V dnešním digitálním světě se již běžně setkáváme s pojmy, které mají předponu „krypto“. Osvětu kryptoměn přinášíme i my, jakož i mnohá další média a sociální kanály. V podstatě lidem vysvětlujeme, že kryptoměny jsou budoucností digitálních plateb. Jméno jim však kazí např. kryptoviry, které již několik let trápí mnohé společnosti. Proč tomu tak je? Co mají společného kryptovirus a kryptoměna? Uskutečnili jsme proto rozhovor se specialistou pro internetovou bezpečnost Borisem Mutinem z Virusfree.cz, který vám přinášíme.
Ahoj Borisi, děkuji, že sis našel čas na pár otázek. Začnu na rovinu. Cílem tohoto článku je informovat lidi, aby nevznikaly dezinformace. Proč by si neměli lidé spojovat pojmy „kryptoměna“ a „kryptovirus“? Mají něco společného?
Ahoj, děkuju za oslovení. Kryptoměny já osobně chápu jako peněžní či hodnotový prostředek, který vznikl díky internetu a jejich použití překračuje rámec internetu. Používají je lidé po celém světě, hojnější použití je však v prostředí internetu. Pokud bych to měl zjednodušeně říct, každý má možnost mít svou peněženku, která obsahuje „číslo účtu“ v nějaké kryptoměně. Obliba kryptoměn je v prostředí internetu výraznější, zejména kvůli větší nebo menší schopnosti chránit soukromí uživatelů při transakcích. Na druhé straně přináší určité výhody, které tradiční finanční nástroje nenabízejí. Myslím, že toto čtenáři dobře chápou, někteří dokonce lépe než já.
Cokoliv, co umožňuje anonymizaci aktivit na internetu, je, logicky, i předmětem zájmu osob, které tam vykonávají kriminální činnost. Kryptoměny jako prostředek se proto staly efektivním nástrojem praní špinavých peněz.
Kryptoviry jsou součástí širšího „ekosystému“ škodlivých kódů, při kterých dochází k dočasnému nebo trvalému zašifrování dat na systému oběti. To spojení mezi kryptoinfekcemi a kryptoměnami vzniklo právě kvůli tomu, že útočníci nabídnou oběti rozšifrování jejich vlastních dat po úhradě digitálního „výpalného“ (v angličtině ransom, odtud také název této kategorie malwaru: ransomware), a to právě prostřednictvím kryptoměny. To mají kryptoměny s kryptoviry společné.
–
Co je to ten kryptovirus a co dokáže?
Jak jsem zmínil, kryptoviry nebo ransomware po infikování systému oběti šifrují uživatelská data. Některé vyhledávají konkrétní typy souborů, jako jsou například dokumenty, obrázky, archivy, ale neomezují se pouze na ty. Nepohrdnou ani síťovými úložišti, mohou mít schopnost šířit se dále po síti pomocí zranitelností, spamu či přihlašovacích údajů, které našly na počítači, který právě šifrují. Při zašifrování nechává takový škodlivý kód odkaz pro uživatele, že jeho data byla zašifrována a že má určitou lhůtu na to, aby zaplatil za nástroj, který jeho vlastní data rozšifruje. Platba probíhá obvykle v kryptoměně na konkrétní peněženku.
–
Nedávno internet zahltily zprávy, kdy benešovskou nemocnici v ČR napadl kryptovirus a zcela ji odstavil z provozu. Lidé nemohli jít na operace, nefungovaly žádné přístroje potřebné pro vyšetření. Proč se to stalo? Může se to stát i ostatním institucím?
Nerad bych spekuloval, jak k tomu došlo. Rozsah ochromení Nemocnice Rudolfa a Stefanie v Benešově by mohl indikovat více problémů. Stát se to může každému. Už není ani otázka, kdy. Otázka je, kdy to zjistíme.
Útočných vektorů, které využívají kryptovirus, je mnoho. Ve Virusfree.cz, cloudovém spamfiltru, který provozujeme pro komerční zákazníky, často vidíme e-mail se spustitelnou přílohou, který se tváří jako objednávka či faktura. Před pár lety to byl jen anglicky psaný e-mail, pak se začaly objevovat e-maily přeloženy do slovenštiny a češtiny, přičemž kvalita překladu byla slabá. Dnes vidíme i kvalitně přeložené e-maily se stopami tzv. sociálního inženýrství, zneužití zdrojových e-mailových adres, které může příjemce znát, dokonce zneužití e-mailových adres přímo z postižené organizace.
Dnes v noci (z 10. prosince na 11. prosince) jsme například zaznamenali nárůst počtu e-mailů s přílohou obsahující ransomware. Oproti běžnému dni dosahoval tento objem přibližně 300 %. Předmět e-mailů byl například: „PAYMENT Confirmation, Urgent Quotation, CONTRACT TERMINATION, NEXT shipment, Purchase Order # …….“
–
Po napadení kryptovirem mají uživatelé zakódována/zašifrována data a nemohou s nimi pracovat. Jaké řešení nabízí samotný kryptovirus? Je tam tuším možnost zaplatit nějakou částku za klíč, kterým se uživatel opět dostane k datům v podobě, jakou zná. Je to pravda? Je toto řešení trvalé?
Je to tak. Někdy je i celý systém nedostupný. Nastartuje pouze do stavu, aby informoval uživatele, že je třeba zaplatit, dnes již téměř výhradně kryptoměnou. Výška se dnes může lišit, firmy a organizace veřejného sektoru si samozřejmě připlatí. A nezřídka sice výpalné oběť zaplatí, ale obnovy svých dat se nedočká.
I když sám nejsem zastáncem placení výpalného, byl jsem svědkem případu, kdy zákazník zaplatil, protože mu (světe, div se, právě v tom období, jaká náhoda) selhalo zálohování a nemohl obnovit důležitá data. Data získal. Ale trvalé řešení vyžaduje důsledné opatření ochrany informací a informačních systémů, systematický přístup, který sníží dopad v případě útoku. Jak jsem zmínil, dnes je otázkou, kdy zjistíme, že jsme byli obětí útoku.
–
Proč, myslíš, hackeři využívají kryptoměny právě jako platidlo za poskytnutí klíče na rozšifrování dat?
Zdá se jim to bezpečné. Jsou si vědomi, že svým jednáním porušili zákon. A kryptoměna jim dává možnost z toho těžit a nebýt dostižen vyšetřováním. Je to pravdivé jen částečně. Před časem jsme se podíleli na výzkumu rakouského technologického institutu AIT, který se zaměřil na vyděračské e-maily (tzv. sextortion). Útočníci v nich požadovali zaplatit částku v kryptoměně, jinak zveřejňují kompromitující video potenciální oběti. Institut mj. sledoval finanční toky kryptoměn a byl schopen vystopovat konečné příjemce peněz (peněženky) a odhadnout i objem finančních prostředků , které takto útočníci nelegálně získali. Samozřejmě, žádné video v té době neměli. Dnes je už situace jiná, některé druhy malware již takové obrázky a videa zaznamenávají.
Pro ty čtenáře, kteří by si chtěli zmíněný výzkum přečíst, je k dispozici na tomto odkazu: https://arxiv.org/abs/1908.01051.
–
Jak se dá vůči kryptovirům zabezpečit? Věnuje se tomu i firma, pro kterou pracuješ, že? Máš k dispozici nějaká čísla, kolik instituci je např. ročně napadených takovým typem virů?
Základem je uvědomit si, že mám hodnotná data, která chci chránit. Uvědomit si, co by se stalo, kdybych o ně trvale přišel, a že jsem zranitelný. Tomu pak odpovídá i úroveň ochrany. Dobrý antivirus, a myslím tím opravdu dobrý, legální. Odpovědné chování na internetu, s komunikačními prostředky. Zálohování, ano, i doma. Pro firmy a organizace samozřejmě platí jiná pravidla, někdy vyplývající ze zákonných povinností.
Statistiky u nás na Slovensku, myslím, neexistují. Mnoho firem nezveřejní, že se staly obětí takových útoků. Proč by ukazovaly, že mají problém s financováním nebo údržbou svých informačních technologií, a riskovaly zákonný postih, pokud by například došlo k ohrožení osobních údajů? Ještě stále totiž převládá myšlení masírované obchodníky různých zaručených řešení, že jedna krabička vyřeší všechny problémy. Kdosi zapomněl, že tu krabičku je třeba denně kontrolovat, spravovat a nastavovat.
My dnes ve Virusfree.cz, pro které pracuji, vidíme, že je to jen mýtus, jakýsi chybný pozůstatek myšlení z minulosti. Bezpečnost je komplex, který vyžaduje znalosti, aktivní přístup. Zabýváme se bezpečností e-mailů, hlavně filtrací škodlivého a nevyžádaného obsahu. Denně zachytíme miliony různých hrozeb, které by mohly způsobit konečnému uživateli problémy. Některé detekujeme pomocí strojového učení, jiné na základě takzvaných signatur, které si i sami vyrábíme. Sledujeme chování botnetů, zkrátka se tomu denně naplno věnuje tým lidí. Pro menší firmy máme i bezplatné řešení virusfree.cz/antispam.
–
Existuje ještě něco horšího, než je zašifrování dat? Zažil si už něco extrémnějšího s horšími následky? Chápu, že se jedná o citlivé údaje, proto nemusíš jmenovat konkrétní společnost.
Samozřejmě, že vždy existuje něco horšího. Kryptoviry „jen“ zašifrují data. Umíš si představit, že malware data z tvého počítače vytáhne, uloží zašifrované někde na veřejně nedostupném serveru a všechny lokální kopie dat včetně záloh znehodnotí? Je to jen jeden možný scénář, který se pravděpodobně již někde stal. Pro každého člověka, firmu, organizaci je dopad, myslím, individuální. To znamená, že jednomu uškodí kryptovirus, jinému ukradnou notebook s firemními daty… Tyto věci řeší v organizacích řízení rizik. A když se doslechneš o nějakém leak nebo útoku kryptoviry, pak se nějaké riziko neposoudilo dostatečně.
–
(Doplňková otázka). Jaký je tvůj soukromý názor na kryptoměny jako takové? Myslíš si, že mají budoucnost? Zajímá mě tvůj postoj ke kryptu jako ke svobodným penězům.
Kryptoměny jsou navzdory rozšiřování jen důkazem, že koncept je funkční, navzdory konkrétním negativům. Za prvé je nevýhodou energetická náročnost, v době dramatických změn klimatu hraje negativní roli. Za druhé, myslím si, že bude také třeba adresovat problém zneužívání kryptoměn v digitálním zločinu a praní špinavých peněz. Svoboda totiž neznamená bezbřehost, jak se nás někdo snaží přesvědčit, ale i odpovědnost za své jednání.
Děkuji ti za rozhovor a osvětu v oblasti bezpečnosti. Věřím, že tento článek přinesl čtenářům užitečné informace a pochopili základní rozdíl mezi kryptoměnami a kryptovirem.
Přečtěte si také:
Binance vytvára systém proti hackerom. Blýska sa na lepšie časy ohľadom bezpečnosti búrz?