Jakými hlavními proměnami dnes prochází kybernetická kriminalita? Samotná jména trendů nebudou působit nijak nově. Před mobilními hrozbami se opakovaně varuje již asi 7 let a ransomware výrazněji vstoupil na scénu v roce 2013. Podvody skrývající se za stejnými jmény ale mění svou povahu poměrně výrazně.
Mobilní aplikace a útoky Man-in-the-Middle
V posledních týdnech se zprávy z IT bezpečnosti soustředily na chybu Freak. Jedná se o další příklad nedostatků v implementaci protokolu SSL/HTTPS, které ukazují, že ani šifrované spojení nemusí zajistit požadovanou bezpečnost přenášených dat. Pozornost se k problematice SSL upřela již loni, když byla publikována zranitelnost Heartbleed. Řada z těchto a dalších obdobných chyb má společné to, že existují dlouho, než si jich někdo všimne, takže jich z minulosti zbývá nejspíš ještě opravdu dost – a to se přitom pohybujeme víceméně ve světě otevřených technologií, nikoliv proprietárního softwaru. Taktéž výrobci potřebují nějakou dobu na opravu příslušné zranitelnosti. Za jedno z hlavních souvisejících bezpečnostních rizik lze pokládat především SSL zranitelnosti v mobilních aplikacích. Nepřekvapuje, že vzhledem k méně řízenému ekosystému aplikací pro Android jsou zranitelné především aplikace na této platformě, ovšem problémy s implementací SSL má i řada mobilních aplikací distribuovaných přes Apple App Store.
Problém se šifrováním znamená, že přenosy mezi klientem a serverem jsou vystaveny útokům typu man-in-the-middle bez ohledu na zabezpečení koncových bodů. Z tohoto hlediska lze ještě více doporučit používání nástrojů pro řízení přístupových údajů („správci hesel“); když už se smíříme s potenciální zranitelností mobilních aplikací, neměla by jedna aplikace alespoň ohrožovat ty další.
Exploit kity pro mobily
Co se týče kriminality zaměřené na samotná mobilní zařízení, stále více se zde uplatňuje „standardizace“. Značná část útoků ve světě PC/serverů dnes využívá sady pokoušející se o zneužívání známých zranitelností, ať již se jedná o chyby zero day nebo již opravené. Tyto exploit kity podvodníkům značně zjednodušují práci a lze čekat, že se už letos budou výrazněji uplatňovat i při útocích na mobilní zařízení.
Současné exploit kity, ačkoliv jde o „komoditu“, kterou lze snadno koupit a používají ji i podvodníci bez zvláštních technických znalostí, jsou často značně pokročilé. Své aktivity různě skrývají, instalovaný malware se snaží zjistit, zda není jen emulován/spuštěn v sandboxu, detekuje bezpečnostní produkty, nevytváří soubory na disku apod. Rozšiřuje se množství zranitelných aplikací, proti nimž sady standardně cílí. Rovněž instalovaný malware má stále víc charakter stavebnice. Podvodník si může snadno navolit, zda se na kompromitované systémy mají stáhnout bankovní trojské koně, rootkity, ransomware atd.
Počet vzorků mobilní malwaru v databázích McAfee Labs překročil už ve 3. čtvrtletí loňského roku hodnotu 2 milionů, meziročně se jednalo o růst 112 %. Mnohem důležitější než samotný počet je ale rostoucí počet útoků, které jsou pomocí tohoto malwaru realizovány.
Kromě většího nasazení exploit kitů projdou mobilní hrozby jistě i dalšími proměnami. Zatím například můžeme jen očekávat, jak podvodníci zareagují na rozšiřování mobilních plateb pomocí technologie NFC…
Stále chytřejší vyděrači
Uplynulé dva roky přinesly nástup ransomwaru a i když se zdá, že tyto incidenty nyní poněkud ustoupily do pozadí, lze očekávat, že podvodníci své metody brzy inovují.
Dokonalejší šifrování zmenší šanci uživatelů dostat se k zamčeným datům bez zaplacení výpalného (naopak to samozřejmě neplatí, podlehnout vyděračům nezaručuje nic). Ani cloudové služby nebudou představovat ochranu. Podvodníci se stále častěji snaží současně se zašifrováním místně uložených dat (nejen klasické disky, ale i síťové úložné systémy NAS apod.) krást přístupové údaje a znepřístupnit pak i zálohy či další obsah v cloudu.
Malware CryptoLocker je schopen svým „distributorům“ vydělávat statisíce dolarů měsíčně. S tím, jak se stále více dat nachází na mobilních zařízeních, se i smartphony a tablety stávají pro tvůrce ransomwaru zajímavějším cílem.
Válka nejen velmocí
Zajímavé trendy lze zaznamenat také v oblasti označované jako kybernetická válka. Zatímco v minulosti se pozornost soustřeďovala především na aktivity a plány „klasických“ velmocí typu USA, Ruska a Číny, severokorejská akce, která paralyzovala společnost Sony Pictures, naznačuje, že za útoky může dnes stát prakticky kdokoliv. Prostředky potřebnými k úspěšnému provedení k rozsáhlého i sofistikovaného útoku disponuje celá řada států – včetně těch, které bychom určitě neoznačili za technologicky vyspělé.
Za největšími akcemi kybernetické špionáže stojí dnes nejčastěji také státy, eventuálně skupiny, které pracují ve spojení s nimi. Studie o hrozbách Threat Predictions společnosti McAfee/Intel Security do této skupiny řadí 87 % z největších incidentů. Pouze 11 % pak připadá na organizovanou kriminalitu fungující bez vazby na stát. (Po procentu mají na svědomí konkurenti či bývali zaměstnanci – v případě akcí menšího rozsahu jsou poměry samozřejmě zcela odlišné.)
Domácí zařízení ve firmách
V domácích sítích dnes obsahuje bezpečnostní zranitelnosti až 70 % používaných zařízení. Z pohledu podniků je alarmující, že řada těchto systémů se používá i ve firemní sféře. Část problémů padá na vrub slabých hesel či nevhodné konfigurace (např. nedostatečné ošetření správy přes internet, backdoor od výrobce…), nicméně mnoho z těchto chyb zákazník nemůže jednoduše odstranit. Řada zranitelností má povahu zero day. Slabým článkem řetězu bývá i aktualizace firmwaru. Oproti klasickému softwaru zde nejsou příliš běžné mechanismy automatických oprav a systémy pro správu aktualizací také obvykle hardwarové komponenty ignorují.
Odhaduje se, že v roce 2019 bude k internetu připojeno asi 50 milionů zařízení. Nástup Internetu věcí samozřejmě rizika popsaného typu ještě zvýrazní. Vážný problém ale existuje už nyní.
Nové technologie na straně bezpečnosti
Co se naopak týká zlepšení, které by letos mohly přinést bezpečnostní technologie, přínos se očekává hlavně od širšího přijetí biometrie – ať už samostatně, nebo v rámci systémů pro vícefaktorovou autentizaci. I tak ale bude dál používána řada systémů, které tyto možnosti podporovat nebudou, a to včetně kritické infrastruktury. Přístupů pouze na základě jména a hesla se ještě nějaký čas nezbavíme.
Určitý bezpečnostní pokrok mohou znamenat legislativní opatření, větší pozornost kybernetické kriminalitě ze strany policejních složek i mezinárodní akce proti provozovatelům botnetů a největším skupinám stojícím za phishingem, ransomwarem nebo poskytováním kriminality jako služby (včetně podpůrné infrastruktury domén, fyzických serverů atd.). I když takto vzniklou „mezeru na trhu“ obvykle brzy zaplní další zločinci, dosavadní zkušenosti svědčí o tom, že úspěšné policejní zásahy alespoň dočasně míru internetové kriminality opravdu sníží.
Aleš Pikora
Autor pracuje jako ředitel Divize DataGuard ve společnosti PCS, spol. s r. o.