Ve vysočanském Hotelu Clarion proběhla 1. března 2018 konference Security 2018. Již 26. ročník zorganizovala firma AEC. Cnews.cz je mediálním partnerem konference, a proto vám nabízíme krátká shrnutí přednášek, které jsme navštívili. Minimálně si tak uděláte obrázek o aktuálních tématech. Vesměs panuje shoda, že nejvýraznějším nepřítelem poslední doby je ransomware a že doba jednoduchých bezpečnostních řešení pominula. Ještě dodáváme, že na konferenci promluvilo mnoho odborníků a odbornic z různých částí světa. Ty doplnil se svým méně technicky zaměřeným, neméně však naléhavým příspěvkem Ivan Bartoš, předseda Pirátů. Některé přednášky byly obecnější, prezentovány dále byly případové studie. Akce byla primárně rozdělena do dvou sálů. Program probíhal souběžně v tzv. technickém i manažerském sále od 9.00 do zhruba 17.00 hodin. Každý si tak mohl vybrat přednášky, které více odpovídají jeho zaměření.
Ochrana osobních údajů v roce 2018
Ačkoli může GDPR znít jako strašák, protože firmám způsobí řadu komplikací, lze argumentovat, že je potřebný právě proto, abychom měli jistotu, že bude s osobními údaji nakládáno citlivě a správně. S tím související český Zákon o zpracování osobních údajů, který se nachází ve fázi příprav, by se do prvního čtení mohl dostat v dubnu, uvedla Miroslava Matoušová z Úřadu pro ochranu osobních údajů.
Správce osobních údajů bude mít řadu nových povinností včetně nutnosti hlásit bezpečnostní incidenty do 72 hodin dozorujícím úřadům. Bude se také muset více do důsledků domýšlet, zda má během zpracování osobních údajů kontrolu nad osobními údaji. K charakteristickým znakům chystaného zákona je přístup založený na riziku. Osobní údaje totiž mohou být někdy zneužity po mnoha letech, např. i po nepřátelském převzetí firmy.
Matoušová uvedla, že dodržet všechny předpisy je občas skoro nemožné. Dodala však, že kdo ochranu osobních údajů dosud nezanedbával, nemusí se ničeho obávat. Zodpovědný přístup se snahou o důslednost, aby data nebyla „omylem“ přístupná těm, kdo nim přístup mít nemají, je správná cesta.
Všichni versus ransomware
Policie v Dánsku si nevěděla rady se serverem napadeným ransomwarem. Ve spolupráci s Kaspersky Lab došlo ke spuštění webu s nástrojem na dešifrování uzamčených souborů. Zdálo se, že ransomware Coinvault byl poražen, resp. bylo pomoženo bezplatně jeho obětem. Když se výzkumník později probíral soubory, které byly v souvislosti s malwarem objeveny, policie jim nerozuměla.
Výzkum pokračoval a byly objeveny další souvislosti. Skrze Usenet si lidé stahovali ilegální software, jenž byl ovšem nakažený malwarem. Malware otevíral dveře ransomwaru. Když byly po nějaké době odhalení pachatelé trestného činu, policii jejich zatčení trvalo další rok a půl, protože se chtěla blýsknout kvalitně zpracovaným případem. Právní oddělení doporučilo, aby pachatelé s ohledem na zdrcující důkazy přiznali vinu.
Nakonec poskytli Kaspersky Lab klíče k dešifrování souborů a celý příběh měl relativně šťastný konec. Příběh odvyprávěl Jornt van der Wiel z Kaspersky Lab. Co bylo jeho hlavním poselstvím? Že je důležité táhnout za jeden provaz. Policie, úřady a bezpečnostní firmy musí spolupracovat, aby se maximalizovala šance na vyřešení kybernetického zločinu. A že chytit zločince může být snazší než vypořádat se s následky jejich kybernetické kriminální činnosti.
Vývoj metod pro útoky
Dnes už se nespoléhá na náhodnou distribuci, ve větší míře dochází k cílení útoků, řekl Michal Hebeda ze Sophosu. Ransomware je dnes podle firmy největším rizikem. Jestliže nás mohlo děsit, že se nedostaneme k souborům na interním úložišti, objevuje se nový trend, a sice ukládání soukromých dat na server FTP, což vydírání snadno pozvedne na další úroveň.
Dalším trendem je cílení útoků nejen na klasické počítače, ale obecně na jakákoli k síti připojená zařízení, jež se útočnické entity snaží vhodným způsobem zneužít. Dále byl loni zaznamenán rekordní počet typů malwaru, ale též zranitelných a zatím neopravených míst v softwarech. Loni bylo těchto děr zjištěno přes 14 000, což je signifikantní růst. (Před rokem jich bylo evidováno kolem šesti tisíc.) Každý den se Sophos setká se 400 000 unikátními vzorky malwaru, 75 % z nich je však jednorázových. Ty typicky cílí na jednu konkrétní organizaci.
Sophos doporučuje automatizovat určité činnosti související s bezpečností, tj. bezpečnostní nástroj by se měl pokusit objevený incident zastavit sám. Taková reakce může trvat několik minut, zatímco člověk může zareagovat až po několika hodinách. Automaticky mohou být odebrány klíče pro dešifrování dat na nakaženém zařízení, toto zařízení může být rovněž automatizovaně izolováno od zbytku sítě firewallem. Dosavadní jednoduchá bezpečnostní řešení už podle Sophosu nestačí.
Vzestup ransomwaru
O ransomwaru se tvrdilo, že standardem v oblasti počítačových útoků bude, podle Martina Jirkala z Esetu však jím je již dnes. Vydírání se začalo výrazněji projevovat v roce 2010 s Badlockem, který poprvé uzamykal soubory v počítačích. O rok později byl v rámci útoku Reveton použit nátlakový faktor strachu. V roce 2013 se ransomware prvně podíval na platformu macOS, zatímco v roce 2014 tento typ malwaru zaútočil na Android. Nazván byl Simplocker.
Profesionalizace ransomwaru je pozorována od roku 2014. Vyděračský malware začal být mj. polymorfní – všemožně se snažil vyhnout se možnosti, že ho někdo zlikviduje. V roce 2016 se o kus výš podsunul Petya. Ten již opustil šifrování souborů a přistoupil k šifrování kompletních úložišť. Jigsaw byl zase zajímavý tím, že každou hodinu mazal soubory a jejich počet se stále zvyšoval.
Flocker, jenž se rovněž objevil v roce 2016, poprvé v historii napadl televizory. Loňský WannaCry vám nejspíš nemusíme příliš připomínat. Sophos po velkém útoku v květnu den a půl nebyl schopný hrozbu detekovat. Jak se později ukázalo, detekční schopnosti stejnojmenného antiviru zafungovaly tak dobře, takže firma útok na základě vlastních dat hned nepozorovala.
Jirkala uvedl, že podle aktuálních odhadů jen 20 % firem přizná, že jsou její zařízení nakažena ransomwarem. Většina ransomwarů je naštěstí zastavena již ve fázi stahování. Mimochodem, pamatujete, jak Google loni v létě utužil pravidla pro posílání příloh? Po aplikaci opatření dramaticky klesl počet stažených ransomwarů, takže se praxe ukázala být fungující. Přílohy a odkazy v e-mailech nadále tvoří 59 % míst, odkud se ransomware běžně šíří. Dále 97 % phishingových e-mailů v roce 2016 obsahovalo ransomware.
Ransomware se vyvinul do podoby sofistikovaného malwaru. Dnes vyhrožuje tím, že některé ukradené dokumenty zveřejní, dále cenu výkupného vypočítává mj. podle velikosti firmy. Dokonce se odkazuje na podporu, kdybyste snad měli problém se zaplacením. Jirkala se domnívá, že se vyděračského ransomwaru nejspíš nezbavíme. Do budoucna by ale s ransomwarem mohla bojovat umělá inteligence. Mimochodem, Eset nedávno vydal první antivirové řešení pro televizory. Doba, kdy je potřeba zabezpečit snad každé elektronické zařízení, pomalu nastává.
Budoucnost zabezpečení
Proč dnešní přístup k zabezpečení nefunguje, přišel říct Fred Streefland z Palo Alto Networks. Situace se zkomplikovala tím, že dnes používáme mobilní zařízení z různých míst a k propojení členů a členek organizace jsou používány cloudové služby. Současné technologie sice umožnili tzv. časoprostorovou kompresi, prostředí je však příliš komplexní a zabezpečení rozdrobené.
Streefland se ve svém produktu snaží sbírat informace i hrozbách z různých zdrojů, zpracovává je a díky automatizaci lze na základě dostupných informací zabezpečí podniku řídit. Opět se tedy odkazuje k sofistikovanému bezpečnostnímu řešení.
Resilience společnosti
Resilience v pojetí vrchního Piráta Ivana Bartoše znamená, že je subjekt schopný odolávat hrozbám obecně. Podle Bartoše je potřeba změnit bezpečnostní paradigma tak, aby společnost byla schopná dynamicky reagovat a dále se tak rozvíjet. Svou řeč Pirát nikoli překvapivě stočil k tomu, jakým způsobem dnes na lidi působí internet. Komunikace je prakticky neomezená a ovlivňuje nás řada legitimních, ale také podvodných zdrojů.
Ačkoli by svobodu toku informací omezovat nechtěl (je zastáncem liberální demokracie), je podle něj potřeba postavit se hoaxům, lžím apod. Dezinformační válka, jejíž projevy byly v Česku velmi patné např. v rámci nedávné prezidentské volby, ovlivňují celou společnost. Podle Bartoše však demokratická společnost na používané praktiky ovlivňování veřejného mínění – v důsledku i voleb – nemá přesvědčivou odpověď.
Osobní komunikaci omezit nelze, resilienci společnost však lze posílit jinými způsoby. Kupříkladu výhružky smrtí jsou trestné, podobné činy by tak měly být dle práva trestány. Bartoš nicméně varuje, že v Turecku opatření, jež byla původně určena pro potírání dezinformací, se nakonec obrátila proti svobodným informacím. Zneužít se dá cokoli.
V rámci demokratické společnosti nese každý člověk i subjekt svou zodpovědnost za celou společnost a její směřování. Podle Bartoše je potřeba hlídat aspekty jako transparentnost, podporovat participaci a proaktivnost. Jinými slovy se nám může stát osudnou lhostejnost. Dezinformace podporují někdy politici a političky, vlády a subjekty a obchodními zájmy, ale také agentury PR nebo ti, kdo provozují trolling.
Mezi nepřátele stabilní a rozvíjející se společnosti patří mj. nespokojenost s životní úrovní či statusem, dále nízká úroveň vzdělání obecně, především pak nedostatky v informační gramotnosti. Bartoš řekl, že se metody v dezinformační válce nemění zcela ve své podstatě, ale vyvíjejí se. Běžně se potkáváme s argumentační fauly, chybějícími nebo falešnými referencemi, někoho strhne i atraktivita dezinformací. Další tradiční metodou dezinformačních sil je nalezení společného nepřítele, proti kterému se pak ovlivněná společnost obrátí.
Pro řešení komplikovaných situací je potřeba v první řadě hledat společný jazyk, aby si obě skupiny rozuměly. Řešení dalších podproblémů budou složitá. Fakta mohou být nudnější než atraktivní výmysly. Demokracie ze své podstaty dává prostor těm, kdo ji hodlají zneužít, tj. každý se může svobodně vyjádřit. Podle Bartoše je tedy potřeba, aby byl každý člověk aktivní, ověřoval informace, opustil svou sociální bublinu, neinstitucionalizoval apod.
Neopomíjet detaily
O designu zabezpečení ve firmě přišli pronést řeč Domenico Raguseo a Hatem Zaghloul z IBM Security. Hodnota aktiv a celého podniku by podle nich měla být uvažována při přípravě plánu zabezpečení. Uvažovat bychom měli nad každým jednotlivým elementem. Pakliže např. koupíte nový počítač, je potřeba si uvědomit, že někdo musí být za jeho správu zabezpečení zodpovědný.
Podobně musí být někdo zodpovědný za zabezpečení, pakliže zavedete novou informační/zpravodajskou službu. Organizace by měly samozřejmě zvážit, jak jsou jejich strategie a bezpečnostní produkty nastavené. Ideálně bude mít každý subjekt propojené bezpečnostní řešení, díky němuž je pak možné relativně snadno identifikovat a reagovat na hrozby např. vzdáleným aplikováním záplat.
Zranitelná SCADA
Tomáš Vobruba z Check Pointu říká, že zařízení SCADA, resp. průmyslová automatizace a řízení jsou všude. Může jít o větrné elektrárny, výrobu léků, ale také o operační sály. Zvlášť tam je potřeba zajistit, aby technika neselhala, neboť jde o životy.
Řídící protokoly systémů nepředstavují věc úplně novou. Programovatelné jednotky už např. desítky let ovládají výtahy. Dnešní snahou je umožnit komunikaci ovládacích jednotek a správních zařízení prostřednictvím TCP/IP. To ovšem podobné systémy potenciálně otevírá hackingu. Podle Vobruby je typickým přístupem organizací popření možného problému.
Programovatelné logické jednotky nejsou navrženy s ohledem na maximální zabezpečení. Protokol Modbus pochází ze 70. let a je používán dodnes. Ačkoli je upravován, firmy zpravidla neplánují krátké životní cykly pro svá řídící zařízení. Pokud řídící jednotka funguje, může takto bez aktualizace fungovat i více než 10 let.
Přitom existují snadno dostupné nástroje, které se zaměřují na napadení SCADA z různých směrů. Běžně se škodlivý kód šíří skrze flash disky. Vobruba poukázal, že nedávno se v Rusku útočníkovi nasadit nástroj na těžbu kryptoměny na superpočítač určený pro simulace jaderných výbuchů.
Banka a mobilní sítě
Tomáš Rosa z Competence Centre v Raiffeisenbank přednesl, jak banka (ne)může věřit mobilním sítím. Hardware pro interakci s mobilními sítěmi jsou podle Rosy především definovaná softwarem. Tato technologie tedy může být napadena, byť se ještě před 15 lety o podobných útocích spíše jen teoretizovalo.
Operátoři stále vedle sebe provozují sítě druhé, třetí a čtvrté generace. Ačkoli jsou novější technologie lépe zabezpečené, platí, že dokud je v provozu 2G, právě tato technologie otevírá cestu k identitě, která je používána pro přihlašování k sítím 4G. Přitom ani sítě 4G nejsou zabezpečené dokonale. Za prvé je možné uživatele či uživatelku ze 4G přepnout zpět na 2G. Ochrana nabídnutá čtvrtou generací je pak už pasé. V Evropě jsou navíc vypínány spíše sítě 3G než 2G.
Útoky mohou být vedeny také přes kanál SS7 (tj. signalizační síť propojující operátory). Loni bylo zjištěno, že za určitých podmínek nedojde k opětovné autentizaci zařízení, pakliže dojde při hovoru k přepnutí ze 4G na 2G (to se děje, pakliže není k dispozici VoLTE). Kvůli kryptografickým chybám je možné sledovat aktivitu jedince i v sítích 4G. Dnes lze mnohem snáze a až příliš jednoduché kompromitovat odchozí provoz z telefonu, takže např. lze falšovat číslo volajícího. Zvládla to i Paris Hilton.
Dochází také k sociálnímu inženýrství. Podvodnice či podvodník si může od operátora doslova vybrečet novou SIM, která mu nepatří, a to za použití různých typů falešných historek. Rosa uvedl, že banka nebude moct SMS pro zasílání kontrolních kódů dlouho používat, protože se jedná o příliš snadno zneužitelnou technologii.
Zabezpečení vrstev
Pro dosažení co nejlepších výsledků detekce hrozeb je podle Gabora Szabo z MOL potřeba přistupovat k zabezpečení v hlediska vrstev. Detekovat hrozby můžeme na úrovni infrastruktury, aplikací a také firemních procesů. Co bychom měli dělat? Nejdříve shromažďovat záznamy o aktivitách, jež pak lze analyzovat. Je potřeba dodržovat vytvářet a dodržovat procesy. Zkušenosti získané v prostředí IT můžeme překlápět do ICS (Industrial Control System).
Symantec a inovace
Haider Pasha, technologický ředitel Symantecu, si položil otázku, jak může analýza přispět k inovaci. V rozpínajícím se světě IoT se může stát, že např. koupíte zařízení s přednastavenými přihlašovacími údaji. Ty je doporučeno změnit, ale ne každý tak učiní. Díky monitorování je možné navrhnout či vynutit, aby si dotyčný heslo změnil.
Jak se Symantec snaží inovovat? Jeden z jeho týmů se zabývá chováním, které máme naučené. V reálném světě se budeme temným, špinavým a vůbec podezřele vypadajícím uličkám spíše vyhýbat. Symantec chce v prohlížečích více zvýraznit, že se chystáte navštívit podezřelou či škodlivou stránku.
Floodgate je pak projekt zaměřený na využití umělé inteligence k tomu, aby dokázala předcházet incidentům. Na umělou inteligenci vždycky někdo dohlíží, přičemž ta se v průběhu času učí, je stále přesnější. a zdokonaluje své schopnosti. O to větší jsou pak možnosti automatizace. Symantec se samozřejmě rovněž soustředí na tvorbu provázané platformy nástrojů. Význam a nutnost integrace byl ostatně na konferenci zmíněn několikrát.
Poznejte bitevní pole
Ondrej Bóna nabídl své zkušenosti ze Slovenské spořitelny. V roce 1999 bylo známo 894 zranitelných míst v softwarech, loni se však bylo známo na seznamu nacházelo 14 712 děr. Komplexnost digitálních prostředí roste, takže bránit se hrozbám je složitější. Ve Spořitelně se osvědčil agilní vývoj, (oproti dříve používanému modelu vodopád), takže se ve výsledku zvýšil počet vydaných verzí aplikací během roku.
Instituce nereaguje jen na hrozby, vývoj musí podřídit rovněž legislativě. V tomto ohledu je naprosto zásadní mnohokrát diskutované GDPR. Jak se s tímto složitým prostředím a jeho specifiky poprat? Podle Bóny banka zkoušela různé postupy, přičemž některé fungovaly, jiné nikoli. Nedá se samozřejmě dělat nic. Když naopak zkoušela aplikovat záplaty důsledně na každém místě, bylo jasné, že organizace nemá personální kapacity na zvládnutí takového náporu.
Proto může fungovat střední cesta – prioritizace. Je ale potřeba připravit se též na neznámé hrozby. Ty loni napadly 140 firem globálně. Šlo, šlo i o banky či vládní organizace. Aby se dosud neznámé hrozby daly detekovat, je třeba perfektně znát své životní prostředí. Speciální tým pak může analyzovat data a sledovat anomálie.
Pakliže někdo pronikne do sítě, díky předem nastaveným opatřením rychle dochází k pokusům útočníka či útočnici zaměstnat, zatímco se hledá jiná obrana. Bezpečnostní nástroje je po nasazení potřeba otestovat – už se stalo, že se později vyšlo najevo, že je vlastně nástroj neúčinný. Podle Bóna žádný jeden zázračný nástroj pro vyřešení všech bezpečnostních problémů neexistuje. Chce to najít si vhodné nástroje, zkombinovat je a používáním zlepšovat své dovednosti a know-how.