Trendy v bezpečnosti IT

6.5.10

Trendy v bezpečnosti IT

RNDr. Dagmar Brechlerová, Ph.D., Fakulta biomedicínského inženýrství, České vysoké učení technické v Praze, Kladno, Katedra biomedicínské informatiky

Využití IT ve zdravotnictví je v současné době zcela běžné. Vzhledem k postupné elektronizaci zdravotnictví a nezbytnosti vyřizovat čím dál větší množství úkonů prostřednictvím informačních technologií je dnes na lékaře vyvíjen stále silnější tlak pro přechod z klasického vybavení na moderní IT přístroje.

Ovšem využívání IT, a to zejména při připojení na internet, přináší řadu rizik. Jelikož jsou lékaři odborníky v jiném oboru činnosti, než je IT, mohou jim být tato rizika vzdálena. Proto následující text popisuje současná nebezpečí, situaci v roce 2017 a naznačuje, jak je minimalizovat.

Technické možnosti velké části lidské populace se neustále rozšiřují. Co před několika lety bylo pouhou fantazií, dnes používáme zcela normálně a bezmyšlenkovitě a považujeme za samozřejmé, že tomu tak bude i nadále. Vzhledem k rychlosti vývoje technologií se však stává, že některé technické vlastnosti různých produktů obvykle nestačí jeho ostatním vlastnostem a jejich pomalejší tempo vývoje může poté způsobovat značné problémy. U informačních technologií je jednou ze stále citelnějších slabin produktů bezpečnost jejich používání pro samotného uživatele. Jen zlomek uživatelů rozumí funkcím produktu a jeho softwarovému vybavení natolik, aby byl schopen jej zcela bez chyb obsluhovat a dostatečně zabezpečit proti případnému zneužití či ohrožení. Ani důkladné znalosti a dodržování všech zásad však mnohdy nestačí, s ohledem například na časovou a finanční náročnost podobného jednání často není v možnostech všechny stránky zabezpečení realizovat.

V závislosti na povaze potenciálního útoku je proto žádoucí uvažovat, jaká opatření se vyplatí provést tak, aby bylo dosaženo pokud možno co nejúčinnějšího zabezpečení v rámci daného zařízení či instituce.

V roce 2017 jsou nejtypičtějšími hrozbami pro koncové uživatele (míněno i větší instituce) tato rizika. Níže v textu je pak podrobněji rozebráno, co znamenají:

• využití ukradených, odpozorovaných či omylem uložených přihlašovacích údajů,

• sociální inženýrství, phishing, útok na důvěřivost uživatele,

• útok hrubou silou (BruteForce), slovníkový útok a další podobné metody,

• odmítnutí služby z důvodu zahlcení serveru – DoS a DDoS,

• využití zadních vrátek – BackDooru a dalších technik vzdáleného ovládnutí počítače,

• fyzický zásah do zařízení – tampering,

• drive-by útok, útoky prostřednictvím podvodných aktualizací.

 NahoruVyužití ukradených, odpozorovaných či omylem uložených přihlašovacích údajů

Tento typ útoku lze rozdělit podle výše zmíněného způsobu získání přihlašovacích údajů a dalších důležitých dat. Jednou z možností může být samotná nezodpovědnost uživatele, který v domnění, že nikdo cizí nebude k přístroji přistupovat, nechá přihlašovací pole a další prvky například u systému či webových stránek vyplněná tak, aby do nich mohl přistupovat bez zadání údajů.

Útočníkovi pak stačí získat přístup k zařízení, často to lze provést také vzdáleně. Rovněž může dojít k uložení údajů v cizím zařízení samotným uživatelem, který se do něj přihlašoval a omylem zadal například v prohlížeči příkaz Zapamatovat údaje nebo se neodhlásil.

Často se také stává, že uživatel důvěřuje jiné osobě natolik, že jí svěří přihlašovací údaje. Může se jednat o správu účtu v počítačové hře, přeposílání e-mailu přes telefon, protože dotyčný jej zapomněl odeslat, a celou řadu dalších případů. Pokud k tomuto již dojde (a obvykle by nemělo, protože i přesto, že dané osobě uživatel důvěřuje, může dojít ke zneužití), velmi důrazně se doporučuje změnit pokud možno co nejdříve dané přihlašovací údaje (heslo).

Běžným bezpečnostním incidentem je také uvedení zařízení do továrního nastavení, čímž se vyresetují přihlašovací údaje, nebo opomenutí změnit výrobcem přednastavené údaje. Tím dojde ke snížení úrovně zabezpečení – útočník pak může snadno získat přístup do daného zařízení, neboť tovární hesla bývají často velmi jednoduchá a dají se snadno zjistit přes internet z různých diskusních fór nebo i ze stránek výrobce.

Útočník může také odcizit přístroj či datové nosiče s uloženými přihlašovacími údaji či jinými důležitými informacemi. Opět – pokud nebyla paměťová média či samotný přístroj zamčeny heslem, nebo ještě lépe zašifrovány, vystavuje se uživatel potenciálnímu nebezpečí, že jeho data se octnou v nepovolaných rukou. V tomto případě samozřejmě velmi záleží na tom, zda jde o nahodilý typ útoku, kdy útočník přijde k zařízení náhodou (např. jej získá z odcizeného zavazadla) a nemá primárně zájem o určité informace. Opačným případem pak může být záměrné odcizení konkrétního zařízení od konkrétního člověka, o němž je útočníkovi známo, že má k dispozici určité informace. Zde je pak daleko větší pravděpodobnost, že dojde i k nějakým pokročilejším formám dobývání se do přístroje či média, jako jsou prolamování různých ochran, šifer či hesel.

K ukradení přihlašovacích hesel postačí útočníkovi často pouze dávat pozor a potají sledovat oběť, jak neopatrně zadává přihlašovací údaje. Hlavně v místech, o nichž si uživatel myslí, že mu zde nic nehrozí (pracoviště, známí a přátelé, rodina), může snadno dojít k odpozorování hesla vinou neopatrnosti při jeho zadávání. V těchto prostředích se však mohou také vyskytovat potenciální útočníci, které k podobnému jednání vedou často zcela jiné pohnutky, než by člověk očekával.

Pokročilejší metodou je pak zajisté použití některého záznamového zařízení, například kamery či keyloggeru (ať už přístroje nebo softwarové aplikace). Podle úrovně provedení útoku je pak použita i odpovídající technika. Nejjednodušeji může jít o využití běžné kamery, ukryté někde mimo zorné pole tak, aby snímala klávesnici, a následné pořízení záznamu v naději, že se z obrazu podaří něco vyčíst. Pokročilejšími metodami jsou pak mikrokamery, jejichž velikost dovoluje umístit je daleko snadněji i poblíž přístroje (obvykle stolního počítače, bankomatu atd.) tak, aby operace na klávesnici zaznamenávaly detailněji. Navíc dnešní technologie umožňují odpozorování daleko snadněji, než by leckdo předpokládal – i běžný chytrý telefon disponuje velmi výkonnou kamerou, často i se zpomalením záběru – pro útočníka pak není problém si nenápadně nahrát zaznamenávání hesla a poté z obrazu zkusit heslo zjistit. Nejpropracovanější techniky se obvykle užívají právě při útocích na bankomaty a podobná zařízení. V kombinaci se skimmovacími zařízeními, která zaznamenávají informace z magnetického pásku či čipu platebních karet, jsou odpozorovány rovněž přihlašovací údaje (např. PIN) daného uživatele například pomocí mikrokamery umístěné ve falešném dutém kusu samotného těla přístroje. Z tohoto důvodu jsou vždy uživatelé důrazně upozorňováni, aby při zadávání PINu zakrývali klávesnici rukou.

Keyloggery (keygrabbery) jsou záznamová zařízení schopná například do textového dokumentu skladovat veškerá data ze vstupního zařízení, na které jsou napojena. Obvykle se jedná o záznam dat z klávesnice, přes niž jsou většinou zadávána hesla, některé keylogger aplikace umějí navíc také zaznamenávat obrazovku či provádět celou řadu dalších nekalých aktivit. Dají se často i obsluhovat na dálku, například tak, že na zadaný e-mail přepošlou zaznamenaný obsah po určitém čase nebo o určité velikosti záznamu. Podle typu se dělí, jak již bylo výše uvedeno, na softwarové a hardwarové.

Hardwarové vypadají obvykle jako nenápadná redukce na kabel, která se zapíná mezi klávesnici a počítač. V softwarové podobě jsou obvykle keyloggery daleko nebezpečnější, protože většinou běží na pozadí systému a pro běžného uživatele může být jejich odhalení velmi obtížné.

Navíc dnešní malware obsahující keyloggery obvykle obsahuje i celou řadu dalších nástrojů pro snadnější vzdálenou správu zařízení, útočník může odposlouchávat zařízení, využívat jeho výkon, zašifrovat jeho obsah apod. To vše často díky jednomu škodlivému programu.

Většina uživatelů však i přes opakovaná varování nedbá naprosto jednoduchých základních pravidel bezpečného chování, proto je pro útočníka většinou poměrně snadné dostat se například k účtu oběti.

• Při zadávání hesla na veřejném místě je vhodné zakrývat klávesnici druhou rukou tak, aby byla pokud možno co nejúčinněji chráněna před nepovolanýma očima nebo přítomnými objektivy.

• Při používání cizího přístroje nebo přístroje sdíleného s ostatními lidmi je nutno po sobě pokud možno zlikvidovat jakékoliv stopy – po ukončení využívání webových účtů se vždy odhlásit a ujistit se, zda přihlašovací údaje nebyly uloženy například do paměti prohlížeče. Pokud je to možné, vymazat i cookies a jiné dočasné soubory z paměti prohlížeče nebo používat režim anonymního prohlížení:

Obr. 1: Zapnutí anonymního prohlížení v prohlížeči Firefox 52.0

Obr. 2: Zapnutí anonymního prohlížení v prohlížeči Chrome verze 57.0.2987.110

Obr. 3: Zapnutí anonymního prohlížení (InPrivate) v Internetu Exploreru verze 10

Vzhledem k nepříliš zaručené účinnosti anonymního prohlížení v případě užívání například některých dalších zásuvných modulů, které v sobě mohou i přes zapnutý anonymní mód uchovávat řadu informací o uživateli a navštívených stránkách, je vhodné po každém prohlížení raději vymazat stopy definitivně. Toho lze docílit obvykle tak, že se pomocí pokročilého nastavení prohlížeče buď opakovaně při každém vypnutí nebo jen jednorázově vymažou všechny dočasné informace – uložená hesla, data z vyrovnávací paměti či hesla ve formulářích. V závislosti na tom, která data chce uživatel uchovávat, případně na tom, kdo další počítač používá a jaké údaje tak mají zůstat v prohlížeči uloženy, je možné se rozhodnout, co má být smazáno. Minimálně jakákoliv uložená hesla, paměť dat ve formulářích a historie prohlížení by měly být smazány po každém ukončení relace, čímž se značně minimalizují rizika ohrožení či sdílení soukromých informací s někým jiným.

Obr. 4: Nastavení, jaké údaje je možno uchovat a v jakých případech: prohlížeč Firefox verze 52.0.

Po kliknutí na tlačítko Nabídka vpravo nahoře se zvolí Možnosti > Soukromí a zde se zvolí příslušná nastavení.

Ve všech případech jsou zobrazené volby pouze informativní – závisí na konkrétním uživateli, jak se rozhodne naložit se svými údaji. Autorka článku například maže po ukončení relace všechny údaje, tedy pokaždé, když se odhlásí, všechna nastavení včetně cookies, uložených hesel atd. zmizejí (a přitom ani nepoužívá sdílený počítač).

Obr. 5: Nastavení, jaké údaje je možno uchovat a v jakých případech: prohlížeč Chrome (56.0.2924.87 )

Po kliknutí na tlačítko voleb napravo od adresního řádku se zvolí Další nástroje > Vymazat údaje o prohlížení, následně se zvolí, které údaje mají být ponechány a za jaké časové období.

Obr. 6: Nastavení, jaké údaje je možno uchovat a v jakých případech: prohlížeč Internet Exploreru verze 10.

Po kliknutí na Nástroje a zvolení Možnosti internetu se zobrazí okno s velmi strohými volbami.

• Nezaznamenávat si své přihlašovací údaje a další důležité informace na žádné papírky, do paměti mobilu (i jako kontakt nebo nevinné poznámky s číselnými údaji doplněnými smyšlenými informacemi, tato metoda je komukoliv trochu informovanějšímu v oblasti bezpečnosti dávno známa). Pokud již má uživatel potřebu si informace zapisovat, měl by tak činit buď například rozdělením hesla na několik částí a ty následně zaznamenat na různá místa (sice je to stále v podstatě zahrávání si s náhodou, ale přece daleko účinnější nežli prostý záznam na jedno místo) či vytvořit heslo, které nikde nebude zapsáno, a tím zaheslovat ostatní hesla v rámci nějaké aplikace pro správu hesel, například Sticky password či KeePass, nicméně existuje řada dalších možností.

• Dalším způsobem přihlašování je využití ověřování více faktory – mimo samotného hesla bude nutno zadat i nějaký další údaj, využít další, dočasně generované heslo, nebo použít hardwarový klíč – například USB token, kterým se osoba používající počítač ověří. V dnešní době se také často využívá čtečka prstů – díky ní je zařízení zabezpečeno pomocí otisku prstu majitele. Problémem může být, pokud chce zařízení využívat více uživatelů, některá umožňují přidat další otisky, některá ne.

• Důležitým prvkem hlavně u mobilních zařízení jsou v dnešní době bezpečnostní aplikace umožňující vzdálenou správu zařízení například v případě jeho ztráty či odcizení. Uživatel tak může lokalizovat zařízení, zlikvidovat na dálku data v něm obsažená, zašifrovat data na dálku, posílat na displej zařízení zprávy od vlastníka a další funkce.

O vícefaktorovém ověřování však bude následně v textu zmínka ve spojitosti se stále slábnoucí účinností ověření pomocí samotného hesla.

• Značným nebezpečím mohou být hesla sdílená pro více účtů – pokud si uživatel pořídí jedno heslo, které s železnou pravidelností opakuje na všech svých účtech, ať se jedná o jeho oblíbenou stránku například o pejscích či o firemní mailovou schránku, počíná si velmi lehkomyslně. Jednak může dojít k odcizení hesla a útočník bude mít tak otevřenou cestu do všech ostatních účtů díky shodnému heslu, jednak může dojít ke zneužití hesla například administrátorem (ne)důvěryhodného serveru, který prostě použije hesla stávajících uživatelů k pokusům dostat se do účtů i na jiných stránkách.

Je proto vhodné minimálně pro ty účty, na kterých uživateli záleží, mít separátní hesla a ta nepoužívat, pokud možno nikde jinde.

• Při pořízení nového zařízení nebo při technických problémech se stávajícím přístrojem či aplikací je nutno mít se na pozoru, zda nedošlo k obnovení původního (továrního) hesla. Obvykle se tato skutečnost dá snadno zkontrolovat v nastavení daného přístroje či aplikace. Typickým příkladem zařízení, s nímž mohou být problémy, je bezdrátový router. V případě jeho přenastavení může totiž kdokoliv svými zařízeními přistupovat do privátní sítě daného routeru a může tak dojít k ohrožení ostatních uživatelů v rámci této sítě, šíření virů a k celé řadě dalších problémů.

 NahoruSociální inženýrství, phishing a další útoky na důvěřivost uživatele

Tyto typy útoku mají společnou jednu vlastnost: namísto na technické slabiny zařízení či programů cílí rovnou na uživatele a jeho důvěřivost. Jejich efektivita je při využití proti neinformovaným uživatelům značně vysoká a v případě správného využití a trochy štěstí může útočník jednoduše jen pomocí nich napáchat značné škody.

Obr. 7 Typický příklad, jak může podvod na sociální síti vypadat (zde Facebook)

Pro zobrazení videa je nutno projít několika kroky, díky nimž se aplikace dostane i na uživatelův profil a například odešle info všem uživatelům v jeho seznamu kontaktů, zároveň sesbírá veškeré užitečné informace z profilů. (zdroj obrázku: rubes.eu)

Podle způsobu provedení útoku je možno dělit tyto útoky na ty, které cílí na konkrétního uživatele, a ty, které obecně cílí na zvolenou skupinu podle určitého vodítka, případně ještě na ty, které takříkajíc zkoušejí každou příležitost. Cílení na konkrétního uživatele či skupinu uživatelů se nazývá spear phishing a jedná se obvykle o velmi propracovanou metodu podvodného útoku využívajícího například znalosti osobního života oběti. Pokud uživatel není dostatečně obezřetný, je velmi vysoká pravděpodobnost, že se útoku neubrání.

Pokud je útok na konkrétního uživatele technicky pokročilejší a útočník má vědomosti o uživatelově zázemí, okolí, známých (spolupracovnících, přátelích či rodinných příslušnících), není pak pro něj příliš složité vytvořit často i velmi propracovaný scénář útoku. Pokud si cílený uživatel nedá pozor a není obezřetný ve svém chování, nechá se obvykle velmi snadno nachytat a skutečné důsledky útoku mu často dojdou, až když je po všem.

Nejjednodušší útoky tohoto typu zažila řada uživatelů na vlastní kůži: například na sociální síti jim přijde zpráva, že o nich někdo na uvedené adrese tvrdil něco zahanbujícího, že na uvedené adrese uvidí super video, apod.

Pod textem následuje adresa, obvykle upravená tak, aby nebylo poznat, kam vede. Tyto zprávy mohou přijít i od velmi blízkých známých, a to je jejich hlavní síla – uživatel těžko očekává, že by jeho nejbližší známí rozesílali škodlivé odkazy. Skutečnost je taková, že známí byli sami napadeni a zprávy rozesílají automaticky, často o tom vůbec nevědí.

Po přechodu na daný odkaz se uživatel sám stane podobným rozesílačem zpráv, může mu být napaden počítač nebo se může stát obětí celé řady různých neblahých událostí.

Jiným způsobem útoku může být například žádost od známého, rodinného příslušníka, kolegy, firmy, jejímž klientem uživatel je, atd. o zaslání určitých údajů. Často se jedná hlavně o přihlašovací údaje, ale může jít i o jiné citlivé informace. Zde je vhodné mít se obzvláště na pozoru, protože e-mailová schránka kolegy či kamaráda mohla být napadena útočníkem, který má nyní k dispozici nejen e-mail, ale i informace v něm. Může proto předstírat jeho identitu a žádat o citlivé informace od důvěřivců, kteří se nechají zlákat do podobné konspirace.

Obvyklým případem podvodu také bývá žádost o přeposlání kódu z mobilního čísla – útočník vydávající se za známou osobu požaduje po uživateli přeposlání ověřovacího kódu, který je mu poslán na mobil. Jedná se samozřejmě o podvod a uživatelovo telefonní číslo je v tomto případě zneužito pro zaplacení určité částky prostřednictvím mobilního telefonu. Uživateli pak přijde pouze zpráva o tom, že jeho žádost o platbu byla přijata, neboť nevědomky potvrdil platbu prostřednictvím svého telefonu.

V případě sebemenšího podezření (což by žádost o podobné údaje i od nejbližších osob rozhodně měla být) je vhodné se buď pomocí ověřovacích otázek, nebo rovnou jinou formou, např. telefonicky, ujistit, zda jde skutečně o danou osobu a proč tyto údaje potřebuje.

Útoky z citových pohnutek, jako jsou například výpověď z práce, rodinné či finanční problémy (a s nimi spojená vidina snadného zisku) nebo pomsta šéfovi či jinému zaměstnanci, mohou být jen některými z mnoha důvodů, proč se i dosud nám dobře známé a bezproblémové osoby mohou propůjčit k provedení podobných útoků.

Jinou formou tohoto typu útoku je žádost o ověření účtu od společnosti, jejímž je uživatel klientem. V oficiálním mailu s vizuálním stylem společnosti, a třeba i s odkazem přesměrujícím na "skutečné" stránky, přijde žádost o zaslání přihlašovacích údajů či dalších informací, aby bylo možno ověřit platnost účtu, autenticitu e-mailu či nějaký jiný smyšlený důvod. Může jít například o vyplnění přihlašovacích údajů do polí na dané stránce.

V 95 % případů se jedná o podvodný mail využívající pouze pokročilejší techniky než ve výše uvedených příkladech. Zkopírovat i celou webovou stránku společnosti a následně například pomocí pokročilých kódů změnit i adresní řádek, aby stránky vypadaly jako pravé, není dnes již žádný velký problém. Pokud uživatel do těchto polí skutečně cokoliv vyplní, většinou tím prozradí svoje heslo, což může v lepším případě vést pouze k tomu, že někdo bude vědět, jak dostat k jeho účtu. V horším případě pak budou údaje použity k napadení jeho známých, napadení dalších jeho účtů (pokud má sdílené přihlašovací jméno a heslo pro několik účtů) a k celé řadě poměrně citelných zásahů.

Je proto opět nutné nedůvěřovat podobným zprávám, při podezření se dotazovat přímo na infolince dané společnosti a cíleně pátrat, zda v dané době nedochází k podobným útokům. Často samy společnosti odesílají varovné zprávy svým klientům, kde je ujišťují, že nikdy podobné údaje od klientů nevyžadují. V případě, že se klient nechá nachytat a dojde nějakým způsobem k úhoně, bývá obvyklé, že u následného soudního řízení to bude právě on, kdo bude odcházet jako poražený, neboť společnosti se často zříkají podobné zodpovědnosti za zneužití důvěry klientů ve svých smluvních podmínkách. Ty ovšem málokdo podrobně čte.

Značně účinnou formou může být výše zmíněná žádost o uvedení ověřovacích údajů, ale vedená prostřednictvím telefonního hovoru. Cílený uživatel má jednak daleko menší čas na přemýšlení, není tedy schopen tak důkladně promýšlet důsledky svého jednání, jednak je možné zapojit také rétorické a psychologické schopnosti útočníka, které by v psané formě zůstaly nevyužity. Zde je vidět obvyklý postup – útočník velmi často používá časovou tíseň jako prostředek nátlaku – oběť pak nemá tolik času přemýšlet.

Opět se vyplatí nic neříkat, ideálně se vymluvit na nějaký důvod a následně si informace ověřit u konkrétní společnosti či osoby.

Obranou v tomto případě je, jak již bylo několikrát naznačeno výše, dodržovat několik základních pravidel chování:

• V případě podezření na daný útok jakékoliv informace ověřovat – kontaktovat pověřené osoby, přeposlat například podezřelou firemní korespondenci osobě zodpovědné za bezpečnost společnosti (pokud taková existuje) nebo svému nadřízenému, zjistit, zda další osoby nebyly cílem podobného útoku. Snažit se z útočníka vytáhnout co nejvíce informací, což by v případném vyšetřování pak mohlo poukázat na směr, odkud je útok veden, zároveň však neprozradit nic důležitého. Nenechat přinutit ke spěchu, ignorovat, pokud možno, jakékoliv výzvy k co nejrychlejší odpovědi a podobně. Popohánění je součástí této metody, neboť se tím snižuje riziko pro útočníka, že si dotyčný uživatel bude informace zdlouhavě ověřovat.

• Součástí bezpečnostních pravidel společnosti (firmy, zdravotnického zařízení) by mělo být stanovení zásad, jak se při podobných událostech chovat, komu je nahlásit, kdo ponese zodpovědnost za případné selhání, i jak co nejrychleji odstranit škody a zabezpečit vše před dalšími útoky.

• U telefonického útoku buď trvat na ověření, rovnou zavěsit nebo se dotazovat samotného útočníka na upřesňující informace a poté konzultovat získané údaje s nadřízenými nebo s  pověřenými osobami.

• Čím více informací o uživateli je veřejně na internetu k dispozici, tím snadněji se dá vymyslet detailní příběh, aby posloužil účelům útoku. Pokud o sobě uživatel běžně sděluje neznámým osobám na internetu spoustu podrobností, jeho profily jsou veřejné pro libovolného návštěvníka, který se na nich dozví podrobné údaje o sociálním postavení uživatele, jeho telefonní číslo a jiné kontaktní údaje, podrobnosti o práci a další řadu údajů, nelze se pak divit, že k podobnému útoku dojde.

Bohužel značné množství uživatelů stále nechápe, že na internetu je k mání komukoliv jakákoliv uvedená informace, a zbytečně a bez rozmyslu takto vystavují sami sebe riziku.

To, že uživatel někoho "zná" již několik let přes nějaký sociální portál, ještě neznamená, že daný…