Viry, viry, viry… Na koho útočí a jak se jim bránit?

Některé události z oblasti IT zaujmou i širokou veřejnost. Nedávno to byly případy počítačových virů v benešovské nemocnici a ve společnosti OKD. Fungování těchto organizací bylo na několik dní výrazně omezeno, obě společnosti se totiž podle zpravodajských médií staly „terčem kybernetického útoku“. To vzbuzuje dojem, že šlo o akci zaměřenou právě na uvedené společnosti, bohužel se ale ukazuje, že se jednalo spíše o „kobercový nálet“, který měl mnohem více obětí z řad malých organizací i jednotlivců. O nich se už ale zpravodajství nezmiňuje, a tak to navenek vypadá, že jsou ohroženy hlavně zajímavé a významné organizace. Realita je však úplně jiná.

Co je cílem?
Cílem těchto kybernetických útoků je získat peníze. Toho se má dosáhnout nakažením co největšího počtu počítačů tzv. šifrovacím virem, který tajně provádí šifrování všech dat v počítači, ve správnou chvíli počítač zablokuje a za odšifrování požaduje výkupné. Je zřejmé, že velmi dobrou strategií je rozeslat co největší množství zavirovaných e-mailů a doufat, že se alespoň některé z nich „uchytí“. Proto je chybou se domnívat, že „mně žádné nebezpečí nehrozí, protože nemám žádná důležitá data“.
Autoři těchto virů podstupují jen zcela minimální riziko a každý zavirovaný a zašifrovaný počítač pro ně může znamenat značný zisk. Uživatelé, kteří virus neaktivují, nebo po zašifrování dat nezaplatí výkupné, sice žádný zisk nepřinesou, ale zároveň ani neznamenají pro autora viru žádné náklady. Distribuce tohoto typu viru navíc už není doménou IT odborníků, protože nástroje na snadné vytvoření a rozeslání viru se dají zakoupit. Šíření šifrovacích virů se tak stává velmi specifickým „podnikatelským projektem“.
Jak to funguje…
Tyto viry jsou šířeny prostřednictvím e-mailů. V příjemci se snaží svým obsahem vzbudit dojem, že je v příloze e-mailu důležitý dokument, který je třeba zobrazit. Typicky se jedná o dokument ve formátu Word. Po jeho otevření dojde k automatické (případně i ruční) aktivaci makra, což je speciální krátký program, který nepozorovaně z internetu stáhne škodlivý kód. Ten pak začne postupně šifrovat data v počítači i v síti. Velmi nebezpečné je to, že počítač není nijak viditelně „nakažen“ a dále normálně pracuje. Mnoho lidí si tak ani neuvědomí, že právě ve svém počítači aktivovali virus.
Je důležité si uvědomit, že aktivaci viru provede vždy uživatel počítače nějakou vědomou akcí. Přesvědčit uživatele počítače, aby něco otevřel nebo na něco kliknul, je totiž jednodušší než využívat technické chyby v zabezpečení počítače.
Pomůže mi antivirový program?
Jen velmi omezeně. Obecnou charakteristikou těchto virů a e-mailů je to, že se každá dávka odlišuje od dávek předchozích. Antivirové ani antispamové programy tak často nedokážou reagovat dostatečně rychle, protože právě aktuální typ viru ještě neznají.
Jak takový e-mail poznám?
Každá další dávka e-mailů je lepší než ta předchozí. Zatímco dříve byly tyto e-maily psány velmi špatnou češtinou, nyní jsou často zcela srovnatelné s běžným standardem e-mailové komunikace. E-mail se tváří jako upozornění na nějakou dlužnou částku či nedoručený balíček s odkazem na přílohu, kde mají být další podrobnosti. Pro určitou skupinu lidí, kteří s takovými informace běžně pracují (účetní, sekretářky, vedoucí pracovníci, …), je riziko nechtěné aktivace viru velmi vysoké.
Je možné se bránit?
Obrana není úplně jednoduchá a skládá se z několika částí. Tou první je opakované školení uživatelů, jak mají správně pracovat s e-mailem a s dokumenty v příloze. Druhá část obsahuje technické překážky, které zabraňují snadnému zavirování počítače. Patří do toho instalace aktualizací operačního systému a antivirového programu, správné nastavení uživatelských práv a používání obtížně odhadnutelných hesel.
Třetí částí je pak příprava na situaci, kdy se virus přes veškerou snahu do počítače dostane a způsobí zašifrování dat. V takovém případě je nutné mít k dispozici zálohu dat, ze které je možné data obnovit. Sestavení zálohovacího plánu, který je odolný vůči šifrovacím virům, není úplně jednoduché. Záloha, která je sama zašifrovaná, nebo která obsahuje již zašifrované soubory, je úplně k ničemu. Je tedy potřeba mít zálohy s dostatečně dlouhou historií uložené ideálně na více místech.
Žádná z výše uvedených částí sama o sobě ale nestačí. Zároveň každá část uživatele určitým způsobem omezuje (striktní bezpečnostní pravidla), nebo vyžaduje určité úsilí a prostředky pro zprovoznění a udržení v chodu (zálohování). Z našich zkušeností vyplývá, že organizace věnují pozornost technickým částem zabezpečení, ale zanedbávají školení a osvětu pracovníků. Ve chvíli, kdy nastane z jejich pohledu nepředpokládaná situace (tedy zašifrování dat) pak navíc organizace často zjišťují, že nemají k dispozici aktuální zálohy.
Bránit se virům tedy samozřejmě možné je, vyžaduje to ale správné nastavení a dodržování bezpečnostních pravidel, permanentní osvětu a samozřejmě také zvýšenou opatrnost při práci s e-maily.
DMO Munis DVS OF ISSS