oPeniazoch.sk, The Atlantic Foto:SITA/AP;thinkstock
Digitálni zločinci v posledných rokoch majú len málo čo do činenia s technickými nástrojmi. Ich činnosť súvisí predovšetkým s obchodným modelom.
Dnes je ideálny čas pre rozkvitanie kyberzločinov.Zameriavajú sa predovšetkým na krádež údajov, počet ich obetí neustále rastie a dokážu si „zarobiť“ oveľa viac, než kedykoľvek predtým.
Mohlo by sa zdať, že rekordný úlovok si pripísali v roku 2007, kedy hackeri ukradli najmenej 45,6 miliónov čísel kreditných kariet zo serverov TJX. Od vtedy akoby tempo poľavilo. Pravdou však je, že sa na poli kybernetického práva a poriadku toho za posledné obdobia podarilo dosiahnuť celkom veľa. Zlepšenie situácie je viditeľné v posledných desiatich rokoch. Stále existujú porušenia ochrany osobných údajov vo veľkom meradle, ale spoločnosti vydávajúce kreditné karty sú stále lepšie v detekcii a rýchlej výmene kariet zákazníkov, transakčné dáta sú čoraz lepšie kryptované a chránené voči atakom a celý proces je opäť o niečo inteligentnejší. Albert Gonzalez, ktorý zorganizoval útok na TJX si odpykáva 20 rokov väzenia.
Najväčší posun nastla v minulom desaťročí, ukázalo sa, že je omnoho menej výnosné robiť to, čo urobil Gonzalez, teda ukradnúť milióny čísel platobných kariet a predávať ich podvodníkom. Podľa spoločnosti Intel, klesla cena údajov z ukradnutej platobnej karty z 25 dolárov v 2011 na súčasných 6. "Žijeme v ére historického nadbytku ukradnutých dát," vysvetľuje Brian Krebs, autor blogu o počítačovej bezpečnosti. "Ďalšie dodávky čísel poženú cenu ešte viac smerom dole, až sa trh natoľko presýti, že bude na predaj viac údajov než kupujúcich."
Cybersecurity je termín často interpretovaný ako držanie kroku s rýchlym vývojom internetových útokov. Inými slovami ide o zaplátanie softvérových zraniteľností a rýchle odhalenie nových škodlivých programov. Ale počítačoví zločinci v posledných rokoch majú malo spoločné s technickými nástrojmi a všetko je to len otázka obchodného modelu. Preto začali predávať ukradnuté dáta späť svojim pôvodným majiteľom. Ak má byť počítačová trestná činnosť zisková, zločinci potrebujú nájsť novú kohortu potenciálnych kupcov. Aj ju našli: je to každý z nás. Jadrom tohto nového obchodného modelu je skutočnosť, že to budú jednotlivci a podniky, nie obchodníci a banky, kto zaplatí útratu za narušenie dát.
To predstavuje pomerne veľký odklon od modelu väčšiny počítačovej kriminalite spred 10, alebo päť rokov. Kedysi, ak sa podarilo niekomu ukradnúť obrovský počet uložených dát, obvykle čísla kreditných kariet a fakturačné údaje patriace konkrétnym zákazníkom, predávali ďalej iným zločincom, ktorí ich použili na výrobu falošných kariet, niekde v zámorí. História ukazuje, že medzi najrizikovejšie etapy počítačovej kriminality patrili tie, ktoré prichádzajú po tom, čo páchateľ už úspešne ukradol dáta z chráneného počítača. Nájsť si cestu do počítačového systému a ukradnúť dáta je relatívne jednoduché, ale nájsť spôsob, ako ich speňažiť, a uistiť sa, že spoločnosti vydávajúce kreditné karty nezrušia čísla kariet skôr, ako sú predané, nájsť kupujúceho ochotného zaplatiť dobrú cenu, a ukryť tieto zisky pred políciou, môže byť oveľa ťažšie.
Ale vy predsa môžete ľahko presvedčiť samotné obete, aby odkúpili vlastné dáta, čo sa dá klasifikovať ako určitý druh výkupného. Niektorí jedinci a firmy sú dokonca ochotní sledovať čierny trh, aby zistili, či ich vlastné ukradnuté údaje nie sú náhodou na predaj. Ak sú, tak ich okamžite kúpia, aby sa vyhli tomu, že sa dostanú do nesprávnych rúk. Či sú obete nútené platiť výkupné alebo to urobia dobrovoľne, je úplne jedno. Zločinci len transformujú dáta, ktoré boli takmer bezcenné, do veľmi cennej podoby. Obsah pevného disku by asi na čiernom trhu nepriniesol veľký zisk, ale samotný majiteľ si tieto údaje cení omnoho viac. To tiež znamená, že nie je potrebný veľký tím, stačí aj malá skupina zločincov, čoraz častejšie ide o laických používateľov počítačov, ktorí pravdepodobne neskončia za mrežami.
Nie je známe, koľko peňazí dnes firmy spotrebujú priamo nákup ukradnutých dát alebo duševného vlastníctva, ale takéto prípady sú stále bežnejšie, aj keď niekoľko veľkých spoločností, ako je PayPal, sa otvorene nepriznávajú k tejto prax. Podľa informácií z odborných kruhov sú to neraz aj desiatky tisíc dolárov, pričom šokujúce je, koľko firiem cenu potichu akceptuje. To ale nebol prípad Hollywood Presbyterian Medical Center, nemocnice, na ktorú sa hackeri zamerali na začiatku tohto roka. Nemocnica sa spočiatku snažila odolávať vyplateniu výpalného vo výške 9000 bitcoinov tým, že prestala používať svoje šifrované počítače, sa uchýlila sa k mierne predpotopnej komunikácii,. Počítače nahradili papierové zdravotné záznamy a fax. Dlhodobo ale takýto prístup nebol udržateľný, nemocnice sa nakoniec dohodla na vyplatení 40 bitcoinov, čo bolo v prepočte asi 17 000 dolárov, aby mohla obnoviť svoje systémy.
Ransomware, čo je výraz pre vydieračský softvér, sa dnes teší mimoriadnej popularite. Aj vďaka jednoduchému nasadeniu. Ide o trójskeho koňa, teda kód, ktorý predstiera, že je niečím iným. Preto ho užívateľ v dobrej viere spustí. Po spustení zašifruje údaje a oznámi užívateľovi, že má smolu ak nebude ochotný zaplatiť. Ransomware sa dá ľahko zaobstarať na čiernom webe. Ten kto nevie programovať, si ho jednoducho kúpi "stavebnicu". To nedáva príliš ružové výhľady do budúcnosti. "Obrovské množstvo zločineckých skupín po celom svete sa teraz priijalo ransomware ako jednu zo svojich základných techník," hovorí Dmitrij Alperovič, spoluzakladateľ a technický riaditeľ CrowdStrike, kybernetickej bezpečnosti firmy. "Už aj študent prvého ročníka informatiky môže nasadiť tento softvér a potom už len sedieť a čakať na peniaze, ktoré mu prídu účet."
Koncept ransomware siaha až k roku 1989, ale len nedávno sa vďaka vývoju ostatných technológií dokázal masovo presadiť. Doteraz by akýkoľvek príliv hotovosti po odcudzených dátach bol vystopovateľný políciou. Chcelo to nejaký anonymný mechanizmus prenosu platieb od obetí k zlodejom. Takže, ransomware sa rozmohol príchodom kryptomien, ako je Bitcoin. Tí čo vyžadovali pri platbe absolútnu anonymitu si prišli na svoje.
V určitom okamihu ale zločinci budú pravdepodobne chcieť previesť svoje Bitcoiny na tradičnú menu. Zatiaľ sa to dá bez problémov anonymne. Mnohé inštitúcie sa už zapojili do programu "Poznaj svojho zákazníka“ a vyžadujú od zákazníkov doklad totožnosti, Alperovič si myslí, že je len otázkou času, kedy sa niečo podobné objaví aj na poli kryptomien.
Samotní užívatelia by mali byť opatrnejší a nemali by klikať na podozrivé odkazy alebo prílohy. Rovnako dôležitá je záloha dôležitých údajov. Tu sa ale vynára otázka, kto by mal byť zodpovedný za straty, keď dôjde k útoku a kto by mal vydieračom zaplatiť.
V mnohých prípadoch sú zodpovední samotní užívatelia, preto to vyzerá byť fér, ak obete znášajú tieto mimoriadne náklady. Ale to by znamenalo, že firmy, ktoré majú väčší dosah aj podmienky na efektívne riešenie týchto hrozieb. Patria sem vývojári operačného systému a prehliadačov, alebo poskytovatelia e-mailových služieb, a mohli by blokovať podozrivé prílohy, strácajú motiváciu, aby to robili. Záťaž tak padá predovšetkým na plecia jednotlivých užívateľov a spoločnosti, ktorých najlepšou možnosťou je naučiť sa byť trochu opatrnejší a urobiť si oveľa viac záloh.
Samozrejme, že zálohovanie dát dokáže ochrániť len proti niektorým typom útokov. "Očakávam, že v budúcnosti budeme svedkami útokov v duchu zacielenia na výrobný podnik, za cieľom zablokovať plány, a následne predstaviteľov firmy osloviť. Hneď zajtra má vaše know how na stole konkurencia, ak odmietnete zaplatiť " vykresľuje situáciu Ben Johnson, spoluzakladateľ a šéf bezpečnostnej firmy Carbon Black. Takmer vo všetkých prípadoch, zločinci prevezmú kontrolu nad údajmi. "Vy si ale nekupujete späť vlastné údaje, vy zaplatíte v podstate za mlčanie. Neukradli vám tovar, za ktorý by ste mali zaplatiť, kupujete si mlčanie niekoho, kto sa dopustil trestného činu. V takomto prípade vstupujete do šedej ekonomiky ".
Celé to rozhodovanie o tom, či by ste mali, alebo nemali zaplatiť za opätovný prístup k údajom len komplikuje možnosť rokovania s nepoctivým predajcom. "Ak zaplatíte stále nemáte záruku, že získate dešifrovací kľúč," hovorí Chris Stangl, šéf sekcie na kyberzločinu FBI. "Najnovší trend je taký, že spoločnosť sa snaží dohodnúť so zločincom, je ochotná zaplatiť a na ďalší deň si zločinci vypýtajú viac."
Predajcovia ukradnutých informácií, podobne ako legálny predajcovia ako je Amazon a eBay, sa teraz zameriavajú na svoju on-line reputáciu. "Chcú tým dávať na javo svojim obetiam, že sú "dôveryhodní" zločinci,“ hovorí Krebs. "Zlodeji sú závislí na svojej povesť v podsvetí, ak budú známi tým, že vo väčšine prípadov natiahnu klienta, stratia svojich zákazníkov," vysvetľuje. V poslednom čase sa na trhu objavil fenomén "povesť dobrého zločinca", čo môže znieť protichodne, ich reputáciu ničia práve tí zlí zločinci," hovorí Joffe.
Bez ohľadu na to, čo jednotlivci a organizácie urobia, keď sú konfrontovaní s možnosťou odkúpenia ukradnutých dát, je nutné položiť si otázku, čo by zo zákona mali urobiť. Postoj orgánov k tomu, či by obete mali zaplatiť výkupné nie je jednoznačný. Vlani sa uskutočnila bezpečnostná konferencia v Bostone, kde agent FBI Joseph Bonavolonta pred publikom povedal: "často radíme ľuďom, aby výkupné zaplatili." Ale Stangl, šéf inej divízie FBI si myslí opak. "Neodporúčame zaplatiť, pretože platby podľa nášho názoru umožňujú len ďalší rozvoj tohto modelu trestného činu, a umožňujú v trestnej činnosti pokračovať." Napriek tomu, dodáva: "uvedomujeme si, že spoločnosti musia robiť rýchle rozhodnutia a … niekedy je lepšie zaplatiť a získať späť prístup k vlastným údajom. V drvivej väčšine situácií, nejde o porušenie zákona, keď to urobíte, rozhodne to nie je niečo, čo FBI zaujímalo v rámci vyšetrovania." Výnimku tvoria všetky transakcie pre teroristické skupiny.
Nechuť orgánov zaujať jasný postoj je prekvapujúci. "Vo fyzickom svete vystupujeme proti plateniu výkupného za rukojemníkov, ale v tomto prípade vám nevedia odporučiť, ako by ste mali postupovať. Dokonca pripúšťajú, že by ste mali zaplatiť," hovorí Alperovič a spomína prípady, v ktorých dokonca policajné útvary neváhali zaplatiť výkupné v Bitcoinoch, len aby získali späť kontrolu nad svojimi systémami. "Problém je všade vôkol, doslova každý sa sním stretáva. Nikto nie je imúnny. Našťastie, branie rukojemníkov je v našej spoločnosti zriedkavé, preto je ľahké dať odporúčanie, aby ste odmietli zaplatiť. "
Dôverovať zločincom priamo pri uzatváraní obchodu je zradné. Ak sa čoraz viac ľudí rozhodne, že akceptuje požiadavku výkupného a platby budú čoraz častejšie, pravdepodobne pôjde o nový obchodný model. Jediný možný spôsob ako zakročiť je globálny útok voči anonymite kryptomien. To by bola skutočná rana pre zločinecké zisky. Alebo to skúsiť cez organizovanú intenzívnu kampaň, osvetu, aby ľudia prestali platiť. Takáto kampaň je ale už teraz odsúdená na neúspech vzhľadom k tomu, aké cenné systémy sa stávajú cieľom útokov. "Nemyslím si, že to je reálne, aby ľudia prestali platiť tento druh výkupného," hovorí Alperovič. "Ako by ste prikázali nemocnici, ktorá sa má starať o zdravie a životy ľudí, aby nezaplatila výkupné?"
