Malwar
Expert na kyberbezpečnost v Praze! Popsal, jak nastražuje "pasti"

Prahu navštívil Doron Kolton, jenž stojí za unikátním systémem Deception for Post Breach Attacks. V systémech nastražuje "pasti" na malwary (jakýkoli typ škodlivého softwaru, který se snaží infikovat počítač či mobilní zařízení), díky nimž se výrazně zkracuje doba, během které mohou firmy malware objevit; ta se jinak běžně pohybuje v řádech měsíců.

Pravděpodobně jste zaznamenal zneužití dat, ke kterému došlo na Facebooku a nejspíš i dalších sociálních médiích, pro něž je to zásadní problém. Co si o tom myslíte?

DK: Vše, co zveřejňujete na internetu, tam také zůstává. Nemůžete to odstranit. Ať už je to fotografie, něco, co se vám líbí, nebo jste něco okomentoval. Své dcery učím: nic, co zveřejníte na internetu, třeba fotografii na Instagramu, nemáte pod kontrolou. Nevíte, co se s tím stane, a i když si myslíte, že jste to smazali, někdo už to mohl zkopírovat, nebo společnosti, které informace spravují, už pravděpodobně provedly zálohu. Takže vše, co zpřístupníte, se stává veřejným. V tom je ten zásadní problém.

Pokud něco zveřejníte, automaticky souhlasíte s tím, aby si to někdo vzal a použil to?

Přečetl jste si někdy upozornění, které se zobrazí při registraci na takových webových stránkách? Já také ne.

A když si například smažete svůj facebookový účet, stále tam někde je?

Podle GDPR máte nyní právo na "zapomenutí". Musí tedy odstranit veškerá vaše data, když o to požádáte.

Myslíte si, že například Instagram, Snapchat nebo Twitter jsou stejné jako Facebook?

Cíl mají společný. Chtějí vydělat peníze. Možná proto, že už jsem starší, nikdy nepochopím, proč někdo, kdo vyráží do jiného města na návštěvu, musí zveřejňovat fotografie na Facebooku.
Jedna z mých kamarádek, která pracuje jako sociální pracovnice, mi řekla: "Nerozumím té myšlence mít 5 000 přátel. Máš 3 nebo 5 přátel, nikdy 5 000".

Proč je zneužití osobních informací momentálně takový zásadní problém?

DK: Problémem může být, že lidé nevěděli, že druzí vydělávají na prodeji jejich osobních informací. Pokud tomu dobře rozumím, Facebook vydělává na těchto informacích nejen tím, že zasílá cílenou reklamu, ale také jejich prodejem. A možná už je to více, než jsou lidé ochotni tolerovat. Je kolem nás stále více technologií a ty s sebou přináší stále více bezpečnostních otázek, které se vlastně neřeší. A bude to jen a jen horší. Lidé si musí dávat pozor. V prvé řadě by to měla být disciplína lidí samotných; neměli by poskytovat informace každému, kdo je o to požádá. A pak by měly společnosti, jež takové informace získávají, zajistit jejich bezpečnost. Společnosti občas prohlašují, že "o čem neví, to se nestalo, takže je v pořádku, když o krádeži nevěděly" jindy od nich dokonce uslyšíte, že "je pro ně nákladnější zajistit zabezpečení než zaplatit případné sankce v případě pochybení".

Takže raději riskují?

Přesně tak. Sankce by měly být takové, aby se jim nevyplatilo riskovat. Sankce jsou dnes zkrátka levnější variantou v některých méně rozvinutých zemích.

Otázkou je, zda lze situaci řešit. Říkal jste, že to musí vycházet od samotných lidí a firem.

Domnívám se, že je to stále složitější. Technologie jsou propracovanější a podle mě se bezpečnostní otázky budou řešit dlouhodobě. Když jsem začal pracovat jako vývojář v oblasti bezpečnosti, řekl mi jeden ze spolupracovníků, že nic jako 100% zabezpečení neexistuje. Nemůžete být 100% zabezpečení.

Nejlepším řešením je tedy poskytovat co nejméně informací?

Neznám nejlepší řešení, ale vím, že v některých jednotkách v armádě potřebujete vědět jen to, co je důležité pro vaši práci, nemusíte vědět vše o společnosti. Pak nemáte ani co sdělit ostatním, což chrání vás i firmu. Nedávno došlo k incidentu v Izraeli, kdy před dvěma nebo třemi měsíci našla žena, která si zkoušela plavky ve zkušební kabince v jednom z nejoblíbenějších izraelských obchodů s plavkami, zveřejněné své fotografie. Bylo zjištěno, že ve zkušební kabince byla kamera. O dva týdny později někdo zveřejnil další fotografie ze stejného místa. V jiném městě pak vypátrali člověka, který tyto informace zveřejnil. Nikdy nevíte, co se s informacemi o vás stane.

Takže už vůbec nemáme soukromí?

Neustále jste pod dohledem kamer. Je to dobře nebo špatně? Záleží na tom, zda chcete žít v bezpečném městě a moci jít v noci ven, což může být dobře, ale na druhou stranu budou vědět, kde jste, co děláte, kupujete apod. Dnes se sleduje vše, co děláte. Když se podíváte na výpis ze své kreditní karty, vědí přesně, co se vám líbí, kde jste byli atd.

Takže pokud hovoříme o lidech, největší chybou, které se dopouští, je přílišné sdělování svých osobních údajů?

Na některých webových stránkách nemají na výběr, pokud se chtějí registrovat, musí sdělit informace nezbytné k registraci. Pak je na firmách, aby zabezpečily údaje, které mají. Lidé musí věnovat pozornost e-mailům neznámých adresátů. U řady lidí dochází k napadení phishingovými e-maily a nevědí, o co se jedná. Domnívám se, že lidé nerozumí tomu, jak dochází k napadení. Může vám přijít e-mail, který vypadá reálně a v pořádku. Nebo vám někdo z Nigérie nabízí 3 miliony dolarů, když mu pošlete číslo svého bankovního účtu a heslo. A někteří lidé se chovají nerozvážně, informace pošlou a nenaděláte nic. Domnívám se však, že v případě přihlašovacích údajů, když se registrujete na webové stránky, nemáte na vybranou. Měli byste pravidelně měnit heslo. Nejsem si jistý, zda to lidé dělají.

A není bezpečnější, když používáte rozpoznávání obličeje nebo otisků prstů?

Určitě. V Brazílii však došlo k incidentu s otisky prstů. Lékaři odcházeli z nemocnice ve 3 místo v 5 hodin. Měli tam jednoho chytráka, co zkopíroval jejich otisky prstů na určitá média a v 5 hodin je používal k odhlášení, jako kdyby odcházeli v 5 a ne ve 3 hodiny. Takže se dají zneužít i otisky prstů.

Když například najdu stránku s botami a chci si nějaké koupit, existuje způsob, jak zkontrolovat, že je webová stránka zabezpečená?

Pokud vím, některé webové stránky takové informace zveřejňují, ale osobně upřednostňuji nákup prostřednictvím PayPal. Alespoň vím, že informace o mé kreditní kartě jsou uložené pouze na PayPal, nikoli na jiné webové stránce. Informace o své kartě nezadávám všude možně. Takže pokud někdo PayPal nepoužívá, nenakupuji tam.
Další věcí, kterou by měli lidé dělat, je kontrolovat měsíční výdaje z kreditní karty, zda nebylo zaúčtováno více, nebo nedošlo ke krádeži.

Jak mohou zloději zneužít data, ke kterým mají přístup? K čemu?

Mohou prodávat informace o kreditních kartách na černém trhu nebo darknetu. Stalo se mi, že když jsem byl v USA a použil svou kreditní kartu, volali mi po návratu do Izraele, že se má kreditní karta používá k platbám po celém světě. Svou kreditní kartu jsem používal jen v hotelech a velkých obchodech. Pravděpodobně tedy došlo ke krádeži tam.

Mohu uvést další příklad snadného přístupu k datům, na který jsem náhodou narazil. Včera jsem letěl letadlem a hovořil se ženou, která seděla vedle mě. Mluvili jsme o sportu, protože měla stejné hodinky Garmin jako já. Během letu jsem otevřel svou aplikaci Garmin v telefonu, a ta se automaticky připojila k jejím hodinkám a stáhla její data včetně potenciálně citlivých údajů.

Co si myslíte o ovlivňování amerických voleb prostřednictvím využití osobních dat?

Jednou z věcí bylo, že Facebook prodal data milionů uživatelů třetí straně, která je použila k ovlivnění voleb. Pak tu bylo hackování e-mailu paní Clintonové. Mohl být dozajista chráněný, ale chce to čas a peníze. Pokud vím, problémem bylo, že používala soukromý e-mail. Ale vždy existuje způsob, jak chránit svůj účet. Můžete použít silné heslo, dvojité ověření (jako u účtu Google). Musíte věnovat více úsilí lepšímu zabezpečení a lidé jsou ze své podstaty líní a upřednostňují jednodušší variantu.

A myslíte si, že je to spíše o lenosti, nebo lidé nevěří tomu, že se jim může něco stát?

Myslím, že existuje dostatečný počet příkladů, že se to může stát každému. Nemůžete si říct: "mě se to stát nemůže". Možná je to lidskou mentalitou.

Kdo by měl tedy veřejnost vzdělávat?

Podle mě, když si založíte nový facebookový účet, měli byste projít kurzem a každých šest měsíců byste se nesměli přihlásit, dokud nezvládnete 10minutový test. Pak je to samozřejmě škola. Mám hezký příklad z Izraele o vzdělávání lidí. Lidé trhali na veřejnosti květiny a jejich populace začala rapidně klesat. Začalo se tedy se vzděláváním lidí a hlavně dětí ve školách, což vedlo k tomu, že když si vyjela rodina v sobotu na výlet a táta chtěl utrhnout květinu, dcera ho napomenula: "ne, ne, je to zakázáno". Takže musíte začít se vzděláváním od základů, ve škole. Bude to chtít čas, úsilí a možná i generace, než dojde ke změně.

Nyní se dostáváme k technologii "odklonění útoku", což je váš obor. Můžete nám přiblížit, v čem je systém Fidelis Deception užitečný?

Různé druhy preventivních mechanizmů jsou dnes na vysoké úrovni. Nejznámějším způsobem ochrany před průnikem útočníka do organizace je antivir a firewall. Nakonec se ale vždy najde způsob, jak tato preventivní opatření obejít. Existují různé technologie, které se používají s cílem detekovat útočníky pomocí sběru řady událostí a pokusu o jejich analýzu s využitím strojového učení a umělé inteligence, ale všechny tyto technologie vyžadují vysokou míru odbornosti. Odklonění útoku usiluje o pravý opak - řekněme - že víme, jakým způsobem pracují útočníci ve firmě. Snaží se v ní najít něco zajímavého. Cílem odklonění útoku je tedy vložit do firmy dostatek zajímavých věcí, takže jakmile začne útočník hledat něco zajímavého, nalezne návnadu. Kdykoli pak dojde ke kontaktu s návnadou, znamená to, že firmu napadl útočník. Nemusíte pak procházet milion událostí, pokoušet se je analyzovat a mít nezbytné odborné znalosti. To je ten diametrální rozdíl mezi odkloněním útoku a běžnou detekcí. Jedná se o způsob odhalení útočníka dříve, než poškodí data společnosti.

A co se děje, když identifikujete útočníka?

Dnes, myslím v rámci společnosti Fidelis, využíváme možností určité automatické reakce na zjištění útočníka. Disponujeme různými prostředky, kterými bezprostředně při spuštění události odkloněním útoku a napadení aktiva můžeme ukončit proces, který útočník používá, a provést podrobnější šetření, jak se dostal do firmy. Ale první věcí by byla automatická reakce a zablokování výstupu útočníka ze systému.

A pokoušíte se zjistit, kdo je útočníkem?

Závisí to na zdrojích společnosti. Pokud mají dostatek zdrojů, začnou s analýzou a retrospektivní analýzou s cílem zjistit, jak přesně útočník pronikl do organizace. Setkal jsem se s řadou společností, které nalezly napadené aktivum, aktivum přeinstalovaly a pokračovaly dál. Neměly čas ani zdroje na provedení analýzy.

Když sledujete útočníka, můžete ho nahlásit policii a zabránit tak dalším útokům?

Když se na situaci podíváte pohledem společností, možná by rády věděly, jak útočník pronikl dovnitř a tuto možnost zablokovaly (firewallem apod.). Ale nikdy nepřechází do protiútoku. Nemají potřebné zdroje. Takže útočník může jít a zkusit to jinde.

A jaké jsou podle vás tři nejdůležitější obory, které vyžadují tento druh zabezpečení?

Domnívám se, že jej mohou používat všechny společnosti, ale setkáváme se s ním u bank, nemocnic, farmaceutických společností a technologických společností. Na předních místech jsou finanční a farmaceutičtí klienti a pak nemocnice.

Můžete uvést konkrétní příklad, kde Fidelis Deception pomáhá?

Jeden příklad z konkrétní společnosti: nahlásili jsme, že byl napaden koncový bod. IT pracovník spustil na daném koncovém bodu několik druhů bezpečnostních systémů, které nic nenašly. Odpověděli nám: "Ve vašem systému je chyba". Vzdáleně jsme to zkontrolovali a znovu konstatovali, že tento koncový bod je napaden a navrhli jsme zákazníkovi, aby zkontroloval síťovou aktivitu, která odchází z napadeného systému do naší návnady. Udělali to a zjistili, že tento koncový bod je skutečně napojený na naši návnadu, ale nástroje, které používají, nedokázaly odhalit hackera v systému. Takže antiviry a ostatní nástroje nenajdou vše. Je to pěkný příklad toho, jak silným nástrojem je odklonění útoku. Náš systém našel něco, co oni neviděli. I když jsme jim o problému řekli, nenašli ho.
Dalším příkladem je společnost, která prováděla penetrační testování. Najali si jinou společnost, aby otestovala jejich zabezpečení. Společnost provádějící penetraci do firmy pronikla a narazila na návnadu. Okamžitě jsme spustili událost o tom, že došlo k napadení tohoto koncového bodu a přišel nám e-mail s textem "skvělá práce, odhalili jste penetrační test". Tohle jsou dva příklady, kdy společnosti, jež zakoupily náš systém, nemusely věnovat velké úsilí do nasazení a údržby, nedostaly žádné falešné alarmy a vrátila se jim jejich investice.