Pandémia nového koronavírusu je sama o sebe hodná množstva diskusií, rozhovorov či analýz. Pre nás v oblasti kybernetickej bezpečnosti sú však zaujímavé hlavne dve témy, o ktorých svetové či lokálne média píšu v tejto súvislosti neustále – phishingová kampaň a sledovacie aplikácie.
Práve na tieto témy sme sa porozprávali s etickým hekerom a riaditeľom spoločnosti Nethemba Pavlom Luptákom. V rozhovore sa dočítate:
- či sú prevádzkovatelia kritickej infraštruktúry na Slovensku pripravení čeliť útokom,
- na aké firmy hekeri útočia najčastejšie,
- aké nedostatky má aplikácia Zostaň Zdravý,
- prečo je aplikácia neefektívna.
PHISHING
V čom je phishing nebezpečný?
Phishing útočí na základné ľudské vlastnosti – altruizmus, potrebu pomáhať, ale aj chamtivosť, vidinu rýchleho zisku atď. V kombinácii s nedostatkom „bezpečnostného povedomia” sa nakoniec ľudia pripravujú o svoje súkromie, v horšom o svoje peniaze.
Téma phishingu v posledných mesiacoch zarezonovala aj v slovenskom mediálnom priestore a písali o nej aj médiá, ktoré sa témami kybernetickej bezpečnosti možno tak často nezaoberajú. Prečo sa teda phishingu dnes venuje taká pozornosť?
Počas pandémie ľudia podliehajú strachu, a teda sú ľahšie manipulovateľní – ako zo strany potenciálnych útočníkov, tak zo strany politikov.
Ako sa phishingová kampaň spojená s koronavírusom prejavuje na Slovensku?
Nemali sme žiadnych klientov, ktorí by boli špeciálne postihnutí „koronavírus” phishing kampaňou na Slovensku. Túto situáciu sme ale analyzovali vo svete. Existuje veľa phishing útokov, kedy používateľ je sociálnym inžinierstvom donútený stiahnuť nejakú malvér phishing aplikáciu, napríklad počet COVID-19 nakazených v danej krajine, výsledkom čoho môže byť nebezpečný ransomvér. Prípadne, veľa phishingu malo naspoofované mailové hlavičky WHO, či inej zdravotníckej organizácie, a šírili linky na malvér informujúci o aktuálnej COVID-19 situácii alebo bitcoin adresy na prípadné falošné „donation”.
Národné centrum kybernetickej bezpečnosti SK-CERT vydalo po ransomvérovom útoku na brnenskú nemocnicu, kde hral dôležitú rolu práve phishing, varovanie pre naše nemocnice, aby sa pripravili na podobné útoky. Sú podľa vás prevádzkovatelia základných služieb pripravení čeliť phishingovým útokom?
Väčšina kritických inštitúcii, ako napríklad bankový sektor, sú imúnni voči tradičnému phishingu vďaka pravidelným školeniam ako aj testom sociálneho inžinierstva. Málokto je ale imúnny voči úplne cielenému sofistikovanému phishingu, tzv. spearphishingu, prípadne útokom, ktoré nie sú veľmi známe, ako napríklad „caller ID spoofing” GSM hovorov a SMS. Veľa iných organizácii, ako práve nemocnice, sú ale na phishing stále ľahko náchylné a podľa našich štatistík sociálne inžinierstvo predstavuje jeden z najúspešnejších útokov.
Sú slovenské firmy atraktívnym cieľom pre hekerov? Útočia na nich často?
Akékoľvek firmy, nielen slovenské, sú atraktívne, ak ich vyhekovaním získava heker nejakú výhodu, ktorú dokáže následne monetizovať – či už užitočné informácie pre konkurenciu, platobné informácie, osobné dáta o klientoch, prístupové informácie alebo čísla platobných kariet. Monetizovať sa dá aj to, že váš firemný server na rýchlej linke niekto vyhekuje a pridá ho do ruského alebo čínskeho botnetu na distribuované DoS útoky.
Heker si spomedzi takto atraktívnych firiem volí tie, ktoré najjednoduchšie vyhekuje, teda tie, ktoré obsahujú akékoľvek zraniteľnosti. Ľahko sa tam ocitne akákoľvek slovenská firma, ktorá nedbá na bezpečnosť svojich serverov, aplikácií a infraštruktúry.
Mohli by ste dať čitateľom nejaké rady, ako rozpoznať phishing a ako sa mu brániť?
Neverte žiadnym nepodpísaným mailom, instantným správam alebo tradičným GSM hovorom a SMS správam – v tomto prípade vždy volať naspäť. A teda verte iba šifrovaným a digitálne podpísaným správam S/MIME alebo PGP, alebo overeným kontaktom na Signale a Threeme.
SLEDOVACIE APLIKÁCIE
Ako funguje oficiálna aplikácia Covid19 Zostaň Zdravý? S akými dátami pracuje a ako ich získava?
Aplikácia vám po nainštalovaní priradí nejaké pseudonáhodné ID číslo. Následne cez technológiu Bluetooth Low Energy tento identifikátor neustále vysiela do okolia a pamätá si akékoľvek ďalšie identifikátory iných ľudí, ktorí sa nachádzajú pri danej osobe viac ako 5 minút. Pokiaľ následne dôjde k pozitívnemu testu u niektorého z používateľov na koronavírus, jeho aplikácia všetky takto nazbierané kontakty, teda zoznam všetkých ID, pošle na štátny server. Posielané dáta obsahujú ID profilu používateľa, jeho všetkých kontaktov, presný čas a dĺžku stretnutí.
*Poznámka redakcie: Aplikácia si po nainštalovaní žiada aj prístup k polohe zariadenia. Podľa prevádzkovateľa slúžia tieto lokalizačné údaje na mapovanie šírenia nákazy. Ústavný súd však v stredu 13. mája pozastavil časť zákona, ktorá zber lokalizačných údajov umožňovala.
Aké má podľa vás aplikácia nedostatky?
Kedže ID každého profilu je prideľovaný štátom pri samotnej registrácii, štát si túto informáciu dokáže spárovať buď s konkrétnym menom, alebo mobilným číslom. Hrozí teda triviálna deanonymizácia dát.
Dôležité je tiež podotknúť, že samotné posielanie týchto informácií na štátne servery je bez súhlasu používateľov. Na rozdiel od Česka, kde funguje podobná aplikácia eRouška, ktorá si minimálne pri odosielaní vypýta súhlas.
Tento „contact tracing” protokol je už ale prekonaný a existuje podstatne bezpečnejší a anonymnejší spôsob „tracovania”, ktorý využíva protokol DP-3T. Stoja za ním spoločnosti ako Google alebo Apple.
Podľa Európskej komisie závisí efektivita takýchto aplikácií od dvoch dôležitých faktorov – počtu užívateľov, ktorí si ju nainštalujú, a od ich dôvery v prevádzkovateľa a štát, že ich nezneužijú. Starú aplikáciu Zostaň Zdravý si však na GooglePlay stiahlo len 100-tisíc ľudí a nová ich má tiež len niečo cez 10-tisíc. Stačí to?
Podľa nedávnych štúdií je contact tracing efektívny, keď minimálne 60 % všetkých ľudí používa uvedené contract tracing aplikácie. Inak to môže byť dosť neefektívne. Priznám sa, že som celkom skeptický, pokiaľ ide o efektívnosť tejto aplikácie a zatiaľ neviem o žiadnych reálnych prípadoch, kedy by to reálne pomohlo.
Prevádzkovateľ aplikácie, ktorým je Úrad verejného zdravotníctva (ÚVZ), v podmienkach ochrany súkromia píše, že osobné údaje používateľov môžu z prevádzkových dôvodov skončiť na serveroch mimo EÚ, konkrétne v USA. Je podľa vás bezpečné uchovávať údaje o Slovákoch mimo územia EÚ?
Existujú krajiny, ktoré sú schopné poskytovať adekvátnu ochranu súkromia a majú v GDPR výnimku. Medzi nimi Andorra, Argentína, Kanada, Izrael, Nový Zéland, Švajčiarsko, Uruguaj, Japonsko alebo USA. Hostovanie dát mimo týchto krajín môže byť problém.
Čo sa týka ochrany osobných údajov občanov, tak sa priznám, že osobne niektorým týmto krajinám verím podstatne viac ako schopnostiam slovenskej štátnej sféry postarať sa o súkromie jej občanov. Takže nevidím v tom problém.
V marci unikli Národnému centru zdravotníckych informácií (NCZI) údaje o pozitívne testovaných pacientoch. Pristupuje podľa vás ÚVZ dnes zodpovednejšie k ochrane údajov z aplikácie?
Ako zodpovedne k tomu teraz pristupuje ÚVZ nedokážem posúdiť, keďže nie je transparentné to, čo teraz presne robia. Zareagovali bohužiaľ úplne protichodne vzhľadom k tomu, čo nakoniec spravili. Prehlásili, vrátane premiéra Igora Matoviča, že zverejňovanie nedostatočne anonymizovaných informácií o pacientoch nevnímajú ako bezpečnostný problém. A súčasne toto zverejňovanie cez uvedené API okamžite stiahli. Ak to nevnímajú ako bezpečnostný problém, tak prečo to stiahli?
Ja dúfam, že NCZI dostane za to, čo spravili, tučnú pokutu, lebo ohrozili nedostatočnou anonymizáciou osobných dát stovky pozitívne infikovaných ľudí. Neviem si predstaviť, že by niečo takéto spravila súkromná firma.
Na záver, čo možno očakávať do budúcna? Naučia sa ľudia správať zodpovednejšie, alebo bude musieť štát pristúpiť k prísnejším kontrolám?
Ja som skeptik, čo sa týka akýchkoľvek prísnejších kontrol, pretože hrozí možnosť ich zneužitia. To sa presne stáva v krajinách ako Rusko alebo Čína, kde anti-COVID19 nariadenia sa prudko zneužívajú. Písal som o tom aj na svojom Facebooku. Takže Čínu aj Rusko pokladám skôr za odstrašujúci prípad, ako inšpirujúci.