Před lety byl typickým scénářem hackerského útoku osamělý útočník a možná pár kamarádů, kteří pracovali pozdě v noci na Mountain Dew a hledali veřejně přístupné IP adresy. Když nějakou našli, vyjmenovali reklamní služby (webový server, SQL server a tak dále), vnikli dovnitř pomocí mnoha zranitelností a pak napadenou společnost prozkoumali do sytosti. Jejich záměr byl často průzkumný. Pokud udělali něco nezákonného, šlo obvykle o momentální zločin z popudu příležitosti.

Jéje, jak se časy změnily.

Při popisu typického hackerského scénáře je dnes třeba začít mnohem dříve, než se hacker nebo dokonce hacker dostane do organizace, která za útokem stojí. Dnes je hacking neustále zločinem, doplněným o nabídkové trhy s malwarem, zločinecké syndikáty, nájemné botnety, státní aktéry a kybernetickou válku v amoku.

Tady je devět největších hrozeb, kterým dnes čelí profesionálové v oblasti IT bezpečnosti.

Hrozba č. 1: Kybernetické zločinecké syndikáty

Ačkoli stále existují osamělí zločinci, v dnešní době je většina škodlivých hackerských útoků výsledkem organizovaných skupin, z nichž mnohé jsou profesionální. Tradiční skupiny organizovaného zločinu, které dříve provozovaly drogy, hazardní hry, trestní stíhání a vydírání, hodily své klobouky do ringu online získávání peněz, ale konkurence je tvrdá a nevedou ji mafiáni, ale několik velmi velkých skupin profesionálních zločinců zaměřených speciálně na kybernetickou kriminalitu.

Mnoho z nejúspěšnějších syndikátů organizovaného kybernetického zločinu jsou firmy, které vedou velké skupiny přidružených konglomerátů, do značné míry v duchu legálních hierarchií distribuovaného marketingu. Ve skutečnosti má dnešní kyberzločinec pravděpodobně více společného se zástupcem Avonu nebo Mary Kay, než by si kterýkoli z nich chtěl připustit.

Malé skupiny s několika členy stále hackersky útočí, ale stále častěji stojí profesionálové v oblasti IT bezpečnosti proti velkým korporacím, které se věnují nekalému chování. Představte si zaměstnance na plný úvazek, personální oddělení, týmy projektových manažerů a vedoucí týmů. A všechno je to kriminální, už žádné vtipné zprávy vytištěné na obrazovku nebo jiné pubertální výstřelky. Většina z nich funguje otevřeně a některé – jako například Russian Business Network – mají dokonce vlastní hesla na Wikipedii. Člověk si tak trochu přeje minulost, že?”

Specializace a dělba práce jsou základem těchto organizací. Kolektiv bude řídit jediný mastermind nebo vnitřní kruh. Seržanti a dílčí divize se budou specializovat na různé oblasti, přičemž jedna odnož se bude věnovat tvorbě malwaru, jiná marketingu, další bude zřizovat a udržovat distribuční kanál a další bude mít na starosti vytváření botnetů a jejich pronájem dalším záškodníkům (viz níže).

Není divu, že populární postupy zabezpečení IT proti dnešnímu malwaru prostě nefungují, vzhledem k tomu, že se kybernetická kriminalita vyvinula do víceúrovňového odvětví zaměřeného na služby, jehož zjevným cílem je oškubat firmy a lidi o jejich peníze a duševní vlastnictví.

Hrozba č. 2: Drobní podvodníci – a peněžní muly a pračky, které je podporují

Ne všechny kybernetické zločinecké organizace jsou syndikáty nebo korporace. Některé jsou prostě podnikatelské povahy, malé firmy jdoucí po jediném: penězích.

Tyto záškodnické operace typu “máma a táta” mohou krást identity a hesla nebo mohou způsobit nekalé přesměrování, aby je získaly. V konečném důsledku jim jde o peníze. Iniciují podvodné transakce s kreditními kartami nebo bankovní transakce a své nekalé zisky převádějí na místní měnu pomocí peněžních mul, elektronické distribuce hotovosti, elektronického bankovnictví nebo jiného druhu praní špinavých peněz.

Není těžké najít pračky peněz. Existují desítky až stovky subjektů, které soutěží o to, kdo si odnese velký procentuální podíl z nelegálně získaného lupu. Vlastně by ses divil, jak konkurenční a veřejnou povahu mají všichni ostatní, kteří žadoní o podpůrné kšefty s internetovými zločinci. Inzerují “bez otázek”, “neprůstřelný” hosting v zemích daleko od dosahu soudních obsílek a nabízejí veřejné nástěnky, speciální nabídky softwaru, nepřetržitou telefonickou podporu, nabídková fóra, reference spokojených zákazníků, dovednosti, jak se vyhnout malwaru, a veškerý servis, který ostatním pomáhá být lepšími internetovými zločinci. Značná část těchto skupin vydělává ročně desítky milionů dolarů.

Mnoho z těchto skupin a osob, které za nimi stojí, bylo v posledních několika letech identifikováno (a zatčeno). Jejich profily na sociálních sítích ukazují šťastné lidi s velkými domy, drahými auty a spokojenými rodinami na zahraničních dovolených. Pokud mají sebemenší vinu na tom, že okrádají ostatní o peníze, není to na nich vidět.

Představte si sousedské grilování, kde sousedům a přátelům říkají, že provozují “internetový marketing” – a přitom se sociálním inženýrstvím dostávají k milionům ke zděšení profesionálů v oblasti bezpečnosti IT, kteří udělali téměř vše, co se dalo, aby uživatele ochránili před sebou samými.

Hrozba č. 3: Hacktivisté

Zatímco v počátcích nebylo chlubení se exploity ničím neobvyklým, dnešní kybernetický zločinec se snaží létat pod radarem – s výjimkou rostoucích legií hacktivistů.

Profesionálové v oblasti zabezpečení IT se musí potýkat s rostoucím počtem volných konfederací jednotlivců, kteří se věnují politickému aktivismu, jako je například nechvalně známá skupina Anonymous. Politicky motivovaní hackeři existují od doby, kdy se hacking zrodil. Velkou změnou je, že se stále více děje otevřeně a společnost jej uznává jako akceptovanou formu politického aktivismu.

Skupiny politických hackerů často komunikují, ať už anonymně, nebo ne, na otevřených fórech, kde předem oznamují své cíle a hackerské nástroje. Shromažďují další členy, předávají své stížnosti médiím, aby získaly podporu veřejnosti, a tváří se udiveně, pokud jsou za své nezákonné činy zatčeny. Jejich záměrem je oběť co nejvíce ztrapnit a přitáhnout na ni negativní mediální pozornost, ať už se jedná o hackerské útoky na informace o zákaznících, útoky typu DDoS (Distributed Denial of Service) nebo prostě jen způsobit oběti další rozbroje.

Politický hacktivismus má nejčastěji v úmyslu způsobit své oběti finanční bolest ve snaze změnit její chování. Jednotlivci mohou být v tomto boji vedlejšími škodami a bez ohledu na to, zda člověk věří v politickou věc hacktivisty, záměr a metodika zůstávají zločinné.

Hrozba č. 4: Krádeže duševního vlastnictví a firemní špionáž

Většina profesionálů v oblasti bezpečnosti IT se musí potýkat s velkou skupinou zlomyslných hackerů, kteří firmám kradou duševní vlastnictví nebo provádějí přímo firemní špionáž. Jejich metoda spočívá v tom, že se nabourají do IT prostředků společnosti, zbaví se všech hesel a postupem času ukradnou gigabajty důvěrných informací: patenty, nápady na nové produkty, vojenská tajemství, finanční informace, obchodní plány atd. Cenné informace předávají svým zákazníkům za účelem finančního zisku a zůstávají skrytí v síti napadené společnosti tak dlouho, jak je to jen možné.

Aby mohli sklízet odměny, odposlouchávají důležité e-maily, napadají databáze a získávají přístup k takovému množství informací, že mnozí začali vyvíjet vlastní škodlivé vyhledávače a dotazovací nástroje, aby oddělili krmivo od zajímavějšího duševního vlastnictví.

Tento druh útočníků je znám jako pokročilá trvalá hrozba (APT) nebo odhodlaný lidský protivník (DHA). Jen málo velkých společností nebylo těmito kampaněmi úspěšně kompromitováno.

Hrozba č. 5: Žoldáci malwaru

Nezáleží na tom, jaký záměr nebo skupina stojí za kybernetickým zločinem, někdo musí malware vytvořit. V minulosti vytvářel malware jeden programátor pro vlastní potřebu nebo třeba na prodej. Dnes existují týmy a společnosti, které se věnují výhradně psaní malwaru za účelem obcházení konkrétních bezpečnostních ochran, útoků na konkrétní zákazníky a dosažení konkrétních cílů. Prodávají se na volném trhu v nabídkových fórech.

Často je malware vícefázový a složený z komponent. Menší odštěpný program má za úkol počáteční zneužití počítače oběti, a jakmile je bezpečně umístěn tak, aby přežil restart, kontaktuje “mateřský” webový server pro další instrukce. Počáteční stub program často vysílá dotazy DNS a hledá mateřskou loď, často sám kompromitovaný počítač, který dočasně funguje jako mateřská loď. Tyto dotazy DNS jsou odesílány na servery DNS, které jsou se stejnou pravděpodobností nevinně infikovanými počítači obětí. Servery DNS se přesouvají z počítače na počítač, stejně jako webové servery mateřské lodi.

Po kontaktování serveru DNS a mateřské lodi je iniciující stub klient často přesměrován na jiné servery DNS a mateřské lodi. Tímto způsobem je stub klient znovu a znovu (často více než desetkrát) přesměrováván na nově zneužité počítače, až nakonec stub program obdrží konečné instrukce a je nainstalován trvalejší škodlivý program. Toto nastavení velmi ztěžuje profesionálům v oblasti zabezpečení IT obranu proti jejich zboží.

Hrozba č. 6: Botnety jako služba

Botnety už nejsou jen pro jejich tvůrce. Je více než pravděpodobné, že po zakoupení škodlivého programu, který bot vytváří, budou dnešní majitelé botnet využívat buď pro sebe, nebo jej budou pronajímat ostatním za hodinu či jiný metr.

Metodika je známá. Každá verze malwarového programu se snaží zneužít až desítky tisíc počítačů ve snaze vytvořit jeden botnet, který bude fungovat na příkaz tvůrce. Každý bot v botnetu se nakonec připojí zpět ke svému příkazovému a řídicímu (C&C) serveru (serverům), aby získal nejnovější pokyny. Tyto pokyny často zahrnují vyslání programu ransomware. Byly nalezeny botnety se stovkami tisíc infikovaných počítačů.

V současné době, kdy je aktivních botnetů tolik (desítky milionů infikovaných počítačů denně), je pronájem botnetů poměrně levný, což znamená o to více problémů pro profesionály v oblasti zabezpečení IT.

Bojovníci proti malwaru se často pokoušejí vyřadit z provozu servery C&C nebo je převzít, aby mohli dát připojeným botům pokyn k dezinfekci jejich hostitelských počítačů a k jejich smrti.

Hrozba č. 7: malware typu “vše v jednom”

Sofistikované malwarové programy často nabízejí funkce “vše v jednom”, “polévka pro všechny”. Nejenže infikují koncového uživatele, ale také proniknou na webové stránky a upraví je tak, aby pomohly infikovat další oběti. Tyto malwarové programy typu “vše v jednom” jsou často vybaveny řídicími konzolami, takže jejich majitelé a tvůrci mohou sledovat, co botnet dělá, koho infikuje a které jsou nejúspěšnější.

Většina škodlivých programů jsou trojské koně. Počítačové viry a červi již dávno nejsou nejoblíbenějšími typy škodlivého softwaru. Ve většině případů je koncový uživatel oklamán spuštěním trojského koně, který je inzerován jako nezbytná antivirová kontrola, nástroj pro defragmentaci disku nebo jiný zdánlivě nezbytný nebo neškodný nástroj. Běžná obrana uživatele je oklamána, protože webová stránka nabízející podvodný spustitelný soubor je většinou důvěryhodná stránka, kterou uživatel mnohokrát navštívil. Zločinci prostě web kompromitovali pomocí řady triků a vložili do něj několik řádků JavaScriptu, které přesměrovaly prohlížeče uživatelů na program trojského koně.

Hrozba č. 8: Stále více kompromitovaný web

Na nejzákladnější úrovni je web prostě počítač, stejně jako běžná pracovní stanice koncového uživatele. Správci webových stránek jsou zase koncoví uživatelé jako všichni ostatní. Není proto překvapivé, že legitimní web je zamořen škodlivými odkazy na přesměrování v JavaScriptu.

Nejde zcela o zneužití počítačů webmasterů, které vede k nárůstu kompromitace webových serverů. Častěji útočníci najdou na webových stránkách slabinu nebo zranitelnost, která jim umožní obejít ověření správce a napsat škodlivé skripty.

Mezi nejčastější zranitelnosti webových stránek patří špatná hesla, zranitelnosti typu cross-site scripting, SQL injection, zranitelný software a nezabezpečená oprávnění. Seznam Open Web Application Security Project Top 10 je autoritou, která uvádí, jakým způsobem je kompromitována většina webových serverů.

Mnohdy není hacknut webový server nebo jeho aplikační software, ale nějaký odkaz nebo reklama. Běžně se stává, že se infikují reklamní bannery, které často umisťují a rotují všeobecné reklamní agentury. Někdy si škodiči kupují reklamní prostor na populárních webových serverech.

Protože se mnozí ze zloduchů prezentují jako podnikatelé z legitimních společností, s firemním sídlem, vizitkami a výdajovými účty, není vždy tak snadné oddělit legitimní zdroje reklamy od zloduchů, kteří často začnou inzerovat legitimní produkt, aby po spuštění reklamní kampaně vyměnili odkaz v reklamě za podvodný produkt. Jeden z nejzajímavějších případů zneužití spočíval v tom, že hackeři kompromitovali syndikát karikatur, takže každé noviny, které postižené karikatury znovu publikovaly, nakonec tlačily malware. Už se nedá věřit ani karikatuře.

Dalším problémem hacknutých webových stránek je, že na počítačích hostujících jednu stránku může být často umístěno více stránek, někdy v počtu stovek nebo tisíců. Jedna hacknutá webová stránka může rychle vést k tisícům dalších.

Bez ohledu na to, jakým způsobem byla stránka hacknuta, nevinný uživatel, který třeba roky bez problémů navštěvoval tuto konkrétní webovou stránku, jednoho dne dostane výzvu k instalaci neočekávaného programu. Ačkoli je překvapen, skutečnost, že výzva přichází z webové stránky, kterou zná a které důvěřuje, stačí k tomu, aby program spustil. Poté hra končí. Počítač (nebo mobilní zařízení) koncového uživatele je dalším kolečkem v něčím velkém botnetu.

Hrozba č. 9: Kybernetická válka

Kybernetické válečné programy národních států jsou třída sama pro sebe a většina profesionálů v oblasti zabezpečení IT se s nimi při své každodenní práci nesetkává. Tyto tajné operace vytvářejí komplexní, profesionální programy kybernetické války se záměrem monitorovat protivníky nebo vyřadit funkčnost protivníka, ale jak ukazují Stuxnet a Duqu, dopady těchto metod mohou mít důsledky nejen pro zamýšlené cíle. Nyní máme dokonce národní státy, jako je Severní Korea, které zlikvidují a zneužijí společnost z žebříčku Fortune 500, protože se jí nelíbil určitý film.

Zločin a žádný trest

Některé oběti se ze zneužití nikdy nevzpamatují. Jejich kreditní záznam je navždy poznamenán podvodnou transakcí hackera, malware využívá seznam adresáře oběti k tomu, aby se sám přeposlal přátelům a rodinným příslušníkům, oběti krádeže duševního vlastnictví utratí desítky milionů dolarů za opravy a prevenci.

Nejhorší je, že téměř nikdo z těch, kteří používají výše uvedené škodlivé útoky, není úspěšně stíhán. Profesionální zločinci na internetu si žijí na svobodě, protože internet neumí dobře předkládat důkazy, které by se daly použít u soudu. I kdyby to dokázal, podezřelí žijí mimo soudní judikaturu oběti. Většina hackerských útoků je standardně anonymní a stopy se ztrácejí a zahlazují v milisekundách. Právě teď žijeme v době “divokého západu” internetu. Jak bude internet dospívat, bezpečná útočiště pro zločince budou vysychat. Do té doby mají profesionálové v oblasti bezpečnosti IT co dělat.