Praha - Juraj Malcho je šéfem výzkumu slovenské antivirové firmy ESET, autorů úspěšné aplikace NOD (Nemocnice na okraji disku). Správce jádra, jak se dá jeho funkci též říkat, přišel do firmy jako student před sedmi lety. Specializace: Analýza / Detekce.
Správce je to přísný. Reklamu vidí jako zlo. O světě botnetů, malwaru a kriminálním světě s nimi spojeným, mluví srozumitelně a s nadhledem.
Zombies útočí
A.cz: Viry a malwarem se zabýváte zhruba 20 let. Co se za tu dobu na vaší práci změnilo?
Na začátku bylo pár virů, které se daly katalogizovat. Říkám té době elektronické graffiti. Vznikaly proto, aby se člověk prezentoval, ukázal, co umí, a aby to všichni viděli. Většina těch věcí nebyla destruktivní a nebyly v tom peníze.
Po roce 2000 se situace mění. Dnes má většina malwaru v sobě backdoor, skrze který se z něj stává zombie počítač. Při nakažení tak útočník přebírá vládu nad počítačem. Může z něj krást data, třeba hesla i internet bankingu, do počítače cokoliv instalovat nebo síť nakažených počítačů využívat jako botnet.
A.cz: Jak se útočníkům vyplatí instalovat něco do počítače? Uživatel to nemusí potvrdit?
Někdy ano, ale víme, jak to funguje. Yes, yes, next, Accept, Ok. Dobrý příklad jsou toolbary do prohlížečů, které někdy mají funkci, často ale žádnou, krom doručování reklamy. Lidé si je nainstalují s nějakou aplikací, ale jen málokdo ví, co ten toolbar dělá a jak se dá zneužít. Dalším příkladem jsou falešné antiviry, které slibují za pár korun vyřešit problémy počítače.
A.cz: Pořád nerozumím, jak se to útočníkům vyplatí. Oni jsou ti samí, kteří pak prodávají falešné antiviry?
Ne. Útočník infikuje co nejvíc počítačů, které ovládne. Firma, vyvine toolbar a potřebuje ho dostat do nejvíce počítačů, aby se mohla prezentovat na trhu a zadavatelům reklamy. Takže zaplatí útočníkovi za každou instalaci na novém počítači.
A.cz: Kde se takové obchody dojednávají? Kolik stojí?
Na internetu. Internetových fórech. Nejvíce aktivní je ruský trh. Pronajmout si botnet s řádově desítkami počítačů stojí zhruba tisíc dolarů za měsíc.
A.cz: Když mi někdo nainstaluje do počítače podobnou havěť není to konec světa. U internet bankingu mohu přijít o peníze. Co ještě hrozí, pokud je můj počítač součástí botnetu?
Útočník může zneužít váš počítač, schovat se za vás při útoku na další počítače. Nebo se stanete součástí DDoS útoku, kvůli tomu už třeba v Nizozemí padly pokuty. Šlo o dobrovolné připjení k botnetu, kvůli podpoře Wikileaks. Součástí DDoS útoku se ale můžete stát i nechtěně, když si nakazíte počítač.
Klání mozků
A.cz: Poslední dobou se cílem útoků stávají i firmy, které se specializují na internetovou bezpečnost. Proč?
Tady už se bavíme o špionáži. Jde o to vykrást technologii. Naučit se, jak bezpčenostní firma chrání své zákazníky. Jde o to zjistit, kde má firma ukryta citlivá data, jak jsou chráněna a jestli by se dala prodat konkurenci.
A.cz: Nabourat se do systému firmy, která se specializuje na odhalování útoků, musí být logicky extrémně těžké nebo ne?
Je to jako když se vás zeptám - dá se zabít profesionální voják? Kdo chce, najde si způsob. Je to vždy hra na honěnou, jakési klání, kdo je chytřejší. Na technologické úrovni je vždy možnost, že ten druhý vymyslí další krok. Nakonec je to souboj lidských hlav, ne techniky.
A.cz: Záleží tedy, jak se která firma proti útokům chrání nebo je to vlastně jedno?
U špatně chráněné firmy je to lehké, a útoky se pak dají dělat prakticky automatizovaně. U dobře zabezpečených systémů přichází na řadu cílené útoky. Ty jsou zaměřené na konkrétní osoby managementu, kteří jsou veřejně známí, ví se o nich hodně informací.
A.cz: Můžete uvést nějaký příklad?
Nedávno se obětí stala významná bezpečnostní firma RSA. Jak se to stalo? Obstaráte si tzv. zero-day exploit, díru v systému, kterou ještě nikdo neobjevil. Také se dá koupit. V tomto případě byl malware ukryt ve falešném excelovém dokumentu. Několik zaměstnanců jej otevřelo a útočník získal vzdálený přístup k systému.
A.cz: To zní celkem jednoduše.
Jednoduché to není. Nevíme také, kolik útoků proběhlo dříve. Třeba to už byl desátý pokus. S tím se firma určitě chlubit nebude.
A.cz: Zpátky k botnetům. Dejme tomu, že útočník ovládne tisíc počítačů, ukradne z nich informace o kreditních kartách. Co s nimi pak udělá?
Prodá celý balík mafii, normálním kriminálníkům. Cena jedné karty se pohybuje od 2 do 25 dolarů, v závislosti na obnosu peněz na kartě, bance či zemi původu. Organizovaný zločin pak peníze prakticky ukradne. Vyrobí se falešné karty a s těmi pak pěšáci jdou třeba do casina, kde mají bankomaty mnohem vyšší limity než na ulici. Botnet je vlasntě nová technologická pomůcka zločinců.
A.cz: Co si myslíte o politickém hacktivismu? Například skupině Anonymous?
Je to taková rebelie. Nebo lépe vandalismus. Účel světí prostředky. Podle mně, pokud někdo působí destruktivně, nemá to pro všeobecné dobro význam. Nikam to nevede. V současné době jsou hodně glorifikovaní, mají velkou sílu a zatím neví, co s ní.
Nerovný boj
A.cz: Jak se proti botnetům dá bojovat?
Je to nerovný boj. Stejně jako v případě Anonymous. My třeba víme, jak by se dal celý botnet sestřelit. Odborně se tomu říká poisoning - tedy otrávení. Tedy boj proti botnetu stejnými zbraněmi. Ale to je ilegální. Stejně tak to nemůže udělat policie, protože by tím porušila zákony. Policie musí legálně najít polohu řídících serverů, zabušit na dveře a okamžitě hardware zabavit.
A.cz: Proč nepoužívají poisoning tajné služby v boji proti organizovanému zločinu?
Na to je těžké odpovědět. Možná to dělají. Chlubit se tím ale určitě nebudou.
A.cz: "Po staru" má policie asi mizivou šanci proti podobné kriminalitě bojovat.
Jak kde. V Americe je to možné. Policie a soudy tam mají velkou sílu. Dokáží si sehnat papír, vyrazit dveře a zabavit počítače. Pokud ale servery běží na Ukrajině, v Rumunsku nebo Rusku, je to téměř nemožné. Proto se takovým serverům říká neprůstřelné. Ne díky technologii, ale kombinaci chudoby a korupce. Zločinci se o razii dozvědí dostatečně včas. A pokud odpovědným lidem mafie nabídne násobky jejich měsíčních platů za informaci, nad ničím nepřemýšlí.
Co hledáme a kde?
A.cz: Jednou z metod, jak na internetu škodit, je dnes Black Hat SEO. Jak funguje?
Je to zneužití aktuálních událostí (zemětřesení v Japonsku), svátky (vánoční slevy), které lidé hledají na internetu. Vyhledavače na internetu hledají podle klíčových slov. Nakažená stránka má v sobě tyto aktuální klíčová slova, takže vyhledavač, kterému uživatel věří mu nabídne infikovanou stránku namísto relevantní.
A.cz: Vyhledavače jako napříkad Google tyto věci ale kontrolují.
Ano. Ale má to velkou dynamiku. Nevadí jim, když je Google vyřadí. Stačí, když taková stránka funguje několik dní. Po zemětřesení v Japonsku se objevily falešné weby za čtyři hodiny.
A.cz: Jak se proti takovým nástrahám bránit?
Lidé by měli přemýšlet o tom, jaké informace hledají a z jakého zdroje čerpají.
A.cz: Je důvod se obávat o bezpečnost při používání chytrých telefonů, jejichž počet rychle stoupá?
Problémy přijdou, až budou lidé skrze smartphony masově nakupovat. Dnes vidíme spíš útoky na telefony v kombinaci se stolním počítačem, se kterým telefon synchronizujete. Tam pak hrozí, že malware odchytí autorizační SMS k internet bankingu.
A.cz: Může se nakazit samotný smartphone?
Ano. Mobilní telefony s sebou nesou takovou zvláštní chorobu, jejich majitelé v nich touží mít hromadu hloupostí. Google již musel v březnu stáhnout ze svého obchodu několik podvodných aplikací pro Android. Uživatelé Applu za to ještě platí.
A.cz: Znáte nějaký případ nakaženého iPhonu?
Zatím ne. Objevilo se několik incidentů s modifikovanými iPhony, zatím nic masového. Je to ale jen otázka času. Ekonomická úvaha. Jakmile se někomu vyplatí na tuhle platformu zaútočit, technicky si s tím určitě poradí.
