BAKALÁŘSKÁ PRÁCE

(1)

VYSOKÁ ŠKOLA REGIONÁLNÍHO ROZVOJE A

BANKOVNÍ INSTITUT AMBIS, a.s.

Studijní program: Bezpečnostní management v regionech

BAKALÁŘSKÁ PRÁCE

Kybernetická kriminalita

Autor: Michal Dermek

Vedoucí bakalářské práce: doc. JUDr. Jan Kolouch, Ph.D.

2019

(2)

Poděkování

Rád bych touto cestu poděkoval vedoucímu své bakalářské práce doc. JUDr. Janu Kolouchovi, Ph.D. za odbornou pomoc při vedení a podnětné informace a také za čas, který věnoval konzultování mé bakalářské práce

(3)

P r o h l a š u j i,

ţe jsem předloţenou bakalářskou práci vypracoval samostatně a všechny citace a prameny řádně vyznačil v textu. Veškerou pouţitou literaturu a podkladové materiály uvádím v přiloţeném seznamu literatury. Současně souhlasím s tím, aby tato práce byla zpřístupněna v knihovně VŠRR a Bankovního institutu – AMBIS, a.s. a pouţívána ke studijním účelům v souladu s autorským právem.

V Praze, dne 15. 4. 2019 Podpis studenta

(4)

Anotace CZ:

Bakalářská práce se zabývá problematikou kybernetické kriminality. Cílem práce bylo představit formou kazuistických studií pachatele kybernetické kriminality, vymezit aktuální hrozby v kyberprostoru a formulovat doporučení proti těmto hrozbám.

V teoretické části bakalářské práce je rozebrána problematika kybernetické kriminality, bezpečnosti, útoků, nejčastější projevy kybernetické kriminality a preventivní bezpečnostní opatření. Praktická část popisuje čtyři kazuistiky kybernetických útoků, popisuje pachatele a poukazuje na chyby, kterých se tyto společnosti dopustily.

Klíčová slova CZ:

Kybernetická kriminalita, malware, kybernetický útok, hacker, útočník, pachatel

Anotace EN:

This bachelor thesis deals with the issue of cyber crime. The aim of the thesis was to present the perpetrators, to define the current threats in cyberspace and to formulate recommendations against these threats. The theoretical part of the thesis analyzes with cyber crime, cyber security, cyber attacks, the most common attacks and preventive safety measures. The analytical part contains of four case studies of cyber attacks, describes the prepatrators and points out the mistakes that these companies have made.

Klíčová slova EN:

Cyber crime, malware, cyber attack, hacker, attacker, perpetrator

(5)

Obsah

SEZNAM ZKRATEK ... 6

ÚVOD ... 7

1 CÍLE A METODIKA ... 8

2 BEZPEČNOST V KYBERPROSTORU ... 9

2.1 Kybernetická bezpečnost ... 9

2.2 Preventivní bezpečnostní opatření ... 10

2.2.1 Firewall ... 10

2.2.2 Anti-malware ... 10

2.2.3 Heslo ... 11

2.2.4 Aktualizace ... 11

2.3 Bezpečnostní týmy v kyberprostoru ... 12

2.4 Historie kybernetické kriminality ... 13

2.5 Kybernetická kriminalita ... 16

2.6 Kybernetický útok ... 17

2.7 Nejčastější projevy kybernetické kriminality ... 18

2.7.1 Malware ... 18

2.7.2 Zero day attack (útok nultého dne) ... 21

2.7.3 Advanced persistent threat (pokročilá a trvalá hrozba) ... 21

2.7.4 Sniffing (čenichání) ... 21

2.7.5 Phishing (rybaření) ... 21

2.7.6 DoS a DDoS ... 22

2.7.7 Hacking ... 22

2.7.8 Cracking ... 23

3 KAZUISTIKY ... 24

3.1 Kazuistika č. 1 - Yahoo! ... 24

3.1.1 Popis ... 24

3.1.2 Pouţité prostředky ... 26

3.1.3 Funkce malwaru... 26

3.1.4 Doporučení ... 27

3.2 Kazuistika č. 2 – Sony Pictures Entertainment (SPE) ... 28

3.2.1 Popis ... 28

(6)

3.3 Kazuistika č. 3 - National health service (NHS) ... 32

3.3.1 Popis ... 32

3.4 Kazuistika č. 4 - J. P. Morgan ... 36

3.4.1 Popis ... 36

4 PACHATELÉ ... 40

4.1 Hacker a cracker ... 42

4.2 Motiv ... 43

4.3 Trestně právní odpovědnost pachatelů ... 44

4.3.1 Kazuistika č. 1: Yahoo! ... 44

4.3.2 Kazuistika č. 2: SPE ... 44

4.3.3 Kazuistika č. 3: NHS ... 44

4.3.4 Kazuistika č. 4: J. P. Morgan ... 44

5 SHRNUTÍ DOSAŢENÝCH POZNATKŮ ... 45

6 ZÁVĚR ... 46

SEZNAM POUŢITÉ LITERATURY ... 48

SEZNAM TABULEK ... 53

(7)

SEZNAM ZKRATEK

Zkratka Význam

AMT Account Management Tool

APT Advanced Persistent Threat

AT&T American Telephone and Telegraph CESNET Czech Education and Scientific NETwork

CD Kompaktní disk

GOP Guardians of Peace

DLP Data Loss Prevention

DoS Denial of service

DDoS Distributed denial of service

DVD Digital Versatile Disc

FSB Federální sluţba bezpečnosti

FBI Federal Bureau of Investigation

ICT Informační a komunikační technologie

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol Secure

NATO Severoatlanská aliance

NBA Network Behavior Analysis

NHS National Health Service

NSA National Security Agency

PT&T Pacific Telephone and Telegraph

SPE Sony Pictures Entertainment

UDB User Database

USA Spojené státy americké

VPN Virtuální privátní síť

(8)

ÚVOD

Kybernetická kriminalita je problém dnešní doby, který se oproti historii objevuje čím dál častěji. Patří mezi jedno z nejrychleji se rozvíjejících odvětví kriminality.

Jelikoţ v dnešní době je jiţ skoro kaţdý člověk majitelem počítače, notebooku, chytrého mobilu nebo tabletu stává se tento problém nebezpečný nejen pro obyčejné uţivatele, ale i pro firmy a celé státy. Vyuţívání těchto technologických prostředků nám nejen ulehčuje práci, případně slouţí jako zábavné médium, dovoluje nám mít všeobecný přehled o světovém dění díky moţnosti jednoduchého přístupu k informacím, nebo můţe také slouţit jako sociální médium. Všechny tyto moţnosti, ale i mnoho dalších, se staly standardem pro dnešní dobu a jen těţko by se jich člověk vzdával vědomě. Ovšem přes veškerá tato pozitiva existují i obrovská negativa. Uţ není zdaleka, tak neobvyklé kdyţ se dozvíme o krádeţi dat, osobního účtu na sociálních sítích nebo krádeţi peněz z bankovního účtu. Všechny tyto jevy a mnohé další se staly nedílnou součástí těchto technologií.

Kaţdý uţivatel si musí být vědom toho, ţe můţe ze dne na den přijít o svůj učet na sociální síti, nebo v horším případě o své peníze na bankovním účtu. Nemusí se tomu tak stát, pokud uţivatel postupuje v souladu s bezpečným pouţíváním a pohybováním se v kyberprostoru. Ovšem ani toto nezaručí kompletní bezpečnost, pouze sníţí riziko.

První kapitola práce bude zaměřena na bezpečnost v kyberprostoru. Obsahem této kapitoly bude zejména vysvětlení pojmů jako kybernetická kriminalita, kybernetický útok, dále se tato kapitola bude zabývat organizacemi působící na poli bezpečnosti v kyberprostoru, stručnou historií kybernetické kriminality, seznámení s prvky kybernetické bezpečnosti a představení nejčastějších projevů kybernetické kriminality. Následuje praktická část, která se dělí na dvě části. První část je seznámení s vybranými spáchanými kybernetickými útoky. Druhá část se bude zajímat o pachatele činů, jiţ v předchozí části představených kybernetických útoků.

(9)

1 CÍLE A METODIKA

Cílem práce je formou kazuistických studií představit pachatele trestných činů v kyberprostoru, a vymezit aktuální hrozby v kyberprostoru. Praktická část má dvě části.

První část se zabývá rozborem kazuistik jiţ spáchaných trestných činů v kyberprostoru.

Druhá část se zaměří přímo na pachatele těchto činů a na základě popsaných kazuistik stanoví jejich motiv. Dále bude z informací získaných v praktické části práce formulované doporučení pro praxi, jak se vyvarovat podobných chyb, či jak bezpečně předcházet těmto činům. Doporučení budou formulována především proti malwaru, který byl pachateli v představených případech vyuţit.

Metodika byla stanovena na základě obsahové analýzy dostupných zdrojů. V práci je vyuţita kvalitativní metoda kazuistických studií. Pro vypracování kazuistik studií byly vybrány skutečné případy kybernetické kriminality. Kazuistiky budou zpracovány na základě dokumentů zahraničních vyšetřovatelů. Základním hlediskem výběru případu bude jejich dopad na společnost. U kaţdého případu bude popsán jeho průběh a prostředky které byly pouţity pro útok. Zkoumán bude i sám pachatel či pachatelé těchto činů. U nich bude sledován a zkoumán především motiv. V případě neznámých pachatelů bude vyuţita metoda dedukce. U známých pachatelů bude popsán jak motiv, tak i trest za spáchaný čin.

(10)

2 BEZPEČNOST V KYBERPROSTORU

Bezpečnost je v dnešní době velice diskutované téma na všech úrovních.

Bezpečnost je moţné chápat jako ochranu před riziky a hrozbami. Ideálním stavem bezpečnosti je prostředí bez rizik a hrozeb. Tento ideální stav je hezkou, ale nemoţnou představou. Vţdy budou existovat rizika a hrozby.

Pro správně pochopení bezpečnosti v kyberprostoru je nutné si definovat pojem kyberprostor. Kyberprostor je definován v zákoně o kybernetické bezpečnosti (zákon č. - 181/2014 Sb., o kybernetické bezpečnosti) jako „digitální prostředí umožňující vznik, zpracování a výměnu informací, tvoření informačními systémy a službami a sítěmi elektronických komunikací“. Dále je nutné si definovat pojem počítačová síť, kterou definují autoři ve Výkladovém slovníku kybernetické bezpečnosti (Jirásek et al., 2013, online) jako „soubor počítačů spolu s komunikační infrastrukturou (komunikační linky, technické vybavení, programové vybavení a konfigurační údaje), jejímž prostřednictvím si (počítače) mohou vzájemně posílat a sdílet data“. Největší počítačová síť, která existuje je samotný internet.

2.1 Kybernetická bezpečnost

Kolouch, Bašta a kol. (2019, s. 44) vymezují kybernetickou bezpečnost jako

„souhrn právních, organizačních, technických a vzdělávacích prostředků, které směřují k zajištění ochrany počítačových systémů a dalších prvků ICT, aplikací, dat a uživatelů“.

Mezi principy kybernetické bezpečnosti se řadí tzv. triády CIA a LTP. CIA vznikla spojením slov Confidentiality, Integrity a Availability tedy Důvěrnosti, Celistvosti a Dostupnost. Triáda CIA se vztahuje zpravidla k informacím a datům (Kolouch et al., 2019, s. 45).

Důvěrnost nám říká, ţe k informacím a datům má přístup pouze autorizovaný subjekt. K porušení důvěrnosti dochází např. při odposlechu. Celistvost nám říká, ţe informace a data jsou přesná a úplná. Porušením celistvosti nejčastěji dochází neoprávněnou změnou dat a informací. Dostupnost nám říká, ţe informace a data jsou dostupná pro autorizované subjekty kdykoliv. Nejčastější případ porušení dostupnosti je DoS, nebo DDoS útok. Z hlediska bezpečnosti je jiţ triáda CIA nedostačující, a proto je často doplňována o kontrolu, autentičnost a uţitečnost (Kolouch et al., 2019, s. 57-60).

(11)

Triáda LTP zahrnuje lidi, technologie a procesy. Lidé jsou povaţováni za nejslabší článek jakékoliv bezpečnosti. Právě proti lidem jsou útoky vedeny nejčastěji.

Technologie představuje vybavení, které zpravidla vyuţívají lidé. Nejedná se ovšem jenom o součásti počítačů, které jsou vidět. Jedná se i o infrastrukturu sítě, servery, firewall a další. Procesy jsou činnosti, které umoţňují lidem pouţívat technologie a jejich sluţby (Kolouch et al., 2019, s. 61-62).

Kaţdé porušení jakéhokoliv atributu těchto triád představuje hrozbu. Pachatelé útočí právě na těchto základních šest atributů.

2.2 Preventivní bezpečnostní opatření

Bezpečnostní opatření lze jednoduše charakterizovat čtyřmi základními body.

Tyto body představují hlavní prvky ochrany zařízení v kyberprostoru. Jedná se o všeobecné opatření, které by měl respektovat kaţdý uţivatel ICT. Tyto preventivní body lze však také aplikovat i na firemní prostředí, kde je ovšem nutné rozšířit je a přizpůsobit na firemní prostředí. Jedná se o firewall, anti-malware, heslo a aktualizace.

2.2.1 Firewall

Firewall se zaměřuje nejčastěji na komunikaci mezi zařízením a internetem, dále sleduje skutečnosti týkající se vstupu a výstupu dat. Hlídá, zda jsou data, která odesílá uţivatel opravdu záměrem uţivatele a nikoli cizím přičiněním. Při vstupu dat se kontroluje, zda byla opravdu vyţádaná data uţivatelem (Petrowski, 2014, s. 191).

2.2.2 Anti-malware

Anti-malwarový program hledá přítomnost škodlivých programů v paměti a veškerých souborech na pevném disku. Můţeme se také setkat s označením antivirus.

Anti-malware a antivirus jsou prakticky stejným programem. V dnešní době kaţdý antivirus, chrání uţivatele nejen proti virům, ale i proti všem ostatním malwarům stejně jako anti-malware. Společnosti název antivirus pouţívají ze zavedené zvyklosti.

Uţ v historii se jejich programy jmenovaly právě antiviry, i kdyţ v dnešní době můţe být jejich název značně zavádějící (Kocman a Lohniský, 2005, s. 15-16).

(12)

2.2.3 Heslo

Heslem se můţe zabezpečit jak počítač, tak i třeba uţivatelský účet na sociálních sítích, nebo e-mail. Král (2015, s. 29) ve své knize charakterizuje slabá hesla jako taková, která jsou jednoduchá, příliš krátká, stálá, stejná na více účtech nebo hesla, která uţivatel ukládá do nezašifrovaných souborů.

2.2.4 Aktualizace

Aktualizace slouţí nejen ke zlepšení, vývoji či změnám programů, ale i k vyřešení děr v zabezpečení. Tyto opravy mohou být ve formě hotfixu, servis packu nebo patche.

Hotfix opravuje jen dílčí problémy, které nemusí být tak závaţné, a proto nemusí být hotfix veřejně dostupný. Patch je veřejně dostupná oprava problémů. Servis pack slouţí na opravu více problémů, nebo můţe obsahovat všechny dostupné hotfixy a patche.

Pokud uţivatel neaktualizuje své softwarové vybavení, dává tím moţnost útočníkům vyuţít právě děr v softwarovém vybavení, a tak i moţnost se infiltrovat do uţivatelova zařízení bez jeho vědomí (Král, 2015, s. 37).

Daleko větší problém z pohledu aktualizačního bývá u modulů typu java, adobe flash. Tyto moduly jsou proto velice snadno zneuţitelné. Jeden ze základních problémů těchto modulů je, ţe aktualizace těchto modulů neprobíhá bez chyb. V nejhorších případech je dokonce potřeba moduly odinstalovat a nainstalovat znovu. Ve firemním prostředí se můţeme setkat s tzv. MSI balíčky. Jedná se o instalační sluţbu pro systémy Windows, která se dá aplikovat na celou síť a tím aktualizovat aplikace, moduly v celé síti hromadně (StealthSettings, 2014, online).

Problém aktualizací lze vyřešit také pomocí softwaru, který se specializuje na řešení patch managementu. Takovýto program kontroluje verzi softwarového vybavení s nejnovější dostupnou verzí a podává uţivateli zařízení zprávu o stavu aktuálnosti jeho softwarového vybavení. Toto řešení je pro jednotlivé uţivatele velice příjemné, ale u velkých firem nemusí být nejlepším řešením. Pro velké firmy existuje moţnost cloudové sluţby, která řeší management patchů na dálku a jednotně (Houser, 2012, online).

(13)

2.3 Bezpečnostní týmy v kyberprostoru

Jelikoţ otázka kybernetické bezpečnosti se týká nejen jednotlivých uţivatelů, ale i organizací a států, vznikly speciální bezpečnostní týmy. Tyto bezpečnostní týmy jsou děleny do tří skupin CERT, CSIRT, CIRC. CERT je Computer Emergency Response Team v překladu: tým, reagující na výjimečné počítačové situace. Funkce CERT spočívá v identifikaci útoků a následné kontaktování a vyrozumění provozovatele sítě.

Jelikoţ označení CERT je značkou v drţení Carnegie-Mellon University, vzniklo označení CSIRT. CSIRT tedy zastává stejnou funkci jako CERT. CSIRT je Computer Security Incident Response Team v překladu tým, reagující na incidenty v oblasti počítačové bezpečnosti. CIRC je Computer Incident Response Capability v překladu schopnost reagovat na incidenty v oblasti počítačové bezpečnosti. V České republice můţeme najít hned několik těchto týmů, z nichţ nejznámějšími jsou centrum CIRC Armády ČR, vládní CERT a Národní CSIRT České republiky. (Kolouch, 2019, s. 506).

Další organizace působící na poli ochrany a bezpečnosti kyberprostoru na území ČR: (Cybersecurity, online)

Asociace elektronických a informačních systémů v ozbrojených silách.

Bezpečnostní tým pro dohled nad sítí národního výzkumu a vzdělávání provozovanou sdruţením CESNET.

Bezpečnostní tým Masarykovy univerzity.

Bezpečnostní tým pro dohled nad sítí provozovanou sdruţením CZ.NIC.

Český institut manaţerů informační bezpečnosti.

European Cyber Security Excellence Center.

Platforma kybernetické bezpečnosti.

Odbor kybernetické a informační bezpečnosti Ministerstva vnitra České republiky.

Národní bezpečnostní úřad České republiky.

Národní centrum bezpečnějšího internetu.

Významné zahraniční organizace:

Asociace Elektronických a informačních systémů v ozbrojených silách.

Federální úřad pro informační bezpečnost, Německo.

Koordinační centrum CERT v rámci Institutu softwarového inţenýrství, Carnegie Mellon University, USA.

Národní CERT Rakouska.

(14)

Národní CERT Polska.

Národní CSIRT Slovenské republiky.

Evropská agentura pro síťovou a informační bezpečnost.

Centrum pro bezpečnost, rozvoj a právní aspekty, Švýcarsko.

Fórum bezpečnostních týmů CSIRT.

Společné centrum pro kybernetickou bezpečnost a ochranu NATO, Tallinn, Estonia.

Společné centrum pro obranu proti terorismu NATO, Ankara, Turecko.

Agentura konzultací, velení a řízení NATO.

Agentura zabezpečující provoz komunikačních a informačních systémů NATO.

Národní institut pro standardizaci a technologie, USA.

Asociace pro Trans-Evropskou výzkumnou a vzdělávací síť.

CERT Spojených Států Amerických.

2.4 Historie kybernetické kriminality

První zmínky o kybernetické kriminalitě se objevily při prvním vývoji výpočetní techniky. Vývoj v České republice byl oproti ostatním státům mírně opoţděn.

Osobní počítače se začaly dostávat v České republice do domácností v 80. letech 20 století.

V druhé polovině 19. století byly ještě telefonní hovory přepojovány ručně na telefonní ústředně. Prvními operátory byly mladiství čistě muţského pohlaví, jelikoţ měli uţ zkušenosti s předešlými telegrafními systémy. V praxi se ale ukázala tato volba zcela špatná, jelikoţ operátoři projevovali spíše zájem o funkci systému a vtípky.

Roku 1878 dva roky potom co vynalezl Alexander Graham Bell telefon, vyhodila firma Bell Telephone Company skupinu mladistvých kvůli úmyslně špatnému přepojování a zavěšovaní zákaznických hovorů. Od té doby si firma Bell Tepephone Company najímala pouze kvalifikované operátory (Fell, 2017, online).

Objevení elektromagnetických vln na konci 19. století připravil cestu pro Guglielmo Marconiho bezdrátové telefony a také pro první hacking. Roku 1903 kouzelník, investor a nadšenec do bezdrátové technologie Nevil Maskelyne narušil John Ambrose Flemingovu první veřejnou demonstraci Marconiho bezpečné bezdrátové technologie tím, ţe poslal uráţlivou zprávu v Morseově kódu znevaţující tento vynález. Pomocí zprávy v novinách Times se Fleming obrátil na čtenáře, aby odkryli identitu člověka, který tento

(15)

čin spáchal. Nakonec se sám Maskelyne ozval s tím, ţe jeho účel byl poukázat na zranitelnost Macroniho vynálezu (Fell, 2017, online).

Během druhé světové války byly velké vojenské operace závislé na prolomení šifer či kódů pouţívaných fašistickou osou pro přenos přísně utajovaných informací.

Alan Turing, Gordon Welchman a Harold Keen v roce 1939 vyvinuli Turingovu bombu.

Jednalo se o elektromechanické zařízení umoţňující dešifrování zpráv z německého šifrovacího stroje Enigma. K dalšímu vyuţití hackingu došlo při operaci u Blatchley, která zahrnovala prolomení Lorenzovi šifry, jiţ pouţívali němečtí vojáci pro přenos vojenského zpravodajství. Pro prolomení této šifry se vyvinul první programovatelný elektronický počítač se jménem Colossus, který pouţíval elektronky na početní operace a binární operace (Fell, 2017, online).

V druhé polovině roku 1950, společnost AT&T začala přeměňovat svoji telefonní síť na přímé vytáčení dálkových hovorů za pouţití specifické frekvence tónů ke komunikaci mezi přepínači. Tato doba je známá hlavně díky tzv. Phone Pheakerům, jedná se o lidi, kteří zboţňují telefonní systémy a experimentují s nimi. Ovšem roku 1957, slepý sedmiletý chlapec jménem Josef Engressia s perfektním tónem hlasu a emoční fixací na telefony se dokázal naučit zapískat tón o frekvenci 2600 Hz a tím přerušit dálkové telefonní hovory a umoţnit mu bezplatné hovory po celém světě (McCracken, 2007).

Josef Engressia se svým objevem pochlubil dalším phreakerům, jedním z nich byl i John Draper. John Draper zjistil, ţe píšťalka přibalená v cereáliích Cap'n Crunch vydává stejný perfektní tón o frekvenci 2600 Hz. Mezi další známé phreakery můţeme zařadit i Steva Wozniaka a Steva Jobse (Jirovský, 2007, s. 48).

Nezletilý Jerry Neal Schneider začal v roce 1970 prohledávat odpadky firmy PT&T v Log Angeles, kde získával výtisky související s touto firmou. Po rokách střádání informací získal takové mnoţství informací o procesech firmy, ţe se dokázal věrohodně vydávat za osobu zaměstnanou u PT&T. Kdyţ se pak stal nezávislým novinářem, zajistil si prohlídku do skladiště firmy PT&T kde získal informace o procesu objednávání zásilek.

Roku 1971 si objednal vybavení v hodnotě 30 tisíc dollarů, které poslal na běţné místo vyzvednutí, kde jej následně ukradl a prodal. Dokonce zaměstnával 10 zaměstnanců ve svém skladišti. Ukradl přes 1 milion dollarů ve vybavení a z toho některé zpátky prodal firmě PT&T. Nakonec ho jeden z jeho zaměstnanců udal a Jerry Neal Schneider po svém pobytu ve vězení se stal konzultantem bezpečnosti informačních systémů (Bosworth et al., 2009).

(16)

Jeden z nejproslulejších hackerů 20. století, Kevin Mitnick začínal jako radioamatér a nadšenec do výpočetní techniky. Od roku 1970 aţ do 1995 se mu podařilo proniknout do některých nejchráněnějších sítí na světě. Mitnick získával hesla, kódy či přístupy do interních systémů tím, ţe oklamával zaměstnance pracující v těchto firmách. Jeho hlavním motivem byla touha po pochopení, jak systém funguje. Mitnick byl celkem dvakrát ve vazbě a to v rocích 1988 a 1995 (Fell, 2017, online).

Jedním z nejdůleţitějších milníků v historii kybernetické kriminality se stal rok 1988, kdy Robert Morris vytvořil jeden z prvních škodlivých programů známý také jako Morrisův červ. Morrisův červ byl vypuštěn z počítače na Massachusettském technologickém institutu. Začalo to jako neškodné cvičení, ale rychle se z toho vytvořil zákeřný problém, jelikoţ červ se začal neskutečně rychle šířit a jeho schopnost infikovat počítače ostatních uţivatelů byla neskutečná. V tento okamţik si Morris uvědomil, ţe udělal chybu a snaţil se pomoct tím, ţe řekl programátorům jak se červa zbavit. Morris byl první osobu odsouzenou za počítačový podvod (Fell, 2017, online).

Začátek 21. Století je pro historii kybernetické kriminality významný zejména kvůli objevení počítačového červa Stuntex. Přepokládá se, ţe byl vytvořen přibliţně začátkem roku 2005, ačkoliv byly zjištěny jeho účinky aţ roku 2010. Přestoţe měl tento červ neuvěřitelnou schopnost rozšiřovat se a infikovat další počítače, jeho účinky mimo pásmo jeho zájmu byly minimální či nulové. Tento červ byl zvláštní zejména jeho funkcí, jelikoţ se nesoustředil na data, ale na hmotné objekty reálního světa. Prakticky byl naprogramován cíleně na počítače, které ovládají zařízení spojené s obohacováním uranu. Roku 2010 byla v Iránu vyřazena cca jedna pětina obohacovacích centrifug pouţitých v Iránském nukleárním programu. Tato škoda zbrzdila tento program přibliţně o 2 roky (Fruhlinger, 2017, online).

Přibliţně rok po červu Stuntex se objevila skupina Lulz Security, která má na svědomí útok na více neţ 250 veřejných a soukromých subjektů. FBI se podařilo roku 2012 chytit spoluzakladatele skupiny Lulz Security Hectora Xaviera Monsegura známý také jako Sabu. Hector prozradil své kolegy a poskytl důleţité informace, které mu pomohly ke sníţení trestu (Fell, 2017, online).

Jeden z nejhorších útoků dnešní doby se začal objevovat v květnu roku 2017.

Malware nazvaný WannaCry se rozšířil neuvěřitelnou rychlostí mezi uţivatele systému Windows a zašifroval data na pevných discích uţivatelů těchto počítačů, tím jim

(17)

znemoţnil jejich vyuţívání. Za dešifrování dat poţadovali útočníci 300 dollarů, coţ je v přepočtu přibliţně 6,5 tisíce korun (Hern a Gibbs, 2017, online).

2.5 Kybernetická kriminalita

Termín kybernetická kriminalita je poměrně nový a je často nesprávně zaměňován, nebo dokonce povaţován za synonymum s termíny internetová kriminalita nebo počítačová kriminalita. Hlavním rozdílem mezi těmito třemi pojmy je prostředí, ve kterém jsou trestné činy páchány. V případě internetové kriminality jsou trestné činy páchány v prostředí internetu. Počítačová kriminalita je páchaná v prostředí počítačových systémů a kybernetickou kriminalitu představují činy páchané v prostředí kyberprostoru. Pokud tato tři prostředí budeme porovnávat, vyjde zcela zjevně kyberprostor jako nejrozsáhlejší ze tří jmenovaných. Kyberprostor zahrnuje jak internet, tak počítačové systémy. Z toho vyplývá, ţe kybernetická kriminalita je širší pojem, neţ jsou internetová a počítačová kriminalita.

Je tedy zřejmé, ţe pojmy kybernetická, internetová a počítačová kriminalita nelze povaţovat za synonyma, ačkoliv se tak v mnoha publikacích a internetových článcích děje.

Jako příklad lze uvést definici ve Výkladovém slovníku kybernetické bezpečnosti, který pojmy kybernetická a počítačová kriminalita popisuje stejnou definicí (Kolouch, 2016, s. 33-36).

Autoři pojímají kybernetickou kriminalitu kaţdý svým způsobem, proto je velice obtíţné najít definici, kterou by uznával kaţdý autor. Ve Výkladovém slovníku kybernetické bezpečnosti (Jirásek et al., 2013) je pojem kybernetická kriminalita brán jako synonymum k počítačové kriminalitě a je definován jako „trestná činnost, v níž figuruje určitým způsobem počítač jako souhrn technického a programového vybavení (včetně dat), nebo pouze některá z jeho komponent, případně větší množství počítačů samostatných nebo propojených do počítačové sítě, a to buď jako předmět zájmu této trestné činnosti (s výjimkou té trestné činnosti, jejímž předmětem jsou popsaná zařízení jako věci movité) nebo jako prostředí (objekt) nebo jako nástroj trestné činnosti“. Tato definice můţe být zavádějící, jelikoţ termín počítač v lidech vyvolává představu klasického osobního počítače. Pokud budeme s touto představou takto přistupovat k této definici, nepostihne nám všechny moţné trestné činy v kyberprostoru, ale jen jejich část. Proto je potřeba chápat termín počítač šířeji, a to nejen jako osobní počítače, ale i ostatní elektronická zařízení, která vykonávají procesy a pracují s daty. Další problém této definice je

(18)

v opomenutí páchání trestné činnosti, kde počítač je cílem útoku. Z toho vyplývá, ţe tato definice není zcela přesná.

Vytvoření definice, která by odpovídala a zahrnovala všechny trestné činy v kyberprostoru a zároveň by se vyhnula jednání, které do kybernetické kriminality nepatří je prakticky nadlidský úkol. Nejlepší moţnou definici uvádí Ministerstvo vnitra v dokumentu Analýza součastného stavu a trendů vývoje trestné činnosti na úseku informačních technologií a internetu včetně návrhu řešení (Ministerstvo vnitra České republiky, online) jako „páchání trestné činnosti, v níž figuruje určitým způsobem počítač jako souhrn technického a programového vybavení včetně dat, nebo pouze některá z jeho komponent, případně větší množství počítačů samostatných nebo propojených do počítačové sítě, a to buď jako předmět této trestné činnosti, ovšem s výjimkou majetkové trestné činnosti, nebo jako nástroj trestné činnosti“. Ačkoliv ani tato definice nepostihuje všechny případy, je jedna z nejpřesnějších.

2.6 Kybernetický útok

Jedná se o nejčastější projev kybernetické kriminality. Kolouch (2016, s. 55) definuje kybernetický útok jako „jakékoliv protiprávní jednání útočníka v kyberprostoru, které směřuje proti zájmům jiné osoby“. Kybernetické útoky se zpravidla zaměřují či hledají nejslabší článek a ten poté napadnou. Jak jiţ bylo řečeno, nejslabší článek celé kybernetické bezpečnosti je člověk. Tohoto faktu si jsou vědomi i samy pachatelé a snaţí se vyuţít právě lidských chyb.

Klasický kybernetický útok se skládá ze čtyř fází. První fází je průzkum, který je zaměřen na potencionální oběť. Jedná se o získání co největšího mnoţství informací o oběti. Pachatelé se zpravidla snaţí zjistit, jaké softwarové vybavení a jakou aktuální verzi pouţívá oběť. Snaţí se dále najít případně potencionální chyby, místa, která lze snadněji napadnout. V druhé fázi pachatel analyzuje dosaţené informace o oběti a snaţí se jich vyuţít. Pachatelé zpravidla v této fázi zkoušejí zabezpečení oběti, či připravují hlavní útok jako např. napadení zařízení malwarem bot a vytvoření botnetu, který bude vyuţit k DDoS útoku. Třetí fází je hlavní útok. V této fázi se pachatelé snaţí realizovat své cíle jako např. získat přístup do zařízení, ovlivnit systémové operace. Poslední fáze je závislá především na pachatelích a jejich motivech. Pokud se bude jednat o pachatele s finančními motivy je pravděpodobné, ţe takoví pachatelé se zaměří na citlivé informace a data, která

(19)

mohou být zpeněţena. Kaţdá ze jmenovaných fází je esenciální pro úspěch útoku.

Z hlediska oběti můţeme kybernetické útoky dělit na útoky s konkrétním cílem a bez konkrétního cíle. Útoky s konkrétním cílem jsou specifické tím, ţe pachatelé se zaměřují většinou na jednu oběť. Všechny fáze útoku jsou tedy vedeny proti jedné oběti. V případě útoku bez konkrétního cíle útočníci nemají vybranou konkrétní oběť, ale chtějí ovlivnit svým útokem co nejvíce uţivatelů a zařízení. Příklad útoku bez konkrétního cíle je obecně pouţití malwaru ransomware. Nejznámější z těchto útoků je případ malwaru WannaCry.

Tento malware postihl, jak obyčejné uţivatele, tak velké společnosti bez rozdílu (CERT-UK, online).

Kybernetické útoky představují obrovský problém pro kaţdého uţivatele ICT.

Problém kybernetických útoků spočívá v jednoduchosti provedení. Kaţdý uţivatel se základní znalostí o počítačích můţe provést kybernetický útok. Uţivatel můţe dokonce provést útok nevědomě, kdy se pravý pachatel zmocní uţivatelova zařízení a jeho pomocí provede útok. Velký nárůst kybernetických útoků lze dávat za příčinu velkému mnoţství dostupných nástrojů, které tyto útoky velice zjednodušují. Existence tzv. dark webů, kde je moţné si koupit falešnou identitu, škodlivé programy, hacknuté databáze, drogy, léky, dětskou pornografii a další, umoţňuje potencionálním útočníkům jednoduchý přístup k prostředkům zjednodušujícím samotný útok (Kolouch, 2016, s. 47-49).

2.7 Nejčastější projevy kybernetické kriminality

Tato kapitola práce je věnována nejčastějším projevům kybernetické kriminality, mezi které se řadí malware, zero day attack, APT, sniffing, phishing, DoS a DDoS, hacking a cracking.

2.7.1 Malware

Název malware vznikl spojením slov malicious a software, u nás známý také jako škodlivý software. Malware je jakýkoliv typ škodlivého programu, který se snaţí získat přístup do počítačového systému, získat informace nebo narušit činnost počítačového systému. Zařízení infikovaná malwarem vykazují některé příznaky, které mohou slouţit jako vodítko pro uţivatele. Nejčastěji se jedná o zpomalení zařízení, zaplňování místa na interním úloţišti, změna domovské stránky prohlíţeče, v některých případech mohou způsobovat omezování funkcí programů na údrţbu zařízení (Kolouch, 2016, s. 204-205).

(20)

Malware je v dnešní době velice široký pojem a skrývá se pod ním velké mnoţství druhů škodlivých programů. Tyto softwary se do uţivatelského zařízení mohou dostat několika způsoby. Nejčastějším případem distribuce malwaru jsou odkazy v nevyţádaných zprávách, které uţivateli nabízí nejrůznějšími způsoby prospěšný program, soubor atd.

Tento soubor či program obsahují malware. Další nejčastější distribuční cestou jsou externí úloţiště. Jedná se např. o flash disky, externí hard disky, CD, DVD. Zpravidla jsou tato externí úloţiště v přímé blízkosti malwaru. Malware můţe být přesunut samotným uţivatelem, který o přítomnosti malwaru zpravidla neví. Toto úloţiště následně půjčí kamarádovi, a tím infikuje i jeho zařízení (Kolouch, 2016, s. 211).

Malware bývá členěn do následujících základních skupin, typicky dle účelu konkrétního programu:

1. Adware je program, který předkládá uţivatelům reklamu. Adware můţe být nenápadný, nebo agresivní. Nenápadný adware mají skoro všechny programy zdarma. Reklama můţe být umístěna v přímo v okně spuštěného programu.

Agresivní adware představuje nesnesitelná vyskakovací okna při prohlíţení internetových stránek. Adware sám o sobě není nebezpečný. Ovšem stává se nebezpečným ve spojení se spywarem. Tato kombinace můţe v lepším případě pouze sledovat uţivatele a předkládat mu reklamy podle stránek, které navštěvuje. V horším případě můţe způsobit aţ odcizení informací (Král, 2015, s. 14).

2. Ransomware zabraňuje uţivatelům v pouţívání svých systémů, nebo svých dat.

Pro odblokování systému, nebo dat poţadují útočníci platbu. Mezi nejznámější a nejrozsáhlejší útoky ransomwaru patří WannaCry, Petya-esque, BadRabbit (Petrowski, 2014, s. 33-34).

3. Scareware láká uţivatele na webové stránky infikované malwarem. Scareware můţe být také ve formě varování od antivirové společnosti, které tvrdí, ţe byl uţivatelův počítač infikován malwarem. Koncem zprávy bývá odkaz na placený software, který má tento problém řešit. Ve skutečnosti se ovšem jedná o další malware, který se uţivatelovi s velkou pravděpodobností bude snaţit získat citlivé informace o uţivateli (AO Kaspersky Lab., online).

4. Spyware neboli špión má za úkol sbírat data, která jsou pro tvůrce škodlivého programu zajímavá. Mohou to být webové stránky, které uţivatel navštěvuje, nebo v horším případě přihlašovací údaje. Spyware bývá většinou spojován

(21)

s adwarem, jelikoţ spyware zjistí, co si uţivatel prohlíţí, co ho zajímá (Kocman a Lohniský, 2005, s. 113).

5. Trojan horse známý z řecké mytologie má prakticky stejný účel. Na povrchu se tváří jako něco nápomocného, uţitečného nebo zábavného. Bohuţel se jen tak tváří zvenku, zevnitř uţ sbírá data a působí škody. Trojan horse také velice často stahuje další malware do infikovaného zařízení a tím působí ještě větší škody. Trojan horse se neumí samovolně rozšiřovat (Petrowski, 2014, s. 38-39). Zvláštním typem trojského koně je backdoor, který se snaţí získat přístup do počítače. Mohou fungovat dvěma způsoby. Otevřou cestu do napadeného zařízení, nebo neotevřou cestu, ale upozorní tvůrce programu o moţnosti napadnout zařízení (Petrowski, 2014, s. 32).

6. Virus zastupuje skupinu škodlivých programů, které mají za úkol napadnout hostitele a dále se replikovat a dostávat se do dalších zařízení. Jako hostitele si často vybírá soubory s koncovkou “.exe“, tedy spustitelné soubory. Virus můţe ničit data, nebo poškodit systém. Infikovaný soubor musí být spuštěn či otevřen, aby virus mohl pracovat (Poţár, 2005, s. 215).

7. Worm velice často způsobuje ztrátu dat, coţ je jednou z jeho vlastností.

Jeho druhá vlastnost je mnohem horší jak pro samotného uţivatele, tak pro jeho okolí. Worm se totiţ dokáţe samovolně rozšiřovat. Uţivatel se tedy nevědomky stává jeho šiřitelem. Na rozdíl od virusu pracuje worm nepotřebuje ţádného hostitele a funguje bez přičinění uţivatele (Petrowski, 2015, s. 33).

8. Rootkit program na maskování jiných škodlivých programů. Samotný rootkit není nebezpečný. Jeho pouţití je převáţně k maskování útoku, které provádí změnou chování buďto programu nebo systému. Rootkit většinou napadá programy, které právě vyhledávají a odstraňují škodlivé programy (Kolouch, 2016, s. 209-210).

9. Bot je velice nebezpečný typ malwaru, jelikoţ funguje automaticky a je řízen dálkově. Po infikaci sám nic nedělá, pokud mu útočník nedá příkaz. Infikované počítače se v tomto případě stávají loutkami útočníka. Útočník tuto síť počítačů můţe vyuţít k vyslání obrovského mnoţství spamu, hromadnému stahování malwaru nebo také k provedení DDoS útoku (Petrowski, 2015, s. 36-37).

(22)

2.7.2 Zero day attack (útok nultého dne)

Tento útok vyuţívá chyby v softwaru, která není všeobecně známá. Tyto chyby činí počítač zranitelným, aţ do chvíle aktualizace. Útočníci těchto chyb vyuţívají zpravidla k vytvoření exploitu. Exploit se nejčastěji vyskytuje ve formě programu či kódu, který vyuţívá časové mezery mezi nalezením chyby a vydáním příslušné aktualizace (Petrowski, 2015, s. 32-33).

2.7.3 Advanced persistent threat (pokročilá a trvalá hrozba)

APT je dlouhodobý systematický kybernetický útok proti ICT zpravidla velkých organizací. Útok se skládá z kombinace nejrůznějších technik a vyznačuje se opakovanými útoky. Tento útok je velice sofistikovaný a je především doménou skupin pachatelů či státem podporovaných skupin. ATP má pět fází. První fáze je sběr informací o oběti.

Druhá fáze je útok, který je zkonstruován na základě získaných informací o oběti.

Třetí fáze je převzetí či kontrola nad počítačovou sítí oběti. Čtvrtá fáze je sběr dat a informací v síti a následné zasílaní útočníkům. Poslední fáze je vytěţení dat (Kolouch, 2016, s. 320-321).

2.7.4 Sniffing (čenichání)

Útočník pomocí programu sniffer můţe sledovat, zachycovat a zaznamenávat nešifrovanou síťovou komunikaci, která můţe obsahovat citlivé informace o uţivateli jako např. přihlašovací jméno a heslo. Sniffing se povaţuje za legální, pokud je povolen uţivatelem a je vyuţíván jako monitorovací nástroj sítě. Pomocí této metody lze odhalit skrytý malware. Nelegální je sniffing, který je provozován bez vědomí či povolení uţivatele (Kolouch, 2016, s. 294).

2.7.5 Phishing (rybaření)

Phishing vyuţívá sociálního inţenýrství. Sociální inţenýrství se zaměřuje na oklamání lidí. Cílem této techniky je přimět oběť provést poţadovanou akci nebo od ní získat informace.Phshing se provádí nejčastěji zasláním e-mailu. Oběti přijde phishingový e-mail, který vypadá velice věrohodně. Součástí těchto e-mailů bývá odkaz na webové stránky různých institucí jako např. banka, pojišťovna. Po kliknutí na odkaz se objeví na

(23)

webové stránce, která je prakticky totoţná s originální stránkou, ovšem jedná se o podvodně vytvořenou stránku za účelem oklamání oběti k vydání jeho přihlašovacích údajů. Phishingový e-mail můţe také obsahovat malware (Kolouch, 2016, s. 246-247).

Existují různé druhy phshingu z nichţ je nejnebezpečnějších spear-phishing.

Spear-phishing se od normálního phishingu liší cílem. Obyčejný phishing nemá konkrétní cílovou skupinu, rozesílá se ve velkém mnoţství komukoliv. Spear-phishing se cíleně zaměřuje na určitou skupinu a posílá se jen těm osobám, kterým je určen. Jeden z hlavních důvodů proč je spear-phshing takovou hrozbou je fakt, ţe odesílatelem je většinou známá či důvěryhodná osoba (Kolouch, 2016, s. 264-265).

2.7.6 DoS a DDoS

Jedná se o útoky, jejichţ cílem je vyřazení z provozu nebo sníţení výkonu napadeného zařízení či sítě. Útočník zahltí počítačový systém nebo síť pomocí opakujících se poţadavků. Pokud je zdrojem jedno zařízení nazývá se tento útok DoS. Při vyuţití více zařízení se jedná o DDoS útok. Útočníci často vyuţívají botnet na provedení DDoS útoku.

Na rozdíl od jiných útoků DoS a DDoS nepřináší útočníkům přímý prospěch (Kolouch, 2016, s. 295-297).

2.7.7 Hacking

Hacking spočívá v nalezení slabiny v počítačovém systému a následného vyuţití této slabiny k získání přístupu do systému. Hacking není vţdy poškozující činnost, existuje i etický hacking. Etický hacking spočívá také v nalezení slabiny, avšak uţ se nesnaţí tuto slabinu vyuţít, ale opravit, nebo nahlásit. Etický hacking provozují zpravidla white hats.

Samotný přístup do systému není největším nebezpečím. Daleko nebezpečnější jsou hackeři, kteří získají přístup do systému pomocí škodlivých programů. Tyto programy pak s velkou pravděpodobností skončí na jednom z tzv. temných webů, kde si je ostatní uţivatelé mohou volně nebo za poplatek stáhnout (Kolouch, 2016, s. 274).

(24)

2.7.8 Cracking

Pojem cracking je zřídka kdy pouţitý, místo něho pouţívají z převáţné většiny média a veřejnost chybně hacking. Jirovský (2007, s. 106) označuje za cracking

„prolamování nebo obcházení ochranných prvků systémů, programů a aplikací“.

Cracking je často spojován s porušováním autorských práv. Cracking se pouţívá nejen k porušování autorských práv, ale i k neoprávněnému přístupu do systému. Nejčastěji se jedná o tzv. password cracking. Password cracking se zaměřuje na zjišťování hesla.

K zjištění hesla vyuţívá metod jako např. slovníkový útok, hrubou silou a mnoho dalších.

Slovníkový útok je metoda, kdy útočník zkouší všechna slova, která existují. Útok na hesla hrubou silou je velice podobný slovníkovému útoku. Ovšem v této metodě se nepouţívají slova ze slovníku, ale všechny moţné kombinace, kterých lze dosáhnout pomocí alfanumerické klávesnice (Jirovský, 2007, s. 106).

(25)

3 KAZUISTIKY

Praktická část práce se bude zabývat rozborem čtyř případů kybernetické kriminality. Případy byly zpracovány formou kazuistických studií. Všechny nástroje a techniky vyuţité v případech byly popsány v teoretické části bakalářské práce. Jedná se o případy ze zahraniční, které se mohly dotknout i občanů ČR. Oběťmi vybraných případů jsou velké firmy, které jsou všeobecně známé.

Kazuistika

Kvalitativní výzkumná metoda kazuistika byla uplatněna na čtyři případy kybernetické kriminality. Kaţdá kazuistika bude mít čtyři části a to popis, pouţité prostředky, funkce malwaru a doporučení. Ještě před rozebíráním samotného případu bude stručně představena oběť. Po něm uţ bude následovat popis samotného činu, jeho průběhu, případně komunikace mezi obětí a pachatelem. Druhá část se bude konkrétně zaměřovat na prostředky, které byly pouţity v případech. Třetí část popíše funkci pouţitých malwarů.

Doporučení bude mít dvě části, a to preventivní doporučení proti malwaru a doporučení při infikaci malwarem.

3.1 Kazuistika č. 1 - Yahoo!

Yahoo! je internetová společnost, která poskytuje základní sluţby jako vyhledávání, e-mail, zpravodajství a další. Yahoo! je přímá konkurence Googlu. Portál byl zaloţen roku 1994 Jarry Yangem a Davidem Filou. V současnosti je vlastníkem od roku 2017 firma Oath (Hosch, 2008, online).

3.1.1 Popis

Roku 2014 došlo k neoprávněnému přístupu do sítě Yahoo!, ze které unikly informace o 500 milionech uţivatelských účtů. Pachatelé vyuţili spear-phishing, který zacílili na zaměstnance Yahoo!, nejednalo se o běţné pracovníky, ale o výše postavené zaměstnance. Tento spear-phishingový e-mail obsahoval odkaz na falešné stránky.

Tyto stránky byly věrnou napodobeninou stránek Yahoo!. Po rozkliknutí odkazu se uţivatel ocitl na falešné stránce, která vyţadovala jeho přihlašovací údaje.

(26)

Tímto způsobem získali útočníci přístup do sítě Yahoo!, aby si zajistili lepší přístup do sítě, byl aplikován na server malware (Stretch, 2017, s. 6).

Po získání přístupu do sítě našel Alexsey Alexseyevich Belan dvě zásadní věci.

První byla UDB, která obsahovala data jako uţivatelská jména, telefonní čísla, otázky a odpovědi na změnu hesel a další informace. Některé z těchto informací byly zašifrovány.

Druhá byla ATM, coţ byl nástroj na úpravu údajů v UDB jako například změna hesla, změna údajů a další. V listopadu téhoţ roku se Belanovi povedlo stáhnout část zálohy UDB. Po odhalení jejich činnosti na síti vyuţil Belan nástroj na skrytí svých činů tzv. log cleaner, který mazal stopy po vniknutí, a ztíţil tak práci vyšetřovatelům (Stretch, 2017, s. 2-13).

Vyšetřovatelé zjistili, ţe Igor Sushchin a Dmitry Dokuchaev v samotném činu, nehráli tak velkou roli. Jejich úkolem bylo zajistit e-mailové účty ruských novinářů, vládních úředníků jak ruských, tak amerických, zaměstnanců přední ruské společnosti zabývající se kybernetickou bezpečností a dalších. Proto byl najat Belan. Belan byl v tu dobu jiţ na listině nejhledanějších hackerů FBI od roku 2012. Nejen, ţe Belana nezatkli, ale navíc mu poskytli informace a prostředky, které měly zpomalit odhalení a vyšetřování jeho vniknutí do sítě. Belanova role byla získat přístup a data ze sítě Yahoo! (Stretch, 2017, s. 10).

Se získanými informacemi se jejich zájem prohloubil a snaţili se data vyuţít k prolomení se k účtům, které poskytovaly jiné společnosti např. Google, Apple atd.

Pro tuto práci si najali dalšího hackera Karima Baratova. Baratov dostával za kaţdý prolomený účet odměnu ve výši 100 dollarů (Stretch, 2017, s. 13 - 14).

Dmitry Aleksandrovich Dokuchaev a Igor Anatol Sushchin

Ruští občané, kteří pracovali pro FSB. Konkrétně pracovali v centru pro informační ochranu. FSB je ruská Federální bezpečnostní sluţba. O těchto pachatelích se ví velice málo. Jediné informace o této dvojici vyplývají z vyšetřování. Vyšetřovatelé uvedli, ţe Dokuchaev se zabýval firemní kybernetickou bezpečností a byl hlavní kontakt na Belana.

Sushchin podle vyšetřovatelů pracoval pro FSB, aby se vyhnul stíhání za podvody s kreditními kartami (Stretch, 2017, s. 3-4).

(27)

Alexsey Alexseyevich Belan

Ruský hacker známý také jako Magg. V roce 2013 byl Belan zatčen v Řecku, i přesto se Belan dokázal vyhnout vězení a uprchl zpět do Ruska. Belan byl jiţ před útokem na Yahoo! vedený na seznamu FBI mezi nejhledanějšími hackery (Goldstein a Schwirtz, 2017, online).

Karim Baratov

Kanadský hacker, který pomáhal Dokuchaevovi vnikat do e-mailových schránek.

Jiţ ve 14 letech Baratov nabízel hackerské sluţby na svých 80 webových stránkách.

Zaměřoval se na vnikání do e-mailových schránek. Roku 2015 oslovila Baratova osoba jménem Patrick Nagel, coţ byl sám Dokuchaev a vyţádal si Baratovovy sluţby (Lista, 2018, online).

3.1.2 Pouţité prostředky

Pro vniknutí do sítě byl pouţit spear-phishing. V tomto případě byl spear-phishing určen zaměstnancům vyššího postavení ve společnosti Yahoo!. Dále byl na server pouţit malware, který zajistil útočníkům snazší přístup. K vniknutí do e-mailových schránek byla vyuţita část dat z UDB (Stretch, 2017, s. 6).

UDB mimo jiţ jmenovaných dat obsahovala i tzv. nonce, coţ byla kryptografická hodnota, která byla pro kaţdého uţivatele jedinečná, pomocí níţ se dali vytvořit cookies.

Jako cookies se označuje malé mnoţství dat, které se vytvoří pokaţdé, pokud navštíví uţivatel nějakou webovou stránku. Cookies umoţňují uţivateli být stále přihlášený bez nutnosti znovu přihlášení, pokud odejde z webu. Tyto vytvořené cookies registrovali uţivatele jako přihlášeného, takţe nevyţadovali ţádnou autentizaci (Gallagher a Kravets, 2017, online).

3.1.3 Funkce malwaru

Pouţitý malware se řadí do skupiny backdoor. Backdoor stejně jako trojan horse je často povaţován oběťmi za uţitečný program. Tento malware byl vyuţit na otevření zadních vrátek do zařízení, coţ poskytlo pachatelům volný přístup do infikovaného zařízení.

(28)

3.1.4 Doporučení

Preventivní

Nejlepší prevencí proti backdoor malwaru je kvalitní antivirová ochrana.

Důleţité pro většinu backdoor malwarů je fakt, ţe většina těchto malwarů musí být instalována. Z toho vyplývá, ţe se lze preventivně chránit proti infikaci backdoorem zejména kontrolou instalovaných aplikací. Kontrola můţe být prováděna jak člověkem, tak pomocí speciálních programů. Preventivně se proti infikaci lze bránit informováním zaměstnanců o moţných hrozbách. Tyto informace je moţné předávat zaměstnancům formou školení, kurzů. Autor bakalářské práce se domnívá, ţe nejlepší způsob informování zaměstnanců o moţných hrozbách, je formou informačních zpráv odesílaných v určité časové bázi. V praxi můţe být aplikován jako měsíční přehled, který bude informovat zaměstnance o současných hrozbách. Informace můţe vypadat následovně: V posledním měsíci narostla hrozba infikace malwaru ransomware XY, který se vyznačuje tímto chováním XZ. Tato informace pak můţe zaměstnance zároveň vzdělávat v oblasti bezpečnosti a zároveň mohou zaměstnanci efektivně přispět k celkové bezpečnosti společnosti.

Při infikaci

Pokud selhala preventivní opatření a zařízení bylo infikováno backdoor malwarem, je prakticky nemoţné odstranit jej manuálně. K jeho odstranění je zapotřebí anti-malwarových programů, které poskytují odstraňování backdoorů.

(29)

3.2 Kazuistika č. 2 – Sony Pictures Entertainment (SPE)

Firma zaloţena roku 1946, která se zaměřuje na elektronické zařízení, jako jsou televize, sluchátka, mobilní telefony, tablety, a další produkty s ním spojené jako např. filmy, hry, hudba atd. (Sony Corporation, online).

3.2.1 Popis

Listopadu roku 2014 se firma SPE dozvěděla, ţe útočníci získali neoprávněný přístup do jejich sítě a ukradli data, z nichţ některá publikovali jako např. obsah do té doby nevydaných filmů, finanční zprávy a další. V průběhu případu SPE dostávala zprávy od pachatelů, které byly předávány jazykovým znalcům. Tito znalci potvrdili, ţe zprávy byly s největší pravděpodobností psány člověkem bez znalosti anglického jazyka a byly generovány pomocí automatických překladačů, coţ objasňuje počet chyb, které tyto zprávy obsahovaly. V pátek 21. listopadu 2014 přišel vysoce postaveným zaměstnancům SPE e-mail od Franka Davida. E-mail ve skutečnosti pocházel od skupiny GOP (Guardians of Peace), která se poţadovala peněţní kompenzace za škodu, kterou jim údajně způsobilo SPE. E-mail Franka Davida byl vytvořen stejný den jako byl odeslán tento e-mail.

O tři dny později, tedy 24. listopadu se při přihlašování některých zaměstnanců objevila obrazovka vyţadující zaplacení poplatku za zpřístupnění dat. Stálo tam (Riskbasedsecurity, 2014, online):

„Hacknut GOP. Už jsme vás varovali, toto je pouze začátek. Budeme pokračovat, dokud nebude našim požadavkům vyhověno. Získali jsme všechny vaše interní data včetně tajných a přísně tajných informací. Rozhodněte se, co budete dělat do 24. listopadu 11:00.“

Na obrazovce mimo vzkazu bylo i pět odkazů, které obsahovaly stejná data, která byla dostupná jen na síti SPE. První tuto obrazovku zaznamenali ve Velké Británii a Latinské Americe. Aplikovaný malware se ovšem začal velice rychle šířit a SPE bylo nuceno odpojit něco okolo 7,5 aţ 8 tisíci zařízení od internetu, aby zamezili rozšíření malwaru. Ještě téhoţ dne však bylo přibliţně 21 účtů na Twitteru, které byly registrované

(30)

na SPE, napadeno. Z úspěšně napadených účtů byla poslána rozčílená zpráva od GOP, která označovala SPE za zločince (Riskbasedsecurity, 2014, online).

O pár dní později přesně 26. listopadu přišel další e-mail adresovaný sluţebně starším zaměstnancům (přibliţně 4 osobám). E-mail byl od samotného šéfa skupiny GOP God’sApstls, kde oznámil, ţe SPE nereagovalo na jejich nabídku a takové jednání bude mít následky (Riskbasedsecurity, 2014, online).

Přibliţně 50 minut od obdrţení tohoto e-mailu přišel další e-mail přibliţně 28 zaměstnancům SPE. V tomto e-mail odkazovali pachatelé na to, ţe ţádali SPE o zaplacení a nedostali ţádnou odpověď. V tomto důsledku paralyzovali síť SPE jako varování před zveřejněním všech dat, pokud nebude vyhověno jejich poţadavkům.

Stejný den také skupina GOP zveřejnila 4 odkazy obsahující 4 zatím nevydané filmy SPE.

Neţ se podařilo tyto linky zablokovat, stačilo si tyto filmy stáhnout před 100 000 uţivatelů (Riskbasedsecurity, 2014, online).

Další rána pro SPE přišla 1. prosince, kdy GOP zveřejnili další interní data o zaměstnancích SPE. Data obsahovala jména, kontaktní údaje, data narození, e-mailové adresy, platy a další citlivé údaje. Toto ovšem nebyl konec. O dva dny později 3. prosince zveřejnili další data obsahující bezpečnostní informace, hesla a účty ke sluţbám jako např. sony style family center, Connect a mnoho dalších. Ani po tomto zveřejnění dat se GOP nezastavily a zveřejnili třetí balíček dat obsahující roční finanční zprávy, bankovní výpisy, licenční smlouvy, výplatní pásky zaměstnanců, kopie řidičských průkazů, pasů a další informace (Riskbasedsecurity, 2014, online).

Čtvrtý e-mail přišel 5. prosince zaměstnancům SPE, který poţadoval od zaměstnanců souhlas na uvedenou e-mailovou adresu. Tato ţádost byla podpořena výhruţkou poškození nejen zaměstnanců, ale i jejich rodin. Přibliţně ve stejnou dobu byla zveřejněna po celém internetu finanční data SPE (Riskbasedsecurity, 2014, online).

Těsně před dalším zveřejněním dat, které proběhlo 8. prosince, se na stránce Pastebin objevila zpráva, která říkala:

„My jsme GOP, operujeme po celém světě. Nevíme nic o výhružkách poslaných zaměstnancům SONY, ale měli byste moudře soudit, proč se takové věci dějí a kdo je za ně odpovědný. Zpráva pro SONY. Již jsme poslali naše požadavky vedoucímu týmu SONY, ale odmítli je. Posíláme vám znovu varování. Odsouhlaste naše požadavky. A okamžitě

(31)

přestaňte inzerovat film o terorismu, který může zničit mír a vyvolat válku! Vy, SONY a FBI, nás nemůžete najít. Jsme dokonalí. Osud SONY je plně ve vašich rukou.“

Pachatelé tímto poukázali na film The interview, coţ byla filmová akční komedie o atentátu na severokorejského diktátora Kim Jong-una. Data, která byla tentokrát zveřejněná, obsahovala 3,5 tisíce kontaktních údajů, e-mailových adres, jmen, cca 15 tisíc poslaných e-mailů, e-maily na reset hesel a mnohé další (Shields, 2018, s. 24-28).

V průběhu prosince došlo k dalšímu zveřejňování dat, která se převáţně týkala producentů a herců filmu The Interview.

Další zpráva pro SPE přišla 19. prosince. Tato zpráva se týkala filmu The interview (Riskbasedsecurity, 2014, online):

„Toto je GOP. Už jste trpěli dostatečně. Rušíme zákaz. Film The Interview může být zveřejněn. Ale buďte opatrní. 11. září se může zopakovat, pokud nedodržíte naše pravidla. Pravidlo číslo 1: žádná scéna smrti o Kim Jong-una. Pravidlo číslo 2:

Nezkoušejte nás. Pravidlo číslo 3: Pokud uděláte něco jinak, budeme připraveni znovu zaútočit. Toto jsou Ochránci míru (GOP).“

SPE nakonec zveřejnilo film The Interview 24. prosince (Riskbasedsecurity, 2014, online).

Vyšetřovatelé zjistili, ţe roku 2014, konkrétně v červenci vznesla Severní Korea poţadavek na stáhnutí připravovaného filmu The Interview, kvůli jeho scénám zahrnujícím Kim Jong-una. Tento film se setkal i s prohlášením ze strany Severní Korey, ţe pokud film bude zveřejněn, bude to povaţováno jako válečný čin proti Severní Koree. V listopadu při zkoumání motivu k útoku na SPE se stala Severní Korea hlavním podezřelým. Následně se zjistilo, ţe útoky byly vedeny z IP adres Severní Korey. To utvrdilo vyšetřovatele, ţe pachatelé jsou občané Severní Korey. Vyšetřovatelé tedy začali zkoumat další souvislosti v případu a snaţit se přijít na konkrétního pachatele. Tyto snahy však přišly vniveč, jelikoţ se vyšetřovatelé nedobrali ţádného výsledku. FBI tedy oznámila 9. prosince, ţe Severní Korea není zodpovědná za útok na SPE (Riskbasedsecurity, 2014, online).

Tento den přišla další zpráva a to od společností, které se pokoušely analyzovat malware, kterým byla infikována zařízení na počítačové síti SPE. Společnosti došly k zjištění, ţe malware nebyl ţádným novým převratným vynálezem. Jednalo se totiţ o malware, který obsahoval prvky jiţ známých malwarů (Riskbasedsecurity, 2014, online).

(32)

Vyšetřovatelé si v tuto chvíli nebyli jistí, zda je za útok na SPE odpovědná pouze jedna skupina, jelikoţ se motivy GOP měnily. Na začátku ţádali GOP o finanční odškodnění, ovšem v nadcházejících dnech se motiv změnil na stáhnutí filmu The Interview a válečné výhruţky (Riskbasedsecurity, 2014, online).

FBI 19. prosince neoficiálně oznámilo, ţe za útokem na SPE stojí Severní Korea.

FBI toto tvrzení nepodloţilo ţádnými důkazy. O pár dní později byla zveřejněna zpráva určená FBI od GOP, která obsahovala sarkastické blahopřání k úspěchu ve vyšetřování a odkaz na výsměvné video s názvem “jste idioti“ (Riskbasedsecurity, 2014).

Spojené státy oficiálně oznámily 2. ledna 2015, ţe za útok SPE je odpovědná Severní Korea.

3.2.2 Pouţité prostředky

Někteří zaměstnanci SPE obdrţeli 25. září spear-phishing ve formě e-mailu obsahující malware. Spear-phishing byl určen běţným zaměstnancům společnosti SPE.

Po infikaci vyslal malware zprávu útočníkům o zařízení, které úspěšně napadl.

3.2.3 Funkce malwaru

Malware, který byl pouţitý při tomto útoku se jmenoval Destover. Destover zastával mnoho funkcí různých druhů malwarů. Mezi jeho základní funkce patřila schopnost šířit se mezi zařízeními připojenými na síť, přepisovat či mazat systémová, programová data, čímţ znemoţnil se zařízením operovat a nakonec pouţil internet na zobrazení okna „Hacknut GOP“ (Schwartz, 2014, online).

3.2.4 Doporučení

Preventivní

Jedním z největších problémů tohoto malwaru je jeho schopnost smazat všechna data. Tento problém lze řešit zpravidla zálohováním dat. Ovšem tato záloha musí být udrţována na externím zařízení, jelikoţ zálohy v zařízení by byly smazány společně s ostatními daty. U velkých společností je moţné vést zálohy na dnes jiţ velice oblíbených cloudových úloţištích. Cloudová úloţiště jsou velice výhodná, jelikoţ lze mít všechny

(33)

zálohy na jednom místě. Další výhodou cloudové zálohy je její jednoduchá přístupnost.

K těmto zálohám se můţe dostat kaţdý autorizovaný uţivatel.

Při infikaci

Po infikaci tímto malwarem se nedá účinně bránit, ale je moţné omezit škody díky tzv. segmentaci sítě. Segmentace sítě spočívá v rozdělení dosavadní počítačové sítě na menší subsítě. Pokud bychom tedy měli vytvořené tyto subsítě a jedno ze zařízení na jedné subsíty by bylo napadeno malwarem Destover, nejednalo by se o tak velký problém.

Destover se šíří po počítačové síti, a proto pokud by byly vytvořeny subsítě, a měli bychom zprávu o infikaci zařízení, jednoduše by byla tato subsíť odpojena od zbytku subsítí.

3.3 Kazuistika č. 3 - National health service (NHS)

National health service je britská zdravotnická sluţba, která poskytuje své sluţby pro obyvatele Velké Británie zdarma. Za 36 hodin jí projde 1 milion pacientů. NHS zaměstnává 1,5 milionu lidí a řadí se tak mezi jednoho z největších zaměstnavatelů na světě (National health service, online).

3.3.1 Popis

Malware WannaCry postihl 99 zemí jiţ první den jeho šíření. Za tři dny jiţ bylo zasaţeno 150 zemí, z nichţ většina byla v Evropě (Opus Kinetic, online).

V průběhu vyšetřování bylo několik teorií, které se zabývali schopností malwaru WannaCry. Některé názory se opírali s běţnou techniku distribuce malwaru pomocí e-mailu, ovšem bliţší vyšetřování zjistilo, ţe WannaCry nepotřeboval e-maily ke svému šíření. WannaCry verze 2 byla kombinací tří malwarů. Jednalo se o samotný ransomware WannaCry, exploit EternalBlue a backdoor DoublePulsar. Tato kombinace se velice osvědčila a znamenala pro všechny uţivatele velkou hrozbu. Díky této kombinaci nepotřeboval WannaCry verze 2 ţádnou pomoc při distribuci, jelikoţ vyuţíval funkcí malwaru EternalBlue a DoublePulsar. WannaCry hledal a identifikoval zařízení, které bylo moţné napadnout díky chybě v zabezpečení systémů Windows (Palmer, 2018, online).

WannaCry se začal šířit globálně od 12. května 2017. Jenom za tento den se nakazilo přibliţně 200 000 zařízení, z nichţ bylo několik zařízení NHS. Tento útok

(34)

ovlivnil nejméně 603 organizací spadajících pod NHS. Odstavilo se přibliţně 1 220 kusů zdravotnického zařízení (Shield, 2018, s. 106-107). WannaCry byl nakonec zastaven ještě tentýţ den Marcusem Hutchinsem, který nalezl v malwaru “vypínač“. Problém byl nakonec podpořen i ze strany Microsoftu systémovým patchem (The guardian, 2017).

Aţ v první polovině roku 2018 vyšetřovatelé představili podezřelého z tohoto útoku a tím byl Park Jin Hyok. Hyok byl podle dostupných informací členem skupiny Lazarus, která stála za útokem WannaCry a mnoho dalších (Shields, 2018, s. 106 - 109).

Hyok pouţíval stejné e-mailové adresy, které byly pouţity při útoku na SPE a další útoky.

Také malwary pouţívané měly velice podobné znaky. Existence tohoto pachatele byla vládou Severní Korey popřena a označena za leţ (Shields, 2018, s. 28).

Lazarus

Hackerská skupina, která má za sebou činy jako narušení, sabotáţe, informační a finanční kybernetické krádeţe, špionáţ a další. Poprvé se skupina projevila roku 2009, kdy se proslavila Operací Troy. Operace Troy byla kybernetická špionáţ proti ozbrojeným silám a vládě v Jiţní Korey. Lazarus má na kontě i velice známý útok na SPE z roku 2014.

Za roky své působnosti si vytvořila i dvě hackerské skupiny jako následovníky a to Bluenoroff a Andariel (Trendmicro, 2018, online). V současné době byl odhalen pouze jeden jediný člen skupiny Lazarus a to Park Jin Hyok.

Park Jin Hyok

Severo Korejský programátor pracující v Čínském hraničním městě Dalian pro Chosun Expo. Chosun Expo také známé jako Korea Expo Joint Venture je Severo Korejská vládní organizace, která je spojená s vládní hackerskou organizací Lab 110 (Shields, 2018, s. 133).

3.3.2 Pouţité prostředky

Na tento masivní útok byly pouţity tři prostředky. Jedná se o exploit EternalBlue, backdoor DoublePulsar a ransomware WannaCry.