Bezpečnost bereme velmi vážně, jinak jsou IT systémy a weby jako časovaná bomba. Proto děláme pravidelné bezpečnostní audity a penetrační testy našich aplikací. Potenciálně zranitelná místa odhalujeme na základě testovacích scénářů už při vývoji. Sledujeme i rychle se měnící trendy v hackingu a phishingu.
V následujícím textu si nejdříve ujasníme, jaké typy kybernetických útoků firmám hrozí. Pak se podíváme, jak k bezpečnosti aplikací přistupují vývojáři Pixmanu.
Odborníci na kybernetickou bezpečnost rozdělují útoky do tří hlavních skupin podle toho, na co jsou zaměřeny. Rozlišujeme tak kybernetické útoky proti:
Tyto útoky nelze považovat za žádné nevinné škádlení konkurence. Podle českého práva spadají mezi trestné činy proti majetku. Pojďme si tyto tři skupiny útoků rozebrat podrobněji.
Nejdříve si vezmeme na mušku útoky, které se snaží síť nebo webovou aplikaci zahltit požadavky a způsobit tak její nedostupnost. Takové útoky se označují jako DoS (Denial of Service, odepření přístupu) nebo DDoS (Distributed Denial of Service, distribuované odepření přístupu).
Při útoku typu DoS útočníci zaplaví síť obrovským počtem žádostí, případně objeví neošetřenou skulinu, tzv. zranitelnost v aplikaci. Vygenerují velký počet nesmyslných požadavků, a ochromí tak provoz aplikace.
DDoS útoky jsou velmi podobné, jen si narušitel vezme na pomoc celou armádu nakažených počítačů, tzv. botnet. V botnetech se nachází několik stovek tisíc počítačů a s rozšiřováním IoT jich bude dál přibývat.
Obyčejný "hloupý" DDoS útok poznáte snadno. Když máte e-shop v ČR a najednou přijde několik milionů požadavků z Číny, je jasné, že něco nehraje. Naštěstí je obrana díky filtraci rychlá a jednoduchá. Chytrý útočník ale svůj botnet schová za proxy nebo VPN, takže požadavky vypadají jako každodenní lokální provoz. Takové útoky je těžší rozeznat a chvíli trvá, než se manuálně aplikuje potřebná ochrana.
Jakmile se vám podaří falešné požadavky rozeznat a odklonit, dá se říct, že máte vyhráno. Síť není poškozená, nikdo se nedostal k citlivým datům... Omluvíte se klientům za výpadek a život jde dál. U dalších typů útoků už z toho nevyváznete tak lehce.
Útoky zaměřené na integritu sítě se snaží přepsat či zničit počítačový kód a jejich cílem bývá poškodit hardware, infrastrukturu nebo systémy.
Příkladem z reálného světa je ransomware, který ochromil chod Benešovské nemocnice na několik týdnů. Jak je něco takového možné? Začalo to jediným kliknutím - na soubor v příloze podvrženého e-mailu. Ten bez vědomí uživatele postupně zašifroval veškeré soubory na počítači a šířil se sítí dál. Byly ochromeny servery, počítače, ale také zdravotnické přístroje. Škody dosáhly desítek milionů korun.
Při úspěšném útoku proti důvěrnosti narušitel odcizí firmě hodnotné informace od osobních údajů zákazníků, přes fotografie, čísla karet, hesla a telefonní čísla až po obchodní tajemství a duševní vlastnictví.
Únik osobních údajů je velký problém sám o sobě. A ještě o něco větší od roku 2018, kdy vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR). Kromě ztráty důvěry veřejnosti firmě hrozí i pokuta v těžko představitelné výši až 20 milionů eur.
Ukradené osobní údaje mají samy o sobě velkou hodnotu, útočníci je mohou zkusit prodat, použít k vydírání nebo k podvodu se zneužitím identity. Často je ale sami obratem využijí při dalším útoku založeném na phishingu nebo social engineeringu. Pojďme si tyto metody blíže představit.
Útočník vám zkusí podstrčit e-mail nebo (nejčastěji přihlašovací) webovou stránku, která vypadá skoro jako pravá - rozdíl bývá v drobných detailech. I proto se pro tento typ útoků ustálilo označení phishig, tedy záměrně zkomolené anglické slovo "fishing". Vyzve vás k poskytnutí důvěrných informací (uživatelského jména, hesla) nebo ke kliknutí na link. To pak odstartuje stahování škodlivého software.
Nejčastěji se jedná o hromadný phishingový útok, útočník se snaží napodobit banku nebo sociální síť a získat přístupové údaje k účtům. E-maily bývají hůře napsané, většinou s pomocí překladače, a dají se relativně snadno rozpoznat. Proto než své údaje zadáte, vždy raději zkontrolujte URL adresu, na které se nacházíte, a ujistěte se, že je správná.
Někdy si ale útočníci dají opravdu záležet, připraví velmi nevinně vyhlížející e-mail pro zaměstnance konkrétní firmy či organizace. Podvrhnou i odesílatele, vydávají se třeba za ředitele IT nebo zaměstnance účtárny. Snaží se vylákat přístupové údaje nebo jiné citlivé informace. S těmito údaji pak útočníci zahájí útok na integritu firemní sítě. Takhle se dostala Severní Korea do společnosti Sony.
Na rozdíl od hromadných phishingových útoků je social engineering čistě individuální. Útočník si vytipuje oběť a začne shromažďovat veškeré informace, které dokáže najít. Poté naplánuje postup tak, aby získal důvěrné informace pomocí hovoru, chatu, e-mailu nebo i osobně. Útočník si může dokonce propůjčit (tzv. spoofnout) cizí telefonní číslo, takže to vypadá, že oběti volá důvěryhodná instituce. Získané údaje pak využije proti oběti samotné - nejčastěji k vylákání peněz nebo k vydírání.
Kyber-zločinci jsou velmi vynalézaví a s oblibou výše zmíněné typy útoků kombinují, aby byl celkový efekt co možná nejničivější. My ale zdaleka nejsme bezbranní. Pojďme se podívat na druhou stranu barikády, tedy tam, kde se vyvíjí obrana proti kybernetickým útokům. Jak na to jdeme my, Pixmani?
Při pravidelném penetrační testování se externí firma pokouší nabourat do našich aplikací a reportuje nám výsledky. Ty následně zapracujeme. Náročnými penetračními testy prošlo uživatelské rozhraní všech našich produktů. Snaha byla najít zranitelnosti vůči všemožným metodám od slovníkového "brute force" prolamování hesel, přes dnes již zastaralou avšak stále rozšířenou metodu SQL injekce, až po sofistikované přístupy přes serverový management k získání nejvyšších oprávnění. Díky penetračnímu testování externí firmou se můžeme plně soustředit na vývoj a zároveň zajistit bezpečnost našich aplikací.
Spousta vývojářských firem se snaží vývoj aplikací uspěchat, protože to vyžaduje zákazník, nebo z obav, že je předežene konkurence. Právě tlak na rychlejší vývoj otevírá vrátka pro útočníky. Podcenění bezpečnostních rizik pak může vést ke kompenzacím škod, právním důsledkům, ztrátě duševního vlastnictví nebo konkurenční výhody... a hlavně ke ztrátě důvěry zákazníků.
Dalším problémem je fluktuace zaměstnanců, kteří se podílejí na vývoji. Ve světě IT je změna zaměstnání častý jev. Problém nastane v případě, že se nevede systémová dokumentace a procesy se změnami zaměstnanců nepočítají.
Doporučuje se, aby ve firmě pracoval vždy jeden "superman" zodpovědný za bezpečnost. Sám si vše pohlídá, komunikuje s vedením o možných problémech a nastaví procesy, které mu práci usnadní. Firma pak samozřejmě musí být připravena na to, že i bezpečnostní superman může mít dovolenou nebo z firmy odejít.
My Pixmani se soustředíme hlavně na útoky proti důvěrnosti přímo v aplikacích. Pro zabezpečení infrastruktury je potřeba interní IT tým nebo firma specializovaná na kybernetickou bezpečnost.
Právě na webové aplikace je nicméně podle statistiky firmy Gartner zaměřeno 75 % všech útoků. A dvě třetiny z nich mají nějakou formu zranitelnosti. Proto provádíme cílené testování zranitelností na základě testovacích scénářů už při vývoji. Snažíme se také vytipovat místa, která by mohla být potenciálním cílem útočníků - osobní data, toky objednávek a podobně.
Navrhujeme slepé cesty, které mají za cíl útočníka zdržet a unavit - tzv. honeypots. Údaje v primárních databázích anonymizujeme nebo přenášíme fyzicky mimo dosah webů. Zaměřujeme se na zranitelnosti autentizace a session managementu, řízení přístupů, validaci vstupů a výstupů, šifrování, zpracování chyb a logování, http security management, obranu proti vytěžování informací, děláme zátěžové testy... Je toho opravdu hodně, co lze ošetřit. Sledujeme nové trendy a své postupy stále zdokonalujeme.
Ať už jsou aplikace nebo síť zabezpečené sebelépe, stále je infrastruktura závislá na svém nejslabším článku. A tím jsou lidé. Nejvíce tomuto tématu přispěl Kevin Mitnick, jeden z nejznámějších hackerů a momentálně vyhledávaný konzultant v oboru kyberbezpečnosti. Je autorem skvělé knihy Umění klamu, která ukazuje různé metody social engineeringu a radí, jak se mu bránit.
Pokud pracujete s citlivými daty, doporučujeme dělat bezpečnostní workshopy, kde zaměstnance učíte obraně proti phishingu a social engineeringu. Vysvětlování, na co neklikat a jak si dát pozor na neznámé USB disky, není nikdy dost.