Ransomware tu s námi bude dál, stejně tak lidské chyby, říká Michal Salát v O2 CyberCast #2

Ransomware tu s námi bude dál, stejně tak lidské chyby, říká Michal Salát v O2 CyberCast #2

Ransomware tu s námi bude dál, stejně tak lidské chyby, říká Michal Salát v O2 CyberCast #2

Do Avastu nastoupil v roce 2010 jako malwarový analytik, dnes je ředitelem pro výzkum kybernetických hrozeb. Zažil masivní nástup ransomwaru, teď společně se svým týmem sleduje, co s kyberbezpečností udělal covid a aktuální válka na Ukrajině. „Ransomwaru se nezbavíme,“ říká Michal Salát. „A dál bude platit, že nejslabším článkem bezpečnosti je člověk. Za těch 12 let, co to dělám, se nic nezměnilo. Lidé pořád skáčou na to, že vyhráli nový iPhone.“

Vede tým, který zpětnou analýzou odkrývá, jak fungují kybernetické útoky. A pak svoje zjištění používají k vylepšování bezpečnostních produktů a zmenšování manévrovacího prostoru pro hackery. „Reverzní inženýrství je vlastně taková soutěž o to, kdo je lepší. Útočníci se nás snaží obejít, my děláme všechno pro to, abychom jim ztížili práci,“ popisuje s trochou nadsázky práci svého týmu Michal Salát. O svých zkušenostech se rozpovídal v O2 CyberCastu.

O2 CyberCast – podcast pro všechny, koho zajímá kyberprostor a jeho bezpečnost. Pořadem provází ředitel bezpečnosti O2 Radek Šichtanc. Tentokrát si povídal s Michalem Salátem, ředitelem pro výzkum kybernetických hrozeb ve společnosti Avast.

Kromě toho se v podcastu rozpovídá o tom, jaké vlastnosti a dovednosti by měl mít ideální výzkumník, jak s oborem zahýbala válka na Ukrajině, co jsou aktuální a budoucí hrozby a co mohou firmy, ale i jednotlivci udělat pro bezpečnost svých dat.

Podcast si můžete poslechnout na Spotify a Google Podcast, pokud preferujete video, najdete ho na YouTube.

Níže nabízíme ty nejzajímavější otázky a odpovědi formou psaného rozhovoru:

Jsou k práci výzkumníka potřebné nějaké specifické znalosti a dovednosti?

Michal Salát: Zájemce musí rozumět operačnímu systému, programovacímu rozhraní, ovládat nízkoúrovňový programovací jazyk Assembler, v něm totiž probíhá většina práce, a některé vyšší programovací jazyky, typicky C++. A pak se samozřejmě hodí, když rozumí protokolům, síťové komunikaci… Čím širší rozhled má, tím je pro něj práce snazší.

Když nabíráme seniornější lidi, přicházejí víceméně hotoví. A už jen prohlubují své zkušenosti. Reverzní inženýrství je totiž mnohem víc o zkušenostech než o tvrdých znalostech. Člověk musí zalézt do zákopů a chvíli s malwarem bojovat, aby pochopil, jak reálně funguje a co útočníci zneužívají.

„Reverzní inženýrství je totiž mnohem víc o zkušenostech než o tvrdých znalostech.“

Vy těch zkušeností máte mnoho, v oboru se pohybujete od roku 2010. Je v něm ještě něco, co vás i po letech fascinuje?

MS: Začínají mě fascinovat věci lehce mimo obor reverzování, konkrétně forenzní analýza. Tedy vyšetřování kybernetických incidentů. Já jsem si to ještě pro sebe rozšířil na obecnější pojem, získávání dat přímo z obrazu hardwaru, ze součástí systému… Nesnáším stereotyp a tohle je pro mě něco úplně nového. Je to o postupném zjišťování dalších a dalších informací o zkoumaném subjektu.

Stereotypem určitě nezavání právě tohle období, kdy i v kybersvětem rezonuje téma války na Ukrajině. Zaznamenali jste v Avastu v tomto směru nějaké anomálie, nečekané trendy?

MS: Z pohledu expertů na kybernetickou bezpečnost je to zajímavá doba. Očekávali jsme totiž úplně jiný průběh. Ano, útoky probíhají, nicméně jsme čekali, že se výrazně více zapojí třeba proruské hackerské skupiny, což se zatím nestalo.

Ale slyšet bylo třeba o hnutí Anonymous…

MS: Ti jsou zajímaví tím, že nejsou organizovaná skupina. Když sdílíš jejich přesvědčení, můžeš si i ty říci, že jsi Anonymous. Je to zajímavý přístup, ale zároveň nám to komplikuje sledování jejich aktivit. Mnohdy nedávají smysl, nejsou to konzistentní operace.

Mluvil jste o sdílení přesvědčení a možnosti se zapojit do útoků. Tyhle iniciativy se objevily na začátku války, možnost nabídnout svoje IT prostředky třeba k DDos útoku. Mnoho svých známých jsem od toho odrazoval…

MS: Na začátku invaze chtěl každý pomoci, to je hezké, ale v tomto případě bezmyšlenkovité. Se zapojením do takových útoků absolutně nesouhlasím. Navíc je to v nějakých 90 % světa nelegální. Je to zkrátka počítačový útok. Válka, neválka.

My jsme navíc zaznamenali i malware, který posílal informace o zařízení, které se do takových aktivit zapojilo, autorovi nástroje. A to včetně uživatelských jmen, IP adres… Lidé tím nevědomky odevzdali informace o sobě. Zároveň ty iniciativy mnohdy neobsahovaly žádnou možnost konfigurace. Kdyby autor chtěl, mohl útok překlopit na někoho jiného a nikdo by to nepoznal. Nebo při napadení autora to mohl začít ovládat kdokoli jiný… Za to riziko to nestojí a jsou jiné, legální způsoby pomoci, které mají mnohem větší dopad.

„Kdyby autor chtěl, mohl útok překlopit na někoho jiného a nikdo by to nepoznal.“

Kybernetických útoků u nás sice nebylo tolik, kolik se očekávalo, ale přímo na Ukrajině se 23. února objevil HermeticWiper. V čem byl tento malware jiný, specifický?

MS: Jeho účelem bylo mazat data z počítače. Technicky nic extra zajímavého. V téhle rodině byl jak wiper, který mazal data a znemožňoval přístup k počítači, tak i tradiční ransomware HermeticRansom. U něj jsme ale poměrně rychle našli způsob, jak ho dešifrovat a kolegové dokázali vyrobit klíč pro zpětné dešifrování. Když tedy existovala záloha alespoň části souborů, která nebyla zašifrovaná, tak jsme dokázali spočítat dešifrovací klíče a dešifrovat zbytek. Poměrně brzy jsme tak dokázali pomoci napadeným.

Dá se dešifrovací klíč spočítat vždycky?

MS: Určitě ne. Pokud útočníci udělají vše správně, pak to prostě nejde. Když je vše zašifrované symetrickým klíčem a ten symetrický klíč je zašifrovaný asymetrickým privátním klíčem, který na počítači nikde není, tak není šance.

Někdy se dají šifrovací klíče zjistit, protože útočníci udělají nějakou chybu, použijí slabé šifrování, nebo špatné generátory náhodných čísel. Je to vždycky nějaká kombinace chyby a slabého zabezpečení, v minimech případů se dá šifrovací klíč zjistit z paměti běžícího zařízení.

Jediná osvědčená ochrana proti ramsomwaru je zálohování. Zálohujte, ideálně na místo, které není permanentně připojené. A platí to nejen pro firmy, ale i pro normální lidi.

„Jediná osvědčená ochrana proti ramsomwaru je zálohování. Zálohujte, ideálně na místo, které není permanentně připojené.“

Co placení výkupného? Jak se k tomu stavíte?

MS: Je to kontroverzní téma. Všichni se shodují na tom, že nezaplatit je nejlepší. Nedávat útočníkům další zdroje. Na druhou stranu jsem slyšel o lidech, kteří přišli o 20 let práce na svých projektech v některém CAD softwaru. A zálohu neměli. Protože je pro ně hodnota dat obrovská, výpalné zaplatí.

A jaká je vůbec šance, že když zaplatím, tak dostanu od útočníků dešifrovací klíč?

MS: Relativně vysoká, řekl bych kolem 80 %. Kdyby se začalo šířit, že dešifrovací klíče nefungují, pak už samozřejmě nikdo další nezaplatí. Ale: Známe případy, kdy byl ransomware špatně napsaný a dešifrovat nešel ani s klíčem. A někdy jde o malware, který se sice tváří jako ransomware, ale data rovnou smaže. Jindy zase nemá útočník žádnou motivaci pak klíč poslat. Nikdy nevíte, jak to dopadne. A proto zálohujte, zálohujte, zálohujte.

Máte představu nebo nějaké informace o tom, kolik firem se rozhodne zaplatit?

MS: Existuje k tomu mnoho statistik. U běžných uživatelů se to podle nich pohybuje mezi 3 až 7 %, možná k 10 %. U firem průzkumy uvádějí mezi 30 až 70 % těch, kteří nakonec zaplatí. U běžných zákazníků tato čísla odpovídají tomu, co pozorujeme, u firem tu relevantnost zhodnotit nedokážu.

Ale existují už i firmy, které se specializují na vyjednávání s útočníky a zprocesování platby. Protože v některých zemích je nelegální zaplatit tohle výpalné, případně zaplatit nějaké konkrétní skupině. Když se firma rozhodne zaplatit, řeší, jak to udělat. Osobně považuju za úlet, že existuje byznys postavený na jednání s kriminálníky.

Pravidelně vydáváte souhrnné reporty kybernetických hrozeb. Jsou v nich patrné nějaké trendy? A kam se v dalších měsících, možná letech posuneme?

MS: Jsem si 100% jistý, že ransomware tu s námi bude dál. Je to hrozba, které se musíme naučit bránit. Ale víc než to, co se proměňuje, mě fascinuje, co tu pořád zůstává: Pořád je jasně vidět, že nejslabším článkem zabezpečení je člověk. Phishing a podobné věci tu pořád jsou a dál tu budou. A je to ten vůbec nejjednodušší vektor, kterým se útočí.

V reportech vidíme, že si lidé pozor nedávají. Za 12 let, co jsem v oboru, se nic nezměnilo a lidé pořád skáčou na to, že vyhráli iPhone, že mají někam kliknout a pak do komentáře na Facebooku napsat, jakou chtějí barvu. Rád bych se dočkal toho, že i tohle jednou zmizí.

Čekat můžete také kryptoměnový scam, kryptoměny zajímají stále víc lidí. Na vzestupu jsou i tokenové NFT scamy. Dál tu s námi budou dezinformace. Ověřování informací bych děti učil už na základní škole. Kolem každé velké události se rozjedou dezinfromace, ať už je to covid, nebo válka. Takže ověřovat, ověřovat, ověřovat.

A kromě zálohování a ověřování mátě ještě nějaké doporučení na závěr? Pro firmy, ale i pro jednotlivce?

MS: Hlídat si aktualizace. Mít aktualizovaný systém, aplikace, prohlížeč. A uvědomovat si rizika phishingu. Kontrolovat, ověřovat, kdo a co vám posílá. Ostatně, mám zábavnou story přímo od nás z Avastu, kdy našim markeťačkám přišla zpráva od našeho ředitele, že dáme našim klientům dárkové karty a ať je zaplatí. Samozřejmě to byl úplný nesmysl, respektive útok odněkud z Německa. Ale na první pohled to vypadalo docela důvěryhodně.

A opravdu betonově zabezpečit by si měl každý jednotlivec mailový účet a přístup do bankovnictví. Jakmile vám i mailová služba nabízí dvoufázové ověření, určitě ho využijte.

Všechny díly O2 CyberCastu o kyberprostoru a jeho bezpečnosti najdete na YouTube, Spotify, Google Podcasts a našem LinkedInu.

Ohodnoťte tento příspěvek!
[Celkem: 0 Průměrně: 0]
Související článek Otázka kyberbezpečnosti v souvislosti s IoT je naprosto neodmyslitelná, říká Roman Bacík v O2 CyberCast #1
Nahoru