým otázkám, které zazněly v pořadu.

1) Jaké typy útoků cílené na firmy jsou nejčastější?

Pokud nejde přímo o zacílený a objednaný útok, který je spíše výjimkou (náklady), tak útočníci v první fázi hledají dostupné zranitelnosti. Jakmile vhodnou objeví (např. DejaBlue, Heartbleed a další CVE) spustí útok. V případě publikovaných RDP do internetu (dnes je jich v ČR 16,940) se spustí bruteforce a ten bývá bohužel často úspěšný.

Jak se RDP útoku bránit, či jak si ho vyzkoušet se dozvíte zde: https://www.spajk.cz/jak-hacknout-server-pres-rdp-a-jak-tomu-zabranit/

V případě BlueKeep to ani není třeba, u starých verzí RDP je exploitace systému oběti takřka instantní.

Nicméně je třeba říci, že se opouští od masivně šířeného malware a útočníci přecházejí na starou dobrou ruční práci. 🙂 V síti se porozhlédnou, vyeskalují si potřebná oprávnění a pokusí se dostat na co nejvíce kritických bodů (DC, AD, mailserver, backupy, databáze). Jakmile tam jsou začnou často sosat data. A vynášejí je ven třeba maskované za DNS dotazy, které často nikdo nemonitoruje.

To proto, že většina firem se poučila z ransomware kampaní posledních let a začala zálohovat. Útočníky tak často fakovali a když žádali výkupné, řekli jim, že nezaplatí, protože si vše obnoví. To se temné straně pochopitelně nelíbilo a tak přišla s novou strategií – pokud nepotřebujete decryptor, začnou Vás vydírat, že Vaše data zveřejní či prodají konkurenci, nebo medializují, že Vás hacknuli. A to nechcete.

Mimochodem s útočníky se dá i vyjednávat – super článek o tom napsal Martin Haller: https://martinhaller.cz/ransomware/jak-vypada-vyjednavani-o-vykupnem-u-ransomware/

2) A co útoky na běžné uživatele – dřív to byly pokusy o vylákání hesel, jak se mění taktiky útočníků? Jsou vůbec jednotlivci atraktivním cílem?

Jsou. 🙂 Aktuálně při koroně se snaží chabě zabezpečené domácnosti prostřelit, aby odchytali loginy do firemní sítě, pokud někdo pracuje z domova. A nebo se pokusí získat co nejvíce zařízení ve Vaší síti, aby je zapojili do botnetu. Tématu IoT se věnuji v samostatném videu.

3) Vše kolem nás se stává chytré, platby mobilem, chytrá domácnost atd., ale jak v této době udržet svá osobní data v bezpečí?

Těžko. 🙂 Jasně o antivirech do mobilů jsem toho už napovídal hodně, nejen na svých kurzech. Nicméně spíš bych se věnoval tomu, jak ochotně velkým společnostem poskytujeme metadata a bigdata, detaily z našich životů a byť se vydávají za anonymizovaná, tak jakmile těch anonymizovaných dat dáte pár dohromady, máte dosti konkrétní informace o daném uživateli.

Třeba takové chytré hodinky, ze kterých sdílíte na Stravu či do dalších appek veřejně své výkony, kliďánko vyzvoní vše od místa bydliště, přes Vaše oblíbené trasy až po tajné vojenské základny.

4) Mnoho lidí si taky může myslet, že stačí do počítače, telefonu nainstalovat antivirový program mají vyhráno – je to pravda? Jaká jsou další doporučení?

Antivir není (bohužel) všemocný, takže router Vám neochrání, hesla na webmailech také ne a bezpečnostní politiky, jako třeba maximální počet neúspěšných přihlášení uživatele za Vás nenastaví a zálohy taky neudělá. Bezpečnost je třeba brát komplexně, zajímat se o ní, edukovat sebe i uživatele.

AV Vás ochrání proti většině běžně se šířící havěti, ale cílený hackerský útok běží spíš po síťových vrstvách a jakmile mají útočníci práva admina, tak si AV klidně odinstalují/vypnou, někdy drze i přes jeho řídící konzoli.

5) Vidíme, že stále častěji se stávají terčem kybernetických útoků i nemocnice, v České republice už několik z nich muselo omezit provoz, v čem jsou pro útočníky tak lákavým terčem?

Osobně bych to tipnul na podfinancované IT, slabé zabezpečení, a citlivé informace. Sám jsem v nemocnici pracoval, takže vím, o čem mluvím. Edukace zaměstnanců žádná, každý mohl přistupovat napříč sítí k dalším systémům, práva na spuštění *.pdf.exe měl taky kde kdo. Celý špitál měli na starosti tři lidé, kdy jeden byl manažer, druhý programátor interního systému a třetí měnil tonery. Bystrý čtenář si jistě všimne, že o bezpečákovi se tu nikde nepíše. Nového člověka jim nedali, na to nebyl budget, ale vysolit statisíce externistům za optimalizaci/úpravu medicínského SW nebyl problém. To je ale obecně problém v mnoha firmách.

Nicméně si myslím, že hned po nemocnicích by mohlo následovat školství, kde je to s financemi na bezpečnost ještě horší. Určitě není dobré generalizovat, ale znám několik škol, kde se o IT infrastrukturu stará tělocvikář a sekunduje mu lokální rodinná outsourcingová firma. A i když se všichni zúčastnění snaží i nad výši své mzdy/platu, útočníkům, nebo třeba i chytřejším žákům se to často nevyrovná.

Ale i další úřady a organizace podceňují své zabezpečení. Opět se odkážu na článek Martina Hallera, kde je krásně popsáno, jak bylo asi hacknuto Povodí Vltavy: https://martinhaller.cz/bezpecnost/jak-hackeri-napadli-povodi-vltavy-pruzkum-dle-osint/

Zpět k monetizaci útoků – útočníci nemají v tomto případě svědomí, jde o organizovaný zločin. A pokud zacryptujete komplet databázi pacientů a nemocnice nemá zálohy, bude muset prostě platit. A o to jde především.

Podobné útoky se netýkají jen ČR, pomocí malware Ryuk se útočilo na nemocnice v USA a škody v nemocnici v New Yorku se vyšplhali celkově až k 10 mil. dolarů.

6) Jak se zlepšuje zabezpečení citlivých cílů v České republice, jako jsou právě nemocnice, vládní úřady a podobně?

Pomalu. 🙂 Ale pozitivní je, že to jde. Lidé (admini, management) si začínají uvědomovat rizika, začínají se radit s experty, začínají se na toto téma ve větším pořádat konference a workshopy. A to je jedině dobře. Ne že by to nemělo být samozřejmostí už tak 20 let, ale lepší něco než nic. A to nic bylo právě příčinou mnoha úspěšných útoků.

Nicméně je to běh na dlouhou trať – je potřeba sehnat finance, přerubat celé sítě, sebrat uživatelům oprávnění, nasadit monitoring, sehnat někoho kdo tomu monitoringu rozumí, sehnat další finance… a tak stále dokola. Když si myslíte že to máte vylazený, pozvete si pentestera a ten to během týdne rozstřílí jako domeček z karet. A tak začnete znova a lépe. A tak stále dokola. 🙂

7) Na závěr ještě shrnutí, jak se chovat na internetu bezpečně, abychom útočníkům nedali šanci se k našim údajům dostat?

To je na delší povídání. 🙂 Přijďte ke mě na kurz, mrkněte na YouTube, projeďte si tady na webu sekci Bezpečnost. Sledujte weby o bezpečnosti, jako třeba ESET blog, Hacker News, nebo web NUKIB. Makejte na sobě, vzdělávejte se, buďte paranoidní. A hlavně – aktualizujte, co se dá. Ne kvůli hezčím ikonkám, ale kvůli opravě zranitelností.

Díky že jste se dočetli až sem. 🙂 Doufám že to alespoň někomu pomůže, někom se odrazí a něco nového se dozví. Článek vychází z veřejně dostupných informací a osobních zkušeností, takže pokud máte pocit že tu něco chybí či přebývá, podělte se o to v diskuzi pod příspěvkem.