Jedním z největších problémů současného kybernetického světa je phishing – získávání informací od nic netušících uživatelů především pomocí sociálního inženýrství. Jedná se o problém natolik velký a závažný, že se mu budeme věnovat v podrobnějším materiálu v některém z příštích vydání PC WORLD Security.
S pomocí informací získaných phishingem provádějí hackeři kybernetické krádeže, při kterých vznikají velmi vysoké škody. „Lovené“ informace mají totiž podobu přihlašovacích jmen a hesel k různým aplikacím (elektronické bankovnictví, internetové obchody, platební systémy apod.).
Phishing se provozuje prostřednictvím podvržených e-mailových zpráv a www stránek. V praxi to vypadá tak, že útočníci rozešlou do světa zprávy elektronické pošty. Ty se tváří např. jako zpráva od nějaké významné finanční instituce. E-mailovou adresu odesílatele totiž není problém zfalšovat a nahradit libovolnou jinou. Navíc se ani nepředpokládá komunikace mezi útočníkem a obětí, takže je zcela jedno, kam tato adresa bude směřovat. A vytvořit vlastní e-mailovou zprávu, která vypadá důvěryhodně, je dílem okamžiku. Zpravidla stačí dodat logo příslušné finanční instituce.
Uživatel pak v domnění, že komunikuje s oficiální institucí, pošle přes www formulář nebo jiným způsobem své osobní údaje – třeba pod záminkou „aktualizace“ nebo „doplnění“.
Statistiky zveřejněné Anti-Phishing Working Group (APWG) jsou přitom velmi neradostné. Po celý rok 2004 phishing zaznamenával neradostný nárůst o 24 procent MĚSÍČNĚ! V prosinci 2004 bylo celkově odhaleno 1 707 www stránek sloužících phishingu – na ně odkazovalo 9 019 různých typů e-mailů. Průměrná doba životnosti phishingové www stránky byla
5,9 dne – v některých případech ale trvalo desítky dní, než se ji podařilo nějak sprovodit ze světa. Plných 32 procent stránek sloužících phishingu se nacházelo v USA, 12 procent v Číně a 11 procent v Jižní Koreji. Mezi dvěma a třemi procenty pak v Japonsku, Německu, Francii, Brazílii, Rumunsku, Kanadě a Indii.
A abychom se nedrželi jen jednoho zdroje informací: neméně alarmující jsou statistiky společnosti Messagelabs. Od října 2002 do září 2003 zaregistrovala 279 e-mailů, které se pokoušely o phishing. A pozor: od října 2003 do září 2004 jich už bylo skoro osmnáct a půl miliónu! Nárůst opravdu neskutečný…
Viry a škodlivé kódy
Rok 2004 přinesl v oblasti počítačových virů jeden zajímavý milník: jejich počet se přehoupl přes sto tisíc. Jedním dechem ale musíme dodat, že toto číslo má vypovídací hodnotu pouze ve smyslu, že virů a podobné havěti je opravdu hodně.
„Počítání“ virů totiž přináší celou řadu problémů. Jak posoudit dva stejné viry, když se jeden od druhého liší pouze tím, že byl přeložený do jiného jazyka? Jak rozlišovat jednotlivé verze virů, nebo kde je hranice pro rozlišení různých verzí? Jak počítat jednotlivé mutace a poškozené viry? Jaké další škodlivé kódy mezi viry zařadit? (Např. některý antivirový program má velmi solidní výsledky ve vyhledávání spywaru, jiný se této oblasti raději vyhýbá.) A takto bychom mohli pokračovat.
Jinými slovy: počet virů je jen velmi orientační číslo. V praxi totiž může být program, který umí odhalit dvacet tisíc virů, výrazně lepší než ten, který se holedbá čtyřikrát větší úspěšností.
Co je ale důležité, jsou trendy loňského roku v oblasti virů:
Využívání bezpečnostních nedostatků – asi největší problém současného světa, který se netýká pouze virů. Dnešní bezpečnost se změnila v souboj o to, kdo bude rychlejší: zda specialisté snažící se systémy zabezpečit, nebo hackeři toužící chybu zneužít. Čas mezi objevením nového nedostatku a jeho využitím k útoku se v roce 2004 povážlivě zkrátil: často na pouhé desítky hodin! Je pak pochopitelné, že škodlivé kódy využívají k páchání svých nekalostí právě chyby v operačních systémech a aplikacích.
Poučení se z chyb minulých – celý rok 2004 byl ve znamení několika virů: Bagle, MyDoom či Netsky. Od každého z nich se ale objevily desítky různých verzí. To totiž umožňovalo jejich tvůrcům poučit se z chyb minulých – a naopak využívat techniky a technologie, které fungovaly.
Viry mají cíl – škodlivé kódy už se nepíší jen pro zábavu nebo aby si jejich autoři něco dokázali. Jejich psaní má zpravidla naprosto jasný cíl: z napadených počítačů něco odcizit nebo do nich dopravit další zákeřný program. Ten pak zpravidla umožňuje zneužívání počítačů k provádění něčeho nekalého, jako je odkládání ilegálních dat (dětská pornografie, nelegálně kopírovaná hudba nebo hry apod.) nebo provádění nějaké činnosti (rozesílání spamu, DDoS útoky aj.).
Pokud necháme promluvit statistiky, pak byl v roce 2003 byl celosvětový poměr e-mailů a virů v nich 33 : 1. V roce 2004 se ale tento poměr víc než dvojnásobně zhoršil na 16 : 1. Jak vidno, situace se rozhodně nelepší…
Ale už za několik let by všechno mohlo být jinak. Matematické modely totiž ukazují, že škodlivé kódy v elektronické poště se nejvíce šíří v prvních hodinách, kdy proti nim ještě antivirové firmy nestačily vydat aktualizace. Propočty ukazují, že pokud průměrná reakční doba (doba mezi objevením viru a instalací aktualizace na počítač) poklesne pod tři hodiny, nastane konec masově rozesílaných červů v elektronické poště – antivirový průmysl zkrátka bude schopen reagovat dříve, než vypukne epidemie. Zatímco v roce 2003 činila průměrná reakční doba 12 hodin, loni poklesla na deset. Stále je to hodně, ale antivirový průmysl už začíná tvůrcům virů pomalu šlapat na paty.
E-kriminalita
V oblasti informačních zločinů je v poslední době patrný jeden smutný trend: putuje do ní čím dál více finančních prostředků. To je dáno tím, že se tento „obor podnikání“ stává velmi výnosným.
Nemáme teď na mysli nelegální kopírování dat nebo programů. Názorným příkladem může být třeba phishing, o němž jsme se už zmínili. Nebo spam, který probereme níže. Samozřejmě i viry – jak už jsme uvedli, jedním z cílů jejich vytváření je přinést svým autorům finanční zisk. A tak se v internetovém podsvětí nabízejí k prodeji celé databáze infikovaných počítačů, které je pak možné dále zneužívat. Využití počítačů nic netušících obětí má z hlediska útočníka několik výhod. Jednak nemusí platit za hardware a přenosovou kapacitu, jednak neriskuje v případě prozrazení žádné sankce – postižený bývá často nevinný člověk.
Díky počítačové kriminalitě vzniká začarovaný kruh, neboť peníze jdou ruku v ruce s kvalitou a s kvantitou. Kdo má peníze, může si dovolit zaplatit kvalitní programátory. To mu v konečném důsledku přinese kvalitnější škodlivé programy, více peněz atd. Mimochodem právě v roce 2004 byly zaznamenány případy, kdy se rozesílatelé spamu pokusili uplatit nemalými částkami pracovníky firem vytvářejících antispamové programy, aby se dozvěděli, jakým způsobem se jejich filtrům vyhnout. Zda byli v některých případech úspěšní, je otevřená otázka…
Zajímavý případ kyberzločinu se udál ve Spojených státech, kde jistý Jay Echouafni, tehdy ředitel firmy Orbit Communication dodávající satelitní přijímače, najal hackery k provádění DDoS útoků (útoky, při nichž je z mnoha míst vysláno velké množství požadavků na jeden server, který se pod jejich náporem zhroutí) proti www stránkám svých konkurentů. Na celý poměrně zvláštní případ se přišlo. Pan Echouafni nečekal na zatčení a raději zmizel – nyní se jeho jméno nachází na seznamu nejhledanějších osob americké FBI.
Svět skrze mříže
Počítačová kriminalita začala v posledních letech přerůstat rozumné meze a stala se skutečným ohrožením pro elektronickou poštu, internet a související služby (elektronické obchodování, bankovnictví apod.). Proto začalo mnoho zemí vzniklou situaci řešit – a mnohé dosti tvrdě.
Problém se přitom neřeší jen na úrovni státní, ale snaží se i komerční společnosti. Microsoft třeba slíbil odměnu 250 tisíc dolarů za dopadení hackerů píšících nejnebezpečnější viry. Poprvé byla nabídnuta v srpnu 2003 po epidemiích Sobig.F a Blaster. Poté ji společnost vypsala ještě několikrát, např. v lednu 2004 za informace vedoucí k dopadení pachatele epidemie MyDoom nebo v květnu téhož roku za osobu stojící za napsáním červa Sasser. Nejdůležitější na této odměně je přitom fakt, že vnáší nejistotu do hackerské komunity, která dosud silně držela při sobě a vyměňovala si zkušenosti. Jednotliví tvůrci virů se pro příště budou muset spolehnout především na sebe (což samozřejmě jejich „práci“ ztíží), protože si nikdy nebudou jisti, kdo z blízkého okolí je udá.
Celý rok 2004 přitom byl ve znamení zadržení, obvinění a odsouzení bezprecedentního počtu autorů škodlivých kódů – donedávna šlo o relativně bezpečnou aktivitu, což ale přestává platit. Ostatně stačí se podívat na následující seznam: v květnu 2004 byli v Německu v rozmezí několika hodin zadrženi dva hackeři, podílející se na tvorbě virů Sasser i Netsky a škodlivého kódu Agobor. Ve stejném měsíci zatkla policie v Kanadě autora jedné z variant viru Randex a na Tchajwanu skončil za mřížemi autor zadních vrátek Peep. Zátah pokračoval i v dalších měsících, a to hned v červnu (Finsko, autor viru VBS/Lasku, a Maďarsko, autor viru Magold) a v červenci (Španělsko, autor viru Cabrotor, a Rusko, tři hackeři podnikající DDoS útoky). Listopad 2004 pak byl černým měsícem pro slavnou skupinu tvůrců virů 29A: v Rusku byl uvězněn její aktivní člen, v České republice byl pak odhalen a zadržen její bývalý člen známý pod přezdívkou Benny. Ten se hájil tím, že své viry psal pro to, aby upozornil na nebezpečnost internetu a že je pouze zveřejňoval na svých www stránkách, ale nešířil je. Otázkou zůstává, zda psaní virů je opravdu tím nejlepším způsobem upozorňování na rizika internetu a zda zveřejňování jejich zdrojových kódů (a usnadňování „práce“ druhým) je také zcela v pořádku.
Benny má zkrátka smůlu, že žije ve špatné zemi: v Brazílii totiž policie jednoho autora virů zadržela a vzápětí propustila, protože se nepodařilo najít žádný paragraf, který by porušil. Naštěstí na tom takto není každá země, protože elektronický svět by za chvíli byl nepoužitelný.
Ovšem postihováni začali být nejen autoři virů a hackeři, ale také rozesílatelé spamu. Český tzv. antispamový zákon je sice krásná věc, ale v praxi, kdy přes 99 procent spamu přichází ze zahraničí, je jeho použití přinejmenším diskutabilní.
Nicméně třeba v americké Virginii byl v listopadu 2004 odsouzen k devítiletému odnětí svobody Jeremy Jaynes, podle statistik bezpečnostních firem osmý největší rozesílatel spamu na světě. Společně s ním byla odsouzena i jeho sestra Jessica DeGroot k pokutě 7 500 dolarů za to, že mu pomáhala s nákupem doménových jmen, jež byly následně zneužívány k rozesílání spamu.
Přitom je zajímavé, že Jeremy Jaynes byl odsouzen za prokazatelné rozeslání deseti tisíc zpráv charakterizovaných jako spam – jenomže jich denně posílal DESÍTKY MILIÓNů! Z tohoto je vidět, jak složité může někdy dokazování v podobných případech být. Zajímavé také je, že Jaynes se dočkal odpovědi jen na 0,00005 procenta rozeslaných zpráv (tedy na jednu z cca dvou miliónů!), což mu ale stačilo k velmi vysokému měsíčnímu příjmu 750 tisíc dolarů. Celkem shromáždil majetek v hodnotě 24 milionů dolarů. Jeho ústředím byl dům, do něhož vedlo šestnáct terabitových linek pro rozesílání spamu!
Podotýkáme, že podobných „spamových baronů“ jsou na světě zhruba dvě stovky.
Ruka spravedlnosti dosáhla také na phish-
ery. Byli zadrženi a postaveni před soud třeba v USA, ve Velké Británii nebo v Austrálii. Mezi nimi byl např. Andrew Schwarmkoff z Brightonu u Bostonu. FBI u něj nalezla odcizené věci v hodnotě 200 tisíc dolarů, dále pak čtečky karet a přes sto falešných průkazů totožnosti. V hotovosti měl u sebe ještě 15 tisíc dolarů pocházejících z phishingu.
Konečný verdikt v jeho případě soud dosud nestanovil.
Spam, spam, všude spam
Na konci roku 2004 představovaly skoro tři čtvrtiny elektronické pošty spam. Tento problém přitom jako by se nechtěl zastavit a prognózy jsou velmi neradostné: koncem roku 2005 by v elektronické poště mělo být 95 až 98 procent spamu!!!
Sedmdesát procent spamu je přitom odesíláno z infikovaných domácích počítačů, jejichž uživatelé vůbec nemají ponětí, k čemu jsou jejich stroje zneužívány. Tento princip byl naznačen už výše: někdo napíše virus, který vytvoří síť desítek, stovek či tisíc infikovaných počítačů, jež nejsou zabezpečené a jsou vzdáleně ovladatelné. Seznam těchto počítačů a přístupové kódy k nim pak prodá nějakému rozesílateli spamu. Ten pak na dotyčné počítače umístí svůj vlastní program, který pak jen „krmí“ e-mailovými adresami – dotyčný počítač pak zajišťuje veškeré další úkony.
Univerzita v americkém Marylandu přitom provedla na závěr roku 2004 průzkum o stavu spamu. Průměrný uživatel internetu dostává podle něj denně 18,5 spamové zprávy – spam přitom dostávají tři čtvrtiny osob. Identifikace a mazání spamu zabere průměrně 2,8 minuty denně. Když se to převede na celou americkou ekonomiku, vychází z toho roční škody ve výši 22 miliard dolarů (což je skoro o padesát procent více, než dostává třeba kosmická agentura NASA). Chyba v tomto průzkumu je podle Univesity of Maryland plus minus tři procentní body.
Alarmující je přitom ještě jedno zjištění: čtyři procenta uživatelů už někdy zakoupily zboží nabízené ve spamu! Základním pravidlem přitom je (resp. by mělo být) na podobné nabídky nereagovat, protože obchody přinášejí rozesílatelům spamu peníze – a ty pak znamenají další a další spam do našich e-mailových schránek.
Zajímavá událost související se spamem se přitom odehrála na konci roku 2004, když vyhledávač Lycos Europe odstartoval kontroverzní kampaň na webu www.makelovenotspam.com. Šlo o to, že z výše uvedené stránky bylo možné stáhnout spořič obrazovky, který v době nečinnosti počítače podnikal DDoS útoky na počítače rozesílatelů spamu. Tato aktivita byla velmi diskutabilní (v praxi šlo o jakési „vyhánění čerta ďáblem“), navíc mnohdy směřovala vůči počítačům nic netušících obětí rozesílatelů spamu. Proto byla po týdnu zastavena.
Kromě toho se stránka sama stala cílem mnoha DDoS útoků vedených rozesílateli spamu – a na internetu začal kolovat e-mailový červ, který o sobě tvrdil, že je právě tímto spořičem obrazovky. Ve skutečnosti ale šlo o škodlivý kód, jenž infikoval počítače důvěřivých uživatelů…
E-mailové problémy
Elektronická pošta přináší velké množství problémů – kromě již výše zmíněného spamu a phishingu. Jedním z úkolů současného světa je vytvořit technologii, která by umožňovala alespoň základní stupeň autentizace. Třeba ověřit, zda-li v e-mailové zprávě uváděná doména souhlasí s doménou, ze které skutečně byla odeslána (třeba prostou kontrolou IP adresy).
Tato technologie by umožnila eliminovat velkou část virů, spamu nebo phishingu, neboť se jedná o e-mailové zprávy, které zpravidla odkazují někam jinam než na místo svého skutečného původu. Elektronický podpis tento problém sice může řešit, ale pouze částečně. Především je jeho používání svazováno mnoha národními právními předpisy v rámci různých programů „eGovernment“, takže uplatnění elektronického podpisu k tomuto úkolu na nadnárodní úrovni nepřichází v úvahu. Navíc e-podpis poskytuje díky své složité infrastruktuře nepoměrně vyšší stupeň ochrany, než je potřeba.
Odborníci samozřejmě namítají, že jednoduchý systém bude snáze napadnutelný. To je pravda, ale raději jednoduchý systém než žádný – a navíc i jednoduchý systém splní svoji úlohu a značnou část útoků eliminuje (všechny stejně nedokáže eliminovat ani jednoduchý, ani složitý systém). Běžní uživatelé by těžko byli ochotni akceptovat systém složitý na pochopení – a třeba i ekonomicky náročný (jak si představují jeho někteří zastánci v duchu hesla „za bezpečí je potřeba platit“).
Proto se vloni objevilo několik návrhů na jednoduchou autentizační technologii: jednak Sender Policy Framework (SPF) od pobox.com, DomainKeys od Yahoo! a Sender ID od Microsoftu. Odborníci i veřejnost okamžitě odmítli Sender ID systém, protože se na něj měly vázat licenční podmínky a protože měl mít pouze omezené použití. Dokonce i AOL přišel s tím, že z technického hlediska nemůže Sender ID akceptovat, protože obsahuje různé nedostatky, a že bude používat SPF.
Otázka jednoduché autentizační technologie je tak stále nerozhodnutá a otevřená. Největší nebezpečí přitom představuje vytvoření mnoha standardů, které budou navzájem nekompatibilní. Taková situace by bohužel nic nevyřešila.
Mobilní hrozby
Rok 2004 přinesl v oblasti počítačových virů a dalších škodlivých kódů několik novinek. Objevily se první v praxi skutečně nebezpečné viry, schopné zasáhnout mobilní platformy.
Nejprve se v červnu 2004 objevil škodlivý kód Cabir, který byl jako první schopen se šířit pomocí technologie Bluetooth především na zařízeních s operačním systémem Symbian EPOC Series 60. Právě Cabir představuje v současné době značné nebezpečí, protože se na internetu objevil jeho zdrojový kód. Díky tomu jsme se dočkali desítek jeho verzí a také desítek pokusů o vznik epidemie. Někdo s infikovaným zařízením zkrátka v daném případě navštívil místa s vysokou koncentrací podobných zařízení (restaurace, kancelářské budovy, sportovní stadióny…) a pokoušel se Cabir distribuovat. Naštěstí zatím vždy způsobil jen lokální epidemii.
Jen několik týdnů po Cabiru spatřil světlo světa Duts: první virus vytvořený pro platformu Windows CE (resp. Pocket PC). V srpnu 2004 jsme se pak dočkali programu Brador, což je první backdoor (program umožňující přístup nepovolaným osobám) pro PDA. V listopadu loňského roku pak následoval ještě škodlivý kód Skulls, který se vydával za užitečnou aplikaci, takže si jej uživatelé instalovali do mobilních zařízení dobrovolně. Pokud tak učinili, Skulls přepsal všechny SIS soubory, takže se zařízením nebylo možné provádět jiné úkony než pracovat s příchozími a odchozími hovory.
Toto jsou ale zatím v oblasti mobilních zařízení jen první nesmělé krůčky škodlivých kódů. Existují ale i mnohem nebezpečnější způsoby, jak pomocí škodlivých programů napadnout majitele mobilních telefonů. Málokdo si totiž uvědomuje, že každý hovor nebo každá odeslaná SMS zpráva je vlastně finanční transakcí. A že je velmi jednoduché tuto transakci zneužít.
Na jaře 2004 se na internetu objevila ke stažení zdarma hra Mosquitos. Ta ale obsahovala speciální funkci, o níž neměl uživatel při instalaci ani ponětí. Šlo o to, že tato hra při každém spuštění nebo v určitých časových intervalech odesílala z mobilního zařízení SMS zprávu na vysoce zpoplatněné telefonní číslo. Jak elegantní (a nebezpečný) způsob krádeže finančních prostředků!
Přitom podobných útoků přibývá a vlastně jen kopírují současný trend: hackeři jdou tam, kde jsou peníze. A v mobilních komunikacích rozhodně jsou.
Windows XP SP 2
Že by se blýskalo na lepší časy? Už mnoho let volají odborníci na celém světě, že otázka bezpečnosti by neměla být pouze problémem zabezpečení koncových uživatelů nebo jednotlivých firem, ale že jde o problém, který je zapotřebí řešit komplexně.
Je třeba vyvinout nové komunikační protokoly, nové metody elektronického obchodování apod. Současná praxe je totiž taková, že mnoho IT firem dává od problému alibisticky ruce pryč: „Ochrana uživatelů přece není naše věc.“, „Ze strany naší instituce k žádnému pochybení nedošlo.“ nebo „S tím jste souhlasili v našich všeobecných podmínkách.“ A uživatel – místo aby počítač používal – zoufale tápe a pomalu se stává bezpečnostním expertem.
Firmy si ale začaly uvědomovat, že jsou samy proti sobě: základem dlouhodobého úspěchu je spokojený zákazník. Jednou z prvních firem na světě, které tuto problematiku začaly řešit, se stala americká společnost Microsoft. V srpnu 2004 přišla např. s dlouho očekávaným Windows XP Service Pack 2 (dále XP SP2), což je záplata kladoucí bezprecedentní důraz právě na bezpečnost. Byť je její funkčnost (resp. funkčnost některých jejích prvků) často kritizována, rozhodně jde o krok správným směrem.
Zásadní výhodou balíku XP SP2 je vytvoření samostatné aplikace Security Center, které se věnuje následujícím oblastem:
Záplatování – škodlivé kódy a hackeři s oblibou využívají nejrůznějších chyb v aplikacích i operačním systému (nejčastěji v tom nejrozšířenějším, který najdeme na devadesáti procentech počítačů na světě). Security Center v XP SP2 sleduje stav záplatování na příslušném počítači a umožňuje jejich automatickou instalaci (nebo alespoň upozorňuje na nutnost jejího provedení).
Antivirová ochrana – alfou i omegou současné informační bezpečnosti je antivirový program, který je zpravidla schopen detekovat nejen viry, ale i další škodlivé kódy (červy, trojské koně, zadní vrátka, spyware apod.). Security Center v XP SP2 upozorňuje uživatele, když na počítači není antivirový program aktivní – tedy když počítač není v reálném čase chráněný.
Personální firewall – tentokrát se Microsoft rozhodl nespoléhat na nějakou externí aplikaci (jako v případě antivirového programu), ale implementoval do systému vlastní personální firewall. Ten je schopen blokovat nežádoucí příchozí provoz a upozorňuje uživatele, pokud dochází k otevření nějakého portu. Neumožňuje ale blokovat provoz odchozí, za což bývá často terčem kritiky.
Bezpečnostní experti se každopádně jednohlasně shodují: kdyby všechny počítače byly vybavené na stejné úrovni, jakou poskytuje XP SP2, tak by elektronické útoky jednak výrazně poklesly a jednak by bylo jejich provádění mnohem těžší. Samozřejmě, že žád-
ný systém není stoprocentně dokonalý, takže i v tomto balíku se objevily chyby – ale jejich překonání už vyžaduje sofistikovanější metody útoku.
Podrobněji jsme se balíku XP Service Pack 2 věnovali v PC WORLD Security v září 2004.
A jaký bude rok 2005?
Jaký bude letošní rok v oblasti informační bezpečnosti? Na tuto otázku je poměrně jednoduchá odpověď. Rozhodně se bude zvyšovat četnost a nebezpečnost útoků – s tím, jak do kyberzločinu přicházejí finanční prostředky. Cílem by se měly stát hlavně oblasti, kde je možné rychle a jednoduše získat peníze: elektronické služby a komunikační technologie.
Uživatelé i správci sítí tak budou mít i v roce 2005 o vrásky na čele rozhodně postaráno.