Hlavní obsah

Muž, který stojí proti útočníkům na nemocnice: „Nebyl jen jeden“

O kyberútocích nejen na české nemocnice vedl Janek Kroupa rozhovor s bezpečnostním architektem Matějem Kačicem.

31. 5. 6:00

V posledních měsících na české nemocnice útočí hackeři. Jakkoli nebezpečné útoky mohou být, zatím mnoho škod nenadělaly. Jedním z důvodů je i Matěj Kačic, který se zabývá architekturou obrany proti internetovým útokům.

Článek

Můžete prosím vysvětlit, co to je bezpečnostní architekt?

To je člověk, který se podívá na infrastrukturu společnosti a snaží se navrhnout řešení tak, aby nedocházelo k žádným útokům. A zároveň je schopný velmi rychle reagovat na probíhající útoky, má silné forenzní schopnosti, to znamená že dokáže daný útok rozebrat, navrhnout rychlé protiopatření a zároveň navrhuje i opatření dlouhodobá.

Vy tedy útoky nezkoumáte zpětně, ale stavíte proti nim obranný val. Rozumím správně?

Ano, přesně tak. Těch obranných valů je několik sérií. Tím prvním je nějaký internetový perimetr. Další ochrana je potom na inpointech anebo na serverech. Mezi ty nejznámější ochrany samozřejmě patří antivirus, ale dneska už ty nástroje o hodně pokročily. Jsme schopni už i na té pracovní stanici sledovat podrobně aktivity útočníka. Obranné nástroje dokážeme v podstatě i během útoku instalovat na stanici, a tím pádem dokážeme útočníka sledovat a hlavně získat to, jaké nástroje používá. Ale hlavně, jaký má motiv. Protože to se dneska odhaluje jen velmi těžko.

Kdo je Matěj Kačic

Vedl tým programátorů, který se zabýval odvracením útoků na některé české nemocnice. Vystudoval Fakultu informačních technologií, kde dnes i přednáší. Zabývá se kybernetickou bezpečností a patří mezi tzv. bezpečnostní architekty.

K motivům se dostaneme za chvíli. Zajímalo by mě ale - dokážete-li útočníka sledovat, jak je možné, že hackerů je tak strašně málo ve vězení? Jak je možné, že ti lidé velmi snadno utíkají? A policie je není schopna pozatýkat, chytit a dovést před spravedlnost?

Osobně si myslím, že za to můžou dvě roviny. První je ta, že v případě, kdy nějaký útok vyšetříme, zjistíme klidně i zemi útočníka, jméno útočníka, tak si nikdy nejsme úplně jistí, zda je to opravdu on. Častokrát je to jakýsi pseudonym. A je to nějaký indikátor toho, kdo by to mohl být. Dopátrat reálného útočníka je velmi náročné. Dneska existuje celosvětově jen velmi málo firem, které dělají takzvanou službu threat huntingu, tedy že loví útočníky, loví ty hrozby. S těmito lidmi jsem v kontaktu, tak vidím, jak těžká práce za tím je. Oni ten malware (útočnický program, pozn. red.) v podstatě rozeberou úplně do detailů, hledají ho ve zdrojových kódech, skládají fragmenty, které byly použité i při jiných útocích a celé si to dávají dohromady. Je to v podstatě vyšetřování celého toho kyberzločinu. Na základě toho potom stanoví obranné mechanismy. Díky všem informacím, které shromáždí, se potom dají identifikovat útočné skupiny. Jistě jste si všimli ve zprávách, že je-li za tím třeba útočná skupina XY z Ruska, tak většinou používají stejnou sadu nástrojů a stejné praktiky.

Znamená to, že pouze vašimi nástroji vlastně není možné útočníka chytit. Vždycky na konci musí být nějaké dvě „nohy“, které dojdou za tím člověkem a fyzicky na místě ověří informace, které vy mu dokážete dát do ruky?

Ano. Určitě je to tak, že těchto lidí je na světě příliš málo. A zaplatit tyto lidi si dovolí jen velké korporáty anebo velké firmy, které za tím stojí. Dneska si myslím, že u nás ve státní správě, ať už v policejních složkách anebo i na úrovni NÚKIBu (Národní úřad pro kybernetickou a informační bezpečnost, pozn. red.) nejsou takoví odborníci, kteří by toto dokázali vyšetřit. S čím jsem se setkal v minulosti a byl jsem i při nějakých incidentech, které vyšetřovala policie, tak většinou si lidi najímali. Soudní znalce, další experty. Ale ani to není placené rozumně. Ti, kdo do toho jdou, tak většinou jen kvůli tomu, aby získali nějakou zkušenost. Je to velmi náročná a málo placená činnost.

Pojďme se na chvíli zastavit u nejaktuálnějšího tématu, a to jsou útoky na české nemocnice. Vy jste některé z těch útoků sám fyzicky řešil. Můžete říct, co je cílem útoků? Proč někdo útočil na české nemocnice? Co tím získal? Jaký má motiv?

V dnešní době by to byly čistě jen spekulace, protože ty útoky nebyly došetřeny úplně do detailu. Každopádně se předpokládá, že ten útočník tam mohl být i nějakou delší dobu. Ale potvrzené to stoprocentně nemáme. A ten motiv podle mě zůstává stále neznámý.

Platí, že ho považujete za jednoho útočníka, anebo je to série útoků a různých útočníků?

Myslím, že to nebyl jeden útočník.

Ve zpravodajské komunitě nám řekli, že za tím stojí stát. Existují z vašeho pohledu indicie, které toto tvrzení obhajují?

Já s informacemi z nějakých tajných složek nedisponuji. Každopádně, většina stop útoků, které dneska máme, směřují do Ruska a do Číny, takže nějaký první indikátor tam být může. Ale opravdu, v dnešní době je velmi jednoduché schovat se za IP adresy anebo adresní rozsahy libovolného státu. Tím pádem je to pro mě jen jakýsi indikátor.

Proč to směřuje do Ruska a do Číny?

Myslím si, že právě v těchto zemích se nachází příliš mnoho zranitelných systémů. V Číně je hustota obyvatelstva příliš velká. To znamená, že je tam i velmi mnoho počítačů, bezpečnostní díry tam najdete na každém kroku. A právě proto si myslím, že je velmi jednoduché se schovat za tyto adresné prostory.

Máte vy sám nějakou hypotézu na to, proč někdo na české nemocnice zaútočil?

No, já bych se k tomuto nerad vyjadřoval.

Mně jde o váš názor. Co si myslíte?

Já si myslím, že těch úspěšných útoků bylo příliš málo na to, aby to dokazovalo nějaký záměr. Myslím si, že se jednalo spíš o nějakou náhodnou anebo lidskou chybu na straně těch nemocničních zařízení. V praxi to funguje tak, že existují jakési skenery, nějací roboti, kteří pravidelně útočí na všechny adresné prostory a zkouší to. Když se jim podaří udělat ten nultý bod, tak to následně přebírá útočník, který se dokáže infiltrovat dovnitř. Když je to nějaký sofistikovaný automatizační nástroj, tak dokáže i vnitřně sám útočit a získat nějaká data. Jenže v tomto případě si myslím, že to spíš indikuje na špatné zabezpečení v těch zdravotnických zařízeních. Co je důležité říct, je to, že každý si dneska myslí, že máme nainstalovaný vlastní antivirus. Určitě jste postřehli, že každá z těch napadnutých organizací měla antivirus…

Existuje nějaká ochrana, kterou můžete říct i laikovi? Tedy, jakým způsobem se může tomuto typu hackerských útoků bránit?

Je to velmi náročné, protože ty nástroje, které umožňují detekci těchto typů útoků anebo dokáží zabránit různým vektorům útoku, jsou příliš náročné, příliš drahé a jejich správa něco stojí.

Jinými slovy opatrně říkáte, že v podstatě já jako jednotlivec nemám žádnou šanci se podobným hackerským útokům ubránit.

Myslím si, že ne. Protože i v případě, že máte aktualizovaný software, to znamená, že máte aktuální previewer, máte aktuální operační systém, máte nainstalovaný libovolný antivirus, který je třeba v žebříčku řekněme TOP 5, tak stále jste zranitelný vůči různým vektorovým útokům. Ten asi nejjednodušší je samozřejmě nějaký phishingový útok. Kdy vám útočník na základě toho, jak se chováte na internetu, dokáže vytvořit e-mail, který je šitý na vás. Mně konkrétně se též stalo, že jsem čekal před Vánoci balíček od firmy UPC a on stále nedocházel. Už jsem byl nervózní, že ho ženě nedám. A nakonec mi přišel nějaký email, který se tvářil, že je z UPC, a kdybych nebyl moc podezřívavý, tak už jsem skoro na ten odkaz klikl a bylo by to pro mě fatální.

Co by se vám stalo?

Já jsem to potom samozřejmě inspektoval, byl za tím schovaný link na nějaký prvotní malware, který potom následně dotahoval další věci do mé stanice. Nakonec by zašifroval celý počítač, nenávratně.

Myslíte si, že to bylo adresně na vás? Že si někdo řekl: Ten Matěj Kačic nám tady škodí, tak my mu tady něco pošleme?

Spíš si myslím, že útočník nějakým způsobem zjistil, co vyhledávám. Protože existuje hodně způsobů, jak vás naprofilovat a zkrátka se to trefilo. Klidně to mohla být náhoda, že věděli, že UPC dodává hodně zákazníkům před Vánoci.

Všichni dnes mluví o útocích na nemocnice. Je to ale opravdu tak, že v tuhle chvíli probíhají útoky jen na nemocnice a na ostatní místa ne?

Určitě ne. Sám vím o útocích, které probíhají i na jiné společnosti v jiném segmentu. Já osobně znám malou firmu z Moravy, která má export do zahraničí a pravidelně jim posílají faktury na jednotky milionů korun a už se jim minimálně třikrát za tento rok stalo to, že poslali fakturu a útočník ji po cestě změnil. Změnil číslo účtu a ten zákazník ze zahraničí to zaplatil útočníkovi přímo na účet.

O jak velké částky se jedná v tomto konkrétním případě, o kterém mluvíte? O kolik peněz?

Já si myslím, že v tomto případě se jedná o 10 milionů korun.

Dobře, ale ve chvíli, kdy ten útočník změní číslo té faktury, tak ta platba přece musí být dohledatelná. A to je přeci něco, co by policie měla být schopna vyřešit relativně snadno?

Ano i ne. V případě, že daná firma obchoduje s exotickou zemí, která je někde v Africe, protože jim tam dodává zboží. Tak útočník pozmění číslo, v té jedné stejné bance. Vrácení peněz anebo nějaké zrušení platby je skoro nemožné. Té firmě se podařilo, povězme, z pěti případů jedenkrát zrušit platbu. A co se týká nějakého dohledání: útočník okamžitě ten účet vybere, zruší a dopátrat ho je skoro nemožné.

Podala ta firma trestní oznámení na tyto útoky?

Podala, poprvé. A nic se nestalo.

Kromě útoků na podobné menší firmy, víte i o útoku na stát? Na Ministerstvo zahraničí, kupříkladu?

Vím. Ale k tomu bych se též nerad vyjadřoval.

Můžete říct aspoň měsíc, kdy ten útok byl?

Uf… Opravdu, toto ne.

Pokud totiž vím, tak v poslední době útok byl a byl úspěšný v tom, že z Ministerstva zahraničí sebral nějaké informace. Jenže se na něj přišlo pozdě. Můžete aspoň potvrdit, že ty informace, které říkám, jsou správné?

Opravdu v tomto případě nemůžu potvrdit absolutně nic. Jsem tu striktně vázaný nějakými pravidly.

Dobrá. Zeptám se tedy jinak. Pokud jde o útoky toho typu, stojí za nimi podle vás jednotlivci, nebo nějaký stát?

Tak, já se možno vrátím k těm veřejným informacím, které byly o Ministerstvu zahraničí v minulosti. To znamená tam…

Mě by zajímala spíš ta přítomnost, upřímně řečeno.

K tomu se opravdu nemůžu vyjádřit, to mi profesionalita nedovolí, v tomto případě.

Můžete aspoň říct, jestli si myslíte, že za tím stojí nějaká instituce, jako je stát?

Ne, fakt, to nemůžu komentovat.

Dobrá. Je nějaká obecná rada, kterou můžete dát, ať už nemocnicím, institucím, jednotlivcům, jako jsem já, co máme dělat, abychom hackerům minimálně ztížili možnost sebrat data z telefonů, z počítačů a podobně?

Používat takzvaný selský rozum. To znamená dávat si pozor na email, který je nějakým způsobem podezřelý, protože v tom je ten základní vektor útoku. Pravidelně aktualizovat, nebát se zaplatit za nějaký kvalitnější antivirus, i když ne vždycky pomáhá. Ale bez toho antiviru je ta cesta ještě jednodušší. A někdy nechat počítač anebo pracovní stanici nastavit nějakému specialistovi, protože dneska ty systémy, například Windows, mají tisíc nastavení. A pokud se všechno nechává ve standardu, tak to opravdu není úplně bezpečné. A když i pracovní stanici, kterou třeba máte doma, někdo nastaví, tak značně zužujete riziko toho, že ten útočník se tam dostane.

Sdílejte článek

Seznam.cz zavádí tlačítko Líbí se

Dejte redakci i ostatním čtenářům vědět, jaký obsah stojí za přečtení.

Články s nejvyšším počtem Líbí se se budou častěji zobrazovat na hlavní stránce Seznamu a přečte si je více lidí. Nikomu tak neuniknou zajímavé zprávy.

Reklama

Doporučené