Bezpečnostní novinky

Dvacet let od útoku viru ILOVEYOU. Může se opakovat?

Avast, 5. květen 2020

Dnes je to přesně dvacet let od masivního útoku viru ILOVEYOU. Zeptali jsme se našich bezpečnostních expertů, Martina Hrona a Luise Corronse, jestli se může něco podobného opakovat a jak se obecně chránit před rychle se šířícím malwarem.

Pamatujete si 5. května 2000?

Luis Corrons, bezpečnostní expert v Avastu: V té době jsem pracoval v týmu technické podpory u jiné bezpečnostní firmy. Velmi dobře si pamatuji, co se stalo. Měl jsem mít noční směnu od desíti večer do osmi ráno, takže jsem byl zrovna doma, když zpráva obletěla celou Evropu. Nemohl jsem uvěřit, že malwarový útok se objevoval ve zprávách každou hodinu, to se nikdy předtím nestalo. Ten den jsem šel do práce brzy, už v šest večer a skončil jsem ráno v deset. Vzpomínám si, že jsem odesílal faxy, protože e-mailové systémy a internet ve firmě spadly, a připravoval jsem disky s aktualizací definice viru, které jsme museli posílat kurýrem.

Martin Hron, seniorní analytik v Avastu: Společnost, pro kterou jsem v té době pracoval, obdržela e-mail a bohužel jedna z účetních otevřela přílohu. Musel jsem nakódovat svůj první antivirový program, který byl spíš něco jako odstraňovač nebo čistič. Nedávno jsem při čištění starých souborů na ten program opět narazil a je stále funkční. Program jsem tehdy nazval "I hate you" antivirus.


Myslíte si, že by se něco podobného jako WannaCry nebo virus ILOVEYOU mohlo opakovat?

Luis Corrons: Je pravděpodobné, že v budoucnu budeme svědky útoku podobného WannaCry. Nemyslím si ale, že někdy přijde něco takového jako byl virus ILOVEYOU.

Malware se dnes může šířit mnohem rychleji než ILOVEYOU před dvaceti lety, ale věci se od té doby změnily. Tehdy nikdo neviděl, že by se soubor .vbs (visual basic script) dal zneužít, takže mnoho lidí na něj kliklo. Z hlediska infrastruktury se kapacita dotčených státní i soukromých sítí nemohla srovnávat s dnešní situací, a tak se všechno zhroutilo. Kromě toho byl před dvaceti lety e-mail jediným digitálním komunikačním nástrojem, který firmy používaly. Neexistovaly žádné chatovací aplikace, jako je Slack. Antivirové společnosti musely faxovat pokyny zoufalým zákazníkům, protože e-maily nechodily a objem provozu generovaného virem, který se sám odesílá, nutilo společnosti se odpojit.

Několik let poté jsme detekovali červy, které se šířily mnohem rychleji bez jakékoliv interakce s uživateli a postihly miliony lidí po celém světě. Nicméně sítě ustály i silné útoky typu Blaster.

Martin Hron: Stále častější budou tzv. botnet útoky a pak také útoky, které budou více "automatizované" jako například WannaCry. S postupem času se hrozby staly složitější a fungují v několika fázích. Dokonce i dnes může útok spustit sám uživatel, když otevře phishingový e-mail nebo klikne na phishingový odkaz. Zaznamenali jsme případy, kdy otevření škodlivého odkazu způsobilo kompromitování síťového routeru. To by mohlo otevřít více zadních vrátek do systému uživatele nebo úplně přesměrovat uživatele na škodlivé webové stránky, které mohou obsahovat různé hrozby - od ransomwaru po krádeže hesel a hledat na internetu další potenciální oběti.

Také motivace útoků se v posledních dvou desetiletích výrazně změnila. První virus, na který jsem narazil, byl Michelangelo v roce 1991. Ten přepsal prvních sto sektorů pevného disku, což způsobilo, že počítač nemohl nastartovat. Zatímco tehdy lidi programovali viry spíše proto, aby poukázali na chyby a na svoje schopnosti, dnes jde o dobře namazaný stroj na vydělávání peněz, ať už jde o rozesílání ransomwaru do firem, bankovní malware, který krade peníze nebo fake news podporující státní propagandu nebo vzájemné a státy sponzorované útoky.  

Co musí útočník udělat, aby se virus mohl šířit tak masově a rychle?

Luis Corrons: Dnes existují miliardy zařízení připojených k internetu. Aby se škodlivý červ rozšířil masově a rychle, malware by musel zneužít chybu zabezpečení. Tak může infikovat zařízení bez interakce s uživatelem, podobně jako to dělal WannaCry. Pokud by nějaký červ zneužil zranitelností IoT zařízení, mohl by spustit globální útok zaměřený na domácnosti i firmy.

Martin Hron: Právě IoT zařízení jsou hodně zneužívána. Pokud se nad tím zamyslíte, jsme nyní připojeni 24/7, takže necháváme svá zařízení non-stop dostupná útokům. To v kombinaci s počtem zranitelných zařízení se slabým zabezpečením, dělá hromadný útok nevyhnutelným. Globální chaos vždy začíná jednou široce přítomou vadou. To, co jsme viděli v posledních několika letech, je masivní exploze útoků prováděných na úrovni firmwaru IoT zařízení nebo počítačů bez interakce s uživatelem, jako je VPNFilter, LoJack nebo různé útoky proti verzím firmwaru modulu Intel Management. Důvodem tohoto trendu je, že tyto útoky obvykle zůstávají mimo naši hlavní pozornost a jsou těžko zachytitelné netechnicky zaměřenými uživateli.

Jak předcházet takovým útokům?

Luis Corrons: Klíčem k zabránění jakémukoliv útoku je bezpečnost. Operační systém  Windows už sice není tak zranitelný jako dříve, nicméně kyberzločinci budou i nadále hledat jeho zranitelnosti a rizika a pokoušet se jich zneužít. Pokud jde o IoT zařízení, většina z nich  je z hlediska zabezpečení ve fázi Windows 95. Během vývoje IoT zařízení se na jejich bezpečnost myslí jen velmi zřídka. Vše od softwaru, způsobu přenosu dat až po zabezpečení portů je proto v ohrožení.

Martin Hron: Neméně důležité je také povědomí uživatelů o převládajících hrozbách. Lidé by měli vědět, jak typické hrozby vypadají a jak s nimi zacházet a měli by mít přehled o bezpečnostních problémech a zabezpečit si svá zařízení. Za bezpečnost uživatelů samozřejmě odpovídají bezpečnostní firmy třeba tím, že zlepšují detekční mechanismy ve svých produktech, poskytují více typů řešení a vzdělávají. Nakonec je to však na samotných uživatelích, zda se chtějí vzdělávat nebo ne. Každý sám se musí rozhodnout, jak se bude chránit. Zvlášť důležité je chování v případě sociálního inženýrství, tedy podvodů, které mohou vést uživatele k tomu, že si nainstalují malware nebo se vzdají svých citlivých informací.