Lidé berou kyberútok jako něco bondovského, říká lektorka kyberbezpečnosti
Domácí
V minulých týdnech došlo k několika DDoS útokům na řadu českých webů, tedy k pokusům o zahlcení jejich provozu. K útokům se přihlásila ruská hackerská skupina Killnet. „Jde o povrchový útok, na který se ale nedá moc připravit,“ tvrdí lektorka kybernetické bezpečnosti Petra Mikulová.
V čem tkví síla DDoS útoků?
V jejich jednoduchosti. Když si pro představu načítáte nějakou webovou stránku, v tu samou chvíli si ji načítá i určitý počet jiných uživatelů. Tento útok si nasbírá uživatele a přístroje a v jeden moment zadá příkaz načíst stránku, takže se zahltí, nestíhá vyřizovat požadavky, a tak spadne a není dostupná.
Řekla jste, že si DDoS útok nasbírá různé uživatele. Jak?
Jednou variantou je široký okruh uživatelů se stejným smýšlením. Všichni o tom ví a všichni s tím souhlasí. Druhou variantou je vytvoření si takzvaného Botnetu, tím že rozesíláte po kyberprostoru svůj škodlivý program a nějakým způsobem zmanipulujete určitý počet uživatelů, aby si jej nainstaloval do svého zařízení. O tom, co uživatelé instalují, nemají ani ponětí. Za každým jedním vstupem tedy nečíhá uživatel, který si je vědom, že je součástí botnetu, ale je to uměle znásobeno.
Bc. Petra Mikulová
- Vystudovala Univerzitu obrany se zaměřením na kybernetickou bezpečnost
- Pracovala jako stážistka v Alefnula
- Pracuje v Kyberbezpečnostím týmu Ústavu výpočetní techny na Masarykově univerzitě
- Učí na Univerzitě třetího věku Masarykovy univerzity
- Spolupracuje s Národním úřadem kybernetické a informační bezpečnosti a s nevládní neziskovou organizací Iuridicum Remedium
Jaké druhy kybernetických útoků rozlišujeme?
Způsobů dělby je několik. Obecně se to ale dá rozložit na dva tábory. Na hackerský aktivismus a na kyberzločin, kdy jsou záměrem peníze. Nehraje zde roli vaše osobní morálka. Jde o čistě komerční záležitost, něco cíleného. U hackerského aktivismu jde o nějaké morální či politické vnitřní nastavení, kdy hackeři naplňují filozofii, kterou pokládají za správnou. Samozřejmě z pohledu napadeného webu je záměr vždy uškodit.
Jak se dá na kyberútok přijít?
Na většinu případů se přijde okamžitě, protože jejich podstatou není útok ututlat. Úplně nejvyšší špička hackerů, často spojených s kyberšpionáží, se ale obvykle specializuje na to, aby se na ně nepřišlo. Třeba chce nějakou dobu sbírat komplexní data, která pak může prodat. Na druhou stranu, ti začínající, takzvaní ScriptKiddies, hackeři té nejnižší kategorie, chtějí být zase co nejvíce vidět. Je to takový paradox. Když začínáte, shodíte nějakou stránku a najednou zjistíte, že se chcete pochlubit, že jste něco dokázal. A ti ScriptKiddies se hlásí fakt k čemukoliv.
Co bývá motivem?
Speciálně u DDoS ta motivace bývá celkem různorodá od hackerského aktivismu až po aktivitu ScriptKiddies. Může jít samozřejmě ale i o peníze, pokud například mé největší obchodí konkurenci „vypadnou“ stránky pár dní před Vánocemi.
Jsou ve firmách nějaké dané kroky, jak při kyberútoku postupovat?
Měly by být, ale ne všude jsou. Pokud jste běžná firma jako například kavárna, tak vás nikdo nenutí a ani nemotivuje tento postup mít. Obvykle jsme rádi, když je na veřejně dostupné Wi-Fi aspoň heslo. Zákon o kybernetické bezpečnosti a s tím spojený Národní úřad kybernetické a informační bezpečnosti (NÚKIB) rozlišuje dvě infrastruktury – významný informační systém a kritickou informační strukturu. Když je společnost označena jako kritická informační struktura, musí splňovat určité parametry definované v zákoně. NÚKIB od ní vyžaduje nějakou prevenci a tu vymáhá v rámci zákona a vyhlášek. S těmito subjekty pak spolupracuje a stará se o jejich bezpečnost.
Jak dlouho trvá, než se napáchaná škoda napraví?
To si netroufám říct, je to příliš individuální. Pokud bychom ale měli zůstat u DDoS, tak by měl jít teoreticky web nahodit zpátky hned, jakmile útok přestane. Existují samozřejmě i dobře ošetřené weby, kde se ani DDoS zrealizovat útočníkům nepovede.
Když se stane terčem kyberútoku běžný uživatel, kam se má obrátit?
Na policii, kde mají oddělení kybernetické bezpečnosti. Jsou tam šikovní lidé, ale stále jsou dost svázaní zákonem a tím, co mohou a co ne. Dostat se občas k některým informacím jim kvůli byrokracii trvá opravdu dlouho. Policie může jenom to, co přímo nezasahuje do soukromí uživatele. Kdyby bylo soukromí na úkor bezpečnosti, tak je bezpečnost mnohem vyšší. Je to takový neustálý boj, který se v tomto oboru vede. Často není motivace vůbec špatná, ale ta daň vystavení našeho soukromí je příliš velká.
Jak dbát na kyberbezpečnost jedince?
Je dobré dbát na nějakou kyberhygienu. Založit si bezpečnostní návyky. Kdybych měla vynechat nějaké technické dovednosti, tak bych řekla, že je důležité být zdravě nedůvěřivý.
Co pro to může člověk udělat?
Vytvořit si nějaký bezpečností návyk. Jak se stírají rozdíly mezi fyzickým a online světem, tak jsme pořád v tom modelu, že když jdeme přes ulici, ohlédneme se, aby nás něco nepřejelo. Nebo vždycky víme, kde máme peněženku nebo klíče. V online světe se to láme. Je to to stejné, ale návyk chybí, takže pak vejdeme do čtyřproudovky bez toho, abychom se podívali, jestli něco nejede.
Jak se dá ohlédnout v onlinu?
Co se týče konkrétních rad, tak doporučuji Správce hesel, protože uživateli nabízí komfort a bezpečí zároveň. Funguje na principu zašifrované databáze, do které si naházíte veškerá hesla. Umí generovat i nová hesla, která si ale nemusíte pamatovat. Když se budete chtít někam přihlásit, budete potřebovat jen jedno takzvaně „master" heslo. Druhá věc je dvoufázové ověřování. Je na vzestupu, protože ho začaly vynucovat společnosti. V případě, že vám unikne heslo a někdo se vám bude chtít připojit k účtu, ukáže se vám na mobilu okénko, že se o to snaží, takže ho odmítnete a fakt, že zná vaše heslo, je mu úplně zbytečný. Jediné, co může, je zkoušet jiné účty, jestli jste na nich nepoužila stejné heslo. Leckdy to tak je.
Zní to složitě.
V dnešní době je mnohem jednodušší jít přes psychiku člověka než napadat jeho technologii. Říkáme tomu sociální inženýrství, kdy se chcete dostat uživateli do hlavy, aby vám přístupové údaje sdělil sám. Je to snazší než se někde lámat násilím. Například bych si o vás mohla zjistit, kde studujete, s kým se kamarádíte a koho máte na sociálních sítích. Potom bych vás sledovala pár týdnů, udělala si vlastní profil, který by se vám mohl líbit, začala bych vám psát a vytáhla z vás, co budu potřebovat. Je to častější, než by se zdálo. Mnohdy nám nezbyde nich jiného, než uživatele proti manipulaci vyzbrojit.
Připouštějí si lidé, že by byli takového útoku cílem?
Lidé si pod pojmem kybernetický útok představují něco sofistikovaného, téměř až bondovského, ale často tomu tak není. Většina útoků, které probíhají, jsou od ScriptKiddies. Každý má nějaké informace, které jsou pro někoho zajímavé. Lidé si mnohdy neuvědomují, že se to netýká pouze jejich dat. Máme v zařízení data, která jsou ostatních lidí jako jejich telefonní kontakty, zprávy nebo fotky. Když zanedbáváme vlastní bezpečností návyky, zanedbáváme i jejich vlastní bezpečí.
Kde hrozí běžnému uživateli největší nebezpečí na internetu?
Největší nebezpečí hrozí na veřejné Wi-Fi síti, protože nevíte, kdo ji provozuje, co tam dělá, jaké věci sbírá a jaká je jeho motivace. Existují zařízení, která můžou nahradit veřejnou Wi-Fi síť. Bude vypadat stejně, jmenovat se stejně, ale bude se po vás chtít připojit nějakým uživatelským jménem nebo heslem. Když se na síť člověk připojí, útočník získá přístup k jeho datům. To ale také nemusí být tak fatální, a to díky šifrované komunikaci.
Jak si Česká republika stojí v boji s kybernetickou kriminalitou?
Řekla bych že dobře. Existuje mezinárodní kybernetické cvičení zvané Locked Shields, kde se týmy navzájem snaží kybernetickým útokem napadnout a zároveň se proti němu i ubránit. Česká republika se pravidelně umisťuje na prvních třech příčkách ze zemí celého světa. Máme zde velmi schopné odborníky, bohužel je kybernetická bezpečnost jako celek stále podceňována a hrubě podfinancována. Nehledě na to, jak se stále mediálně označuje za prioritu.