Koukněte se v jakoukoliv denní či noční hodinu – a na darknetu zaručeně najdete soubory párů uživatelských jmen a hesel dostupných ke koupi. Někdy je to vlastně jen podvod na podvodníky: úplně smyšlené údaje, soubor náhodných znaků, o nichž kupující neví, že nic nepřinesou. Jindy podvodník, který s nimi hodlá třeba vydírat, a tedy vydělávat, narazí na terno. To třeba když se v jednom takovém souboru nedávno objevily e-maily vedoucí i k české vládě.

„Vlastně jsem čekal zvýšený zájem o různé vládní systémy. To zákonitě musí být, když se v médiích objevilo, jak si premiér nechává přeposílat zprávy na jen minimálně zabezpečené infrastruktuře,“ popisuje Jindřich Karásek, bezpečnostní analytik společnosti Trend Micro. Ten také soubor našel a zjistil, že jde o řadu platných údajů.

Co je však ohromující, je jeho velikost. Celkem deset milionů kombinací jména a hesla k e-mailu obsahovalo sice některé zastaralé informace, například z roku 2011, ale i množství údajů z konce roku 2019. A vlastně: kdy jste si naposledy měnili všechna hesla?

Dveře do 80 institucí

Obrovský seznam si hackeři skládali z více souborů. Nebyl zaměřený výhradně na Česko, ale e-mailové adresy s koncovkou .cz byly čtvrté nejrozšířenější. K tomu řada poměrně nadnárodních domén, které se často používají i v tuzemsku, jakou je například Gmail.

Kromě toho ale šlo o jména a hesla směřující na uživatele v parlamentu, do jedné z tuzemských elektráren, do několika univerzit, České pošty nebo Povodí Vltavy, na které ostatně hackeři také nedávno vedli útok. Navíc nešlo jen o řadové zaměstnance, ale také o některé výše postavené členy z těchto organizací. „Zjevně už se dostali dál,“ popisuje Karásek. Přístupy otevíraly cestu do celkem 80 institucí.

„Běžně uniklé přihlašovací údaje nejsou většinou přihlašovacími údaji do e-mailových schránek. Jedná se o úniky z databází internetových obchodů a dalších internetových služeb, přičemž v databázi jsou e-mailové adresy, které slouží jako přihlašovací jméno ke službě, a hesla k dané službě,“ vysvětluje Radek Holý, mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Jenže to bohužel často stačí, aby se hackerům otevřely i další dveře. „Častým problémem však je, že řada uživatelů nedodržuje základní bezpečnostní pravidla a používá při registraci do těchto služeb stejné heslo jako k e-mailové schránce,“ dodává druhým dechem Holý. Přestože to třeba nevypadá, správná kombinace jména a hesla skutečně terno je. Pokud se totiž zamíří s trochou štěstí, je možné se dostat ke komukoliv v organizaci.

Paradoxně je docela vhodné útočit na někoho níže postaveného na firemním žebříčku. Aby měl celý princip smysl, je potřeba najít si někoho, kdo má legitimní místo v organizaci, jako jsou asistentky nebo pracovníci oddělení lidských zdrojů. Ti často posílají zprávy, které jsou urgentní, mají přílohu a vlastně mají přesně tu podobu, na kterou bez otálení kliknete – a stáváte se obětí phishingového útoku. Ze stejného důvodu se útočí i na subdodavatele, i když zájmem hackerů jsou třeba větší firmy.

A že je to celé poměrně obvyklý postup, dokazuje třeba i stránka Shoppy.gg s mnoha soubory dat na prodej. Máte zájem o klienty čínské banky? Indickou databázi uživatelů jedné z mobilních aplikací? Nebo třeba balíček překvapení s názvem Ultra Pack 20+1? Budou vás stát už od 100 dolarů, tedy klidně jen pár tisíc korun. Zhruba takto vypadá tržiště i na darknetu, jak se nazývá část internetové sítě dostupné pouze skrze specifický software, autorizaci a další nestandardní postupy. Právě tam je ráj hackerů.

Česko? Na policii nejdu

Česká republika má poměrně propracovaný systém pro to, jak čelit kybernetickým hrozbám. Zastřešuje jej zmíněný Národní úřad pro kybernetickou a informační bezpečnost. S tím povinně spolupracují všechny důležité instituce, třeba právě i česká vláda. A všude se s nebezpečím reálně pracuje.

„Kybernetická bezpečnost patří mezi jednu z hlavních priorit současné vlády a stejně tak i vedení Úřadu vlády ČR,“ říká Jana Adamcová, mluvčí vlády. Ze zákona musí provádět bezpečnostní opatření proti kybernetickým hrozbám, chrání informační systémy a řeší problematiku jak po stránce technické, tak organizační.

Na kybernetickou bezpečnost má vláda stanovený výbor, manažera, správce a analytiky, různé garanty a administrátory. Zaměstnanci jsou pravidelně vzděláváni a školeni. Hesla u e-mailů jsou doplněna vícefaktorovým ověřením, musí mít daný počet znaků, speciální symboly a odolnost proti slovníkovým útokům.

„Tyto požadavky jsou definované, průběžně aktualizované a supervizované Odborem informatiky. Doba platnosti uživatelských hesel je časově omezena a jejich změna je po uplynutí doby jejich platnosti informačním systémem automaticky vynucována. Za účelem zajištění důvěrnosti a integrity dat, přenášených prostřednictvím e-mailových služeb, pak uživatelé využívají kryptografických nástrojů s implementovanými, aktuálně bezpečnými, kryptografickými algoritmy,“ popisuje Adamcová.

NÚKIB ani veškerá zaváděná opatření však nemůžou odhalit všechny hrozby, které se na síti vyskytnou. Občas na podezřelé aktivity narazí spíše lidé právě jako Jindřich Karásek. Jsou to zaměstnanci antivirových společností, nadšenci nebo programátoři na volné noze. Konkrétně Karásek se označuje jako threat hunter, tedy lovec hrozeb. Říká, že loví, spíš než zkoumá.

Jenže ať už jde o výzkum nebo rovnou lov, snaha varovat napadené se pojí s problémem, jak se k nim vlastně dostat – a přes koho. Jít za úřadem přímo, nebo ohlašovat kybernetickou hrozbu policii totiž ve skutečnosti není nejlepší nápad. „Vždycky mě to napadne, ale pokaždé si také uvědomím, že by si mysleli, že ten hacker jsem já. Možná jim křivdím, ale nehodlám to riskovat,“ popisuje další etický hacker, který si pod rouškou anonymity nepřál být jmenován.

On i jeho kolegové, kteří se v této situaci klasicky jednou za pár měsíců ocitnou, mají poměrně propracovaný systém přenosu informací. Je možné nechat kontaktovat konkrétní lidi i přes hlubiny internetu – s přesným postupem se ale svěřit nechtějí. Obvykle však vede cesta velmi křehkým řetězcem lidí, kde informaci každý posune jen o jeden další krok ke svému cíli. Tedy od bílého hackera až k postižené instituci typu vláda, právě přes NÚKIB. Pomalu, tajně, a především poměrně riskantně.

„Neznáme se navzájem všichni osobně,“ shrnuje hacker. Sám řekne informace jedinému člověku, kterému věří. Ten postupuje stejně. Nezbývá než doufat, že každý z nich zvolí toho správného. Jediná chyba naruší celý řetězec, poskytne citlivé informace protistraně a zničí několikaměsíční práci. Nebo dokonce odhalí identity, které z bezpečnostních důvodů musejí zůstat skryté.

Každý další článek řetězce přitom nemusí ideálně spolupracovat. „Pro nás je trochu problém nedostatek zpětné vazby ze strany kompetentních úřadů. Zatímco běžný uživatel má správně nahlásit incident a tím je hotov, my ještě musíme mít další informace, abychom mohli například ochránit naše klienty i zaměstnavatele,“ dodává k tomu Karásek. A výsledek téhle snahy se navíc vlastně nikdy nemusí dozvědět.

„Právě proto se anonymně kontaktuji s jedním člověkem a komu celou záležitost předá on, to už je na něm. Já to nevím a ani vědět nemůžu,“ říká Karásek. Mezi ním a konečnou, varovanou organizací jsou však obvykle maximálně dva další lidé. „Do více už bych nešel. To už je opravdu riskantní,“ doplňuje.

Co neprosákne, to funguje

Cesty už jsou však prošlapané. Nezřídka jsou etičtí hackeři v úzkém kontaktu s FBI nebo CIA, ostatně ty se zajímají o jakoukoliv možnou bezpečnostní díru v jakémkoliv softwaru, který se ve Spojených státech hojně používá. Nicméně i český NÚKIB, jakmile se k němu etický hacker už jednou dostane, umí řešit situaci velmi rychle a efektivně.

„NÚKIB tyto úniky eviduje jak z veřejných, tak neveřejných zdrojů – jsme součástí celosvětové sítě bezpečnostních týmů, které si i neveřejně vyměňují svá zjištění a poznatky. Na základě zjištěných a ověřených informací následně podle domén notifikujeme státní instituce a další subjekty, které jsou důležité pro chod našeho státu,“ popisuje mluvčí NÚKIB Holý. Podle informací CzechCrunche úřad zasáhl i v tomto případě.

Pokud se kybernetická napadení dostanou na veřejnost, jako třeba u nedávných problémů některých českých nemocnic, tak spíš odkazují na pomalé a ne to nejlepší možné řešení problému. Jakmile o ničem nevíte, vše funguje, jak má. Ale kybernetické útoky tu přesto jsou.

„Existuje i jedna veřejná služba, kde je možné sledovat nové uniky a je možné si ověřit, zda je konkrétní e-mailová adresa evidována v rámci nějakého úniku. Jedná se o službu Have I Been Pwned?. Tato služba však není provozována ani nijak kontrolována naším úřadem, proto je nutné zvážit veškeré možné dopady při vkládání jakékoli e-mailové adresy,“ říká Holý.

Proč to všechno? Někdy vede útoky nuda, jindy jasná vidina peněz. S jedním heslem zjistíte ta další: do účtů na sociálních sítích, za které se dá dobře vydírat, nebo třeba rovnou do internetového bankovnictví. S představou výkupného lze zablokovat chod celé firmy nebo organizace. Těžko odhadnutelný je pak další důvod, který Karásek nastiňuje: snaha o kontrolu vlivu.

V daném souboru uniklých hesel je totiž zvláštní specialita. Mezi těmi obvyklými, velmi početnými, ke kterým patří třeba password, 123456, qwerty nebo Passw0rd, jsou i hesla opravdu bezpečná. Tak třeba 5L0Xbf2W se pojí rovnou s 55 858 účty.

„Po tisících se vyskytují i další velmi neobvyklá hesla. Dalo by se to vysvětlit tím, že existuje někdo, kdo řídí třeba nějakou dezinformační kampaň, tedy armády trollů, které šíří obsah. Tak fungují lidé, kteří vystupují pod řadou identit. A musejí se střídat. Proto mají všichni stejná hesla. Jediné druhé vysvětlení, které mě k tomu napadá, jsou snad skvrny na slunci, které přiměly desetitisíce lidí dát si jako heslo stejný shluk písmenek a čísel,“ popisuje Karásek.