10.02.22

Kybernetičtí škůdci v akci

Kybernetičtí škůdci v akci

Cílem drtivé většiny kybernetických útoků je škodit. Škodlivé programy, které se hackeři snaží propašovat do počítačů a sítí oběti, obvykle jsou souhrnně označovány jako malware, přitom zahrnují nepřebernou škálu nejrůznějších kybernetických škůdců. Jejich historie sahá až do dřevních počítačových dob počátku 70. let. Podívejme se, co všechno hackeři proti neváhají použít.

Co je vlastně malware?

Malware je zkratkou anglického slovního spojení malicious software, tedy škodlivý program, který může majiteli nebo uživateli výpočetního systému způsobit škodu. Patří sem zejména viry, červy, trojany, spyware, ransomware, rootkity, backdoory, addware či keyloggery, tím ale seznam škůdců zdaleka nekončí. Co se ale za těmito tajuplnými těmito názvy skrývá?

Počítačové viry

Počítačové viry jsou škodlivé programy ukryté nejčastěji v souborech s aplikacemi nebo s daty. Při spuštění či otevření infikovaného souboru se současně spustí i virus. Usadí se v počítači, začne plnit zadané úkoly a současně infikuje další soubory. Přenášením infikovaných souborů do dalších počítačů nebo zařízení se virus šíří. V minulosti se viry přenášely prostřednictvím vyměnitelných médií, např. disket, dnešní viry využívají především počítačové sítě a internet. Viry mohou škodit přímo, např. smazat obsah disků nebo krást privátní data. Dnešní viry však ze všeho nejvíc připomínají jakousi počítačovou pátou kolonu, otevírají hackerům zadní vrátka a připravují půdu pro vstup dalších škůdců. Moderní viry jsou navíc velmi sofistikované, což velice ztěžuje jejich odhalení. Umějí se dovedně skrývat, vyhýbat antivirům a bezpečnostním opatřením nebo antivirus dokonce i vypnout. Dokážou se zašifrovat nebo změnit svůj vlastní kód, aniž by se přitom změnila jejich činnost.

Červy

Svými vlastnostmi se počítačové červy podobají virům. Na rozdíl od virů však k šíření nepotřebují připojovat k souborům, ale využívají nejrůznějších zranitelností, nejčastěji špatného zabezpečení počítačů. Bývají ukryty v nejrůznějších často nevinně a užitečně vyhlížejících programech a aplikacích, v skriptech, v makrech, v přílohách mailů nebo číhají na webových stránkách. Mnohdy pronikají přímo prostřednictvím internetu, využívajíce nechráněných otevřených portů a dalších nezabezpečených míst serverů. Důsledky jejich činnosti bývají devastující, neboť jejich šíření a aktivity často zůstávají dlouho dobu nepozorovány. A jen pro upřesnění, počítačové červy jsou programy a jsou tudíž neživé. Na rozdíl od názvu živočišného kmene je proto v češtině skloňujeme podle vzoru hrad.

Trojany

Když Odysseus nedokázal dobýt Tróju zbraněmi, uchýlil se ke lsti. Nechal údajně zbudovat velkého dřevěného koně a s částí bojovníků se ukryl do jeho útrob. Koně zanechal coby dar před branami města a zbytku vojska kázal odtáhnout. Trójané nedbajíce varování věštce Láokoóna koně zatáhli za brány a jali se oslavovat vítězství. V noci ale Odysseovy bojovníci břicho koně opustili a napadli nic netušící město zevnitř. Počítačové trojské koně fungují naprosto stejně. Kamuflovány většinou za užitečné nebo legitimní programy proniknou nezřídka i se svolením uživatele do počítače nebo sítě, kde pak prakticky neomezeně provozují své více či méně zhoubné rejdy.

Spyware

Spyware, jak už sám název napovídá, „spy“ znamená anglicky špión, je typ malware, jehož hlavním úkolem je bez vědomí uživatele shromažďovat a odesílat informace. Může jít stejně dobře o krádeže privátních údajů, jako o data týkající se třeba zabezpečení. Méně škodlivý je tzv. addware, který monitoruje aktivity uživatele na internetu a povětšinou formou otravných vyskakovacích oken předkládá uživateli nejrůznější nabídky.

Ransomware

Ransomware je v podstatě červ, který se po průniku do počítače pokouší znemožnit, nejčastěji zašifrováním disků nebo souborů, jeho používání. Za opětovné zprovoznění vyžaduje zaplatit výkupné. Obnovit činnost systému bývá často obtížné, ransomware nezřídka sídlí v napadeném systému delší dobu a zjišťuje, jak zablokovat ne jeden počítač, nýbrž co největší počet počítačů a serverů v síti. Mnohdy se zkopíruje i do záloh, které jsou pak pro obnovení nepoužitelné. Existuje i řada variant ransomware pro mobilní telefony,

Rootkit

Rootkit je malware jehož cílem je získat v infikovaném počítači přístupová práva administrátora. Rootkity se samy o sobě obvykle nešíří, instalují se nejčastěji prostřednictvím zdánlivě bezpečných aplikací včetně takových, které se vydávají za bezpečnostní software, nebo je zavlékají viry a červy. Úlohou rootkitů je umožnit hackerům vzdáleně ovládat napadené zařízení, popř. pokusit se získat přístup i k dalším zařízením v síti.

Backdoory a keyloggery

Backdoory a keyloggery jsou ve své podstatě trojany, tedy malware potajmu usazený v počítači. Úkolem backdoorů je nepozorovaně otevřít a udržovat spojení s útočníkem, a tím mu umožnit zasahovat do činnosti počítače bez vědomí uživatele.

Keyloggery původně monitorovaly a odesílaly útočníkům údaje o stisknutých klávesách a sloužily především ke krádežím hesel a přístupových údajů. Dnešní keyloggery dokážou monitorovat prakticky všechny činnosti, které v počítačích probíhají, včetně mailového provozu, otevírání programů či návštěv webových stránek.

Malware s nulovou stopou

Tzv. malware s nulovou stopou (zero-footprint), také nazývaný bezsouborový (fileless), se sám o sobě do napadeného počítače nenainstaluje. Často pouze upraví některé programy, nejčastěji ty systémové jako např. Windows PowerShell, tak, aby kromě svých funkcí sloužily také záměrům hackerů. Poté se vymaže, a o to je těžší jej odhalit. Systémové programy se obvykle spouštějí s administrátorskými právy a činnosti, které vykonávají, jsou systémem považovány za korektní. Útočník tak nad infikovaným počítačem může získat prakticky neomezenou vládu.

Každá zranitelnost se dá najít a využít

V souvislosti s malware se někdy hovoří o tzv exploitech. Jsou to většinou programy, ale mohou to být i jen určité kombinace dat zadané třeba do pole formuláře, které způsobují autory nezamýšlené nebo neočekávané chování napadeného systému. Většinou jde o důsledek programátorské chyby nebo nedostatečně otestovaného software, který může hackerům otevřít cestu k průniku. Aby bylo možné exploity používat, je nejdříve třeba odpovídající zranitelnosti najít. K tomu slouží tzv. exploit kity, nástroje, které dokážou na dálku prostřednictvím internetu vyhledat v cílovém systému zranitelnosti, aplikovat příslušný exploit, a posléze zanést škodlivý kód. A jakmile je cesta otevřena, lze do systémů oběti instalovat další a další škodlivé kódy: viry, ransomware nebo komponenty pro vytváření botnetů. Extrémně důležitou roli při prevenci zde proto hrají včasné aktualizace, neboť chyby programů někdo časem objeví a většinou se i opraví.

Spolehlivá ochrana před útoky z internetu a ještě něco navíc

Vždy je lepší a hlavně levnější útokům předcházet, než později napravovat nebo dokonce likvidovat škody. České Radiokomunikace poskytují svým zákazníkům celý soubor bezpečnostních opatření. Zahrnuje fyzické, procesní i technologické prostředky.

Firewall jako služba poskytuje centrální a kompletní ochranu cloudové a síťové infrastruktury. Disponuje funkcemi jako je například prevence a detekce průniku do infrastruktury nebo terminace SSL spojení. Služby zaměřené na prevenci dovolují rozšířit bezpečnost i mimo síťovou infrastrukturu. Webový aplikační firewall ochrání webové portály před útoky na aplikační rozhraní, webový server nebo databázi. Bez zásahu do kódu samotné aplikace se postará i o nedostatky v zabezpečení a předchází úniku nebo změně dat. Začít se dá například bezpečnostním auditem, který ukáže, jak se správně kybernetickým hrozbám bránit.