Počítač, telefón, tablet, či smart hodinky.
Technológie sa stali súčasťou našej práce i každodenných činností. Napriek tomu ľudia nevenujú dostatočnú pozornosť hrozbám, ktoré sa šíria aj vďaka týmto technológiám. Aké výzvy prináša kybernetická bezpečnosť a na čo by si mal dať pozor každý užívateľ počítača či mobilu?
S Petrom Košinárom, odborníkom na škodlivý kód spoločnosti ESET, sme sa rozprávali o škodlivom kóde.
V článku sa dozviete:
- Či je možné infikovať zariadenie bez toho, aby o tom užívateľ vedel?
- Prečo sa podvodníkom na internete tak dobre darí?
- V čom sa líšia praktiky podvodníkov vo virtuálnom svete od tých vo fyzickom svete?
- Prečo je samotný človek najzraniteľnejším článkom v kybernetickej bezpečnosti?
Začneme základnou otázkou. Čo je to škodlivý kód?
Skoro každá aplikácia, program, alebo čokoľvek, čo sa dá v počítači spustiť a snaží sa urobiť nejakú záškodnú činnosť. Napríklad sa snaží niečo ukradnúť, zničiť alebo zašifrovať. Samozrejme, ak by som chcel vo svojom počítači zašifrovať súbory ja, je to v poriadku. Ak ich chce zašifrovať niekto iný bez môjho vedomia, už to v poriadku nie je. Už je to škodlivé.
Prečo by sa o škodlivý kód mali zaujímať bežní užívatelia?
Pretože sa to deje práve na ich počítačoch a v ich telefónoch. Ale bez ich pričinenia a bez toho, aby o tom vedeli. Vo väčšine prípadov sa škodlivý kód dostane do počítača tak, že užívateľ robí veci, ktoré považuje za normálne. Číta si e-maily, surfuje po internete a popritom sa do jeho zariadenia dostane niečo navyše. Niečo, čo tam začne robiť šarapatu. Ide pritom o veci, ktoré môžu užívateľovi a jeho zariadeniu zásadným spôsobom ublížiť.
Je možné, že sa niečo na mojom počítači deje a ani o tom neviem?
Samozrejme, dokonca je to veľmi časté. Veľká väčšina škodlivých programov funguje práve tak, že sedia pekne potichučky, robia si svoju záškodnú činnosť a užívateľ nevidí nič. On nevidí to, že dáta z jeho počítača odchádzajú smerom von. Nevidí to, že sa mu z času na čas namiesto reklamy, zobrazí niečo, čo sa na reklamu hrá.
Môže sa stať aj to, že napadnutý telefón pekne na pozadí vyvoláva na neznáme čísla alebo posiela sms správy a majiteľovi príde jedného pekného dňa faktúra, ktorá ho nemilo prekvapí.
Pri počítači sa zase môže človek dozvedieť, že je jeho účet zablokovaný, lebo sa z jeho mailového konta posielali spamy. Jeho priatelia na Facebooku dostávajú od neho správy, ktoré nepísal. Zrazu sa pod jeho menom začnú objavovať príspevky o najlacnejších okuliaroch, pričom nič také nikdy nepridal a podobne. Toto všetko sa môže diať bez vedomia užívateľa.
Môže sa teda stať, že mám infikovaný počítač alebo mobil, dva roky sa nič nedeje a potom sa náhle začne niečo diať?
Áno. Závisí to aj od toho, o akého človeka ide. Či sedí doma alebo v práci, či je konateľom firmy alebo radovým zamestnancom, prípadne pracovníkom štátnej správy. Každý má prístup k niečomu, čo môže byť pre lotra speňažiteľné. Peniaze hýbu všetkým. Lotri pochopili, že zlo, ktoré už dávno existovalo vo fyzickom svete, sa môže realizovať aj vo virtuálnom svete. Používajú efektívne prostriedky, ktoré virtuálny svet poskytuje.
Čím to je, že sa im vo virtuálnom svete tak darí?
Ľudia majú tendenciu viac veriť informáciám, ktoré vychádzajú z počítača ako tomu, čo im niekto povie na ulici. Keď príde človeku mail od nigérijského princa, v ktorom mu ponúka 15 miliónov eur, asi tomu uverí skôr ako niekomu, kto ho zastaví na ulici a povie: „mám tu pre teba 15 miliónov v obálke, ale musíš mi najprv zaplatiť 300 eur“. Každý bude na takéhoto človeka pozerať ako na blázna a rýchlo odíde preč. Oba príklady sú absurdné, ale v realite vidíme, že sa za počítačom predsa len nájdu ľudia, ktorí prvému prípadu uveria.
Aké sú motivácie autorov škodlivého kódu? Ide im iba o peniaze?
Veľakrát ide práve o peniaze. Vo virtuálnom svete sa dajú speňažiť predovšetkým informácie, ale spôsobov ich speňaženia je mnoho. Jeden jednoduchý spôsob spočíva v ukradnutí prístupových údajov do e-mailovej schránky, ktorá je dlhodobo používaná. Útočník ju potom využije napríklad na posielanie nevyžiadanej pošty, tzv. spam. Tým zneužíva jednak reputáciu človeka, ktorému patrí, ale aj reputáciu jeho mailovej adresy, ktorá je pre systémy známa a overená. Má tak lepší dosah ako adresa, ktorá bola vyrobená pred chvíľou s cieľom rozposielania hromadných e-mailov.
„Vydieranie je vec, ktorá funguje aj v reálnom svete. Tam však človek potrebuje niečo získať fyzicky. V digitálnom svete je podstatne jednoduchšie získať informácie a ich únik si človek zvyčajne ani nevšimne.“
Podobným spôsobom sa dajú zneužiť aj sociálne siete. Profily na niektorých sociálnych sieťach môžu byť významné. Ak by niekto získal prístup do konta na YouTube či Instagrame niektorého influencera, mohol by ho rovnako zneužiť na šírenie vlastného obsahu. Rovnako ale môže napísať majiteľovi konta, že má kontrolu nad jeho účtom a ak sa k nemu chce dostať, musí za to zaplatiť. Vydieranie je vec, ktorá funguje aj v reálnom svete. Tam však človek potrebuje niečo získať fyzicky. V digitálnom svete je podstatne jednoduchšie získať informácie a ich únik si človek zvyčajne ani nevšimne.
Prečo to ide vo virtuálnom svete lepšie ako vo fyzickom?
Pekný príklad je skopírovanie informácie. V digitálnom svete to ide oveľa jednoduchšie ako vo fyzickom. Ak mám napríklad v počítači obrázky, ktoré sa nemajú dostať na verejnosť, lotor sa môže dostať do počítača a skopírovať ich tak, aby som sa o tom nedozvedel. Moje pôvodné originály budú stále k dispozícií. Naopak, ak by som mal super tajné fotografie uložené v zásuvke a niekto by mi ich ukradol, zistím, že tam nie sú. Navyše, digitálna kópia je dokonalá, neexistuje rozdiel medzi originálom a skopírovanou fotografiou. Vo fyzickom svete to takto nefunguje.
Vydieranie je teda vo virtuálnom svete bežné?
Áno a môže mať aj tvrdšie podoby. Niekto získa kontrolu nad počítačom a zašifruje všetky súbory, ktoré sú v ňom uložené. Následne si vypýta výkupné za ich opätovné sprístupnenie. Ak vám niekto zašifruje všetky dáta v počítači, to už môže byť pre človeka naozaj významné. Nejde pri tom len o fotografie z rodinných osláv, môže to mať zásadný vplyv aj na chod firmy, školy, či dokonca nemocnice.
Každý z nás má pravdepodobne vo svojom okolí známych, ktorí sa s niečím podobným ešte nestretli. Nie je to len tak, že ak si dávam pozor, tak mi nič nehrozí?
Je pravda, že veľmi podstatnou zložkou obrany je samotný používateľ. Na veľa vecí sa dá nenaletieť už len tým, že sa na to človek pozrie a je mu jasné, že je to nezmysel. Nie je to však vždy také jednoduché. Lotri tiež nespia a nikto z nich si nepovie, že mu stačí, už má dosť. Ak si ľudia myslia, že sa so škodlivým kódom nestretli, môžu sa aj mýliť.
Lotri totiž nemusia konať okamžite. Získajú nejaké informácie, ktoré by bolo možné zneužiť, ale počkajú si vhodne dlhú dobu na to, aby nebolo jasné, ako tie informácie unikli. Ak by to urobili hneď, človeka asi napadne, že to môže súvisieť s tým, čo urobil pred piatimi minútami. Pomaly ďalej zájdu.
To je jedna možnosť, že o tom ešte nevedia. Stále však platí, že ak si dáva užívateľ pozor, nemusí sa mu stať nič zlé.
To nie je úplne pravda. Je tu totiž aj možnosť získať informácie, ktoré útočník nepoužije priamo na obeť, od ktorej dáta získal, ale na niekoho iného, na tretiu osobu. Napríklad získa kontrolu nad facebookovým profilom dieťaťa. Dieťa išlo na dovolenku alebo do tábora, kde nemá prístup na internet a ani na sieť. Útočník môže napísať rodičom z účtu dieťaťa, že je v nemocnici a doktori ho neošetria, ak im rodič nepošle peniaze na konkrétny účet.
V texte budú apelovať na to, že to potrebuje hneď, pretože je v ohrození života a doktori musia rýchlo zakročiť. Voči tomuto sa bráni ťažko, najmä ak nemáte príležitosť si nezávisle overiť fakty.
Podobné metódy fungujú aj v biznise. Ak je šéf na dovolenke a niekto má prístup do jeho konta, môže v jeho mene napísať kolegom, že dohodol skvelý biznis aj vo svojom voľnom čase. Potrebuje ale, aby mu hneď teraz v piatok večer poslali peniaze, lebo inak dohoda padá. Ak sa to vhodne naformuluje, je možné, že tomu niekto uverí. Nechce napríklad riskovať konflikt s majiteľom firmy, najmä ak má majiteľ vznetlivejšiu povahu.
Nutnosť a urgentnosť fungujú veľmi dobre vo všeobecnosti. Nie je ťažké ľudí vyľakať. Človeka to teda môže postihnúť aj v prípade, ak si dáva pozor. On môže byť zabezpečený, ale útočník sa na neho zameral z kompromitovaného účtu niekoho iného.
Z toho teda vyplýva potenciálne riziko pre všetkých, pretože aj ľudia v okolí môžu byť slabým miestom.
Presne tak, no sú tu aj ďalšie spôsoby. Ak sa na internete rozprávam iba s mojou babičkou, ktorá je na opačnej strane sveta a na nič iné počítač nepoužívam, je rozumne malá šanca, že by ma niekto napadol.
V skutočnosti však takmer všetci na tom počítači robíme oveľa viac. Surfujeme po internete, navštevujeme mnoho stránok. Veľakrát človek navštívi len jednu stránku, avšak tá obsahuje mnoho odkazov na iné stránky. Internet je poprepájaný dostatočne na to, aby som sa dostal z bezpečného miesta niekam inam.
Navyše sa lotri naučili na distribúciu škodlivého kódu využívať aj reklamy. Ak si dávam pozor, ale nestarám sa o hygienu svojich zariadení, napríklad aktualizáciami systému či nainštalovaných programov, tak aj bežným surfovaním po bežných stránkach môžem naraziť na niečo škodlivé.
Aktualizácie softvéru sa často spomínajú pri kybernetickej bezpečnosti. Aký je ich prínos?
Kedysi boli počítače veľmi zle aktualizované, to sa dnes už zlepšuje vďaka agresívnej politike Microsoftu, ktorý si aktualizáciu vynúti. Človeka naštve, keď mu počítače vypíše, aby si počkal polhodinu na inštaláciu. Pre jeho bezpečnosť je to však nevyhnutá vec. Vďaka tomu beží na ich zariadeniach čerstvý softvér, ktorý má viac bezpečnostných záplat.
Čo nie je aktuálne, býva oveľa častejšie deravé. To platí pre programy a aplikácie na počítačoch a v mobiloch, ale netreba zabúdať ani na inteligentné zariadenia ako televízory či inteligentné hodinky, ktorých je okolo nás čoraz viac. Pre ne táto poučka o deravosti platí o to viac.
Hovorí sa, že najzraniteľnejším článkom je užívateľ samotný. Je to pravda? Je naozaj najľahšie oklamať človeka?
Je to pravda. Už len preto, že človek má najväčšiu kontrolu nad počítačom. Navyše, keď sú inštrukcie pre človeka napísané dostatočne presvedčivo, má možnosť veľa vecí odignorovať, preskočiť, akceptovať a podobne. Môže napríklad vypnúť ten otravný „antivírus“, ktorý mu stále na niečo vrieska. Stroj sám túto možnosť nemá, ale človek áno. Veď kto by chcel taký počítač, ktorý by užívateľovi zakazoval robiť veci, ktoré chce? Dá sa to možno vo firme, ale domáci užívatelia chcú mať kontrolu nad počítačom.
Ak teda ľudia majú tú moc, potom je to už iba otázka pre útočníka, ako ho k tomu nenápadne donútiť. A funguje to veľmi dobre aj preto, lebo ľudia sú zvedaví. Počítače zvedavé nie sú.
Môže za to teda ľudská zvedavosť?
Ľudia sú naozaj veľmi zvedaví, čo v tomto prípade nie je najužitočnejšia vlastnosť. Ďalšou vecou je, že človek má oveľa menšiu možnosť niečo si skontrolovať. Človek vidí, že je tu nejaký link a vie na neho kliknúť, ale nemá možnosť si overiť technické parametre na pozadí. Jednak na to nemá bežný užívateľ znalosti. Ale aj keby ich mal, nemá na to technické prostriedky. Človek totiž neinteraguje s internetom. Aj keď sa to tak hovorí, v skutočnosti človek nechodí na internet. Človek používa program, ktorý sa volá prehliadač a ten mu zobrazuje, ako to vyzerá na internete. A ak ho prehliadač bude klamať, lebo má nad ním niekto kontrolu, tak mu človek s radosťou povie aj to, čo nevie.
Technológie využívame v práci aj na bežné domáce úkony. Napriek tomu sa ľudia v oblasti kybernetickej bezpečnosti veľmi nevzdelávajú. Ako si to vysvetľuješ?
Kedysi dávno vedelo počítače používať pár ľudí, pretože to bolo ťažké. Dnes sa pracovať s telefónom naučí aj dieťa. Práca s technológiami je dnes taká ľahká, že človek nadobudne pocit, že tomu rozumie. A toto je riziko. Užívateľ si myslí, že vie čo robí. V skutočnosti to nemusí vedieť tak dobre, aby urobil kvalifikované rozhodnutia. Keď si človek kúpi vysávač, tak si prečíta návod na použitie. Prečíta si ho raz a už vie vysávač používať. Pre počítač niečo takéto neexistuje vzhľadom na to, čo všetko sa v ňom deje. Človek sa naučí robiť nejaké veci, ktoré bežne potrebuje a postupne získa pocit, že vie všetko. Nadobudne pocit, že ho nič neprekvapí a to je chyba.
Nadobudne pocit, že mu nič nehrozí.
Presne tak. Treba ale priznať, že sú aj ľudia, ktorí sa snažia informácie vyhľadávať a niečo sa naučiť. Je tu však aj riziko. Na internete sa dajú nájsť dobre mienené a zle implementované rady, z ktorých sa môžu ľudia naučiť ešte horšie správanie ako keby si informácie ani nehľadali.
Čo by mali teda ľudia robiť? Dá sa povedať nejaké jedno základné pravidlo, ktorým by sa mali riadiť?
Je ťažké sformulovať len jedno pravidlo. Ak by som však mal povedať iba jednu vec, asi by som ľuďom odporučil, aby menej verili tomu, čo vidia na displeji počítača alebo telefónu. Viem, že je to veľmi všeobecné pravidlo a ťažko sa aplikuje v praxi. Človek chce pracovať, pohodlne surfovať po internete, nie sa zamýšľať nad tým, čo robí. Samozrejme, jednoduchým pravidlom je mať nejaký bezpečnostný produkt, ktorý ochráni zariadenie na technickej úrovni.
Treba si však uvedomiť, že aj napriek tomu zostáva človek zraniteľný. Ak s ním niekto komunikuje, alebo vidí niečo napísané na monitore, mal by byť schopný si tieto informácie preverovať. Technická vec je teda jedna zložka, no súčasne by ľudia nemali počítačom až tak veriť. Môj pocit je, že tá dôvera je strašne silná.
Autor: Tím ESET
Peter Košinár
Už odmalička sa zaujímal o to, ako veci skutočne fungujú a jeho zvedavosť ešte zmocnela, keď sa dostal k svojmu prvému počítaču a začal sa ho učiť programovať. Po vyštudovaní informatiky na bratislavskom Matfyze zakotvil v ESETe a ani po pätnástich rokoch ho to tam neprestalo baviť – keďže sa denno-denne stretáva s novými zaujímavými potvorami z celého sveta. Okrem toho robieva prednášky na tému počítačovej bezpečnosti – akademického, ale aj popularizačného rázu.