Píší škodlivé kódy, napadají počítačové systémy, vytvářejí falešné webové stránky nebo přetěžují počítačové sítě. Počítačoví zločinci. Už to přitom nejsou vandalové, ale profesionálové. Kybernetický zločin totiž stojí za více než devadesáti procenty počítačových útoků.
Předchůdci dnešních kyberútočníků se přitom jmenovali phreakeři a věnovali se phreakingu. Phreak je slangový termín vzniklý jako spojenina slovíček phone (telefon, telefonní) a freak (vrtoch). Tímto termínem je označována komunita osob, které studují, experimentují a zneužívají telefonní linky a společnosti. Dokázali zneužít slabiny v systémech. Zjistili například, že centrálnímu počítači je zaplacení poplatku za telefonní hovor (bavíme se o době zhruba šedesátých let, takže v daném případě vhození mince) oznamováno speciálním tónem.
Tento tón pak stačilo odchytit a následně reprodukovat (třeba z nahrávky). Cesta k neomezenému volání zdarma byla volná. Pravděpodobně šlo o první neoprávněný ekonomický prospěch ze zneužití informačních a komunikačních systémů. Rozmach oboru pak přišel s nástupem virů a dalších škodlivých kódů, které dokázaly zašifrovat data (a uživatele vydírat), odcizovat hesla k systémům nebo internetovému bankovnictví, zneužívat výpočetní kapacitu počítačů…
Za kolik?
Asi si dokážeme představit, že stejně jako v jiných oblastech nelegálních činností ani v kyberzločinu nejsou žádné oficiální ceníky. I když jisté „orientační ceny“ samozřejmě existují. Aneb vše má svoji cenu – bezpečnost i riziko.
Věděli jste třeba, že pouhým OTEVŘENÍM spamové zprávy elektronické pošty mnohdy zvyšujete hodnotu své e-mailové adresy na trhu? Důvodem je fakt, že pouhým otevřením zprávy můžete předat útočníkovi informaci s tím, že otevíráte spam. Děje se tak třeba v případě, kdy spam obsahuje obrázek stahovaný ze serveru monitorovaného agresorem – pokud každá spamová zpráva obsahuje odkaz na unikátní obrázek (i když v konečném důsledku jsou všechny stejné), pak je možné korelací s databází odeslaných zpráv snadno a rychle zjistit, kdo zprávu otevřel.
Před jejím otevřením jste přitom jen položka v seznamu, jen jeden e-mail z miliónů. Uvádí se, že cena jednoho takovéhoto anonymního kontaktu je zhruba jedna setina centu. Ale jakmile tento kontakt patří někomu, kdo spam prokazatelně otevírá, hodnota adresy stoupne zhruba stonásobně. Milión e-mailových kontaktů lze zakoupit za zhruba sto dolarů, tři milióny za 200, patnáct miliónů stojí kolem tisíce dolarů. Smlouvat je možné; jen nepočítejte s vystavením daňového dokladu.
Spam? Prostě se vyplácí…
Kromě zakoupení e-mailových kontaktů je možné zakoupit si i službu – třeba pronájem spamovacího serveru nebo rozeslání spamu. Server lze získat za 500 USD, a to zpravidla bez dalších záruk (často jde o server patřící někomu jinému, který byl útočníky „nabouraný“ – používat jej tak lze jen do té doby, než jej právoplatný majitel odstaví, což může být za hodinu nebo také za týden). Pokud se nechcete obtěžovat s obsluhou serveru, rozeslání deseti miliónů zpráv (zvládnuto bude za jeden den) vás bude stát plus minus 600 USD.
Pokud jsme už u ekonomiky spamu, zmiňme ještě několik dalších čísel, která sice nemají nic společného s nákupem služeb nebo produktů, ale která jsou velmi zajímavá. Spam funguje z jednoho prostého důvodu – vyplácí se. Statistiky smutně konstatují, že nabídky spamu využil alespoň jednou každý pátý dospělý Američan. Obecné ekonomické rozbory ukazují, že spam se bude vyplácet, pokud zareaguje jeden oslovený kontakt z dvaceti miliónů! Ano, čtete správně: z dvaceti miliónů!
Přitom lidé reagují na každou dvoumilióntou zprávu.
Zpoplatněná odepřená služba
Nevyžádaná sdělení jsou jednou, nikoliv ale jedinou službou, kterou si od „těch z druhé strany barikády“ můžete koupit. Další jsou třeba útoky DoS (Denial of Service) nebo DDoS (Distributed DoS). Podstata těchto úkonů je jednoduchá. Namísto přímého útoku proti cíli jej agresor vyřadí z provozu jinak. Nejčastěji obsadí (přivlastní si) nějaké zdroje, jako třeba komunikační linky sloužící ke spojení. Útočník pak zneužívá toho faktu, že kapacita datových linek není neomezená. Tím, že je obsadí, stává se pánem situace. V reálném světě je to obdoba blokády silnic. Útoky DoS/DDoS zkrátka nepronikají perimetrem, ale pouze brání v přístupu/využívání nějakého systému.
Často se používají k vydírání různých firem („nezaplatíte-li výpalné, spustíme takovýto útok“), které jsou na internetu bytostně závislé. DoS útoky se často spouští proti konkurenci. (Nedávno bylo internetové bankovnictví jisté instituce ve Velké Británii napadeno takovým útokem, že bylo nedostupné pět dní – banka přišla o 200 tisíc zákazníků, kteří přešli ke konkurenci, která nezvykle rychle přišla s akčními nabídkami.) Za hodinu útoku se platí 10 až 20 dolarů. Za den pak cca sto dolarů. Vícedenní útoky začínají na dvou stech dolarech, ale cena může být mnohonásobně vyšší – v této době už postižený subjekt začne přijímat protiopatření, takže je nutné měnit taktiku, zapojovat do bitvy další a další počítače (protože část se jich bezpochyby podaří „odpojit“ apod.). Podotýkáme, že tyto útoky vyžadují sítě tisíců až desítek tisíc strojů – které ale útočník nevlastní, nýbrž nad nimi má kontrolu (jsou to tzv. zombie počítače, viz níže). Běžně se přitom nabízí deset minut testování zdarma – uvedete jaký server a v jakém čase má být nedostupný a agresor vám „předvede“ svoji službu.
Ceny dohodou
Škodlivé kódy se dají pořídit od několika desítek do několika set dolarů. Tady žádný ceník není, vždy záleží na náročnosti zakázky (nakolik se dají použít standardizované kódy a nakolik je potřeba nějakou část naprogramovat apod.).
Pokud nemáte zájem dostat na konkrétní počítač určitou aplikaci, ale dostat ji kamkoliv (= lhostejno kam), jistě pro vás bude zajímavý třeba aplikace MPACK dostupná za 700 USD a schopná aktivně zneužít desítky známých bezpečnostních problémů. (Cena podobných programů je zhruba ve stejné kategorii – toto je jen jeden příklad za všechny.) Stejně tak se platí i za neznámé (tedy výrobci neopravené) bezpečnostní chyby a návody k jejich zneužití, které slouží k obejití bezpečnostních mechanismů – zde je cena zpravidla v řádu několika set dolarů. Takováto chyba je sice extrémně nebezpečná, ale má zpravidla velmi krátkou životnost.
Kredit, který mění majitele
Velké oblibě mezi kyberzločinci se v poslední době těší útoky proti internetové telefonii. Dostatečně ilustračním příkladem může být třeba trojský kůň SpySkype.C (byť není žhavou novinkou), který krade uživatelské jméno a heslo k populární aplikaci Skype. Po vstupu do počítače zobrazí dialogové okno informující o instalaci bezpečnostní plug-inu Skype Defender. Dožaduje se restartu, přičemž aplikaci Skype zablokuje, takže ho uživatel nemůže ignorovat. Po restartu Skype zobrazí falešné přihlašovací okno, do nějž svádí uživatele ke vložení přihlašovacích atributů. Pokud tak uživatel učiní, data jsou odeslána přes http – a obdrží upozornění, že atributy jsou neplatné. SpySkype.C následně spustí skutečnou aplikaci Skype, kam se opakované přihlášení pochopitelně povede. Těží z té skutečnosti, že zatímco přihlašovací údaje třeba k internetovému bankovnictví si střežíme jako oko v hlavě, u ostatních přihlašovacích atributů už tak opatrní nejsme.
Sluha dvou pánů
Dramaticky také roste počet počítačů, které jsou infikované nějakou formou škodlivého kódu, a zároveň díky této infekci slouží k práci neoprávněným uživatelům – tedy zombie, které se sdružují do sítí (botnetů). Dle oznámení organizace Shadowserver se počet zombií zvyšuje meziročně čtyřnásobně! (Na vysvětlenou: Shadowserver je organizace dobrovolníků monitorujícího aktivity kolem sítí zombie.) Největší objevené botnetové sítě přitom čítaly přes 1,9 mil. počítačů! S takovouto „palebnou silou“ lze podnikat silné DDoS útoky, rozesílat milióny spamových zpráv nebo prolamovat v rozumné době (v řádu minut, hodin či dní) hesla, který by se jinak jevila jako neprolomitelná.
Stálice i nové hvězdy
Stálicí na nebi kyberzločinu je phishing (podvodné „vyloudění“ dat z uživatelů). Zpráva Anti-Phishing Working Group (APWG) konstatuje, že ve třetím čtvrtletí roku 2012 bylo zaznamenáno přesně 93 462 phishingových útoků, což představuje oproti čtvrtletí druhému nárůst o dvanáct procent. Dobrou zprávou alespoň je, že boj s phishingem je relativně úspěšný a průměrná životnost phishingových stránek je vpravdě jepičí: 23 hodin a 10 min. Což je o plnou polovinu méně, než na konci roku 2011.
Kromě těchto „stálic“ ovšem existují i nové trendy a cestičky kyberzločinu, takže do módy přicházejí třeba prodeje různých dlouhodobě „pěstovaných“ profilů s kvalitní pověstí na Facebooku, Twitteru či dalších sociálních sítích. Aneb stejně jako v reálném světě se dá koupit předpřipravená akciová společnost nebo společnost s ručením omezeným, tak v kybernetickém existují předpřipravené identity pro ty, kdo – z nějakého důvodu nechtějí nebo nemohou – čekat.
Nové pole neorané
Útočníci se ovšem nespokojí jen se zneužíváním obvyklých cílů: svůj obchodní model mají postavený na vyhledávání nových objektů. Americká FBI nedávno varovala, že se objevilo nové odvětví jejich zájmu: „chytré měřiče spotřeby“.
Aneb mnohé „inteligentní“ měřiče nejsou dostatečně „inteligentní“ na to, aby odolaly jednoduchým typům pokusů o své přeprogramování. Zařízení pak nejsou fyzicky jakkoliv poškozena, takže se rozvodným firmám manipulace s nimi velmi těžko prokazuje. Už dnes činí roční „netechnické“ ztráty energetických společností kvůli „hacknutým“ měřičům cca 400 mil. dolarů. Běžná cena za přeprogramování měřiče je 300 až 1 000 dolarů v případě domácnosti a 3 000 USD v případě firemního zařízení.
Proč je několikastupňová ochrana nutností?
Čelit amatérům je něco jiného než čelit profesionálům. Musíme si uvědomit, že cílem útoku může být kdokoliv, jakýkoliv počítač, jakákoliv firma. Podvodníci neútočí jen na velké korporace, ba právě naopak. V současné době se stále více zaměřují i na menší firmy. Dalším trendem poslední doby je i stoupající mobilita zaměstnanců a používání mobilních zařízení. S tím, jak stoupá obliba těchto zařízení, mění se i strategie útočníků, kteří rozšiřují své pole působnosti. Hlavní tradiční produkty samy o sobě již neposkytují dostatečnou ochranu podnikového prostředí. Důležité je tedy sledovat tyto trendy a tomu přizpůsobovat svou bezpečnostní politiku. Zákazníkům doporučujeme zvolit několikastupňovou ochranu nejlépe od jednoho dodavatele.
Několikastupňová ochrana zvyšuje šanci, že útočník neproklouzne. Jedna z firem, která reagovala na takovéto potřeby zákazníků je například AVAST Software, který přišel s novými verzemi bezpečnostních řešení pro firmy. V rámci sedmé verze produktů avast! mají firmy k dispozici dvě řady produktů a zároveň dvě rozdílné konzole vzdálené správy. Nová řada produktů (avast! Endpoint Protection a avast! Endpoint Protection PLUS; avast! Endpoint Protection Suite a avast! Endpoint Protection Suite PLUS) je variabilní a firmy si mohou zvolit variantu přímo na míru, a to jak určitou úroveň bezpečnosti, tak i efektivní správu, a navíc bez zbytečných nákladů.“
Sedmá verze produktů avast! využívá cloudu nejenom k aktualizaci definici malwaru, ale také pro hodnocení (reputaci) souborů. Technologie FileRep provádí toto hodnocení především na základě dat, která byla shromážděna od dalších uživatelů softwaru společnosti AVAST (především tzv. white listing – určité dokumenty jsou identifikovány jako neškodné). Zde se ukazuje výhoda bezplatného antiviru avast! Free Antivirus, díky němuž uživatelská základna těchto produktů překračuje 160 milionů, a výrobce má proto k dispozici podrobné údaje o nejnovějších bezpečnostních hrozbách. Stávající podoba lokálně uložené databáze virů však byla zachována. Na rozdíl od produktů spoléhajících výhradně na cloud, tak avast! zajistí ochranu i počítačům, které nejsou zrovna připojeny k internetu.
Aby toho nebylo málo přišel ALWIL Trade s AVAST Softwarem s férovou nabídkou. Není-li zákazník spokojen, může do 30 dnů od nákupu požadovat své peníze zpět! Zákazníkům nabízí i výrazné slevy při přechodu z konkurenčního produktu, případně prodloužení licenčního období ze dvou na tři roky zcela zdarma.