Hlavní navigace

Tomáš Charvát (Excello): Na phishing je nemožné se dokonale připravit

29. 1. 2015
Doba čtení: 12 minut

Sdílet

 Autor: Root.cz
Útoky na e-mailové schránky jsou čím dál více sofistikovanější, zdaleka ale nejsou dokonalé. Podle Tomáše Charváta je to znak toho, že za nimi stále stojí automatičtí roboti.

Je tomu pár týdnů co e-mailovými schránkami v Česku proletěly elektronické zprávy, které se tvářily jako standardní vyúčtování objednaného zboží z e-shopu Obchody24.cz. Firma se totiž stala terčem hackerů, kteří se prostřednictvím ní chtěli dostat k údajům pro elektronické bankovnictví běžných občanů. A byly případy, kdy se jim to povedlo.

Událost ukázala na jeden fakt – útoky prostřednictvím e-mailových schránek za účelem nezákonného získání důležitých osobních údajů (tzv. phishing) jsou čím dál dokonalejší.

„Tyto věci chodily už dříve, ale byly všechny v angličtině. Takže je vlastně všichni mazali, protože jim nerozuměli,“ říká spolumajitel a bezpečnostní expert české firmy Excello.

Upozorňuje, že i když se zdokonaluje ochrana, není možné se na útoky stoprocentně připravit. „Není obecná obrana, kterou bychom nyní vytvořili a po dalších 10 let by nám fungovala,“ říká.

Společnost Excello se věnuje bezpečnosti v mailové komunikaci. Její vlajkový produkt Virusfree chrání 6 milionů emailových schránek v Česku, na Slovensku a v Chorvatsku. Firma ale chce dál růst a proto nyní hledá investora. „Zajímají nás ti investoři, kteří by chtěli investovat do rozvoje obchodu směrem do zahraničí,“ říká Charvát.

Vznikli jste před zhruba sedmi lety. Kolik vás nyní v Excellu je?

Vznikli jsme už před osmi lety a jsme stále relativně malí. Celkem je nás 12.

Vaším produktem je služba Virusfree, tedy vlastně antispamová a antivirová ochrana mailové komunikace. Ta od svého vzniku běží na cloudu. Můžete ve stručnosti popsat, jak vše funguje?

Když v internetu někdo odesílá email, tak server odesílatele nejdříve zjišťuje, který server je příjemcem. Ten je pomocí MX nalezen a email po SMTP (Simple Mail Transfer Protocol, pozn. redakce) předán. Z pohledu odesílatele tedy není rozdíl, zda klient využívá naši službu či nikoliv. Rozdíl je v tom, že u příjemce, který má naši službu, se provádí antivirová a antispamová ochrana a následně se předá email do firmy koncového příjemce.

A jak moc to pro příjemce zpomaluje mailovou komunikaci?

Antispamová a antivirová ochrana v průměru trvá vteřinu. A to je to zpomalení. Vezměte si ale, že email od odesílatele přebereme tady v Česku. Antispam se ale může dělat v Lucembursku a antivir ho pak kontrolovat v Německu. A když vše proběhne v pořádku, vrací se zpátky do Česka. To vše v té jedné vteřině.

Kde všude máte takovéto servery?

V Česku, Německu, Lucembursku a Francii.

Aktivní jste tedy nyní v kolika zemích?

Zákazníky máme v Česku, na Slovensku a v Chorvatsku.

Virusfree se poprvé na trhu objevil v roce 2007. Od té doby ale asi musel projít překotným vývojem.

Rozdíl pro zákazníka není téměř žádný. Filosofií je, že zákazník nám svěří odpovědnost, a my budeme dělat vše pro to, abychom ji naplnili. To je pořád stejné.

Vnitřek produktu, který zákazníka vlastně vůbec nemusí zajímat, ten už je úplně jiný než před osmi lety. A to z mnoha důvodů – máme o osm let zkušeností více, máme šest milionů koncových uživatelů, máme osmileté statistiky jednotlivých antivirů a antispamů, které jsou na trhu.

Dále známe nedostatky komerčních technologií a na druhé straně jsme hodně investovali do vlastních technologických řešení. V tomto směru jsme se hodně posunuli i do hloubky antispamové a antivirové problematiky.

Na začátku jsme neměli téměř žádné vlastní moduly v rámci antispamů a antivirů, dnes za 90 procenty výsledků, které poskytujeme zakázníkům, stojí naše vlastní antispamové techniky a antivirové signatury.

Zaujalo mě, že úplně zpočátku si Virusfree nechalo 95 procent zákazníků, kteří ho původně jen testovali. To je velmi vysoké číslo na to, že jste od samého počátku byli v cloudu. Neměli jste tedy problém s tím, že by se vaši zákazníci obávali dávat citlivé věci jako je komunikace v podstatě mimo firmu?

To měli a naráželi jsme na to. Samozřejmě tady nikdo nebyl v roce 2007 připravený na to, aby svá data dal do cloudu. Ten v té době vlastně ani neměl ještě takový název. To byla dříve určitě naše největší překážka.

Platí to i teď?

Už několik let to není pravda. Firmy se cloudu už nebojí. Dnes je vcelku běžné dávat data do cloudu, firmy nemají strach, že jejich e-maily bude někdo číst, což byl tehdy běžný dotaz na zcela každé běžné schůzce se zákazníkem.

V té době se proto uzavíraly dohody o mlčenlivosti, museli jsme projít prověrkou u Národního bezpečnostního úřadu na práci s důvěrným materiálem a podobně.

Říkal jste, že máte šest milionů koncových uživatelů. Vaší cílovou skupinou jsou firmy, je tomu tak?

Koncoví uživatelé nejsou náš přímý zákazník. Oni o nás vlastně nevědí. Přesnější formulací tedy bude, že chráníme šest milionů emailových schránek, které jsou rozprostřeny mezi stovky firem.

Které to například jsou?

Mezi největší patří freemaily na Centrum.cz, Volný.cz, Atlas.cz. Dále to jsou například Jihočeská univerzita v Českých Budějovicích, Univerzita Palackého v Olomouci, Ministerstvo životního prostředí nebo dopravy, ze soukromých firem například Schenker, Mattoni a podobně… Ze strategického pohledu jsou pro nás zajímavější spíše středně velcí zákazníci než ti gigantičtí.

Máte představu, jak velký objem dat v současnosti proteče vašimi servery?

V pracovní době od 8 do 20 hodin je na serverech nepřetržitý tok kolem 600 megabitů. Na počet emailů je to tak, že k nám každý den míří přibližně 150 milionů emailů, ze kterých je 90 procent k likvidaci. Ale je to samozřejmě velmi proměnlivé.

Vy jste se vždy rozvíjeli jen z vlastních zdrojů?

Jsme od začátku zcela samostatní, naše firma nikdy neměla žádnou vnější investici. Základní kapitál získaný při založení nám vystačil do prvního a i dalších obchodních případů. A po prvním roce fungování jsme už v lednu měli dost zdrojů na to, abychom vydrželi fungovat celý další rok.

Ani v současné době investora nehledáte? V rámci například další expanze?

O investici teď zájem máme, ale hlavně v kontextu vstupu na cizí trhy. Ten je totiž hlavně věcí kapitálu.

Takže plánujete určité rozšíření?

Rádi bychom. Nejsme v tom příliš aktivní. Ale rádi bychom.

A jakým směrem byste se chtěli rozšiřovat?

Firmy, s kterými tu spolupracujeme, jako je například Schenker, jsou známé tady v regionu. Takže si myslím, že vstup na německý, rakouský nebo polský trh je pro nás přirozeným krokem.

Z našeho pohledu by to ale měl být jen takový inkubátor pro budoucí vstup na globální trh. Není totiž důvod se omezovat na jednu zemi. Z povahy našeho produktu může být náš zákazník klidně v Etiopii nebo v Číně. My s tím nemáme velké složitosti nebo vícenáklady, maximálně jde o to udělat další jazykovou mutaci. Cílem je tedy globální trh.

A chodí sami investoři s nabídkami?

Ano, chodí sami. Zatím se žádné zajímavé partnerství nerýsuje. A hlavně čeští investoři.

Jaký investor vás typově zajímá? Asi by neměl přinést jen finance, ale spíše kontakty, schopnost navázat obchodní vztahy v zahraničí?

Zajímají nás ti investoři, kteří by chtěli investovat do rozvoje obchodu směrem do zahraničí. Nepotřebujeme investora, který by vložil své prostředky do technologií.

Máte přímého konkurenta?

Za osm let jsme zde spatřili několik konkurentů, ale někteří se stali dokonce i našimi distributory. Což bylo milé, když jsme je porazili a oni dokázali nebýt ješitní a místo toho za námi přišli, seznámili se a nastartovali dlouholeté a efektivní partnerství. A pak tu bylo hodně firem, které se snažily dělat velmi podobnou věc, ale už tu nejsou.

Jak to?

Obchodně to je neuvěřitelně složité téma. A když to zkrátím – viděli jsme konkurenci, která se snažila produkt prodat za desetinovou cenu. A ta konkurence už tu není. Dnes je tu snad jedna firma, která se snaží něco podobného dělat, ale jádrový byznys mají někde jinde, takže se na to nezaměřují.

Takže vás konkurence v Česku netrápí?

Netrápí nás česká konkurence formou služby. Co nás trápí, je konkurence v zahraničí, hlavně v USA a v Anglii. Ale trochu jinak. Pokud se totiž některá česká firma stane součástí nadnárodního holdingu, tak s ní nejsem schopni soupeřit téměř v ničem.

Jelikož někteří naši zákazníci jsou také součástí mezinárodní skupiny a pokud se management rozhodne, že bude pro celý korporát využívat jen řešení britské firmy, tak s tím nemůžeme nic dělat, protože ani v Británii, ani v USA nejsme. To je nejčastějším důvodem, kdy nás opouští zákazníci.

Když se obrátíme k samotným útokům na emaily. Co je nyní mezi spammery v trendu?

Řekl bych, že jde o takovou konstantní deviaci. Inovace v této oblasti není moc. Pár let tomu všemu dominuje nevyžádaná „hloupá“ reklama, pak nastupuje takzvaná šedá reklama, která je na hranici zákona, jelikož porušuje zákony o rozesílání obchodních sdělení, a pak jde o vlny, kterým dominují právě viry. A tyto tři složky jsou ve spamu stabilně zastoupeny a mění se jen jejich poměr.

Na začátku minulého desetiletí všemu dominovaly jen viry, poté nastoupily spamy ve formě hloupých reklam a poslední čtyři roky jde zejména o šedé reklamy, které se střídají opět s viry.

Nedá se v rozesílání spamu najít určitá sezonnost?

Ne. Útočníci s viry sledují to, že si budují botnety (sítě napadených počítačů, které jsou pod kontrolou hackerů, pozn. redakce), ze kterých pak rozesílají reklamy či jiné spamy, nebo se z nich dělají i samotné útoky. V tom sezónnost není. V šedých reklamách je nepatrná sezónnost okolo Vánoc, ale není výrazná.

Což byl zrovna příklad nedávného spamu, který přišel ve jménu firmy Obchody24.cz. Svědčí o čím dál větší míře sofistikovanosti útočníků?

Celé minulé desetiletí jsme měli v Česku velké štěstí, že tyto škodlivé maily nebyly v češtině. Tyto věci chodily už dříve, ale byly všechny v angličtině. Takže je vlastně všichni mazali, protože jim nerozuměli.

A když to nyní chodí perfektní češtinou a vypadá to jako běžná faktura z internetového obchodu, na kterém dnes nakupuje padesátkrát více lidí než před deseti lety, tak je český uživatel samozřejmě daleko zranitelnější než tenkrát. I proto je to nyní tolik vidět.

Mohou se firmy, jejichž identitu hackeři k poslání spamu zneužijí, nějak preventivně bránit?

Jsou útoky, či způsoby, které jsou velmi triviální a dá se jim také triviálně bránit. Ale na druhé straně existují složitější způsoby, a zde už je to horší. I kdyby ta firma implementovala všechna možná opatření, tak v nejlepší případě dosáhne toho, že si ten útočník vybere za oběť jinou firmu.

Ale kdyby útočník trval na tom, že zneužije značku České pošty, kterou podobný útok také postihl, tak tam opravdu není moc, co pošta ve skutečnosti může udělat. Technicky se tomu téměř nedá zabránit, pouze minimalizovat dopady a zkomplikovat to útočníkovi.

Takže neexistuje obrana?

Dá se zabránit tomu, aby viry chodily přímo v mailech. To je oblast, ve které české freemaily i firmy mohou udělat mnoho. V tomto ohledu bych řekl, že dlouhodobé podceňování hrozeb, které maily chodí, je v Česku typické. Důsledkem pak je, že na české freemaily chodí viry. Kdyby ale používaly stejně přísné zabezpečení jako české univerzity, tak k tomu nedochází.

Problémem ale je, že nechtějí být tak striktní. Ono by to totiž do jisté míry omezilo komfort jejich uživatelů – i když negativní omezení by vnímalo tak jedno procento z nich. Zatím ale ještě problémy, které jsou s tím spojené, nepřevážily nad tím, že menšina bude mít problémy na úkor toho, že většina bude v bezpečí. A to platí bez výjimky pro všechny české freemaily. 

U slovenských jsme se naopak setkali s bezpečnostní politikou, které je i na naše poměry velmi přísná. Ale to je dobře, účinně minimalizují úspěšnost všech virových kampaní.

Jaké konkrétní negativní dopady máte na mysli?

Například když někomu budete přes email posílat .exe soubor, tak se vám to místo doručení vrátí. Ale o tom budete informování jako při klasickém nedoručení pošty.

Spamy často mívají jedno slabé místo – jména odesílatelů nebávají česká, což může být takovým lakmusovým papírkem. Předpokládám, že tohle ale také dlouho nevydrží.

Ano. V mailech bude perfektní české jméno, bude tam grafika ukradená přímo z webových stránek firmy, jejíž jméno zneužijí. A když si s tím dají hodně práci, tak to bude mít úplně stejný formát jako jejich faktury a emaily.

Takže když něco podobného budu chtít dělat, podívám se na největší český internetový obchod. Vím, že 40 procent Čechů podobný obchod zná a má k němu důvěru, tudíž nespatří žádný důvod, proč by zrovna tu fakturu z tohoto obchodu neměli otevřít.

A to už bude velký problém.

Mě spíš zaráží, proč většína spamů není takto sofistikovaná už teď. Myslím si, že je to důsledek toho, že podobné maily jsou stále generovány automaticky, s určitými atributy pro různé země. Zatím se tím nezabývají příliš do hloubky. Ale kdyby útok chtěl udělat Čech na českém trhu, měl trochu v hlavě a byl z oboru, tak by ty následky byly strašné.

Tady už ale jakákoliv obrana půjde úplně stranou a záležet bude hlavně na edukaci uživatele.

Není obecná obrana, kterou bychom nyní vytvořili a po dalších 10 let by nám fungovala. Existuje jen obrana, která vznikne v momentě, kdy se útok objeví, a ta je pak obvykle velmi efektivní a triviální. Ale není možné se na to připravit tak, že by člověk v momentě útoku nemusel nic dělat. To prostě nelze.

Když se ještě přesunu k jedné oblasti, která s IT bezpečností souvisí – a to jsou krádeže zákaznických dat z firem. Měly jsme tu příklady jako Sony nebo eBay. Jak je možné už jen to, že velké nadnárodní firmy mají hesla zákazníků uložená ve složce s názvem „hesla“?

Paradoxně čím větší firma, tím větší chaos. Člověk by si myslel, že velké firmy jsou tvrdě centrálně řízené, ale není to pravda. Spousta velkých firem je rozdrobená na určité divize a úseky, přičemž ty divize a úseky fungují mnohdy stejně nesystémově jako malé firmy.

UX DAy - tip 2

To znamená, že v určitém holdingu existuje divize bezpečnosti dat na internetu, ale tato divize zároveň nemá žádnou moc nad lidmi, kteří mají na starost provoz serverů. Pak zde logicky dochází k velkým problémům v oblastech kompetence a zodpovědnosti.

Abych byl konkrétní – oddělení bezpečnosti řekne „musíte to udělat takto“, ale IT oddělení na to odpoví, že „nejste naši nadřízení, navíc na to potřebujeme tolik a tolik a peněz a za třetí nám to nevyhovuje, protože tím řešíme jinou věc“. V každé velké firmě je vyjasnění kompetencí velmi komplikované, ale také velmi důležité.

Byl pro vás článek přínosný?

Autor článku

Autor je redaktorem tabletového týdeníku Dotyk Byznys. V minulosti působil v agentuře Reuters, v Hospodářských novinách nebo Českém rozhlase. Zastával i post mluvčího skupiny Nova. Najdete ho na Twitteru a na LinkedIn.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).