Mnohým hackerom sa stane, že ich servery s ukradnutými dátami nie sú zabezpečené, hovorí Lukáš Štefanko.
Lukáš Štefanko už 8 rokov pracuje ako analytik škodlivého kódu (malware researcher) pre spoločnosť ESET, ktorá podniká v oblasti antivírusovej ochrany. Bojuje proti hackerom a zameriava sa predovšetkým na Androidy.
„Väčšinou za sofistikovanými útokmi stojí skupina hackerov, ktorí sa pripravujú a zbierajú informácie dlhú dobu predtým, ako čokoľvek vykonajú. Motiváciou býva buď zbohatnúť, alebo sa dostať k citlivým informáciám a žiadať výkupné,“ hovorí Lukáš.
Čo sa v rozhovore s Lukášom dozvieš:
- Kedy sa začal venovať počítačom
- Ako chrániť svoje osobné údaje
- Kde všade môžeš chytiť počítačový vírus
- Ako sa líšia filmoví hackeri od tých skutočných
- Čo si myslí o krádeži nahých fotiek Sloveniek z Messengeru
- Či postačuje Windows Defender ako jediná ochrana počítača
- Ako môže ovplyvniť vývoj umelej inteligencie mobilnú sféru
Platí ťa Soros?
Nie. Sú to samozrejme nezmysly, ktoré sa vôbec netykajú mojej práce. Preto to radšej nebudem komentovať.
O ESET-e sa začalo negatívne rozprávať až posledné roky, hlavne pre nepriamy vstup do politiky. Ako vnímaš takéto reči o Sorosovi?
Nie je to pravda, takže k tomu nemám veľmi čo povedať.
Vždy si plánoval pracovať v IT sektore?
Áno. Pamätám si, keď som v slohu Ako vidím svoju budúcnosť v 8. či 9. ročníku napísal, že chcem študovať „počítače“. Uviedol som dokonca aj presnú školu s odborom.
Kedy si sa začal reálne zaujímať o IT?
Keď rodičia kúpili prvý počítač. To som mal asi 12 rokov. Dovtedy som chodil „na počítač“ ku kamarátom, ktorí ho už mali, s prácou na počítači som sa občas stretával aj v škole. V tej dobe bolo zložitejšie venovať sa novým technológiám, nebol natoľko rozvinutý internet, neboli návody na YouTube a ak sa nejaký materiál našiel, bol len v angličtine.
Pamätám si, ako som od 13 rokov chodil inštalovať nový software alebo softwarové aktualizácie na počítať na obecný úrad v Kučíne. V tej dobe som nebol znalec do PC, ale moja mama, ktorá tam pracovala ako ekonómka, mala s počítačom väčšie problémy ako ja – a keďže sme už doma počítač mali, tak som čo-to vedel.
Ako sa vtedy pracovalo na počítačoch?
V tej dobe inštalovať software znamenalo prestriedať niekedy aj 5 či 7 diskiet za sebou v presnej postupnosti cez príkazový riadok. Veľakrát sa stalo, že jedna z diskiet nefungovala a celá inštalácia zlyhala, alebo inštalácia vyhodila chybovú hlášku a software na účtovanie výplat prestal fungovať.
Vtedy som musel volať na firmu dodávateľa, aby diskety poslal poštou znova. Kým neprišiel novy software, výplaty museli počkať. V tej dobe som sa naučil, aké dôležite je robiť si zálohy dát a softwaru (smiech). Neskôr prišli CD, tie pokazené už nechodili, to už bola „brnkačka“.
To si dnes zrejme málokto vie predstaviť. Nebolo to trochu trápne pre obecný úrad, že im robil technika mladý chalan?
Ja som to nerobil pre obecný úrad, skôr som chcel pomôcť mame. Nepoznám nikoho, kto by to robil, a vlastne aj preto som občas chodil robiť „support“ aj po vedľajších dedinách, keďže výjazdy technikov z Prešova boli drahé a skoro vždy po zaslaní novej aktualizácie sa vytvoril dlhý čakací zoznam na výjazdy. Výplaty však nepočkajú a mne vtedy stačila za odmenu len horalka, nebol som náročný (smiech).
Prečo ťa chytilo IT?
Chlapčenský záujem o nepoznané a v neposlednom rade aj lepšie hry ako na SEGA.
Kedy si sa dostal do ESET-u?
Bolo to v roku 2011, keď som sa popri bakalárke zapojil do projektu JoinEset, ktorého cieľom bolo zanalyzovať špeciálne vytvorený súbor, prelúskať sa viacstupňovými nástrahami a dostať sa k výsledku.
Takáto úloha sa nazýva „crackme“, čiže rozlúskni ma. Môžeš si to predstaviť ako hlavolam, ktorého cieľom je dopracovať sa presnými postupmi k správnemu výsledku za pomoci vlastných zručností.
Pri prvej časti sa kladie dôraz na matematické úlohy, v ďalšej na schopnosť analyzovať funkciu súboru bez zdrojového kódu, potom pochopenie a vylúštenie kryptografickej úlohy, analýza systémových ovládačov, identifikovanie programovacieho jazyka, nájdenie skrytej funkcionality, práca s nástrojmi, uľahčenie si práce vytvorením vlastných skriptov pri analýze. Ak uchádzač toto všetko zvládne, môže poslať životopis aj s analýzou.
Hacker musí presne vedieť, ako systémy fungujú, kto za nimi sedí a väčšinou majú málo pokusov na zrealizovanie úspešného útoku, než ich odhalia.
Mal si veľkú konkurenciu?
Kampane sa mohol zúčastniť ktokoľvek z celého sveta. Mal som obavy z vysokého záujmu iných, medzi ktorými by som sa mohol ťažšie presadiť, ale tie hneď opadli, keď som videl náročnosť crackme. Študovaniu či porozumeniu a rozlúšteniu všetkých úloh som venoval zopár týždňov. Crackme úspešne dokončilo niečo cez 150 ľudí. Nebol som ani zďaleka najlepší, ale umiestnil som sa v hornej polovici, čo pre mňa znamenalo úspech a možnosť zarábať si tým, čo ma baví.
Aké boli tvoje začiatky vo firme?
Začiatky boli ťažšie a časovo náročnejšie, keďže som zo školy chodil rovno do práce alebo naopak. Nestíhal som poriadne ani jedno. V práci som však nechcel ostať na chvoste, tak to, čo som nestihol v práci, som dokončoval na internáte.
Čo je vo firme tvojou úlohou dnes?
Aktuálne sa venujem výskumu a analýze androidových hrozieb a hľadaniu kritických zraniteľností v mobilných aplikáciách. Keď nájdem niečo zaujímavé, tak to neskôr aj publikujem.
Koľko si už toho zanalyzoval za 8 rokov, čo pracuješ v ESET-e?
Rukami mi prešlo tisíce súborov, ktoré som zanalyzoval, hlavne tých androidových.
Ako takéto tvoje „hľadanie“ prebieha?
Vždy začína kávou. Každé ráno dostávam denne zopár otázok od ľudí z celého sveta, ktorí si nevedia rady s nejakou aplikáciou, majú podozrenie, že je ich mobil hacknutý, posielajú mi podozrivé maily či aplikácie, ktoré dostali, alebo jednoducho potrebujú poradiť s nechcenými reklamami v ich mobile.
Následne sa venujem svojej primárnej robote, a to je výskum malwarových kampaní na Androide – napríklad populárnym mobilným bankovým hrozbám alebo Android botnetom. Zisťujem, čo daný škodlivý kód robí, hľadám stopy – akým spôsobom infikuje smartfóny, aké využíva triky na oklamanie ľudí, aké banky sú jeho cieľom, kam posiela ukradnuté prihlasovacie údaje, komu patrí daný server, o akú skupinu „hackerov“ ide, či som ich v minulosti už videl, alebo v ktorej krajine operujú.
Hackeri sa snažia získať prístup k osobným informáciám ako sú fotky, videá, SMS, emaily či uložené súbory.
Znie to zložito. Čo je v tomto procese najdôležitejšie?
Určite to, či sa dokážu aj ďalej šíriť z infikovaného zariadenia, či sú ich cieľom dáta v zariadení alebo peniaze z finančných aplikácií, prípadne či nejde aj o mimoriadne cielenú špionáž. Hacker musí presne vedieť, ako systémy fungujú, kto za nimi sedí a väčšinou majú málo pokusov na zrealizovanie úspešného útoku než ich odhalia.
Mnohí hackeri paradoxne nie sú veľmi dobrí v bezpečnosti a stane sa, že ich servery s ukradnutými dátami sú nezabezpečené a prístupné. Často pritom majú dáta vyše tisícok obetí. Všetky tieto poznatky potom spájam dokopy a upozorním cielené krajiny cez našich partnerov, server hosting, kde sú uložené ukradnuté dáta, banky či políciu.
Z akých krajín pochádza najviac útokov?
Väčšinou je ťažké určiť, kto za útokom stojí, ale potenciálne ciele registrujeme na celom svete.
Vo filmoch stlačia hackeri párkrát klávesnicu a skolabuje celé mesto. Ako to je v skutočnosti?
Realita je značne odlišná. Väčšinou za sofistikovanými útokmi stojí skupina hackerov, ktorí sa pripravujú a zbierajú informácie dlhú dobu predtým, ako čokoľvek vykonajú. Mestá väčšinou nekolabujú, motiváciou býva buď zbohatnúť, alebo sa dostať k citlivým informáciám a žiadať výkupné.
Existujú v posledných rokoch nejaké príklady?
Vždy to však stojí a padá na tom najdôležitejšom článku – človeku, ten robí posledné rozhodnutie. Dôkazom toho bol aj útok z roku 2015, keď sa masovo rozšíril ransomware WannaCry cez zraniteľnosť v operačnom systéme Windows. Táto zraniteľnosť umožňovala už nakazenému počítaču infikovať všetky neaktualizované systémy Windows na danej lokálnej sieti.
To znamená, že ak by sa niekto v kaviarni s Wi-Fi pripojil už s nakazeným počítačom, ostatné neaktualizované počítače by sa mohli taktiež nakaziť len tým, že sa pripojili na rovnakú sieť. A teraz si predstav, že každý si ten svoj nakazený laptop z kaviarne prinesie domov, do práce či vlaku. Každý z nich sa stáva nositeľom, preto to malo taký rýchly spád.
WannaCry úspešne infikoval PC cez túto zraniteľnosť, zašifroval dáta a požadoval výkupné vo výške okolo 500 dolárov vo forme Bitcoinu. Ak by si ľudia aktualizovali operačný systém a neotvárali neoverené prílohy z mailu, dopad mohol byt oveľa menší.
Sú dnešní hackeri vynaliezaví?
Je to hra na mačku a myš. Z mojich skúsenosti viem, že väčšina hackerov volí staré, avšak overené spôsoby a len malé percento je vynaliezavých, byť šikovnejší či lepší je totiž náročnejšie a drahšie.
Ako sa za desaťročia zmenili „triky“ hackerov?
Zmenil sa predovšetkým cieľ. V minulosti hackerom „stačilo“ reštartovať počítač na druhej strane sveta bez akéhokoľvek osobného benefitu. Dnes je to buď o peniazoch, alebo osobných dátach na zariadení. Ich cieľom je získať prihlasovacie údaje k finančným aplikáciám a následne realizovať platby.
To sa napríklad stalo minulý rok v Česku, kde Android malware ukradol vyše 78 000 € z bankových účtov. Hackeri sa taktiež snažia získať prístup k osobným informáciám ako sú fotky, videá, SMS, emaily či uložené súbory. Následne žiadajú výkupné za ich „navrátenie“ užívateľovi späť, resp. pýtajú peniaze od zadávateľa za špionáž.
Minulý rok som reportoval vyše 200 škodlivých aplikácii, ktoré sa nachádzali na Obchode Play, medzi nimi boli napríklad phishingové appky, SMS trojany, spyware či mobilné bankové trojany.
Postrehol si nedávnu krádež nahých fotiek Sloveniek? Hacker ich následne zavesil na internet.
Áno. Horšie by už len bolo, ak by sa útočník dievčatám aj vyhrážal a žiadal „výkupné“, no aj tak ich zverejnil.
Ako sa k nim mohol hacker dostať?
Je viacero spôsobov. Predpokladám, že v tomto prípade dievčatá zadávali svoje prihlasovacie údaje k Facebooku do falošných stránok a útočník mal potom prístup k ich konverzáciám či odoslaným fotkám. Podobnému prípadu som sa venoval pred rokom, keď sa pomocou Pokecu šírila škodlivá appka, ktorá taktiež kradla intímne fotky obetí.
Aká je prevencia?
Neinštalovať appky, ktoré majú v názve slovo sex, 99 % z nich je totiž malware. Najdôležitejšie však je neprihlasovať sa do neoverených web stránok, ktoré žiadajú tvoje osobné údaje.
Mohol by sa z pracovníka vo firme, ktorá vyvíja antivírus, stať hacker? Má totiž dostatok skúseností, ako taká spoločnosť pracuje.
Padlý anjel? Možné je všetko, ale myslím si, že len málokto by vymenil pracovnú istotu za neistotu na underground marketoch, kde človeku neostáva nič iné, len veriť cudzím ľudom z iných krajín. Tiež by to znamenalo, že už nie je cesta späť. ESET a ani mnohé ďalšie spoločnosti ľudí, ktorí sa ocitli na tej druhej strane, nezamestná.
Mobil je dnes alfou a omegou mladých ľudí, no málokto používa antivírus vo svojom inteligentnom zariadení. Je to chyba?
Je to možnosť voľby. Používateľ musí dostatočne vedieť odhadnúť riziko. To znamená, že ak mám tablet či mobil, ktorý používam len na hranie hier, tzn. nemám tam sociálne siete, mobilné bankovníctvo či uložené citlivé dáta, tak by boli následky dopadu mobilného malwaru minimálne.
Ak ide o pravý opak, tak by mal byť používateľ obozretný nie len pri sťahovaní appiek, ale aj pri navštevovaní webových stránok, preklikoch zo sociálnych sietí, otváraní emailových príloh či inštalovanie cracknutých hier alebo appiek z Obchodu Play.
Overovať všetky tieto informácie manuálne používateľom môže byt časovo náročne, ba dokonca fyzicky nemožné. Osobne si myslím, že pre firemné Android zariadenia je to nutnosť – aj keď v aute nepoužívam airbagy denne, tak si priplatím za to, aby tam boli.
Na čo všetko by som si mal dávať pozor?
Najbežnejším spôsobom, ako sa človek nainfikuje Android malwarom, je práve sťahovanie aplikácii z alternatívnych obchodov alebo torrentov. To platí aj pre podvodné emaily a SMS správy, ktoré sa snažia presvedčiť používateľa, aby si nainštaloval appku z prílohy alebo priloženého linku.
Takéto falošné SMS sa šírili aj na Slovensku. Išlo o mobilnú bankovú hrozbu. Bol si už niekedy pripojený na verejnej Wi-Fi sieti? Ak ti presne v tom čase cinkla podozrivá a zároveň urgentná aktualizácia akejkoľvek aplikácie mimo Obchod Play, mohol si sa stať obeťou malwaru.
Môžem ho chytiť aj z aplikácie z Google Play či App Store?
Áno, dá sa chytiť aj z Google Play. O to ťažšie je pre človeka vyhodnotiť vierohodnosť aplikácie, ak nepoužíva antivírus. Ja som napríklad v minulom roku reportoval vyše 200 škodlivých aplikácii, ktoré sa nachádzali na Obchode Play, medzi nimi boli napríklad phishingové appky, SMS trojany, spyware či mobilné bankové trojany. Tento rok ich je zatiaľ 97. Tieto appky majú dohromady milióny stiahnutí.
Apple si na svojom App Store dáva väčší pozor na škodlivé aplikácie, aj keď treba pripomenúť, že Apple zakázal akémukoľvek antivírusovému riešeniu prístup na App Store tvrdiac, že iOS malware neexistuje. Tým pádom toto tvrdenie nemá ani kto overiť. Každopádne, falošné appky sa našli aj na App Store, ich cieľom bolo presvedčiť používateľa k priloženiu palca na snímač odtlačkov a ak mala obeť spárovaný Apple Pay s odtlačkom prstov, presne v tej chvíli zobrazila dialóg o platbe za vyše 100 eur, ktorá bola automaticky nechtiac zaplatená.
Do akej miery ma ochráni Windows Defender?
To, ako je na tom Windows Defender, hovoria nezávislé testy, z ktorých zatiaľ nevychádzal úplne najlepšie. Ale ku konkurenčným produktom sa nezvyknem vyjadrovať.
Ako je na tom Slovensko v rámci virtuálnej bezpečnosti?
Minulý rok média informovali o prvom mieste Slovenska v globálnom indexe kyber-bezpečnosti, takže si myslím, že čeliť hackerským útokom dokážeme.
Spolupracuje ESET so štátom na posilnení bezpečnosti?
Toto nie je otázka na mňa. Spolupracujeme s vyšetrovateľmi, ak máme takúto zákonnú povinnosť. V minulosti sme vo svete spolupracovali na dolapení kybernetických kriminálnikov.
Máme kvalitné IT školy, alebo je lepšie byť samouk?
Určite máme. Každopádne, IT a technológie napredujú veľmi rýchlo, čo sa nestíha premietať do učebných osnov. Takže podľa mojich skúsenosti je nutnosť byť aj „samouk“, ak sa chceš zlepšovať.
Tá pravá umelá inteligencia ešte nejestvuje. Zatiaľ je to všetko len strojové učenie či neurónové siete, čo môže byť základný kameň pre AI, ale i nemusí.
Na akej úrovni sa pohybujú výplaty v spoločnosti?
K platu sa nemôžem vyjadriť, ale dnes si minimálne ohodnotenie môžeš pozrieť aj v inzerátoch na internete. Navyše k tomu treba prirátať benefity, ktorých práca v ESET-e ponúka množstvo.
Ako vidíš svoju budúcnosť?
Určite v mobilnej bezpečnosti, ideálne v ESET-e. Spoločnosť ponúka mnoho možností, spolupracujeme na rôznych projektoch, technológie sa vyvíjajú rýchlo, čiže jednotvárna monotónna práca v budúcnosti nehrozí.
Okrem pracovných povinností sa podieľam napríklad aj na dobrovoľníckom projekte Digital Skills na Slovensku, kde zdieľame a prinášame učiteľom základných škôl poznatky z IT praxe či IT bezpečnosti, pomocou ktorých pedagógovia dokážu efektívnejšie naučiť budúce generácie, ako programovať hravou formou či osvojiť si základy bezpečnosti na internete.
Spomínal si, že k počítaču si sa dostal vďaka hrám.
Hry už aktívne nehrávam, ale ak si nájdem čas, tak si zahrám PUBG na mobile.
Je virtuálna realita budúcnosťou v oblasti hier?
Raz som to skúsil a bol to skvelý zážitok. Neviem, či je to budúcnosť v oblasti hier, ale ja by som si pomocou VR vedel predstaviť vzdelávanie detí, prípadne virtuálne cestovanie a spoznávanie sveta.
Na pretrase je tiež umelá inteligencia, jej vývoj neustále napreduje.
Tá pravá umelá inteligencia ešte nejestvuje. Zatiaľ je to všetko len strojové učenie či neurónové siete, čo môže byť základný kameň pre AI, ale i nemusí. Problém je v tom, že AI by mala v pravom slova zmysle vedieť rozhodovať bez učenia, čiže aj o veciach, o ktorých v minulosti nerozhodovala.
Strojové učenie je založené na tom, že je najprv nutné „naučiť“ program, ako má vyhodnocovať, a potom podľa naučených odpovedí rozhodovať o podobných prípadoch. Napríklad, ak dieťa pozrie na slnko, hneď vie, že je to slnko. A to aj bez toho, aby ho v minulosti videlo tisíckrát. Strojové učenie je najprv vyhodnocovaciemu algoritmu ukázať tisíckrát slnko, a až potom dôkaze vyhodnotiť, či vidí slnko alebo nie.
Ako môže jej vývoj ovplyvniť mobilnú sféru?
Takéto strojové učenie, alebo v budúcnosti AI, by mohli človeku uľahčiť život, prípadne robiť jednoduché rozhodnutia za neho. Inteligentná domácnosť, ktorá sama objedná jedlo, ktoré chýba v chladničke, v zime zakúri pred tým, ako sa vrátiš z práce, kúpi narodeninový darček pre manželku, zaparkuje auto. Ak chceme docieliť toto, musíme sprístupniť všetky naše zvyky, dáta a správania technológii, ktorá najviac týchto informácii o človeku má. To je práve smartfón. Vie, kde sa nachádzame, vidí náš program v kalendári, ako dlho spíme, vie, koho sme pozvali na obed, ktoré podniky navštevujeme a za čo platíme, s kým pracujeme.
Môže byť nebezpečná?
Ťažko povedať, ale ako dokazuje naša minulosť – všetko sa dá zneužiť, prípadne byť nebezpečné.
