Jak češi kradou data

Yahooo! přiznalo ukradení citlivých dat více než půl miliardy svých uživatelů. Linked-In přišel o data 167 milionů lidí. Tyto titulky dnes již patří ke standardu pravidelného čtenáře denního tisku. Člověk trochu zbystří, když se data kradou v Česku. Heslo k bankovnictví si kvůli těmto zprávám ale nezměníte. A je namístě se bát? A čeho?

Data i jako prostředek k vydírání

O „českou stopu“ ve světě virtuálního zločinu se loni v létě postaral zaměstnanec české divize operátora T-Mobile, který svému zaměstnavateli ukradl informace o zhruba půldruhém milionu zákazníků a část dat prodal výzkumné agentuře STEM/MARK za údajných 100 tisíc korun. Za tuhle patálii dostal T-Mobile od Úřadu pro ochranu osobních údajů (ÚOOÚ) pokutu 3,6 milionu korun. Data, která operátor ztratil, obsahovala jméno, příjmení, datum narození, adresu, telefonní číslo, kód zákazníka, tarif, název, kategorie a značku zařízení, údaj o průměrné útratě, platební metodě, popřípadě číslu účtu a kód banky. Do chvíle, než o úniku začala psát média, operátor tvrdil, že únikem dat zákazníkům nevznikla žádná škoda, a nehrozí jim tedy ani žádná újma. Přesto mezitím incident nahlásil policii. Ačkoliv takové chování není úplně fér vůči zákazníkům, jde o běžný model v podobných situacích. Firma, tedy správce dat, která se stane cílem hackerského útoku nebo jiným způsobem ztratí data, v drtivé většině případů o takové události neinformuje. Pokud jde útočníkovi o peníze, většinou se s firmou v tichosti dohodne na odměně. V případě, že se jedná o masivní únik nebo jde útočníkovi o ideologii, tedy o upozornění na nedostatečnou ochranu dat, má firma na výběr buď s útočníkem vyjednávat, nebo se obrátit na policii. Vyjednávat s anonymním zlodějem je však přirozeně velmi riskantní byznys. Data o lidech se dnes stala jedním z nejvíce ceněných artiklů a dají se v dnešní době skvěle využít – komerčně, výzkumně nebo jako prostředek k vydírání.

V případě zmíněného úniku od mobilního operátora byla zákazníkem zloděje agentura STEM/MARK, jejíž hlavní byznys spočívá v marketingových výzkumech a analýze dat. Tedy ideální zákazník, jenž podobná data o lidech získává různými legálními způsoby, které jsou ovšem o řády méně efektivní, než když je nakoupí jako balík. Agentury je zpravidla „těží“ pomocí call center, kde operátoři volají na náhodně generovaná čísla. Všichni tyto nevyžádané telefonáty známe, proto není složité si představit, kolik z nich neskončí urychleným ukončením hovoru. V případě kradených dat přímo od jejich správce získá výzkumná agentura od zloděje uspořádanou databázi, včetně privátních údajů o zákaznících. Z pohledu zákazníka v tomto konkrétním případě hrozí maximálně zvýšený počet hovorů z neznámých čísel nebo více komerčních nabídek upravených na míru. Třeba podle toho, kolik utrácí, zda víc telefonuje nebo jak využívá data.

Produkt
Cena
Množství
Malá práce – např. e‑mail, Facebook a jiný drobný hack
200 EUR = 0.359 B
1+KOUPIT
Středně velká práce – špionáž, hacking webů, znepříjemňování života lidem atd
500 EUR = 0.898 B
1+KOUPIT
Velká práce – informace o bankovních účtech, vydírání, hack telefonů atd
1000 EUR = 1.796 B
1+KOUPIT
Speciální práce – hacking extrémně zabezpečených systémů a systémů na míru, zvláštní práce atd
2500 EUR = 4.490 B
1+KOUPIT
TOR
Na darknetu si lze objednat hackerský útok jako na běžném e‑shopu.

Nezvaný host ve vaší ledničce

Tato rizika hrozí uživatelům počítačů a mobilních zařízení dnes zjednodušeně řečeno proto, že jsou napojeny na internet. Letmým pohledem do vánočních newsletterů obchodů s elektronikou se všichni mohou přesvědčit, že k internetu je dnes připojeno mnohem více spotřebičů. Od chytrých televizí, ledniček přes osobní asistenty, termostaty, osvětlení až po bezpečnostní kamerový systém bytu nebo domu. Pro tento masivní exodus spotřební elektroniky na internet se vžil termín internet věcí. Uživatelům přirozeně přináší řadu výhod a zpříjemňuje jim život. Lednice sleduje spotřební dobu potravin, nebo dokonce objedná další, když dochází. Termostat již ovládáme odkudkoliv, stejně jako osvětlení bytu, a pomocí bezpečnostního kamerového systému se do vlastního domova můžeme kdykoliv podívat přes aplikaci, abychom zjistili, jestli je vše v pořádku. Tuto možnost má ovšem mnohdy i útočník, v jehož hledáčku se uživatel výše popsané chytré domácnosti ocitne. Zabezpečení zařízení, jako jsou chytré televize nebo chytré ledničky, se obecně nevěnovalo tolik pozornosti, jako je tomu například u routerů nebo modemů, u nichž patří bezpečnost k jednomu z hlavních atributů. Pokud se útočníkovi podaří získat vládu například nad televizí s připojenou herní konzolí, nehrozí nevinné „přepínání programů“. Protože je však dnešní spotřební elektronika napěchovaná senzory a čidly, může útočník teoreticky vidět, slyšet a nahrát si vše, co se v domácnosti děje.

<img src=
“hacker_utok.svg“

alt=Hackerský útok probíhá přes několik rozvojových zemí. Celá akce trvá jen pár minut“>

Budeme reagovat v místě a čase, které si zvolíme

Mnohem nebezpečnějším typem zcizení dat z pohledu národní bezpečnosti je hacking organizovaný vládami národních států. Motivem takových útoků je často ekonomická špionáž, kdy zejména čínské útoky míří na komerční firmy, kterým se snaží zcizit technologii, know-how, patenty nebo se z jejich databází pokouší ukrást data o jejich klientech. Hacking a kradení osobních dat jsou dnes stále častěji využívány jako mocná zbraň pro ovlivňování politiky a destabilizaci celých regionů. Krásně se to ukázalo v průběhu nedávných prezidentských voleb v USA. Podle zprávy CIA, kterou loni v prosinci v rozsáhlém textu popsal list Washington Post, jsou americké tajné služby přesvědčené o tom, že Rusko ovlivnilo průběh amerických voleb. Hackerský útok na servery Demokratické strany a volebního týmu Hillary Clintonové byl podle tajných služeb USA vedený dvěma hackerskými skupinami, které již v minulosti podnikly útoky na infrastrukturu Bílého domu a bezpečnostním firmám v oboru jsou důvěrně známé. Hackeři získali plnou kontrolu nad komunikací volebního týmu, jeho e‑maily, chaty a pomocí serveru WikiLeaks vybrané kusy komunikace v průběhu voleb zveřejnili. Důkazy o napojení konkrétních zástupců ruské vlády nebo tajných služeb na hackerské skupiny přirozeně nejsou k dispozici. Jestli se Rusku opravdu podařilo rozhodnout extrémně vyrovnané prezidentské volby v USA, se již nikdo nedozví. O závažnosti tohoto kybernetického útoku svědčí vyjádření prezidenta Baracka Obamy: „Myslím, že není pochyb o tom, že pokud se cizí vláda pokusí ovlivnit integritu našich voleb… Je třeba na to reagovat. A my reagovat budeme – v místě a čase, které si sami zvolíme,“ citoval na konci roku amerického prezidenta Baracka Obamu britský deník Guardian.

Průšvihu Demokratické strany napomohla, jako v případě většiny hackerských útoků, lidská chyba. Nastrčený e‑mail s infikovaným odkazem, na který adresát klikl a vpustil tak do systému útočníky. Podobným způsobem denně podléhají kybernetickým zlodějům tisíce lidí. Uživatelská rizika kliknutí na infikovaný odkaz mohou být zanedbatelná, nebo srovnatelná s vyloupením bytu. Pokud se útočníkovi podaří podstrčit uživateli napodobeninu webové stránky jeho banky a on do ní zadá své přihlašovací údaje, může přijít o peníze. Vzhledem k tomu, že většina bank již využívá dvoufázovou autentifikaci, tedy pro vstup do internetového bankovnictví žádá jak heslo na webu, tak kód ze zprávy na mobilní telefon majitele účtu, není „vyluxování účtu“ dnes již příliš běžné. Mnohem častěji klik na špatný odkaz vede k tomu, že uživatel sice neztrácí peníze ani svoji soukromou korespondenci, jeho počítač se ale stane ovladatelný pro útočníka. Stane se součástí takzvaného botnetu, tedy sítě počítačů nakažených stejným malwarem. Tuto síť, která v některých případech čítá statisíce počítačů, pak může útočník na dálku ovládat a podnikat s ní například masivní DDOS útoky. V praxi to vypadá tak, že všechny počítače botnetu najednou začnou vysílat požadavky na cíl útoku. Server, který nápor milionů dotazů nezvládne, zkolabuje. DDOS útoky jsou v současnosti nejčastější metodou hacktivistů – hackerů, kteří namísto vlastního obohacení usilují o připoutání pozornosti k danému tématu. Mezi nejznámější hacktivistická uskupení, kterým se dostalo globální pozornosti, patří například Anonymous nebo LulzSec. Tyto hackerské kolektivy získaly prostor na titulních stranách světového tisku díky útokům na společnosti PayPal, VISA, Sony, servery CIA nebo Bílého domu. Během vyšetřování těchto útoků vyšlo najevo, že například uskupení LulzSec tvořila parta většinou britských teenagerů.

<img src=
“hacker_stopovani.svg“

alt=Než česká policie přijde na to, kudy byl útok veden, zabere jí to nejméně rok. Poskytovatelé internetového hostingu v ČR přitom ze zákona skladují informace o provozu na síti jen 6 měsíců. K místu, odkud hacker útočil, se tak policisté stejně nedostanou.“>

Nová pravidla z Evropy

Hackerské útoky, ačkoliv se dle platné legislativy jedná o ilegální činnost, jsou mnohdy motivovány dobrým úmyslem. Útočníci často proniknou do systémů velkých firem, které spravují data milionů svých zákazníků, aby je upozornili na nedostatečné zabezpečení těchto dat. Firmu několikrát upozorní, že data jejich zákazníků nejsou nijak nebo jsou jen velmi špatně zabezpečena, a pohrozí, že pokud firma situaci nenapraví, zveřejní tato data a firmu zkompromitují. Několik zveřejněných průniků do systémů velkých správců dat (například Sony v roce 2014) potvrdilo, že společnost hesla svých zákazníků k jejich účtům uchovávala bez dostatečného šifrování, v podobě prostého textu.

S trochou nadsázky se dá říct, že Evropská unie se v současnosti pomocí nového nařízení snaží o stejnou věc. Tedy donutit firmy, které spravují osobní data zákazníků, aby tato data efektivně chránily před zneužitím. Podle nového nařízení by od roku 2018 měla firmám hrozit pokuta až do výše 20 milionů eur, pokud nevyhoví novým požadavkům Evropské unie na ochranu dat. Nová pravidla se budou týkat nejen velkých webů, sociálních sítí nebo bank, ale všech provozovatelů, kteří ke svému podnikání využívají takzvané cookies. Cookies shromažďují informace o aktivitě uživatele na internetu, jaké stránky navštěvuje, jaké informace hledá, na jakém stroji a s pomocí jakého softwaru. Nová regulace učiní z těchto cookies osobní data a jejich správci budou nuceni vyžadovat od uživatelů jejich souhlas. Budou moci data shromažďovat, ovšem budou též muset deklarovat důvod jejich uchovávání, a pokud tento důvod pomine, budou nuceni tato data smazat. Kontrolní funkci má v Česku zajišťovat Úřad pro ochranu osobních údajů.

T-Mobile přišel o tato data svých 1,5 milionu uživatelů:
jméno, příjmení
datum narození
adresa
průměrná útrata
platební metoda, popřípadě číslo účtu
Údaje zákazníků, které ze společnosti unikly.
Děkujeme za sdílení
Google+
Tumblr
Pinterest
Reddit
Hacker News
Předchozí kapitola
Můj digitální svět

Můj digitální svět

aplikace soukromí vystřízlivění sociální sítě 15 min. čtení
Následující kapitola

Při hackování nám nechybí hravost

JZD Slušovice rozvědka hranice ČSR 15 min. čtení