Myslíte si, že jste na online seznamce v bezpečí? Najít vaši polohu je snazší, než byste čekali! Stačí prosté – tři konverzace
Cyber threat researcher (výzkumník kybernetických hrozeb) pro firmu Trend Micro a nezávislý výzkumník vystupující v online prostoru jako 4n6strider, Jindřich Karásek, nám poodhalil možnosti kybernetických útoků. Umíte se před nimi dostatečně chránit?
Ve filmech jsou hackeři schopni dostat se i do chytrých spotřebičů. Je to možné? Je reálné nabourat se do chytrého kávovaru nebo lednice?
Ano, je to reálné, a dokonce tento typ útoku v současné době dělají i roboti na internetu. Jejích cílem bývá získat co nejvíc zařízení do takzvaného botnetu, který může následně buďto těžit kryptoměnu anebo jej pronajímají na DDOS útoky.
To zní složitě… Do vysvětlování se asi nepouštějme, spíš si pojďme říct, čím to je?
Chytrá zařízení mívají většinou slabé zabezpečení – zejména pokud jde o stroje s administrativním rozhraním přístupným přes internet. Sem patří například chytré kamery. Mohou být i odolné vůči útoku zvenčí, ale pokud na ně zaútočíte z domácí sítě, tak mají naprosto fatální zranitelnosti.
Jde o důsledek faktu, že jsou tato zařízení vyráběna často jako „plug & play“, aby bylo jejich nastavení co nejvíce uživatelsky příjemné. Kvůli tomu mají zastaralý firmware a operační systémy postrádají patche na poslední zranitelnosti. Výrobce navíc pak už vyrábí další model a nestará se o osud těch předchozích.
Znamená to, že to, že jsou naše zařízení jednoduchá na obsluhu, je zároveň jejich Achillovou patou? Jak se jako uživatel internetu mohu co nejefektivněji chránit?
Je důležité vždycky vše, co děláme na internetu, vnímat v kontextu. Málo kdo vám chce nabídnout zdarma to, co jste zrovna náhodou googlili. Spíš se bude jednat o hackera, který pomocí (pomocí techniky Black Hat SEO) dosáhl toho, že se vám zobrazí jeho škodlivý obsah/link.
Vnímejte kriticky informace: Důvěřujte spíš prověřeným zdrojům a médiím. I pokud ve vás příspěvek vyvolává pozitivní emoce a utvrzuje vás ve vašem postoji, buďte opatrní. Možná s vámi někdo právě manipuluje.
Pokud vám někdo pošle jakýkoli obsah, vždy si ověřte, zda jej opravdu poslal – zeptejte třeba se po smsce nebo mailu. Hackeři často napadnou účet někoho blízkého, než se zaměří na vás.
Motivace hackerů je různá. Nejde vždycky jenom o peníze na účtu. Mohou chtít přístup do vaší práce, vaše citlivá data, nějaké tajemství či rovnou vaši kompletní digitální identitu. I obyčejný profil na sociálních sítích s dlouhou historií fungování má pro hackery cenu zlata.
Lze si nějak snadno ověřit, zda jsme byli napadeni?
Pokud si nejste jisti, můžete otestovat svůj email například tady. Zadávejte tam ale samozřejmě pouze mail, nikoli heslo!
Všichni víme, že nemáme nikomu říkat své heslo, často jsme varování před phishingem, a dokonce i online seznamky připomínají, abychom si napřed ověřili totožnost uživatele, se kterým se seznámíme na webu, než se s ním sejdeme osobně. Na jaká nebezpečí ale lidé v souvislosti s internetem často zapomínají?
Například když si píšete na seznamovací aplikaci, málo kdo si uvědomuje, že pokud probíhá komunikace se třemi lidmi, kteří se teoreticky znají, mohou velmi jednoduše zjistit vaši polohu.
Zdroj: Giphy
Chápu, triangulace… A je pravda, že mě to nenapadlo.
Co se cizích lidí na seznamkách týká, nestahujte si ani aplikace, které neznáte, pokud vás o to někdo požádá, abyste si mohli psát tam.
Doporučuji také, pokud si fotíte svůj dopravní prostředek, abyste na fotce zamazávali SPZ.
Opravdu je to jako v kriminálkách, kde se talentovaný člověk dokáže dostat do jakékoli databáze, kamery na ulici anebo třeba odposlouchávat skrze telefon v kapse cizí život?
Tohle není tak běžné a nedokáže to úplně každý, ale na příkladu NSO group a jejích nástroje „Pegasus“ můžeme vidět, že to možné je. K tomu je ale často zapotřebí o tom mobilu vědět více než sám výrobce – tedy nějakou „zero day vulnerability“ (tedy veřejně neznámou zranitelnost – pozn. red.). Ti velice talentovaní se na hledání podobných chyb přímo specializují, protože je to finančně i intelektuálně zajímavé. Objev jako takový mohou buď sami využít, prodat jej na černém trhu anebo využít například portál, kde lze chybu nahlásit výrobci – i za to hacker dostane pěkné peníze. Vlastně jde o zajištění, že šikovní lidé mohou i v těchto ohledech konat užitečné věci na straně dobra, nikoli využívat svých znalostí ke keberzločinům.
Lze úplně přikrýt například proniknutí do bankovnictví, firemního systému, databází citlivých dat a tak dále?
Přikrýt není správné slovo. Pokud uděláte chyby, nezachrání vás ani svěcená voda. Nicméně lze udělat útok tak, že jej nelze legálně vyšetřit a technicky je to náročné, takže pak je velká šance, že vyšetřovateli nezbyde, než případ „odložit“.
Je proti opravdu dobrému online zločinu policie praktiky bezzubá?
Policie rozumí hackerům a má velice šikovné lidi. Jenže ti nemohou být všude. Pro policii je důležitá spíš podstata a následky trestného činu než to, zda byl proveden kybernetickými prostředky. Problém je, že policie má jasně dané hranice jurisdikce, kdežto hackeři se dokáží schovávat a předstírat útoky téměř odkudkoli na planetě. Vyšetřování je mimo vlastní jurisdikci je tak velice komplikované. Pokud se ale k policii dostane hacknuté zařízení nebo konkrétní podezření, postupují velice efektivně a dokáží spolupracovat i s mezinárodními institucemi.
Co je ale potřeba pochopit, je, že jestliže někdo naletí na phising a vykradou mu účet, může to mít jinou prioritu, než prokázaný organizovaný obchod přes „darknet“.
