Hlavní navigace

Největší hrozby internetu? Trojské koně, phishing a sociální sítě

17. 2. 2010
Doba čtení: 9 minut

Sdílet

Včera se v Praze uskutečnila konference Trendy v internetové bezpečnosti. Její účastníci se ale dozvěděli více než jen to, jaký antivirus si mají nainstalovat. Probírala se totiž řada témat jako bezpečnost internetových plateb nebo praktické napadání městských karet, jako je i známá OpenCard.

Konference Trendy v internetové bezpečnosti se letos konala podruhé a sešla se na ní řada odborníků nejen na internet, ale také na bezdotykové karty, platební systémy a karty a další témata. Informace z předchozího ročníku naleznete v článku Jaké aktuální hrozby číhají na uživatele internetu? Další fotografie z letošní konference naleznete ve webové galerii.

Karel Obluk: Webové hrozby dneška a zítřka

Celou konferenci zahájil Karel Obluk ze společnosti AVG. Věnoval se především současným hrozbám a trendům loňského roku. Přednášející zmínil, že nejčastěji je pro útoky využíván web, který projde všemi firewally. Web je stále hlavním prostředkem většiny útoků.

TIB 2010

Nejúčinnější je stále sociální inženýrství a phishingové techniky. My odborníci jsme schopni většinu těchto útoků prohlédnout, ale běžný uživatel nemá šanci odolat. Podle Karla Obluka není možné velkou část útoků zjistit bez speciálních nástrojů.

Zajímavé také je, že většina útočných stránek existuje po velmi krátkou dobu, obvykle méně než jeden den. Více než 50 % útoků existuje jeden den, až 80 % zmizí do tří dnů. Důvodem je snaha zamezit detekci takového útoku. Útoky jsou velmi rychlé a mají krátké trvání, takže se stránky do blacklistů ani nedostanou, přestávají fungovat dřív než jsou detekovány.

Útočníkům jde samozřejmě především o peníze. Peníze jsou jako obvykle až na prvním místě, dalšími důvody jsou politické cíle a často opomíjená průmyslová špionáž. Karel Obluk zmínil nedávné útoky z Číny, kterým sice nikdo politické důvody neprokázal, ale podezření bylo mnohokrát vysloveno.

Pavol Lupták: Check your RFID card

Pavol Lupták je předním evropským odborníkem na útoky na bezkontaktní karty. Během své přednášky upozornil na řadu bezpečnostních rizik karet, které jsou dnes velmi rozšířené. Mifare Classic jsou nejpoužívanější čipy na světě. Na Slovensku je jich více než milion, celosvětově je jich více než miliarda. Prolomení této karty bylo předvedeno už v roce 2007. My jsme publikovali první nástroj určený k prolomení těchto karet. Pomocí tohoto open-source nástroje a čtečky za 30 euro může kdokoliv tuto kartu napadnout.

TIB 2010

Existuje také zajímavá možnost celou kartu se všemi možnostmi emulovat. Chystáme se napsat vlastní nástroj pro stoprocentní emulaci Mifare karet. Je k tomu potřeba opět jen čtečka karet. Společnost Nokia navíc začala vydávat některé mobilní telefony, které dokáží emulovat bezkontaktní karty. Pokud bychom prolomili pražskou OpenCard, mohli bychom si image nahrát do telefonu a tím se pak prokázat před revizorem.

Možností využití je pak celá řada. Je možné kartu samozřejmě zcela zničit, smazat z ní obsah nebo si vytvořit její duplikát. Pokud jsou údaje na kartě elektronicky podepsané, není možné informace pozměnit, ale ne všude je toto zabezpečení využito. Na Slovensku tohle vůbec nefunguje a můžete si tak například změnit na kartě své jméno.

Informace uložené na kartách je ale možno i při podepisování zneužít. Můžete se projít s anténou po tramvaji a přečtete si osobní údaje všech lidí. Stejně tak je možné provádět s identitou další kousky. Můžete například vyměnit identitu dvěma lidem. Pražská OpenCard je zatím bezpečná a prolomit ji není možné, podle Luptáka se ale situace může velmi rychle změnit.

Miroslav Richter: Současné možnosti NFC

Miroslav Richter ze společnosti T-Mobile hovořil o implementaci NFC v mobilních telefonech. Už Pavol Lupták zmínil přístroje, které jsou schopny se chovat jako bezkontaktní karta. To je možné využít především v dopravě, ale i v případě dalších mikroplateb. Můžete se tak například prokázat v bance, u dopravního podniku nebo kdekoliv jinde.

I při tomto využití telefonu je bezpečnost velmi důležitá, protože se velmi často jedná o peníze zákazníka. Nejkritičtější oblast je ta, ve které se pracuje s penězi. Pro zabezpečení komunikace se používá SIM karta, která může obsahovat několik různých aplikací různých firem. Tyto aplikace se nemohou nijak ovlivňovat a pokud ano, tak jen kontrolovaným způsobem.

TIB 2010

Mobilní telefon tak může v praxi fungovat jako jízdenka. Společnost T-Mobile už provozovala tuto službu v pilotním provozu. Zatím není možné to použít v praxi, ale šlo nám o to tuto technologii rozšířit a vyzkoušet. V Polsku už běží zkušební projekt se společností MasterCard, kde mohou uživatelé mobilního telefonu provádět pomocí mobilu běžné platby.

Zatím není NFC reálně nasazeno především proto, protože provozovatelů je velmi mnoho a všichni se musejí dohodnout na společném řešení. Jsou to především banky, mobilní operátoři, výrobci telefonů, dopravní podniky, výrobci SIM karet a další organizace. Až na konci tohoto dlouhého řetězce je obchodník a zákazník a celý tento systém musí být nastaven tak, aby z něj všichni měli nějaké výhody. Chybí tedy vlastně nakonec jen životaschopný obchodní model, který podle Richtera zatím neexistuje.

David Pikálek: Hrozby a trendy Internetbankingu

David Pikálek ve stručnosti zopakoval informace z loňské přednášky a rychle přešel k aktuálním problémům. V roce 2008 jsme čelili velkému a dobře připravenému phishingovému útoku. Jeho dopady byly velké, ale škody naštěstí poměrně malé. Novou aktuální hrozbou jsou trojské koně. Každý měsíc přibývá nových variant trojských koňů a bude jich čím dále více. Trojské koně se dnes kupují na trhu malware jako běžné zboží.

TIB 2010

Podle Pikálka je největším problémem trojských koní to, že proti němu neexistuje účinná ochrana. V roce 2009 byla úspěšnost detekce trojských koní pouze 19 %. Potíž je v tom, že se trojské koně stále a velmi rychle mění. Jakmile je schopen antivir takový kód odhalit, ten už dávno svou úlohu splnil. Obvykle už posbíral data a zavřel svou podvodnou stránku.

Podle nás je nejlepším bezpečnostním řešením dvoufaktorová autorizace. Podle Pikálka je v současnosti nejlepším prvkem čip, jehož zapojení do autorizačního procesu zajišťuje uživatel. David Pikálek zmínil také to, jak chce Česká spořitelna nadále vylepšovat svou bezpečnost. Stále plánujeme, že připravíme autorizaci pomocí aplikací na platební kartě.

Podle Pikálka je stále největším problémem koncový bod a jeho uživatel. Samotný uživatel si svou stanici ochránit neumí. Nástrojů je k dispozici celá řada, ale uživatel si s nimi neví rady. Typická infekce trojským koněm proběhne tak, že uživatel dostane řadu varování o akcích v systému. Když neznalý uživatel tato nesrozumitelná varování odsouhlasí, jeho počítač je definitivně pod nadvládou trojského koně.

Daniel Dočekal: Rizika sociálních sítí a Webu 3.0 v praxi

Daniel Dočekal na své přednášce hovořil o velmi aktuálním tématu – bezpečnostních rizicích sociálních sítí. Jedním z problémů sociálních sítí je spam. Spam je na všech sociálních sítích. I firmy si uvědomují, že pro ně mohou být sociální sítě obecně problém, především z hlediska šíření citlivých firemních informací. Asi 72 % firem si myslí, že jsou pro firmy nebezpečné. V 60% případů firmy jako největší riziko uvedly Facebook.

Na sociálních sítích se dnes pohybuje obrovské množství uživatelů. Je tedy často využíván jako prostředník. Facebook je nejčastěji využívaný phishingový cíl . Velkým problémem jsou podle Dočekala také cloudy, které se rychle rozšiřují. Je to síť, která o vás ví vše – osobní soubory, maily, data – lidé jsou velmi rychle ochotní vyměnit své soukromí za pohodlí. Jednou z takových sítí je i Google, ačkoliv si to podle Dočekala lidé neuvědomují.

TIB 2010

Podle Daniela Dočekala se navíc situace stále zhoršuje. Za pár let nebude už nikomu vadit ztráta soukromí, vymění ho za naprosté pohodlí. Dočekal zmínil, že jsou vlastně uživatelé na Facebooku mylně uklidňováni vyšší bezpečnosti, ale výsledek je opačný. Zlepšení bezpečnosti znamenalo ve skutečnosti snížení bezpečnosti a otevření účtů. Zmínil například takzvanou bezpečnostní otázku, která je uživateli kladena, pokud zapomene heslo. Odpovědi lze jednoduše zjistit na Facebooku nebo na Googlu.

Panelová diskuse: Bezpečnost, nebo efektivita?

Panelová diskuse měla přinést odpovědi na palčivý problém všech bank – nutit uživatele k maximální bezpečnosti nebo jim dopřát jistou volnost a komfort? Na dotaz na nejbezpečnější metodu platby na internetu odpovídal Petr Sládek z UnicreditGroup. Nejlepší je vždycky používat hlavu. Z dostupných technologií je nejbezpečnější 3D SECURE. Tato technologie umožňuje zaplatit, aniž by se údaje o plátci dostaly k obchodníkovi. Bohužel žádná česká banka zatím neposkytuje platební karty, které jsou do tohoto systému zapojené. Důvody jsou různé, jedním z nich je i to, že podvody tohoto typu zatím nejsou tak časté, aby odůvodnila investice do nového zabezpečení, řekl Karel Kadlčák ze Sdružení pro bankovní karty.

TIB 2010

Největším problémem je článek mezi klávesnicí a židlí. A vždycky to tak bude, dodal Vladimír Brož z McAfee. Uživatelé mají podle něj stále snahu si svou práci ulehčit a podléhají různým externím vlivům. Pokud už obchoduji na internetu, měl bych používat selský mozek a co nejlépe se zabezpečit, řekl Brož. Jedním z řešení je virtuální karta se zamykáním plateb, kterou ale řada českých bank nevydává.

My virtuální karty nevydáváme, protože si myslíme, že virtuální karty nemají smysl. Jejich bezpečnost je stejná, jako v případě klasických karet, řekl Petr Sládek z UnicreditGroup. My také virtuální karty nevydáváme, ze stejných důvodů, přitakal Richard Matula z Poštovní spořitelny. Obě instituce se podle jejich zástupců zaměří spíše na nasazení 3D SECURE, který zabrání úniku dat úplně.

Patrick Zandl: Jak se bránit novým metodám okrádání na Internetu

Patrick Zandl zahájil svou přednášku jednoduchým zhodnocením aktuální bezpečnostní situací na internetu. Velcí zloději, kteří ukradli miliony a pak se za nimi zavřely dveře věznice, už jsou pryč. Většina dnešních útočníků jde po mnoha malých ziscích. Už nejde o velkou ránu, ale o pohodlný a málo nápadný příjem. Z tohoto důvodu už nejde o velké banky, ale o běžného koncového uživatele.

Změnily se také cíle útočníků. Už nejde o velké ideologie jako za starých časů, ale o peníze. Útočí se tedy především na bankovní účty nebo na platební karty. Naší největší výhodou je jazyková bariéra. Přesto není Česká republika ani čeští uživatelé v bezpečí.

TIB 2010

Problémem dnešních systémů je, že bankovní systémy jsou velmi komplexní a je komplikované je spravovat a testovat. Každý ze systémů je jiný, takže je velmi složité sladit bezpečnou komunikaci end2end. Pro některé banky je také bohužel přednější uptime před bezpečností. Zandl také hovořil o sociálním inženýrství a jejím snadném využití. Bohužel za transakcemi jsou stále lidé, kdyby to byly stroje, tento problém bychom neměli.

Velmi častým zdrojem problémů jsou také sociální sítě. Váš kamarád vám pošle odkaz na skvělé video. On o tom samozřejmě neví, to se jen červ šíří sociální sítí. Protože odkazy přicházejí od konkrétních lidí, uživatelé mají tendenci jim naprosto věřit a nejsou obezřetní. Stejně tak se na Facebooku objevují různé nebezpečné aplikace. Aplikace na první pohled nefunguje a vy na ni zapomenete. Ona ale funguje a stahuje různé informace jako e-maily, kontakty na vaše kamarády a podobně. Později dostanete mail od kamaráda, který vypadá naprosto důvěryhodně a navede vás na akci, která v důsledku napadne váš počítač.

root_podpora

Velmi rozšířenou strategii je takzvaný scareware, který vyleká uživatele. Obvykle vystupuje jako antivir či jiný scanner a uživateli nakonec zahesluje počítač a po platbě určité částky nabídne odheslování. Jedná se o profesionálně propracované vydírání, které má dnes dokonce velmi pohodlné placení. Další druhy aktuálních útoků se týkají podvody s prémiovými telefonními čísly, přeprodej zahraničního VoIP provozu a podvody s kreditem na chatech. To vše se objevuje v různých vlnách v souvislosti s různými událostmi, jako je například zemětřesení na Haiti.

Foto Tomáš Tesař.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.