Ransomware je typ škodlivého softwaru, který se nainstaluje na váš počítač většinou tak, že kliknete, na co nemáte, co neznáte a neznáte ani zdroj, odkud vám to přišlo. Vaše hloupost na začátku. Anebo třeba pokus o zvídavost, když jste se připojil na stránky pornografie či se pokoušel získat nelegálně sériové číslo softwaru, který jste si nekoupil, ale chcete ho používat. Nebo jste náhodně přišli na stránku, která stahuje spustitelné soubory maskované jako JPG obrázky… Úvodní historku, která paří do arzenálu social hackingu, který zneužívá vaší důvěřivosti nebo neznalosti, si představte sám. Vždy je to něco, čemu uvěříte. Potvrzení platby v oblíbeném e-shopu, upomínka finančního úřadu, poplatek z popelnic či faktura. Většinou jste totiž ten první krok udělal vy.
A pak tento zaváděcí software stáhne z nějaké internetové adresy šifrátor, z jiného serveru získá klíč k šifře a zašifruje touto unikátní kombinací všechny soubory na vašem disku. Během této rutinní činnosti může některé soubory zkopírovat a odeslat na jakoukoliv další adresu, případně může nalézt soubory, ve kterých máte uložena hesla, adresy vašich přátel, a těm poslat kopii zaváděcího souboru, který se třeba bude tvářit jako faktura. Pak vám suše sdělí, že pokud nezaplatíte, už nikdy své soubory neuvidíte. Cena? Od sta do pěti set dolarů. Ale pozor, způsob platby je nevysledovatelný a globální. Vyděrač chce zaplatit v bitcoinech. Od vás. Gratulujeme, právě jste se stal nedobrovolným spolupracovníkem mezinárodního zločinu, ne-li dokonce terorismu.
Že jste bitcoiny nikdy neviděl? Nevadí. Máte kód peněženky kdesi na serveru s tchajwanskou doménou (který ale nemusí vůbec být na Tchajwanu), kam máte částku poslat. Bitcoin je měna globální, anonymní a její cena každý den stoupá. Čas neúprosně běží. Za týden už to nebude 500 dolarů v bitcoinech, ale 1 000 dolarů v bitcoinech. O deset procent dražších. Nabídka je omezena na měsíc. Pak už své soubory neuvidíte nikdy.
Zapomeňte na to, že vám pomůže váš standardní antivir, který si s takovým sebezapřením platíte. Nejspíš ne. Protože ten váš ransomware bude nejspíš nové, pár hodin staré mláďátko a antivirovou firmu nejspíš nový vir překvapil stejně jako vás. Může to být i verze speciálně namodifikovaná pro vás. Pokud tedy váš harddisk zajímá někoho natolik, aby si zaplatil útok.
Zapomeňte i na přátele na telefonu. Jsou na tom stejně jako vy.
Zapomeňte na to, že vám pomůže váš správce sítě. Šifry, které používá nejnovější generace ransomwaru, patří k těm silným. Používá je i americká armáda. Hrubou silou (pokud to někdo náhodou umí) nerozlousknutelné. Možná za několik měsíců nepřetržité práce.
Zapomeňte, že vám pomůže profesionální firma. Ty, které umějí, neinzerují v časopise Computer. Ty, které inzerují, neumějí.
Pokud jde o počítač pro zábavu, můžete obnovit systém způsobem, který vám výrobce operačního systému (předpokládejme, že jsou to Windows) ani neřekl a o němž (možná) ví něco ten, kdo vám počítač prodal. Chytrý vir ovšem možná napadne i tu část disku uživateli nepřístupnou, kde se záloha systému skrývá. Čili přišel jste o data a počítač máte stále (opět) zavirovaný. A netušíte to, neboť pokračující infekce o sobě nedala ještě vědět a do zaváděcích partition na vašem disku nemá přístup ani váš antivir. Natožpak vy.
Horší to je, je-li to počítač pracovní, je zapojen do sítě a vy jste na něm dělal něco, co nemáte. Třeba otevíral soukromý e-mail, který se tvářil, že je od finančního úřadu. Chytrý virus napadne všechny síťové disky, ke kterým máte přístup, a zakryptuje na nich všechny uživatelské soubory. „Nejsme schopni říct, kdo za tím stojí,“ prohlásila britská ministryně vnitra Amber Rudd. Masivnímu hackerskému útoku bylo možné předejít, stačilo prý mít aktualizované počítače, pravili „odborníci“.
Máte dvě možnosti: zaplatit (zločinci jsou poctiví, po zaplacení dešifrovací utilitu pošlou), nebo přijít o data
Variant vydíracích virů je několik desítek, variant ostatních virů jsou tisíce. Ten poslední, WanaCrypt0r, který napadl sítě a firmy ve 125 zemích včetně kritické infrastruktury, patří k virům, které sice vytvořili zločinci, ale vyvinuli je zločinci státní – tým pracující pro americkou zpravodajskou službu NSA, National Security Agency. Vyvinuli i stavebnice EternalBlue, ze kterých si američtí špioni a jejich spojenci mohli sestavit vir jako skládačku s požadovanými účinky a pak jej vypustit do sítě.
Takto se dostal na veřejnost vir Stuxnet, škodlivý počítačový červ, poprvé identifikovaný v roce 2010, který se zaměřuje na průmyslové počítačové systémy a byl zodpovědný za značné škody na íránském jaderném programu. Sice žádná organizace nebo stát oficiálně nepřiznal zodpovědnost, ale... Tento červ hledal operační systém Windows a software Step7 od firmy Siemens ovládající průmyslové řídicí systémy. Nakazil 100 tisíc firem. Stuxnet údajně zničil téměř jednu pětinu íránských jaderných centrifug. V červnu 2012 článek v The New York Times prozradil, že Stuxnet je součástí zpravodajské operace USA a Izraele s názvem „Operation Olympic Games“. Izrael se nepřiznal, ale potvrdil, že kybernetická válka je nyní jedním z pilířů obranné doktríny země. Vývojáře odhalila antivirová firma Kaspersky Lab v roce 2015 při výzkumu „jiné vysoce sofistikované špionážní platformy“.
Jenže vládní zločince, kteří si říkají Equation Group, „hackla“ jiná, privátní hackerská skupina, Shadow Brokers, o něco lepší. A tak se virové stavebnice dostaly na svobodu. Bylo otázkou času, kdy se začnou množit, kdy je někdo zneužije. Tajemná skupina Shadow Brokers tvrdí, že jeden gigabajt „kybernetických zbraní“ – malwaru a nástrojů používaných NSA – bude prodávat. 14. dubna 2017 zveřejnila 300 megabajtů prostředků, jak zneužít celou řadu slabin produktů společnosti Microsoft.
Předtím se skupina pokusila prodat zdrojové kódy NSA on-line na elektronické bitcoinové aukci. „Chceme, aby si bohatá elita byla vědoma nebezpečí kybernetických zbraní, které naše aukce představuje pro jejich bohatství a kontrolu,“ uvedla skupina. „Pojďme to pro elity upřesnit: Vaše bohatství a moc závisí na elektronických datech.“ „Dáme vám nějaké soubory Equation Group zdarma…“ Archiv zveřejněný na serveru Pastebin obsahoval firewall exploity, nástroje a skripty pod názvy jako BANANAUSURPER, BLATSTING a BUZZDIRECTION. Dokumenty uvolněné Edwardem Snowdenem odhalily, že malware pochází z NSA. Soubory uvolňované Snowdenem v roce 2013 obsahovaly některé stejné kódy, který byly uveřejněny skupinou Shadow Brokers.
WanaCrypt0r je prozatím poslední verzí vydíracího viru. To, že se skrývá za ransomware, ještě neznamená, že nepátrá po něčem jiném. Během doby, po kterou skenoval a šifroval soubory desítek tisíc počítačů po celém světě, mohl zároveň dělat i cokoliv jiného. A odesílat to kamkoliv.
Když říkám kdokoliv, cokoliv a kamkoliv, myslím to vážně. Ten, kdo hackl poprvé po osmnácti letech mě, přišel přes antivir a firewall z běloruské IP adresy svázané s ukrajinskou doménou, koupenou tureckým občanem. Tvářil se jako faktura z české, mně známé adresy. Dokonale česky píšící. Klikl jsem. A litoval až pak. Moje chyba. Crypt0l0cker zakryptoval pomocí AES 128 šifry první kilobajt ze 65 tisíc souborů během půl hodiny. Platba měla probíhat na anonymní bitcoinovou peněženku, jejíž kód byl na tchajwanském serveru. Hlupáci, kteří hned dovodí, že „za vším jsou Rusové“ jen podle toho, že Turek psal rusky, vědí houby o tom, jak lze skrýt identitu na internetu. Ten vyděrač mohl sedět se svým notebookem vedle mě v kavárně na Malé Straně. A tiše se smát.
Bezpečnost je relativní pojem od roku 1949, kdy John von Neumann vydal článek s názvem „Teorie sebereprodukčních automatů“. První vir pro šíření po internetu napsal podle této teorie Bob Thomas z BBN Technologies v roce 1971. V roce 1983 vznikl film WarGames o útoku patnáctiletého chlapce na kritickou infrastrukturu americké armády. V roce 1986 vytvořili dva 19letí pákistánští studenti Brain – první boot sector virus pro PC počítače. Jaké to má dopady dnes? Relativitu důvěry ve vlastní schopnosti a nulovou důvěru ve stát. Státy jsou dnes entity sledující bobtnající kyberprostor naprosto bezmocně.
Na černém trhu je v tuto chvíli kompletní knihovna profesionálních nástrojů kybernetické války. Už to nejsou hračky pro dospívající děti, ale zbraně. Mohou vyřadit průmyslové výroby, kritickou infrastrukturu, dopravu, vodárnu, cokoliv. Na rozdíl od prozrazení jaderných tajemství před více než půl stoletím, které známe jako případ Rosenberg, dnes k paritě sil a doktríně vzájemně zaručeného zničení nedojde. Hirošima vyděsila centrálně ovládané země, které byly vlastníky jaderných zbraní, a vnutila jejich vládám odpovědnost. Tváří v tvář anonymitě internetu, škálovatelnosti útoků a nevystopovatelnosti šiřitele v síti odpovědnost nevznikne. Shadow Brokers mohou být geniální puberťáci v nějakém univerzitním hackspace stejně tak jako upocení inženýři nudící se v korporátní kanceláři či důchodci sypající ptáčkům.
Většina zařízení včetně vašeho telefonu, auta či televize je dnes počítač. Chtěli jsme to, považovali jsme to za pokrok. Hovoří se o internetu „věcí“, respektive už internetu „všeho“. I ledničky či sauny. Skoro každý počítač je dnes připojen k internetu nebo nějaké jiné síti. Včetně toho ve vašem autě. Většina je připojena bezdrátově. Bezdrátové propojovače jsou také počítače. Zvykli jsme si na ten komfort snadno. Korporace, vytvářející toto chaoticky se proměňující prostředí, jsou plné líných, nemotivovaných a špatně placených programátorů. Než programovat pečlivě, vrší se nové chyby na staré chyby.
Je třeba dodat, že 95 % všech doposud zjištěných virů se zaměřilo na systémy firmy Microsoft. Proč? Není to tím, že jsou nejrozšířenější. Je to tím, že firma rezignovala před dvaceti lety na kvalitu kódu a upřednostnila krátké inovační cykly. Výsledkem je nepředstavitelný zmatek verzí, nedodělaných, a přesto zveřejněných. Stovky záplat pro každou z nich si vynucují nechtěnou a vnucenou aktivitu uživatelů včetně laiků, kteří dali tisíce korun za to, že výrobek (software) bude fungovat. Mixer také nenosíte jednou týdně do opravny.
V nejnovějších komerčních operačních systémech jsou kódy z roku 1995 i starší. Kritické záplaty se kumulují do měsíčních updatů. Systémová složka Windows připomíná desítekgigabajtové smetiště s desítkami tisíc souborů a složek. Nikdo se v tom už nevyzná. Ani certifikovaní specialisté. Defaultní nastavení výrobce nikdo nemění, protože netuší jak a jak to ovlivní jiné funkčnosti systému. A nikoho z výrobců ten chaos netrápí. Hlavně když se to prodává.
Americká armáda, která kdysi vymyslela s univerzitními anarchisty internet, nepřinesla do internetu bezpečnost, ale lenost, svobodu a kreativitu. Svobodný internet není bezpečný. Nikdy bezpečný nebyl a nikdy nebude. Je to místo s vysokým potenciálem rozvoje kreativních schopností, s vysokým ekonomickým potenciálem, podněcující naši tvořivost, představivost a zvědavost ve všech směrech. Tvoří zde géniové korporací i geniální zločinci. Vládnou zde znalosti a peníze. Obsahu dominuje sex a fantazie. Kterýkoliv středoškolák zde může vydělat milion, nebo rozpoutat válku. Obrana proti kreativnímu, profesionálnímu útoku neexistuje. Nepomůže antivir, nepomůže policie ani vláda. Musíme se naučit ve světě plném nejistot žít, předvídat útoky, čelit jim znalostmi a obezřetností. Nepřátelit se s negramoty, hlupáky a nedůvěřovat naivkám. Nevěřit nikomu vyjma sebe a svých znalostí. I když nám různé korporace, kněží a politici všech barev budou vnucovat nejen „safer“ internet, ale i náš život.
Ne, ani náš život už nikdy nebude bezpečný. Vítejte v nejistotě.
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Štěpán Kotrba
