Proč si nepsat na Instagramu ani Facebooku? Je Signal nejlepší messenger? Radí etičtí hackeři
Který messenger, prohlížeč a e-mail jsou nejbezpečnější? Co používat místo Google dokumentů a jak být opravdu anonymní? Odpovídají slovenští etičtí hackeři Tomáš Volný a Pavol Lupták.
Loni byl podle Pavola Luptáka z bezpečnostní IT společnosti Nethemba i podle etického hackera z Citadelo Tomáše Volného nejhorším světovým incidentem hackerský útok na mnoho institucí a společností ve Spojených státech pomocí takzvaného „supply chain“ útoku, kdy agresoři nejdřív hackli společnost SolarWinds a potom se pomocí jejího softwaru dostali do mnoha klíčových organizací. V tomto případě šlo o klasickou špionáž.
Tento mimořádně sofistikovaný útok se připisuje ruským hackerům pracujícím pro tajnou službu SVR. Povedlo se jim prolomit například také systém společnosti FireEye, která se věnuje ochraně tisíce klientů.
Rada pro firmy: identifikujte svá slabá místa
„Hacknutí společnosti FireEye je zajímavé proto, že její experti sami pomáhají firmám s bezpečností a vyšetřují velké incidenty. Znají proto různé typy útoků a vědí, jak se vůči nim bránit,“ říká Volný.
Při útoku na SolarWinds, který jsme viděli, je problémem, že se před ním těžko brání. Jak se ochránit, když byl napaden software, který používáte vy nebo bezpečnostní IT firma, která vás má chránit?
„Je potřeba říct, že nic není stoprocentně bezpečné. Společnosti mají těžký úkol, protože musí zabezpečit všechny možné způsoby, jak se útočník může dostat dovnitř. Proto je důležité, aby si společnosti nezakrývaly oči před bezpečností, ale nastavily si zrcadlo. A tím jsou penetrační testy – ať už konkrétních aplikací, systémů nebo i samotných zaměstnanců. Firma tak zjistí, kde jsou její slabá místa, a může na tom zapracovat,“ vysvětluje Volný.
Při „supply chain“ útoku hacker nepotřebuje útočit přímo na společnost, do které chce proniknout.
„Stačí mu nabourat systémy dodavatele, který je nemusí mít až tak zabezpečené. Podobný typ útoku, o kterém se moc nemluví, je také hacknutí menších firem, které mají být následně odkoupené většími společnostmi. Útočníci tak čekají v systémech menší společnosti, a když dojde k prodeji dané společnosti a následnému propojení systémů, mají možnost jít hlouběji do sítě,“ upozorňuje Volný na strategii sofistikovaných hackerů.
Jejich útoky trvají celé měsíce a v některých případech roky. Mluvíme hlavně o státem sponzorovaných hackerech ze zemí, jakými jsou Rusko, Čína, Írán nebo Severní Korea.
Dva důležité principy
V rámci obrany je proto podle Volného důležité respektovat bezpečnostní zásady, jimiž jsou vytvoření bezpečnostního designu před tvorbou samotné aplikace nebo instalací konkrétního systému.
„Také je důležité mít zmapované procesy ve společnosti – co se děje, proč se to děje, jak se to děje, kdo by to měl vykonávat a podobně. Dalšími zásadami jsou i princip „need to know“ a princip nejnižších oprávnění. Ten první hovoří o tom, že konkrétní informace mají pouze ti zaměstnanci, kteří je opravdu potřebují mít, a nikdo jiný. Druhý zase hovoří o tom, že zaměstnanec má nejnižší možný přístup ke konkrétnímu systému.“
V praxi to znamená, že pokud má společnost svou stránku, přístup k ní by měli mít pouze ti zaměstnanci, kteří ji spravují. „Když už k ní přístup mají, neměli by mít nejvyšší stupeň administrace, ale pouze nízká oprávnění ke čtení, případně pro editaci stránky,“ dodává Volný.
Umíte ho identifikovat? Nejčastěji se útočí phishingem
Hacknutí SolarWinds bylo okázalé, co do technických schopností útočníků. Většina hackerských útoků však probíhá mnohem přímočařeji – přes phishing.
Pořád je to nejpoužívanější a nejúčinnější technika kyberzločinců.
„V roce 2020 byly hodně výrazné phishingové útoky na klienty různých bank nebo třeba posílání phishingových e-mailů ve jménu Slovenské pošty. Útoku se nevyhnula ani slovenská kryptoburza Eterbase, kde se povedlo ukrást okolo 4,5 mil. eur,“ říká Volný.
Jak to funguje?
„Útočníci se zaměří na konkrétní osoby. Zjistí si o nich všechny potřebné informace a následně díky vysoce cíleným phishingovým útokům se jim povede proniknout dovnitř,“ vysvětluje Volný.
Hacker u phishingu nepotřebuje komplikovaně obcházet technologie a různá zabezpečení. „Často se stačí lidí na heslo zeptat a oni jej útočníkovi i sami prozradí,“ říká Volný, který se o tom sám s kolegy přesvědčil v praxi při penetračních testech.
„V některých případech jsme měli 50procentní úspěšnost. Takže polovina společnosti nám vyplnila své přihlašovací údaje,“ říká Volný.
To asi nejdůležitější u phishingových e-mailů je, dle něj, nezadávat své heslo na stránku, která jen tak přijde e-mailem. „U takového odkazu je nutné si vždy ověřit, zda tam není překlep. My nejčastěji využíváme záměnu znaků, např. ‚b‘ a ‚d‘ nebo velké ‚I‘ za malé ‚l‘.“
Je také potřeba se vždy zamyslet, zda vůbec existuje důvod, aby vám takový e-mail byl doručen. „Jsem na uvedené stránce zaregistrovaný? Opravdu jsem si něco objednal přes kurýra?“
Pokud si chcete vyzkoušet, zda dokážete rozpoznat autentický e-mail od phishingového, vyzkoušejte si testy slovenského CSIRT nebo Googlu.
Aktualizujete? iPhone není neprůstřelný
Mezi top zprávy v oblasti bezpečnosti vypíchl Volný také objev kritické zranitelnosti v operačním systému iOS pro iPhony, které měly dlouho pověst bezpečných telefonů.
„Tato zranitelnost byla tzv. zero-click, což znamená, že nevyžadovala žádnou interakci od uživatele. Útočník by díky ní mohl přinutit telefon, aby
