Rok 2017 sa blíži ku svojmu koncu, preto sme sa rozhodli zbilancovať posledných 12 mesiacov vo svete IT bezpečnosti. V poslednom tohtoročnom blogu sa pozrieme na najväčšie bezpečnostné prešľapy a prípady hacknutia z roku 2017 u nás, v Európe a vo svete.
Globálne štatistiky o IT bezpečnosti
V priemere ukradnú zlí hackeri vo svete každý jeden deň viac ako 5 miliónov záznamov s citlivými dátami. Z pohľadu únikov dát bol najhorším mesiacom tohto roka jednoznačne marec. V tomto mesiaci totižto black-hat hackeri získali až 1,446 miliardy záznamov obsahujúcich nejakú citlivú informáciu. Bolo to 6,5-násobne viac dát, ako v druhom „najnebezpečnejšom“ mesiaci – máji.
Až 73 % kybernetických útokov bolo tento rok cielených na krádež identity. Oproti predošlému roku to znamená nárast o neuveriteľných 255 %. Bezpečnostní experti tak dvíhajú varovný prst. Možnosti zneužitia ukradnutej identity sú neobmedzené – od pošpinenia mena až po páchanie trestných činov v mene vás alebo vašej firmy.
Kyberkriminalita na Slovensku a v Českej republike
V roku 2017 sme boli svedkami odhalenia viacerých kybernetických útokov aj na našom území. Za najväčší považujeme útok na český Mall.cz, pri ktorom sa black-hat hackerom podarilo odcudziť 766 421 hesiel v čitateľnej podobe, 735 956 unikátnych e-mailových adries a obdobný počet telefónnych čísel.
Alarmujúcim je fakt, že ukradnuté dáta útočníci uložili na verejný cloud Uloz.to. K informáciám sa tak mohol dostať ktokoľvek s odkazom. Viac ako 80 % používateľov dnes používa jedno heslo vo viacerých online službách. Potenciálne tak bolo ohrozených oveľa viac používateľských účtov, ako sa na prvý pohľad môže zdať.
Infineon (foto: BleepingComputer)
Iným typom bezpečnostného problému bolo odhalenie výskumníkov z Masarykovej univerzity v Brne, ktorí objavili zraniteľnosť RSA kľúčov firmy Infineon. Tie okrem iného používali aj estónske a slovenské občianske preukazy, ktoré sa tak stali priamo zraniteľné.
Privátne kľúče elektronického podpisu sa dali získať hrubou silou z verejného kľúča, teda z akejkoľvek verejne dostupnej listiny overenej elektronickým podpisom. Škody spôsobené získaním identity a platného elektronického podpisu mohli byť teoreticky veľmi vysoké, aj keď do dnešného dňa neevidujeme verejne známy prípad zneužitia tejto bezpečnostnej zraniteľnosti.
Tento prípad ale ukázal rozdiel v možnom riešení takéhoto problému. Slovensko považovalo nedostatok v bezpečnosti občianskych preukazov za iba „potenciálnu hrozbu a marginálne riziko“ a jeho odstráneniu sa spočiatku vôbec nevenovalo. Na druhej strane, Estónsko vytvorilo detailný plán obnovenia bezpečnostných certifikátov a svojim obyvateľom umožnilo získať nové bezpečnostné certifikáty priamo z domu cez svoj štátny online portál.
Na neprimerané riešenie tohto bezpečnostného problému sme upozornili tvorbou bug bounty programu „Hackni kľúč Róberta Kaliňáka“, ktorý mal však širší rozmer.
Dôvod na obavy ale mali aj zákazníci hostingu Czechia a produktov Zoner. Práve táto spoločnosť, ktorá svoje služby ponúka na Slovensku aj v Česku, totižto oznámila len pred nedávnom únik dát z ich serverov. Hoci ide o dáta z roku 2013, sú stále teoreticky zneužiteľné. Dôvodom pritom bolo nedostatočné zabezpečenie serverov, ktorému sa dalo predísť penetračným testom alebo iným typom testu IT bezpečnosti (napr. bug bounty programom).
O ďalších bezpečnostných zraniteľnostiach a kybernetických útokoch na našom území si môžete prečítať viac na našom Facebookovom účte, prípadne v sekcii O IT bezpečnosti.
Bezpečnostné incidenty v rámci EÚ
Priamo alebo nepriamo sa používateľov zo Slovenska a Českej republiky týkajú aj bezpečnostné incidenty z Európskej únie. Tá v oblasti IT bezpečnosti zaznamenala rovnako náročný rok, no vyhliadky do budúcnosti sú rovnako negatívne.
Drvivá väčšina spoločností nevenuje online bezpečnosti dostatok prostriedkov, vďaka čomu v roku 2017 až 80 % európskych firiem zaznamenalo aspoň jeden bezpečnostný incident (kybernetický útok, únik dát, krádež identity, DoS, DDoS…) v niektorom zo svojich systémov. V niektorých členských krajinách EÚ dokonca počet kybernetických útokov predstavoval 50 % všetkých trestných činov.
NHS budova (foto: NHS)
Obeťami kybernetických útokov sa tento rok stali mnohé významné spoločnosti a inštitúcie. Na území EÚ to bol napríklad aj Národný zdravotný systém Veľkej Británie. Ten utrpel obrovský únik citlivých dát po tom, ako black hat hackeri objavili dieru v systéme SystmOne, ktorý doktori používajú na zdieľanie informácií o pacientoch.
Útočníci týmto spôsobom získali dáta o viac ako 26 miliónoch pacientoch, ich chorobách, zdravotnom stave, či o ďalších citlivých dátach. Chybu tohto charakteru bolo pritom možné odhaliť komplexným testom bezpečnosti.
Z Veľkej Británie pochádza aj prípad mobilného operátora TalkTalk. Ten bol spájaný s nedostatočným zabezpečením citlivých dát už minulý rok. Tento rok vystavil riziku dáta o 21 000 zákazníkoch – vrátane ich mien, adries, či telefónnych čísel.
Šťastím v nešťastí bol fakt, že danú chybu objavil zamestnanec IT spoločnosti Wipro, ktorá s operátorom spolupracuje. Aj napriek tomu sa ale operátor TalkTalk dostal od príslušných orgánov pokutu 100 000 libier.
Vo výročnom zhrnutí bezpečnostných incidentov by sme nemali vynechať ani neustále rastúce ohrozenie ransomvérom, ktoré ohrozovalo firmy aj v roku 2017. Ransomvéry Petya či WannaCry úradovali aj na území únie, pričom napadli nielen množstvo zahraničných firiem, ale aj slovenské spoločnosti a nemocnice.
Napadnutiu pritom bolo možné predísť tým, že by spoločnosti urobili svojim zamestnancom aspoň základné školenie o IT bezpečnosti, prípadne si nechali otestovať svoje počítače a nainštalovať primeranú ochranu.
Kybernetické útoky zo sveta
Každý z nás používa vo svojom počítači alebo smartfóne niekoľko medzinárodných aplikácií či služieb. Aj preto by ste mali pozorne sledovať, či sa práve vami využívaný produkt nestal terčom hackerského útoku alebo neobsahoval významnú bezpečnostnú chybu. Takýchto prípadov bolo totižto v roku 2017 viac než dosť.
A netreba chodiť ani ďaleko. Skupina ruských black-hat hackerov Fancy Bear využila naivnosť personálu v istej sieti hotelov a vďaka infikovanému Word dokumentu, ktorý sa tváril ako rezervácia ubytovania, a nástroju od NSA získali dáta o klientoch 8 hotelových systémov naprieč celou Európou. Do hotelového systému nainštalovali pomocou makra vírus, ktorý následne získaval dáta od klientov prihlásených do hotelovej Wi-Fi siete.
Fancy-bear (foto: TheHackerNews)
Bezpečnostný incident ale neobišiel ani populárnu plaftormu ponúkajúcu informácie o jedle a rezervácie v reštauráciách – Zomato. Black-hat hackermi ukradli spoločnosti citlivé dáta o 17 miliónoch používateľov a hoci Zomato potvrdilo, že minimálne heslá boli šifrované, odporučilo postihnutým používateľom ich zmenu.
Zomato však môže byť v niečom aj príkladom pre ostatných – platobné informácie používateľov drží spoločnosť na samostatnom (lepšie zabezpečenom) serveri, a tak sa k nim útočníci nedostali.
Obeťou kybernetického zločinu sa tento rok stalo aj 143 miliónov Američanov. Zlí hackeri totižto napadli Equifax, jednu z 3 najväčších firiem poskytujúcich informácie o kreditných kartách, pôžičkách a finančnej histórii občanov USA. Útočníkom sa podarilo odcudziť mená, jedinečné identifikátory, dátumy narodenia, adresy a čísla vodičských preukazov klientov Equifaxu.
Okrem toho získali black-hat hackeri aj údaje o platobných kartách viac ako 209 000 ľudí a dokumenty obsahujúce ďalšie citlivé informácie o 182 000 obyvateľoch. Spoločnosť priznala, že v uniknutých dátach boli aj informácie o občanoch Kanady a Veľkej Británie, kde Equifax rovnako pôsobí.
Prehľad o ďalších významných bezpečnostných incidentoch ponúka pekná infografika World’s Biggest Data Breaches.
Chcete sa vyhnúť podobným typom útokov?
Väčšina spomínaných prípadov napadnutia či úniku dát do rúk zlých hackerov by sa zrejme nestala, ak by spoločnosti komplexne testovali svoju bezpečnosť. Bezpečnostní experti vo svete aj u nás odporúčajú ešte pred spustením vašej webstránky alebo online služby absolvovať komplexný penetračný test, ktorý je vhodné ihneď po spustení doplniť o bug bounty program.
Jedným z najefektívnejších spôsobov, ako bojovať proti zlým hackerom, je spolupráca so zbraňou rovnakého kalibru – etickými hackermi. Tí vám pomôžu otestovať vašu bezpečnosť a vás to v konečnom dôsledku bude stáť menej ako napadnutie black-hat hackermi. Najmä po tom, ako v máji 2018 vstúpi do platnosti nové bezpečnostné nariadenie GDPR, ktoré hrozí firmám s nedostatočným zabezpečením miliónovými pokutami.
