ZERO-DAY: TAJNÝ TRH S CHYBAMI, KTERÉ MOHOU ZNIČIT SVĚT, A PROČ JSTE V OHROŽENÍ

Svět na hraně: Proč jsou zero-day exploity největší kybernetickou hrozbou

Klíčové body:

• Zero-day exploity jsou neodhalené chyby v softwaru nebo hardwaru, na které neexistuje žádná záplata.
• Jsou to nejsilnější nástroje pro hackery, umožňující nepozorovaný přístup do jakéhokoli systému.
• Existuje tajný a lukrativní trh, kde se tyto zranitelnosti prodávají za miliony dolarů.
• Vlády po celém světě jsou hlavními hráči na tomto trhu, hromadící exploity pro špionáž a kybernetickou válku.
• Zero-day exploity již byly použity k fyzickému poškození infrastruktury (Stuxnet) a k masivním globálním útokům (WannaCry, NotPetya).
• Stále větší propojenost našich zařízení vytváří obrovskou „útočnou plochu“ pro tyto digitální zbraně.
• Pravidelné aktualizace softwaru jsou vaší jedinou obranou proti známým zranitelnostem.

Co jsou zero-day exploity a proč jsou tak nebezpečné?

Ještě před pár lety jsem si říkal: „Proč je pořád potřeba tolik aktualizací? Co se vlastně mění?“ Pokud se v tom poznáváte, pak po přečtení tohoto článku zaručuji, že změníte názor na odkládání aktualizací. Všechno začíná u takzvaných zero-day exploitů. Zero-day, někdy vyslovováno jako „ó-day“, je v podstatě chyba v softwaru nebo hardwaru, pro kterou neexistuje žádná záplata ani oprava. Nazývá se „zero-day“, protože původní vývojář měl „nula dní“ na vytvoření obrany – nemá ani tušení, že tam chyba je. A dokud dodavatel o chybě nezjistí a nevydá aktualizaci k její opravě, kdokoli, kdo daný software nebo hardware používá, je zranitelný.

Právě proto jsou zero-day exploity nejmocnějším nástrojem pro každého hackera. Mohou být zadními vrátky do jakéhokoli systému na světě. Například zero-day v Apple iOS by mohl umožnit někomu vzdáleně se nabourat do jakéhokoli iPhonu na světě a nepozorovaně vidět každý soubor, aplikaci, fotografii a zprávu. A proti zero-day exploitu neexistuje žádná ochrana. Z definice jde o neznámou zranitelnost, takže vám žádný antivirus nepomůže. Samozřejmě, výrobce nakonec bezpečnostní díru najde a vydá aktualizaci, ale může to trvat měsíce nebo i roky, než ji odhalí. To znamená, že během té doby může dojít ke katastrofálnímu poškození. Se správnými zero-day exploity se hacker může dostat do jakékoli společnosti nebo systému na světě – a to neznamená jen vaše zařízení. Mohli by se nabourat do vojenské základny, bezpečnostních kontrol v chemickém závodě, nebo dokonce vypnout elektrickou síť celého státu. Vzhledem k tomu, jak silné tyto zero-day exploity mohou být, jsou samozřejmě neuvěřitelně lukrativní. Správný kupec zaplatí miliony dolarů. Ale kdo tyto zero-day exploity kupuje? To je ještě znepokojivější otázka.

Zrození temného trhu: Od hobby hackerů k digitálním zbraním

Všechno to začalo v 80. a 90. letech, kdy hackeři objevovali chyby v různém softwaru. Často to byl jen koníček – byli zvědaví, jak kód funguje a zda v něm najdou nějaké zranitelnosti. Pokud chybu našli, často se obrátili na technologické společnosti jako Microsoft nebo Oracle a informovali je. Tyto společnosti však nebyly ani zdaleka vděčné. Právě naopak. Hackery považovaly za obtížné, za kriminálníky. Rozhodně nechtěly, aby lidé upozorňovali na chyby v jejich produktech. A tak hackerům vyhrožovaly právními kroky, pokud nepřestanou „šťourat“ v jejich softwaru. Tato reakce vyvolala mezi hackery, kteří se snažili jednat správně, velkou frustraci. Hrozby od technologických gigantů vedly k zášti, která nakonec mnoho „white hat“ hackerů (etických hackerů) přeměnila na „black hat“ (zlomyslné hackery). Když je společnosti neposlouchaly, někteří hackeři začali nalezené chyby sdílet veřejně online, například na službě Bug Track. Microsoft je pak přirovnal k teroristům.

V roce 2003 ucítila bezpečnostní společnost ID Defense příležitost. Začala hackerům přímo platit za nalezené zranitelnosti. Často šlo o poměrně malé částky, třeba 100 dolarů. To však dalo hackerům motivaci sdílet nalezené chyby etickým způsobem, protože ID Defense je pak sdílela s dodavateli, aby je mohli opravit. Mezitím mohli svým vlastním klientům nabídnout řešení, jak se chránit, dokud dodavatel chybu neopravil. Obchodní model ID Defense fungoval poměrně dobře pro všechny. To však dalo vzniknout zero-day trhu, kde se tyto zranitelnosti začaly prodávat za zisk. A netrvalo dlouho a ID Defense začala být přehazována vyššími nabídkami. Vládní agentury a jejich prostředníci začali oslovovat hackery na těchto fórech a nabízet mnohem vyšší ceny – desítky nebo stovky tisíc dolarů za správný exploit. Samozřejmě, existovala jedna kritická podmínka: úplné ticho. Zero-day má takovou hodnotu jen tehdy, když o něm nikdo jiný neví. Jakmile dodavatel bezpečnostní díru opraví, hacker ztratí přístup. Pokud tedy vládní špioni a brokeři měli zaplatit šesticiferné částky za zero-day exploit, bylo klíčové, aby o tom nikdo jiný nevěděl.

Obchodníci se smrtí: Kdo kupuje kybernetické zbraně?

Prvním pravidlem zero-day trhu je: „O zero-day trhu se nemluví.“ ID Defense si všimla, že počet nahlášených chyb začal klesat a někteří hackeři naznačovali, že mají lepší možnosti. Protože se tyto transakce obvykle prováděly přes prostředníky, hackeři obvykle neměli tušení, komu prodávají nebo jak bude zero-day použit. Jednáte jen s prostředníkem. Můžete doufat, že exploit, který jste našli, je prodán vaší vlastní vládě, která ho použije ke špionáži teroristů a k předcházení škodám. Ale ve skutečnosti by mohl být prodán „darebáckému“ státu, který ho může použít k vyvolání exploze v chemickém závodě a zabíjení civilistů. Nemáte jak to zjistit. Proto jsou prodejci zero-day exploitů označováni jako „obchodníci se smrtí“, prodávající kulky pro kybernetickou válku.

Z úniků Edwarda Snowdena víme, že Spojené státy byly jedním z největších hráčů na zero-day trhu. Uniklé dokumenty naznačovaly, že NSA získala obrovskou knihovnu neviditelných zadních vrátek do prakticky každé aplikace, serveru a systému, na který si vzpomenete, a mohla se do nich nabourat, i když bylo zařízení vypnuté. Ale v podstatě každá země na světě je nyní aktivní na zero-day trhu. Zpočátku byl hlavním důvodem hromadění těchto exploitů špionáž. Ale nyní, když používáme stejný software v továrnách, jaderných elektrárnách, rozvodných sítích a potrubích, se tyto zero-day exploity staly novým nástrojem pro kybernetickou válku. Samozřejmě, přesně ty samé zero-day exploity, které by mohly být použity proti vašim nepřátelům, mohou být použity i proti vám, jelikož většina světa používá stejnou technologii a technologické společnosti přijaly mantru „pohybuj se rychle a rozbíjej věci“. To ale znamená, že čím více kódu je uspěchaně napsáno, tím více chyb se objeví, které lze zneužít.

Cena zranitelnosti: Bug bounty programy vs. brokeři

Je zajímavé, že technologické společnosti nyní změnily svůj postoj k hackerům a místo toho, aby je považovaly za nepřátele, si uvědomily, že jsou levnou formou zajištění kvality. Mnoho společností tak nyní nabízí vlastní programy „bug bounty“, aby platily hackerům za nalezení zranitelností v jejich kódu. Problém je, že zero-day brokeři platí výrazně více peněz. Společnosti tak v podstatě důvěřují hackerům, že pokud najdou chybu, přijmou méně peněz tím, že ji dají přímo dodavateli k opravě, místo aby ji prodali zero-day brokerovi. Jako příklad existuje zero-day broker, který veřejně sdílí svůj ceník – jmenuje se Zerodium. Většina brokerů je velmi tajnůstkářská ohledně toho, komu prodávají a za kolik. Ale Zerodium je transparentní v tom, že platí mezi 2 a 2,5 miliony dolarů za zero-day pro Android nebo iOS, který dokáže plně přistupovat k zařízení uživatele. To je „svatý grál“ zero-day exploitů, protože se s ním dostanete do téměř každého zařízení, aniž by uživatel musel na cokoli kliknout. Jak vidíte, existuje prosperující trh s zero-day exploity, protože mohou být v podstatě kybernetickými zbraněmi hromadného ničení. A dokážete si představit škody, které by mohly způsobit. A nemusíme si je ani představovat. Už se to stalo.

Když udeří kybernetické zbraně: Skutečné případy

Stuxnet: První kybernetická zbraň hromadného ničení

Je rok 2010 v sídle íránského jaderného programu, kde vyvíjejí jaderné zbraně. Netuší, že byli infikováni zákeřným počítačovým červem, který je nejsofistikovanější kybernetickou zbraní, jakou svět kdy viděl. Jmenoval se Stuxnet. A útok využil 4 zero-day exploity spojené dohromady. Útok začal, když infikovaná USB flash disk byla připojena k počítači s Microsoft Windows. Zneužitím zero-day zranitelnosti Microsoftu se Stuxnet dokázal šířit z infikovaného USB disku na počítač bez detekce. Poté, pomocí samostatné zero-day zranitelnosti v tiskárnách, získal Stuxnet přístup k lokální síti zařízení a rozšířil se po celé elektrárně. I když síť nebyla připojena k internetu, zneužitím těchto zero-day zranitelností se Stuxnet dokázal zavrtat hluboko do jejich systémů, dokud nenašel svůj cíl. A pak Stuxnet začal přetěžovat íránské centrifugy na obohacování uranu, což způsobilo jejich přehřátí a sebezničení. Tento počítačový červ způsoboval velmi reálné fyzické škody. A přesto byl kód tak chytře zkonstruován, že na monitorech hlásil, že se centrifugy otáčejí normální rychlostí. A tak íránským vědcům monitorujícím obrazovky počítačů se vše jevilo normální. Než si konečně uvědomili, že za zničením jejich centrifug stojí počítačový červ, asi pětina z nich již byla Stuxnetem zničena. Ačkoliv nikdo nikdy oficiálně nepotvrdil odpovědnost za útok, experti později dospěli k závěru, že Stuxnet byl společnou operací Spojených států a Izraele. Odhaduje se, že íránský jaderný program zpozdil o několik let.

Další důsledky Stuxnetu nelze přeceňovat. Byla to první kybernetická zbraň hromadného ničení na světě. Bývalý ředitel NSA ji přirovnal k okamžiku, kdy byla použita první atomová bomba. Nová zbraň byla venku a nebylo cesty zpět. Ukázala ostatním zemím, čeho lze dosáhnout s několika zero-day exploity použitými dohromady. Byl to téměř inzerát na škody a zničení, které by mohly být způsobeny těmito kybernetickými zbraněmi. A tak po objevení Stuxnetu v roce 2010 se zero-day trh zaplavil více kupci, včetně zemí s hroznými záznamy o lidských právech. Kybernetické závody ve zbrojení byly zahájeny.

WannaCry a NotPetya: Když vládní exploity padnou do špatných rukou

Je 12. května 2017 a v Londýně propukla panika. Pacienti jsou odmítáni v nemocnicích s tím, že jejich operace nemohou proběhnout. Bylo jim řečeno, že britský zdravotnický systém byl napaden. Přesněji řečeno, mnoho nemocnic ve Spojeném království bylo infikováno ransomwarem zvaným WannaCry. Když zaměstnanci otevřeli své počítače, viděli zprávu, která jim oznamovala, že všechny jejich soubory byly zašifrovány. Zpráva s výkupným říkala: „Možná jste byli zaneprázdněni hledáním způsobu, jak obnovit své soubory, ale neztrácejte čas. Nikdo nemůže obnovit vaše soubory bez naší dešifrovací služby.“ A samozřejmě, za to jste museli zaplatit. Byla poskytnuta Bitcoinová adresa. Bylo tam také odpočítávání, jak dlouho zbývá do zvýšení ceny, a pokud nezaplatíte do týdne, vaše důležité soubory budou navždy ztraceny. Rychle se ukázalo, že tento ransomware se šíří po celém světě šokující rychlostí. Od indických leteckých společností, čínských univerzit, japonské policie až po největší španělskou telekomunikační službu – statisíce počítačů byly zašifrovány WannaCryem.

Ale zde je klíčová část. Experti brzy zjistili, proč se útoky rozšířily tak rychle. Útočníci použili ukradený exploit NSA nazvaný EternalBlue. To jen ukázalo riziko hromadění těchto zero-day zranitelností vládami a jak se tyto exploity mohou dostat do špatných rukou a způsobit nesmírné škody. V tomto případě byl útok vystopován zpět k Lazarus Group, hackerské skupině spojené s vládou Severní Koreje. Co je fascinující na ransomwaru, je, že je to byznys. Existují nesčetné zprávy o lidech, kteří s těmito útočníky smlouvají o ceně. A některé ransomware týmy dokonce nabízejí zákaznický servis. Jejich cílem je nakonec vydělat peníze. A naštěstí, v tomto případě byli útočníci nedbalí. Neúmyslně do svého kódu zahrnuli „kill switch“. A 22letý student Marcus Hutchins ji rychle objevil. Uvědomil si, že malware WannaCry se spustí pouze tehdy, pokud se nemůže připojit k doménovému jménu kill switche, což byl dlouhý řetězec znaků. Takže jednoduše zaregistroval toto doménové jméno za 11 dolarů. A protože se malware nyní mohl připojit k doméně, přestal se spouštět na nových zařízeních. Ačkoliv se odhaduje, že WannaCry způsobil škody až 4 miliardy dolarů, věci mohly být mnohem horší. A jen o měsíc později by i byly.

• června 2017 Rusko použilo tuto nově uniklou kybernetickou zbraň NSA na Ukrajině v tom, co se stalo nejničivějším kybernetickým útokem v historii. Ukrajinci se probudili a viděli všude černé obrazovky. Nemohli si koupit potraviny, nemohli si vybrat peníze z bankomatů, nemohli dostat zaplaceno a nemohli ani monitorovat úrovně radiace v Černobylu. Takže neměli tušení, zda jsou v bezpečí. Tento jediný útok z Ruska se odhaduje na více než 10 miliard dolarů. Ale Rusko bylo tak hluboko uvnitř všech ukrajinských systémů, že tuto moc mohlo snadno použít k něčemu velmi smrtícímu. Místo toho se snažili poslat Ukrajincům zprávu, že jejich vláda je slabá a Rusko je silnější a má kontrolu. Něco podobného už udělali o 2 roky dříve pomocí jiného exploitu, když Rusové krátce vypnuli elektrickou síť na Ukrajině a uvrhli zemi do tmy a paniky.

Rostoucí útočná plocha a proč jsou aktualizace klíčové

Co je fascinující na těchto kybernetických útocích, je, že jedním z důvodů, proč pro Ukrajinu nebyly věci mnohem horší, je, že v té době nebylo vše v zemi tak propojené a automatizované. Naproti tomu, pokud to srovnáte se zemí jako Spojené státy, prakticky vše je připojeno k internetu. A tak experti varují, že s tím, jak nadále propojujeme více zařízení – od našich nemocnic po chemické závody, potrubí, auta, žárovky a ledničky – v podstatě vytváříme největší útočnou plochu na světě.

Možná si myslíte, že tyto incidenty by měly být budíčkem. Jedna země vzdáleně zničila jaderný program jiné země. Hackeři zašifrovali soubory po celém světě, což stálo miliardy dolarů. Dokonce i jedna země vypnula proud v jiné zemi. Ale zpravodajský cyklus se posouvá dál, exploity se nadále hromadí a tajný zero-day trh prosperuje. Pokud jste si mysleli, že zero-day trh je znepokojující, počkejte, až uslyšíte o Silk Road. Je čas vydat se na dark web a dozvědět se o nejilegálnějším byznysu na světě.

Pro vaši osobní bezpečnost je klíčové pravidelně aktualizovat všechna svá zařízení a software. Každá aktualizace často obsahuje opravy bezpečnostních chyb, které by mohly být zero-day zranitelnostmi, než byly objeveny a opraveny. Ignorování aktualizací vás vystavuje zbytečnému riziku v tomto nebezpečném digitálním světě.