Kybernetická bezpečnost: Výzvědy, investigace a průzkum před útokem
Každý kybernetický útok má svůj cíl, účel, dopady i úroveň dokonalosti. Každý ale tvoří několik dílčích po sobě následujících kroků. Stejně jako ve válce, musí útočník o své oběti mít co nejvíce informací, a tak prvním krokem skoro každého cíleného útoku je činnost, kterou lze bez nadsázky nazvat kybernetickými výzvědy. Podívejme se, co všechno hackeři potřebují o své oběti vědět, co a jakými cestami jsou schopni zjistit.
Znalost slabin oběti je jedním ze základních předpokladů úspěšného útoku. Čím více informací o oběti útočník získá, tím lépe může zvolit zbraně, které použije, a sestavit efektivní plán útoku. Průzkum musí zůstat nejen nezpozorován, ale nesmí u oběti vzbudit ani zdání podezření, že se proti ní cokoliv chystá.
Každá drobnost hraje roli
Hlavním cílem kybernetického vyzvědačství je samozřejmě odhalit slabá nebo zranitelná místa. V průběhu útoku může ale i zdánlivá maličkost sehrát důležitou roli. Průzkum se tak neomezuje jen na technické a technologické znalosti, jako jsou použitý hardware nebo verze operačních systémů a firemního softwaru, antivirových programů či prvků kybernetického zabezpečení. Užitečné je pro hackery skoro všechno: jména a pozice zaměstnanců, zvláště členů vedení, telefonní čísla, emailové a IP adresy a dokonce i poloha pracovišť. Často zkoumají i zvyky zaměstnanců, jejich chování na pracovišti a sociálních sítích či úroveň jejich povědomí o kybernetické bezpečnosti. Nepoučený, nedbalý, ale třeba i zaměstnanec příliš loajální k nadřízeným nezřídka snadněji podlehne technikám sociálního inženýrství nebo svodům podvodných mailů.
Vynalézavost kybernetických zvědů nezná mezí
Způsobů jak získat informace o firmě nebo společnosti je nepřeberné množství, neustále se zdokonalují a jejich záběr roste. Globální přístup k internetu a naivní masová důvěřivost v intimitu sociálních sítí, nárůst počtu a výkonnosti legálních i nelegálních služeb shromažďujících a poskytujících z internetu obrovská kvanta dat nebo dnes už miliardy IoT zařízení připojených do internetu jsou pro hackery prakticky bezednou studnicí znalostí i příležitostí. Stačí je jen správně zkombinovat.
Nepozorovaně, ale co nejblíž k oběti
K hojně rozšířeným praktikám, které hackeři používají při svých výzvědných činnostech, patří využití tzv. internetové inteligence, sociální inženýrství, shromažďování síťových informací a analýza vedlejších zdrojů. Liší se především mírou interakce s obětí. Např. skenování síťové infrastruktury se dá uskutečnit na dálku a relativně nepozorovaně, zatímco třeba přečíst důležité údaje z displeje mobilního telefonu nebo tabletu zaměstnance znamená být v jeho těsné blízkosti. Je-li to však nezbytné, a hlavně účelné, jsou hackeři schopni nasadit do sledované firmy i svého špióna.
Internetová inteligence je obvykle to první, co kybernetičtí vyzvědači při zahajování průzkumu používají. Jde o informace o oběti, které jsou veřejně dostupné na internetu a ve veřejných zdrojích. Mnoho důležitých informací, třeba jména zaměstnanců, telefonní čísla nebo e-mailové adresy, se dá získat už z webových stránek oběti. Hackeři často využívají i tzv. zpravodajství z otevřených zdrojů (OSINT), tedy informací z volně dostupných informačních kanálů, jako jsou denní tisk, internet, katastrální knihy, rejstříky a mnohé další. Vhodnou kombinací a analýzou dat z volně dostupných zdrojů lze často o oběti získat velmi cenné informace a znalosti.
K technikám využití internetové inteligence patří i pasivní a aktivní monitoring aktivit zaměstnanců na sociálních sítích. Členství ve skupinách a informace, které o sobě lidé veřejně sdělují, může hackerům třeba pomoci najít způsob, jak na dotyčného správně zapůsobit. Vášnivý rybář přece mnohem pravděpodobněji klikne na infikovanou přílohu podvodného mailu, který nabízí slevu na rybářské náčiní. Lidé se na sociálních sítích se navíc často svěřují i se zdánlivě „neškodnými“ pracovními záležitostmi. Kupříkladu prosté sdělení „dnes jsem hodně unavená, měli jsme těžké mnohahodinové jednání s klientem“ může při porovnání s dalšími zdroji pomoci zjistit nejens, o jakého klienta šlo, ale i co bylo předmětem jednání. Podaří-li se útočníkovi vetřít do přízně a stát se na některé sociální síti přítelem oběti, může rozšířit svůj tlak o další metody sociálního inženýrství.
Sociální inženýrství označuje techniky psychologické manipulace s lidmi, které mohou vést k úniku důvěrných informací nebo oběti jinak uškodit. Cílí na základní lidské instinkty, jako jsou důvěřivost, soucit či ochota pomoci, ale také loajalita, lakota a chamtivost. Komunikace s obětí probíhá buď přímo, nejčastěji formou telefonického rozhovoru či chatu, nebo nepřímo, např. formou podvodných emailů. Typickým a mnohokrát vyzkoušeným případem může být telefonát osoby, která se v pátek odpoledne vydává za pracovníka IT, nezřídka nového, třeba asistence ředitele: „Víte, instalujeme nový antivirový software a kvůli vyššímu zabezpečení počítačů na ředitelství to nemůžu udělat na dálku. Dnes už se k vám nedostanu a v pondělí to musí být hotové. Kdybych vám poslal mailem odkaz, stačí na něj kliknout a ono se to už nainstaluje samo. Byla byste tak hodná?“ Asistentka v dobré víře, že pomáhá zlepšit bezpečnost firmy a ještě vytrhne trn z paty novému kolegovi, který se sám ocitl v nesnázích, ochotně souhlasí. Co je na tom špatného, vždyť jí to pošle kolega mailem. Sociální inženýrství má mnoho různých podob, ale jen jediný cíl – získat potřebné informace nebo škodit.
Sběr síťových informací má za úkol co nejlépe zmapovat strukturu informačního systému oběti a zjistit co nejvíce o technologiích, zařízeních, aplikacích a zabezpečení, které oběť používá. K nejčastějším technikám patří pasivní nebo aktivní skenování sítě. Pasivní spočívá ve sledování síťového provozu oběti, na jehož základě lze nezřídka poměrně dobře dedukovat, čím se firma zabývá, s kým a jak komunikuje, ale i odhadnout, jaké používá zabezpečení. Aktivní skenování je založeno na zasílání různých zkušebních paketů na servery oběti a vyhodnocování jejich odezvy. To umožňuje např. zjistit, na jakých technologiích servery pracují a mnohdy i najít jejich slabá místa využitelná v dalších etapách útoku.
K hojně rozšířeným způsobům rekognoskace sítě patří skenování portů umožňující odhalit používané aplikace a operační systémy, jejich vlastnosti a nastavení. Stále větší popularitě hackerů se těší i zkoumání sítě obětí na úrovni aplikací, neboť skenováním a analýzou odpovědí firemních aplikací exponovaných do internetu lze také odhalit slabá místa ochrany sítě. Sběr informací se zdaleka neprovádí jen ručně, mnohé z procesů, zejména skenování, vykonávají naprogramované automaty, tzv. boti. Boti jsou často součástí botnetů, sítí infikovaných počítačů ovládaných hackery.
Vedlejšími zdroji jsou označovány náhodné, nepředvídané nebo nepředpokládatelné údaje, které umožňují nějakým způsobem soudit o aktivitách oběti. Povětšinou jen doplňují jinak získané informace, nicméně v některých případech mohou mít zásadní vliv na rozhodování o dalším postupu útoku. Může jít o informace často náhodně získané nebo uniklé z nejrůznějších zařízení – z tiskáren, z dotykových monitorů a klávesnic, výsledky vyhodnocování dob výpočtu, spotřeby energií a dokonce i o měření elektromagnetického vyzařování zařízení. Nejvíc upatlaná místa na dotykové obrazovce například mohou napomoci odhadnout PIN, zatímco doba výpočtu potřebná k zašifrování dává představu o použitém šifrovacím algoritmu. Každá maličkost může být pro hackery důležitá.
Prevence je jednodušší než likvidace následků
Převažující většině pokusů o kybernetické vyzvídání lze velmi účinně čelit. A to nejen použitím a perfektním nastavením správných bezpečnostních prvků síťové infrastruktury, operačních systémů a aplikací viditelných z internetu, ale i správnou osvětou a vzděláváním zaměstnanců spolu s nekompromisním dodržováním bezpečnostních politik a pravidel. Většinu úniků má totiž na svědomí člověk. Bezpečnost technologií lze ověřit či auditovat, zaměstnance lze jen vzdělat, přesvědčit, přinutit nebo propustit.
CRA a kybernetická bezpečnost
České Radiokomunikace dlouhodobě přispívají ke zvyšování kybernetické bezpečnosti v České republice. Strategicky významná infrastruktura, kterou provozují a poskytují svým klientům, musí být už z principu naprosto bezpečná. Kybernetickou bezpečnost považují za svou zodpovědnost a současně za významnou přidanou hodnotu pro své klienty. Bezpečnostní tým (CSIRT) aktivně participuje v rámci řady pracovních skupin zaměřených na rozvoj a udržení kybernetické bezpečnosti v České republice. O své nejlepší zkušenosti a know-how jsou CRA připraveny se podělit i s českými komerčními subjekty. Začít se dá například bezpečnostním auditem, který odhalí, na jaké oblasti kybernetické bezpečnosti je potřeba se zaměřit.
Zajímá vás tato problematika? Sledujte CRA TechTalks, kde naleznete naše semináře a webináře, které se tématem bezpečnosti, ale i cloudových, telco a IoT služeb zabývají.
"Podívejte se, co na vás může hackerům povědět váš internetový prohlížeč, když mu v tom nezabráníte správným zabezpečením!" Je to dost působivé a pro laika zajímavé.
www.deviceinfo.me