Internet v době pandemie: datový tok roste, v přílohách e-mailů se skrývají viry

Jan Kašpárek, Kateřina Smejkalová

Pandemie nového koronaviru mění nejen společenský život, ale také internet. Pro poskytovatele připojení znamená obecná karanténa větší zátěž. Na krizi se navíc snaží vydělat kyberzločinci rozesílající šifrovací viry i trojské koně.

Fakultní nemocnice v Brně se stala obětí útoku hackerů. Národní ústav pro kybernetickou a informační bezpečnost je na informace skoupý, ale z dostupných poznatků se věc jeví tak, že se jednalo o sofistikovaný útok takzvaným ransomwarem. Foto WmC

Nový koronavirus neznamená nápor jen pro zdravotnictví, ale — možná na první pohled poněkud překvapivě — také pro internetovou infrastrukturu. S tím, jak čím dál tím více zemí uvaluje na svá obyvatelstva různě přísná omezení pohybu ve fyzické realitě, stoupá potřeba komunikovat digitálně.

Na internet se přesunují pracovní porady, školní a univerzitní výuka, styk s úřady, ale také řada volnočasových aktivit, jako jsou prohlídky sbírek světových muzeí a galerií, ale například i pražskými kiny pořádané projekce filmů. V důsledku toho, že se lidem doporučuje či v řadě zemích již přímo nakazuje být co nejvíce doma, roste také objem dat spotřebovaných na běžnou zábavu v online prostoru — streamování hudby a filmů, hraní počítačových her nebo procházení sociálních sítí.

Šéf Facebooku Marc Zuckerberg například hovoří o dramatickém nárůstu používání Facebooku, který dalece překračuje obvykle nejhustší provoz na Nový rok. Totéž firemní impérium eviduje také zdvojnásobení počtu hovorů vedených přes Whatsapp a Messenger.

Evropská komise zase přistoupila k domluvě se streamovací službou Netflix, aby pokud možno snížila rozlišení a rychlost přenosu svých filmů a seriálů, a tím odlehčila internetové infrastruktuře. Firma oznámila, že omezí datový tok na území Evropské unie o čtvrtinu, přičemž se pokusí zachovat co největší kvalitu obsahu.

Ve Francii tento týden dokonce kolovala informace, že by Netflix, YouTube a jiné podobně datově náročné služby mohly být zakázány zcela. Ve Švýcarsku tímtéž pohrozil tamní parlament.

Situace však podle všeho zdaleka není dramatická. Kupříkladu největší německý datový uzel DE-CIX má maximální kapacitu 54,1 terabitů za sekundu, v současnosti se ale užívá v průměru jen 6,1 terabitů, i když byl v poslední době skutečně zaznamenán asi desetiprocentní nárůst. Rezerva je ještě velká.

Problémy nastávají spíše dočasně nebo lokálně, kupříkladu ve Spojených státech amerických či Itálii. Jedná se o situace, kde jednotlivé přípojky či servery nezvládají nápor, případně nedisponují dostatečně dobrým síťovým pokrytím.

Provozovatelé internetové infrastruktury obvykle počítají s tím, že se vytížení sítě během dne mění. Tím, že nyní tráví výrazně více lidí čas doma, používá videokonference či hraje online hry, se užívání sice rapidně nezvyšuje, ale trvá delší dobu. Datové toky takto zesílily i v České republice, síť ovšem bez větších problémů drží.

Datový tok v ČR narůstá, ovšem nikoli dramaticky. Graf NIX.cz

Větší skok podle sdružení internetových poskytovatelů Nix.cz nastal po pozastavení školní docházky, ani ten ovšem nevyvolal kolaps. Větší výpadky či zpomalení odezvy zaznamenal pouze web ministerstva zdravotnictví zavalený nárazově přístupy od mnoha tisíc občanů hledajících informace o aktuálních vládních nařízeních.

V případě nouzové situace je dočasné blokování jednotlivých služeb jak technicky možné, tak potenciálně právně přípustné. Odporovalo by nicméně principu tzv. síťové neutrality, jejíž dodržování je pro zastánce svobodného internetu jednou z největších hodnot vůbec.

Digitální giganti posilují automatizaci. Algoritmy mažou nezávadné statusy

Nárůst uživatelské aktivity zaznamenal nejen internet jako takový, ale především jeho jednotlivé platformy v čele se sociálními sítěmi. Ty lidem slouží nejen ke komunikaci s blízkými v době karantény, ale také coby zdroj informací a organizační platforma. Jen v České republice mají facebookové skupiny zaměřené na vzájemnou pomoc a dobrovolnickou práci související s pandemií desetitisíce členů.

Facebook se jako největší sociální síť sice snaží o novém koronaviru uživatele informovat a odkazovat na důvěryhodné zdroje informací, současně se ovšem potýká s potížemi. Firma podobně jako Google posílá zaměstnance pracovat z domova, a snaží se při správě obsahu více spoléhat na automatizované algoritmy.

Ve chvíli, kdy má vyhledávat či posuzovat obsah porušující pravidla daných platforem, ovšem automatizace naráží na své limity. Oproti lidem neumí posoudit kontext sdělení ani rozeznat ironii. Výsledkem se tak stávají nesmyslně smazané příspěvky a nespokojenost dotčených uživatelů.

Limity algoritmů se projevily v týdnu, kdy Facebook i jeho sesterská síť zaměřená na fotografie, Instagram, smazal množství zcela korektního obsahu kvůli chybě v systému na rozpoznávání spamu. Závada vymazala neznámý — nicméně jistě značný — počet příspěvků seriózních médií i jednotlivých uživatelů, a to včetně zpráv o probíhající pandemii.

„Jednalo se o problém s automatizovaným systémem, který odstraňuje odkazy na problematické stránky,“ vysvětlil na Twitteru viceprezident Facebooku Guy Rosen s tím, že síť odstraněné příspěvky opět obnovila. To Deníku Referendum potvrdili i dva čeští uživatelé, jež předtím porucha protispamových systémů zasáhla.

Google upozornil uživatele, že omezení lidského faktoru může vést k prodlevám v neakutní uživatelské podpoře. Automatizaci chce posílit i Twitter. Zdůrazňuje ovšem, že nebude na základě výstupů algoritmů blokovat uživatele, neboť se obává nepřesností.

Nemocnice bojují nejen s koronavirem, ale i s hackery

Celosvětová pohotovost neznamená jen změny v provozu sítě, ale také nová rizika. Nejen v České republice se již déle hovoří o možném „vypnutí“ nemocnic hackerským útokem.

Ten před týdnem zasáhl Fakultní nemocnici Brno, jíž vyřadil z provozu významnou část počítačových systémů a přinutil lékaře přesměrovat část pacientů do jiných zařízení. Případem se zabývají kriminalisté i Národní ústav pro kybernetickou a informační bezpečnost. Na informace jsou ovšem skoupí.

„Jediné, co mohu říci, je, že jsme na místě i fyzicky a pomáháme nemocnici s nastavením sítě. V tuto chvíli probíhá trestní řízení,“ sdělil Deníku Referendum mluvčí Úřadu Radek Holý. Posilování obranyschopnosti ostatních nemocnic je v prvé řadě na místních IT odděleních.

Holý aspoň podotkl, že Úřad varuje před aktuálními hrozbami. V nedávné době upozornil kupříkladu na rozšíření klamných e-mailů zneužívajících hlad po informacích o novém koronaviru.

Ty vystupují mimo jiné jménem Světové zdravotnické organizace. „E-mail v angličtině se snaží adresáta přesvědčit, že obdržel informace o bezpečnostních opatřeních k zamezení šíření viru a rady, jak se chránit. Přiložený link oběť přesměruje na falešnou stránku, na jejímž pozadí figuruje náhled na skutečnou stránku Světové zdravotnické organizace WHO. Před ní je ovšem umístěno pop-up okno, snažící se z dotyčného vylákat přihlašovací údaje emailové schránky,“ uvedl Úřad na konci února.

Jedná se o typický příklad phishingu. To je snaha o vymámení důvěrných údajů skrze e-maily podepsané jménem skutečných institucí, z nichž ovšem vedou odkazy na falešné přihlašovací formuláře.

Jindy je cílem přimět adresáta, aby otevřel přílohu zprávy. Ta se tváří jako běžný dokument, ve skutečnosti ale obsahuje škodlivý kód.

V posledním roce tak gradují útoky ransomwarem, tedy programem, jenž přešifruje datová úložiště napadeného počítače a následně žádá výkupné za jejich odemčení. Jedním z nejznámějších šifrovacích virů je Ryuk, kterému v poslední době padla za oběť síť benešovské nemocnicedolů OKD.

Podle dostupných informací se zdá, že podobné příznaky má i útok na nemocnici v Brně. Ryuk funguje ve velmi účinném spojení s „tradičními“ viry EmotetTrickbot, jež slouží k těžbě dat a instalaci ransomwaru do celé sítě.

Trio programů ze sítě jednak ukradne potenciálně důvěrné údaje, jednak ji de facto fyzicky zlikviduje: zašifrovaná data jsou nepoužitelná a jejich obnova prakticky nemožná. Opravy stojí miliony a mohou trvat týdny. Pokud je nutné obnovit chod instituce ihned, vyžaduje to zbudování nové interní sítě.

Útok typicky začíná spuštěním kódu ukrytého v takzvaných makrech kancelářských souborů, jako jsou textové či excelové dokumenty. Jedinou zaručenou obranou je opatrnost — zvláštně vzhledem k tomu, že útočníci mnohdy sázejí na takzvaný spear-phishing, kdy falešnými e-maily cílí na konkrétního adresáta. Jak upozorňuje Úřad, v případě nemocnic se původci virů mohou vydávat za zdravotnické organizace, jiné nemocnice či dodavatele materiálu.

Schéma pravděpodobného průběhu útoku na brněnskou Fakultní nemocnici.Trio Emotet-Trickbot-Ryuk uživatel nevědomky spustí velmi snadno, důsledky jsou ovšem vážné. Grafika Kryptos Logic team

Napadení klíčové infrastruktury není ani zdaleka výlučně českou záležitostí. Agentura Bloomberg v pondělí referovala o neúspěšném útoku mířícím na americké ministerstvo zdravotnictví.

Přestože nejsou známy technické podrobnosti, z dostupných informací zatím vyplývá, že se zřejmě jednalo o formu takzvaného DDoS. To je poměrně primitivní mechanismus spočívajícího v pokusu o přetížení serverů skrze bezpočet rychle opakovaných pokusů o připojení.

Pozor na falešné aplikace

Pandemii nového koronaviru ovšem provází i šíření řádově vyšších desítek škodlivých aplikací a falešných stránek, jež spoléhají na poptávku po aktuálních informacích i nepoučenost uživatelů. Své oběti hledají mimo jiné speciální mobilní programy, jako je Corona live 1.1. Ty kradou přístupová data včetně přihlašovacích údajů k bankovním účtům, instalují ransomware nebo umožňují útočníkům převzít kontrolu nad napadeným zařízením.

Znovu se objevil také nechvalně proslulý bankovní trojan Cerberus, který nedávno prošel nebezpečným vylepšením. Kromě toho, že může útočníkům přeposílat řadu obvykle používaných přihlašovacích údajů, jeho aktualizovaná verze umí také krást kódy sloužící k dosud bezpečnému dvoufázovému ověření v rámci služby Google Authenticator.

Namísto mobilních aplikací z pochybných zdrojů se proto doporučuje hledat informace k novému koronaviru konzervativnějším způsobem, tedy z oficiálních zdrojů a důvěryhodných médií. V České republice funguje kupříkladu speciální portál ministerstva zdravotnictví koronavirus.mzcr.cz či informační web okoronaviru.cz, který staví na práci odborníků a výstupech institucí.