• LogisticNEWS
    O čem se mluví

Jak probíhá běžný kybernetický útok

ilustrační foto

V zásadě existují čtyři scénáře kybernetických útoků, se kterými se můžete poměrně běžně setkat. Zásadní rozdíl spočívá v tom, zda útočník směruje útok přes uživatele nebo server.

První scénář: uživatel přijme e-mail

Jde o klasický příklad, kdy uživatel přijme phishingový e-mail, jehož text ho navede k rozkliknutí odkazu, který ho přesměruje na webovou stránku vypadající jako např. internetové bankovnictví, sociální sítě nebo přihlašovací stránka do webového e-mailového serveru. Vše vypadá v pořádku a uživatel zadá své přihlašovací údaje. Stránka je ale podvodná, takže zadané přihlašovací údaje zachytí útočník, který oběti řekne, že nastala chyba, že zadala údaje špatně nebo oběť přesměruje na reálnou správnou stránku. To už není až tak podstatné, protože útočník získal údaje, které potřeboval.

Podobně to může být situace, kdy útočník zašle e-mail s informací, že vám brzy vyprší platnost hesla a máte si ho co nejdříve obnovit, jinak nebudete mít přístup ke službám. Případně že s vámi někdo sdílí soubor a když kliknete na odkaz a přihlásíte se, můžete si soubor zobrazit.

Útočník počítá s tím, že oběť používá stejné heslo na více místech, anebo že se díky získanému heslu dostane k cíli. Příkladem může být získání přihlašovacích údajů do e-mailové schránky. V té si útočník může dohledat další přihlašovací údaje nebo si případně ve službách pomocí schránky hesla resetovat. E-mailová schránka se stane vstupní branou do dalších služeb.

Další variantou je, že odkazovaná stránka kromě přihlášení nabízí stažení programu (např. důležité aktualizace) nebo nějakého dokumentu. Oběť si stáhne program nebo dokument, který obsahuje škodlivý program, který útočníkovi umožní ovládat počítač oběti.

Druhý scénář: chyba nastavení serveru

Jde o situaci, kdy organizace provozuje vlastní server, který je, ať už nedopatřením nebo z neznalosti, chybně nastaven. Obecně se jedná o chybu při správě systému. Chyba může být i velmi triviální, například mohlo zůstat nezměněné výchozí heslo nebo je chybně povolen přístup k interním službám z internetu. Tyto chyby se dají detekovat automaticky pomocí tzv. robotů. Ty prohledávají internet a detekují právě chyby v nastavení. V okamžiku, kdy chybu robot identifikuje, převezme si ji lidský operátor, který se pokusí chybu zneužít.

Třetí scénář: slabá hesla

V tomto scénáři útočník využívá tzv. slovník, seznam nejpoužívanějších hesel, který může být obohacen o osobní informace získané ze sociálních sítí oběti. Útočník za pomoci slovníku automaticky zkouší jedno heslo za druhým, dokud se ho nepodaří odhalit. Snaží se zneužít tendenci uživatelů používat jednoduchá hesla nebo stejná hesla ve více službách. Pokud útočník odhalí heslo, dostáváme se opět do bodu, kdy pomocí přístupů pronikne do sítě.

V souvislosti s velkým nárůstem práce z domova kvůli koronavirové pandemii se narychlo otevíraly vzdálené přístupy, které jsou často slabě zabezpečené. Tím útočníkům vzniklo nové pole působnosti, ve kterém mohou zkoušet, zda účty mají slabá hesla.

Čtvrtý scénář: bezpečnostní chyba na serveru

Tato situace nastává v případě, kdy je bezpečnostní chyba v softwaru, který server používá. Takovou chybu může být možné zneužít k tomu, aby útočník podstrčil vlastní škodlivý program vašemu počítači či serveru a ten ho spustil. Útočníci obvykle zneužívají již známé chyby, ke kterým už existuje oprava – aktualizace. Ke zneužití chyby se využívá tzv. exploit, což je malý program, který se spojí se serverem takovým způsobem, aby se chyba projevila.

Existuje celá řada známých zranitelností, které nemají exploit, tedy nejsou zneužívané. Výrobce softwaru má dostatek času na výrobu aktualizace a uživatelé na instalování aktualizace. Jsou ale situace, kdy exploit vznikne ještě dříve, než je k dispozici aktualizace, pak se jedná o tzv. zero-day exploit, proti kterému není obrany. V takové situaci musí výrobce i správce velmi rychle reagovat, výrobce musí, co nejdříve vydat aktualizaci a správce ji nainstalovat anebo aplikovat dočasné opatření k minimalizaci rizika (např. zablokovat přístup ke službě z internetu).

Útok na uživatele versus útok na server

Pokud útočník směřuje útok na server a na služby, které na serveru jsou, hledá chyby, pomocí kterých získá určitou úroveň přístupu na daný server. Nemusí to být vždy hned administrátor, může se jednat o nějaký omezený systémový účet. Cílem útočníka je zvýšit si oprávnění tak, aby na serveru fungoval jako správce a měl přístup ke všemu.

V případě, kdy se útočník soustředí na uživatele a jeho počítač pomocí phishingového e-mailu, usiluje o to, aby získal identitu uživatele. Když útočník získá identitu uživatele, získá oprávnění, které má daný uživatel. Pokud má uživatel omezená oprávnění, útočník je stejně omezen. Samozřejmě se snaží najít na síti maximum cest, jak si oprávnění zvýšit. V tomto spočívá velká slabina celé řady organizací, které z nějakého důvodu požadují, aby jejich uživatelé měli administrátorská oprávnění. Pokud se takový uživatel stane cílem útoku, výrazně útočníkovi usnadní průnik do celé sítě. Proto je vhodné minimalizovat oprávnění uživatelů.

Od průniku po plnou kontrolu sítě

Když se útočník dostane dovnitř sítě, vidí tiskárny, kamery, zařízení, ostatní počítače a servery. Typicky zde najde nějakou chybu v nastavení, slabé heslo nebo bezpečností chybu softwaru a v principu se vrací na začátek a znovu rozbíhá proces průzkumu a útoky na prostředky, které vidí nově. Opět hledá servery, chyby v nastavení, slabá hesla apod. Tomuto procesu se říká „lateral movement“. Útočník se posouvá v infrastruktuře více do hloubky a získává vyšší oprávnění. Cílem je získat plnou kontrolu nad celou sítí a všemi zařízeními, které v ní jsou. Útočník potřebuje, aby si ho nikdo nevšiml a on mohl na síti nějakou dobu fungovat. Na zkopírování citlivých dat potřebuje dostatek času. Nemůže si je zkopírovat plnou rychlostí během pracovní doby, toho by si pravděpodobně někdo všimnul. Potřebuje si to rozplánovat a rozfázovat. Statistiky uvádějí, že doba do objevení útočníka v síti je 197–280 dní. Během celé doby má útočník trvalý přístup do sítě a může se vracet a prozkoumávat nové informace a těžit data.

V okamžiku, kdy útočník už vytěžil všechna data, stáhnul si všechna hesla, zkopíroval všechny e-maily apod., přichází poslední fáze, a to šifrování. Šifrování dat na síti má dva účely. Útočník si takto připraví podmínky pro vydírání a zároveň skryje stopy po své předchozí činnosti, které by někdo mohl analyzovat. Pak už následuje vydírání a komunikace s uživateli. V tu dobu už získal ze sítě všechno, co potřeboval, a většinou je to také okamžik, kdy se o úspěšném útoku dozvídají lidé z dané organizace.

 

Autoři | Ing. Oto Křivanec a Tomáš Matějíček

 

Ing. Oto Křivanec

absolvoval obor informatika na Fakultě informatiky a statistiky VŠE v Praze a v současnosti je studentem doktorského studia oboru účetnictví a finanční řízení na katedře finančního účetnictví a auditingu Fakulty financí a účetnictví VŠE v Praze. Pracuje zároveň jako daňový poradce ve společnosti Mepatek s.r.o.

 

Tomáš Matějíček

je partner ve společnosti Mepatek s.r.o. a certifikovaný etický hacker. Informačním technologiím se profesně věnuje více než 15 let. Kromě počítačové bezpečnosti se soustředí také na problematiku efektivity správy informačních technologií.

 

Zdroj :  Mepatek s.r.o.

22.4.2021

Reliant s.r.o.

U Habrovky 1562/11 A

140 00 Praha 4

IČ: 49702726

DIČ: CZ49702726

Kontaktujte nás

e-mail: info@reliant.eu

tel: +420 241 44 28 21

Sledujte nás

Spisová značka

C 22288 vedená u Městského soudu v Praze

Odkaz na PDF výpis z OR

Nastavení cookies