Aktuálne pôsobí na poli špecialistu pre digitálnu bezpečnosť v spoločnosti ESET, kde sa ľudským jazykom snaží približovať problematiku bezpečnosti vo svete informačných technológií. V rámci práce sa venuje aj iniciatíve Nezdieľam, ktorej cieľom je robiť osvetu v (ne)zverejňovaní osobných dát na internete. Ondrej Kubovič sa snaží byť vždy o krok pred hackermi.
Čo všetko zahŕňa práca špecialistu pre kybernetickú bezpečnosť?
Je to veľmi rôznorodé. O týchto témach sa usilujem veľa písať, školím rôzne publiká podľa viacerých zameraní. V rámci výskumu, ktorý realizuje naša firma, sa snažím ľudským jazykom dostávať do povedomia viaceré objavy. Okrem toho veľa čítam a študujem informácie, aby som mal prehľad. Veľkou súčasťou môjho dňa sú aj mítingy s ľuďmi vo výskume.
Slovensko prednedávnom zasiahli kybernetické útoky. Čo si pod tým máme predstaviť?
Išlo o útoky ransomwaru. Je to škodlivý kód, ktorý zašifruje dáta tak, aby ste sa k nim nevedeli dostať. Za ich odšifrovanie pýta peniaze. Počas pandémie techniku útočníci ešte vylepšili, dáta vám zároveň ukradnú a následne vás vydierajú. Bežných ľudí sme nedávno varovali pred tzv. techsupportscams, keď vám útočník zatelefonuje a snaží sa vám nahovoriť, že vaše zariadenie je pod útokom. Útočníkom je však on sám a navedie vás, aby ste si nainštalovali softvér na vzdialený prístup a následne vám môže ukradnúť dáta a v horšom prípade vybieliť účet. Okrem toho sa pravidelne objavujú aj podvodné vydieračské e-maily. Útočník vám povie, že si vás natočil, ako sledujete pornografiu.Bude sa vyhrážať, že keď mu nezaplatíte, zverejní video na internete. Aj keď ide o obyčajné klamstvo, veľa ľudí sa zľakne a zaplatí.
Ide len o zábavku hackerov alebo o novodobý spôsob vedenia vojny?
Zábavka aj vedenie vojny sú skôr extrémne prípady. V drvivej väčšine ide o peniaze a biznis. Ransomware gangy dokázali v poslednom období zarobiť stámilióny, celosvetovo sa to môže vyšplhať aj na miliardy dolárov. Existujú však aj útoky, ktoré môžeme označiť za akty vojny. Z minulosti napríklad hacknutie iránskych centrifúg na obohacovanie uránu Stuxnetom. V novšej dobe by som spomenul útok ransomwaru NotPetya, ktorý sa do sveta rozšíril v roku 2017 a spôsobil škody za približne 10 miliárd dolárov.
Vieme vystopovať, odkiaľ tieto útoky idú, prípadne dolapiť útočníkov?
Ak sa bavíme o konkrétnych prípadoch, keď sa podarilo niekoho dolapiť, tak máme dobrý prípad z tohto roku. Išlo o botnet Emotet, ktorý sa minulý rok šíril v obrovských množstvách a vytváral sieť zotročených zombie zariadení. Útočníci mohli tieto zariadenia ovládať na diaľku a využiť na šírenie škodlivého kódu. Polícii sa podarilo vypátrať hackerov v byte na Ukrajine, pričom pri razii zároveň zabezpečili aj veľké množstvo finančných prostriedkov v kryptomenách, ale našli aj balíky peňazí či zlaté a strieborné tehličky. Druhý prípad pochádza z Bulharska, kde sa polícii podarilo odhaliť operátorov ransomwaru. Počty útočníkov sú však veľké a sú čoraz šikovnejší. Neraz ponúkajú svoje služby prostredníctvom dark webu aj tým menej šikovným, čím sa rozmáha ďalšia trestná činnosť.
Aj keď to môže znieť trochu sci-fi, dnes vedia hackeri získať prístup a ovládať množstvo vecí. Čo všetko sa dá ovládnuť prostredníctvom kybernetických útokov?
Čokoľvek je prístupné z internetu, to útočníci dokážu ovládnuť. Závisí to od obranných mechanizmov, ktoré zvyšujú námahu dostať sa do systému. Žiaden systém však nemá 100 % bezpečnosť. Ak má útočník dostatok času, peňazí a technickú zdatnosť, dokáže si nájsť cestu. Potom hrá úlohu skôr to, ako veľmi sme mu tú cestu sťažili. Ovládnuť sa dá už aj automatický vysávač alebo smart televízia. Hackeri sa zameriavajú aj na routre, ktoré sú napojené na ostatné zariadenia tvoriace IoT (Internet of Things). Tieto zariadenia sú veľmi jednoduché a ich bezpečnosť slabá. Pokiaľ ide o závažnosť útokov na diaľku, z nedávnej minulosti sú známe incidenty kódu BlackEnergy, ktorý útočil na distribúciu elektriny na Ukrajine. Hackeri sa dokázali dostať do systému distribučných spoločností a vypnúť elektrinu pre celý región. Aj tieto útoky sú príkladom toho, že ak máte pripojené na internet niečo, čo tam pripojené byť
nemalo, môže sa stať aj takýto vážny incident.
Sú všetky kybernetické útoky považované za negatívne alebo sú aj prípady, keď má hackerstvo pozitívny zámer?
Je tu isté rozdelenie, ktoré symbolicky rozdeľuje hackerov a hackerstvo do troch kategórií: black hat (útočníci), grey hat (určitá šedá zóna), white hat (etickí hackeri). V prvej kategórii sú zlí útočníci, ktorí škodia a vydierajú. Potom je tu šedá zóna s útočníkmi, ktorí môžu mať dobrý úmysel, no robia to zlým spôsobom. Príkladom je hacker, ktorý sa pod prezývkou Janitor (údržbár) napájal na rôzne IoT zariadenia a keď zistil, že sú staré alebo neaktualizované, tak ich nadobro pokazil. A potom sú tu etickí hackeri – teda pozitívne prípady hackerstva. Ide napríklad o bezpečnostnú firmu, ktorá sa po dohode so zákazníkom snaží nabúrať do systémov spoločnosti s cieľom zistiť úroveň zabezpečenia. Tu je teda pozitívny zámer.
Máme príklady z histórie o kybernetických útokoch, z ktorých sa môžeme poučiť, prípadne ako?
Z útokov vieme zistiť, akou cestou sa útočník dostal do systému, čo konkrétne urobil, ako nás zmanipuloval, prípadne aké boli jeho postupy. Je to trochu ako hra na mačku a myš. My, obrancovia, sa snažíme vylepšovať naše obranné vrstvy a útočníci zase neustále hľadajú cesty, ako infikovať obete a vytvárajú nové riziká, na ktoré musíme reagovať. Ide o to, kto má kedy navrch. My sa snažíme byť vždy o krok vpred.
Okrem kybernetických útokov sa prostredníctvom internetu rozmáhajú aj útoky iného charakteru, napríklad kyberšikana. Ide o šikanu v online priestore, ktorá je obzvlášť nebezpečná najmä pre deti a mladistvých. Dá sa tomu technologicky zabrániť?
Venujeme sa tejto téme v rámci vzdelávania a učiteľom sa snažíme dávať nástroje, ako na to reagovať. Problematike kyberšikany sa však skôr venujú psychológovia než my bezpečnostní špecialisti. Kyberšikana je skôr na psychologickej úrovni a technicky sa len ťažko blokuje. Aj keď obeť nahlási a zablokuje agresora, tak ten si len nájde iný kanál, ako sa k nej dostane. Kyberšikana má často okrem online úrovne aj reálnu podobu vo fyzickom svete. Úplne tomu technologicky zabrániť asi nie je možné. Je to veľká téma a vo vážnejších prípadoch vie zakročiť aj polícia.
Dnes sa na sociálnych sieťach rozmáha zverejňovanie fotografií detí, napríklad keď sa rodičia chcú pochváliť svojim narodeným dieťaťom, zverejnia fotku na Instagrame. Ste súčasťou iniciatívy Nezdieľam, ktorá robí akúsi osvetu o nezverejňovaní určitých osobných informácií. Ktoré údaje by podľa vás ľudia zdieľať nemali a prečo?
To, čo chceme povedať, je, že to netreba preháňať. Je dobré mať zdravú mieru sebacenzúry a nedávať na internet čokoľvek, čo nám napadne. V opačnom prípade sú tam riziká. V lepších prípadoch môžete dieťa strápniť pred rovesníkmi a skomplikovať mu jeho sociálny život. V horšom ho vystavíte riziku, že si niektoré informácie všimnú online predátori a zneužijú ich. Ide napríklad o intímne fotografie zobrazujúce vaše dieťa, prípadne iné fotografie počas výchovy. Druhá vec, ktorú je potrebné si uvedomiť, je, že hoci dieťa v mladom veku nevie za seba rozhodovať, čo dať alebo nedať na internet, vy ako rodič by ste nemali zverejňovať príliš veľa z jeho súkromia. Dieťa sa jedného dňa stane tínedžerom a môže byť preňho dosť nepríjemné, ak zistí, že na internete sú zverejnené stovky až tisícky jeho fotografií, ktoré tam pridal jeho rodič. Dieťaťu by sme preto nemali upierať právo rozhodovať o tom, čo o sebe dá na internet.
Aké pravidlá odporúčate dodržiavať?
Ľuďom sa snažíme stále opakovať jedno pravidlo. Keď raz niečo dáte na internet, je to tam navždy. Ak tam dám fotografiu, je pravdepodobné, že v nejakom bode nad ňou stratím kontrolu. Aj keď je na mojom súkromnom profile a nevidia ju všetci, niekto z mojich súkromných priateľov môže urobiť printscreen a v tej chvíli z toho vzniká sekundárny obsah. Ten sa môže šíriť ďalej a žiť si vlastným nekontrolovateľným životom. Pre súčasných rodičov je to nový problém, keďže generácie rodičov predtým nič podobné neriešili, pretože nevyrástli vo svete sociálnych sietí a nepoznali ich riziká. Na internet by sme si rozhodne nemali zverejňovať nič citlivé, takže občiansky preukaz, letenky, lístky do kina alebo na koncert tam určite nepatria. Tiež by sme nemali zverejňovať žiadne zábery zmlúv a podobne, aby sa v budúcnosti nedostali do cudzích rúk. Je dobré si uvedomiť, čo všetko je na fotografii, ktorú zdieľam a pristupovať k nej ako vyšetrovateľ s veľkým dôrazom na detail.
Čo všetko je dnes pripojené na internet a ani si to neuvedomujeme?
Ak by sme to trochu prehnali, povieme, že dnes už takmer všetko. Možno ešte nemáte pripojenú chladničku či sporák, no i takéto modely sú už v ponuke. Dokonca existujú aj smart matrace, ktoré vám dajú informáciu, keď ich niekto používa bez vášho vedomia. Na internet sa postupne snažíme pripojiť všetko z rôznych dôvodov. Či už pre zber dát, notifikácie, alebo pre ovládanie na diaľku ako v prípade smart vysávačov. Dosť často však zabúdame, že jedným z kľúčových zariadení je router. Dosť ľudí ju chápe ako škatuľku, ktorú zapojili niekedy pred tromi až štyrmi rokmi a odvtedy s ňou nerobili nič, neaktualizovali softvér ani firmware, nemenili heslo ani nastavenia. Kým funguje, tak sa jednoducho nestarajú. To však nie je dobré. Treba dbať o to, aby zariadenie bolo aktualizované, pričom raz za pár rokov je potrebné router aj vymeniť a zabezpečiť si tak modernejšiu ochranu.
Ako sa vy osobne chránite v živote v rámci kybernetickej bezpečnosti?
Pravidelne aktualizujem svoje zariadenia a aplikácie a využívam bezpečnostný softvér. Vytváram si tiež zálohy, čiže na offline externý disk si skopírujem kľúčové veci, akými sú dokumenty, fotografie, videá a snažím sa tento disk držať bez pripojenia na internet. Som asi paranoidnejší ako väčšina používateľov. Je to spôsobené jednak mojou prácou, a jednak tým, že vidím rôzne veci, ktoré sa môžu stať. Pre príklad uvediem, že prednedávnom sa mi ozvala moja banka s tým, že ak kliknem na daný link, znížia mi úrok na hypotéke. Krásna služba, krásny nápad, problém je jedine v tom, že takýmto spôsobom často fungujú útočníci. Takže som zavolal na infolinku banky, či takáto akcia naozaj prebieha, aby som si to overil.
Nakoniec mi z banky potvrdili informáciu a úrok sa mi po kliknutí naozaj znížil.
Čomu sa venujete, keď nemyslíte na kybernetickú bezpečnosť?
Otázkou je, či je čas, kedy môžeme nemyslieť na kybernetickú bezpečnosť, keďže sme nonstop pripojení cez mobil alebo iné zariadenia. Najviac sa venujem rodine a kamarátom, čo zaberá najväčšiu časť môjho voľného času. Pred pandémiou som veľa športoval, najmä behanie, posilňovňa, no mám rád aj bojové umenia ako kondičný box a podobne. Najviac milujem snowboarding a s tým spojený freeride vo voľnom teréne. Od toho som však musel počas pandémie upustiť. Veľkú časť mojich aktivít mi teraz vypĺňa aj pes, ktorého sme si s manželkou vzali z útulku, často ho berieme na prechádzky do prírody. Nájdem si však čas aj na knihy a rád si pozriem dobrý film.
ONDREJ KUBOVIČ: Pôsobí v ESET-e od roku 2015 na pozícii špecialistu pre digitálnu bezpečnosť. Jeho úlohou je zvyšovať povedomie širokej verejnosti o kybernetických hrozbách. Prezentuje tiež výsledky výskumu v médiách a na rôznych bezpečnostných podujatiach, vrátane konferencií s odbornou a medzinárodnou účasťou. Predtým sedem rokov pracoval v slovenských médiách.
Mohlo by vás zaujať:
Temné zákutia internetu: Odvrátená strana www
Filmové štúdio ustúpilo hackerom! Obama ich za to skritizoval
