Nejen o tom, co (a kdo) dnes nejvíce trápí síťové routery, jak dalece se po bezpečnostní stránce posunul Android a jaké kybernetické hrozby nás čekají v nedaleké budoucnosti, jsme mluvili s bývalým vedoucím Anti-Malware týmu a současným prognostikem ruské antivirové společnosti Kaspersky Alexejem Malanovem a výzkumníkem a hobby hackerem Dmitrijem Galovem z téže společnosti.
Před časem jsem četl váš článek o kryptografii a kvantum computingu, což je v security oblasti takový mediální evergreen. Pokud ale budeme zcela upřímní, myslíte si, že jde dnes o reálný problém, nebo je to spíše takové intelektuální cvičení?
Malanov: Myslím si, že zatím to reálný problém ještě není, ale šance na problém v ne až tak vzdálené budoucnosti je zde poměrně vysoká. Z toho, co se aktuálně na poli hardware i software děje, jsme si celkem jistí, že kvantové počítače v podobě, ve které již představují pro současně používané šifrovací algoritmy reálnou hrozbu, budou reálně implementovány v horizontu 10 let.
To je dostatečně krátká doba na to, abychom mohli tvrdit, že je potřeba problém řešit právě teď a nečekat, až začne docházet k prvním útokům. Řešení leží především v přidání druhé úrovně zabezpečení, tedy kvantum proof algoritmů k těm současným.
Alexej Malanov pracuje v Kaspersky jako malwarový expert, do společnosti nastoupil v roce 2004 jako analytik a v roce 2008 byl jmenován vedoucím Anti-Malware týmu. Nyní se specializuje na identifikaci a analýzu přicházejících trendů a potenciální rizik. Vystudoval počítačovou vědu a kybernetiku na Moskevské státní univerzitě.
Dmitrij Galov v Kaspersky pracuje jako bezpečnostní výzkumník v Global Research & Analysis Teamu (GReAT), zodpovídá za výzkum v oblasti non-Windows malware, IoT a APT hrozeb. Ve společnosti je od roku 2015 a v současné době dokončuje studium na Moskevské státní univerzitě. Často je také možné jej potkat v roli útočníka v hackerských „Capture the Flag“ soutěžích.
Platí to univerzálně? Co třeba takové metody šifrování veřejných klíčů založené na algebraických strukturách eliptických křivek nad konečnými tělesy doporučované NSA pro šifrování nejdůvěrnějších informací (třeba ECDSA používaná mimo jiné u Bitcoinu)?
Malanov: U některých algoritmů si momentálně nejsme jistí, zdali jsou zranitelné skrze kvantové počítače, což je i případ kryptoměn a algoritmů založených na eliptických křivkách. Ale to, co se může jevit bezpečně teď, nemusí platit třeba za dva roky.
Pokud se ale zrovna toto ukáže jako problém, myslím, že dojde k řešení problému velmi rychle, protože stejnou technologii dnes využívají například banky pro předávání PINu kreditní karty. Nelze také úplně zobecňovat, protože je třeba se dívat na jednotlivé přístupy k implementaci ECC a posuzovat algoritmy ve vztahu k odolnosti vůči QC jednotlivě.
Co jsou podle vás dnes největší hrozby, pokud jde o technologie, které každodenně používáme?
Malanov: V posledních pár letech se objevil do té doby prakticky neznámý fenomén, a to je zaměření kyberkriminality na dění okolo kryptoměn. Zločinci totiž většinou volí nejjednodušší možnou cestu, jak se dostat k penězům, a potvrdilo se, že nejsnazší cesta v posledních třech letech vedla právě skrze kryptoměny. Způsoby sahají od zneužívání cizí výpočetní kapacity k těžbě, ransomware, který si oblíbil kryptoměny jako platební metodu, až po hacking populárních peněženek a kryptoměnových burz.
Většina aktivit kyberzločinců se stále zaměřuje na přímý výsledek, tedy krádež vašich peněz, což je tím snazší, čím více zařízení používáme. Harvesting informací z našich osobních „digitálních asistentů“, jako jsou například mobilní telefony, pro potřeby nějakých sofistikovanějších útoků v budoucnu je stále v menšině.
Opravdu? Každou chvíli se dočteme o nějakém cíleném útoku směřovaném na nějakou instituci nebo její klienty…
Malanov: Cílené útoky a státem sponzorované útoky dnes opravdu představují vrchol, co se týče sofistikovanosti hrozeb, ale je jich podstatně méně než těch druhých hrozeb. Co je ale časovanou bombou pro všechny vrstvy společnosti ve velmi blízké budoucnosti a proti čemu zatím není efektivní obrany, je problém deepfake videobsahu. Speciálně mladí lidé dnes hodně komunikují prostřednictvím videa a mají sklony videobsahu věřit víc než realitě.
Většina deepfake videobsahu je ale zatím ještě celkem snadno rozpoznatelná.
Malanov: Zatím možná ano, ale to nebude díky rychlým pokrokům v AI platit dlouho.
POSLECHNĚTE SI: Kryptokalypsa může přijít do 15 let, říká kryptolog Tomáš Rosa:
Vidíte zde nějaké elegantní řešení?
Malanov: Popravdě řečeno ne na technologické úrovni, budeme se muset přizpůsobit. To znamená změnit naše uvažování, adoptovat potřebnou regulaci. Myslím, že za pár let bude v řadě zemí vytváření deepfake obsahu ilegální.
Loni v prosinci jsem četl váš článek From brain implant to human botnet a při čtení ve mně sváděl souboj fanoušek cyberpunkových dystopií typu série Ghost in The Shell se skeptikem. Skutečně si myslíte, že za 10 let budou hackeři ovlivňovat naši paměť prostřednictvím hacknutých mozkových implantátů?
Galov: Technologie se v tomto směru vyvíjí velice rychle. Dnes ještě nelze přímo krást nebo modifikovat lidské vzpomínky (výzkum mozku nicméně rychle akceleruje), technologie, které ale tento vektor útoku umožní, se již běžně používají.
Dnes se pro hloubkovou stimulaci mozku využívají hlavně implantabilní generátory (IPGs), což jsou relativně jednoduchá do těla pacienta integrovaná zařízení, která vysílají elektrické impulsy do konkrétních částí mozku (používají se třeba při léčbě depresí, OCD či Parkinsonovy choroby). Fungují na podobném principu jako o něco starší kardiostimulátory. Ty novější jsou dnes celkem běžně vybaveny softwarem, který umožňuje jejich vzdálenou konfiguraci z běžných koncových zařízení, jako jsou tablety a chytré telefony. Implantáty většinou s koncovými zařízeními komunikují přes Bluetooth, což je například technologie, která má spoustu bezpečnostních problémů. Z analýzy aktuálních zranitelností implantátů jsme dospěli k celé řadě slabin, které by mohli útočníci zneužívat, od zranitelné infrastruktury přes nechráněný a nešifrovaný přenos dat, selhání lidského faktoru (během našeho společného výzkumu s vědci ze skupiny Functional Neurosurgery Group z univerzity v Oxfordu jsme narazili například na programy s citlivými údaji pacientů, kde byla ponechána přednastavená hesla) až po design. Ve zdravotnictví má například silnou prioritu ochrana pacienta před zabezpečením přístroje. V život ohrožujících situacích musí být lékař schopný implantát snadno ovládat, takže zde neexistují žádná silná unikátní hesla a implantáty bývají standardně vybaveny softwarovým backdoorem.
Zatím sice nevím o žádném zaznamenaném útok na neurostimulátory, útočit na ně ale reálně lze a konsekvence jsou také zcela reálné. Například je možné způsobit bolest pacientovi pomocí vzdálené manipulace se zařízením. U pacienta s Parkinsonovou chorobou můžete dosáhnout úpravou nastavení impulsů implantátu zcela regulérního efektivního ochromení. Neurostimulátory jsou napájeny baterií, a pokud klesnou pod určitou kritickou úroveň, z bezpečnostních důvodů se vypnou a je potřeba zařízení chirurgicky vyměnit. Pokud je hacker fyzicky blízko pacienta, může baterii zařízení předčasně vybít zapojením do smyčky atd.
Jednou z vašich specializací je malware pro Android zařízení. O Androidu se jeden čas říkalo, že je doslova jedna velká bezpečnostní díra, platí to stále? A jaké jsou hlavní hrozby, se kterými se zde uživatelé mohou aktuálně setkat?
Galov: Android udělal po bezpečnostní stránce obrovský krok kupředu, statistiky nicméně negativně ovlivňuje fakt, že polovina lidí pořád ještě používá naprosto zastaralé verze tohoto systému (bavíme se o verzích Android 5.0 a nižších). Většinou to ani není proto, že by to byla jejich dobrovolná volba, ale často mají velmi levná zařízení, která nové verze Androidu nezvládají.
Co se týče hrozeb, právě teď pozorujeme velký nárůst APT hrozeb, které jsou většinou koordinované a probíhají zároveň na PC i na mobilních zařízeních. Pokud se budeme bavit o běžných „end user“ útocích a malware, tak velmi rychle roste množství bankovního malware (trojanů), hodně naopak opadla vlna kryptominerů. Má to pochopitelně čistě ekonomické důvody, neboť pokud vlastníte botnet, je pro vás za stávající situace na kryptoměnovém trhu výhodnější jej pronajímat například k DDoS útokům, než na něm těžit kryptoměny. Tyto trendy se ale mění relativně rychle.
Jak by to vypadalo, kdybychom to převedli na čísla?
Galov: Loni jsme zaznamenali 360 instalovaných aplikačních balíků s malwarem za den, celkově (tedy nejen pro Android), 24–25 % všech útoků tvořily hrozby pro non-Windows přístroje. Spadají sem ale i útoky na IoT zařízení, například Mirai (populární trojan, který vytváří botnet z linuxových zařízení, typicky routerů, webkamer, DVR a tiskáren).
Vraťme se ještě k těm APT hrozbám pro Android, stojí za většinou z nich běžní zločinci, jaký je třeba podíl vládami sponzorovaných skupin?
Galov: To záleží. Samotný rozsah pojmu APT hrozba se dnes tak rozšířil, že by se podle mě ta zkratka mohla překládat spíše jako „any persistent threat“. APT se většinou rozumí dlouhodobý a cílený kybernetický útok, ve kterém útočník získá přístup k síti a zůstává po určitou dobu nezjištěn. Záměrem takového útoku většinou bývá dlouhodobě sledovat aktivitu a krást data. Momentálně sledujeme asi 250 aktivních APT skupin, z toho je 20 až 25 komerčních, které vám poskytnou například kompletní infrastrukturu pro surveillance útok na Android zařízení, pokud na to máte peníze. Jako zákazník si přitom můžete vybrat, jaké informace chcete sbírat, způsob, jakým bude probíhat komunikace s command and control centrem, je to regulérní a rozsáhlý průmysl.
Jsou zde nějaké výraznější rozdíly, co se týče jednotlivých zemí?
Galov: Jednoznačně mohu říci, že je zde více a více útoků čínsky hovořících APT skupin, které nyní operují po celém světě a rychle roste také sofistikovanost jejich útoků.
Jaký je nejčastější vektor útoku na dnešní IoT zařízení?
Galov: Nejpopulárnější stále zůstávají útoky na neopatchované routery. Hlavní důvody jsou proto dva, jde o zařízení přímo připojená k internetu a je jich obrovské množství. Absenci patchů využívá například již zmíněná malwarová rodina Mirai, která tvoří 39 % všech současných útoků. Další velmi populární a stále účinnou technikou jsou útoky hrubou silou. Ty používá například druhá nejpočetnější malwarová rodina – Nyadrop, která může za 38,5 % útoků.