Slovo hacker má obecně spíš negativní nádech. Většina lidí si při jeho vyslovení vybaví kybernetický zločin, ukradené údaje o bankovních kartách nebo zcizená data z firemních počítačových sítí. Méně už se ví, že existují také takzvaní etičtí hackeři. Jedním z nich je i majitel brněnské firmy Patron-IT Martin Haller. Hackingu se věnuje od mládí, rozhodl se ale pro cestu, na které nemusí porušovat zákon.

Etičtí hackeři jsou lidé, kteří umějí totéž co zločinci. Jen místo toho, aby svými znalostmi škodili lidem nebo firmám, pracují v jejich prospěch a jsou za to zaplacení. Jde jim o to, odhalit chyby v systémech dřív, než si jich všimnou a zneužijí je zločinci. Upozorňují na ně potenciální oběti, aby si mohly systémy dát do pořádku dřív, než dojde k nějakému problému.

Nevím, nikdy jsem to nepočítal a nezjišťoval. Ale rozhodně je etických hackerů nedostatek a poptávka po jejich službách je větší než nabídka.

Už od puberty mě bavilo hrát si s počítači, věděl jsem, že se tomu chci věnovat. Líbilo se mi taky, jak hacking vypadal ve filmech, říkal jsem si, že bych to jednou chtěl dělat taky.

Ano. Jednak mě nelákalo páchat trestnou činnost, jednak mám rád svobodu a nechci se neustále bát a ohlížet přes rameno, jestli po mně nejdou.

Je to hrozně široká oblast. V novinách se nejvíc píše o útocích typu ransomwaru (škodlivý kód, který zamyká přístup k počítačům nebo šifruje jejich obsah, pozn. red.), kdy se zastaví nemocnice, úřad nebo firma, kterým hackeři zašifrují data, to je ale jen jedna část.

U firem pozorujeme třeba podvody, které se souhrnně označují jako „business email compromise“, tedy podvody prostřednictvím zneužití firemních e-mailů. Ty probíhají tak, že útočníci ovládnou jen část komunikace v rámci firmy, většinou mezi dodavatelem a odběratelem, tu sledují a v určité chvíli se do ní vloží a upraví e-maily. Cílem je získat peníze.

Dělá se to tak, že hackeři upraví e-maily například tak, že když dodavatel posílá odběrateli fakturu, hackeři ji pozmění a odběrateli přijde dokument s falešným číslem účtu. Odběratel pak pošle peníze hackerům. O tomto se moc nepíše, ale u některých firem to vidíme a často jde o částky v řádu stovek tisíc nebo milionů.

V tomto případě jde nejčastěji o podvody s platebními kartami, tedy klasický phishing, nebo podvody na různých bazarech a inzertních portálech.

Když půjdete na Bazoš, Aukro nebo jiný podobný inzertní portál a něco tam vystavíte, velmi brzo se vám někdo ozve, že má velký zájem. Ptá se, jestli je zboží ještě dostupné, tvrdí, že ho hned bere, že uhradí poštovné a už objednal i přepravu. Pak vám pošle odkaz na webové stránky, které od vás chtějí zadání údajů o platební kartě. No a když to uděláte, ukradnou vám peníze z účtu.

Ano, existují hackeři, kteří prodávají kradené identity lidí, tedy hlavně přihlašovací údaje k účtům na sociálních sítích. Pak se prodávají i další osobní údaje, třeba ve Spojených státech se stává, že si pak na tyto údaje podvodníci berou půjčky a úvěry. Obchoduje se také s napadenými domácími počítači, které se pak používají k dalším útokům, když chce hacker skrýt svou identitu. No a potom existují podvody… Nevím, jestli jde ještě o hacking, spíš bych to nazval sociální inženýrství.

Typicky to probíhá tak, že vám zavolá neznámý člověk, který se vydává třeba za technickou podporu Microsoftu. Snaží se vás přesvědčit, že máte v počítači virus a že vám musí pomoci. Pokud mu dáte přístup k počítači, buď vám rovnou ukradne peníze, nebo vás nasměruje do internetového bankovnictví a ukradne vám je tam. Četl jsem taky o případech, kdy zavolali podvodníci, kteří lidem namluvili, že mají kompromitovaný bankovní účet. Pak jim tvrdili, že je potřeba, aby si peníze vybrali z bankomatu a vložili je na jiný účet. V Americe dokonce podvodníci okradeným zavolají i Uber, aby si k tomu bankomatu mohli dojet. Samostatná kapitola jsou podvody s kryptoměnami.

foto Tomáš Novák, týdeník Hrot

Každá tato trestná činnost je úplně jiný byznys. A ani oni mezi sebou se většinou „nekamarádí“ a neznají. Na tyto různé typy kybernetických útoků potřebujete jiné znalosti a schopnosti.

Pracujeme jen s firmami. Jsou zajímavější, technicky sofistikovanější, je tam větší tlak na rychlé vyřešení. Je to tedy i manažersky zajímavé. Navíc v těchto případech s problémem můžeme něco dělat, dokážeme ovlivnit, jak rychle dáme dohromady firmu, která třeba přišla o data. Drobné podvody z našeho pohledu nejsou tak zajímavé, ale hlavně s jejich řešením ani nemůžeme pomoci. Lidé přišli o peníze a je na policii a bance, aby vypátraly viníka, respektive stoply převod peněz. My v tomto ohledu nemáme žádné pravomoci.

I u firem je naprostá většina o náhodě. Existuje více způsobů, jak se do firmy dostat. Jedna možnost je udělat to přes e-mail, vlastně stejně jako v případě útoků na běžné lidi. Další varianta je, že útočníci nějak získají přístupové údaje do firemní sítě přes některého ze zaměstnanců. Najdou je třeba u něj na soukromém počítači nebo jim je zaměstnanec prozradí prostřednictvím phishingu. Jiný způsob je útok přes zranitelnost systému firmy. Například když se v nějakém softwaru objeví nová zranitelnost, útočníci napadnou firmy, které tento software používají.

Ano. Když se pak dostanou dovnitř do sítě, zjistí si, koho chytili, a rozhodnou se, jestli budou pokračovat, nebo oběť „pustí“. Ale existují samozřejmě i výjimky. Existovaly i velké hackerské skupiny, které šly cíleně po velkých firmách, od nichž chtěly miliony dolarů. Většina z nich ale byla nucena ukončit činnost, protože dělaly příliš velké vlny. Byl velký politický tlak to vyřešit.

Typický příklad byl loňský útok na americkou společnost Colonial Pipeline, což je největší provozovatel potrubní sítě na přepravu ropných produktů ve Spojených státech. Ve stručnosti řečeno, kybernetický útok vedl k výpadkům činnosti firmy, což vyústilo v nedostatek pohonných hmot v části Spojených států a velkou nespokojenost veřejnosti. Tím se vytvořil tlak, aby se to začalo řešit na nejvyšších místech, apeloval na to i prezident Joe Biden.

Jsou i úspěšné případy, v Evropě se hackeři zatýkali třeba na Ukrajině, ve Francii, v Bulharsku, Estonsku. Druhá věc ale je, že i když je viník známý, může trvat dlouho, i několik let, než se shromáždí potřebné důkazy a policie pachatele zatkne a soud odsoudí.

Setkáváme se s oběma variantami, ale řekl bych, že se postoj firem k bezpečnosti zlepšuje. S rostoucím počtem útoků firem, které to chtějí řešit preventivně, postupně přibývá. Dříve byla tendence to podceňovat. Ale pořád platí, že významná část našich klientů jsou společnosti, které už jsou bez dat a musejí to akutně řešit.

Snažíme se pracovat co nejefektivněji – za co nejméně času co nejvíce muziky. Díky tomu, že se dostáváme i k dokonaným útokům, víme, jak tyto akce probíhají, co se při nich děje a jaké jsou aktuální trendy. Když přijdeme do firmy, díváme se pak především na to, jak by dopadl její systém při útoku provedeném podle tohoto vzorce.

Ne. Místo toho, abychom kontrolovali úplně všechno, díváme se na ty části, které se zneužívají. Protože hypoteticky je to ohrožení velice široké. V ideálním světě bychom se snažili vyřešit všechno, ale to by bylo časově extrémně náročné, takže řešíme ta kritická místa. Nejvíc dbáme na to, aby firmy nepřišly o data, respektive o zálohy dat. To se dá zajistit poměrně jednoduše, a pokud toto ošetříte, nikdy nemusíte vyjednávat s útočníky. A když je to vyřešeno, může se vylepšovat další zabezpečení. Ale žádná firma nikdy nebude stejně zabezpečená.

Opatření se volí podle toho, jaká hrozí škoda. Jedna věc je, když přijde firma a řekne, že by v případě odstávky kvůli kybernetickému útoku přišla o miliony denně. Pak dává smysl investovat mi­liony do ochrany. Něco jiného je firma, která řekne, že když se IT systém zastaví na týden, škody budou minimální – pak budou i investice nižší.

Například případy pozměněných faktur s námi firmy moc řešit nechtějí. Tam si stačí dobře nastavit proces, jak postupovat třeba při změně čísla účtu pro platby, proces schválení a ověření. Jiná věc je ransomware.

Cílem útočníků je zašifrovat data a pak dostat peníze za jejich dešifrování. K tomu je potřeba kompromitovat síť a získat v ní nejvyšší oprávnění. Takže to, že nějaký zaměstnanec kliknul na odkaz v e-mailu, je jenom část příběhu. Protože zaměstnanec si může klikat, jak chce, ale stejně nikdy nezastaví celou firmu.

Uživatel nemá oprávnění k mazání dat, nemá se jak dostat k zálohám, to může jen administrátor. Takže útočníci začnou u jednoho zaměstnance, ale pak postupují dál, aby se dostali do celé sítě.

Mají podobný modus operandi, a existují dokonce manuály, jak se to dělá. Hackerské skupiny potřebují nové lidi, které musejí zaškolovat. Tito „brigádníci“ ale nejsou žádní raketoví vědci, aby vymýšleli vlastní unikátní postupy. Je to jako fastfood, sekají to jako hamburgery a postupy jsou jednoduché a velmi podobné. Čili když přijdeme za zákazníkem, kontrolujeme citlivá místa právě na základě těchto manuálů, postupů. Vyřeší to drtivou většinu hrozeb.

O to až takový zájem není. V případě cíleného útoku už nejde o „brigádníky“, kteří budou postupovat podle manuálu, ale o experty, kteří na tom mohou trávit třeba i několik měsíců a útok bude daleko sofistikovanější.

Obrana je pak taky daleko dražší a u běžných firem nedává smysl. Jejich data nikoho nezajímají. Z jejich e-mailů se můžete s nadsázkou dozvědět maximálně informace o intimních vztazích ve firmě, proč by je někdo kradl?

Máme za sebou kolem stovky takových případů.

Firma nám zavolá, že má problém a nefunguje. Pak ale existuje několik scénářů, jak moc byl útok tvrdý. Jde o to, jestli nefunguje celá firma, nebo jenom část, a také jestli útok přežila nějaká data, nebo ne. Když podniku zůstanou zálohy dat, všechno opravíme z nich a pak zpracujeme na síti. Zjistíme, jak se tam útočníci dostali, a opravíme chyby tak, aby se to už neopakovalo.

Pokud data nemá, je to opravdu problém. Pak je potřeba se rozhodnout, jestli s útočníky vyjednávat, což je ale na firmě samotné. Někteří šéfové řeknou, že nic platit nebudou, protože vyjednávat se zločinci je pro ně morálně nepřijatelné. Pak se začíná od nuly nebo se použijí starší zálohy, jsou-li k dispozici. Druhá možnost je, že vyjednávat chtějí.

Ano, může se podařit srazit požadovanou částku na nižší úroveň. Když pak firma zaplatí, pošlou jí dešifrovací klíč a potom pokračujeme podobně, jako bychom měli zálohy. Opět je tedy potřeba ošetřit díry v systému, aby se problém neopakoval.

foto Tomáš Novák, týdeník Hrot

Pokud by vám data nedali, rozkřikne se to a už nikdo nezaplatí. To oni samozřejmě nechtějí. Takže i když jsou stovky útočníků, kteří se tím zabývají a kteří se mezi sebou neznají, obecně se to dodržuje.

Nám se ještě nikdy nestalo, že by firma, která zaplatila, data nedostala. Může se stát, že se data nepodařilo ani s klíčem kvůli nějaké chybě dešifrovat kompletně, ale to je jiná věc.

Útočníci chtějí nějakou částku a často netuší, jakou hodnotu pro vás data mají. U větších firem si to mohou zjistit třeba z veřejně dostupných finančních výkazů, aby lépe odhadli, o kolik mohou žádat.

Jde o to, kolik hackeři chtějí peněz a jakou hodnotu pro firmu mají data. Pokud si je firma cení třeba na milion a útočník chce řádově desítky tisíc, z racionálního pohledu dává smysl zaplatit. Pokud tedy pomineme morální pohled.

Jak jsem říkal, vždycky tam existuje sdílená odpovědnost a chyba jednoho uživatele k dokonání útoku nestačí. Chybu pak většinou udělal také správce sítě, když útok včas neodhalil a nepostaral se o bezpečné zálohy. Bez viny není ani ředitel, protože zřejmě adekvátně nezkontroloval práci svého podřízeného přes IT nebo mu neposkytl potřebné finance na dobré zabezpečení. Ale kdo zaplatí škody?

Většinou nikdo, protože jsou to zaměstnanci, kteří jsou ze zákona chráněni a zodpovídají jen do určité výše… Ve výsledku to jde na konto majitele. Přijde mi to až zvláštní, ale asi jsem nezažil, že by firma byla naštvaná na toho člověka, který problém způsobil.

Z úspěšných útoků, které se tu odehrály, s Ruskem nic nesouvisí. Všichni hackeři mají svoji práci a není to tak, že by seděli, nudili se a čekali na válku. Kvůli konfliktu se neznásobí aktivita hackerů na dvoj- nebo trojnásobek. Sice na Ukrajině na začátku proběhly nějaké útoky, ale část z nich byla dlouho předem připravená. Na druhou stranu ani Rusko asi nechtělo přelévat kybernetický konflikt mimo Ukrajinu.

Anonymous nemají konkrétní vedení, každý může být Anonymous, když se za něj prohlásí. Navíc v souvislosti s Anonymous se často zveřejňovaly falešné zprávy. Tvrdili například, že hackli a ukradli databázi firmy Danone kvůli tomu, že nechtěla opustit ruský trh. Všichni posílali odkazy na zveřejněnou databázi, ale nikdo se ani neobtěžoval si ten soubor stáhnout. Místo pěti gigabajtů měl pět megabajtů…

Když se do něj podíváte a všude vidíte slova „test, test, test“, je jasné, že nejde o reálná data, ale nejspíš o nějakou testovací databázi. Podobně byla kachna informace o hacknutém televizním vysílání. Nebyly k tomu žádné detaily, o co šlo, jaký typ šíření signálu to zasáhlo, na jak dlouho…

Ne úplně. Na druhou stranu jsou pak skupiny, které neměly pozornost médií, ale dělaly skutečné věci. Třeba Network Battalion 65 napadají ruské firmy a kradou a šifrují jim data. Dělají to dobře a je to kvalitní práce, ale nic se o nich nedočtete, protože nenosí masku na obličeji a nedělají velkohubá prohlášení. 

Martin Haller (35)

• Vystudoval informační technologie na VUT v Brně.

• V oboru IT pracoval už během studia, v letech 2009 až 2011 se jako freelancer věnoval správě sítí a serverů.

• V roce 2011 založil společnost Patron-IT, která se věnuje počítačové bezpečnosti a etickému hackingu.