Využívate ChatGPT? Potom pozor na to, čo s robotmi preberáte.

Zatiaľ čo odborníci na kyberbezpečnosť poukazovali na prípadný blížiaci sa bezpečnostný problém chatovacích robotov (ako je napr. ChatGPT), útočníci ich oblafli. Namiesto toho, aby sa „nabúrali“ priamo do týchto platforiem, začali užívateľom vo veľkom kradnúť priamo pod rukami ich prístupové údaje. Tie potom predávajú na darknete. Užívatelia sa tak prostredníctvom automaticky prednastavenej uloženej histórie komunikácie s chatbotom vystavujú značnému riziku.

Podľa singapurskej spoločnosti Group-IB, zaoberajúcej sa kybernetickou bezpečnosťou, sa počas 12 mesiacov v rámci logov (medzi útočníkmi obľúbených malvérov špecializujúcich sa na krádeže informácií) objavilo 101 134 prihlasovacích údajov k ChatGPT. Viac než štvrtina z nich pochádza z mája 2023. „Tento významný únik vyvoláva vážne obavy vo veci bezpečnosti informácií v rámci generatívnych nástrojov umelej inteligencie, ako je práve chatovacia služba ChatGPT a jej podobné, a poukazuje na potenciálne riziká spojené s ich využívaním,“ oznamuje Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron.

Zbraňou sa stal počúvajúci malvér

Ku krádežiam boli najviac zneužité malvéry Racoon, Vidar a Redline. Fungujú rovnako ako akýkoľvek iný bežný malvér – z cieľového počítača kradnú informácie po tom, čo si užívateľ často nevedomky stiahne a nainštaluje softvér, ktorý je maskovaný ako požadovaná aplikácia alebo súbor. Tento dômyselný typ malvéru sa ľahko používa a je k dispozícií formou služby, ktorá je prevádzkovaná na základe predplatného modelu, čo z nej medzi útočníkmi – mnohokrát dokonca amatérmi – robí obľúbenú voľbu.

Po aktivácií zhromažďuje prístupové údaje uložené v prehliadačoch, údaje o bankových kartách, peňaženkách s kryptomenami, cookies a históriu prehliadania a posiela ich útočníkovi. Vzhľadom na to, že predvolené konfigurácie ChatGPT všetky užívateľom vedené konverzácie uchováva, môže potom prípadné získanie prihlasovacích údajov viesť k tomu, že si konverzácie prehliadne ktokoľvek, kto má k účtu prístup.

Preto by užívatelia nemali zadávať osobné údaje, ktoré ich môžu identifikovať. Tými je napríklad celé meno, adresa, dátum narodenia a rodné číslo. V žiadnom prípade by nemali vkladať ani prístupové údaje (užívateľské mená a heslá), finančné informácie (čísla účtov či platobnej karty) alebo informácie o zdravotnom stave. Rovnako by mali držať v tajnosti pracovné informácie, teda nekomunikovať žiadne informácie o firme. „Užívatelia si často neuvedomujú, že ich ChatGPT účty v skutočnosti obsahujú veľké množstvo citlivých informácií, ktoré sú pre kybernetických zločincov žiaduce,” varuje Petr Kocmich. Z tohto dôvodu je podľa neho rozumné funkciu ukladania chatu vypnúť, pokiaľ nie je úplne nevyhnutná. Čím viac dát účty obsahujú, tým atraktívnejšie sú pre kybernetických zločincov, a preto Kocmich odporúča starostlivo zvažovať, aké informácie do cloudových chatbotov a ďalších služieb zadávať.

Riešením je preventívna obrana

Podobné riziko môže nastať, ak by sa útočníkom podarilo prelomiť ochranu samotného systému ChatGPT a kompromitovať ju. Pokiaľ útočníci získajú prístup k histórii chatu, môžu tak nájsť prístupové údaje do firemných sietí, osobné informácie atď. Totiž všetko, čo kedy bolo predtým do ChatGPT zadané.

„V reakcii na túto bezpečnostnú hrozbu sa okrem zváženia deaktivácie vedenia histórie chatov odporúča, aby užívatelia pravidelne menili svoje heslá a využívali bezpečnostné opatrenia, ako je dvojfaktorové overovanie,“ radí Petr Kocmich. Vo všeobecnosti by sa tieto odporúčania mali používať vo všetkých internetových službách a predovšetkým tam, kde môže neoprávnený prístup spôsobiť škody.

Ostražitosť musí byť na prvom mieste

Tento incident podčiarkuje naliehavú potrebu vylepšiť vo svete internetu, ktorý je stále viac závislý na umelej inteligencii a digitálnych interakciách, bezpečnostné postupy. Ako kyberzločinci vyvíjajú nové a nové taktiky, povedomie verejnosti o kybernetických rizikách a o tom, ako ich zmierniť, sa stáva čoraz dôležitejšie. „Bez ohľadu na nástroje a postupy, ktoré používate, buďte neustále ostražití a aplikujte známe bezpečnostné princípy a osvedčené postupy, aby ste sa nestali ľahkým terčom,“ zakončuje Kocmich.

Scammeri už nemusia vedieť pracovať s grafickými programami. Falošné akty z fotografií na sociálnych sieťach vďaka AI vytvoria za pár minút

Umelá inteligencia (AI) sa vo veľkom používa pri tvorbe falošných explicitných fotografií a videí. Počas chvíľky automaticky vzniknú falošné akty, ktoré sa predtým museli vytvárať za pomoci grafických editorov a potrebného čiastočného talentu. Tie následne slúžia či už na šikanovanie, alebo vydieranie (tzv. sextortion). Pred týmto nebezpečím v kyberpriestore varoval Americký Federálny úrad pre vyšetrovanie (FBI). Postretnúť môže každého. Nielen celebrity, ale aj úspešných podnikateľov či bežných občanov.

V prípade sextortionu (sex – sexuálne a extortion – vydieranie) sa obvykle vydierači (tzv. scammeri) snažia získať peniaze alebo iné výhody od obete tým, že hrozia zverejnením kompromitujúceho, avšak sfalšovaného materiálu. FBI upozorňuje na zvlášť znepokojujúci aspekt tejto hrozby – scammeri často využívajú nevinné fotografie a videá, ktoré ľudia zdieľajú na svojich profiloch na sociálnych sieťach. S pomocou deepfake technológie potom prostredníctvom umelej inteligencie využijú tvár obete k vygenerovaniu pornografického materiálu.

Obete hlásia, že ich neškodné príspevky na sociálnych sieťach (fotky, videá atď.) zločinci preberajú a upravujú pomocou AI generátorov obsahu. Nejde o nový typ útokov, len dávnejšie sa k tomu využívali programy pre (profesionálnu) úpravu fotografií, ako je Photoshop. Teraz však zločinci nepotrebujú k transformácií žiadne grafické zručnosti ani skúsenosti, ani hodiny práce potrebné k ručnej úprave. Stačí im iba pár fotiek a AI.

Ľahká dostupnosť AI bola spustená na jeseň 2022, kedy sa objavil ChatGPT, ktorý v tomto ohľade pre útoky predstavoval revolúciu.

Stúpajúci počet obetí podlieha novému trendu deepfake podvodov

FBI dostáva stále viac podnetov od obetí, ktorých fotografie alebo videá boli explicitne upravené. Tieto materiály sú potom verejne šírené sociálnymi sieťami alebo pornografickými webovými stránkami za účelom obťažovania a vydierania obetí. „Pokrok v technológiách s generatívnou tvorbou obsahu a ľahká online dostupnosť osobných fotografií poskytujú novú príležitosť pre zločincov, ktorí hľadajú a zameriavajú sa na svoje obete,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron.

Vydierači najčastejšie od obetí požadujú peniaze a hrozia, že budú fotografie a videá zdieľať s členmi rodiny a priateľmi na sociálnych sieťach, ak obeť nezaplatí. Alternatívne ich vydierajú tým, že od obetí požadujú skutočné sexuálne snímky či videá. Tento nový trend deepfake podvodov sa stále viac rozširuje, a to nielen v oblasti sextortionu, ale tiež napríklad pri podvodoch spojených s virtuálnymi hovormi.

Ako sa chrániť pred online vydieraním a sexuálnym zneužívaním

Pred týmito vydieračskými technikami nie je úplne v bezpečí nikto, pokiaľ všetky svoje obrázky z internetu neodstráni. Ani potom však nemusí byť v úplnom bezpečí, pretože ich niekto môže tajne fotografovať alebo natáčať v skutočnom živote a potom za účelom sextortionu alebo iného podvodu zneužiť urobené materiály. Vzhľadom na tom, že sa deepfake technológia stáva stále pokročilejšou a dostupnejšou, je nevyhnutné, aby vlády a legislatívne orgány prijali k ochrane občanov zodpovedajúce opatrenia. V niektorých jurisdikciách už existujú zákony, ktoré vytváranie falošných obrazov, bez súhlasu zobrazenej osoby, trestajú. Napríklad Veľká Británia plánuje v rámci pripravovaného zákona o online bezpečnosti prijať proti šíreniu takéhoto materiálu opatrenia.

„Ak sa stanete obeťou sextortionu, odporúčame zachovať chladnú hlavu. Určite nikomu nič neplaťte, pretože to odstránenie explicitného materiálu z internetu nezaručí. Naopak, kontaktujte Políciu SR. Ako prevenciu odporúčame dodržiavať na sociálnych sieťach štandardné bezpečnostné kroky, ako je odmietanie žiadostí o priateľstvo od cudzích ľudí a využívanie všetkých dostupných nastavení ochrany osobných údajov,“ radí Petr Kocmich.

Prvé nahé deepfake fotografie a videá, vytvorené prostredníctvom AI, sa na internete začali šíriť v roku 2017, kedy užívatelia na fórach, ako je napríklad Reddit, testovali možnosti umelej inteligencie pri tvorbe sexuálne explicitného obsahu ženských celebrít. Hoci existujú pokusy o zastavenie šírenia takéhoto obsahu, online nástroje a webové stránky pre vytváranie deepfake nahých fotiek sú zatiaľ ľahko dostupné každému.

Bezpečnostnú úroveň organizácií v SR môže zvýšiť smernica NIS2

Európska smernica NIS2 (Network and Information Security Directive 2) môže slovenským organizáciám prirobiť starosti, ale taktiež im paradoxne pomôcť vyriešiť problémy v prípade kybernetického zabezpečenia. Konkrétne tým, ktoré doteraz túto vážnu hrozbu neriešili alebo nemohli obhájiť potrebný rozpočet na dostatočne kvalifikovaných zamestnancov.

Smernica NIS2 má za cieľ zvýšiť odolnosť digitálnej infraštruktúry EÚ voči kybernetickým útokom a zlepšiť koordináciu a reakčné schopnosti pri incidentoch. „Práve toto sú aspekty, pri ktorých mnoho subjektov nielen na Slovensku robí chyby. Je to dané tým, že na trhu je nedostatok IT odborníkov, a ešte menej expertov na kyberbezpečnosť. Subjekty, ktorých sa smernica po novom týka, budú musieť zabezpečiť, aby ich IT siete a informačné systémy boli dostatočne chránené proti kybernetickým hrozbám. Preto sa môže tento problém ešte prehĺbiť,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron.

Čo smernica mení

Dotknuté inštitúcie musia implementovať opatrenia pre prevenciu kybernetických útokov a rizík, ako sú napríklad pravidelné aktualizácie softvéru, zabezpečenie sieťových zariadení a ochrana pred phishingovými útokmi. Dokonca si musia pripraviť plány pre prípad kybernetických incidentov a zriadiť mechanizmy pre ich rýchle a účinné riešenie.

Dôležité incidenty bude treba hlásiť do 24 hodín od ich zistenia a spolupracovať s národnými bezpečnostnými orgánmi. Ak by spoločnosti neboli schopné splniť tieto požiadavky, hrozia im pokuty a ďalšie sankcie.

Dve muchy jednou ranou

Bolo by skvelé, keby smernica NIS2 pomohla skoncovať s nedostatkom odborníkov na kybernetickú bezpečnosť. Avšak to sa asi nepodarí a na prvý pohľad by sa dokonca mohlo zdať, že sa problém ešte prehĺbi. Regulácia je však výbornou príležitosťou ako organizácie zabezpečiť. S tým hravo pomôžu externí dodávatelia kybernetickej bezpečnosti, ktorí disponujú dostatočnými kapacitami tam, kde organizáciám chýbajú. „Špecializované firmy sa totiž zameriavajú práve na poskytovanie týchto služieb a môžu pomôcť subjektom implementovať bezpečnostné opatrenia a riadenie rizík, a to kompletnou formou, teda službou na kľúč alebo formou dodávky riešení vrátane podpory, rovnako tak zaistia splnenie požiadaviek smernice NIS2,“ uvádza Petr Kocmich.

Špecializované firmy okrem iného môžu pomôcť vyriešiť nielen novú požiadavku, ale aj predchádzajúce „nedotiahnuté“ zabezpečenie IT infraštruktúry a informačných systémov subjektov. Avšak, aj keď inštitúcie využijú služby týchto dodávateľských firiem, zodpovednosť je stále na ich strane, preto by si mali dodávateľov vyberať starostlivo a zistiť, či majú dostatočnú kvalifikáciu, skúsenosti a osvedčenia. Dôležité je tiež postarať sa o správne zadanie úloh a kontrolu výkonu služieb dodávateľom. V záujme zabezpečenia efektivity a účinnosti tohoto modelu by mali byť úlohy a zodpovednosti jednoznačne definované v zmluve medzi organizáciou a dodávateľom služieb kybernetickej bezpečnosti. Je potrebné si totiž uvedomiť, že kvalita dodávanej služby mnohokrát reflektuje kvalitu a schopnosti riadenia dodávateľa.

Koho sa NIS2 týka a odkedy bude platiť

Smernica pre firmy na Slovensku bude znamenať väčšie povinnosti v oblasti kybernetickej bezpečnosti a ochrany siete a informačných systémov. Avšak prinesie aj zvýšenú ochranu a odolnosť voči kybernetickým hrozbám a väčšiu spoluprácu medzi európskymi štátmi v tejto oblasti. V neposlednom rade, splnenie požiadaviek NIS2 môže pomôcť organizáciám získať dôveru svojich zákazníkov a partnerov, ktorí budú spokojnejší s ochranou svojich dát a informácií. Celkovo by smernica mohla pomôcť subjektom zlepšiť bezpečnostné postupy a minimalizovať riziká.

NIS2 sa vzťahuje na výrobcov elektriny, poskytovanie zdravotnej starostlivosti, poskytovanie služieb elektronických komunikácií, ale tiež na ďalších viac než 60 služieb roztriedených do 18 odvetví. Na Slovensku novinka vstúpila do platnosti v polovici januára 2023, odkedy začína plynúť 21-mesačná lehota na transformáciu podnikov. Zmeny by sa mali začať uplatňovať od októbra 2024 a týkať sa budú až 6 000 – 10 000 subjektov – stredných a veľkých firiem nad50 zamestnancov alebo firiem s ročným obratom nad 10 miliónov eur. Napriek tomu že je smernica NIS2 platná iba pre organizácie, ktoré spĺňajú definované kritériá, a ostatné tak nie sú priamo povinné požiadavky spĺňať, je vhodné uvažovať o tom, či ju nevyužiť ako odporúčanie pre zlepšenie všeobecnej kybernetickej bezpečnosti aj v ďalších podnikoch.

Šance aj pre ďalšie subjekty

„Odhadom až 70 % domácich organizácií má problém s kybernetickou bezpečnosťou. Najmä menšie a stredné podniky nemajú dostatočne zabezpečené IT systémy a nedodržujú základné bezpečnostné opatrenia,“ hovorí Petr Kocmich. Častým problémom sú napríklad benevolentné oprávnenia bežných užívateľov, chýbajúce dvoj/viacfaktorové overenie v kombinácií so slabými heslami (aj administrátorov), chybným riadením a decentralizáciou užívateľských identít, zastaralý a nechránený hardvér či softvér obsahujúci zraniteľnosti, chýbajúca sieťová segmentácia, slabá alebo chýbajúca ochrana e-mailových služieb a prístupu k internetu, nedostatočná ochrana perimetra, nízka viditeľnosť v rámci sieťovej prevádzky, nízke alebo chýbajúce zabezpečenie koncových staníc, chýbajúci centrálny log management alebo nedostatočné školenia zamestnancov. „Kybernetická bezpečnosť je pre mnoho slovenských spoločností veľkým problémom a pre útočníkov môžu byť ľahkými cieľmi. Smernica NIS2 by mala prispieť k zvýšeniu povedomia a ochrane proti kybernetickým hrozbám,“ dodáva Petr Kocmich.

Dopad miskonfigurácií na podnikanie

Zahraničné, ale aj slovenské organizácie pokračujú s presunom svojich IT systémov a dát do cloudového prostredia. Prechod do cloudu však nie je len o migrácii dát, ale aj o zmene prístupu správcov, a to mnohokrát prináša nové výzvy a konfiguračné postupy. Potom sa jednoducho môže stať, že sa pri migrácii niečo zabudne ošetriť, nastaviť či všeobecne nakonfigurovať podľa „best practice“. Tak vznikajú tzv. miskonfigurácie a vďaka nim firmy následne zbytočne čelia väčšiemu počtu útokov, než tomu bolo skôr a nedokážu sa im adekvátne brániť.

Ako cloudové, tak on-premise riešenia ponúkajú jasné výhody a riešia konkrétne výzvy a potreby organizácií. Vziať a presunúť kompletne lokálnu IT infraštruktúru bez potrebných zmien do cloudu (tzv. Lift & Shift prístup) je však častou chybou, ktorej sa dopúšťajú. Oba typy prostredí – či už on-premise alebo cloudové – prinášajú výhody aj nevýhody, a preto je možné sa u zákazníkov často stretnúť s hybridnými prostrediami. Dôvodom pre toto riešenie býva, buď legislatívna požiadavka (z pohľadu citlivosti dát a toho, kde sa takéto dáta môžu či nemôžu nachádzať), alebo architektúra a komplexita legacy aplikácií, ktoré sa nedajú v cloude prevádzkovať vôbec, či s nutnou, avšak neprimeranou investíciou a vypätím síl.

Ohýbanie stavu nie je prijateľné

Migrácia do cloudu môže organizáciám pomôcť znížiť náklady na IT (v prípade správneho využívania cloudových prostriedkov), získať kedykoľvek vyšší, a hlavne škálovateľnejší výkon, zvýšiť flexibilitu úložiska, zjednodušiť a zrýchliť nasadenie systémov a aplikácií a zároveň získať prístup k dátam a systémom odkiaľkoľvek, kedykoľvek, a to 365 dní v roku.

Nasadenie cloudu z kybernetického hľadiska však môže zvýšiť pravdepodobnosť napadnutia organizácií. Pokiaľ padne rozhodnutie „poďme do cloudu“, musí sa k nemu pristupovať zodpovedne. V prvom rade je potrebné si uvedomiť, že cloud, ako taký, je zdieľaná zodpovednosť medzi poskytovateľom cloudových služieb a zákazníkom. Cloud teda nie je nikdy samospasný. Môžeme sa samozrejme baviť o výbere správneho modelu (IaaS/PaaS/SaaS), ale pokiaľ chceme uľaviť internému IT/SEC tímu, správnou cestou by mal byť model PaaS a SaaS, kde väčšina zodpovednosti spadá práve na poskytovateľa cloudových služieb. Príležitosť prechodu do cloudu sa musí vnímať ako šanca na prechod k modernému a bezpečnému riešeniu firemnej infraštruktúry. Zároveň sa nesmie zabudnúť zapojiť bezpečnostné oddelenie, ktoré by malo byť fundamentálnou a integrálnou súčasťou každého podobného projektu.

Bohužiaľ väčšina cloudových migrácií mnohokrát znamená len ohýbanie a presun existujúceho stavu. Z toho vyplýva, že je potrebné začať využívať ideálne natívne cloudové prostriedky, čo v mnohých ohľadoch znamená premenu existujúcich monolitických aplikácií. V opačnom prípade, obyčajným presunom systémov a dát spoločnosti nič nezískajú a s najväčšou pravdepodobnosťou ich to bude stáť viac finančných prostriedkov než pôvodné riešenie v on-premise.

cloud

V hlavnej roli miskonfigurácie

Zatiaľ čo v prípade on-premise riešení sú dnešné spoločnosti pomerne dobre vybavené nástrojmi pre monitoring stavu a kontrolu zabezpečenia z pohľadu zabehnutých a overených štandardov, pre migráciu do cloudu to tak byť nemusí. Chybné konfigurácie cloudu predstavujú zraniteľné miesta, ktoré čakajú, až si ich útočníci všimnú. Ide o vstupné brány, prostredníctvom ktorých je možné infiltrovať nielen cloudovú infraštruktúru, ale vďaka prepojeniu a hybridnému režimu aj laterálne presunúť do existujúcej on-premise časti infraštruktúry, kde je potom možné exfiltrovať dáta, prístupové údaje, telemetrické dáta strojov v OT prostredí, zdravotné záznamy či osobné údaje, a to všetko napríklad zakončiť nasadením ransomwaru.

Podľa odborníkov má priemerný podnik každý rok stovky chybných konfigurácií, ale o prevažnej väčšine z nich ich IT oddelenia vôbec netušia. Všetky chybné konfigurácie sú pritom výsledkom ľudskej chyby a chýbajúcich nástrojov na kontrolu konfiguračného stavu cloudu (napr. tzv. CSPM – Cloud Security Posture Management).

Dopad chybnej konfigurácie cloudu na zabezpečenie systému

Pri migrácii systémov dosť často dochádza aj k tomu, že vybrané služby, ktoré boli dostupné v rámci on-premise riešení len interne, sú po migrácii vystavené verejne na internete, bez filtrovania a blokovania externej sieťovej prevádzky. Touto chybou trpí veľa spoločností, a dokonca mnohé z nich spadajú pod kritickú infraštruktúru. Môže sa teda stať, že sa na internete objaví verejne dostupná konzola pre ovládanie priemyselných riadiacich systémov. Nedávno sme takto detekovali konzolu ICS systému pre ovládanie výrobnej a montážnej linky – bez nutnosti overenia. Bežným folklórom sú služby obsahujúce zneužiteľné zraniteľnosti bez dodatočného zabezpečenia, ktoré bolo nasadené v on-premise riešení, ale v cloude sa už alebo ešte neimplementovalo (napr. chýbajúci WAF – Web Application Firewall) a ďalej služby s predvolenými prístupovými údajmi a služby slúžiace ku vzdialenej správe interných systémov zákazníka alebo dokonca voľne prístupných dát citlivého charakteru.

Preto, pričom štatistiky nášho dohľadového centra to len potvrdzujú, následne dochádza k desiatkam až stovkám incidentov mesačne. Chybné bezpečnostné konfigurácie sa stávajú ľahkým cieľom útočníkov, ktorí dobre vedia, že ich má takmer každý podnik. Toto zanedbanie môže mať katastrofálne následky. Útočníkom pomáha v prieskume a infiltrácii do zákazníckeho prostredia vytvorenie permanentných väzieb pre vzdialený prístup, ovládnutie systémov, exfiltráciu dát, ale napríklad aj prihlasovacích údajov, ktoré sú následne zverejnené alebo predané a použité na ďalšie útoky. Prípadne otvára dvere postranným ransomware alebo cryptojacking útokom, pri ktorých sú zneužívané cloudové výpočtové zdroje k podpore kryptoťažobných aktivít.

Kroky pre minimalizáciu rizík miskonfigurácií

Správa a sledovanie konfigurácie vyžaduje mnohostranný prístup. Organizácie by mali zaviesť osvedčené bezpečnostné postupy, ako je pravidelné hodnotenie stavu zabezpečenia cloudu (Cloud Security Posture Management), ktoré pomôžu odhaliť mnoho bezpečnostných prehreškov a miskonfigurácií. Je potrebné dodržiavať zásadu Least-Privilege a priebežne monitorovať a auditovať cloudové systémy.

Udržiavanie dostatočnej viditeľnosti cloudových aktív by malo byť prioritou, rovnako aj v rámci on-premise. Ďalej pomôže silný Identity & Access Management, ktorý umožní škálovať oprávnenia, aby bola zabezpečená správna úroveň prístupu ku cloudovým službám.

Identifikáciou rôznych chybných konfigurácií pri migrácii do cloudu a ich vyvarovanie podnikom pomôže odstrániť hlavné bezpečnostné problémy. S tým dokážu pomôcť špecializované firmy, ktoré organizáciu prevedú celým procesom a všetko správne nastavia.

Odkaz na článok v časopise

IT Systems

Keď ide o bezpečnosť firemného areálu, aký plot si vyberáte?

Predstavte si návštevu nového výrobného areálu u (imaginárneho) slovenského výrobcu mobilných telefónov. Vo firme panuje čulý pracovný ruch, no už pri príchode Vás zarazí, že vstup do celého areálu je úplne voľný. Autom bez problémov vojdete až ku skladom, žiadna rampa, kontrola, žiadni strážnici. Uvedomíte si, že celý pozemok je oplotený iba záhradníckym pletivom, ktoré je navyše miestami roztrhané alebo úplne chýba.

Výrobné haly aj expedičné sklady majú brány pootvárané a vyzerá to akoby fungovali „samoobslužne“ – ktokoľvek príde, naloží si tovar a odíde. Administratívna budova je taktiež bez recepcie, alarmu či kamier, má v otvorených vchodových dverách len retiazku vo výške kolien, s tabuľkou „Cudzím vstup zakázaný.“ Absurdná predstava?  Áno, ale ak si fyzickú ochranu zameníme s kybernetickou, ide o bežný stav firiem či inštitúcií na Slovensku.

Ako je to možné?

Myslím si, že kľúčový problém je, že mnohé organizácie ešte nezačali kybernetickú bezpečnosť brať vážne. Nevenujú jej dostatočnú pozornosť a tým pádom ani ľudské a finančné zdrojetvrdí špecialista Martin Lohnert.

V prieskume spoločnosti pwc medzi slovenskými generálnymi riaditeľmi sa obavy z kybernetických hrozieb objavujú na spodných priečkach rebríčka 10 problémov, ktoré ich znepokojujú.  Pritom v rovnakom prieskume uvádzajú manažéri v USA a západnej Európe kybernetické hrozby na prvom mieste, ako naviac znepokojujúce.

Je to paradoxné, keďže kybernetický priestor práve geografické hranice nemá, a hrozby medzi krajinami veľmi nerozlišujú (s výnimkou tých politicky motivovaných.) Aj keď počas pandémie pribudlo viac zraniteľných miest či aplikácií vďaka práci z domu, videli sme sofistikovanejšie vydieračské útoky, častejší a lepšie jazykovo lokalizovaný phishing, išlo o globálne „trendy,“ s ktorými sa stretávajú štátne inštitúcie aj firmy kdekoľvek.

Je tu ešte možnosť, že slovenské spoločnosti nevnímajú kybernetické hrozby ako podstatné preto, že majú bezpečnosť na mimoriadne vysokej úrovni. Skúste sa na to  spýtať niekoho z odbornej komunity a zrejme ho takouto hypotézou dobre pobavíte. Realita má často podobu deravého pletiva, a je len otázkou šťastia, že sme na Slovensku ešte nezažili kybernetickú “katastrofu” s mnoho-miliónovými škodami, o akých stále čítame zo zahraničia.

Tento článok bol uverejnený v pravidelnej prílohe Hospodárskych novín o kybernetickej bezpečnosti. Súčasťou prílohy je aj anketa, v ktorej odpovedajú špecialisti na kybernetickú bezpečnosť vrátane nášho manažéra bezpečnosti Stanislava Smolára.

Organizácie získali cenné detaily z kybernetického útoku na zdravotnícky systém

Pred viac ako ôsmimi mesiacmi zažil írsky zdravotnícky systém najväčší kyberútok vo svojej histórií. Spamätával sa z neho niekoľko mesiacov, a to aj napriek tomu, že sami útočníci poskytli kľúč k zašifrovaným dátam. Pritom sa nechce ani veriť, že pred útokom ransomware mali hackeri do zdravotného systému vybudovaný prístup už osem týždňov. Niečo podobné sa môže kedykoľvek stať aj našim zdravotníckym organizáciám, ale aj iným podnikom mimo túto oblasť.

Cieľom kyberzločincov zo skupiny Conti bolo odcudzenie dát z centrálnych serverov írskeho zdravotníckeho systému (Health System Executive). Prostredníctvom útoku ransomware došlo na dlhé týždne k ochromeniu počítačového systému vo väčšine írskych zdravotníckych služieb, čo spôsobilo rozsiahle rušenie nevyhnutných operácií a zdravotných vyšetrení. O sedem mesiacov neskôr HSE zverejnila rozsiahlu 157-stranovú správu pojednávajúcu o celom incidente. „Forenzné skúmania poukázali na množstvo dôležitých faktov, ktoré stáli za týmto prípadom a mali na HSE omnoho väčší dopad, než sa pôvodne myslelo,“ uvádza Martin Lohnert, špecialista pre oblasť kyberbezpečnosti v technologickej spoločnosti Soitron.

Pri útoku chýbala adekvátna reakcia IT oddelenia

Zatiaľ čo útok ransomware bol zahájený 14. mája 2021, hackeri po prvýkrát získali prístup do siete HSE už o osem týždňov skôr – 18. marca, infikovaním pracovnej stanice HSE malwarom – tým, že zamestnanec na počítači so systémom Windows otvoril z phishingového e-mailu nastražený dokument Microsoft Excel. Podľa správy systémy zahlásia niekoľko varovaní o vážnom narušení siete, ale tieto varovné signály boli zle identifikované a navyše neboli dostatočne riešené.

Akonáhle hackeri získali prístup do systému, kompromitovali veľký počet serverov, exfiltrovali dáta a pohybovali sa laterálne. Zločinci následne požadovali výkupné, HSE ho však odmietla zaplatiť. Napriek tomu sa stalo niečo, čo je neobvyklé. „Skupina Conti nakoniec sama a bezplatne dešifrovací kľúč uvoľnila, pravdepodobne potom , čo si uvedomila, že zasiahla vládnu agentúru, a v reakcii na verejné pobúrenie. Aj tak obnova zašifrovaných dát trvala viac než štyri mesiace,“ upozorňuje Martin Lohnert. Počiatočné odhady nákladov na obnovu predstavovali neuveriteľných 600 miliónov dolárov, vrátane 120 miliónov dolárov potrebných na upgrade a lepšie zabezpečenie systému zasiahnutého ransomwarom.

Zásadné chyby, ktoré viedli k útoku

HSE poverila obnovou dát (údajne išlo o 700 GB) členov írskej armády. Snaha bola ukončená až 21. septembra, keď HSE považovala všetky servery za dešifrované. Aj tak niektoré dáta zostali stále neobnovené – obnovené boli dáta z 1 075 aplikácií z celkového počtu 1 087 aplikácií. Správa zdôrazňuje aj to, že nie je jasné, koľko dát by sa podarilo zachrániť, keby nebol k dispozícií dešifrovací kľúč. Mimochodom, zálohovacia infraštruktúra HSE bola nastavená iba na periodické zálohovanie prostredníctvom pások.

hospital safety cyber

Problémom bolo aj personálne zabezpečenie: HSE zamestnávala iba 350 ľudí na IT pozíciách a iba 15 na bezpečnostných pozíciách, ktorým ale chýbali odborné znalosti v oblasti kybernetickej bezpečnosti. Alarmujúce tiež bolo to, že HSE okrem iného nemala:

  • žiadne plány alebo príručky pre kybernetickú bezpečnosť;
  • bezpečnostné nástroje schopné preskúmať a aktivovať bezpečnostné výstrahy;
  • centralizovaný zoznam kontaktných údajov pre všetkých zamestnancov HSE alebo register majetku;
  • off-line kópie kľúčového zabezpečenia IT a dokumentácie;
  • vopred stanovený prioritný zoznam aplikácií a systému pre obnovu.

Povinné čítanie pre firmy

Podľa údajov spoločnosti Check Point na české firmy smerovalo v roku 2021 cez 1000 kyberútokov týždenne. Oproti predchádzajúcemu roku je to nárast o päťdesiat percent. Celosvetový priemer predstavoval 900 útokov. Je len otázkou, kedy obdobný problém stretne aj Slovensko a bude mať fatálny dôsledok. Analógiu v prípade zdravotníctva môžeme v ostatnej dobe nájsť v podobe niekoľkotýždňového vyradenia nemocnice v českom Benešove alebo útoku na Fakultnú nemocnicu v Brne či Ostrave.

„Ako ukazuje tento príklad, v dobách, kedy na celom svete exponenciálne rastie počet kyberútokov, veľa inštitúcií toto riziko stále neberie vážne. O to horšia je potom situácia, keď v dobe pandémie útok zasiahne zdravotnícky systém alebo kritickú infraštruktúru,“ varuje Martin Lohnert.

Nízka úroveň vyspelosti kybernetickej bezpečnosti, v kombinácií s absenciou nepretržitého monitorovania siete na výskyt bezpečnostných incidentov, je vražednou kombináciou. „Organizácie na celom svete môžu byť HSE vďačné za to, že je tak otvorená a transparentná, a že zverejnila, k čomu presne došlo. Všetci sa z tohoto incidentu môžu poučiť. Dokument približujúci, čo sa stalo v HSE, by som vedeniu firiem odporučil ako povinné čítanie,“ zakončuje Martin Lohnert.

Hackerské skupiny verbujú odborníkov do fiktívnych kyberbezpečnostných firiem

Trúfalosť hackerských skupín nepozná hranice. V honbe za financiami neváhajú zamestnať nových softvérových inžinierov, ktorí by im pod zámienkou penetračného testovania pomohli vykonať útoky ransomware. Za týmto účelom zakladajú „legitímne“ spoločnosti, ktorých predmetom podnikania má byť kybernetická bezpečnosť. Ale pozor, opak je pravdou! Schopnosti IT odborníkov sú nevedomky zneužívané k tomu, aby objavili bezpečnostné slabiny, ktoré by sa dali kyberzločincami následne využiť.

Túto skutočnosť dokazuje prípad ruskej hackerskej skupiny FIN7, ktorá existuje od roku 2015 a jej celková „trhová kapitalizácia“ sa odhaduje už na miliardu dolárov. Podľa výskumníkov z poradenskej jednotky Gemini Advisory spoločnosti Recorded Future skupina založila a viedla firmu Bastion Secure – so sídlom na skutočnej adrese, niekoľkými pobočkami po celom svete, telefónnymi číslami, vlastnými firemnými webovými stránkami a všetko bolo podporené výsledkami v Google vyhľadávači a pozitívnymi referenciami, zastrešenými renomovanými svetovými firmami. „Firma Bastion Secure pre súkromné spoločnosti a organizácie z verejného sektora mala poskytovať služby v oblasti penetračných testov, čo je metóda overenia zabezpečenia počítačových zariadení, systémov alebo aplikácií,“ vysvetľuje Martin Lohnert, špecialista pre oblasť kyberbezpečnosti v technologickej spoločnosti Soitron.

Tretím krokom vo výberovom riadení je útok

Fiktívna spoločnosť ale bola iba zásterkou pre zverejňovanie inzerátov na pracovných portáloch s cieľom najať na rôzne pozície expertov na kybernetickú bezpečnosť. Pracovné ponuky lákali softvérových inžinierov, systémových administrátorov, či C++, Python a PHP programátorov. Na tých, ktorí sa prihlásili, čakal trojfázový pohovor:

  • Prvé kolo: žiadatelia o zamestnanie absolvovali videopohovor s HR zástupcom Bastion Secure. Po úspešnom absolvovaní došlo k podpísaniu dohody o mlčanlivosti.
  • Druhé kolo: zamestnanci dostali od spoločnosti legitímne nástroje potrebné k penetračnému testovaniu, aby mohli plniť úlohy.
  • Tretie kolo: zamestnanci dostali zadanie, v ktorom boli vyzvaní, aby urobili penetračný test pre jedného zo zákazníkov Bastion Secure.

Zodpovednosť v tomto prípade nesie tester

Je potrebné zdôrazniť, že v tomto procese sa nikde neobjavili žiadne právne dokumenty oprávňujúce testera penetračný test spraviť, ako je v takýchto prípadoch zvykom. „Tým existuje riziko, že ak by bol tester odhalený, mohol by byť stíhaný podľa platnej legislatívy štátu, v ktorom testovaná spoločnosť pôsobí. On ako jednotlivec, nie hackerský gang, pre ktorý pracoval. Bol by to totiž on, kto pokusy o útok vykonáva,“ zdôrazňuje Martin Lohnert.

Zástupcovia Bastion Secure od týchto svojich zamestnancov ďalej požadovali, aby v prípade úspešného preniknutia do podnikového systému hľadali predovšetkým firemné dáta, vrátane záloh. Všetko vlastne zodpovedalo krokom, ktoré sa vykonávajú pri pokuse o útok ransomware.

Zamestnať testerov je lacnejšie a ľahšie

Pokiaľ ide o dôvody, prečo zločinecká skupina ako FIN7 zašla tak ďaleko, aby založila falošnú bezpečnostnú spoločnosť, odpoveď je jednoduchá. „Najať človeka pre nelegálne aktivity nie je vôbec ľahké. Šikovných pen-testerov je nedostatok a na trhu sú atraktívne ponuky od renomovaných firiem, kde im rozhodne nehrozí trestné stíhanie. Pre FIN7 bude preto ľahšie a lacnejšie získať takto nič netušiacich zamestnancov než spolupracovať s inými hackerskými skupinami alebo hackermi prijatými z darknetu, ktorí by možno požadovali určité percento zo zisku,“ prezradzuje Martin Lohnert. Výkupné požadované od napadnutých firiem môže v niektorých prípadoch dosiahnuť milióny amerických dolárov.

Taktika založenia falošnej bezpečnostnej firmy nie je vôbec nová. Samotná skupina FIN7 ju už využila v roku 2010, keď používala ďalšiu falošnú bezpečnostnú firmu s názvom Combi Security. „Alarmujúce na tomto príklade je však to, že v dnešnej dobe práce z domu, ľudí, hľadajúcich prácu či možnosť privýrobku, častokrát nenapadne verifikovať zákazky zamestnávateľa. A už vôbec ich nemusí napadnúť, k čomu všetkému môžu byť zneužití. Automaticky predpokladajú, že spoločnosť, ktorá o nich má záujem, je legitímna, a teda jej dôverujú vo všetkom. Vrátane toho, že od svojho zákazníka má povolenie vykonávať penetračné testy,“ uzatvára Martin Lohnert.

Najbohatšieho Ježiška budú mať tento rok hackeri

Tohtoročnými víťazmi Vianoc budú hackeri. A to bez preháňania. Kybernetická bezpečnosť je v súčasnej dobe jednou z hlavných tém, ktoré sa riešia po celom svete. V období covidu, keď nemalá časť ľudí je nútená žiť viac doma, rastie aj on-line nakupovanie. Rast e-commerce scény je hlavným impulzom pre hackerov, ktorí vymýšľajú nové a ešte viac premyslené útočné stratégie. Aj preto sú vianočné podvody v plnom prúde a ich akceleráciu umocňuje ďalšia nová  finta, ktorá sa určite naplno prejaví počnúc piatkom 26. novembra, teda na Black Friday.

Zatiaľ čo sa internetové obchody pripravujú na očakávaný nárast denných tržieb, paralelne treba počítať s tým, že v tomto období – a tento rok, vďaka pretrvávajúcej pandémii, ešte viac ako inokedy – vzrastie počet kybernetických útokov. Vianoce sú pre počítačových pirátov veľmi výnosným obdobím. S blížiacimi sa sviatkami a koncom roka ide dosť často obozretnosť bokom a ľudia sú schopní sa nachytať na najrôznejšie kybernetické podvody.

Spoločnosť je pod veľkým manipulačným tlakom

To už roky využívajú útočníci a ich techniky sa aktuálne čím ďalej, tým viac zameriavajú na zneužitie automatizovaných systémov s cieľom vykonať určitú akciu alebo získať určitú informáciu – princípy sociálneho inžinierstva. Nielenže podvodníci v automaticky rozosielaných phishingových e-mailoch lákajú na predvianočné pôžičky, na zľavy elektroniky, hračiek a ďalších vianočných darčekov, ale na podvody ešte viac využívajú aj mobilné telefóny. Cieľom útočníkov je od ľudí vylákať hotovosť a ich citlivé údaje.

Poplatok za opakované dodanie môže skrývať problém

„Všetkým nám chodia balíčky s objednanými vianočnými darčekmi. Vďaka vzrastajúcemu množstvu už strácame ale prehľad, kde sme si čo objednali a kedy má čo vlastne prísť. To využili hackeri a objavili nový typ útokov, keď na mobilný telefón kupujúceho príde nevinná informačná SMS správa,“ prezrádza Martin Lohnert, riaditeľ centra kybernetickej bezpečnosti Void SOC a IT odborník spoločnosti Soitron.

V nej je uvedené, niečo v zmysle, váš balíček sa nám nepodarilo doručiť, pre rezerváciu nového termínu doručenia alebo vyzdvihnutia nasledujte tento odkaz. Ak tak príjemca urobí, otvorí sa stránka prepravnej spoločnosti. A pretože nikto z nás sa neorientuje v tom, ako vyzerajú weby špedičných spoločností a vlastne si ani nepamätáme, kto nám má ktorý balíček priviezť, nikomu nenapadne, že môže ísť o podvodnú stránku.

Zaujímavé na tom je, že pokiaľ je odkaz otvorený z počítača, tak sa zobrazí seriózne vyzerajúca stránka. Pokiaľ z mobilu, potom sa nezobrazí celá adresa webu, ale to si väčšina ľudí nevšimne, a tak dochádza k využitiu triku, kedy podvrhnutá časť je skrytá.

„Ak príjemca balíčka sms správe uverí a klikne na odkaz, objaví sa na phishingovej stránke, na ktorej sa píše, áno, váš balíček nebol dodaný, zadajte, kam sa má doručiť,“ dodáva Martin Lohnert.

Po odoslaní týchto informácií čiže adresy, mena, atď., sa zobrazí opäť správa s ospravedlnením a textom, že pre opakované doručenie je nutné uhradiť manipulačný poplatok rádovo v niekoľkých centoch.

Hacker získa kompletný balíček

Asi nikto nebude mať veľmi veľký problém v predvianočnom zhone takúto malú čiastku uhradiť – len aby mu vytúžený balíček s darčekom dorazil. Lenže, úhrada sa odohráva prostredníctvom platobnej karty. A tak pointa je v tom, že po zadaní údajov z platobnej karty nedôjde k strhnutiu uvedenej finančnej čiastky, ale kompletnému odcudzeniu jej identity.

V tejto chvíli hackerom už nechýba vôbec nič. Majú mobilné číslo, kontaktnú adresu a dokonca aj platobnú kartu – známa je identita človeka a jeho platobné údaje. A takýto kompletný balík informácií na čiernom trhu má svoju hodnotu. „Logicky sa dá očakávať, že týchto podvodov sa objaví najviac na Black Friday a v nasledujúcich dvoch týždňoch po ňom,“ dodáva na záver Martin Lohnert.

Zaujal vás článok? Čítajte ďalej!

Slovník kybernetickej bezpečnosti

17.10. 2021

Pripravili sme pre vás slovník pojmov kybernetickej bezpečnosti, aby ste lepšie pochopili správanie útočníkov a nenechali sa oklamať.

5 tipov ako si zabezpečiť svoje účty

12.10. 2021

Vytvoriť si heslo k účtu neznie ako zložitá úloha, aj keď niekedy to tak úplne nevyzerá.

Bezpečný home office

29.10.2021

Obdobie covidu akcelerovalo prácu z domu. Prečítajte si najväčšie hrozby a riziká home officu.

Ani dvojfázové overenie nie je celkom bezpečné

Je známe, že pre bezpečný prístup k on-line službám už dlhú dobu nestačí používať len užívateľské mená a heslá. Preto sa používa ďalší stupeň zabezpečenia – viacfázové overovanie – ktoré sa stalo v mnohých prípadoch nevyhnutnosťou. K prihlasovaniu pomocou hesla pridáva ešte ďalšiu nezávislú metódu. Ako sa však ukázalo, ani toto nemusí byť dostatočné. Problém nie je v samotnej technológií, ale najväčšou slabinou, ako naznačuje prax, je sám užívateľ.

Štúdie ukazujú, že k viac než 80 % všetkých bezpečnostných narušení dochádza v súvislosti s hackingom. Predovšetkým z dôvodu kompromitovaných a slabých prihlasovacích údajov. Čísla, ktoré zverejnila spoločnosť Microsoft, naznačujú, že užívatelia, ktorí povolili viacfázovú alebo tiež dvojfaktorovú autentizáciu, nakoniec zablokovali asi 99,9 % automatizovaných útokov

„To je skvelé číslo, ale ako pri každom dobrom riešení kybernetickej bezpečnosti, útočníci môžu prísť na spôsoby, ako ho obísť. Dôkazom, že sa tak aj stalo, je nedávny prípad kryptomenovej burzy Coinbase,“ prezradzuje Martin Lohnert, riaditeľ centra kybernetickej bezpečnosti Void SOC a IT odborník spoločnosti Soitron.

Ako možno zabezpečenie obísť?

Dvojfaktorovú autentifikáciu je možné obísť na základe jej princípu fungovania. Teda prostredníctvom vypátrania, lepšie povedané odcudzenia napríklad jednorazových kódov zaslaných v SMS na mobilný telefón užívateľa. Táto metóda spočíva v tom, že hackeri najskôr na základe prezradeného zoznamu e-mailov zašlú užívateľom e-mailové oznámenie, ktoré sa tvári napríklad ako správa z banky. Pokiaľ v ňom užívateľ klikne na odkaz, dôjde k otvoreniu webovej stránky, ktorá vyzerá legitímne – ako keby patrila banke. Užívatelia, ktorí si dávajú pozor a majú nejaké IT znalosti, odhalia, že niečo môže byť zle. Väčšinou sa podvrhnutá stránka ukrýva na internetovej adrese, ktorá nepatrí banke a obsahuje napríklad preklep.

Ani tu nejde o žiadnu novú techniku. Nové je to, čo nasleduje potom. Ako URL adresa sa použije niečo v tvare www.mojabanka.cz.resethesla.cz. Na prvý pohľad ide o doménu banky, takže všetko vyzerá v poriadku, ale skúsený užívateľ vie, že doména druhého rádu nie je www.mojabanka.cz, ale resethesla.cz. A v tom je veľký rozdiel, pretože táto doména patrí útočníkom. Ešte viac alarmujúce je, že pokiaľ na tento web prejde užívateľ z mobilného telefónu, tak sa mu v prípade, že adresa banky je dlhšia, nemusí zobraziť celá. Teda vidí len to, na čo je zvyknutý. V tomto prípade nejde o žiadnu technickú chybu, ale o využitie zraniteľnosti UX – teda toho, že vieme, že prehliadač v mobile zobrazí len určitý počet znakov URL adresy a ten zbytok je skrytý. Podvodná stránka môže v prípade tohoto „triku“ tiež použiť SSL zabezpečenie (URL začína https://), aby vďaka v prehliadači zobrazenému zámku evokovala v užívateľoch pocit bezpečia. Málokto, si totiž otvára a overuje detaily certifikátu, ktorým je SSL šifrované.

Všetko začína phishingom

Pokiaľ na podvrhnutú adresu užívateľ skočí, potom hackeri využijú phishingový útok. K tomu stačí, aby ich web 1:1 vyzeral ako ten patriaci banke. Na prihlasovacej stránke užívateľ zadá meno a heslo. Tým hacker získa prvý kľúč pre vstup. Okamžite, teda v reálnom čase po obdržaní, tieto údaje ručne zadá do skutočného webového rozhrania banky. Tá jeho majiteľovi na jeho mobilný telefón pošle autentifikačný SMS kód, a pokiaľ ho užívateľ opäť zadá do podvrhnutej stránky, má hacker, čo potrebuje. Behom chvíľky sa ocitne v internetovom bankovníctve užívateľa, na nič nečaká a zadá príkaz k platbe. Ten je potrebné opäť potvrdiť. Preto opäť užívateľovi na mobil príde SMS kód, ale pretože stále čaká na podvrhnutej stránke na vstup do banky, tak sa mu medzičasom zobrazí napríklad hlásenie, že ho prihlasujú, nech chvíľku počká. Následne sa zobrazí informácia o tom, že prvé prihlásenie sa nepodarilo a nech zadá druhý SMS kód, ktorý mu bol práve poslaný.

„A to je ten kód, ktorý slúži k potvrdeniu prevedenia skutočnej platby. Ak si toto upozornenie v SMS užívateľ nevšimne, a zadá ho do phishingovej stránky, hacker ho prepíše do internetového bankovníctva a peniaze sa mu podarí z účtu odčerpať,“ prezradzuje Martin Lohnert.

Prepisovanie kódov pod paľbou

Ako je vidno, aj s minimálnym úsilím je možné preraziť dvojfázové autentifikačné zabezpečenie.

„Preto je omnoho bezpečnejšie používať novšie typy dvojfázového overovania, a to prostredníctvom špecializovaných aplikácií. V nich je práve eliminované riziko prepisovania kódov a všetko sa deje v rámci rozhrania banky automaticky,“ uvádza Martin Lohnert.

Staršie podoby, teda práve ručné prepisovanie, sú dnes využívané nielen rôznymi službami – okrem iného v aplikáciách Google Authenticator, Microsoft Authenticator, ale aj niektorými bankami.

Hoci musí byť splnených niekoľko podmienok a na seba nadväzujúcich krokov, aby vyššie uvedené útoky fungovali, preukazujú zraniteľnosť v dvojfázových identifikačných metódach založených na SMS a tiež to, že tieto útoky nevyžadujú vysoké technické schopnosti.

Slovník kybernetickej bezpečnosti

V kybernetickom svete na nás číha množstvo nástrah. Útoky sú čoraz sofistikovanejšie, útočníci zasa sebavedomejší a pripravení vymýšľať nové metódy pre dosahovanie svojich cieľov. Aké spôsoby používajú, aby sa dostali bližšie k vám a vašim dátam? Pripravili sme pre vás slovník pojmov kybernetickej bezpečnosti, aby ste lepšie pochopili správanie útočníkov a nenechali sa oklamať.

Botnet

je sieť je sieť tvorená zariadeniami (počítačmi, telefónmi, IoT) napadnutými malvérom, ktorá je ovládaná útočníkom. Viacero infikovaných zariadení spojených do botnetu následne vykonáva zvolenú úlohu. Príkladom sú DDoS útoky, či zasielanie hromadného spamu. Vytvorené botnety môžu byť taktiež za províziu prenajímané tretím stranám (ďalším útočníkom).

Exploit

je špeciálny program, časť kódu alebo sekvencia príkazov, ktorá využíva chybu alebo zraniteľnosť v softvéri alebo hardvéri, obvykle so zámerom získať kontrolu nad systémom, získať privilegovaný prístup, alebo narušiť službu. Preto je dôležité, čo najskôr identifikovať takéto chyby alebo zraniteľnosti a opraviť (patchovať z anglického „patch“=záplata) ich skôr, ako by mohli byť zneužité. Exploity, ktoré ešte nie sú verejne známe sa nazývaju  “zero day“ exploity a sú nebezpečné práve tým, že proti nim ešte neexistuje obrana. Používateľ by mal pravidelne aktualizovať svoj systém a aplikácie, aby odstránil tie chyby a zraniteľnosti, ktoré sú už známe.

Honeypot

je bezpečnostný mechanizmus (obvykle server v sieti), ktorého cieľom je prilákať potenciálne útoky a zaznamenávať ich pre ďalšiu analýzu. Ide v podstate o pascu pre nalákanie útočníka.  Keďže honeypot nemá inú legitímnu funkciu, takmer akákoľvek interakcia s ním je signálom podozrivej aktivity. Využívaný je obvykle na získavanie informácii o útočníkoch, ich motívoch, nástrojoch, či taktike. Takto je možné lepšie porozumieť správaniu útočníkov a hľadať efektívne spôsoby obrany.

Malvér (Malware)

je akýkoľvek softvér úmyselne navrhnutý za účelom poškodenia počítačov, serverov, klientov, alebo počítačových sietí. Poznáme viacero typov malvéru, napríklad vírusy, červy, trójske kone, spyware, adware, či nechválne známy ransomvér.

Phishing

je typ útoku, pri ktorom sa útočník pokúša získať osobné údaje je typ útoku, pri ktorom sa útočník pokúša získať citlivé údaje používateľa prostredníctvom správ. Ide najmä o heslá, používateľské mená alebo údaje o platobných kartách. Tie môžu byť následne využité na okradnutie používateľa, získanie neoprávnených prístupov  (k zariadeniam, sieťam, informáciám, či ďalším ľuďom), inštaláciu malvéru, krádež identity a podobne. Útočník sa pokúša používateľa, najčastejšie prostredníctvom emailu, vylákať na škodlivú stránku, prípadne nabáda otvoriť škodlivú prílohu. Nezabudnite byť preto obozretní. Podozrivé sú najmä správy od neznámych osôb, alebo z neznámych adries, ktoré vás nabádajú kliknúť na link, otvoriť prílohu, alebo odoslať citlivé údaje. Podozrivé sú aj správy obsahujúce gramatické či faktické  chyby. Vždy sa radšej zamyslite, či nemôže ísť o podvod.

Ransomvér (Ransomware)

zablokuje používateľovi jeho dáta (obvykle šifrovaním) a následne ho vydiera a vyžaduje výkupné za ich opätovné sprístupnenie. Súčasťou útoku je často aj hrozba zverejnenia týchto dát.

Smishing

je typ útoku cez podvodné SMS správy. Názov smishing je kombináciou pojmov SMS a phishing. Keďže phishing je pomerne známy, ľudia začínajú na podozrivé maily reagovať opatrnejšie. Zdokonaľujú sa tiež technické riešenia, ktoré tieto maily filtrujú, preto sa útočníci presúvajú do prostredia mobilných telefónov.

Spam

je hromadná nevyžiadaná komunikácia. Často ide o hromadný mailing pre veľké množstvo používateľov. Samotný spam je skôr otravný, ako vyslovene nje hromadná nevyžiadaná komunikácia. Obvykle ide o hromadný email pre veľké množstvo používateľov, za účelom šírenia reklamy. Samotný spam je skôr otravný, ako vyslovene nebezpečný, avšak častokrát spamové kampane obsahujú aj prvky phisingu, smishingu či šíria škodlivé odkazy a prílohy.

Spyware

je škodlivý softvér, ktorý zhromažďuje informácie o používateľovi alebo organizácii s cieľom odoslať ich ďalšiemu subjektu a spôsobiť tak používateľovi škodu. Napríklad môže ísť o narušenie súkromia zdieľaním získaných údajov alebo ohrozením bezpečnosti zariadenia. Toto správanie môže byť prítomné v malvéri, ale aj v legitímnom softvéri. Niektoré webové stránky využívajú praktiky podobné spyware pri trackovaní používateľa webu.

Sociálne inžinierstvo

je netechnicje psychologická manipulácia za účelom naviesť inú osobu k správaniu, ktoré nie je v jej najlepšom záujme: obvykle s cieľom získať citlivé informácie, neoprávnený prístup a podobne. Nevyžaduje technické schopnosti, naopak útočník spolieha na ľudskú chybu. Za sociálne inžinierstvo považujeme napríklad phishing, vishing, smishing či spam. Konkrétny prípad sociálneho inžinierstva, ktorý sa odohrával aj u nás, na Slovensku, v decembri 2020 sme popísali v článku Social hacking v priamom prenose.

Tabnabbing

je útok, ktorý manipuluje s webovými stránkami. Zvyknete mávať pootváraných viacero kariet v prehliadači? Tak sa ľahko môžete stať terčom tabnabbingu. Tento typ phishingového útoku, nenabáda používateľa kliknúť na podvodný je phishingový útok s cieľom získať prístupové údaje používateľa k populárnym internetovým službám. Zvyknete mávať pootváraných viacero kariet v prehliadači? Tak sa ľahšie môžete stať terčom tabnabbingu. Tento útok podsúva používateľovi v jednej z otvorených kariet jeho prehliadača falošnú stránku napodobňujúcu známu internetovú službu a spolieha sa na jeho nepozornosť. Tým, že používateľ prehliadne detaily a dôveruje zobrazenej stránke, bez problémov zadá svoje prihlasovacie údaje.

Trojan/trójsky kôň

je typ malvéru, ktorý zavádza o svojom úmysle a vydáva sa za bezpečný súbor. Trójske kone sa šíria najčastejšie cez nejakú formu sociálneho inžinierstva, napríklad sú súčasťou emailovej prílohy, alebo sú získané po kliknutí na falošnú reklamu na sociálnych sieťach alebo kdekoľvek na webe. Mnohé súčasné trójske kone fungujú ako zadné vrátka, ktoré umožňujú neoprávnený prístup k infikovanému zariadeniu. Ransomvérové útoky sú tiež často vykonávané prostredníctvom trójskeho koňa.

Vishing

je typ phishingového útoku realizovaný cez telefonáty, využívajúci prvky sociálneho inžinierstva. Pojem pochádza z kombinácie slov voice a phishing. Útočník sa snaží vzbudiť dôveru tým, že sa vydáva za nejakú legitímnu entitu: políciu, banku, telekomunikačnú spoločnosť, či vášho nového kolegu. Následne sa snaží získať citlivé informácie, čím sa mu otvárajú možnosti pre ďalšie škodlivé aktivity. Útočník sa tiež môže vydávať za niekoho v núdzi, kto súrne potrebuje vašu (obvykle finančnú) pomoc. Vishing je medzi útočníkmi populárny preto, lebo je ťažšie sledovateľný.

Whaling

je cielený phishingový útok na vysoko postaveného, dôležitého človeka vo firemnej štruktúre („veľkú rybu“ preto whaling, z anglického whale=veľryba). Na rozdiel od phishingu je premyslenejší, viac selektívny, a lepšie pripravený. Cieľom je vylákať od obete citlivé informácie, alebo presvedčiť ju na aktivitu, ktorá je v záujme útočníka.

Bezpečný home office

Mnoho zamestnávateľov ponúka home office ako jeden z benefitov. Počas pandémie Covid–19 sa však práca z domu stala bežnou súčasťou života mnoho ľudí. Hoci takýto typ práce so sebou prináša mnoho výhod, pre zamestnancov aj zamestnávateľov, zároveň predstavuje aj riziko. Ukazuje sa, že jednou z hlavných hrozieb je oblasť kybernetickej bezpečnosti.

Pre hackerov sú počítače (a iné pracovné zariadenia), mimo chránenej podnikovej siete, obvykle ľahším cieľom na útok. Má to viacero dôvodov, ktorým sa budeme v našom článku venovať, a tiež ponúkneme opatrenia, ktoré môžu hackerom ich plány významne skomplikovať. Tým pádom môžete lepšie chrániť vaše zariadenia pred hackerskými útokmi.

Na aké hlavné riziká by sme sa mali sústrediť?

  • Nezabezpečená domáca sieť a Wi-Fi – Veľmi veľa zamestnancov, ktorí pracujú z domu, používajú na pripojenie k internetu a k sieti zamestnávateľa, svoju domácu sieť. Hackeri môžu napadnúť nedostatočne zabezpečenú sieť a získať tak prístup k zariadeniam na sieti, citlivým údajom firmy, alebo aj k vašim súkromným dátam.
  • Útoky prostredníctvom e-mailu – Mnoho útočníkov posiela phishingové e-maily so zámerom získať prístup k citlivým údajom, službám, alebo zariadeniam. Väčšinou sa snažia získať dôveru zamestnanca a zvýšiť tak pravdepodobnosť, že nebude dôsledne kontrolovať legitimitu emailu a aktivít ku ktorým správa nabáda (napríklad otvoriť priložený súbor, kliknúť na odkaz v emaile, alebo zadať citlivé údaje).
  • Použitie súkromných zariadení na prácu – Veľa zamestnancov využíva súkromné zariadenia na pracovné účely a naopak. Nie je tiež výnimkou, keď zamestnanci prenášajú firemné dáta na svoje súkromné zariadenia a pracujú na nich. V prípade úspešného útoku, alebo straty svojho zariadenia tak vystavujú (často citlivé) údaje firmy a vlastne aj svojho zamestnávateľa riziku.

Ako sa chrániť?

Zabezpečte si domácu sieť – Odporúčame:

  • vždy zmeniť predvolené hesla na domácom routeri a ďalších zariadeniach v sieti
  • pri WiFi používať šifrovací protokol WPA2, alebo WPA3
  • vypnúť technológiu WPS na routeri
  • vypnúť vzdialený správcovský prístup k routru z internetu (WAN)
  • ak ste technický typ, môžete povoliť prístup k sieti len vopred určeným zariadeniam na základe ich MAC adresy

Dávajte si pozor na phishing – pri e-mailoch kontrolujte od koho prichádzajú, či v texte nie sú gramatické/faktické chyby, alebo či e-mail neobsahuje podozrivú prílohu prípadne odkaz. Ak potrebujete komunikovať citlivé dáta, využite šifrovanie e-mailov. Technológiu na  šifrovanie e-mailov obvykle určuje a zabezpečuje váš zamestnávateľ.

Používajte viacfaktorovú autentifikáciu – Viacfaktorová autentifikácia znamená, že k prihláseniu je potrebná kombinácia „rôznych faktorov“, teda kombinácia niečoho čo viete (napr. prihlasovacie meno, heslo, alebo PIN), niečoho čo máte (napr. telefón, karta), alebo niečoho čo „ste“ (napr. váš hlas, otlačok prsta). Takýto typ zabezpečenia, hoci niekedy menej komfortný, je veľmi efektívnou ochranou proti útokom. Využívajte ho všade, kde môžete, resp. kde to dáva zmysel.

Používajte silné heslá – o heslách sme už napísali, no zhrnieme základné rady:

  • vytvárajte si heslá so znakmi, číslami, veľkými i malými písmenami,
  • nepoužívajte jedno heslo pre viacero účtov
  • využívajte správcu hesiel

Na komunikáciu využívajte zabezpečené aplikácie – Namiesto SMS, alebo sociálnych sietí používajte na komunikáciu s kolegami a klientami zabezpečené aplikácie. To isté platí aj pre videokonferenčné aplikácie. Vhodnú technológiu by mal obvykle určiť a poskytnúť váš zamestnávateľ. Ak to tak nie je, skúste sa na neho s takou požiadavkou obrátiť – je to aj v jeho záujme.

Šifrujte údaje – Šifrovanie je preklad informácií do kódu, ktorý dokážu dešifrovať len tí, ktorí poznajú šifrovací kľúč, prípadne heslo – teda zamestnanci firmy, resp. oprávnené osoby. Vďaka tomu útočník nebude vedieť informácie zmysluplne využiť ani v prípade, ak sa k dátam dostane. To platí pre všetky údaje – tie, ktoré prenášate (odosielate, prijímate) aj tie, ktoré ukladáte na svojich zariadeniach.

Nedovoľte rodine používať váš firemný počítač – Nezabúdajte, že vaše firemné zariadenie obsahuje citlivé dáta, a v prípadne kompromitácie môže hackerom poslúžiť aj ako „brána“ do siete zamestnávateľa.

Dodržujte firemné pravidlá – Každé nezvyčajné správanie firemných zariadení nahláste IT oddeleniu, dodržujte základné pravidlá „počítačovej hygieny“, ako pravidelné aktualizácie operačného systému, antivírusového softvéru, webového prehliadača a pravidelné skenovanie zariadenia na prítomnosť malvéru. Medzi obvyklé bezpečnostné pravidlá patrí napríklad aj:

  • Použitie firemnej VPN, prostredníctvom ktorej sa môžete bezpečne pripojiť do chránenej siete zamestnávateľa
  • Používať len softvér, ktorý vám povolí váš zamestnávateľ
  • Nenavštevovať neznáme alebo podozrivé webové stránky z pracovného zariadenia
  • Nevyužívať firemné zariadenia na súkromné účely
  • Používajte úložisko dát poskytnuté vašou spoločnosťou – všetky dokumenty či dáta, s ktorými pracujete, by ste mali uchovávať na bezpečnom mieste. To je často cloudové, resp. centralizované úložisko zamestnávateľa. Vďaka tomu firma dokáže lepšie riadiť prístupy k dátam, ochranu dát (šifrovanie), alebo ich zálohovanie. Zároveň sa tým znižuje pravdepodobnosť, že budú zamestnanci súbory kopírovať na súkromné zariadenia.

Nastavte si automatické zamykanie obrazovky – nastavte si automatické uzamykanie obrazovky. Aj takýmto jednoduchým riešením môžete ochrániť firemné údaje.

Rady pre zamestnávateľov:

  • Povoľte pripojenie zamestnancov na firemnú sieť len prostredníctvom VPN.
  • Nastavte politiku hesiel tak, aby vaši zamestnanci používali silné a bezpečné heslá.
  • Implementujte multifaktorovú autentifikáciu pre prístup k najcitlivejším dátam spoločnosti (resp. všade tam, kde to dáva zmysel).
  • Nastavte časové limity pre neaktívne spojenia pre aplikácie, ktoré pracujú s citlivými dátami spoločnosti. Nie vždy sa zamestnanci odhlásia sami.
  • Zamestnancom povoľte prístupy len k tým dátam, ktoré nevyhnutne potrebujú pre výkon svojej práce.
  • Používajte šifrovanie na všetkých firemných zariadeniach.
  • Uistite sa, že všetky webové aplikácie používajú HTTPS.
  • Využite všetky dostupné mechanizmy na zabezpečenie komunikácie zamestnancov (e-mail, správy, videokonferencie)
  • Monitorujte vašich dodávateľov a poskytovateľov služieb.
  • Vytvorte a poskytnite zamestnancom centralizované a bezpečné úložisko pre prácu s dátami.
  • Vytvorte súbor firemných bezpečnostných politík a pravidiel pre zamestnancov a zabezpečte, aby sa s nimi zamestnanci oboznámili.
  • Pravidelne vzdelávajte svojich zamestnancov v oblasti kybernetickej bezpečnosti.

5 tipov ako si zabezpečiť svoje účty

PREPÁČTE, ALE VAŠE HESLO MUSÍ OBSAHOVAŤ…

Vytvoriť si heslo k účtu neznie ako zložitá úloha, aj keď niekedy to tak úplne nevyzerá. Často sa zabávame či rozčuľujeme nad tým, ako od nás stránky žiadajú príliš špecifické heslá. Použite dlhšie heslo, použite aspoň jeden numerický znak, použite aspoň jeden symbol, aspoň jedno veľké písmeno,…Ale verte, že na to majú dôvod. Slabé heslá zohrávajú kľúčový rolu pri hackerských útokoch. Takže ak používate dátum svojich narodenín, alebo meno svojho psa ako heslo do svojich účtov od svojich 18. rokov, tak vedzte, že to nie je úplne ideálne.

NÁVYKY, KTORÉ VÁS MÔŽU OHROZIŤ

Správa hesiel nie je dôležitá iba na úrovni jednotlivca, ale zodpovednosť musia prevziať aj firmy. Bez správnych návykov môžu byť zamestnanci pre firmu hrozbou. Hoci vaše systémy môžu byť komplexné a zabezpečené, útočníci môžu vyčkávať práve na chybu zamestnanca. Preto je dôležité dbať na vzdelávanie zamestnancov na všetkých pozíciách a naučiť ich (okrem iného) správnej administrácii hesiel, naučiť ich premýšľať predtým, ako kliknú. Len informovaní a uvedomelí zamestnanci môžu stáť v prvej línií obrany proti kybernetickým útokom.

AKO NA TO?

Niektoré z týchto tipov už možno poznáte, ale prejdime si to spoločne:

1. Vytvárajte si silné heslá
Ako sme už spomínali, slabé heslá sú ľahko odhaliteľné. Spýtajte sa sami seba otázku. Ak by sa hacker pokúsil získať prístup k vášmu heslu, ako dlho by mu to trvalo? Používate svoje osobné, ľahko dostupné údaje (napr. vyhľadateľné na sociálnych sieťach) ako súčasť svojho hesla (dátum narodenín, meno vašej ženy, atď. )? Používate vo svojom hesle zaužívané frázy ako „qwerty“, „heslo“ alebo „1234“? Pokúste sa vytvoriť si heslo, ktoré je nepredvídateľné, ideálne použite náhodne vygenerované heslo, mix písmen, čísel a symbolov. Odporúčaná dĺžka hesla by mala mať 15-20 znakov. Kratšie, aj náhodne vygenerované heslá vie útočník odhaliť tzv. brute-forcingom.

2. Uložte si svoje heslá do správcu hesiel
Bojíte sa, že si tie špecifické náhodné heslá len tak ľahko nezapamätáte? Práve na to tu máme aplikácie na správu hesiel. Takáto aplikácia uloží všetky vaše heslá na jedno miesto a „odľahčí“ vašu pamäť. Aplikácie vám dokážu heslo aj priamo vygenerovať, nemusíte sa teda nad ich vytvorením zamýšľať. Na ochranu vašich dát používa šifrovanie. Teraz však možno premýšľate nad tým, či je bezpečné poskytnúť všetky svoje heslá ďalšej aplikácii, ktorá ich navyše zhromaždí na jednom mieste? Áno, samozrejme aj to predstavuje nejaké riziko, keďže nič, čo je online nie je 100% bezpečné. Napriek tomu sú mnohé z týchto aplikácii bezpečné a ich prínosy prevažujú riziká. Nezabudnite si však zvoliť dôveryhodnú aplikáciu. Náš tip je open source aplikácia Keepass. Prístup do aplikácie si ošetrite silným heslom a pravidelne si svoju databázu zálohujte.

3. Meňte si svoje heslá pravidelne
Veľa ľudí používa rovnaké heslo roky. Je však odporúčané meniť si heslá v pravidelných intervaloch, ideálne aspoň pár krát do roka. Frekvencia závisí od toho, o aký účet ide, a tiež od sily použitého hesla. Určite si zmeňte heslo vždy, keď bol ohlásený únik hesiel, ak sa niekto pokúsil prihlásiť do vášho účtu a vtedy, ak ste sa do účtu prihlásili z verejnej wifi siete. To, či unikli aj vaše údaje si môžete skontrolovať napríklad tu.

4. Používajte pre každý účet iné heslo
Používanie rovnakého hesla pre všetky účty zvyšuje ich zraniteľnosť. Nikdy nepoužívajte rovnaké heslo pre viaceré účty. Zbytočne to uľahčíte útočníkom, ktorí sa prelomením jedného hesla dostanú ku všetkým vašim účtom.

5. Zvyknite si na dvojstupňové overenie
Aj keď nás niekedy otravuje potvrdzovať každé prihlásenie či transakciu v dvoch krokoch, treba myslieť na to, že dvojstupňové overenie je tu pre našu bezpečnosť. Najčastejšie prebieha cez SMS správu či notifikáciu s jednorazovým kódom, prípadne cez biometrické údaje (ktoré majú tiež svoje úskalie, ale o tom si povieme zasa nabudúce). Ak ho teda daný web či aplikácia ponúka, využite ho. Veď prečo to útočníkovi neskomplikovať?