Martin Haller je počítačovým hackerem, jehož prací je zachraňovat firmám ukradená data a vyjednávat s kyberzločinci. Teď ale kromě byznysu sleduje velkou změnu svého oboru. Změnila ho válka na Ukrajině a vygradovaná ruská agrese proti západním webům včetně Česka, které zažilo velký útok proti státním webům před pár týdny. „Nerad bych, aby to vyznělo mimo kontext, ale vlastně nám tím prokázali službu. Víme, o jaké cíle mají zájem, a můžeme zlepšit jejich zabezpečení,“ komentuje válku na síti, která ale ze strany Západu stále naplno nezačala, i když Rusko čelí řadě internetových útoků.
Co vlastně dělá etický hacker?
Zjednodušeně řečeno si hraje. Lidé jako já zkoumají, jak věci fungují a jak by se daly rozbít. A to je ta hra. Obor je už dnes hodně široký, někdo se věnuje mobilům, někdo sítím, jiný serverům a tak dále. Ale v zásadě jde o to najít slabé místo. Naše znalosti následně nevyužijeme k tomu, abychom škodili, ale abychom pomohli. Právě v tom je ta etika. Buď jste v tomhle oboru zaměstnanec a vaše firma vás nabízí ostatním, nebo využíváte různé bug bounty programy, kde jste následně odměněn za to, že najdete v bezpečnosti firmy chybu a nahlásíte jim ji.
Jaké jsou útoky v době válečného konfliktu na Ukrajině?
Dosud převažovaly hackerské útoky buď kvůli špionáži, nebo kvůli byznysovému vydírání. Teď tu máme hacktivisty, kteří bojují za prosazování svých idejí. To před pár měsíci ještě nebylo zdaleka tak běžné. Funguje to na obou stranách. Můžete se tady připojit na stránky, které slibují, že váš prohlížeč bude zahlcovat ruské weby. Jsou ale i ruské skupiny, které útočí na cíle v západní Evropě.
Máte na mysli třeba DDoS útoky proti českým webům policie, hasičů či ministerstva vnitra z posledních dnů?
To byl přesně ten příklad – hacktivistická skupina, která nepracovala pro zisk. Podobné útoky dělá i jinde a ohání se tím, že chce zastavit dodávky zbraní na Ukrajinu.
Co si o těch útocích myslíte?
Paradoxně jsou v něčem prospěšné, protože nás mohou jen posílit. Díky nim víme, jaké cíle si útočníci vybírají. Víme také, kde máme slabiny, a zlepšíme svou obranu. Přitom za to neplatíme dramatickou cenu. DDoS útoky znamenají v důsledku jen to, že nějakou dobu je nedostupná služba na napadených stránkách. Nikdo nic nešifruje, nekrade.
Ale nekoupíte si třeba lístky na vlak, není dostupný obchodní rejstřík. To je také špatně, ne?
To ano. Ale když Rusko dělalo tyhle útoky na začátku války proti Ukrajině, viděli jsme, že útok měl větší dopad: Přijedou k vám tanky a vy si kvůli napadeným stránkám nepřečtete, kam se schovat a co se vlastně děje. Případně si přečtete falešný obsah. Měli bychom to brát jako velké varování a vážit si toho, že obranu proti DDoS útokům můžeme u nás řešit mimo dobu války.
Na Rusko ale také probíhají útoky. Kdo je tam cílí?
Mezi ostatními je velmi výrazná skupina Network Battalion 65. Oni vzali zdrojový kód ruské ransomwarové skupiny, která vydírala firmy a instituce po celém světě, upravili ho a útočí jím na jejich cíle. Kradou a zveřejňují citlivá data. Zkoušejí i žádat o výkupné, ale zatím jim Rusové nic nezaplatili. Vzniká tu ale sekundární problém, že těch dat je hodně a zatím se nenašli analytici, kteří by se jimi prokousali a našli něco zásadního.
Jaká je to pro Rusko situace?
Podle mě do značné míry úplně nová. Před konfliktem se světoví hackeři o Rusko moc nezajímali. Naopak Rusové útočili na Západ a jeho firmy. Teď jsou ve středu zájmu oni. Zatímco oni nejsou zvyklí se dobře a účinně chránit, my za sebou máme roky jejich útoků a jsme díky tomu poučenější a méně zranitelní.
Kdo tedy vítězí v tom hackerském souboji Rusko versus Západ?
Naprostá většina elitních hackerů ještě s Ruskem nezačala válčit. Ty útoky v kyberprostoru jdou zatím od jednotlivců. Pokud Západ jako mocnost útočí, tak potichu a kvůli špionáži. Kdyby se konflikt ještě prohloubil, pak bychom viděli mnohem masivnější útoky proti Rusku.
Právě vy po napadení firmy s hackery vyjednáváte. Jak to probíhá?
Jsou tři základní způsoby. V naprosté většině v napadených počítačích zůstane zpráva od útočníků. Tam stojí, co se vám stalo a na koho se máte obrátit. Často tam najdete odkaz na jejich stránku na darkwebu, přes niž můžete vyjednávat. Je tam chat, kde vidíte cenu, kterou za data budou chtít. Dalším způsobem je, že ve zprávě najdete e-mailovou adresu a vyjednáváte tímhle kanálem, případně najdete kontakt na sociální síti Telegram. Komunikace probíhá v angličtině a bavíte se o tom, za jakých podmínek a za kolik peněz dostanete svá data.
Kolik firma za odemknutí zašifrovaných dat platí?
Nejraději by platily minimum nebo nic, ale takhle to bohužel nejde. Částku určují útočníci. Vykopnou číslo, které obvykle přizpůsobí velikosti firmy a zemi, kde se firma nachází. Ze zkušenosti vím, že se o té sumě dá jednat a nakonec bývá nižší než na začátku. Desítky tisíc korun platí freelanceři a domácnosti, u větších firem jsme řešili výkupné v milionech korun. V zahraničí to ale bývají i miliony dolarů.
Vyřeší v téhle situaci něco, když firma nahlásí útok policii?
Policie se snaží pátrat po pachatelích a postavit je před spravedlnost, aby už nemohli dále škodit. Se zašifrovanými daty a nefunkční sítí si však firmy musejí pomoci sami. V zahraničí byl loni případ, kdy jedna kyberzločinecká skupina našla zranitelnost softwaru, s nímž pracují firmy jako ta naše. Používá se pro správu počítačů a serverů u zákazníků.
Když se v takové aplikaci najde chyba, dokážete ovládnout všechna zařízení. V tomto případě se jim za dvanáct hodin podařilo zašifrovat 1500 společností. Napadené firmy byly hlavně v USA. Později se ukázalo, že FBI měla tu kyberzločineckou skupinu infiltrovanou a držela i dekryptor, tedy klíč k odemčení zašifrovaných dat. Všechny firmy by tím FBI zachránila, jenže zase by sama sebe prozradila.
Jak to dopadlo?
Víme jen, že skupina zmizela a FBI dala firmám ten klíč. Trvalo to ale zhruba měsíc a korporacím tím vznikly obrovské škody. Co se stalo v pozadí, neví nikdo.
Při vydírání platby probíhají zásadně v kryptoměnách?
V devadesáti procentech jde o bitcoin a pak je to monero.
V jednom z rozhovorů jste popsal zajímavý trik, kdy hackeři nešifrují data ransomwarem, ale vlomí se do e-mailů a pozmění poštu. Jak to funguje?
Dokážou pozměnit komunikaci tak, že to zprvu nikdo nepozná. Nepřijde vám žádná falešná faktura od neznámého dodavatele. Naopak se vlomí do standardního vztahu dodavatele a odběratele a změní ve faktuře číslo účtu. Vám jako firmě zboží reálně přišlo, zaplatíte za něj, ale dodavatel už peníze neuvidí.
Jak těžké je při napadení ransomwarem zjistit, o která data firmy přišly?
Technicky to zjistitelné je. Jsou nástroje sledující pohyby dat. Reálně jsem to ale nikdy v životě neviděl. Ty systémy jsou drahé a složité. Pokud už firma řeší tuhle úroveň zabezpečení, je na tom tak dobře, že nebude úspěšně prolomená. Naprostá většina napadených firem tak tedy vůbec netuší, zda jim něco uniklo, natož aby věděly, o jaká data šlo.
Dá se z vaší zkušenosti hackerům věřit, že ta ukradená data opravdu nezveřejní, pokud jim za to firma zaplatí?
Často chtějí dvě platby. Za odemknutí dat a za nezveřejnění. Ale těch skupin je hodně, některé to prodávají i jako balíček. Záleží i na firmách. Některé se úspěšně díky zálohám z útoku vzpamatují, ale víc by je bolelo zveřejnění dat. Právě v tomhle bych ale hackerům nevěřil. Jsou případy, že firmy zaplatily, ale byly vydírány opakovaně. I ti útočníci mezi sebou nemají úplně čestné vztahy. Vydírají se mezi sebou, kradou si ukořistěná data. Tady nevíte, na čem jste.
S vracením dat je to lepší?
Je to součást jejich byznysu, takže tady to funguje lépe. Ale neznamená to, že na vás za dva týdny nebo dva dny nezaútočí znovu. Není to od nich hezké, ale jestli o ta data přijdete znovu, tak evidentně něco děláte špatně.
Vím, že jsou hackeři, kteří sbírají a prodávají přístupové údaje a pak další, kteří je kupují a na firmy, kterým přístupové údaje patří, pak útočí. Jak se obchoduje s ransomwarem jako nástrojem?
Podle druhu ransomwaru poznáte rodinu. Někdo ho vyvíjí a poskytuje franšízantům, kteří ho nasazují u zákazníků. Kdybyste byl skupina zločinců, tak si vyberete, se kterou rodinou budete pracovat. Jestli si otevřete McDonald nebo KFC. Každý gang má pak jinou strategii.
Když jsme u té jejich taktiky a důvěry, tak někdy se stane, že obětem vrátí jen část dat. Pokud na to budete připravený, necháte si odemknout ta důležitá. Jestli k tomu přistoupíte amatérsky, otevřou vám nepotřebný server a budete platit pořád dokola, než se dostanete k tomu, co opravdu potřebujete.
Setkal jste se při vyjednávání se skupinou nebo konkrétním útočníkem opakovaně? Poznáte to?
Ano, u některých obětí jsme našli stejné e-mailové adresy, se kterými jsme komunikovali. Ale nikdy jsme si nehráli na staré známé, to si v téhle situaci nemůžeme dovolit.
Jednou se nám tak podařilo útočníky obelstít. Náhodně se nám v jeden okamžik sešly dvě oběti, které útočníci zašifrovali. Jedna oběť se s útočníky domluvila na výkupném, a když jí data dešifrovali, podstrčili jsme jim i data od druhé oběti. Obětem se nám tak podařilo ušetřit významnou částku. Dalo by se říct, taková akce 1 + 1 zdarma.
Chápu, že běžně asi množstevní slevu požadovat nebudete…
Divil byste se, ale v začátcích tady byly situace, kdy útočníci přímo doporučovali, na koho by se oběti měly obrátit, aby vyjednávání probíhalo hladce. Věděli, se kterou firmou se dobře domluví.
To nebyla pro ty firmy moc dobrá vizitka, ne?
To opravdu nebyla. Myslím, že to napadlo samotné útočníky, aniž to s firmou konzultovali. Ta by to jistě odmítla. Ale stávalo se i to, že útočníci přišli s tím, že budou firmám, jako jsme my, vyplácet provize. Že by to byl takový partnerský program. Ale to je samozřejmě nesmysl.
Martin Haller (34)
- etický hacker a zakladatel společnosti Patron-IT
- specializuje se na kybernetickou bezpečnost a ochranu dat před hackerskými útoky
- stal se druhým Čechem oceněným GURU rankem v žebříčku Hack The Box
- je držitelem prestižních oborových certifikátů OSCP, MCSE, CHFI, ESCA, CCNP, CCNA
- přednáší na odborných konferencích v Česku i v zahraničí
