Prostředek vs. cíl
V případě kybernetických zločinů musíme rozlišovat dvě základní kategorie: jednak jde o zločiny směřované přímo proti počítačům a jednak o zločiny vedené pomocí počítačů. Jinými slovy: v prvním případě jsou počítače cílem, ve druhém pouze prostředkem.
Zatímco dříve byly počítače cílem samy o sobě, dnes se tento trend výrazně mění. Informační a komunikační technologie slouží k ovládání bankovních účtů, k elektronickým nákupům, přístupům k citlivým informacím... K počítačům je dnes připojené kdeco a kdekdo. Z toho vyplývá, že se postupem času staly atraktivnějšími cíli, protože úspěšným napadením lze získat mnohem více než sebeuspokojení nebo pochybné (a pomíjivé) uznání určité komunity.
Dnešní útoky jsou zkrátka motivovány jinak než před deseti či patnácti lety. Ne že by "elektroničtí vandalové" vymřeli, to ne. Ale stojí za amatérskými, tudíž relativně méně nebezpečnými útoky. Občas se jim díky dobrému nápadu nebo nekonvenčnímu přístupu podaří vytvořit zajímavý, nový nebo úspěšný útok, ale to jsou spíše výjimky potvrzující pravidlo. Těmto amatérům, zpravidla bezostyšně vykrádajícím různé "vzdělávací" hackerské stránky, modifikujícím někým schopnějším vytvořené kódy nebo zneužívajícím nápady úspěšnějších, se říká script kiddies.
Z výše uvedeného vyplývá, že se změnil cíl útoků hackerů. Kybernetický prostor se stal místem zločinnosti jako mnoho jiných oblastí našeho reálného světa - a navíc s mnoha specifickými znaky. Jedním z nich je třeba bezproblémové, okamžité a téměř beztrestné působení za geografickými hranicemi. Právní systém budovaný stovky let nestihl reagovat na převratné změny v informačních technologiích v několika posledních letech, takže i naše právo buď zoufale zaostává, nebo neméně zoufale tápe.
Od amatérů se tak dostáváme k profesionálům. Je to prosté: pomocí virtuálních počítačových útoků lze získávat reálné finanční prostředky. A kriminalita je právě o získávání peněz způsobem "padni komu padni".
Peníze samozřejmě jdou ruku v ruce s kvalitou a s kvantitou. Ten, kdo je má, si samozřejmě může dovolit zaplatit kvalitní analytiky a kvalitní programátory, kteří připraví aplikace a metody určené k minimálně diskutabilním aktivitám. Že je to neetické a mnohdy nelegální? Lidé už udělali pro peníze mnohem horší věci než napsali kus programového kódu. Navíc jsme v oblasti, kde je riziko vystopování a dopadení jenom trochu schopného pachatele prakticky nulové.
Ostatně mnozí "spolupachatelé" si ani neuvědomují, že pracují pro zločince. Prostě dostávají dobře placené zakázky
od různých agentur nebo startupových firem na studie, analýzy, obchodní modely apod. Že jsou následně zneužívané k nelegálním činnostem, to se vůbec nedozví...
Poznámka: v následujícím materiálu se budeme věnovat pouze těm formám počítačového zločinu, které mají co do činění s náplní časopisu PC WORLD Security. Nebudeme se tedy věnovat třeba pirátství ve všech možných podobách, pornografii nebo třeba využití moderních skenerů a aplikací pro falšování peněz a/nebo dokumentů. A pokud se těchto oblastí dotkneme, tak jen proto, abychom uvedli naše hlavní téma v širším kontextu.
První případ: AIDS Information
První velký případ pokusu o kybernetický zločin se stal v roce 1989 a historie jej zná jako "AIDS Information Diskette Incident".
Tehdy kterýsi nikdy nevypátraný dobrodinec poslal na všechny kontakty v adresáři IT firem časopisu PC Business World disketu společně s průvodním dopisem, ve kterém byla žádost o dar 189 dolarů ve prospěch jisté nadace bojující právě proti nemoci AIDS. Disketa přitom měla být poděkováním za čas věnovaný četbě dopisu a zároveň malým praktickým dárkem s informacemi o tehdy záhadné a mýty obestřené chorobě. Za touto akcí těžko stál nějaký chudý student nebo amatér: její rozsah byl příliš velký a především finančně náročný. Dopisů s disketou totiž bylo odesláno bezmála dvacet tisíc!
Pokud někdo disketu použil (nejčastěji z prosté zvědavosti), pak s žádanými informacemi do počítače dostal také několik nežádoucích skrytých souborů a modifikaci souboru AUTOEXEC.BAT, který zajišťoval jejich spouštění při každém bootování. Poté, co počet bootování dosáhl čísla devadesát, program zašifroval všechny soubory na disku a přiřadil jim skrytý atribut. Při prvním pohledu na disk tak byl viditelný jen jediný soubor: textová žádost o zaslání 189 dolarů do P. O. Boxu 7 v Panamě, slibující za tento obnos dodání příslušné dešifrovací rutiny. (Šifrování naštěstí nebylo příliš důkladně provedené, takže vrátit data do původní podoby bylo relativně jednoduché a celkové ztráty nebyly velké. Vlastně šlo jen o uživatele, kteří zpanikařili a začali situaci řešit "svépomocí", čímž data nenávratně poškodili. (Neplyne z toho ostatně poučení i do dnešních dnů?)
Tento případ je přes své značné stáří velmi poučný a mnohé jeho principy můžeme aplikovat i dnes. Především: nejslab-
ším článkem systému bývá uživatel, kterého vhodným způsobem dokážeme přimět k všemožným úkonům. Včetně instalace škodlivého softwaru do počítače... Další poučení říká, že sociální inženýrství funguje - stačí dobrý nápad a vhodné okolnosti a všechna nákladná/složitá (proti)opatření jsou v koncích.
Případ diskety s informacemi o nemoci AIDS také ukázal, že klasické zločiny (v daném případě vydírání) lze realizovat i ve světě počítačů. A že počítačovými zločiny lze získat reálné peníze...
Obyčejní podvodníci
Někdy se uvádí, že rozvoj počítačů přinesl nové a dosud netušené zločiny. To není pravda. Žádný nový druh kriminality se neobjevil: pouze došlo ke změně podoby či provedení těch stávajících. Vše špatné, s čím se tak lze dnes v oblasti počítačů setkat, jsou klasické podvody, krádeže, vydírání, zneužívání cizí věci apod. Prostě staré zločiny, jen v novém hávu. A to jim někdy dodává punc objevnosti či novátorství.
Problém je někde zcela jinde: jak už jsme uvedli výše, rozvoj informačních a komunikačních technologií způsobil, že náš právní řád prakticky mávnutím kouzelného proutku beznadějně zastaral. Nemáme mechanizmy na zajišťování důkazů, nemáme dostatek specialistů ve službách zákona, nadnárodní smlouvy (neboť internet žádné národní hranice nezná - poslání e-mailu k protinožcům je časově i technologicky stejně náročný úkol jako poslat ho kolegovi u vedlejšího stolu). A mnohdy ani nemáme vůli situaci řešit, protože kyberzločiny nesnesou polovičatá řešení.
Jako "nový" zločin bývá někdy označovaný phishing. To také není pravda. Jedná se o zcela obyčejný podvod, jen realizovaný ve světě informačních technologií. Netýká se pouze elektronické pošty nebo webů, ale právě díky nim se dočkal obrovského rozšíření. Phishing je zkomolenina z anglického fishing, což by se dalo přeložit jako "rybaření" - svým způsobem jde o získávání (a následné zneužívání) citlivých informací pod nejrůznějšími lživými záminkami. Že se jedná o aktivitu nelegální, jistě netřeba dvakrát zdůrazňovat.
Phishing je velmi nebezpečný, a to v několika rovinách. Třeba tím, že má několik obětí. Jednak jsou to lidé, kteří se stanou cílem phishingu a kteří jím jsou přímo postiženi. A jednak jsou to instituce, u nichž poškození měli účet, s nimiž spolupracovali apod. Ty jsou také obětí - a to hned několikanásobnou. Díky phishingu musí investovat nemalé prostředky a zdroje do různých reklamací a šetření, klesá jejich důvěryhodnost (ač jsou v celé věci zpravidla zcela nevinně) a v konečném důsledku klesá důvěryhodnost celého internetového prostředí.
Velkým nebezpečím phishingu je ale třeba to, že si člověk vůbec nemusí uvědomit, že se stal cílem útoku. Vyplnil jen formulář, jehož vyplnění po něm bylo požadováno - no a co? To je rozdíl mezi reálným světem: ztrátu či krádež klíčů, dokladů nebo kreditní karty zpravidla odhalíme rychle. Phisher ale získává čas mapovat terén a rozhodnout se pro co nejefektivnější využití získaných informací. Navíc si může sám vybrat i čas provedení útoku - třeba v pátek večer, kdy přes víkend bývá v bankách jen omezená možnost zablokování karet apod. Díky tomu vznikají mnohem větší škody než v případě klasických kriminálních činů.
Klasickým podvodem jsou i tzv. nigerijské dopisy, kdy je oslovenému člověku nabízena vysoká provize (v řádu desítek procent) z vysoké částky (v řádu desítek miliónu dolarů, liber či euro) - za podmínky, že pomůže s jejím převodem. Člověk zaslepený vidinou obrovské částky pak útočníkům postupně prozradí všechny své citlivé údaje - a na závěr mu zbývají jen pověstné oči pro pláč.
Phishingu se věnoval rozsáhlý materiál v PC WORLD Security 2/2005.
Viry dostaly úkoly
Na počítačových virech je krásně vidět vývoj od prostého vandalismu k sofistikovaným útokům.
První široce medializovaný případ pochází ze srpna 2000, kdy většina zaměstnanců United Bank of Switzerland dostala e-maily s předmětem "Resume", přičemž jako příloha zde byl soubor resume.txt.vbs. (V mnoha případech, zvláště při nastavené volbě "nezobrazovat známé přípony", se pak tento soubor může jevit jen jako soubor RESUME.TXT, jehož přípona je vcelku neškodná.) V danou chvíli pak záleželo na (ne)opatrnosti příslušného úředníka, zda se soubor pokusil spustit. Jeho rozhodování mělo usnadnit sociální inženýrství: e-mail se vydával za zprávu se životopisem mladé uchazečky o zaměstnání v bance, která si spletla adresu a neodeslala ji na původně zamýšlené personální oddělení. Pokud se uživatel rozhodl na přílohu kliknout, právě aktivovaný virus se pokoušel svůj vstup do systému zakrýt otevřením Poznámkového bloku a zobrazením smyšleného životopisu.
Došlo-li k aktivaci škodlivého kódu, pokoušel se virus z přednastaveného místa internetu stáhnout a následně spustit soubor HCHECK.EXE. Vlastní název souboru o jeho skutečném obsahu zhola nic nevypovídá, takže tuto informaci doplňme o konstatování, že šlo o speciálně upravený program sloužící ke zcizování hesel k bankovním účtům. Jinými slovy: naprogramoval jej někdo, kdo přesně znal strukturu dat v United Bank of Switzerland. Zda šlo o organizovaný zločin v pravém slova smyslu, je těžké posoudit, ale s vysokou pravděpodobností šlo o útok provedený skupinou osob.
Výše uvedený kód se pokoušel odesílat získané důvěrné informace na tři free-mailové adresy na serverech excite.com, netscape.net a mailcity.com. Aby se zvýšila pravděpodobnost úspěšného útoku, byl i útočný kód HCHECK.EXE umístěný na trojici FTP serverů. Podle slov banky ale byl útok včas odhalen a její technické oddělení přijalo odpovídající opatření, aby k žádnému úniku dat nedošlo. Stejně tak se velmi rychle podařilo odstranit všechny tři kopie škodlivého kódu z FTP serverů a ve spolupráci s provozovateli výše uvedených freemailových serverů došlo ke zrušení příslušných schránek.
Na počátku podzimu 2002 se objevil e-mailový červ BugBear. Šlo o víceméně klasický kód šířící se elektronickou poštou, jakých dnes známe tisíce. Až na jednu drobnost. Do napadeného systému instaloval key logger, což by se dalo česky přeložit jako snímač (stisknutých) kláves. Měl podobu knihovny DLL, přičemž po získání určitého množství dat byla tato odeslána na předdefinovanou adresu.
Tato rutina je nebezpečná především v tom, že pomocí klávesnice vkládáme do počítače drtivou většinu dat - včetně přihlašovacích jmen a hesel. Tímto způsobem pak útočník získává zajímavá data z celého světa, a to právě včetně hesel k počítačovým sítím, účtům elektronického bankovnictví, k různým placeným službám apod. Mimochodem, uživatelé v českých a slovenských zemích měli poměrně veliké štěstí, protože příslušný key logger červa BugBear byl v kolizi s našimi lokálními ovladači kláves. V praxi to znamenalo, že pokud se uživatel pokoušel na infikovaném stroji napsat velké písmeno s diakritickým znaménkem, nikdy se mu to nemohlo podařit. Např. místo "Č" se na obrazovce přes veškerou snahu objevovalo "ˇˇC". Uživatelům tak nezbývalo nic jiného než vyhledat velmi brzy odbornou pomoc, která přítomnost škodlivého kódu odhalila.
BugBear měl pro svého autora jednu velkou nevýhodu: instalovaný keylogger snímal každé stisknutí klávesnice. Tzn. nejen údaje zajímavé (loginy a hesla), ale také veškerý jiný provoz, který je pro útočníka vcelku nezajímavý. Hledat v obrovském množství získaných dat pak muselo být časově velmi náročné. To mohl být hlavní důvod pro vznik mnohem nebezpečnějšího škodlivého kódu BugBear.B. Je ale také docela dobře možné, že verze "B" byla skutečným cílem a prvotní varianta měla za cíl pouze použitý model šíření/instalace do počítačů/zcizování dat ověřit.
Faktem zůstává, že když se objevil v červnu 2003 kód BugBear.B, obsahoval mnohem zákeřnější keylogger. Jeho cílem už nebylo fungovat na každém počítači na světě a už vůbec ne sbírat všechna data - měl sbírat data jen z některých počítačů a navíc byl vybíravý, protože se zajímal jen o některá data. Pokud IP adresa napadeného počítače souhlasila s jednou z 1 376 předdefinovaných domén, snažil se škodlivý kód odeslat v počítači uložená hesla a přihlašovací jména na jednu z deseti přednastavených e-mailových adres. Předdefinovanými doménami byly nejrůznější finanční instituce z celého světa - byla zde zastoupena také Česká republika, a to doménou union.cz (nakolik šlo o šťastnou volbu, nechť posoudí autor viru sám - banka byla v té době už několik měsíců v nucené správě). Slovensko na tom bylo o poznání "lépe", Bugbear.B věnuje zvýšenou pozornost doménám vub.sk (Všeobecná úverová banka), slsp.sk (Slovenská sporiteľna), nbs.sk (Národná banka Slovenska), istrobanka.sk a basl.sk (Banka Slovakia). Žádný z bankovních ústavů na celém světě, proti nimž byl tento útok vedený, nepřiznal jakýkoliv bezpečnostní incident nebo únik dat.
Opět zde chybí jakákoliv stopa autora škodlivého kódu, ale s vysokou pravděpodobností se lze domnívat, že útok podobného rozsahu má na svědomí větší skupina.
O přímé vazbě na počítačovou kriminalitu se otevřeně hovoří v případě jedné z největších epidemií v historii, útoku červa Sobig.F. Tedy pokud počítačovou kriminalitou nazveme rozesílání nevyžádané pošty - spamu. Ale vzhledem k tomu, že v tomto odvětví dochází ke generování obrovských zisků a že jde o aktivitu, která ostatní uživatele internetu připravuje (přímo či nepřímo) o nemalé částky, domníváme se, že ji za kriminální činnost považovat lze.
V lednu roku 2003 se objevila první verze e-mailového červa Sobig, přičemž v průběhu následujících dvanácti měsíců se tento škodlivý kód objevil v celkem šesti variantách. Autor (resp. autoři) se přitom vždy snažil poučit z minulých chyb a s každou další verzí svůj výtvor "vylepšoval".
Podstatný je ale cíl celého tohoto snažení, kterým bylo instalování SMTP motoru a podpůrných rutin na napadené počítače. Napadené počítače tak bylo možné používat k rozesílání spamu. Podtrženo, sečteno: infikované stroje se bez vědomí svých uživatelů staly distributory tohoto elektronického "smetí" a díky tomu se jejich identifikační znaky (IP adresy apod.) postupně ocitaly na nejrůznějších blacklistech. Skuteční pachatelé a rozesilatelé spamu mohli být zcela v klidu a beztrestně třeba na druhé straně zeměkoule sklízet plody své "práce". Toto je naprosto přesvědčivý a neoddiskutovatelný důkaz napojení škodlivých kódů na oblast počítačové kriminality.
Z poněkud jiného soudku přichází rodinka červů MiMail. První varianta tohoto škodlivého kódu se objevila v srpnu 2003 a kromě "obvyklých" průvodních jevů se nijak neprojevovala. Šlo totiž pravděpodobně jen o zkušební kód, protože hlavní útočná vlna udeřila v podobě nových verzí až o několik měsíců později. Verze C až G svým chováním víceméně kopírovaly výše nastolený scénář Sobigu.F: do napadených počítačů instalovaly spamovací motor. Mnohem "zajímavější" ale byly další varianty MiMail - např. I a J. Ty mohly být použity poměrně primitivním (leč účinným) způsobem k přímému odcizení finančních prostředků.
Červ Mimail.I používá předmět zprávy "YOUR PAYPAL.COM ACCOUNT EXPIRES" a přiložený soubor nese název www.paypal.com.scr. Mimail.J má zase poněkud strohý předmět "IMPORTANT" a přiložený soubor www.paypal.com.pif. V textu zprávy je vložena e-mailová adresa příjemce, což může u některých uživatelů vzbudit zdání důvěryhodnosti.
Pokud příjemce červa z přiloženého souboru spustí, je mu nejprve zobrazen falešný webový formulář, který imituje grafický styl platebního systému PayPal. Tímto formulářem se červ snaží uživate-le přinutit ke vložení údajů o jeho kreditní kartě. Ty jsou zaznamenány do souboru c:ppinfo.sys, který je později odesílán e-mailem na určité adresy. Jinými slovy: poměrně jednoduchou technikou (zfalšované adresy, napodobená grafika a sociální inženýrství) jsou z nic netušících uživatelů získávána citlivá data o jejich účtech v platebním systému PayPal. Že tato data nejsou sbírána jen z dlouhé chvíle nějakého pubescentního programátora, ale že z příslušných účtů obratem mizí veškeré finance, jistě netřeba zdůrazňovat.
Frekvence, s jakou se kódy řady MiMail objevují, rychle a profesionálně "vyčistěné" účty, perfektně "zametené" sto-
py a další skutečnosti napovídají, že ani v tomto případě nejde o útok osamělého šílence, ale o velmi propracovaný (zlo)čin organizovaného charakteru.
Samostatná
kapitola: dialery
Svého času byly dialery velkým a širo-
ce medializovaným problémem. Televize s oblibou ukazovala "nevinné oběti", které obdržely od zlého telekomunikačního operátora desetitisícové účty za služby. To, že se dotyční účastníci chovali rizikově a neobtěžovali se seznámit se základy bezpečného pohybu na internetu, zůstalo nepříliš zdůrazňovanou skutečností. (Je to podobný případ, jako bychom chtěli obviňovat vodárenskou společnost za to, že mi soustavně dodává vodu, kterou nechci a nepotřebuji - protože se neobtěžuji zavíráním kohoutků.)
Telekomunikační operátoři nicméně převzali svůj díl zodpovědnosti (což je pochopitelné: i neopatrný zákazník je zkrátka zákazník) a dnes se s dialery téměř
nesetkáváme. Důvodem je mimo jiné ale i skutečnost, že vytáčená připojení jsou na ústupu.
Dialer je kus programového kódu, který u vytáčeného připojení k internetu mění volané číslo. Proč to dělá? Důvodem není prostá zlomyslnost, útočníci jsou vedeni snahou o nemalý finanční zisk. Ten je realizován tak, že dotyčné číslo sice zajišťuje připojení k internetu i nadále, ale je tarifikováno speciálními sazbami. Navíc se zpravidla nachází mimo republiku, takže k těmto "nadstandardním" sazbám se připočítává ještě mezinárodní hovorné.
Dialery jsou přitom zpravidla ukrývané jako skripty ve webových stránkách některých méně seriózních a pochybných serverů. Jsou to především servery s pornografickým obsahem, nelegálním softwarem, hudbou ve formátu MP3 apod. Po návštěvě podobné stránky se zpravidla zobrazí dialogové okno s dotazem typu "Chcete mít lepší připojení k internetu?" nebo "Výhodná nabídka připojení" apod. Pokud s něčím podobným souhlasíte (text je navíc často zobrazený v nějakém dostatečně exotickém jazyce, takže ani přesně netušíte, zda klikáte na "ano" či "ne"), dojde ve vší tichosti ke změně telefonního čísla, jehož prostřednictvím se připojujete k internetu. Že něco není v pořádku zjistíte až nad příštím telefonním výpisem. Na rozdíl od virů či jiných škodlivých kódů se tedy dialery ani nepokoušejí svoji činnost nějak maskovat, využívají především lidské neznalosti.
Instalace dialeru s sebou přináší několik problémů především právního charakteru. Pro běžný bezpečnostní software (antivirové programy apod.) není z technického hlediska problém podobné kódy detekovat, jsou to prostě kusy programového kódu jako každé jiné. Potíž je v tom, že neznalý nebo neopatrný uživatel zpravidla souhlasí s jejich instalací (pomiňme nyní fakt, že se tak děje na základě neúplné nebo nepřesné informace). Tím v podstatě legalizuje přítomnost dialeru ve svém počítači - tento rozhodovací proces za uživatele žádný antivirový či jiný ochranný prvek neudělá...
Nejen průmyslová
špionáž
"Nás se to netýká," je nejčastější věta, kterou slyšíme z úst běžných uživatelů, kdykoliv hovoříme o spywaru - sledovacích programech. "Co by si na nás kdo vzal, proč by nás sledoval?" dodávají zpravidla jedním dechem.
Bohužel se krutě mýlí.
Spyware je velmi specifickou oblastí počítačových aplikací, která často balancuje na samé hraně legality. Zpravidla se přitom pohybuje ještě v oblasti legální, ale neetické (což je samozřejmě právně obtížně postihnutelné). A to je zásadní problém: pokud je něco legální, tak samozřejmě je obtížné nějakým způsobem s touto věcí bojovat zákonnými prostředky.
Jak je vůbec možné, že software, který prokazatelně znepříjemňuje život milionům uživatelů na celém světě, je nutné považovat za legální? Stačí se jen podívat na způsob, jakým se spyware do počítačů dostává. Cest je přitom několik, což ještě více komplikuje jeho detekování a odstranění.
Prvním (a bohužel velmi častým způsobem) je, že se spyware (nikoliv jako samostatná aplikace, ale jako vlastnost) do počítače dostane společně s běžným programem. Často jde o různý freeware nebo jiné programy zdarma, které svým tvůrcům vydělávají prostředky zobrazováním reklamních proužků (či jiných komerčních informací). Samozřejmě je v zájmu tvůrců těchto aplikací, aby se zobrazovala reklama, která uživatele počítače nejvíce osloví (tedy na kterou s největší pravděpodobností klikne a svému "pánovi" přinese zisk). Proto se snaží o uživateli počítače získávat co nejkomplexnější informace - jaké stránky navštěvuje, jak často, kolik času na nich tráví, co ho na internetu zajímá apod.
Zásadním problémem pak je, že s touto vlastností softwaru je uživatel zpravidla seznámen v licenčních podmínkách při instalaci. Ruku na srdce - kdo má chuť a čas číst nekonečná a navíc "záživná" (tedy právníky napsaná) licenční ujednání? Nicméně tímto způsobem je vlastně spyware v počítači legalizován (podobně jako třeba dialer - viz výše). Etickou stránku problému opět raději ponechme stranou.
Dalším způsobem, jak se spyware do počítače dostává, je prostřednictvím instalace z internetu. Navštívíte nějakou stránku a vzápětí vyskočí pop-up okno s lákavou nabídkou. Buď se tváří jako informace typu "zlepšete výkon svého počítače, dostávejte jen informace, které vás zajímají" nebo "objeven takový a makový problém vašeho počítače, kliknutím na toto tlačítko jej odstraníte" (nebo úplně jinak, fantazii se meze nekladou). Že kliknutím na příslušné okno dochází k instalaci špionážního softwaru, je nabíledni. Ale uživatel s tím opět souhlasí - byť v dobré víře, že se zbaví nežádoucích potíží (a místo toho jsou mu servírovány www stránky nebo bannery vybrané spywarem).
Jak vidno, spyware se do počítačů zpravidla instaluje legální (resp. pololegální) cestou. Nicméně existují i způsoby nelegální: instalace pomocí skriptů z navštívených www stránek nebo instalace v nějaké aplikaci, aniž by uživatel byl v licenčních podmínkách upozorněn. Jenže ouha! I tentokrát je spyware obtížné detekovat, a to z jednoho prostého důvodu. Určitý program se totiž může jednou do počítače dostat legálním způsobem (např. souhlas s licenčními podmínkami), jindy způsobem nekorektním (např. instalace skriptu z www stránek). Jenomže jak to poznat?
Spyware tedy slouží ke sledování. A to je ten problém: sledovat lze kdeco. Přitom mezi sledováním marketingových údajů a sledováním hesel bankovnictví není zase tak velký rozdíl. Přesvědčila se o tom třeba japonská Sumitomo Mitsui Bank, která v březnu 2005 včas zabránila pokusu o neoprávněný převod částky odpovídající zhruba deseti miliardám korun. (!) K akci přitom byly použity údaje získané právě pomocí spywarových programů.
Spywaru jsme se věnovali např. v PC WORLD Security 2/2004.
Zloději lidských duší
Odcizení identity (identity theft) je neuvěřitelně rychle rostoucí oblastí kriminality. Třeba v USA (kde je tato problematika na rozdíl od jiných zemí velmi pečlivě sledovaná) se jedná o meziroční nárůst případů o patnáct procent! (Vzhledem k tomu, že procenta nemusí nic vyjadřovat o skutečném rozměru dotyčného problému, pak vězte, že právě v USA bylo loni zaznamenáno 9,3 miliónů případů odcizené identity! Obětí se tak stal skoro každý dvacátý Američan...)
Odcizení či zneužití identity přitom máme nejčastěji spojené se ztrátou nebo odcizením osobních identifikačních dokladů (občanský průkaz, pas, řidičský průkaz, rodný list apod.). To je sice správná představa a zahrnuje tu nejnebezpečnější oblast odcizení identity, ale v žádném případě není úplná. Nebezpečí s odcizením identity na nás totiž číhají prakticky na každém kroku. Naše identita není spojena pouze s osobními doklady, na jejichž základě vznikla. V mnoha případech je tato identita prezentována jinými - zástupnými - objekty, a to třeba z důvodů právních, technických, organizačních apod.
Situace v kybernetickém světě je přitom ještě horší než ve světě reálném. A uživatelé si často vůbec neuvědomují, co všechno jim vůbec může způsobit potíže, takže se pohříchu nechrání.
Problematice odcizení identity se věnoval rozsáhlý materiál v PC WORLD Security 1/2005.
Spam, spam, mraky spamu
S nevyžádanou elektronickou poštou se dnes setkává prakticky každý, kdo používá e-mail. Někdo v menší, někdo ve větší míře.
Škody způsobené spamem se celosvětově počítají na miliardy dolarů. Nejde přitom o škody v pravém slova smyslu, protože není nic rozbito či zničeno. Jedná se ale o nutnost (v globálním měřítku) použít více poštovních serverů, diskové kapacity, přenosové kapacity, vynaložit lidské úsilí apod. Přitom největší část těchto nákladů nesou nikoliv odesílatelé, ale příjemci e-mailové pošty - tedy zpravidla lidé, kteří nemají možnost množství elektronické korespondence ovlivnit.
A jak je spam spojený ze zločinem? V mnoha bodech. Třeba tím, že k jeho rozesílání jsou nejčastěji používané počítače nic netušících osob, k nimž byl neoprávněně získán přístup - viz níže. Dále tím, že slouží k nelegálnímu prodeji (třeba pirátských kopií softwaru nebo léků). Ostatně, to je i případ léku Tamiflu, který je považovaný za nejúčinnější látku proti ptačí chřipce. Ten se stal hitem spamových zpráv poslední doby.
Celá záležitost přitom představuje hned několikeré nebezpečí. První z nich leží v oblasti neodborného užívání léků - Tamiflu není celaskon, aby si ho člověk mohl "předepsat" a dávkovat sám. Druhým problémem, před kterým varuje firma Roche, švýcarský výrobce léku Tamiflu, je fakt, že všechny dosud zaznamenané prodeje na internetu nepředstavovaly přímo lék Tamiflu, ale jiné preparáty prodávané pod tímto názvem. Takže i kdyby si někdo chtěl pod vlivem mediální paniky pořídit Tamiflu "do zásoby" a později si ho nechal předepsat lékařem, riskuje vážné potíže nebo i zdraví...
Otázkám spamu se věnoval rozsáhlý materiál v PC WORLD Security 3/2005.
Nemrtvé počítače zaplavují svět
Pojmem "zombie" je ve světě informačních technologií označován počítač, který slouží i jinému majiteli než tomu právoplatnému.
Abychom byli co nejpřesnější: jako zombie je označován počítač připojený k internetu, který byl kompromitován (napaden) hackerem, počítačovým virem nebo jiným škodlivým kódem a který v důsledku tohoto provádí další činnost, a to právě v režii útočníka. Mnoho uživatelů počítačů přitom vůbec netuší, že jejich domácí či kancelářský stroj se změnil v zombie a že slouží pro provádění neetické a často i nelegální činnosti.
O jaké činnosti se přitom jedná? Zájmy útočníků jsou různorodé, ovšem nejčastěji jsou zneužité počítače přeměňovány na automaty k rozesílání nevyžádané elektronické pošty, spamu. Uvádí se, že 50 až 90 procent spamu na světě (celkem je rozesláno denně přes osmdesát miliard takovýchto zpráv) odchází právě z počítačů, jejichž majitelé o této činnosti nemají ani ponětí.
Proč je spam rozesílaný takovýmto způsobem? Především skutečný útočník nemusí kupovat vlastní hardware a pronajímat si kapacitu komunikačních linek. Obojí si prostě vezme od nešťastníka, jehož počítač napadl. Jednoduše počítači zadá úkol (seznam adres plus zprávu, kterou má rozesílat, event. další podmínky - falšování adresy odesílatele apod.), a ten koná. Nehledě na to, že v případě nějakých protiakcí ze strany internetové komunity není jejich cílem skutečný pachatel, ale počítač nic netušícího uživatele. Ten se pak diví, že je na různých seznamech zakázaných nebo jinak omezených IP adres, přestože neudělal nic špatného. Jen si zkrátka dostatečně nezabezpečil svůj počítač.
Rozesílání spamu je jednou, nikoliv však jedinou činností, ke které jsou zombie zneužívané. Dále je hackeři hojně používají k tzv. DoS útokům. Jedná se o zkratku z anglického Denial of Service, odepření služby. Princip tohoto útoku spočívá ve snaze hackera vytvořit takový stav, kdy se regulérní uživatelé nedostanou ke svým službám (bankovní účet, www obchod apod.). Tohoto stavu přitom zřídka dosahují přímým útokem, spíše odstavením/ucpáním přístupových cest. V podstatě se jedná o něco podobného jako blokáda v reálném světě - třeba hraniční přechod může fungovat, ale lidé se k němu přes zaparkované traktory protestujících prostě nedostanou.
DoS útok je zpravidla veden tak, že proti cíli je vysíláno obrovské množství nějakých požadavků (třeba na zobrazení www stránky). Jenomže těch je tolik, že na všechny není možné odpovídat, takže příslušný server se buď zhroutí, nebo k němu v dotyčnou chvíli nemají oprávnění uživatelé přístup. Právě pro vedení DoS útoku je zapotřebí co nejvíce koordinovaných počítačů. Jeden počítač nikdy nevytvoří takový provoz, který by regulérní web "sejmul". Navíc je útok jednoho počítače snadné zastavit. Ovšem útok z tisíců počítačů představuje kalamitu. A ze stejného důvodu jako v případě spamu se těžko hledá skutečný útočník.
Další oblastí, kde nacházejí sítě počítačů zombie využití, jsou útoky virů. Pro hackera je důležité, aby se nový virus rozšířil co nejrychleji, protože jinak stihne svět IT technologií promptně reagovat. Uvádí se, že dnes činí průměrná doba od vypuštění viru do vydání aktualizací antivirovými firmami asi osm hodin (a tato doba se stále zkracuje). Takže virus se musí šířit hlavně před tímto okamžikem, pak už je většina počítačů na světě chráněna. Proto je potřeba virus na počátku epidemie rozesílat z co největšího počtu míst, proto jsou k tomuto účelů používané zombie. Je to podobné jako v případě spamu.
Máte-li ovšem doma počítač ovládaný hackerem, nemusíte být nebezpeční svému okolí, jak bylo ukázáno ve výše uvedených případech. Do takto modifikovaného počítače útočníci často ukládají programy, které na všech vámi vyvolávaných www stránkách zobrazují reklamu, z níž mají hackeři profit. Nebo do napadených počítačů odkládají data, s nimiž nechtějí mít nic společného (dětská pornografie apod.). A když mají přístup k počítači, tak asi není potřeba zdůrazňovat, že mají přístup také k datům na něm uloženým. Včetně těch nejsoukromějších.
Uvědomme si, že hacker k napadenému počítači nemusí mít díky internetu fyzický přístup. Díky moderním technologiím také nemusí každý počítač složitě osobně dobývat - počítače jsou napadány automaticky speciálními sofistikovanými programy, které hledají špatně zabezpečené stanice. Nejnovější statistiky uvádějí, že denně je celosvětově takovým způsobem napadeno několik desítek tisíc počítačů.
Podobné sítě navíc slouží hackerům jako vítaný zdroj zisku. Na internetu se běžně dají koupit práva k funkčním sítím zombie, čítající pět až deset tisíc počítačů za cenu 500 až 1 000 dolarů... Kdo je kupuje? Třeba rozesílatelé spamu, jejichž milionové příjmy jim něco podobného umožňují.
DoS útoky na objednávku
Zvláštním případem útoku, který je často zneužíván zločinci, je DoS. O odepření služby jsme se letmo zmínili už výše.
Zákeřnost útoků DoS (či DDoS - Distributed DoS) spočívá v tom, že není napaden skutečný cíl, ale přístupové zdroje k němu. A to zdroje takové, nad nimiž často nemá příslušný cíl žádnou moc. Dalším nebezpečím DoS útoků je, že jsou relativně jednoduché. Rozhodně jsou jednodušší než pokusy o průnik do systému. Zpravidla také jde o zlomyslný, záměrný a předem pečlivě připravený útok. Situaci pak útočníkům usnadňuje i skutečnost, že neexistuje dlouhodobě spolehlivá ochranná metoda.
Stejně jako jsou pestré způsoby DoS útoků, jsou pestré i pohnutky, které vedou k jejich provedení. Často je to msta (zneuznaný bývalý zaměstnanec), vyjádření osobního postoje (slavné vzájemné výpady příznivců různých operačních systémů apod.), pomoc někomu (v rámci nekalého konkurenčního boje aj.) nebo třeba snaha o restart systému (po předchozí instalaci trojského koně či jiného škodlivého kódu). Ztráty přitom vznikají v různých oblastech: útok snižuje dostupnost určité služby, což v mnoha případech vede k odlivu tržeb či návštěvníků (tedy možných zákazníků). Dále pak lze ke ztrátám přičíst nutnost provedení následné analýzy a především vlastní řešení problému.
Na internetu se často objevují DoS útoky třeba vůči antispamovým serverům (že si je objednávají nebo rovnou realizují právě rozesílatelé spamu, jistě netřeba zdůrazňovat). A byly už zaznamenány případy, kdy si (neseriózní) firmy objednaly útok na určitý server či infrastrukturu, aby tak v důležitých okamžicích nekorektním způsobem vyřadily konkurenci ze hry.
DoS útoky slouží také k získávání "výpalného". Pro mnohé firmy je jejich www doména či server kritickou aplikací, na které stojí jejich (ne)existence. Jak by bez internetu třeba vypadal Amazon, Yahoo! nebo Google? Každá hodina, kdy jsou mimo provoz, pak znamená pokles důvěryhodnosti a nemalé finanční ztráty.
Útočníci tak podobným firmám (ty velké zpravidla raději nechávají být, protože by se případu mohlo dostat velké publicity a příslušné orgány by nad případem nemohly ledabyle mávnout rukou) často učiní nabídku: pokud nám nezaplatíte takový a takový obnos, tak je velmi pravděpodobné, že se stanete cílem rozsáhlého DDoS útoku. A svá slova zpravidla nějakým dostatečně výmluvným způsobem demonstrují. Pokud je výpalné nastaveno rozumně, tak si dotyčná firma spočítá, že než riskovat ztráty spojené s problémy s odstávkou nebo medializací incidentu, raději zaplatí. Mimochodem, k DDoS útokům jsou zpravidla používané sítě počítačů zombie - viz výše.
Jak vidno, opět nejde o nový zločin, ale jen o nové provedení dávno známého vydírání.
A co u nás?
Prakticky všechny výše popsané příběhy Čechy a Slovensko buď zcela ignorovaly nebo je zasáhly jen velmi mírně - zpravidla ve formě novinových či časopiseckých článků. To by na jedné straně mohlo svádět k názoru, že naše malé země v srdci Evropy jsou v bezpečí. Opak je ale pravdou.
Mohli bychom totiž také konstatovat, že jde o klid před bouří. Jednak útočníci na celém světě začínají svoji pozornost zaměřovat na tzv. měkké cíle v zemích, které dříve ignorovali. Důvodem je především "nasycenost" tradičních trhů a jejich obezřetnost vůči kybernetickým útokům. A to obezřetnost na straně uživatelů i organizací.
Naproti tomu naše banky, internetové obchody a další firmy mají tendenci situaci dlouhodobě podceňovat. To se jim ale nemusí vyplatit. Stejně tak si uživatelé maximálně přečtou zprávy o hloupých Američanech, kteří mají problémy s phishingem, a (ne)chápavě pokývají hlavou. Ale nevidí odstrašující příklady z vlastní zkušenosti nebo z blízkého okolí. Zkrátka si nedokáží představit, že by podobný druh kriminality přišel i k nám.
Že jednoho krásného (či spíše ošklivého) dne budeme muset všichni vystřízlivět, je nad slunce jasnější.
Mimochodem počítačová kriminalita se nám nevyhýbá. Už v sedmdesátých letech poškodil jistý pracovník Úřadu důchodového zabezpečení silným magnetem pásky s uloženými daty. Případ byl řešen jako sabotáž, stejně jako případ z konce osmdesátých let, kdy programátoři záměrně poškodili sovětský počítač, aby si vymohli nákup kvalitnější západní techniky. Měli ale štěstí: přišla revoluce a amnestie.
V osmdesátých letech řešila kriminálka také rozkrádání majetku v socialistickém vlastnictví v podobě pracovnice zásilkové služby Magnet, která u nákupů realizovaných svou matkou měnila v počítači položku "nezaplaceno" na "zaplaceno". Stejně tak se mnoho naivních účetních domnívalo, že za sebou spolehlivě zahladí stopy (event. žádné nevytvoří), když budou šikovně manipulovat s počítačovými daty a trochu si přilepší. Jen z předrevoluční doby známe nejméně čtrnáct podobných případů.
Ale ani nám se nevyhnuly "velké" případy. Jedním z nich se stala svého času veleúspěšná televizní soutěž Bingo, kdy docházelo k manipulaci s řídícím počítačovým programem, který tak nepracoval s náhodnými hodnotami, ale podle předem připravených algoritmů. V televizní show se tak radovali jedinci, kteří předem věděli, že budou vylosovaní. Pro úplnost dodejme, že v podvodech neměli prsty organizátoři soutěže (ti jen evidentně hrubě podcenili její zabezpečení), ale několik osob, které zneužily příležitost. Padaly i nepodmíněné tresty.
V roce 1999 hýbal českou mediální scénou skandál, kdy došlo k odcizení dat z České spořitelny. Pracovník informačního oddělení nabídnul několika marketingovým agenturám osobní údaje všech majitelů sporožirových účtů včetně finančních pohybů apod. (až později se zjistilo, že blafoval a neměl přístup ke všem datům, ale jen k jejich části). Když mu začala hořet půda pod nohama, začal vydírat generálního ředitele banky a požadoval od něj 25 miliónů korun plus zastavení vyšetřování. Celý pokus byl proveden amatérsky, nicméně svědčil o určitých nedostatcích v zabezpečení systému.
Po zločincích teroristé
Všichni odborníci se vzácně shodují na tom, že po nástupu zločinců v oblasti informačních a komunikačních technologií nás čeká i příchod teroristů.
Svět počítačů totiž pro ně představuje velmi lákavý cíl. Dnes jsme na něj vlastně odkázání a případné problémy mo-
hou tvrdě zasáhnout (alespoň krátkodobě) celé ekonomiky. A v extrémním případě způsobit i ztráty na lidských životech (modifikace dat ve zdravotnictví, vyřazení z provozu ochranných systémů v jaderných elektrárnách, na železnicích, na letištích).
Na druhé straně ovšem musíme přiznat, že pro teroristy je stále ještě zajímavější a rovněž veřejností více otřese pás s výbušninou, odpálený sebevražedným atentátníkem na frekventovaném místě. Aby kybernetický útok vyvolal stejnou pozornost, musel by mít opravdu abnormální rozsah a dopad.
Navíc klíčová informační infrastruktura bývá zpravidla solidně chráněna - třeba právě proto, že script kiddies či současní profesionální zločinci nás naučili s nebezpečím počítat. Takže provést kvalitní a tvrdý útok není vůbec jednoduché. Vyžaduje to skutečně sofistikované znalosti, (všeho)schopné jedince pokud možno s čistým trestním rejstříkem apod. Na-štěstí zde zatím platí okřídlená fráze z do-
by před listopadem 1989: nejsou lidi...
Rány pod pás konkurenci
V červenci 2004 se mezi deset nejhledanějších osob americkou FBI dostal i jistý pan Jay Echouafni (37), CEO firmy Orbit Communication prodávající přijímače satelitní televize, který beze stopy zmizel po zaplacení kauce 750 tisíc USD.
Echouafni totiž přišel na "geniální" nápad, jak se zbavit konkurence - provést útoky DDoS proti jejich webovým obchodům, tím je vyřadit ze hry a nabídnout zákazníkům svůj stabilní obchod. K útokům pomocí amerických a britských hackerů skutečně došlo a ztráty z nich plynoucí byly vyčísleny na více než dva milióny dolarů! Hackeři byli honorováni většinou v hotovosti (1 000 USD za útok), jednoho z nich dokonce "zaplatil" tak, že ho zaměstnal jako správce sítě (plat 120 tisíc USD za rok). K útokům byly využívány sítě počítačů zombie, čítající 10 000-15 000 strojů.
Podobný případ řešil v květnu 2005 soud v Michiganu, kde jistý Jason Salah Arabo (18) provedl sérii DDoS útokům vůči konkurenčním obchodům se sportovním zbožím. Rozsudek dosud nebyl vynesen, nicméně pokud bude uznán vinným, hrozí mu až pětileté vězení a pokuta 250 tisíc dolarů.
Kybernetické podsvětí
Na následujících řádcích přinášíme velmi krátký seznam několika kybernetických organizací nebo spolků působících v prostředí internetu.
Superzonda - organizace, která funguje nejméně tři roky. BBC oznámila už v červenci 2003, že tento spolek funguje 24 hodin denně 7 dní v týdnu celý rok. Zabývá se mj. rozesíláním nevyžádané elektronické pošty na objednávku a pro svoji činnost využívá i hacknuté servery druhých stran. Kromě toho např. na server British Airways umístili členové Superzondy svoje vlastní www stránky, inzerující nabídku ruských děvčat toužících se provdat na západ.
HangUp - ruská skupina zaměřující se na psaní virů a dalších škodlivých kódů odcizujících finanční informace. Její členové (přes 4 000 osob v Americe, Brazílii, Británii, Rusku a ve Španělsku) vytvářejí škodlivé kódy přímo na míru, aby se dostali k heslům a přihlašovacím jménům bankovních kont.
ShadowCrew - velká nelegální skupina kriminálníků, která nakupuje a prodává detaily ke kreditním kartám, čísla sociálního pojištění a další identifikační dokumenty. Pomáhají vytvářet novou identitu s kompletním servisem (včetně odcizených e-mailových účtů). Než byl tento gang v roce 2004 tvrdým zásahem FBI rozbit, způsobil prokázané škody za čtyři miliony dolarů. Nicméně zadržet se podařilo jen velmi málo členů a je možné, že se ostatní zapojili do dalších skupin nebo dál "podnikají v oboru" na vlastní pěst.
Jak ukrást virtuálního kouzelníka...
Ukrást se dají neuvěřitelné věci... V mnoha rozsáhlých on-line hrách vybudování kvalitní postavy a získání peněz či artefaktů vyžaduje spoustu času a zručnosti - a hrát se svému egu odpovídající postavou chtějí i lidé, kteří nemají čas a zručnost. Toho si všimli útočníci a začali se zaměřovat na úspěšné hráče her, jimž začali odcizovat přihlašovací hesla a jména. Následně pak v zavedených on-line aukcích jejich postavy, předměty a majetek rozprodávali.
Přijde vám to absurdní? Možná ano, ale nejlepší postavy z nejdražších her se prodávají běžně kolem jednoho tisíce dolarů. Dnes tak známe přes 300 (!) virů a dalšího škodlivého software, který se zaměřuje čistě a jen na tento obor zločinu.
Pokud jsou hackeři zadrženi a usvědčeni (jako třeba nedávno jistý čínský student na stáži v Japonsku, který napadl hráče on-line hry Lineage II), nehrozí jim samozřejmě obžaloba z krádeže virtuálního kouzelníka nebo třeba meče, ale nejčastěji z neoprávněného přístupu do cizího informačního systému.
Něco málo statistik
Sedmdesát procent škodlivých kódů detekovaných během prvního čtvrtletí roku 2006 bylo nějakým způsobem spojeno s kybernetickou kriminalitou. Tvrdí to bezpečnostní firma Panda Software.
Podle studie společnosti IBM nás kyberzločin trápí víc než klasická kriminalita. Studie byla provedena mezi šesti sty americkými firmami ve zdravotnictví, finančnictví, maloobchodě a výrobě. Ztráta obratu, zmařený pracovní čas, poškození dobrého jména, ztráta elektronických dat - to vše je považováno v 57 procentech případů za větší problém než klasická kriminalita. V případě finančnictví je tato obava ještě vyšší a za větší problém než běžnou kriminalitu ji považuje 71 procent.
Podle zprávy Internet Security Threat Report, vydávané každého půl roku společností Symantec, stoupl v druhé polovině roku 2005 podíl aplikací zcizujících citlivé informace v padesátce nejrozšířenější škodlivých kódů ze 74 na 80 procent.
Plných čtyřicet procent kybernetických útoků je v různé podobě namířeno proti bankovnímu sektoru. Tvrdí to ve své studii společnost MessageLabs.