Rozhovor s Vlastimilem Klímou

Začíná Dvacet minut Radiožurnálu, dobré odpoledne a dobrý poslech vám od jejich mikrofonu přeje Martin Veselovský. Možná se vám právě děje to, co mně. Obě rozhlasové emailové schránky mám zahlceny emaily, které vypadají jako zprávy od mé banky a kdosi v nich celkem věrohodně požaduje vypsání hesel a osobních údajů k mému bankovnímu účtu. Nejsem v tom sám. Jedná se totiž o nejmasivnější phishingový na Českou spořitelnu v její historii a nájezdem phisherů nejsou ušetřeny ani ostatní české banky. Podobné emaily chodí i na adresy jejich klientů. Emailů požadujících odeslání osobních dat a přístupových hesel se objevilo již sedmnáct druhů a všechny se snaží vyvolat dojem, že je rozesílá samotná banka. Základní otázka dalších dvaceti minut tedy bude, jak bezpečná je elektronická komunikace s bankou a nebylo by náhodou lepší sáhnout pod matraci a chodit se složenkami na poštu? Mým hostem je dnes jeden z předních českých kryptologů Vlastimil Klíma. Dobrý den, vítejte v rozhlase.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Dobrý den.

Martin VESELOVSKÝ, moderátor:
Je ten phishingový útok něco, čeho bychom se měli obávat?

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Tak, jako většina uživatelů se ho obávat nemusí, to je vlastně útok na ty uživatele, kteří jsou nejméně zkušení, vlastně jsou to největší laikové a phishing se vlastně tomu útoku říká proto, že je to rybaření, čili vlastně ti útočníci rozhazují své sítě dosti široce po Internetu na tisíce, miliony adres a chytají opravdu jenom ty nepozorné laické rybičky do ohromné sítě, kterou takto rozhodí. A vlastně velice malé procento uživatelů se chytí do té sítě a na ten email odpoví.

Martin VESELOVSKÝ, moderátor:
Na druhou stranu, vzhledem k tomu, že ty phishingové útoky se opakují s určitou periodicitou neustále, tak asi nějak výnosný ten byznys bude.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Ano, protože oni to zkoušejí, zatím u nás tedy výnosný rozhodně není, u nás se chytila mizivá část uživatelů, podle mých informací asi deset, řádově deset uživatelů internetového bankovnictví a všechny ty útoky byly včas zastaveny. Takže u nás to nemá velký dopad, ale v anglicky mluvících zemích třeba tam se chytá až jedno procento nebo řádově dokonce procenta lidí, tak tam je ta, abych tak řekl ...

Martin VESELOVSKÝ, moderátor:
Výnosnost?

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
... výnosnost mnohem větší.

Martin VESELOVSKÝ, moderátor:
Jak, čím to je, že v anglicky mluvících zemích, na první jaksi poslech bych řekl, že jsme možná poučenějšími uživateli, nevím.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Nevím, Češi jsou dost opatrní na své peníze a v těch západních demokraciích je ta volnost, ta svoboda taková volnější nebo víc využívaná, takže i tam ta opatrnost je menší, i když by člověk předpokládal právě opak.

Martin VESELOVSKÝ, moderátor:
Pane Klímo, možná i ostatní posluchači mají podobnou zkušenost jako já, že jsou jejich emailové schránky náhle zahlcovány desítkami jednotlivých emailů denně, které právě pochází jakoby z těch domén, které vypadají jako internetové domény jejich banky. Kdo to vlastně rozesílá, teď po vás nechci jména, spíš jestli to jsou konkrétní lidé nebo nějaké, nějaký roboti.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Jsou to roboti, jsou to vlastně stroje, za nimi samozřejmě je tým hackerů nebo jeden hacker, většinou tady musím říct, že ty naše podvodné maily jsou vlastně takové hračičky, že to jsou hackeři velmi nízkého řádu, neodborní, že si vlastně jenom zkoušejí pole a zkoušejí si metody, že to nejsou vůbec žádní profesionálové, proto také třeba ty maily jsou psány špatnou češtinou nebo anglicky pro českého klienta a podobně. Čili to jsou ..., zatím jsou to projevy takové jednoduché, jsou to jenom takové zkoušky.

Martin VESELOVSKÝ, moderátor:
Když říkáte, pane Klímo, že to jsou hackeři nebo vůbec lidé, kteří se phishingem zaobírají, nízkého řádu, dozví se vůbec normální klient a člověk, který není do té bezpečnostní sféry elektronických komunikací ponořen jako vy, o tom, když zaútočí někdo vyššího řádu?

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
No, o tom se asi nedozví a zatím ty útoky vyššího řádu provedeny nebyly takto masivně třeba přes internetové bankovnictví, nicméně tady ty phishingové útoky a další jsou takové první projevy toho, že se ty metody útoků zkoušejí a banky se víceméně neobávají těchto phishingů laických, ale obávají se spíš mafie, která může zaměstnat a zaměstnává specialisty, skutečné odborníky, kteří vypracovávají metody, jak ten phishing by dotáhli do konce. Tam se jedná vlastně o útok na, na počítače v masovém měřítku, na miliony počítačů uživatelů, stejně tak, jak jsme to viděli třeba u viru I love you, že jo, to bylo prostě ..., deset procent uživatelů Internetu bylo napadeno. Takže banky mají strach z takového masivního útoku, který by, který by vlastně vedl z mnoha milionů počítačů na jejich účty.

Martin VESELOVSKÝ, moderátor:
Mají strach tedy z něčeho, co potencionálně hrozí, co někde možná číhá a v budoucnu ...

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Ano, ano, jsou to vlastně organizované mafie, které se zatím neprojevily nebo o tom nevíme, a vlastně bychom se asi nedozvěděli, ale banky na tohle se postupně připravují ...

Martin VESELOVSKÝ, moderátor:
Na to jsem se chtěl zeptat, jaký převis je v té bezpečnosti, která je používaná bankami tady v našem středoevropském teritoriu, jako na, na jak masivní, anebo na jak sofistikovaný útok jsou připraveny dnes v tuto chvíli.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Tak, co se týká útoku zvenčí, tak jsou připraveny na dost, jsou dost dobře zabezpečeny, tam si myslím, že je to riziko naprosto mizivé. Nejhorší by bylo ve spojení s někým uvnitř banky, ten útok by, pokud by bankovní systém měl díru, tak by mohl ten útok umožnit vlastně vyvést ty peníze z banky ven, což je dnes silně kontrolováno. Vlastně ten phishingový nebo jiný útok má cenu, pokud se vám podaří ty peníze nejenom převést z nějakých účtů na svůj, ale také umět ty miliony dolarů nebo korun, stamiliony prostě vybrat nebo převést do zahraničí a tam je vybrat. A to je vlastně problém, který banky mají velmi dobře ošetřen, že každou takovouhle aktivitu, kdyby se slévalo větší množství drobnějších částek na jeden nebo několik účtů, tak okamžitě zachytí jejich filtry proti praní špinavých peněz. Takže a vlastně převést do zahraničí ty peníze se z téhož důvodu nepodaří také. Čili vlastně to praní špinavých peněz, respektive opatření, které banky mají propracováno a musí mít ze zákona, tak omezují možnosti těch mafií, jak vyvést ty peníze ven ze země, kde zaútočili.

Martin VESELOVSKÝ, moderátor:
Jen podotýkám, že hostem dnešních Dvaceti minut Radiožurnálu, a je to právě ve chvíli, kdy, jak to vypadá, tak vrcholí ten poslední phishingový útok zejména na Českou spořitelnu a i na jiné české banky, je přední český kryptolog a odborník na elektronickou bezpečnost Vlastimil Klíma. Už tady několikrát z vašich úst, pane Klímo, padlo slovo mafie, tak znamená to, že si prostě některé struktury připravující případně nějaký koordinovaný útok platí podobné experty, jako jste vy.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Já předpokládám, že tomu tak je, že bohužel takové skupiny existují a pracují a sem tam třeba vystrčí růžky s nějakým phishingovým útokem nebo s nějakým útokem pomocí, já nevím, distribuce čmuchalů, různých spywareů ...

Martin VESELOVSKÝ, moderátor:
Pojďme, prosím, pojďme, prosím, pro laiky vysvětlit distribuci čmuchalů.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Čmuchal, to je v podstatě, je to, dejme tomu, že dostanete mail, který propaguje pilulky na hubnutí nebo, nebo Viagru nebo podobně, kliknete si na příslušný odkaz, dostanete se na krásný stránky, kde si prohlížíte, jak to má úžasný účinky a přitom vlastně v ten okamžik se na váš počítač dostává špionážní software nebo škodlivý software, obecně řečeno, který může s tím vaším počítačem dělat neuvěřitelné věci buď okamžitě, nebo zejména později. V podstatě tímto se rozesílá na miliony počítačů, které nejsou zabezpečené, ten software, který umožňuje čmuchat, a to je to slovo, čili snímat vlastně to, co ..., to, co píšete na klávesnici. To jsou jednak vlastně ty údaje třeba do toho bankovnictví, čísla účtů, čísla karet, přihlašovací hesla, ten čmuchal také čmuchá ve vašem počítači, hledá tam vlastně seznamy emailových adres, a takhle vlastně se ty emailové adresy sbírají z celého světa, vlastně vzniká ohromná databáze milionů a milionů emailů, na které se potom rozesílají jakékoliv phishingy nebo, nebo jiné věci a získávají se další a další kontakty a vzniká taková síť počítačů, které vlastně ten, ten jejich původce vlastně takto ovládá na dálku s tím, že už tam má instalován svůj program, který ovládá ten počítač, pokud není zabezpečen, že.

Martin VESELOVSKÝ, moderátor:
Ještě k té databázi, která je takto samozřejmě vytvářena do značné míry živelně, ale jsou k těm phishingovým útokům používány i databáze takové té klasické, obchodní, které se těsně na hranici zákona prodávají.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Je, je možno, ano, koupit na černém trhu databáze rozsáhlé, ale ty, ty útočníci si to můžou obstarat poměrně jednodušším způsobem. Takže jestli se to využívá, tak to jsou zase, tak to je nezajímavé prostě z hlediska těch útoků. Adresy prostě, když posíláte maily, tak prochází Internetem otevřeně miliony a miliony, takže stačí někde mít svůj server a odchytávat je, to je snadná záležitost.

Martin VESELOVSKÝ, moderátor:
Vraťme se ještě k tomu, co se děje v současné chvíli, zahlcování emailových schránek nabídkami nebo spíš požadavky pod rouškou toho, že ten požadavek vypadá jako požadavek banky daného klienta na odeslání osobních údajů, případně i hesel v rámci nějakého, řekněme, upgradu toho internetového bankovnictví. V jaký moment by bylo to, co se teď děje, pro klienty nebezpečné.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Především klient, když dostane ten email, tak by ho neměl otevírat, okamžitě ho smazat, jako jakýkoliv jiný spam. A pokud ho otevře, to už je chyba, ale když už se dostane, tak by neměl klikat na žádný odkaz, který tam je, protože ten ho zákonitě vede právě na ty stránky, které z jeho počítače udělají počítač poslušný útočníkovi. A pokud teda ...

Martin VESELOVSKÝ, moderátor:
A když už by, nedej Bože, vyplnil to, co tam je požadováno.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
No, v žádným případě nesmí nic vyplňovat, protože banky nikdy takovým způsobem neoslovují klienty, ani kartové asociace, čili ani platební karty se tímto způsobem k nim nezadávají žádné údaje. On nesmí v žádném případě nic vyplnit. Pokud, měl by mail smazat, když ho otevře, na nic neklikat a v žádném případě nic nevyplňovat.

Martin VESELOVSKÝ, moderátor:
Pokud by tak učinil, tak se stává kavkou.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Tak se stává součástí, pravděpodobně teda se stává součástí celosvětové sítě takových uživatelů, kteří vlastně poskytují počítač těm hackerům.

Martin VESELOVSKÝ, moderátor:
Znamená to, že tedy v celé té phishingové akci je tím slabým bodem počítač, respektive klient.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Přesně tak, je to chování klienta a současný phishing, i všechny ostatní jsou zaměřeny právě na ty nejlaičtější klienty, kteří prostě toto nevědí a banky dělají dnes už mnoho pro vzdělávání klientů, aby, aby prostě na ty maily nereagovali, aby je mazali a podobně. Já myslím, že, že tady u nás je přesto, že se třeba deset lidí zachytilo do sítě internetových rybářů, tak že je to velmi malá část, oproti ostatnímu světu jsme na tom skutečně tisíckrát lépe. Takže tady, tady je to zaměřeno na ty, na ty nejvíc laické uživatele a jsou to vlastně excesy. U nás vlastně ten phishing díky tomu, také díky češtině nemá příliš živnou půdu. Nicméně opatrnost při internetovém bankovnictví je na místě a lidé by měli dbát na to, že když používají počítat, připojení do Internetu, k ovládání svých peněz, tak že by měli dodržovat nějaké základní bezpečnostní zásady, jako je antiviry, firewally, odstraňovat škodlivý právě software, a podobně ...

Martin VESELOVSKÝ, moderátor:
Možná i utajení toho hesla a přístupového jména.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Samozřejmě nikam nepsat, nikomu neříkat, to jsou ..., vlastně ty útoky, které byly úspěšné, jsou tyhle excesy, kdy uživatel to přímo řekne to heslo někomu a ten ho pak použije řádně, takže zatím, zatím internetové bankovnictví je v podstatě velice bezpečné a dá se, pokud, pokud se dodržují základní zásady a další, dejme tomu, bezpečnostní prvek, který nezávisí na počítači, jako jsou třeba ty SMS klíče nebo, nebo elektronické PIN kalkulátory, tak tam je ta bezpečnost už na vysoké úrovni a já nemám žádné obavy, že bych, používám internetové bankovnictví ...

Martin VESELOVSKÝ, moderátor:
To jsem se chtěl zeptat.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
... že bych byl napaden, protože všechny transakce právě autentizuji pomocí, pomocí toho PIN kalkulátoru, který je vlastně zcela oddělený, to je taková kalkulačka do ruky, kde si naťukáte tu svoji, číslo transakce, částku, číslo účtu a ono to vám vypočítá vlastně bezpečnostní kód, který zadáte do toho internetového prohlížeče ...

Martin VESELOVSKÝ, moderátor:
A který je unikátní v tu chvíli.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
... a který je unikátní a žádný hacker na něj nemá, ho nemůže vypočítat, protože nedosáhne do toho kalkulátoru, on dosáhne maximálně do toho počítače vašeho, ale ...

Martin VESELOVSKÝ, moderátor:
Rozumím. Tak, jak jsem pochopil, internetového bankovnictví ani v éře phishingu se neobává kryptolog a expert na elektronickou bezpečnost Vlastimil Klíma, který je hostem těchto Dvaceti minut Radiožurnálu. A když už jsme u toho, co používáte vůbec za aplikace jako expert na elektronickou bezpečnost nebo počítačovou, tak obával byste se, či ne napsat do nějakého internetového formuláře například v online obchodě na Internetu číslo své platební karty?

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Takhle, já jsem trošičku výjimka, protože vlastně pracuju v té bezpečnosti dlouho, takže se tomu vyhýbám, ale neobával bych se tomu, neobával bych se toho, protože platební transakce prováděné kartou jsou zajištěny ještě lépe než internetové bankovnictví, protože tady je dlouhá historie s kartovými asociacemi a s bankami a tam jsou propracované systémy. Takže pokud zadáváte číslo platební karty na Internetu, tak stačí dodržovat několik zásad, abyste nemuseli mít žádné obavy. Vlastně když jdete nakoupit do, do supermarketu, tak tam také platíte tou platební kartou a nemáte žádnou obavu, že by vám prodavač to nějak zneužil a přitom si stejně může přečíst to číslo, stejně jako ho napíšete na Internetu do formuláře. Takže pokud by došlo k nějakému podvodu, tak určitě můžete z výpisu účtu zjistit, že jste to neprovedli vy tu platbu, tak samozřejmě to bance sdělíte a s největší pravděpodobností dojde k uhrazení toho, toho podvodu ze strany banky. Na to je prostě ta kartová asociace vycvičená už desítky let a banky také, čili banky mají povinnosti v tomto směru dost, dost velké, takže není potřeba se obávat, naopak je to velmi příjemné platit.

Martin VESELOVSKÝ, moderátor:
Možná i spousta posluchačů Českého rozhlasu s tím má svoji zkušenost. Když se, pane Klímo, u, teď nechci říkat normální kriminalistiky, ale té nepočítačové říká, že jsou zločinci vždy o krok napřed před kriminalisty a vymýšlejí, jak je obejít a kriminalisté je dotahují, platí to podobné i u té počítačové kriminality a já tu otázku ještě posunu. Může vůbec například česká státní správa, která prostě používá mnohé elektronické aplikace, elektronický podpis, a tak dále, může být schopna konkurovat právě koordinovaným skupinám počítačových odborníků, kteří by se je snažili napadnout?

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Myslím, že ano, že tady jsou v dnešním světě, v tom bezpečnostním jsou ohromné disproporce mezi komerční aplikací a speciální aplikací třeba pro vlády, státní aparáty, vojáky a podobně. Čili existují velmi sofistikované systémy, které jsou prakticky nezjistitelné dokonce, natož napaditelné, do nichž nemají šanci hackeři vůbec vstoupit a které jsou prostě superbezpečné. Je to jenom otázka peněz nebo prostředků, kolik ta bezpečnost, nakolik si jich ti uživatelé cení a v těch speciálních složkách prostě ta bezpečnost je na prvním místě, takže tam, tam lze celkem s velkou mírou jistotu říct, že ty systémy jsou zabezpečené. Přesto se čas od času stane, že i tyto systémy jsou předmětem průniku, naposledy, já nevím, třeba Pentagon a takové známé kauzy, čili nevyhýbá se to nikomu, protože bezpečnost je proces a není to stoprocentní nikdy. Ale má to malou pravděpodobnost a ta data, která uniknou, nejsou vždycky nějakým způsobem okrajová nebo nikdy to nejsou ta top, top data, která jsou chráněna perfektně. Takže obecně v té komerční sféře mají hackeři náskok, protože tak to být musí, ta pokulhává, vlastně teprve obrana následuje za, za útokem. Tímhle se vlastně obě strany cvičí neustále, že útok, obrana, a tak dále ...

Martin VESELOVSKÝ, moderátor:
Posunují ten proces.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
... a posunují ten proces dál. A v té státní sféře je to obráceně, tam ty, ta obrana je o krok vepředu, takže ty hackeři, pokud získají někde nějaký, nějaký kladný bodík, tak je to velmi málokdy a zase tím posunou tu, tu úroveň výš.

Martin VESELOVSKÝ, moderátor:
Tak takových bylo dnešních Dvacet minut Radiožurnálu, hovořili jsme zejména o probíhajícím phishingovém útoku na Českou spořitelnu a některé jiné české banky. A hovořili jsme také o počítačové a elektronické bezpečnosti vůbec. Mým hostem byl přední český kryptolog Vlastimil Klíma. Děkuji, že jste přišel, díky za váš čas, na shledanou.

Vlastimil KLÍMA, kryptolog, odborník na elektronickou bezpečnost:
Na shledanou.

Martin VESELOVSKÝ, moderátor:
U druhého mikrofonu Českého rozhlasu byl Martin Veselovský, přeji vám příjemný večer. Nezapomeňte, že už za malou chvíli, za několik minut začíná také Radiofórum Českého rozhlasu.

Autorizovaným dodavatelem doslovných elektronických přepisů pořadů Českého rozhlasu je NEWTON Media, s.r.o. Texty neprocházejí korekturou.

autor: mav
Spustit audio