Expert na škodlivý kód: Keď vám príde e-mail, zamyslite sa, či je na to dobrý dôvod

Peter Košinár rozpráva do mikrofónu

Hoci počítač a smartfón používa takmer každý, málo ľudí sa zamyslí nad ich bezpečnosťou. Bezpečnosť v digitálnom svete obyčajne končí pri inštalovaní „antivírového“ programu. Aj to sa týka len tých osvietenejších užívateľov. Užívatelia tak podstupujú zbytočne veľké riziko.

S Petrom Košinárom, odborníkom na škodlivý kód spoločnosti ESET, sme sa rozprávali o najčastejších spôsoboch infikovania škodlivým kódom.

V rozhovore sa dočítate:

  • Aké sú najčastejšie spôsoby infikovania škodlivým kódom?
  • Či je nelegálne šírený obsah nebezpečný aj z pohľadu škodlivého kódu?
  • Ako sa dá infikovať cez e-mail?
  • Je bezpečnejší Word alebo PDF súbor?
  • Akou hrozbou sú aplikácie zbierajúce dáta o pohybe užívateľov?

V prvom rozhovore sme sa rozprávali o IT bezpečnosti vo všeobecnosti a spomínal si v ňom množstvo príkladov... Vieme pomenovať 2-3 najčastejšie používané spôsoby útokov? Ideálne tak, aby to pochopil bežný užívateľ.

Ak to zjednoduším, existujú tri najčastejšie cesty, ktorými sa dokážu užívatelia infikovať. Prvou je e-mail, druhou je surfovanie na internete a treťou je samotný fakt, že je nejaké zariadenie prístupné z internetu.

Skúsme si to rozbiť po častiach. Čo nám hrozí v prípade e-mailov?

Medzi najčastejšie spôsoby patria e-maily, ktoré ľudí vyzývajú k rýchlej akcii. Obyčajne hovoria o niečom strašne urgentnom. Prvú vec, ktorú by mal človek urobiť, je zamyslieť sa, či je vôbec dôvod na to, aby mi takýto e-mail prišiel? Ak mi píše vnuk zo zahraničia, lebo tam išiel na dovolenku, prečo mi píše po anglicky, keď obaja hovoríme po slovensky? To je typická ukážka nápadného správania. Píše spôsobom, akým zvykne písať? Píše podozrivo dobre, alebo podozrivo zle? Treba si všímať zvláštne či podozrivé správanie. To je prvá vec, nad ktorou by sa mal užívateľ zamyslieť.

Aké ďalšie veci si treba všímať?

Často ide o správy, ktoré sľubujú nejaký benefit alebo zisk, avšak potrebujú doplňujúce informácie. Ak sa to človeku zdá čo i len trochu čudné, nie je dôvod na takýto e-mail odpisovať. Každá akcia, ktorú človek urobí navyše, môže znamenať problém. Stačí daný e-mail zmazať a hotovo.

Ďalšou cestou pre útočníkov sú prílohy e-mailov. Pozrite si tieto tancujúce mačičky alebo psa, ktorý vie hrať na fujare. Opäť, ak ide o mail od známeho, ktorý mi štandardne posiela e-maily
s vtipnými videami a obrázkami, je to v poriadku. Je dobrá šanca, že aj tento bude bezproblémový, aj keď ani to neznamená istotu. Ak mi však niečo podobné príde od človeka, ktorý to nerobí, alebo som o ňom dokonca nikdy nepočul, je to dobrý dôvod na opatrnosť.

Spôsobov, ako zneužiť e-mail, je teda viac?

Samozrejme. Rozšíreným spôsobom sú aj e-maily s linkom na externý web. Ak sa ma niekto snaží z e-mailu presmerovať inam, mal by som spozornieť. Často tam býva napísané „my sme vaša banka, z bezpečnostných dôvodov je potrebné, aby ste sa prihlásili do nášho bankovníctva.“ Navyše, stránka, na ktorú sa človek dostane, môže naozaj vyzerať ako stránka danej banky. Klikať na náhodné linky, ktoré prišli v e-mailoch, nie je dobré kvôli tomu, že v e-maile môže naozaj každý napísať čo len chce. Aj pri odosielateľovi môže byť akékoľvek meno.

Tieto veci sú robené neraz tak, aby to nebolo na prvý ani druhý pohľad zrejmé. Linka vyzerá skoro dobre, ale chýba jej jedno písmenko, alebo je namiesto písmena „o“ nula a podobne. To sú také malé zmeny, ktoré si človek ľahko nevšimne. Ale ak s tým e-mailom neurobím nič, tak mám istotu, že sa z toho e-mailu ku mne nič nedostalo.

„Škodlivé veci sa neraz tvária tak, že to bežný človek nemá šancu rozoznať. Nemá to žiadny viditeľný prejav. Až do momentu, keď sa lotor rozhodne prezradiť.“

Aké riziká hrozia pri surfovaní na internete?

Ide o ďalší rozšírený spôsob, ktorý využívajú útočníci. Tu sú populárnym nástrojom vyskakovacie okná. Keď si človek prezerá stránky a zrazu mu vyskočí nové okno so strašným upozornením. Napríklad, že váš telefón môže byť napadnutý, našlo sa v ňom 1000 hrozieb a treba s tým rýchlo niečo urobiť. Toto je akcia, ktorú som neočakával. Ak som bol na stránke novín, nemá tam čo vyskakovať okno o zistených hrozbách, najmä bez môjho pričinenia, bez nejakej mojej akcie. Treba preto dané okno zavrieť a vrátiť sa naspäť na predchádzajúcu stránku.

Na to, aby som sa nakazil, musím na niečo v týchto oknách kliknúť, alebo stačí už len to, že sa mi okná zobrazia?

Možné to je, ale netreba sa zase báť všetkého. To, že mi niečo vyskočí, ešte nie je znakom toho, že sa stalo niečo zlé. Veľakrát je reklama naozaj iba reklamou. Aj niektoré podozrivé veci sú niekedy v poriadku, napríklad keď sa mi dlho načítava stránka. Platí to však aj naopak. Škodlivé veci sa neraz tvária tak, že to bežný človek nemá šancu rozoznať. Nemá to žiadny viditeľný prejav. Až do momentu, keď sa lotor rozhodne prezradiť.

Spýtam sa inak, všeobecnejšie. Na to, aby som sa nainfikoval, musím otvoriť nejaký program alebo súbor?

Podľa toho o aký spôsob infikovania ide. Ak je to príloha v e-maile, musím ju otvoriť. Ak je to súbor na USB, tiež ho musím otvoriť. Ak ale ide o webstránku, tak ja ju vlastne otvorím tým, že sa mi zobrazí na displeji. Otvorením stránky sa stiahnu aj všetky veci, na ktoré stránka odkazovala. Musia sa vykresliť obrázky, prebehnúť nejaké výpočty, zobraziť aktuálny dátum a tak podobne. Tým pádom môj počítač a jeho prehliadač spustia určité procesy, nie ja ako človek. V tomto zmysle môže byť rizikové aj samotné načítanie vyskakovacích okien, no ťažkú hlavu by som si z toho nerobil. Obyčajne je tam iný mechanizmus a keď tieto okná zavrieme, spravili sme najlepšiu možnú vec.

Hovorili sme o e-mailoch, aj surfovaní na internete. Skús nám priblížiť tretí spôsob, ktorý si spomínal a to je prístupnosť zariadenia z internetu.

Tá sa domácich zákazníkov týka v menšej miere. Nie preto, že by boli ich domáce počítače bezpečnejšie, ale preto, že nie sú vo väčšine prípadov priamo prístupné z internetu. Vďaka poskytovateľom internetu je tam ešte jedna vrstva, vďaka ktorej môžu užívatelia komunikovať s vonkajším internetom, ale svet vonku sa nevie prihlásiť priamo do konkrétneho počítača. Je to vedľajší efekt nedostatku IP adries. Poskytovatelia internetu musia robiť niečo podobné, ako boli kedysi klapky pri telefonátoch.

Môj počítač nie je priamo pripojený na internet?

Poskytovatelia internetu majú len limitovaný počet IP adries, ale počet zákazníkov a ich zariadení je oveľa väčší. Kedysi sa myslelo, že je tých IP adries dostatočne veľa a preto boli prideľované neefektívne. Napríklad univerzity dostali veľa IP adries, ktoré nemôže používať nikto iný. Ako sa však internet rozmohol, bolo potrebné tento stav vyriešiť. Vtedy prišla myšlienka, že sa môže viacero zariadení v akejsi lokálnej sieti spojiť do jednej IP adresy. Môže tomu tak byť vo firme, ale môžu to byť aj zákazníci nejakého poskytovateľa. Z pohľadu internetu je tam viacero zariadení pod jednou adresou a preto sa nedá priamo dostať ku konkrétnemu zariadeniu.

„Aktualizácie najčastejšie opravujú bezpečnostné chyby a sú veľmi podstatnou časťou ochrany.“

Čo to znamená pre bezpečnosť?

Ak mám počítač alebo iné zariadenie, ktoré je prístupné priamo z internetu, niekto môže aktívne vyvolať pripojenie priamo na moje zariadenie. Nie je až také náročné vyskúšať všetky IP adresy, sú ich iba nejaké 4 miliardy. Vyskúšať všetky možnosti pre počítač nie je až taký problém. Ak to moje zariadenie nie je aktuálne z pohľadu softvéru a nemá najnovšie aktualizácie, je náchylné na infikovanie. Staršie verzie programov alebo služieb môžu obsahovať chybu, ktorú využijú útočníci a získajú kontrolu nad danou službou či programom. Preto je dôležité aktualizovať svoj softvér. Aktualizácie najčastejšie opravujú bezpečnostné chyby a sú veľmi podstatnou časťou ochrany.

Priblížil si nám 3 najbežnejšie scenáre infikovania. Vo všetkých hral hlavnú úlohu internet.

Áno internet je najčastejším zdrojom nebezpečenstva. Keď to zhrniem, najčastejšie cesty útokov sú e-mail, surfovanie po internete a samotný fakt, že je zariadenie prístupné z internetu. Pre tých, ktorí napríklad počítač nemajú pripojený k internetu, zostáva jediná cesta a síce, že si tam niekto strčí USB kľúč alebo čosi podobné, na čom niečo škodlivé bude. V súčasnosti platí, že táto cesta už nie je tak rozšírenou, ako v minulosti. Jednotkou je internet.

So škodlivým kódom sa často spája aj nelegálne získaný softvér alebo obsah.

V tomto prípade je nebezpečný aj sociálno-inžiniersky aspekt. Typickým príkladom bývajú stránky, ktoré hovoria: „toto je normálne platená služba, ale my ju ponúkame zadarmo“. Kto by neodolal, však? Po slovensky ide o nelegálne získané hry, aplikácie či filmy. Pri nich veľakrát platí, že tam daná aplikácia alebo súbor naozaj je. Často však v podobe, že napríklad na prehratie videa potrebujeme nainštalovať aj doplnkový prehrávač. A práve ten prehrávač je zlá vec, nie video samotné. Video môže byť úplne v poriadku.

Má to ešte jeden nebezpečný psychologický rozmer. Niektoré takto získané programy upozorňujú užívateľov na to, že je na ich správne fungovanie potrebné vypnúť bezpečnostný softvér, tzv. antivirák. Alebo doň pridať výnimku. Človek, ktorý získal nelegálny softvér, veľakrát takémuto tvrdeniu uverí, pretože vie, že robí niečo, čo by nemal. Ak vypne funkcionalitu bezpečnostného softvéru, tam už niet pomoci.

Niekde som si prečítal, že titulky do filmov sú dobrým distribučným nástrojom škodlivého kódu. Je to pravda?

Ak by mal niekto zneužiť titulky, asi to nebude priamo v nich. Titulky budú asi skutočne titulky, ak to nebude nejaký náhodný text ako lorem ipsum. Pozor si treba dať aj na to, aby to boli naozaj titulky.  Nebudú sa teda volať titulky.scr, titulky.exe, titulky.bat alebo niečo podobné.

Avšak, zaujímavá z pohľadu útočníkov môže byť stránka, na ktorej sú titulky dostupné na stiahnutie a samozrejme zadarmo. Niekedy dokonca až po zaregistrovaní. To sú presne tie miesta, kde nie ja osobne, ale môj prehliadač komunikuje so serverom, na ktorom je stránka uložená. A ak je v prehliadači nejaká bezpečnostná chyba, môže dostať zo serveru príkaz, ktorý ho dokáže oblbnúť. V takom momente ho môže server presvedčiť, aby začal robiť veci, na ktoré nebol stavaný. Napríklad si má niečo ďalšie stiahnuť, alebo spustiť , čo by za normálnych okolností nespravil.

Zachytil som aj informáciu, ktorá môže byť urbánnou legendou. Vraj sú PDF súbory bezpečné, ale Wordovské dokumenty nie. Je to pravda?

(smiech) Sčasti. PDF súbory sú bezpečnejšie, ale tiež nie sú úplne bezpečné. Naopak, nie všetky wordové súbory sú zlé. Word je krásna ukážka toho, ako sa dá nachytať neznalý užívateľ. Bežný užívateľ si pod wordovým dokumentom predstaví nejaký text. Tak to bolo kedysi. Textové súbory boli naozaj o texte. Potom niekto prišiel s myšlienkou, aby sa tam pridali aj obrázky, rôzne druhy písma a spraví sa z toho bohatší text. Toto bolo ešte v poriadku.

Nasledovala myšlienka, že by sa niektoré veci vo Worde dali zautomatizovať. Napríklad, ak potrebujem poslať ten istý text 50 ľuďom aj s oslovením, mám zoznam ich mien a adries, môžem skombinovať text s ich menami a priradiť k nim príslušné adresy. Na to boli vytvorené nástroje, zjednodušene povedané wordový programovací jazyk, ktorý sa volá Visual Basic for Applications. No a tento jazyk nie je taký slabučký. Je to plnohodnotný programovací jazyk. Až tak plnohodnotný, že sa v ňom dá napísať škodlivý program. Wordový dokument sa teda môže použiť ako nosič škodlivého programu.

Táto časť legendy je teda pravdivá.

Dobrou správou je, že dnes už programy pri otvorení súboru väčšinou užívateľa upozornia, že dokument obsahuje aktívny obsah, alebo makrá, ktoré môžu byť nebezpečné. Mám teda možnosť ich nepovoliť. Obyčajne je tam aj tlačidlo „Povoľ“ a človek, žiaľ, takmer vždy stlačí na povoľ. Prečo to urobí? Lebo je v týchto dokumentoch často napísané, že je dokument zabezpečený a ak chce užívateľ zobraziť jeho obsah, musí stlačiť tlačidlo povoľ. Človek tomu samozrejme uverí, lebo mu to hovorí počítač.

A čo PDF súbory?

Tie na tom nie sú oveľa lepšie. Opäť platí, že to bol kedysi dokument a hotovo. Potom sa do neho pridali rozšírenia, ktoré umožnili napríklad to, že sa v nich dá robiť predvyplnenie formulárov, alebo dokonca kontrola formulárov. Vďaka tomuto je aj PDF súbor schopný niesť v sebe program. A program znamená, že to dokáže robiť pomerne veľa vecí. Našťastie, programovací jazyk PDF súborov je o niečo chudobnejší ako ten wordový – ten dokáže naozaj veľa. Platí to pre Word, Excel či PowerPoint. PDF súbory nie sú schopné takých vecí, ale pri jednom aj druhom platí, že sa dajú využiť ako nosiče škodlivého kódu. Druhá časť legendy, že sú PDF súbory bezpečné, teda nie je úplne pravdivá.

Veľa sme sa rozprávali o počítačoch. Aké hrozby hrozia užívateľom mobilných telefónov?

Pri mobile môže byť napríklad zaujímavé to, že niekto vidí, kadiaľ človek chodil. Telefón a aj veľa aplikácií to už dnes vie. Ideálne sú v tomto smere aplikácie merajúce koľko krokov a akú vzdialenosť človek prešiel, alebo dokonca kadiaľ chodil. Ľudia sú radi, lebo vidia, čo dosiahli a aplikácie ich môžu pochváliť.

Rovnako však môžu byť užitočné aj pre lotrov, ktorí to vedia zneužiť. Oni napríklad môžu vedieť, že je teraz človek dva kilometre od svojho domu a ide pešo. Toto sa dá z tých aplikácii zistiť. Ak mu teda teraz vykradnem dom, bude mu trvať dlho, kým sa vráti. Aj keď takéto prípady sú vzácne, lebo lotri sa neradi ohrozujú v reálnom svete. Užívatelia by však mali byť obozretní a rozmýšľať nad tým, aké dáta za sebou nechávajú vo virtuálnom svete.

Autor: Tím ESET



Peter Košinár

Už odmalička sa zaujímal o to, ako veci skutočne fungujú a jeho zvedavosť ešte zmocnela, keď sa dostal k svojmu prvému počítaču a začal sa ho učiť programovať. Po vyštudovaní informatiky na bratislavskom Matfyze zakotvil v ESETe a ani po pätnástich rokoch ho to tam neprestalo baviť – keďže sa denno-denne stretáva s novými zaujímavými potvorami z celého sveta. Okrem toho robieva prednášky na tému počítačovej bezpečnosti – akademického, ale aj popularizačného rázu.