Masarykova univerzita Filozofická fakulta

Bakalářská práce

2015 Lukáš Zduba

Masarykova univerzita Filozofická fakulta

Kabinet informačních studií a knihovnictví Informační studia a knihovnictví

Lukáš Zduba

Man-in-the-Browser útoky na internetové bankovnictví a bezpečnostní řešení

Bakalářská práce

Vedoucí práce: PhDr. Pavla Kovářová 2015

Prohlašuji, že jsem diplomovou práci vypracoval samostatně s využitím uvedených pramenů a literatury.

...... Lukáš Zduba

Podpis vedoucí práce:

...... PhDr. Pavla Kovářová

Poděkování

Na tomto místě bych velmi rád poděkoval své vedoucí práce PhDr. Pavle Kovářové, za poskytnutí věcných připomínek a podnětných rad při vedení mé bakalářské práce.

Bibliografický záznam

ZDUBA, Lukáš. Man-in-the-Browser útoky na internetové bankovnictví a bezpečnostní řešení. Brno, 2015. 85s. Bakalářská práce. Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, Kabinet informačních studií a knihovnictví. Vedoucí práce PhDr. Pavla Kovářová.

Anotace

Bakalářská práce „Man-in-the-Browser útoky na internetové bankovnictví a bezpečnostní řešení“ popisuje jednu ze současných hrozeb v internetovém bankovnictví. Práce je pojata v teoretické rovině a začíná s popisem vývoje v internetovém bankovnictví. Významnou část práce tvoří kapitola „Man-in-the-Browser“, která popisuje základní principy procesu útoku. Různorodost v této oblasti poté dokládá kapitola o trojských koních, věnující se jejich základním rysům, včetně dopadů v reálném světě. Poslední část práce se zaobírá bezpečnostními řešeními z pohledu účinnosti a současného stavu zabezpečení internetového bankovnictví proti Man-in-the-Browser útokům.

Klíčová slova

Man-in-the-Browser, Man-in-the-Browser útoky, MitB, internetové bankovnictví, bankovní malware , kyberkriminalita, trojské koně, ZeuS, bezpečnost, bezpečnostní řešení, autentizace, autorizace

Annotation

The bachelor thesis “Man-in-the-Browser attacks on internet banking and security solutions” describes one of the current threats in internet banking. The work is conceived in a theoretical line and begins with a description of evolution in internet banking. A significant chapter is “Man-in-the-Browser”, which describes the basic principles of the process of attack. The diversity in this area then illustrated by the chapter about Trojans, which presents their main features, including the impact in the real world. The last part of the thesis then deals with security solutions in terms of efficiency and the current situation of protection against Man-in- the-Browser attacks in the banking sector.

Key words

Man-in-the-Browser, Man-in-the-Browser attacks, MitB, internet banking, banking malware, cybercrime, Trojans, ZeuS, security, security solutions, authentication, authorization

Obsah

ÚVOD 10

1.INTERNETOVÉ BANKOVNICTVÍ A KYBERKRIMINALITA 11

1.1. INTERNETOVÉ BANKOVNICTVÍ A JEHO ROZVOJ V NAŠÍ SPOLEČNOSTI 11 1.2. KYBERKRIMINALITA V PROSTŘEDÍ ELEKTRONICKÉHO BANKOVNICTVÍ 13 1.2.1. POSUN ON-LINE BANKOVNICTVÍ DO NOVÉHO PROSTŘEDÍ 15 1.2.2. BANKOVNÍ MALWARE 17

2.MAN-IN-THE-BROWSER 19

2.1. PŘEDCHŮDCE MITB: MAN-IN-THE-MIDDLE 20 2.2. FÁZE MITB ÚTOKU 22 2.2.1. INFIKOVÁNÍ 22 2.2.2. KONTROLA ČINNOSTI 23 2.2.3. ZPRACOVÁNÍ TRANSAKCÍ A ÚDAJŮ 24 2.3. MODELOVÁ SITUACE MITB ÚTOKU 25

3.TROJSKÉ KONĚ VYUŽÍVANÉ V OBLASTI MITB 27

3.1. ZEUS 28 3.1.1. KOMPONENTY 29 3.1.2. POPIS PROCESU 29 3.1.3. FUNKCE 30 3.1.4. PŘÍKLADY REÁLNÝCH ÚTOKŮ DIA NA INTERNETOVÉ BANKOVNICTVÍ 31 3.1.5. PŘÍBUZNÉ TROJSKÉ KONĚ 32 3.1.5.1. SHYLOCK/CAPHAW 33 3.1.5.2. ICE IX 33 3.1.5.3. ZEUSVM 33 3.1.5.4. GAMEOVER ZEUS 34 3.1.5.5. TORPIG/SINOWAL 35 3.1.5.6. CARBERP 36 3.1.5.7. CITADEL 37 3.2. GOZI 38 3.3. ODDJOB 39 3.4. URLZONE 40 3.5. TINBA 40

4.SMĚR A VÝVOJ TROJSKÝCH KONÍ VE SPOJITOSTI S MITB ÚTOKY 43

4.1. MAN-IN-THE-MOBILE (MITMO) 43

4.2. UNIVERSAL-MAN-IN-THE-BROWSER (UMITB) 45

5.BEZPEČNOSTNÍ ŘEŠENÍ 47

5.1. AUTENTIZACE A AUTORIZACE 49 5.1.1. PŘIHLAŠOVACÍ JMÉNO + HESLO 49 5.1.2. BIOMETRIE 50 5.1.3. CAPTCHA 50 5.1.4. VIRTUÁLNÍ KLÁVESNICE 52 5.1.5. SSL CERTIFIKÁTY 52 5.1.6. DIGITÁLNÍ CERTIFIKÁTY 53 5.1.7. ONE-TIME-PASSWORD (OTP) TOKENY 53 5.1.8. OUT-OF-BAND AUTENTIZACE A AUTORIZACE 54 5.2. KOMUNIKAČNÍ SÍŤ A JEJÍ KONTROLA 55 5.2.1. TECHNOLOGIE IZOLACE WEBOVÉHO PROHLÍŽEČE 55 5.2.2. REAL-TIME POLYMORFISMUS 56 5.2.3. RUNTIME APPLICATION SELF-PROTECTION - RASP 57 5.2.4. ZABEZPEČENÁ BANKOVNÍ APLIKACE – REL-ID 58 5.2.5. ANALÝZA CHOVÁNÍ 59 5.2.6. PROFILOVÁNÍ ZAŘÍZENÍ A SLEDOVÁNÍ POLOHY IP ADRESY 59 5.2.7. TVRZENÝ PROHLÍŽEČ NA USB DISKU 60 5.2.8. LIVE CD/DVD OPERAČNÍ SYSTÉM A POČÍTAČ URČENÝ POUZE PRO INTERNETOVÉ BANKOVNICTVÍ 60 5.2.9. INTEGROVANÝ SYSTÉM - KOBIL 61

6.ANALÝZA ÚČINNOSTI BEZPEČNOSTNÍCH ŘEŠENÍ 62

ZÁVĚR 65

SEZNAM POUŽITÉ LITERATURY 67

SEZNAM POUŽITÝCH ZKRATEK, TABULEK A OBRÁZKŮ 76

PROJEKT BAKALÁŘSKÉ DIPLOMOVÉ PRÁCE 78

Úvod

Banky již značnou chvíli využívají informační technologie ke zkvalitnění svých služeb, ke kterým možnost operovat přes internet přidala pohodlnou možnost pracovat kdykoliv a odkudkoliv, kde je signál. Možnosti internetu ale s sebou přinášejí i prvky, které se mohou lehce proti bankám obrátit.

Bezpečnost a důvěra jdou ruku v ruce v mnoha oborech, ale právě v sektoru bankovnictví hrají primární roli, na které lze stavět vztah s uživatelem. Bez dostatečně zajištěné ochrany osobních údajů a informací o finančních kontech či dohledem nad průběhem transakcí by banky nemohly řádně fungovat. Nyní je ale vše dostupné prostřednictvím internetu a cenné informace, které s bankovnictvím souvisí, se staly terči mnoha hackerů.

Webový prohlížeč, představující základ pro službu internetového bankovnictví, je útočníky považován za prostředek, jak se k cenným informacím dostat. Přes několikaletý vývoj a potřebné znalosti se nakonec útočníkům podařilo vyvinout způsob, jak nejen získat osobní údaje uživatelů bank, ale dokonce pozměnit údaje v odesílaných transakcích ve svůj prospěch.

Krátký popis souvisí s technikou Man-in-the-Browser, které bude tato práce věnována. Několikasetmilionové ztráty jsou jen jedním z mnoha důvodů proč vědět, jaké nebezpečí na uživatele internetového bankovnictví čeká, jak funguje a jaké jsou možnosti ochrany. V práci budou popsány klíčové aspekty Man-in-the-Browser útoků, včetně popisu jejich procesu. Významnou část bude tvořit i představení vybraných trojských koní spojených s touto hrozbou a dále srovnání bezpečnostních řešení v oblasti účinnosti. Výsledkem by tak mělo být stručné popsání problematiky Man-in-the-Browser útoků z pohledu výše popsaných části práce.

[10]

1. Internetové bankovnictví a kyberkriminalita

1.1. Internetové bankovnictví a jeho rozvoj v naší společnosti

Současná společnost prochází již delší dobu digitalizací, která se ve značné míře dotýká služeb, jež umožnily nové formy přístupů svým uživatelům. Příkladem mohou být on- line půjčovny filmů zpřístupňující své produkty po síti místo kamenných půjčoven fyzických datových médií nebo on-line vzdělávací kurzy umožňující využití potenciálu digitálních médií bez nutnosti navštěvovat vzdělávací centra. Výše uvedené příklady jsou jen dva z mnoha dalších, jež přenášejí naše jednání do počítačového prostředí, přesněji na internet. Jejich společným charakterem se stala možnost využívání dané služby z pohodlí domova a především bez nutnosti fyzické participace.

Bankovnictví se díky vývoji komunikačních technologií také zařadilo mezi oblasti, jež jsou schopny své služby zprostředkovávat on-line. Poprvé se termín on-line bankovnictví objevil v roce 1980 v USA, kde však měl jinou podobu, než jakou známe dnes. V té době se využívalo terminálů1 pevně připojených do sítě dané banky. V 90. letech pak první americké banky poskytly svým uživatelům přístup ke svým účtům on-line, bohužel však bez většího zájmu, jelikož v té době panovala nedůvěra v bezpečnost těchto systémů. Významná změna nastala až s přelomem nového tisíciletí, kdy 80% bank v USA nabízelo internetové bankovnictví a počty uživatelů, využívajících tuto službu, se již pohybovaly v řádech milionů.2

Internetové bankovnictví nebylo jedinou novou službou bank, která se objevila s rozmachem informačních technologií. Vznikla zcela nová skupina označována jako přímé bankovnictví. „Přímé bankovnictví, někdy také nazývané elektronické bankovnictví, znamená, že klient může podávat své příkazy a využívat služeb banky, aniž by musel navštívit banku osobně.“3 Do této skupiny tak lze zařadit systém platebních karet a jejich bankomatů, telebanking, telefonické bankovnictví, homebanking nebo internetové bankovnictví.

1 Terminál se většinou skládal z klávesnice a monitoru (obrazovky). 2 WOODS, Laura. How Online Banking Evolved Into a Mainstream Financial Tool: The History of Online Banking. GOBankingRates [online]. 2014 [cit. 2015-01-27]. 3 Přímé bankovnictví. FinančníVzdělávání.cz [online]. [cit. 2015-01-27]. Dostupné z: http://www.financnivzdelavani.cz/webmagazine/page.asp?idk=306 [11]

Internetové bankovnictví, někdy označováno jako internetbanking nebo on-line bankovnictví, využilo potenciálu internetu a stalo se dostupné pro osobní počítače, tablety či mobilní telefony, schopné používat webový prohlížeč. Tento poznatek tak zdůrazňuje odlišnost od homebankingu, který funguje pouze s nainstalovaným softwarem dané banky. 4 K použití stačí přihlášení na webové stránky banky5 a uživatel poté může provádět vybrané operace, které mu jsou v prostředí jeho účtu umožněny. Bezpečnost je zde zaměřena především na autentizační stránku, tedy na ověření identity osoby. Funkce nabízené touto službou se vždy liší, dle zvolené banky, některé možnosti však mají společné, jedná se např. o informace o účtech, platební příkazy nebo o bankovní informace. Rozsah funkcí závisí na každé bance a její angažovanosti v této oblasti.

Rozšíření mezi uživateli bank pak dosvědčují čísla, která jsou každoročně zveřejňována, ale i veřejné průzkumy. Statistický úřad Evropské unie, Eurostat, se touto problematikou zabývá již od roku 2003 a zaznamenává fakt, že internetové bankovnictví je na vzestupu ve většině zemí Evropské unie. Ve skandinávských zemích jsou procenta uživatelů nad 80% dospělé populace. Evropský průměr se za posledních 10 let zvýšil, z 16 % v roce 2004 na 44% v roce 2014. Česká republika také udělala značný pokrok, když se posunula ve stejném období z 3% uživatelů na 46%.6 Ve Spojených státech v roce 2013 bylo 51% dospělé populace uživateli internetového bankovnictví a předešlá čísla, stejně jako v Evropě, zobrazovala kontinuální nárůst7. Tento značně zvětšující počet uživatelů se tak stává významnou částí současného bankovnictví.

4 Homebanking. BezpecnyInternet: [online]. [cit. 2015-01-27]. Dostupné z: http://www.bezpecnyinternet.cz/slovnik/ 5 Názvy webových stránek internetového bankovnictví se ne vždy shodují s oficiálními názvy bank. 6 Individuals using the internet for internet banking. EUROSTAT. [online]. 2014 [cit. 2015-01-27]. Dostupné z: http://ec.europa.eu/eurostat/tgm/table.do?tab=table&init=1&language=en&pcode=tin00099&plugin=1 7 FOX, Susannah. 51% of U.S. Adults Bank Online. Pew Research Center. [online]. 2013 [cit. 2015-01-27]. Dostupné z: http://www.pewinternet.org/2013/08/07/51-of-u-s-adults-bank-online/ [12]

1.2. Kyberkriminalita v prostředí elektronického bankovnictví

Přesun sektoru bankovnictví do virtuální podoby, dal nové možnosti nejen provozovatelům bank, například snížení lidských zdrojů na přepážkových místech, ale i uživatelům bank, kterým umožnil např. odstranění nutnosti osobní přítomnosti v bance pro každou operaci. Zavedení nových technologií však otevřelo i nové přístupy jak se nelegálně dostat k systému banky, účtům uživatelů a v neposlední řadě i k samotným financím. Sektor, operující ve finanční sféře je velmi lukrativním cílem pro hackery8, jejichž osobním záměrem je zbohatnout. Tato skupina je označována jako black hat (v češtině: černý klobouk) a patří mezi 3 základní formy hackerů, na které můžeme narazit v prostředí počítačových sítí. Skupina je tvořena hackery: white hat 9, grey hat a výše zmíněnými black hat10. Společným charakteristickým jednáním je obcházení bezpečnostních prvků a získání přístupu k utajovaným informacím, s nimiž mohou dále manipulovat. Způsob, jakým s informacemi naloží, už definuje jejich vzájemnou rozdílnost. V případě, že během této práce dosahují zisku, jsou již označování jako black hat hackeři, tedy skupina, která se stala v běžné populaci synonymem pro slovo hacker.11 Mezi charakteristické znaky patří konání se záměrem zisku či ničivé chování zdůvodněné osobním prospěchem. Svým jednáním nejvíce ohrožují společnost a jsou nebezpečím pro široké spektrum skupin lidí, včetně sektoru bankovnictví. V další části této práce se bude pracovat s pojmem hacker ve spojitosti se skupinou black hat, pokud to nebude jinak upřesněno.

V reakci na možné útoky a ohrožení bezpečí, které je pro tento sektor prioritní, jsou banky nuceny vynakládat podstatné výdaje na potlačení kyberkriminality. Studie provedená v roce v 2012, na žádost britského Ministerstva obrany, reflektuje odhadované výdaje bank jak ve Velké Británii, tak i v globálním měřítku. Diverzita pokrytých oblastí je značná, jelikož zasahuje jak do prevence, tak i do následného odstraňování škod. Skupinu rozšiřuje i odvětví zločinů, které probíhalo v „off-line světě“. Globální odhad technologických opatření bank proti on-line krádežím činil v roce 2010 jednu miliardu dolarů.12 Stejná studie odkryla i větší

8 Hacker- někdo kdo si užívá intelektuální výzvu v překonávání, nebo obcházení limitů. V tomto případě v informačních technologiích. 9 Tzv. etičtí hackeři, kteří jsou najímáni společnostmi za účelem otestování bezpečnosti kódu. 10 Pracují na pomezí etické a nelegální sféry. Jedná se také o kombinaci Black Hat a White Hat hackerů. 11 THADANI, Rahul. How to tell the difference between White-Hat, Grey-Hat and Black-Hat hackers. [online]. 2012 [cit. 2015-01-28]. Dostupné z: http://blogs.quickheal.com/wp/how-to-tell-the-difference-between-white- hat-grey-hat-and-black-hat-hackers/ 12 ANDERSON, Ross a spol. Measuring the Cost of Cybercrime. [online]. 2012 [cit. 2015-01-28]. Dostupné z: http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf [13]

četnost útoků pouze na určité banky, přičemž cílování je podpořeno i charakteristickými prvky, jež se opakovaly. Důvody jsou skryté v nižší bezpečnosti, případně v počtu uživatelů, který útočníky láká.13

Pokud se na proces kybernetického útoku na banku podíváme komplexně, můžeme zjistit, že je zde více typů osob, kterých se tato činnost dotýká. V práci The effect of cybercrime on a Bank's finances jsou definovány čtyři základní kategorie aktérů takto:14

 Škodliví vykořisťovatelé Jedinci spadající do této kategorie mají primární cíl ublížit bance/uživateli pod vidinou zisku. Najdeme zde i bývalé nebo současné zaměstnance, kteří jsou ochotni vyzradit získané informace ze svého působení v bance, organizované skupiny s předem vytyčeným cílem nebo tzv. „inovátory“, specializující se na vytváření škod a boj proti informační společnosti.  Peněžní muly Najatí jedinci, označovaní jako peněžní muly, v některých případech neví, že pracují protizákonně. Jejich prací je přerozdělování získaných peněz mezi další účty, které jsou už pro vyhledávání jen těžko dohledatelné, a původní zločinci tak zůstávají skrytí. Tato nelegální činnost bývá nabízena na portálech za provizi z převedených částek; o porušování zákona však nemusí být nikde zmínka.  Oběti Zákazníci bank a jejich účty nejsou jedinými oběťmi. Poškozeny jsou i samotné banky, u nichž může být škoda několikanásobně vyšší a poškození reputace má za následek finanční ztrátu v budoucnosti.  Bezpečnostní ochránci Rozsáhlá skupina informačních specialistů působících v bezpečnostní sféře má na starost předcházení, vyšetřování a další rozvoj proti útokům na bankovní systémy. Banky mohou mít vlastní oddělení nebo využívat služeb z třetí strany, mj. sem spadají i white hat hackeři.

13 Tamtéž. 14 RAGHAVAN, A.R. a Latha PARTHIBAN. The effect of cybercrime on a Bank's finances. [online]. International Journal of Current Research and Academic Review, 2014, roč. 2, č. 2, s. 6 [cit. 2015-01-28]. Dostupné z: http://www.ijcrar.com/vol-2-2/A.R.%20Raghavan%20and%20Latha%20Parthiban.pdf [14]

Současný vývoj tak nutí sítě bank řešit primárně bezpečnost sebe a svých uživatelů, protože důvěra a pověst v takto citlivém sektoru hraje zásadní roli. Banky mohou přijít o budoucí zájemce, současné klienty či partnery i přes fakt, že vývoj informačních technologií a snaha o rozvoj informační gramotnosti stále roste.

1.2.1. Posun on-line bankovnictví do nového prostředí

Práce bezpečnostních složek na odhalování a potlačování útoků nutí hackery k reakci, která často vede k vytvoření nových technik. Tyto techniky jsou odpovědí na stávající systémy bank, ale také vychází z rozvoje informačních technologií, které jim umožňují hledat nové cesty. Takovou oblastí se zabývá i japonská agentura IPA15, vydávající reporty o současných hrozbách v IT16 a zaměřující se nejen na oblast bankovnictví. Potvrzení faktu o rychlém vývoji značí i změny ve výběru hrozeb mezi roky 2013 a 201417. Formy ohrožení úzce souvisí s rozšířením mobilních technologií podporujících přístup na internet, jako jsou tablety či mobilní telefony. Analýza prodejů smartphonů18, provedená výzkumnou firmou Gartner Inc., dokazuje skoro desetinásobné zvýšení počtu jejich prodejů v rozmezí let 2007- 2012. Anshul Gupta, analysta ve společnosti Gartner, říká: „Zvýšení celkových prodejů smartphonů za rok 2014 se očekává v rozmezí 1,2 až 1,3 miliard zařízení ve srovnání s 968 milionů kusů prodaných v roce 2013.“19 Podobně vysoká čísla odhaduje i graf na další straně.

15 Agentura na podporu v oblasti informačních technologií (v originále: Information-technology Promotion Agency). 16 Informační technologie 17 10 Major Security Threats 2013. IPA. [online]. 2013 [cit. 2015-01-29]. Dostupné z: http://www.ipa.go.jp/security/english/vuln/10threats2013_en.html 18 Smartphone = Mobilní telefon využívající pokročilý mobilní operační systém a aplikační rozhraní, jež umožní instalaci nebo úpravy programů. 19 TEN WOLDE. Smartphone sales growth to slow this year – Gartner. Reuters. [online]. 2014 [cit. 2015-01-29]. Dostupné z: http://www.reuters.com/article/2014/02/13/us-smartphones-sales-idUSBREA1C1KL20140213 [15]

Obrázek č. 1: Odhad globálních prodejů v oblasti komunikačních zařízení do roku 2017 v milionech kusů20

Výše uvedené hodnoty tak potvrzují současný přesun pozornosti především na smartphony a banky s úmyslem nabízet pohodlně své služby i na těchto zařízeních přišly s nabídkou smartbankingu. Smartbankingem se rozumí služba ve formě aplikace, jak pro smartphony, tak i pro tablety, která je zpřístupněna bankou pro své uživatele a využívá technologických možností těchto zařízení.21 Většina větších tuzemských bank tuto formu již dnes nabízí ke stáhnutí zdarma se svým charakteristickým prostředím.

Možným parametrem, jak nahlížet na rozdělení hackerů v sektoru bankovnictví, je dle výběru cíle útoku. První část obětí tvoří samotné banky, mezi jejichž povinnosti spadá bezpečnost sebe samých a svých uživatelů. Tuto oblast mohou řešit svým vlastním oddělením zaměřeným na nelegální a nebezpečné činnosti nebo mohou využít profesionálních firem specializujících se na oblast počítačových útoků. Banky tak v tomto směru usilují o prevenci a snižování možného rizika. Mezi techniky útoku na banky a jejich servery patří např. DoS/DDoS 22 útoky, jejichž cílem je přetížení webové stránky nebo služby, což má za

20 Zdroj: RICHTER, Felix. Smartphone Shipments to Top 1 Billion in 2014. Statista [online]. 2013 [cit. 2015-01- 29]. Dostupné z: http://www.statista.com/chart/1011/connected-device-shipment-forecast/ 21 ČERMÁK, Miroslav. Smartbanking. CleverAndSmart [online]. 2011, 06. 01. 2012 [cit. 2015-03-23]. Dostupné z: http://www.cleverandsmart.cz/smartphone-banking/ 22 Denial of Service /distributed Denial of Service [16]

následek její výpadek a znepřístupnění ostatním uživatelům, či XSS metoda útoku, využívající slabých míst ve skriptech webu pro vložení svého nebezpečného kódu.

Druhým ze zvolených cílů mohou být uživatelé bank a jejich účty. Na rozdíl od první skupiny jsou uživatelé mnohem početnější a jejich bezpečnostní gramotnost nebývá na takové úrovni jako u bank. Očekáváním uživatelů je, že finanční instituce nabízející služby budou své zákazníky dostatečně chránit a informovat. Obecně doporučovaným prvkem při používání internetu jsou antivirové programy, chránící před nebezpečnými počítačovými viry a jinými škodlivými soubory, které jsou hromadně označovány jako malware.

1.2.2. Bankovní malware

On-line bankovnictví se stalo během posledních 10 let centrem pro útočníky v oblasti financí, kde využití malwaru získává svou pozici, kterou dokazuje graf z roku 2013.

Obrázek č. 2: Druhy útoků na peníze internetových uživatelů v roce 201423

Mezinárodní skupina Kaspersky Lab, zabývající se oblastí bezpečnosti a ochrany uživatelů v on-line prostředí, se již několik let věnuje právě malwarům. Počtem nakažených

23 Zdroj: KASPERSKYLAB. Kaspersky Security Bulletin 2014. Overall statistics for 2014. SECURELIST. [online]. 2014, [cit. 2015-02-03]. Dostupné z: http://securelist.com/analysis/kaspersky-security- bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/ [17]

počítačů a útoků po celém světě se bankovní malware stal skupinou, které Kaspersky Lab věnuje ve svých reportech hodně pozornosti. Nasbíraná data jsou převedena do přehledných grafů a statistik sloužících pro lepší přehlednost široké veřejnosti. Kromě každoročně stoupajících čísel v napadení je možno prezentovat i země, kde k nim nejčastěji dochází.

Obrázek č. 3: Počet počítačů napadených finančním malwarem v rozmezí období: listopad 2013- říjen 201424

Celkově společnost Kaspersky Lab v roce 2014 zaznamenala 1 432 660 467 webově založených útoků, což tvořilo i 16 552 49825 oznámení o nebezpečné činnosti programů, jejichž cílem bylo ukrást peníze prostřednictvím on-line přístupu k bankovním účtům.26 Podobná čísla jsou prezentována i ve statistice na portálu statista.com, v které je zachyceno více než 340 000 napadených počítačů finančním malwarem během května 2014.27

Mezi nejvíce rozšířené škodlivé programy spadají trojské koně ZeuS nebo Carberp. Oba jsou však jen částí více sofistikované techniky zvané Man-in-the-Browser, jež v oblasti bankovních malwarů zastává významné místo a bude ve zbytku práce detailněji popsána.

24 Zdroj: : KASPERSKYLAB. Kaspersky Security Bulletin 2014. Overall statistics for 2014. SECURELIST. [online]. 2014, 8.12.2014 [cit. 2015-02-03]. Dostupné z: http://securelist.com/analysis/kaspersky-security- bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/ 25 Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele Windows, když se malware pokouší stáhnout ze škodlivé / infikované webové stránky. 26 KASPERSKYLAB. Kaspersky Security Bulletin 2014. Overall statistics for 2014. SECURELIST. [online]. 2014, 8.12.2014 [cit. 2015-02-03]. Dostupné z: http://securelist.com/analysis/kaspersky-security- bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/ 27Number of malicious financial malware attacks on computers worldwide in the second an third quarter of 2014. STATISTA [online]. 2015 [cit. 2015-03-21]. Dostupné z: http://www.statista.com/statistics/325219/computers-attacked-by-financial-malware-2014/ [18]

2. Man-in-the-Browser

Pojem Man-in-the-Browser28 byl zformulován Philipem Gühringem v roce 2007 ve stěžejní práci pro tuto oblast: Concepts against Man-in-the-Browser Attacks. Na přítomnost podobné verze malwaru, ale upozornil již o dva roky dříve Augusto Paes de Barros. Ve své prezentaci o trendech a budoucnosti metod v obcházení běžných autentizačních systémů, The future of backdoors - worst of all worlds, demonstroval, jakým způsobem mohou tyto útoky pracovat.29

Volně se tento pojem dá přeložit do češtiny, jako „muž v prohlížeči“. Název těchto útoků tak i zjednodušeně popisuje jejich princip. Jednotná definice pro tento pojem však neexistuje, což je dáno i různorodostí forem, především pak tedy zvolení trojských koní, použitelných k útoku. Za výstižnou lze brát stručnou formulaci od Margaret Rouse, ta definuje pojem MitB následovně: „MitB je bezpečnostní útok, kdy pachatel nainstaluje do počítače oběti trojského koně, který je schopen modifikovat webové transakce uživatele v reálném čase.“30 Z tohoto je patrné, že pachatelé musí být schopni jednat vzápětí po uživateli zadané transakci, k čemuž je potřeba sofistikovaný program, ale i přítomnost osob jednajících velmi rychle a přesně. Podobný postup tak vede k vytvoření dobře organizovaných skupin a vysokým nákladům, a tak se útočníci zaměřují na finanční instituce, jako jsou banky. Důvodem je možnost získat vložené náklady zpět a ještě na tom vytěžit i něco navíc. Webový prohlížeč je tedy primárním prostředím, kde k útokům dochází, což jej odlišuje od velmi podobné techniky zvané Man-in-the-Middle.

28 Dále již jen zkrácené označení- MitB 29 DE, Nilanjan. Man in the Browser on Online Transactions & Prevention Strategies. In: Slideshare [online]. 2013 [cit. 2015-02-06]. Dostupné z: http://www.slideshare.net/DaveEdwards12/ppt-man-in-the-browser 30 OUSE, Margaret. Man in the browser definition. TechTarget [online]. 2006 [cit. 2015-02-06]. Dostupné z: http://searchsecurity.techtarget.com/definition/man-in-the-browser [19]

2.1. Předchůdce MitB: Man-in-the-Middle

Ačkoliv je koncept Man-in-the-Middle31 a MitB založen na stejné myšlence, tedy mít kontrolu nad komunikací mezi uživatelem a bankou, existují rozdíly v tom, jak tyto dvě techniky pracují a jak se proti nim bránit. Z pohledu komunikačních protokolů, jako je TCP/IP nebo ISO/OSI, pracuje MitM ve více vrstvách, zatímco na druhé straně MitB operuje v aplikační vrstvě mezi uživatelem a prohlížečem, kde kontroluje vstupní a výstupní obsah.32 Rozdíl je i v tom, že při MitM útoku nemusí být počítač oběti nejdříve infikován trojským koněm.33

Principem MitM útoku je zachytit, číst nebo měnit informace pohybující se mezi dvěma počítači. Celý proces je úzce spjat s ARP (Address Resolution Protocol) protokolem, prostřednictvím něhož se iniciátor spojení zeptá druhé strany na konkrétní IP adresu, se kterou bude dále komunikovat. Odpověď na požadavek je poté odeslána všem na dané LAN (lokální síť) síti. Jakmile útočník převezme kontrolu nad spojením, dokáže vidět a měnit pakety odesílané k příjemci, čímž dovede odposlouchávat šifrovanou výměnu zpráv a měnit i jejich příjemce bez oprávnění odesílatele. Toho útočník docílí nahrazením veřejného klíče od původního odesílatele svým vlastním, aby byl schopen dešifrovat zprávu, odeslanou k nic netušícímu příjemci.

Pokud má útočník kontrolu nad routerem oběti, může využít existujícího TCP spojení mezi uživatelem a serverem, které následně rozdělí na dva spoje: oběť - útočník a útočník - server. Při zachycení TCP spojení je již možno číst a měnit data v zachycené komunikaci.34

Pod pojem MitM útoku spadá další množství různých forem napadení (např. přesměrování na falešné webové stránky banky), jež zjednodušeně shrnuje ilustrace na následující straně.

31 Dále již jen zkrácené označení-MitM 32 ADHAM, Manal, Amir AZODI, Yvo DESMEDT a Ioannis KARAOLIS. How to Attack Two-Factor Authentication Internet Banking. [online]. s. 322 [cit. 2015-04-20]. DOI: 10.1007/978-3-642-39884-1_27. ISBN: 9783642398834. Dostupné z: http://link.springer.com/10.1007/978-3-642-39884-1_27 33 GREGG, Michael. Certified Ethical Hacker (CEH) cert guide. Indianapolis, Ind: Pearson, 2014. ISBN 07-897- 5127-5. S. 268-269 34 JANSSEN, Cory. Man-in-the-Middle Attack (MITM). Techopedia [online]. [cit. 2015-03-01]. Dostupné z: http://www.techopedia.com/definition/4018/man-in-the-middle-attack-mitm [20]

Obrázek č. 4: Ilustrace komunikace během MitM útoku35

Výše zobrazená simulace napadení MitM reflektuje nahrazení původního komunikačního kanálu. Pachatel má navázán kontakt s oběma subjekty a současně je i zastupuje. K úspěšnému provedení je také potřeba, aby se útočník nacházel ve stejné síti jako uživatel banky. S rozšířením bezdrátových sítí není potřeba být fyzicky napojen na stejný router, proto se k obelstění využívá např. ARP spoofing, který dokáže cizí počítač vydávat za jiný a v jiné síti. Komunikací na aplikační vrstvě je MitM vystaven protokolu SSL (Secure Sockets Layer) uloženému mezi vrstvou aplikační a transportní. Úkolem tohoto protokolu je šifrování komunikace a autentizace zúčastněných stran za pomoci smluvených kryptografických algoritmů doplněných o šifrovací klíče.36 Protokol SSL nebo jeho rozšířená verze EV-SSL jsou schopny MitM překonat a uživatele banky ochránit, proti MitB jsou však obě verze zcela neúčinné, jelikož k zapojení do informačního proudu dochází bez dotčení internetové infrastruktury (např. DNS37 nebo routery). MitB je odolný i proti více druhům zabezpečení a jak uvádí Timothy Dougan s Kevinem Curranem, „MitM je jím překračován v mnoha ohledech.“38

35 Zdroj: PURBEY , Ravi Kumar. Network security man in the middle (MITM). [online]. 2013 [cit. 2015-02-07]. Dostupné z: http://www.slideshare.net/ravikumarpurbey/network-security-man-in-the-middle-mitm- attacks?next_slideshow=1 36 Description of the Secure Sockets Layer (SSL) Handshake. MICROSOFT. [online]. 2008 [cit. 2015-02-07]. Dostupné z: http://support.microsoft.com/kb/257591/en-us 37 Domain Name System 38 DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence. 2012, vol. 4, issue 1, s. 31. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi-global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 [21]

2.2. Fáze MitB útoku

Proces útoku MitB neprochází pevně stanoveným průběhem, který závisí především na použitém typu trojského koně. Změny se projeví i s odlišným operačním systém nebo webovým prohlížečem. Podstatnou úlohu však představují i schopnosti samotného útočníka.

2.2.1. Infikování

Úspěšný útok je založen na podmínce umístění trojského koně do počítače oběti. Útočník může využít dvou forem distribuce, a to přímé a nepřímé. V přímé formě je útočník v kontaktu s počítačem oběti, do kterého je schopen škodlivý software osobně vložit, nebo může využít prostředí internetu pro vzdálený přenos. Pro druhou možnost si může zvolit některý z komunikačních kanálů pro oslovení oběti za pomoci sociálního inženýrství, které se již zdokonalilo natolik, že uživatelé nemusí mít tušení o pravém významu zpráv. Trojský kůň tak může být součástí skupiny podvodných emailů vydávajících se za zprávy od skutečné banky nebo může být stažen v pozadí z infikované webové stránky.39

Útočníci nemusí mít vždy svůj cíl předem specifikován a v těchto případech využívají k šíření nejrůznější metody. Trojský kůň bývá: součástí PDF souboru, uložena ve webové stránkce, obsažen v zazipovaném souboru či stažen při spuštění on-line videa. Zvláště sofistikovaná metoda, pramenící ze sociálního inženýrství, si staví na uměle vytvořených kodecích, pluginech či aktualizacích již nainstalovaného softewaru. Zde pachatel spoléhá na všudypřítomnost podobných oznamovacích zpráv a automatické přijmutí ze strany uživatele. Podobné instinktivní chování ze stran uživatelů je to, co útočníci hledají.40 Po stažení malwaru může tedy dojít k infikování následujících komponent:

 BHO (Browser Helper Object) – je modul dynamické linkové knihovny (DLL) pro webový prohlížeč Internet Exploer (IE). DLL se načtou ihned po spuštění IE a

39 Beyond phishing – de-mystifying the growing Threat of internet banking fraud. Cronto [online]. 2008 [cit. 2015-02-07]. Dostupné z: http://www.cronto.com/download/internet_banking_fraud_beyond_phishing.pdf 40 ALMEIDA, Mário, Emmanouil BUYUKSAHIN, Aras DIMOGERONTAKIS a TARHAN. Man-In-The-Browser attacks. In: Slideshare [online]. 2011 [cit. 2015-02-08]. Dostupné z: http://www.slideshare.net/aknahs/meninthebrowser [22]

obsahují pro příklad plugin pro Flash Player.41 Funkcí DLL je rovněž komunikace s prohlížečem, čímž může dojít k ovládání nad škodlivým kódem.  Rozšíření prohlížeče – jedná se o pluginy, podobné prvky jako BHO, v prohlížečích jako např. Mozilla Firefox.42  Skripta prohlížeče – jsou schopny automaticky vzít a aplikovat informace do prohlížeče, čímž mohou modifikovat i krást informace. 43  API hooking – modifikuje aplikaci zachycením EXE souboru mezi DLL.44

2.2.2. Kontrola činnosti

V této fázi má tedy uživatel již infikovaný webový prohlížeč. Trojský kůň se spouští vlastní aktivací po prvním restartu počítače, čímž současně vyšle signál do serveru útočníka. BHO a rozšíření prohlížeče dokáže trojský kůň využít pro vytvoření dalších rozšíření, které budou schopny sledovat aktivity uživatele v prohlížeči (vč. časových údajů) a bez jeho vědomí zaznamenávat.45 Tyto informace pomohou útočníkovi zjistit, pod kterou banku spadá a v kterých časech provádí transakce. Pokud však informace za delší dobu neprokáží žádnou požadovanou návštěvu internetového bankovnictví nebo banky, spadající pod jeho kompetence, upouští od sledování.46

Stránka banky může projít menší změnou, především v oblasti vyplnitelných polí, tato akce se nazývá HTML vstřikování (angl. HTML injection). Útočník však svůj záměr získat cenná data skrývá za autentizací ze strany banky. Podvodné transakce inicializuje netušící oběť, útočník je pak pomocí malwaru schopen změnit hodnotu částky a koncové číslo účtu. Změněný požadavek dorazí do banky, jež vyšle potvrzení, které ovšem útočník opět změní na

41 GOYAL, Aakash. Man in the Browser Attack. In: 2014, s. 2. Dostupné z: http://www.csi- india.org/c/document_library/get_file?uuid=0eaac9df-9ef3-442f-bbdc-60a4356f8d2d&groupId=10157 42 Tamtéž 43 GÜHRING, Philipp. Concepts against Man-in-the-Browser Attacks. [online]. 2006, [cit. 2015-02-08]. Dostupné z: http://www.cacert.at/svn/sourcerer/CAcert/SecureClient.pdf 44 Tamtéž 45 HAMID R. NEMATI, Hamid R.editor. Security and privacy assurance in advancing technologies new developments. 2012. vyd. Hershey, PA: Information Science Reference, 2011. ISBN 16-096-0202-1. S. 264 46 SULE, Dauda. Man in the Browser—A Threat to Online Banking. ISACA JOURNAL [online]. 2013, roč. 2013, č. 4 [cit. 2015-02-09]. Dostupné z: http://www.isaca.org/Journal/Past-Issues/2013/Volume-4/Documents/13v4- Man-in-the-Browser.pdf [23]

původní částku a účet odeslaný uživatelem; ten tak dostane potvrzení o proběhlé transakci bez sebemenšího podezření.47

2.2.3. Zpracování transakcí a údajů

Po uživatelově zjištění, že transakce neproběhla korektně, je banka velice jednoduše schopna určit bankovní účet, kde finanční částka skončila. Tohoto faktu si jsou útočníci velmi dobře vědomi, a proto nepoužívají žádný z vlastnících účtů. Pro zprostředkování jsou najaty tzv. peněžní muly. Jedná se o osoby najaté útočníkem, jejichž úkolem je převádět peníze získané útokem na uživatele banky do formy, která znemožní vysledování původního pachatele. Využít se tak může vybrání hotovosti, převedení částky na elektronickou měnu nebo využít služeb společnosti, jako je Western Union či Money Gram. Najímány jsou prostřednictvím inzerátů na smyšlené pozice, které mohou být označované jako: financial manager, money transfer agent nebo shipping manager.48 Pro tuto pozici jsou občas nuceni vykonat i pracovní pohovor po telefonu a výjimkou není ani uzavření smyšlené pracovní smlouvy s neexistující společností. Od najaté peněžní muly se očekává časová flexibilita pro monitorování účtu a rychlé dodržení obdržených pokynů. Pro zajištění větší šance na úspěch při útoku jsou bankovní účty peněžních mul ve stejných bankách jako účty obětí. Bezpečnostní systém banky tak věnuje takovýmto transakcím menší pozornost než převodu velké částky do některé ze zahraničních bank. Součástí smlouvy je i provize, která je tvořena určitým procentem z převedených peněz. Skutečný význam jejich práce jim však sdělen není a v případě vyšetřování jsou prvními obviněnými.49

Útočníci mohou zpeněžit i informace o kreditních kartách, které získali během útoku. Existují weby určené přímo k prodeji informací o kartách, kde je možno zjistit příjmení osoby

47 DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence. 2012, vol. 4, issue 1, s. 31. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi-global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 48 ČERMÁK, Miroslav. Přečtěte si, jak se najímají muly a vyvádějí peníze z bank. CleverAndSmart In: [online]. 2014 [cit. 2015-02-09]. Dostupné z: http://www.cleverandsmart.cz/prectete-si-jak-se-najimaji-muly-a-vyvadeji- penize-z-bank/ 49 Tamtéž [24]

vlastnící kartu či stát, ze kterého pochází. Jedna z takových stránek obsahovala údaje o 26 185 kartách a jejich ceny se pohybovaly v rozmezí 2 – 20 $.50

2.3. Modelová situace MitB útoku

Následující popsaný příběh je zcela fiktivní a není založený na žádné specifické události. Účelem tohoto příběhu je demonstrace MitB útoku v běžném životě.

Pan X během kontroly e-mailové schránky narazí na zprávu od své banky, která vypadá velmi důležitě a tak neváhá se čtením, během čehož i stáhne soubor obsahující doplňkové informace. V tu chvíli však netuší, že e-mail od banky byl falešný a soubor, který si stáhl, obsahoval i trojského koně. O pár dní později se přihlašuje na svůj účet do internetového bankovnictví pro provedení běžného bankovního převodu.

Obrázek č. 5: Rozdíl před zásahem a po zásahu útočníka na stránku s přihlašovacími údaji51

50 SOOD, Aditya K. et al The Art of Cyber Bank Robbery: Stealing Your Money Through Insidious Attacks, CrossTalk [online]. 2013 [cit. 2015-02-09]. Dostupné z: http://www.crosstalkonline.org/storage/issue- archives/2013/201309/201309-Sood.pdf 51 Zdroj: OLLMANN, Gunter. ‘Man-in-the-browser’ Attack Vectors & Commercial Cyber-crime. IBM 2009. Dostupné z: http://www.alumni.ethz.ch/zisc/zisc/events/2003-2011/ZISCcolloq09%20slides/ETH2009- CommercialCyberCrime-GunterOllmann.pdf [25]

Přihlašovací pole tvořená obvykle jen přihlašovacím jménem a heslem byla tentokrát doplněna o pole na vložení čísla kreditní karty a její exspirace, PIN kódu a jména matky za svobodna. Vyplněním nových čtyř polí měl pan X zabránit možnému napadení jeho účtu, nevěděl ovšem, že právě všechny vložené údaje poslal přímo k útočníkovi. Po úspěšném odeslání tak již přistupuje k transakci, kterou chce provést. Jedná se o poslání 2 000 Kč na účet 11223344 své dceři Y. Poté, co pan X potvrdí transakci, se k práci dostává útočník a mění všechny údaje ve svůj prospěch, které následně i přijdou na server banky.

Prohlížeč oběti Server banky Odesílatel: Pan X Odesílatel: Pan X Příjemce: Dcera Y MitB útok Příjemce: Petr P. Číslo účtu: 11223344 Číslo účtu: 44332211 Částka: 2 000 Kč Částka: 80 000 Kč

Tabulka č. 1: Příklad průběhu MitB útoku

Banka přijímá transakci od Pana X pro Petra P. v částce 80 000 Kč, což následně pro potvrzení posílá i panu X. Zde se podruhé dostává k práci útočník, který musí velmi rychle zareagovat a pozměnit potvrzení od banky na původní transakci Pana X. Pan X tak dostává běžné potvrzení o provedení transakce bez sebemenší neobvyklosti. Pro jistotu se podívá i na stav konta, který odpovídá odečtení částky 2 000 Kč, jelikož i ten byl pozměněn. Mezitím Petr. P, který byl najatý jako peněžní mula, obdrží na svůj účet inkriminovaných 80 000 Kč. V tu chvíli začíná jeho práce převést peníze přes společnost Western Union. Vybírá přijatou částku 80 00 Kč, kde 5 000 Kč si nechává jako provizi a zbylých 75 000 Kč je odesláno. Původní pachatel si poté na kterékoliv z poboček Western Union vybranou částku vybere, čímž podstatně ztíží další sledování toku ukradených peněz. Druhý den se pan X dozvídá, že dceři Y žádné peníze nepřišly a on se stal obětí MitB útoku.

[26]

3. Trojské koně využívané v oblasti MitB

Trojské koně jsou základním nástrojem pro provedení MitB útoku a jejich vlastnosti poté určují specializaci a odlišnosti. Zaměření mohou mít: geografické (operující jen v určitých státech), prohlížečové (pracující jen ve vybraných webových prohlížečích) či systémové (operačně systémově orientované). Po infikování jsou data posílána velícímu a řídícímu serveru (v angličtině: command and control server)52, kde jsou poté uložena. Vzájemná kombinace trojských koní vede k jejich zefektivnění, což obsahuje i metody plného zautomatizování od infikování až k provedení transakce.53 Podobné kombinování trojských koní spěje i ke zvýšení kontroly nad systémem. Velká pozornost je v neposlední řadě věnována i neviditelnosti před antivirovými programy, což zvyšuje pravděpodobnost celkového úspěchu.

Noa Bar-Yosef rozdělila v roce 2010 proxy trojské koně do tří vývojových fází. Za proxy trojské koně jsou považovány ty, které jsou schopné používat počítač oběti jako proxy server a současně z něj operovat bez vědomí oběti. První fázi tvořily tzv. keyloggery, zaznamenávající údaje o přihlášení oběti, jež byly následně odeslány na C&C server. „Další fází proxy trojských koní je schopnost malwaru zaznamenat kompletní relace prohlížeče“54, jak uvádí Bar-Yosef ve svém článku o evoluci proxy trojských koní a doplňuje o fakt, že se tak stávají komplexnější. Poslední fázi tvoří typ MitB, tedy sofistikovaného trojského koně běžícího přímo v prohlížeči oběti, mezi které mj. spadá široce rozšířený trojský kůň ZeuS.55

Kromě Dia, jemuž je udělen větší prostor pro popsání jeho komponent a postupu procesu, které jsou v mnoha ohledech podobné či stejné s trojskými koňmi spadající do jeho rodiny, jsou představeny i další, vyznačující se odlišným způsobem postupu práce. Výběr je složen z výzkumu nejaktivnějších MitB botnetů v roce 2013, realizovaného výzkumníky společnosti Dell.56 Již o rok dříve jsou 4 z nich zmíněny i v reportu o bezpečnostních

52 Dále jen C&C server 53 ALMEIDA, Mário, Emmanouil BUYUKSAHIN, Aras DIMOGERONTAKIS a TARHAN. Man-In-The-Browser attacks. In: Slideshare [online]. 2011 [cit. 2015-02-08]. Dostupné z: http://www.slideshare.net/aknahs/meninthebrowser 54 BAR-YOSEF, Noa. The Evolution of Proxy Trojans. SecurityWeek In: [online]. 2010 [cit. 2015-02-12]. Dostupné z: http://www.securityweek.com/evolution-proxy-trojans 55 Tamtéž 56 DELL SECUREWORKS COUNTER THREAT UNIT. Top Banking Botnets of 2013. SecureWorks [online]. 2014 [cit. 2015-03-24]. Dostupné z: http://www.secureworks.com/cyber-threat-intelligence/threats/top-banking- botnets-of-2013/ [27]

hrozbách od US-CERT (United States Computer Emergency Readiness Team).57 Zbylé trojské koně jsou poté doplněny na základě analýzy provedené v prostředí internetových vyhledávačů, s cílením na odlišné a současně často zmiňované typy.58 Na základě výskytu mediálních zpráv byly zvoleny i případy z reálného světa, které mají za cíl představit způsobené škody a reflektovat jejich skutečnou hrozbu.

3.1. ZeuS

„ZeuS je jedním z notoricky nejvíce známých a široce rozšířených trojských koní v oblasti kradení informací; primárně je zaměřen na finanční krádeže dat a jeho efektivnost vedla ke ztrátě milionů dolarů po celém světě.“59

Tvůrcem Dia je ruský kybernetický zločinec, jehož pseudonymy jsou „Slavik“ a „Monstr“. Tento Rus jako první vytvořil sestavu na použití Dia po internetu pro širokou veřejnost, jejíž plně nastavený set bylo možno zakoupit za několik tisíc dolarů. Vysoká poptávka po finančním malwaru měla za příčinu vznik modelu označovaného jako „malware- jako-služba“, kdy kybernetičtí zločinci začali na černém trhu nabízet úpravy v závislosti na požadavcích klientů. Důvodem širokého rozšíření tak sehrála později snadná dostupnost, ale i velmi jednoduché ovládání bez nutných technických znalostí.60

První útok Diem byl zaznamenaný v roce 2007, kde byl použit na ukradení informací z Ministerstva dopravy Spojených států amerických. O tři roky později již bezpečnostní firma Trusteer nahlásila ohrožení 15 nepojmenovaných amerických bank.61

57 US-CERT. US-CERT Security Trends Report: 2012 in Retrospect. US-CERT.COM [online]. 2013 [cit. 2015-03-24]. Dostupné z: https://www.us-cert.gov/sites/default/files/US-CERT_2012_Trends-In_Retrospect.pdf 58 Z kapacitních důvodů nejsou představeny všechny typy trojských koní spojených s MitB útoky. 59 WYKE, James. What is Zeus: Technical paper. SOPHOS [online]. 2011 [cit. 2015-02-12]. Dostupné z: http://www.sophos.com/en-us/why-sophos/our-people/technical-papers/what-is-zeus.aspx 60 WYKE, James.. What is Zeus? SOPHOS [online]. 2011 [cit. 2015-02-12]. Dostupné z: http://www.sophos.com/medialibrary/PDFs/technical%20papers/Sophos%20what%20is%20zeus%20tp.pdf 61 M. IBRAHIM, Laheeb a THANOON. Detection of Zeus Botnet in Computers Networks and Internet: International Journal of Information Technology and Business Management JITBM [online]. roč. 2012, č. 6, str. 85 [cit. 2015-02-12]. ISSN 2304-0777. Dostupné z: http://www.jitbm.com/6thVolumeJITBM/zeus%20jitbm.pdf [28]

3.1.1. Komponenty

 Builder

Builder slouží k vytvoření šifrovaného konfiguračního souboru, specifického pro každého uživatele. Jedinečnost je dána v důsledku URL konfiguračního souboru a s ním spojeného klíče k dešifrování. První konfigurační soubor musí obsahovat všechny podstatné informace o tom, co bude bot62 vykonávat, vč. URL adresy, kde bude tento soubor uložen. Výsledkem je i vytvořený EXE soubor.

 Konfigurační soubor

Jedná se o samostatně spustitelný soubor, mj. obsahující adresu, kam mají být získaná data odeslána, nebo informace která pole budou na HTML stránky přidána.

 EXE soubor

EXE soubory jsou v podstatě identické i u různých tvůrců, jediný rozdíl spočívá v umístění konfiguračního souboru.

 Server

Serverová část Dia je kolekce PHP skriptů, umožňujících majiteli sledovat stav svých botů, získávat informace a vydávat příkazy.63

3.1.2. Popis procesu

Jakmile je ZeuS vytvořen a rozšířen, např. pomocí sekundárního malwaru Pushdo, který rozesílá z nakažených počítačů emaily s odkazem na kompromitované stránky64, stáhne se konfigurační soubor z předem definovaného místa a čeká se na návštěvu určitého cíle, který je v něm definovaný (např. webové stránky ruských bank). Po vstupu na vybraný web provádí nadefinované příkazy, jako je sběr přihlašovacích údajů nebo provádění screenshotů.

62 počítačový program, který vykonává automatizovanou činnost 63 WYKE, James.. What is Zeus? SOPHOS [online]. 2011 [cit. 2015-02-12]. Dostupné z: http://www.sophos.com/medialibrary/PDFs/technical%20papers/Sophos%20what%20is%20zeus%20tp.pdf 64 GHEORGHE, Alexandra. Nine of the Most Deceiving Malware Threats of 2014. Hotforsecurity [online]. 2014 [cit. 2015-02-14]. Dostupné z: http://www.hotforsecurity.com/blog/nine-of-the-most-deceiving-malware- threats-of-2014-11052.html [29]

Některé varianty mohou obsahovat i funkci zvanou „JabberZeuS“, která posílá přihlašovací údaje oběti útočníkovi okamžitě přes instant messenger a ten je tak schopen obejít bezpečnostní kroky ověřování, jelikož je připojen ve stejný okamžik. Komunikace mezi Diem a C&C serverem probíhá přes zprávy.65

Dr. Laheeb M. Ibrahim rozdělil Diův životní cyklus do čtyř různých stádií. V prvním stádiu probíhá sběr důležitých informací (přihlašovacích jmen, hesel), dále dochází ke sběru dat o lokální síti. V třetím stádiu se infikovaný počítač zneužije k šíření nevyžádaných emailů a poslední stádium obsahuje integraci botu do hlavní botnetové sítě66 k provedení DoS útoků.67

3.1.3. Funkce

 Vstřikování HTML  Vstřikování škodlivého kódu i do dalších procesů  Nastavení snížení zabezpečení prohlížeče změnou položky registru IE68  Krádež dat poskytnutých HTTP formuláři  Krádež přihlašovacích údajů v chráněném uložišti Windows  Krádež FTP69 a POP70 údajů  Krádež/odstranění HTTP a Flash cookies  Provádění screenshotů

65 DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence. 2012, vol. 4, issue 1, s. 35-36. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi-global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 66 Síť tvořena boty 67IBRAHIM, Laheeb M. a THANOON. Detection of Zeus Botnet in Computers Networks and Internet: International Journal of Information Technology and Business Management JITBM [online]. roč. 2012, č. 6, str. 86 [cit. 2015-02-12]. ISSN 2304-0777. Dostupné z: http://www.jitbm.com/6thVolumeJITBM/zeus%20jitbm.pdf 68 Internet Exploer – internetový prohlížeč 69 File Transfer Protokol- protokol pro přenos souborů mezi počítači pomocí počítačové sítě 70 Post Office Protocol- internetový protokol pro přenos elektronické pošty [30]

3.1.4. Příklady reálných útoků Dia na internetové bankovnictví

 V USA září roku 2010 státní a federální úřednici rozbili organizovanou skupinu 37 lidí stojících za odcizením více než 3 milionů dolarů z bankovních účtů. Distribuce probíhala pomoci nevyžádaných zpráv přes emaily a použitý ZeuS zaznamenával např. stisky kláves, které se odesílaly útočníkům. Skupinu odhalených tvořily především peněžní muly z východní Evropy. Okresní prokurátor New Yorku, Cyrus Vance, k tomuto případu dodal: „Tento pokročilý kruh počítačové kriminality je znepokojující příklad organizovaného zločinu v 21. století, je high-tech a rozšířený.“71

 V rozmezí jednoho měsíce zaregistrovala bezpečnostní agentura M86 zmizení zhruba 675 000 liber z přibližně 3 000 účtů bank ve Velké Británii. Počet infikovaných počítačů však dosahoval necelých 37 000 jednotek a cílení obětí dokazují napadené účty, které měly vždy na kontě minimálně 800 liber. Agentura M86 odhalila, že počítače byly infikovány přes drive-by stažení (škodlivý ekvivalent cookie) a stopy směřují k serveru v Moldavsku. Nepříjemné zjištění objevila i bezpečnostní agentura Trusteer, a to, že míra detekce u antivirů k této formě Dia byla mezi 0 až 20 %.72

 Doposud největší organizovaná skupina, známá pod jménem „Jabber Zeus Crew“, byla odhalena a obžalována ve Spojených státech amerických. 8 z 9 dopadených členů tvořili Ukrajinci, včetně vůdce Evžena Kulibaby, dohromady by však celá skupina měla mít kolem sto členů. Hromadně jsou zodpovědní za infikování tisíců počítačů a odcizení více než 70 milionů dolarů z bank po celém světě. Předměty obžaloby, která proběhla v dubnu 2014, byly: podílení se na vydírací činnosti, bankovní podvody, počítačové podvody a krádeže identity.73

71 ROONEY, Ben. 'Zeus Trojan' zaps $3 million from bank accounts. CNN [online]. 2010 [cit. 2015-02-13]. Dostupné z: http://money.cnn.com/2010/09/30/technology/cyber_crime_charges/ 72 ESPINER, Tom. Zeus attack nets £675,000 from UK bank customers. ZDNet [online]. 2010, 2010-08-11 [cit. 2015-02-13]. Dostupné z: http://www.zdnet.com/article/zeus-attack-nets-675000-from-uk-bank-customers/ 73 GREENBERG, Adam. Indictment charges 'Jabber Zeus Crew' with using malware to steal millions. SCMagazine [online]. 2014 [cit. 2015-02-14]. Dostupné z: http://www.scmagazine.com/indictment-charges-jabber-zeus- crew-with-using-malware-to-steal-millions/article/342375/ [31]

3.1.5. Příbuzné trojské koně

Činnost Dia byla po určité době utlumena a nahrazena novými trojskými koňmi, kteří z jeho základů vycházeli. Významný podíl na tom měl únik zdrojového kódu k celé sadě, ke kterému došlo v květnu roku 2011.74 Původní ZeuS se tak rozdělil na větší množství trojských koní, což současně značně znepříjemnilo práci bezpečnostním agenturám. Nyní museli registrovat větší škálu útoků, vzájemně odlišných a přicházet s novými bezpečnostními řešeními. Tento souboj mezi legálním a ilegálním kybernetickým světem nutí hackery k stále sofistikovanějším technikám a kombinacím, jenž ústí do velmi rozsáhlé sítě.

Obrázek č. 6: ZeuS a jeho vývoj v čase75

74 KRUSE, Peter. Complete ZeuS sourcecode has been leaked to the masses. CSIS [online]. [cit. 2015-02-28]. Dostupné z: https://www.csis.dk/en/csis/blog/3229/ 75 Zdroj: VILEN, Shaman. Evolution of Banking Malwares, Part 1. InfoSecInstitute [online]. 2014 [cit. 2015-02- 14]. Dostupné z: http://resources.infosecinstitute.com/evolution-banking-malwares-part-1/ [32]

3.1.5.1. Shylock/Caphaw

První popsaný trojský kůň z rodiny Dia vznikl v roce 2011, značné rozšíření přišlo ale až v letech 2012 a 2013. I přes velké množství infikovaných počítačů si Shylock/Caphaw udržoval velmi úzké geografické zaměření na banky ve Velké Británie. Mezi důvody pro volbu Velké Británie hovoří několik bodů: silná měna, ekonomicky stabilní země, silná zákaznická základna a především relativně malý počet konkurenčních bank na velikost území. K šíření tohoto trojského koně byl v jedné době zneužit i portál YouTube, a to prostřednictvím reklam odvádějících na škodlivé stránky a napadajících zranitelnou verzi Javy u uživatelů.76 Využity byly i spamové e-maily maskující EXE soubory pod formátem PDF. Specializaci, kterou Shylock/Caphaw představuje, je technika zvaná automatizovaná- transakční-služba (ATS), schopná automaticky iniciovat podvodné transakce v pozadí. 77

3.1.5.2. Ice IX

Model Ice IX si staví na zlepšení a odstranění nedostatků, které staré verze Dia představovaly. ZeuS měl problém s JavaScriptem, zachování původního vzhledu stránky, když byl použit jazyk CSS, a také na něj byly nasazeny speciální stopovací sítě (tracker sites). Tyto zmíněné nedostatky odstranil, čímž rozšířil své pole působnosti.78

3.1.5.3. ZeusVM

S dalším odlišným způsobem distribuce přišla nová forma bankovního trojského koně Dia. Je totiž uložena v obrázcích. „JPG obsahuje konfigurační soubor malwaru, který je v podstatě seznam skriptů a finančních institucí – navíc není potřeba, aby ho sama oběť

76 SELVAN, Sabari. YouTube ads serve Banking Trojan Caphaw. EHacking News [online]. 2014 [cit. 2015-02-15]. Dostupné z:http://www.ehackingnews.com/2014/02/youtube-ads-serve-banking-trojan-caphaw.html 77 SYMANTEC SECURITY. All That Glitters Is No Longer Gold - Shylock Trojan Gang Hit by Takedown. Symantec [online]. 2014 [cit. 2015-02-15]. Dostupné z: http://www.symantec.com/connect/blogs/all-glitters-no-longer- gold-shylock-trojan-gang-hit-takedown 78 NEAGU, Aurelian. The Top 10 Most Dangerous Malware That Can Empty Your Bank Account. HeimdalSecurity [online]. 2014 [cit. 2015-02-15]. Dostupné z: https://heimdalsecurity.com/blog/top-financial-malware/ [33]

otevřela“79, vysvětlil Jerome Segura, francouzský bezpečnostní výzkumník. Formát JPG je pro uživatele i antivirové programy pro šíření malwaru málo viditelný a nevyskytuje takovou hrozbu jako EXE soubory nebo méně známé formáty. Zneužití obrázku k šíření jiné zprávy je známé jako steganografie - skrývání zprávy nebo obrázku v jiné zprávě nebo obrázku. 80

V roce 2014 se ZeusVM stal základem pro dalšího trojského koně s názvem Chthonic. Rozdíl spočívá v modulární architektuře, jež umožňuje zločinci více možností napadení. Po stažení hlavního modulu jsou dodatečně přidávány další, schopné např. shromažďovat informace o systému, krást lokální data, zaznamenávat úhozy na klávesnici nebo zaznamenávat obraz a zvuk za podpory kamery a mikrofonu; většina z těchto modulů již pracuje v 64bitových systémech. Konfigurační soubor, obsažený v hlavním modulu, je navržen pro 150 bank (43 ve Velké Británii) a 20 platebních systémů.81

3.1.5.4. GameOver Zeus

Doposud všechny zmíněné trojské koně byly založeny na centralizované infrastruktuře (C&C servery). GameOver je v tomto směru odlišný a používá distribuovaný přístup peer- to- peer. Instrukce tak mohou přijít od jakéhokoliv jiného infikovaného počítače, což značně znepříjemňuje zjištění původu pokynů. K této zásadní změně v řízení GameOver přidal i novou sadu pro skrytí před antiviry.82

V květnu roku 2014 proběhla akce na mezinárodní úrovni podporovaná Evropským centrem pro boj proti kyberkriminalitě (European Cybercrime Centre (EC3)) a koordinovaná americkou FBI. Jejím účelem bylo vyřazení hlavních serverů po dobu dvou týdnů. Jelikož však GameOver funguje přes peer-to-peer sítě, není možné ho vyřadit úplně. Bezpečnostní agentury zapojené do této akce tak vydaly tiskové zprávy o doporučení vyčištění disků a aktualizování antivirových programů pro zvýšení bezpečnosti. Globální odhad infikovaných strojů se před akcí pohyboval mezi 500 000 a 1 000 000 jednotek. FBI ve stejném období

79 GREENBERG, Adam. New variant of Zeus banking trojan concealed in JPG images. SCMagazine [online]. 2014 [cit. 2015-02-15]. Dostupné z: http://www.scmagazine.com/new-variant-of-zeus-banking-trojan-concealed-in- jpg-images/article/334477/ 80 Tamtéž 81 KOVACS, Eduard. Chthonic Trojan Targets Online Banking Systems in 15 Countries. SecurityWeek [online]. 2014 [cit. 2015-02-15]. Dostupné z: http://www.securityweek.com/chthonic-trojan-targets-online-banking- systems-15-countries 82 GRIFFIN, Brendan. GameOver Zeus: Three Things You Should Know. [online]. 2014 [cit. 2015-02-15]. Dostupné z: http://blog.malcovery.com/blog/gameover-zeus-three-things-you-should-know [34]

vydala i zatykač na Evgeniya Michajloviče Bogachea, který je spojen i s původní verzí Dia a vinen ze ztrát stovek milionů dolarů.83

3.1.5.5. Torpig/Sinowal

Torpig, také označovaný jako Sinowal, je druh trojského koně využívaného ke krádeži dat. Při procesu sběru jsou shromažďovány přihlašovací údaje nejen z bankovních serverů (využita pouze metoda HTML vstřikování, k manipulacím transakcí nedochází), ale i data systémová či jinak užitečná/prodejná.84 Na schopnosti Torpigu krást data se zaměřili i výzkumníci z UCSB (University of California, Santa Barbara), kterým se podařilo převzít kontrolu nad botnetem po dobu 10 dní. Během této etapy získali 300 000 unikátních přihlašovacích údajů, mezi kterými bylo 8310 účtů z bankovního sektoru. Dohromady bylo posbíráno 70 GB důvěrných dat odesílaných v pravidelných intervalech do C&C serveru. Výzkumníci také došli k závěru, že oběťmi se většinou stanou lidé se špatně udržovanými zařízeními a snadno odhalitelnými hesly.85

Torpig/Sinowal byl také zneužit pro dva roky trvající trestnou činnost. Výzkumníci z bezpečnostní agentury RSA odhalili v roce 2008 skupinu vlastnící 270 000 přihlašovacích údajů do internetového bankovnictví a 240 000 čísel účtů od kreditních a debetních karet doplněných o osobní informace. Data byla zjištěna z webových serverů, které organizovaná skupina používala k nastavení jejích útoků. Mezi důvody takto dlouhé působnosti se řadí i množství variant, které během jednoho měsíce představovaly desítky nových forem trojského koně. Poslední modifikace byla předložena serveru Virustotal.com pro prozkoumání komerčními antivirovými programy, kde jej pouhých 28,5 % označilo jako podezřelý.86

83 THOMSON REUTERS. $100M cybercrime ring busted by U.S.-led team of investigators. CBCNews [online]. 2014 [cit. 2015-02-16]. Dostupné z: http://www.cbc.ca/news/world/100m-cybercrime-ring-busted-by-u-s-led- team-of-investigators-1.2662871 84 GEORGE, Thomas. Bank Robbery 2.0: The Invisible Danger on your Computer. [online]. 2013 [cit. 2015-02-18]. Dostupné z: http://blog.check-and-secure.com/bank-robbery-2-0-invisible-danger-computer/ 85 CHENG, Jacqui. Researchers hijack botnet, score 56,000 passwords in an hour.ARSTechnica [online]. 2009 [cit. 2015-02-18]. Dostupné z: http://arstechnica.com/security/2009/05/researchers-hijack-botnet-score- 56000-passwords-in-an-hour/ 86 KREBS, Brian. Virtual Heist Nets 500,000+ Bank, Credit Accounts. WashingtonPost [online]. 2008 [cit. 2015- 02-18]. Dostupné z: http://voices.washingtonpost.com/securityfix/2008/10/virtual_bank_heist_nets_500000.html [35]

3.1.5.6. Carberp

Carberp se poprvé objevil v roce 2010, podobně jako další typy vycházející z původní verze Dia, a v té době se nevyznačoval ničím ojedinělým od již existujících verzí. Byl navržen ve formě pluginu nainstalovaného do prohlížeče oběti a kradené informace posílal přímo do C&C serveru. V následující verzi byly připojeny další dva pluginy, kde první sloužil pro vyřazení antiviru a druhý pro odstranění dalších případných malwarů, informace však byly nadále odesílány C&C serveru ve formě textu. V roce 2011 výzkumníci ze společnosti Seculert odhalili novou verzi, která se vyznačovala zcela novým způsobem šifrování komunikace, obsahující náhodně generovanou kryptografickou šifru pro každou zprávu, ke které neexistoval jeden statický klíč. Současně byla také tato verze schopna kontrolovat jaký antivirový program je nainstalovaný na počítači oběti.87

V roce 2013 proběhl únik kódu Carberpu, podobně jako u Dia, a o rok později se již objevily první zprávy o vzniku hybridního trojského koně nazývaného Zberp. Došlo tak ke kombinaci silných schopností dvou trojských koní, do kterých navíc byla přidána i technika steganografie z trojského koně ZeusVM.88 V polovině prosince roku 2014 společnost Symantec narazila na nejnovější verzi, označovanou Carbperp.C, cílící na Austrálii, jelikož zde bylo více než 50 % infikovaných strojů.89

Úspěšný počin proti Carberpu provedla ukrajinská bezpečnostní služba, ve spolupráci s Federální bezpečnostní službou, kdy se jí podařilo odhalit rusko-ukrajinský gang, který vykrádal účty v Rusku a na Ukrajině. Odcizeno bylo zhruba 8 miliard rublů (přibližně 170 milionů liber) a 3 miliony ukrajinské hřivny. Zadrženo bylo s tímto případem 20 podezřelých a není známo, zda byl tento gang spojen i s dopadenou ruskou osmičlennou skupinou stojící za ukradení 2,8 milionů liber, jelikož byl Carberp použit v obou případech.90

87 RAFF, Aviv. The New Trend in "Malware Evolution". Securelert [online]. 2011 [cit. 2015-02-19]. Dostupné z: http://www.seculert.com/blog/2011/01/new-trend-in-malware-evolution.html 88 CONSTANTIN, Lucian. New online banking Trojan program combines Zeus and Carberp features. PCWorld [online]. 2014 [cit. 2015-02-19]. Dostupné z: http://www.pcworld.com/article/2159280/new-online-banking- trojan-program-combines-zeus-and-carberp-features.html 89 KOVACS, Eduard. New Variant of Carberp Trojan Discovered by Researchers. SecurityWeek [online]. 2015 [cit. 2015-02-19]. Dostupné z: http://www.securityweek.com/new-variant-carberp-trojan-discovered-researchers 90 Carberp trojan nets criminals almost £170 million. H-Security [online]. 2013 [cit. 2015-02-19]. Dostupné z: http://www.h-online.com/security/news/item/Carberp-trojan-nets-criminals-almost-Lb170-million- 1839746.html [36]

3.1.5.7. Citadel

Posledním představeným z řady trojských koní vycházejících z Dia je Citadel. Pracuje však s jinou strategií a přístupem, nicméně jeho hlavním účelem je taktéž kradení informací. Toho docílí screenshoty, pořízením videa nebo keyloggerem, softwarem na snímání stisků klávesnice. Citadel také přinesl novou formu HTML vstřikování, která je v mnoha ohledech nebezpečnější. Dřívější vstřikování HTML vycházelo z konfiguračního souboru, kde bylo uloženo co a jak na dané webové stránce změnit. Citadel tento soubor ale nepoužívá a provádí útoky v reálném čase na předem vybrané oběti. Bezpečnostní výzkumník, Jerome Segura, k tomu dodává: „Vstřikování je mnohem zajímavější než cokoliv, co jsme zatím viděli. Může být spuštěno automaticky, na základě provozu, který se chystá na webu, nebo to hacker může spustit ručně, v reálném čase vstřikováním vlastního skriptu k zacílení na konkrétního uživatele.“91

Další změna přicházející s tímto malwarem je v komunikaci hackerů. Výsledkem je vytvoření sociální sítě pro komunikaci mezi sebou, podávání hlášení o chybách nebo navrhování nových funkcí. Je to poměrně velká změna v chování hackerské komunity, jelikož předešlí útočníci se spíše zdržovali ve svých uzavřených komunitách a provedené změny na trojském koni si nechávali pro sebe, případně prodali za velké peníze. Vývojáři Citadely označují tuto formu jako software-as-a-service (software-jako-služba), s vědomím, že velká spolupráce komunity vývojářů povede ke zlepšení a splnění požadavků zákazníků. Došlo tak k vytvoření CRM systému zakládajícího si na rovnoprávnost a svobodu v používání jednotlivých funkcí. 92

Studii ohledně vlastností a chování Citadely provedla bezpečnostní agentura McAfee přinášející zajímavé údaje. Citadel byl původem trojský kůň k provádění MitB útoků v bankovním sektoru, ale ze získaných údajů se projevil přechod z veřejných míst k soukromému sektoru. Na rozdíl od velmi rozšířených malwarů si Citadel staví na konkrétní strategii určité kampaně prováděné na relativně malém počtu obětí, zejména v Evropě.93 Důkazem mohou být i útoky na Blízkém východě, kde se oběťmi staly firmy podnikající

91 KITTEN, Tracy. Citadel Trojan Tough for Banks to Beat. BankInfoSecurity [online]. 2012 [cit. 2015-02-19]. Dostupné z: http://www.bankinfosecurity.eu/citadel-trojan-tough-for-banks-to-beat-a-5282/op-1 92 KREBS, Brian. ‘Citadel’ Trojan Touts Trouble-Ticket Systém. KrebsOnSecurity [online]. 2012 [cit. 2015-02-19]. Dostupné z: http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/#more-13474 93 SHERSTOBITOFF, Ryan. Inside the World of the Citadel Trojan. MCAFEE LABS [online]. 2013 [cit. 2015-02-19]. Dostupné z: http://www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf [37]

v oblasti těžby ropy a jejich firemní data94 nebo útoky na VPN (veřejná privátní síť) letišť, jejichž cílem bylo získat pověření zaměstnanců pro přístup k interní aplikaci.95

Obrázek č. 7: Citadel- prostředí panelu botnetu96

3.2. Gozi

Gozi byl využíván malou skupinou profesionálů a objevil se poprvé v roce 2007, tedy ve stejnou dobu, kdy se již stejným prostředím pohyboval ZeuS. Za svoji působnosti nakazil více než jeden milion počítačů, mezi kterými se objevil i systém NASA, a ukradl několik desítek milionů dolarů. Pro šíření bylo zneužito PDF formátu, jenž obsahoval malware upravený na míru daným bankám97 a skrývající se za relativně bezpečný formát souborů, podobně jako výše představený ZeusVM distribuující malware ve formátu JPG. Od roku 2007

94 TAMIR, Dana. Massively Distributed Citadel Malware Targets Middle Eastern Petrochemical Organizations. SecurityIntelligence [online]. 2014 [cit. 2015-02-21]. Dostupné z: http://securityintelligence.com/massively- distributed-citadel-malware-targets-middle-eastern-petrochemical-organizations/#.VOg7q_mG-uL 95 KLEIN, Amit. Man-in-the-Browser: Citadel Trojan Targets Airport Employees With VPN Attack. SecurityIntelligence [online]. 2012 [cit. 2015-02-21]. Dostupné z: http://securityintelligence.com/man-browser- citadel-trojan-targets-airport-employees-vpn-attack/#.VOhH0PmG-uI 96 Zdroj: KREBS, Brian. ‘Citadel’ Trojan Touts Trouble-Ticket System. KrebsOnSecurity [online]. 2012 [cit. 2015- 02-19]. Dostupné z: http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/#more- 13474 97 LEYDEN, John. 'Gozi Trojan trio' blamed for multimillion-dollar bank raid spree. The Register [online]. 2013 [cit. 2015-02-23]. Dostupné z: http://www.theregister.co.uk/2013/01/24/gozi_trojan_indictment/ [38]

se Gozi vyznačoval poskytováním služeb zločinec-zločinci (v angl. criminal-to-criminal services), označovaným jako služba 76 (The 76 Service). „Ve službě 76 nešlo o prodej zdrojového kódu, ale prodávání přístupu k infikovaným počítačům zločincům a poskytování aktuálních dat,“ řekl Don Jackson, bezpečnostní výzkumník ze skupiny Dell SecureWorks, který jako první objevil Goziho v roce 2007.

Významný úspěch, v boji proti skupině distribuující tohoto trojského koně zaznamenala FBI, které se podařilo dopadnout tři členy gangu a přivést je před federální úřad v New Yorku. Malá, pevně spletená skupina byla tímto zásahem silně ovlivněna a nutnost vlastnit velmi dobré technické znalosti navíc poměrně znemožnila další šíření mezi neznalými hackery. Don Jackson považuje tento úspěšný počin za zničení středu skupiny, který vede ke konci tohoto kódu.98 Celou akci lze považovat za úspěšnou, protože se od té doby neobjevily žádný další útok postavené na tomto trojském koni.

3.3. OddJob

Se zcela novým způsobem útoku v reálném čase se objevil v roce 2011 OddJob. Kromě vstřikování HTML stránek je také schopen posílat na C&C server získána data prakticky okamžitě, což umožňuje útočníkům unést relaci v reálném čase. K dokončení této operace jim stačí použít relační ID token, který je bankami využíván pro identifikaci uživatele. Poté již tedy získávají stejná oprávnění jako majitel účtu a jsou schopni provádět další činnosti s účtem. Další zajímavou vlastností OddJobu je pokračování v aktivitě i poté, co se majitel účtu odhlásil. Útočník však zůstává v pozadí stále připojen, což následně usnadní maximalizovat jeho potenciální zisk. Problémy dělá OddJob i antivirovým programům jelikož konfigurační soubor se nenachází na pevném disku, ale je vždy znova stažen z C&C serveru při každém otevření webového prohlížeče. Podporovány jsou v tomto případě prohlížeče Internet Explorer a Mozilla Firefox.99

98 CLAYTON, Mark. Cybercrime takedown: Is it game over for Gozi trojan that stole millions?. CSMonitor [online]. 2013 [cit. 2015-02-23]. Dostupné z: http://www.csmonitor.com/USA/Justice/2013/0124/Cybercrime- takedown-Is-it-game-over-for-Gozi-trojan-that-stole-millions 99 KLEIN, Amit. OddJob: New Financial Trojan Keeps Online Banking Sessions Open After Users Logout. SecurityIntelligence [online]. 2011 [cit. 2015-02-25]. Dostupné z: http://securityintelligence.com/oddjob-new- financial-trojan-keeps-online-banking-sessions-open-after-users-logout/#.VO2Qt_mG-uJ [39]

3.4. URLzone

Mezi významné trojské koně v oblasti MitB patří i URLzone, který se zaměřuje na přímé kradení peněz z účtů. Pokud není potřeba, nepřidává tak pole do stránek bank, ale slouží jako nástroj pro modifikaci transakcí provedených majitelem účtu. URLzone sám útok neprovádí, ale pouze automaticky kontaktuje C&C server přes HTTP (komunikace probíhá v XOR šifře, což je binární varianta Vernamovy šifry) o návštěvě inkriminované webové stránky, mj. odesláním pověřovacího protokolu, a server se postará o zbytek práce, což přináší minimálně dvě výhody. První je, že se nesnaží využívat místních cyklů procesoru. Druhá výhoda pak reflektuje možnost aktualizace na straně serveru pro útok, a není tedy třeba aktualizovat konfigurační soubor. Mezi ukradenými daty jsou i údaje o zůstatku na účtu a maximální výši povolené transakce, z čehož se zjistí hodnota, kterou lze odeslat na útočníkův účet.100

U uživatele banky dochází také kromě již zmíněné modifikace transakce k přepisům elektronických výpisů z účtu. Důkaz o takovém útoku zaznamenala jedna z obětí v roce 2009, které místo 53 odeslaných dolarů zmizelo z účtu více než 8 000 dolarů. Tento případ z Německa však nebyl ojedinělý, protože právě v té době bezpečnostní firma Finjan zaznamenala během 22 dnů odcizení 439 000 dolarů z německých bank. 101

3.5. Tinba

Posledním popsaným trojským koněm v této kapitole je Tinba, jehož název je odvozen ze sloučeniny anglických slov tiny (maličký) a banker (bankéř), které současně popisují jeho unikátní vlastnost. Peter Kruse z CSIS Security Group k němu řekl: „Tinba je nejmenší bankovní trojský kůň, se kterým jsme se kdy setkali, a patří k úplně nové rodině malwaru, se kterou očekáváme v nadcházejících měsících boje.“102. Samotný kód má velikost pouhých 20 kB a obsahuje pouze konfigurační data a data potřebná ke vstřikování webových stránek,

100 DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence. 2012, vol. 4, issue 1, s. 33-34. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi-global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 101 MOSCARITOLO, Angela. URLZone touted as most sophisticated banking trojan yet. SCMagazine [online]. 2009 [cit. 2015-02-25]. Dostupné z: http://www.scmagazine.com/urlzone-touted-as-most-sophisticated- banking-trojan-yet/article/151096/ 102 KRUSE, Peter. Say hello to Tinba: World’s smallest trojan-banker. CSIS [online]. 2012 [cit. 2015-02-25]. Dostupné z: https://www.csis.dk/en/csis/news/3566/ [40]

většinou ve formě formulářů o osobních údajích. Malá velikost je dána úzkým seznamem URL adres, na které se zaměřuje, a absence jakéhokoliv obalu, vč. pokročilého šifrování. Jediné šifrování probíhá při komunikaci s C&C serverem a jedná se o šifrovací algoritmus RC4 s pevným heslem.103

První zaznamenané případy Tinby pochází z Turecka v roku 2012, další větší soustava útoků se objevila v roce 2014, a to v České republice. Právě Tinba je jako jediný z doposud představených trojských koní více spojen s Českou republikou a tato velká vlna útoků byla také popisována zahraničními informačními servery. Tinba byl šířen pomocí přílohy emailu, zobrazeného níže.

Obrázek č. 8: Email šířený v České republice, který v příloze obsahoval trojského koně104

Email se na první pohled nejeví jako zjevný podvod. V českém textu se objevuje minimum chyb, existující exekutorské úřady (vč. adres) a uvedení přesné částky i účtu, kam mají být peníze odeslány. Celý tento text však slouží jako záminka k otevření přílohy, ve které je uložen trojský kůň Tinba. Hrozba exekuce je používána v oblasti sociálního inženýrství pro znejistění obětí a jejich reflexivního jednání za účelem získání dalších detailnějších informací,

103 Tamtéž 104 Zdroj: POLESNÝ, David. Exekuční příkaz v e-mailu: Zákeřný spam zvyšuje kalibr. Živě.cz [online]. 2014 [cit. 2015-02-25]. Dostupné z: http://www.zive.cz/bleskovky/exekucni-prikaz-v-e-mailu-zakerny-spam-zvysuje- kalibr/sc-4-a-174582/default.aspx

[41]

které by měly být uloženy v příloze. Příloha je ve formátu ZIP a obsahuje jediný EXE soubor, po jehož spuštění se v pozadí stáhne Tinbam cílící na čtyři české banky: Českou spořitelnu, ČSOB, Eru a Fio. Další dodatečné skripty jsou pak staženy z C&C serveru; v závislosti na návštěvě webu jedné ze čtyř bank sloužící k nabádání stažení aplikace OTPdirekt pro různé mobilní systémy, pouze však verze pro Android je škodlivá. Aplikace OTPdirekt následně slouží útočníkovi pro přesměrování potvrzovací SMS na jeho číslo, díky které získá přístup k účtu oběti. Jednou z jeho obětí se stala i žena z Kroměřížska, které z účtu zmizelo více než 400 000 Kč.105

Analýzu kódu provedl Jaromír Hořejší, analytik malwaru společnosti Avast!, a odhalil údaje směřující do Ruska. Na tento fakt přišel na základě telefonního čísla, kam chodily zprávy z infikovaných mobilních telefonů, registrovaného v části Ruska. Jaromír Hořejší zjistil i to že, kód měl okrádat pouze uživatele, kteří měli na účtu více než 70 000 Kč, ale tento příkaz byl nakonec pozměněn a „zakomentován“ v souboru.106 Český analytik o pár měsíců později odhalil další verzi Tinby, tentokrát zaměřující se na bankovní instituce v Austrálii, Evropě a USA, a následně k tomu dodal: „Tato varianta se liší od té zaměřené na české uživatele v tom, že konfigurační soubory mají ještě jednu vrstvu šifrování, a je tak potřeba „několik dalších kroků“ k odhalení.“107

Začátkem roku 2015 se Tinba objevil v emailech mezi českými uživateli ještě dvakrát. Poprvé byl ukryt v příloze novoročního PF (zazipovaný soubor měl koncovku pro spořič obrazovky)108 a poté ve fiktivní zprávě s fakturou z portálu obchody24.cz.109

105 POLESNÝ, David. Podvodné e-maily neutuchají a napáchaly první větší škodu. Živě.cz [online]. 2014 [cit. 2015-02-25]. Dostupné z: http://www.zive.cz/bleskovky/podvodne-e-maily-neutuchaji-a-napachaly-prvni-vetsi- skodu/sc-4-a-174441/default.aspx 106 HOŘEJŠÍ, Jaromír. Falešný exekuční příkaz ohrožuje uživatele českých bank. AVAST! [online]. 2014 [cit. 2015- 02-25]. Dostupné z: https://blog.avast.com/cs/2014/07/17/falesny-exekucni-prikaz-ohrozuje-uzivatele- ceskych-bank-2/#more-29945 107 ROBINSON, Teri. Tinba variant aimed at U.S., international banks. SCMagazine [online]. 2014 [cit. 2015-02- 25]. Dostupné z: http://www.scmagazine.com/tinba-variant-aimed-at-us-international-banks/article/371924/ 108 ČERMÁK, Miroslav. Objevila se nová verze populárního bankovního trojana Tinba. CleverAndSmart [online]. 2015 [cit. 2015-02-25]. Dostupné z: http://www.cleverandsmart.cz/objevila-se-nova-verze-popularniho- bankovniho-trojana-tinba/ 109 BUCHTA, Martin. Fiktivní objednávka z obchody24.cz obsahuje škodlivý kód. ESET [online]. 2015 [cit. 2015- 02-25]. Dostupné z: https://servis.eset.cz/index.php?/News/NewsItem/View/148#.VO3nVvmG-uI [42]

4. Směr a vývoj trojských koní ve spojitosti s MitB útoky

Vývoj trojských koní popsaných v kapitole 3 je permanentní, jak dokazuje i příklad Tinby v poslední kapitole, a vyvíjí se stejně rychle jako celá oblast výpočetních technologií. Na rychlost a směr vývoje má vliv hned několik faktorů, do kterých se promítá poptávka hackerů, bezpečnostní a ochranné prvky pro zabezpečení uživatelů bank, ale i celý vývoj internetového bankovnictví a přeměna fyzické měny do digitálního prostředí. Útočníci tak mají v současnosti širší pole působnosti na proveditelné útoky a cíle představují rozmanitou škálu odvětví v internetovém prostředí.

4.1. Man-in-the-mobile (MitMo)

Mobilní telefony se díky masovému rozšíření již staly součástí života běžné populace v ekonomicky rozvinutých zemích a počty prodejů stále stoupají, jak je blíže pospáno v kapitole o posunu on-line bankovnictví do nového prostředí. Na základě tohoto zjištění je banky začaly využívat jako nástroje pro autentizační účely. Doplnění autentizace přes mobilní telefony mělo za následek vytvoření dvou faktorové autentizace probíhající na nezávislém kanále z důvodu možné kompromitace samotného počítače. Banky pro tuto metodu využívají tzv. mTAN (mobile Transaction Authentication Number), unikátního čísla odeslaného bankou na mobilní telefon uživatele, které je nutné zadat pro dokončení transakce nebo aplikací generujících OTP (one-time-password). Koncept postavený na SMS zprávách se však záhy ukázal být po bezpečnostní stránce nedostačující, jak bylo již uvedeno na příkladu Tinby, schopného napadnout i tento kanál. Scénář získání důležitých údajů může probíhat v těchto krocích:

1) Útočník pomocí malwaru získá uživatelské jméno a heslo do internetového bankovnictví. 2) Útočník napadá mobilní telefon s telefonním číslem, kam přichází mTAN a nutí ho do instalace škodlivé aplikace (např. pomocí SMS s přímým odkazem na aplikaci). 3) Útočník se přihlásí na účet napadeného uživatele a provádí vybrané operace.

[43]

4) Pro dokončení daných úkolů se pošle uživateli ověřovací kód, který je škodlivou aplikací přeposlán i útočníkovi. 5) Útočník vkládá ověřovací kód a úspěšně dokončuje celou operaci.110

Tinba ale není jediný trojský kůň využívající k MitB útokům napadení mobilních telefonů. Za posledních pět let se jich objevilo více a způsoby, jakým pracují, se od sebe mohou v různých krocích či aspektech lišit. Mezi ně patří např. ZitMo (Zeus-in-the-Mobile), malware pro mobilní telefony spojený s Diem,111 o němž bylo poprvé možno slyšet v září 2010. Na následujícím obrázku je možno vidět jeho rychlý vývoj napříč operačními systémy v mobilních telefonech společně se SpitMo (SpyEye-in-the-Mobile), se kterým sdílí podobný proces útoku.

Obrázek č. 9: Zeus a SpyEye – vývoj v mobilním prostředí112

110 BARROSO, David. ZeuS Mitmo: Man-in-the-mobile (I). S21SEC E-CRIME [online]. 2010 [cit. 2015-02-27]. Dostupné z: http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html 111 ARDAGNA, Claudio Agostino a Jianying ZHOU. Information security theory and practice: security and privacy of mobile devices in wireless communication. 5th IFIP WG 11.2 international workshop, WISTP 2011, Heraklion, Crete, Greece, June 1-3, 2011. proceedings. New York: Springer, 2011. ISBN 36-422-1039-2. S. 34 112 Zdroj: KLEIN, Amit. First SpyEye Attack on Android Mobile Platform Now in the Wild. SecurityIntelligence [online]. 2011 [cit. 2015-02-27]. Dostupné z: http://securityintelligence.com/first-spyeye-attack-android- mobile-platform-now-wild/#.VPBTPPmG-uL [44]

K šíření škodlivého softwaru do mobilních telefonů útočníci spoléhají v SMS zprávách na praktiky sociálního inženýrství, prostřednictvím nichž jsou mobilní verze trojských koní představovány jako např. „nový bezpečnostní certifikát“. Odkaz však přesměruje uživatele banky na datový server, ze kterého se trojský kůň stáhne. Nikoliv však ze služby Google Play (pro majitele mobilních telefonů se systémem Android) či Windows Phone Store (pro majitele mobilních telefonů se systémem Windows Mobile), ale z neautorizované webové stránky, což by mělo řadu uživatelů odradit, jelikož bankovní aplikace a doplňkové služby bank pro majitele mobilních telefonů se nachází na autorizovaných distribučních službách od daného operačního systému.113

SpyEye při snaze infikovat mobilní telefon postupuje velmi podobně jako Zeus. Během vstřikování HTML přidá pole na vložení čísla mobilního telefonu a jeho IMEI.114 Obratem dostane uživatel informaci, že „příprava certifikátu“ může trvat pár dnů. 115

Spojení MitB a MitMo útoků je pro hackery tedy velice lukrativní a inspirovat se nechali i vývojáři Carberpu s jejich verzí CitMo, specializující se na banky v rusky mluvících zemích. Úspěch využití ZitMa pak dokazuje i trojský kůň označovaný „Eurograbber“ mající na svědomí zcizení více než 36 milionů od uživatelů z evropských bank.116

4.2. Universal-Man-in-the-Browser (uMitB)

Pojem uMitB (universal-Man-in-the-Browser117) vytvořili výzkumníci ze společnosti Trusteer, když v roce 2012 objevili nový útok, který se v lecčem podobal již známému MitB útoku, ale vykazoval jisté odlišnosti. V čem se tedy liší?

 Sběr údajů neprobíhá jen na konkrétně vybraných webových stránkách.

113 MASLENNIKOV, Denis. ZeuS-in-the-Mobile - Facts and Theories. KASPERSKY LAB [online]. 2011 [cit. 2015-02- 27]. Dostupné z: http://securelist.com/analysis/36424/zeus-in-the-mobile-facts-and-theories/ 114 International Mobile Equipment Identity- unikátní číslo přidělené výrobcem mobilnímu telefonu 115 KLEIN, Amit. First SpyEye Attack on Android Mobile Platform Now in the Wild. SecurityIntelligence [online]. 2011 [cit. 2015-02-27]. Dostupné z: http://securityintelligence.com/first-spyeye-attack-android-mobile- platform-now-wild/#.VPBo2vmG-uL 116 KALIGE, Eran a Darrell BURKEY. A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware. CheckPoint [online]. 2012 [cit. 2015-02-27]. Dostupné z: https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf 117 Univerzální-muž-v-prohlížeči [45]

 Zpracování získaných dat probíhá v reálném čase, načež jsou posílány přímo na portál k prodeji118

Amit Klein, člen týmu Trusteer, k uMitB útokům dodal: „Dopad uMitB by mohl být významný, protože informace odcizené v reálném čase jsou obvykle mnohem cennější než informace „zaprášené“, a navíc odstraňuje složitost spojenou s aktuálními přístupy post zpracování.“.119 Pro lepší představu veřejnosti si skupina z Trusteeru nechala infikovat zařízení trojským koněm pro uMitB a zaznamenala video, jak se během několika vteřin po vyplnění formuláře, obsahujícího osobní údaje a data o kreditní kartě, objevily všechny informace k prodeji na ruském portálu.120

Směr, kterým se uMitB vydal, naznačily již trojské koně využívané pro běžné MitB útoky. Např. Clampi sbíral data ze 4 500 webových stránek (běžně se cílilo na 30 stránek), mezi kterými byly profesní portály, on-line kasina či webové stránky s výzkumy trhu.121 Dalším příkladem je verze trojského koně Citadel, blíže popsaného ve stejnojmenné kapitole, objeveného v roce 2014 a navrženého pro kradení přístupových údajů od heslových manažerů, což jsou softwarové aplikace sloužící ke správě hesel a uživatelských jmen od nejrůznějších webových stránek. Napadení uživatelé tak poté mohou lehce přijít o kontrolu nad svým e-mailem, profilem na sociální síti nebo firemním účtem.122

uMitB je vyústěním možného potenciálu, které MitB útoky naznačily. Současná vlna přesunu životů do prostředí internetu představuje velké množství dat, které je možno využít k podvodným praktikám, a jejich cena v současné informační společnosti stále roste. Není tak nikterak vyloučené, že právě uMitB se v blízké budoucnosti stane velkou hrozbou pro spoustu uživatelů internetu.

118 KLEIN, Amit. One Size Fits All – Universal Man in the Browser Attack Targets All Websites. IBM [online]. 2012 [cit. 2015-02-27]. Dostupné z: http://www.trusteer.com/nl/node/680#.VPCsKPmG-uI 119 Tamtéž 120 TUBIN, George. Live on Video – uMitB Steals "Verified by Visa" and "MasterCard SecureCode" Credentials. IBM [online]. 2013 [cit. 2015-02-27]. Dostupné z: http://www.trusteer.com/nl/node/1303#.VPCsKfmG-uK 121 NIELSEN, Dave. Clampi Trojan Virus Attacks the World of Online Banking. Fight Identity Theft [online]. 2009 [cit. 2015-02-27]. Dostupné z: http://www.fightidentitytheft.com/blog/new-trojan-virus-attacks-world-online- banking 122 KOVACS, Eduard. Citadel Trojan Targets Password Managers, Authentication Solutions. SecurityWeek [online]. 2014 [cit. 2015-02-28]. Dostupné z: http://www.securityweek.com/citadel-trojan-targets-password- managers-authentication-solutions [46]

5. Bezpečnostní řešení

Směr a vývoj MitB útoků v poslední kapitole představil značnou variabilitu, které jsou útočníci schopni docílit. Banky tedy musí zajistit bezpečnost svých klientů a útokům se úspěšně bránit, ale čísla z reálných případů demonstrovala, že bezpečnostní řešení bank ve světě ještě nejsou zcela připravena na tuto formu hrozby a majitelé účtů bank se mohou právem cítit v ohrožení. Důkazem jsou i nedávno provedené studie zkoumající bezpečnostní stránky bank v daných zemích. V roce 2013 byl proveden průzkum 12 bank v Rumunsku představující průsečík poskytovatelů z východní i západní části Evropy. Kromě zjištěné různorodosti v autentizaci a zabezpečení účtů se došlo k závěru, že většina bank by proti MitB útokům neobstála. Součástí výzkumu byl i průzkum mezi uživateli o jejich znalostech a zvycích spojených s bezpečnostními riziky, z něhož vzešlo, že 63% respondentů o MitB útocích nikdy neslyšela.123 O něco dříve byl proveden podobný průzkum i v Belgii, kde vyšlo najevo, že žádná banka nevlastní dostatečně obranný systém proti moderním útokům, vč. MitB.124

S podobným stavem bezpečnosti internetového bankovnictví, jako mělo Rumunsko či Belgie, bychom našli ve světě více zemí. Důvodem, proč se neví i o dalších zemích, je transparentnost, která není v tomto sektoru příliš rozšířená. V roce 2008 pouze Velká Británie, Francie a Nizozemsko jako jediné státy publikovaly všechny údaje k bankovním podvodům.125 Vývoj v této oblasti má v Evropě na starosti ENISA126, jež má za cíl zlepšit bezpečnostní síť v zemích Evropské unie a přispět k fungování vnitřního trhu. Transparentnost není pro banky přirozenou vlastností, zvláště v oblastech útoků. Dle bezpečnostních expertů, ani některé banky neprojevují zájem o řešení a snaží se žít v přesvědčení o plné ochraně naproti hrozbě ze ztrát zákazníků a investování velkých financí do patřičných opatření. Na možná rizika MitB útoků se snažil v Indii upozornit bezpečnostní expert Yash KS pomocí videa, kde zobrazoval možnosti trojských koní napadnout uživatele

123 CRISTEA, Marius a Bogdan GROZA. A Survey on Security Solutions of Top e-Banking Providers from an Eastern European Market [online]. 2013 [cit. 2015-03-08]. Dostupné z: http://www.aut.upt.ro/~bgroza/Papers/banks.pdf 124 DOSSOGNE, J´erˆome a Olivier MARKOWITCH. Online banking and man in the browser attacks, survey of the belgian situation [online]. Universit´e Libre de Bruxelles, 2010 [cit. 2015-03-08]. Dostupné z: http://www.ulb.ac.be/di/scsi/markowitch/publications/wic2010b.pdf 125 ANDERSON R., BÖEHME R., CLAYTON R., and MOORE T.. Security Economics and the Internal Market. Technical report, The European Network and Information Security Agency. [online]. 2008 [cit. 2015-02-27]. Dostupné z: https://www.enisa.europa.eu/publications/archive/economics-sec 126 European Network and Information Security Agency [47]

bank. Určitým bankám nabídl i svou pomoc pro případná řešení, což úředníci odmítli s tvrzením o dostatečné bezpečnosti jejich systémů. 127

Zbytek této práce bude již dále zaměřen na jednotlivé techniky, nástroje a metody jak se MitB útokům ubránit, případně jak jim předejít. Dříve však je potřeba si definovat určité aspekty, které mají rovněž vliv pro banky na výsledné použití, mezi něž mohou patřit:

 Odůvodnitelnost- vybrané řešení musí být dostatečně odůvodněné, především v případech přechodu na zcela jiný systém.  Přívětivost- řešení musí být pro uživatele snadno použitelné, intuitivní a případně vycházet z dobře známých interakčních vzorců.  Mobilita- zařízení musí být lehce přenosné a pracovat se standardními počítači a operačními systémy.  Integrace- řešení musí dobře integrovat se stávající IT infrastrukturou, což zahrnuje: hardware a software na straně klienta, komunikační protokoly a požadavky na straně serveru.  Správa- řešení musí být snadno spravovatelné a udržovatelné, např. prostřednictvím vzdálené konfigurace nebo aktualizací softwaru.  Cena- celkové náklady jsou pak spojené s finančním oddělením a úzce propojené s odůvodnitelností.128

Následující bezpečnostní techniky a opatření jsou spojovány se zabezpečením internetového bankovnictví vůči mnohým typů hrozeb (např. MitM či keyloggery), ale proti MitB útokům je jejich účinnost omezená. Inspirace vybraných metod pochází z prací bezpečnostních agentur IViZ a Entrust, které doplňují i návrhy od Philippa Gühringa z jeho práce „Concepts against Man-in-the-Browser Attacks“. Přidána jsou navíc i nová řešení z komerční sféry či další techniky navržené přímo na boj proti MitB útokům. Pro lepší přehlednost jsou všechna vybraná řešení rozdělena do dvou kategorií na základě jejich principu. První skupina je tvořena autentizačními a autorizačními metodami sloužícími

127 SELVAN, Sabari. Banks are not interested to fix Man-in-the-Browser (MitB) security flaw. E Hacking News [online]. 2012 [cit. 2015-03-08]. Dostupné z: http://www.ehackingnews.com/2012/02/banks-are-not- interested-to-fix-man-in.html 128 WEIGOLD, Thomas a Alain HILTGEN. Secure Confirmation of Sensitive Transaction Data in Modern Internet Banking Services [online]. 2011 [cit. 2015-03-09]. Dostupné z: http://www.zurich.ibm.com/pdf/csc/WorldCIS- draft.pdf [48]

v internetovém bankovnictví pro ověření identity uživatele a následné udělení práv k odpovídajícím úkonům. Druhá skupina je poté složena z různorodých metod souvisejících se sítí, přes kterou probíhá komunikace uživatele s bankou (vč. odesílání dat), a její kontrolou nad ní. Ověření identity a ochrana komunikace (výměny dat) lze brát jako základní pilíře v bezpečnosti internetového bankovnictví.

5.1. Autentizace a autorizace

Autentizace je proces ověřování totožnosti osoby (potvrzování její identity), s čímž úzce souvisí proces autorizace, tedy přidělení odpovídajících oprávnění, např. k různým operacím s účtem. Oba tyto pojmy jsou hojně využívány v prostředí internetu pro zajištění informační bezpečnosti uživatelů a oblast internetového bankovnictví není výjimkou. V představených řešeních dojde k promítnutí primární slabiny autentizačních metod vůči MitB útokům a naopak autorizace se představí jako jedno z možných účinných východisek na ochranu uživatelů bank.

5.1.1. Přihlašovací jméno + heslo

Popis: Přihlašovací jméno a heslo může být uživateli přiděleno nebo si jej může zvolit sám. Na základě znalosti těchto dvou údajů jsou poté uživateli udělena odpovídající práva a je oprávněn dále v daném prostředí operovat.

Vztah k MitB útokům: Přihlašovací jméno společně s heslem je proti MitB útokům naprosto nepostačující. Na úspěch útoku nemá vliv ani časté obměňování nebo délka a variabilita použitých znaků v hesle, jež jsou obvykle doporučována. Trojské koně jsou schopny zachytit údaje přímo z prohlížeče nebo počkat na uživatelovo ověření.129

129 DE, Nilanjan. Counter-measures against Man-in-the-Browser attacks – Part 1 – Things to keep in mind while doing Online Banking. IViZ Security [online]. 2013 [cit. 2015-03-12]. Dostupné z: http://www.ivizsecurity.com/blog/penetration-testing/counter-measures-against-man-in-the-browser-attacks- part-1-things-to-keep-in-mind-while-doing-online-banking/ [49]

5.1.2. Biometrie

Popis: Údaje k přihlášení mohou být také doplněny o metody založené na biologických charakteristikách uživatelů, případně je mohou celé nahradit. Tato skupina je označována pod názvem biometrie. Identifikace uživatele je schopna proběhnout na základě snímání oční sítnice či obličeje (2D i 3D), podle charakteristiky hlasu nebo dle hojně využívaných otisků prstů (tuto technologii podporují i moderní mobilní telefony) atd. Biometrická autentizace se vyznačuje i dobrou měřitelností, stálostí, jedinečností nebo univerzálností pro všechny uživatele.130 Existují však i bariéry znepříjemňující jejich široké rozšíření. U snímání otisků prstů se může jednat o spolehlivost a funkčnost v těžkých podmínkách (jejich životnost), možné znečištění či poškození prstu, nedostačená přesnost snímání či chybějící podpora detekce živosti. U snímání oční sítnice jsou vysoké pořizovací náklady a např. snímání obličeje představuje nedostatečnou přesnost (2D technologie) a vysoké nároky na podmínky snímání (3D technologie).131

Vztah k MitB útokům: Biometrická opatření jsou kvalitním doplněním pro běžná přihlašovací jména a hesla, která jsou útočníci schopny zcizit více způsoby. Jedná se tak o bezpečnostní bariéru pro útočníky chtějící se přihlásit pomocí zcizených údajů. Pro MitB útoky je však scénář podobný jako v případě přihlašovacího jména a hesla. Útočník je schopen počkat na biometrické ověření uživatele banky a až poté operovat.

5.1.3. CAPTCHA

Popis: CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je zautomatizovaný Turingův test pro rozlišení člověka od počítače. Úspěšné blokování zautomatizovaných programů na zneužívání webových služeb vedlo k nástroji na boj proti spamům a i v současnosti slouží velkému počtů webů jako ochranný prvek.132 Využívá grafického znázornění obrázků nebo textů, které nejsou v strojově čitelné podobě.

130 CONROY, Julie. Citadel and Gozi and ZeuS, Oh My!. RSA [online]. 2012 [cit. 2015-03-15]. Dostupné z: https://www.emc.com/collateral/white-papers/citadel-gozi-zeus-oh-my-wp.pdf 131 ŠČUREK, Radomír. Biometrické metody identifikace osob v bezpečnostní praxi. VŠB TU Ostrava, 2008. Dostupné z: https://www.fbi.vsb.cz/export/sites/fbi/040/.content/sys- cs/resource/PDF/biometricke_metody.pdf 132 AMINE, Abdelmalek, Otmane AIT MOHAMED a Boualem BENATALLAH. Network security technologies: design and applications. IGI Global, 2013, s. 156-157. ISBN 978-146-6647-916. [50]

Tuto techniku lze v internetovém bankovnictví využit jak pro autentizaci uživatelů, tak i pro přenášení detailů o transakcích.133

Vztah k MitB útokům: Cílem této techniky je zabránit automatickým útokům proti ověřeným relacím. CAPTCHA je však nyní už v mnoha případech pokořena různými způsoby. V současnosti existují nástroje pro jejich čtení na webových stránkách, úspěšné jsou v této oblasti i MitM útoky nebo OCR software určený k optickému rozpoznávání znaků; pro autentizační proces je tedy nedostačující. Použití CAPTCHY na přenos informací o transakci, a pro účel autorizace, je však výsledek obrácený. Firma Arcot používá CAPTCHU pro tento účel, ve kterém jsou ve formě obrázku zobrazeny údaje o částce, tj. kdo ji a komu posílá, doplněné o OTP od bankovního serveru. Uživatel má tedy možnost si potřebné informace ještě zkontrolovat, a jelikož je zde doplněno OTP a komunikace probíhá navíc na vytvořeném VPS (Virtual Private Session), je možnost provést útok podstatně znemožněna.134 Použití CAPTCHY se některým jeví jako diskutabilní, protože může být brána jako technika diskriminující zdravotně znevýhodněné či postižené uživatele.

Obrázek č. 10: CAPTCHA - použití pro potvrzení transakce; návrh od firmy Arcot135

133 PEOTTA, Laerte, Marcelo D. HOLTZ, Bernardo M. DAVID, Flavio G. DEUS a Rafael TIMOTEO DE SOUSA. A Formal Classification of Internet Banking Attacks and Vulnerabilities. International Journal of Computer Science and Information Technology [online]. 2011-02-28, roč. 3, č. 1, s. 189-190 [cit. 2015-03-15]. DOI: 10.5121/ijcsit.2011.3113. Dostupné z: http://www.airccse.org/journal/jcsit/0211ijcsit13.pdf 134 ARCOT. Protecting Online Customers from Man-inthe-Browser and Man-in-the-Middle Attacks. Arcot Systems [online]. 2010 [cit. 2015-04-07]. Dostupné z: http://www.ca.com/~/media/Files/whitepapers/protection-from-mitm-mitb-attacks-wp.pdf 135 Zdroj: ARCOT. Protecting Online Customers from Man-inthe-Browser and Man-in-the-Middle Attacks. Arcot Systems [online]. 2010 [cit. 2015-04-07]. Dostupné z: http://www.ca.com/~/media/Files/whitepapers/protection-from-mitm-mitb-attacks-wp.pdf [51]

5.1.4. Virtuální klávesnice

Popis: Pro zajištění větší bezpečnosti uživatelů některé z bank implementovaly pro komunikační a autentizační účely virtuální klávesnice. Jejich ovládání probíhá prostřednictvím dotykové obrazovky nebo v případě počítačů, klikáním myši v daném softwarovém prostředí. Existují však i zařízení, která dokáží klávesnici projektovat na jakýkoliv rovný povrch.136

Vztah k MitB útokům: Virtuální klávesnice slouží jako odpověď na tzv. keyloggery, softwary snímající stisky na klávesnici, které se objevily před více než třiceti lety. Za tu dobu se již útočníci dokázali ve svém konání posunout o krok dále a využívat malware na podobném principu. Screenloggery snímají prostředí obrazovky a mouseloggery zaznamenávají přesné souřadnice jednotlivých kliknutí. Určité trojské koně jsou doplněny o funkci keyloggingu, čemuž je virtuální klávesnice schopna zabránit, ale MitB útoky jsou i poté úspěšné (postup je stejný jako v případě biometrie).137

5.1.5. SSL certifikáty

Popis: SSL certifikáty jsou založeny na SSL (Secure Sockets Layer) protokolu, udělené certifikačními autoritami, a slouží k identifikaci identity uživatele nebo webové stránky a současně i k bezpečnému přenosu dat po internetu. Zabezpečená komunikace je zajištěna díky dvojici klíčů, veřejného a soukromého, které jsou založeny na principu asymetrické šifry. Uživatelé poznají chráněné weby dle zeleného zámku/klíče vloženého vedle názvu webové stránky v prohlížeči.138

Vztah k MitB útokům: Již v kapitole popisující MitM útok bylo zmíněno, že proti tomuto typu jsou SSL certifikáty v některých případech úspěšné a dokáží tak komunikaci mezi serverem a uživatelem ochránit. Na MitB útoky jsou však nedostačující, jelikož je malware

136 TOMEI, Lawrence A. Encyclopedia Of Information Technology. Indie: Atlantic Publishers & Dist, 2007. s. 527. ISBN 81-269-0752-5 137 ARCOT. Protecting Online Customers from Man-inthe-Browser and Man-in-the-Middle Attacks. Arcot Systems [online]. 2010 [cit. 2015-04-07]. Dostupné z: http://www.ca.com/~/media/Files/whitepapers/protection-from-mitm-mitb-attacks-wp.pdf 138 SULLIVAN, Dan. The Shortcut Guide to Extended Validation SSL Certificates. Realtimepublishers.com, 2007. ISBN 1-931491-76-3. S. 18 [52]

schopen zachytit a pozměnit šifrované zprávy. Útok se odehrává, ještě než dojde k SSL kódování a je tak vůči této metodě imunní.139

5.1.6. Digitální certifikáty

Popis: Podobně jako banky zajišťují bezpečnost svých webových stránek pomocí certifikátů i uživatelé využívají podobné certifikáty k ověření své identity. Digitální certifikáty mohu být uloženy v počítači nebo jsou pro jejich přenos využity smart karty či USB kryptografické tokeny. V současnosti existují i verze doplněné o digitální podpis.140

Vztah k MitB útokům: V tomto případě není potřeba pozměňovat údaje jako u SSL certifikátů, nýbrž stačí postupovat stejně jako u překonání virtuální klávesnice či biometrie, tedy počkat až se uživatel přihlásí a jeho identita bude ověřena.

5.1.7. One-time-password (OTP) tokeny

Popis: Zkratka OTP ve volném překladu znamená jedno-časové-heslo. Toto jednou použitelné heslo bylo některými bankami přidáno k tradičnímu přihlašovacímu jménu a heslu pro jeho časovou exkluzivitu a již zažité postupy uživatelů při práci s hesly.141 Doba funkčnosti OTP se pohybuje okolo 30 vteřin od chvíle jeho obdržení. Takové heslo je možno získat na HW k tomu určený (existuje ale i SW řešení), který může být dále připojitelný k počítači. Skládá se většinou z LCD displeje, na kterém se získané heslo zobrazí, a jednoduchých tlačítek.

139 ABRAHAM, Ajith et al. Advances in Computing and Communications, Part IV: First International Conference, ACC 2011, Kochi, India, July 22-24, 2011. Proceedings, Part IV. Berlin: Springer, 2011. ISBN 978-364-2227-264. S. 99 140 ČELEDA, Stanislav. Certifikáty a certifikační autority. České Budějovice, 2011. str. 25[cit. 2015-03-16] Dostupné z: http://theses.cz/id/jx5u0r/diplomov_prce.pdf. Diplomová práce. Jihočeská univerzita v Českých Budějovicích. Vedoucí práce PhDr. Milan Novák Ph.D. 141 CHAKI, Nabendu, Dhinaharan NAGAMALAI a Natarajan MEGHANATHAN. Computer Networks & Communications (NetCom): Proceedings of the Fourth International Conference on Networks & Communications. New York: Springer New York, 2013. str. 410. ISBN 978-1-4614-6154-8. [cit. 2015-03-16] [53]

Podobně funguje i technologie EMV-CAP (Europay, MasterCard and Visa: Chip Authentication Program), kombinující HW zařízení s kreditní kartou pro vytvoření OTP.142 Pro posilnění bezpečnosti již v současnosti existují i verze OTP tokenů a technologie EMV- CAP s numerickou klávesnicí sloužící pro vytvoření digitálního podpisu. Po autentizaci je uživatel vyzván k zadání informací o transakci a poté je digitální podpis vypočítán na základě tokenu, v případě EMV-CAP s pomocí kreditní karty.

Vztah k MitB útokům: Prosté OTP tokeny a EMV-CAP pro útočníky hrozbu nepředstavují. Autentizační kód s platností 30 sekund jsou u trojského koně, pracujícím v reálném čase, schopni odchytnout případně si opět počkat na uživatelovo přihlášení. Modely vybavené s klávesnicí jsou však již schopny MitB útoky identifikovat, jelikož uživatel pomocí klávesnice odesílá informace o transakci, a pokud se data neshodují s těmi odeslanými z webu (jelikož informace neputují skrze webový prohlížeč, není je útočník schopen změnit), je bankovní server chybu schopen zachytit.143

5.1.8. Out-of-band autentizace a autorizace

Popis: Podobně jako OTP tokeny a EMV-CAP technologie s klávesnicí používaly jiný komunikační kanál, než jen webový prohlížeč, tak i out-of-band autentizace a autorizace probíhají na jiném komunikačním kanálu, např. na mobilním telefonu formou SMS zprávy nebo hovoru. Pomocí SMS zpráv či speciálně určených aplikací je možno uživatelům též posílat OTP hesla a stejně postupovat i při autorizaci transakce, tedy že uživatel sám kódem potvrdí, že daná částka má být odeslána na následující účet.144 Tuto službu nabízí např. firma TeleSign, kde probíhá komunikace mezi serverem banky a uživatelem přes SMS zprávy.145

142 ENTRUST. Defeating Man-in-the-Browser Malware: How to prevent the latest malware attacks against consumer and corporate banking. Entrust.com [online]. 2014 [cit. 2015-03-16]. Dostupné z: http://www.entrust.com/wp-content/uploads/2014/03/WP_Entrust-MITB_March2014.pdf 143 Tamtéž 144 ENTRUST. Defeating Man-in-the-Browser Malware: How to prevent the latest malware attacks against consumer and corporate banking. Entrust.com [online]. 2014 [cit. 2015-03-16]. Dostupné z: http://www.entrust.com/wp-content/uploads/2014/03/WP_Entrust-MITB_March2014.pdf 145 TELESIGN. TeleSign Verify 2-Way SMS: Confirm key transactions details via SMS. TeleSign [online]. [cit. 2015- 03-16]. Dostupné z: http://www.telesign.com/products/telesign-verify-2-way-sms#overview [54]

Vztah k MitB útokům: Autentizační SMS zprávy nejsou dostačující, jelikož pracují podobně jako OTP tokeny, jen v tomto případě dorazí na mobilní telefon. Mobilní telefony je navíc díky rozšířeným operačním softwarům a jejich přístupu k internetu snazší nakazit dalším malwarem, který se postará o přesměrování SMS zpráv k útočníkovi.146 Při autorizaci transakce má uživatel možnost vidět detaily o transakci, které nejsou kompromitované útočníkem, a je schopen útok podchytit.

Obrázek č.11: Příklad technického řešení EMV-CAP s klávesnicí147

5.2. Komunikační síť a její kontrola

Zvýšení bezpečnosti nemusí být zajištěno pouze autentizačními a autorizačními prvky, ale i jinými způsoby, které by mohly i MitB útokům předcházet, případně jejich práci v prohlížeči znemožnit. Prohlížeč představuje hlavní prostředek pro provádění MitB útoků, a tak je tedy pozornost věnována právě jeho zabezpečení, aby uživatelé mohli poklidně dále používat klasické webové prohlížeče. K jistým anomáliím zaviněným napadením dochází i během uživatelova chování, ze kterých mohou bezpečnostní vývojáři také vycházet a stavět na nich specifické softwary.

5.2.1. Technologie izolace webového prohlížeče

Popis: Technologie společnosti Spikes Security je navržena pro ochranu uživatelů nejen od MitB útoků, ale i dalšího malwaru cíleného na webový prohlížeč. Principem této patentované technologie je pomocí zařízení nesoucí název Air Gap zajistit izolovanost pro prohlížeč uživatele a navázání bezpečného spojení s vybraným serverem. Zařízení Air Gap se tedy chová podobně jako rezervní proxy server zpracovávající všechny požadavky uživatele. Systém bezpečné komunikace je pak složen z proprietárního webového prohlížeče, HW- izolovaného připojení, pokročilých bezpečnostních kontrol a dalších funkcí řízených

146 Více o podobném postupu v kapitole: MAN-IN-THE-MOBILE (MITMO) 147 Zdroj: DRIMER, Saar, Steven J. MURDOCH a Ross ANDERSON.. Chip Authentication Programme (CAP) vulnerabilities. UNIVERSITY OF CAMBRIDGE [online]. 2009 [cit. 2015-03-16]. Dostupné z: http://www.cl.cam.ac.uk/research/security/banking/emvcap/ [55]

z operačního systému SELinux. Proces komunikace pak probíhá zhruba takto: proprietární prohlížeč uživatele komunikuje pouze s Air Gap zařízením, které je nasazeno mimo bránu firewall a současně vytváří izolované virtuální prostředí pro každou relaci; navíc obsahuje prohlížeč spojující se s vybraným serverem. Šifrovanou obsahovou strukturu posílá poté zpět uživateli prostřednictvím proprietárních protokolů.148

Vztah k MitB útokům: Uživatel je pomocí této techniky chráněn v izolovaném prostředí prohlížeče a MitB útoky tak Air Gap zařízení nemohou překonat. V současnosti je Air Gap řešení nabízeno pro podniky a banky pro ochranu zaměstnanců a uživatelů. Masivnějšímu rozšíření mohou bránit náklady na samotná zařízení a provoz serverů. Technologie má však dle některých zpráv velkou budoucnost, jehož důkazem je získání 11 milionů dolarů od investorů do dalšího rozvoje.149

5.2.2. Real-time polymorfismus

Popis: Reverzní strategii na odhalení funkčnosti škodlivých souborů využívají antivirové společnosti běžně. Startupová společnost Shape Security se rozhodla použít na obranu proti malwaru svůj vlastní koncept. Malware již delší dobu používal polymorfní kód k zneviditelnění se v počítačích před antivirovými programy a byl neustále schopen přepisovat kód stránek. Produkt ShapeShifter poskytuje real-time polymorfismus, tedy dynamicky v reálném čase měnící se kód, který znepříjemní možné útoky spoléhající na statické prvky v prohlížeči. Dochází ke změně statického cíle na pohyblivý, neustále se přepisující, cíl.150

148 SPIKES SECURITY. How Cyber Criminals Are Targeting Financial Institutions – And How You Can Stop Them. Spikes Security [online]. [cit. 2015-03-19]. Dostupné z: https://r.spikes.com/0.05.28/downloads/Spikes- Security-Banking-solution-brief.pdf 149 BUSINESS WIRE. Spikes Security Raises $11M in Series A Funding. BusinessWire.com [online]. 2014 [cit. 2015-03-19]. Dostupné z: http://www.businesswire.com/news/home/20141022005293/en/Spikes-Security- Raises-11M-Series-Funding#.VQqP346G-uJ 150 LEYDEN, John. Ex-Google, Mozilla bods to outwit EVIL BOTS with 'polymorphic' defence. The Register [online]. 2014 [cit. 2015-03-19]. Dostupné z: http://www.theregister.co.uk/2014/01/21/shapeshifter/ [56]

Obrázek č. 12: Real-time polymorfismus - příklad přeměny kódu151

Vztah k MitB útokům: Produkt ShapeShifter je z důvodů vysokých nákladů na provoz zaměřen především na velké servery nejen v oblasti finančních služeb. Důvodem jsou výpočetně náročné operace, které musí být pečlivě testovány. Jedním z řešení může být nasazení této technologie jen na konkrétní stránky s přihlášením, jelikož četnost provozu a počet webových stránek jsou faktory při jeho implementaci. HTML vstřikování a odesílání získaných údajů z webových stránek tato technologie pracující v reálném čase znemožňuje.

5.2.3. Runtime Application Self-Protection - RASP

Popis: RASP umožňuje uživatelům ve formě webové aplikace sledovat vnitřní logiku, konfigurace a toky dat.

Vztah k MitB útokům: MitB trojské koně využívají skripty pro vstřikování HTML stránek a další operace. Technologie RASP by měla být schopna přerušit tyto, pro útočníky, důležité

151 Zdroj: LEVINE, Barry. Startup morphs website code against morphing malware, causing cries of anguish from attackers. VentureBeat [online]. 2014 [cit. 2015-03-19]. Dostupné z: http://venturebeat.com/2014/01/21/startup-morphs-website-code-against-morphing-malware-causing-cries- of-anguish-from-attackers/ [57]

skripty cílících na aplikační logiku. Nedá se však jednoznačně říci, že by RASP mohl ochránit uživatele od všech forem MitB útoků.152

5.2.4. Zabezpečená bankovní aplikace – REL-ID

Popis: S námětem technologie v podobě zabezpečené digitální bankovní aplikace přišla společnost Uniken. Při jejím návrhu se snažili výzkumníci vytvořit jednoduchou, flexibilní, bezpečnou a uživatelsky přívětivou platformu. Její práce je založená na vytvoření zabezpečené sítě REL-ID sloužící pro komunikaci mezi bankou a uživatelem, která je součástí vysoce škálovatelného aplikačního ekosystému. Zřejmé srovnání se nabízí se službami smartbankingu, poskytující své služby prostřednictvím aplikace, které zaznamenávají nižší počet rozšířených útoků oproti tradičnímu internetovému bankovnictví.153 Jejich vzhled a funkce jsou v mnoha ohledech podobné, nicméně vytvoření zabezpečené sítě vytváří hlavní rozdíl a zvyšuje úroveň zabezpečení.

Obrázek č. 13: Prostředí aplikace REL-ID154

152 Tamtéž 153 FUKA, Petr. Bezpečnost elektronického bankovnictví. Brno, 2013, [cit. 2015-04-04]. Masarykova univerzita, Ekonomicko-správní fakulta. Vedoucí práce Jiří Dvořák. S. 32. Dostupné z: https://is.muni.cz/auth/th/349285/esf_b/Bezpecnost_elektronickeho_bankovnictvi.pdf 154 Zdroj: http://www.uniken.com/wp-content/uploads/2014/06/advance_app_features.jpg [58]

Vztah k MitB útokům: Přesunem kontroly nad svým účtem a transakcemi do prostředí aplikace značně znemožňuje prohlížečově zaměřeným útokům provést jejich činnost. V aplikaci, která je dostupná jak pro počítače, tak i pro mobilní telefony, je uživatelům zobrazen přehled o posledních transakcích a současně v tomto prostředí dochází i k jejich autorizaci.155

5.2.5. Analýza chování

Popis: Následkem uživatelova chování, od přihlášení až po odhlášení, dojde k profilaci jeho osobního profilu. V případě anomálie či určitého výkyvu v tomto směru dojde k jeho upozornění na prováděnou transakci (např. přes mobilní telefon).156

Vztah k MitB útokům: Detekce anomálie může vzniknout např. na základě odeslání neobvykle vysoké částky do zahraničí. Upozornění vytvoří i neobvykle rychlý pohyb v prostředí účtu. Bylo i zjištěno, že normální lidský uživatel potvrdí transakci po 10 - 20 vteřinách věnovaných kontrole údajů. Naopak trojské koně provádí stejnou operaci během 1 - vteřiny.157 Analýzu chování lze brát jako detektor anomálií, který je schopen odhalit MitB útoky, ale v případě větší preciznosti by i tuto techniku dokázali útočníci obejít. Nutností pro její fungování jsou vysoce škálovatelné servery.

5.2.6. Profilování zařízení a sledování polohy IP adresy

Popis: Profilování zařízení slouží k fyzickému rozpoznání zařízení, které má z tohoto důvodu uživatel registrované. Identifikace probíhá na základě informací z prohlížeče pomocí

155 UNIKEN. REL-ID. Uniken.com [online]. [cit. 2015-03-20]. Dostupné z: http://www.uniken.com/rel-id-digital- banking-app-corporate/ 156 ENTRUST. Defeating Man-in-the-Browser Malware: How to prevent the latest malware attacks against consumer and corporate banking. Entrust [online]. 2014 [cit. 2015-03-21]. Dostupné z: http://www.entrust.com/wp-content/uploads/2014/03/WP_Entrust-MITB_March2014.pdf 157 LITAN, Avivah. Where Strong Authentication Fails and What You Can Do About It. GARTNER [online]. 2009 [cit. 2015-03-21]. Dostupné z: http://www.yourmoneyisnotsafeinthebank.org/Gartner_Avivah_Litan_Strong_Authentication.pdf [59]

JavaScriptu a HTTP hlavičky. Za podobným účelem je vytvořena i služba lokace IP adresy, v níž dochází k určení geografické polohy uživatele a srovnání s jeho předešlými výsledky.

Vztah k MitB útokům: Obě zmíněná bezpečnostní řešení jsou účinná pouze v případě, že jsou přihlašovací údaje ukradeny a použity z jiného místa, což se v případě MitB útoků neděje.158

5.2.7. Tvrzený prohlížeč na USB disku

Popis: Forma tvrzeného prohlížeče se spouští z externího zařízení (často je jím USB pro svoji kompaktnost), kde jsou přístupné pouze stránky cílové banky.

Vztah k MitB útokům: Infikovat prohlížeč uložený na USB disku je složitější, ale už se objevily případy jejich prolomení. USB disky jsou navíc v mnohých podnicích z bezpečnostních důvodů zakázány.159

5.2.8. Live CD/DVD operační systém a počítač určený pouze pro internetové bankovnictví

Popis: Řešení je založeno na Live CD/DVD, kde jsou operační systémy160 uloženy na médiích, ze kterých lze data pouze číst.161 To umožňuje bezpečné bootování a rebootování OS kdykoliv, když je potřeba. Mezi takovéto systémy patří např. Knoppix či Debian.162 Pro zvýšení bezpečnosti lze využívat i oddělený počítač určený pouze pro internetové bankovnictví.

Vztah k MitB útokům: Společnými parametry výše zmíněných řešení jsou značné požadavky na uživatele. Při použití odděleného počítače je dbáno na vysokou pracovní morálku, kdy by nemělo docházet k žádným jiným úkonům kromě provádění internetového

158 ENTRUST. Defeating Man-in-the-Browser Malware: How to prevent the latest malware attacks against consumer and corporate banking. Entrust [online]. 2014 [cit. 2015-03-21]. Dostupné z: http://www.entrust.com/wp-content/uploads/2014/03/WP_Entrust-MITB_March2014.pdf 159 Tamtéž 160 Dále jen OS. 161 Existují i verze Live USB. 162 GÜHRING, Philipp. Concepts against Man-in-the-Browser Attacks. [online]. 2006, [cit. 2015-03-21]. Dostupné z: http://www.cacert.at/svn/sourcerer/CAcert/SecureClient.pdf [60]

bankovnictví, navíc by k tomuto počítači nemuseli mít uživatelé vždy přístup, jelikož transakce mohou provádět i ze zahraničí. U Live CD/DVD OS musí být uživatel dostatečně technicky gramotný a být schopen pracovat s tímto systémem. Spuštění tohoto typu OS ale také zabírá určitý čas a nepracuje tak rychle jako běžně nainstalované OS. Právě časové hledisko tak může hrát značnou roli proti jeho masivnějšímu rozšíření, jelikož je v dnešní době dbáno především na rychlost a pohodlí uživatelů. I přes vysokou odolnost vůči vnějším útokům tak z výše zmíněných praktických důvodů zřejmě v blízké době nedojde k podstatnému rozšíření.

5.2.9. Integrovaný systém - Kobil

Popis: Společnost Kobil nabízí 14 bezpečnostních řešení pro banky v mnoha formách, kooperujících jako integrovaný systém.163 V nabídce jsou mobilní řešení s aplikacemi pro autentizaci uživatelů či následnou autorizaci prostřednictvím podepisování formulářů. Mezi hardwarovými prvky se nachází tvrzený prohlížeč na USB nebo Bluetooth tokeny. Všechny nabízené Kobil technologie jsou řízeny přes SSMS (Smart Security Management Server), který má na starosti komunikační prostředí.164

Vztah k MitB útokům: Většina z nabízených technologií předchází MitB útokům a věnuje jim dostatečnou pozornost. V popisech produktů lze tedy nalézt specifické typy malwarů, proti kterým jsou odolné. Komptabilitou založenou na spolupráci lze poté dosáhnout ještě vyšší úrovně zabezpečení uživatelů bank, které jsou schopné si na základě svých priorit vybrat ideální východisko. Je tedy současně možné si systém postupně rozšiřovat a reagovat na nejrůznější požadavky. V případě potíží je navíc celý systém pod dohledem jedné společnosti, která poskytuje podporu při problémech.

163 Mezi integrované systémy spadají technologická řešení schopné spolu komunikovat a vzájemně se doplňovat. 164 KOBIL. Smart Security Management Server (SSMS). Kobil.com [online]. [cit. 2015-04-19]. Dostupné z: http://www.kobil.com/solutions/security-server.html [61]

6. Analýza účinnosti bezpečnostních řešení

Široká rozmanitost bezpečnostních řešení v minulé kapitole předznamenala různé pohledy, jak se proti MitB útokům bránit, případně jak jím předcházet. V jednotlivých návrzích lze nalézt ale i podobné úmysly či společné nedostatky, způsobující jejich neúčinnost. Cílem této poslední kapitoly je provést srovnání, shrnout nedostačující a naopak vyzdvihnout ty efektní, včetně zamyšlením se nad jejich možnou implementací do sítě bankovnictví. Dle jejich účinnosti jsou rozděleny v následující tabulce.

Rozdělení bezpečnostních řešení, dle vztahu k MitB útokům

Účinné Účinné jen někdy Neúčinné

OTP zařízení s digitálním Runtime Application Self- Přihlašovací jméno + (silné) podpisem Protection) - RASP heslo EMV-CAP s digitálním Analýza chování Bioemtrie podpisem Out-of-band autorizace Tvrzený prohlížeč na USB CAPTCHA - autentizace disku Captcha- autorizace SSL certifikáty Technologie izolace Digitální certifikáty webového prohlížeče Real-time polymorfismus OTP Live CD/DVD operační EMV-CAP OTP systém Zabezpečená bankovní Out-of-band autentizace aplikace – REL-ID Počítač určený pouze pro Profilování zařízení internetové bankovnictví Integrovaný systém - Kobil Sledování polohy IP adresy

Tabulka č.2: Rozdělení bezpečnostních řešení, dle vztahu k MitB útokům

[62]

Je zjevné, že všechna zmíněná bezpečnostní opatření nejsou proti MitB útokům účinná, nicméně se nedá říci, že je jejich existence zbytečná. Důraz na autentizaci uživatelů je zapříčiněn rozšířením technik, jako je phishing nebo keyloggery, kde sehrává autentizace svou důležitou roli. Podobně je tomu i u SSL certifikátů, které jsou schopny zabránit MitM útoku.165 I přesto, že jsou MitM a MitB odlišné typy technik, v principu jim jde ale o to stejné, o ovládnutí komunikace. A jelikož se bankovní server s uživatelem dorozumívá prostřednictvím webového prohlížeče, je možné využít účinná řešení na obě techniky.

Při pohledu na tabulku lze zjistit, že většina zobrazených metod pro autentizaci uživatele se nachází v pravém sloupci, a jsou tedy proti MitB útokům neúčinné. Nedá se jednoduše říci, že jsou tyto metody z bezpečnostního hlediska nedostačující, ale jejich problémem je webový prohlížeč, kam jsou následně informace vloženy, a útočníci jsou tak schopni všechny tyto autentizační metody obejít. Nicméně u příkladu CAPTCHY je zajímavé, že její efektivnost souvisí s účelem použití, tedy u autentizace se její forma neosvědčí, a naopak pro autorizaci je již účinná. Skupinu v pravém sloupci dále doplňují techniky související s profilací vybraného zařízení. Schopnost odhalit napadení účtu se projeví pouze při pokusu přihlášení se z neobvyklého zařízení či území. Vysokou nepraktičnost navíc představuje pro hojně cestující uživatele.

Prostřední sloupec představuje první dvě techniky, RASP a analýzu chování, schopné odhalit útoky jen v určitých případech. Nejedná se tak o zaručené metody, které by nemohli útočnici obejít. Spolu s tvrzeným prohlížečem na USB ale reprezentují skupinu dosahující většího zabezpečení než techniky v pravém sloupci. Definování celého prostředního sloupce, není jednoduché, nýbrž hranice mezi úplnou účinností nebo neúčinností není nijak pevně ohraničena a za různých podmínek se může lišit.

Nakonec bezpečná účinná řešení dokazují nedostatečné kvality webových prohlížečů. Patrné jsou směry vydávající se k externím zařízením, především pro autorizaci a snaha o zvýšení bezpečnosti v prohlížeči. Z více důvodů se předposlední dvě řešení jeví nereálné. Vyhradit si počítač pouze na operace s internetovým bankovnictvím by si vyžadovalo uživatele s pevnými zásadami a etikou práce, které nejsou schopni dosáhnout mnohdy ani profesionálové, navíc by uživatel nemusel být vždy v blízkosti takovéhoto počítače. U řešení Live CD OS je naopak potřeba uživatele naučit pracovat s novým způsobem spouštění OS, jenž není v určitých směrech tak rychlý jako běžné OS a v jehož prostředí může docházet k

165 Viz. kapitola: 2.1. Předchůdce MitB: Man-in-the-Middle [63]

omezením. Poslední zmíněný integrovaný systém představuje pro banky možnost, jak si různé technologie vyzkoušet a pro jejich nasazení spolupracovat s uživateli, kteří by se mohli sami rozhodnout pro bezpečnostní rozšíření, které je současně funkční.

Postup výběru by měl být ovlivněn i vývojem v oblasti internetových hrozeb a technologiím proti nim. Při volbě již specifických metod lze pracovat i s metodou tzv. trojího omezení, tvořeného z bezpečnosti, nákladů a použitelnosti, kde každému pojmu přiřazujeme určitou prioritu (hodnotu), která je schopna ovlivnit ty zbylé. Avšak podstatné úsilí by nakonec mělo být vloženo i do šíření osvěty mezi uživateli, protože jejich vzdělání se může následně mnohonásobně vrátit. Kromě doporučení pro používání antivirových programů a jejich aktualizací, je práce se vzdělaným uživatelem snazší, dokáže lépe identifikovat možné hrozby a lépe tak různým podvodům i předcházet.

Konečné rozhodnutí je poté o hledání kompromisu mezi bankami a uživateli. Je tedy pouze na těchto dvou subjektech, čeho se budou ochotni vzdát či co podstoupit pro zajištění vyšší bezpečnosti a jakou prioritu jí určí.

[64]

Závěr

Službou internetového bankovnictví se hackerům otevřely nové možnosti, jak napadnout bankovní účty uživatelů a získat z nich i osobní údaje. Banky tak musí kromě rozšiřování svých služeb dbát i na jejich bezpečnost. A právě hrozba MitB útoků popsaná v této práci představuje velké riziko pro značnou část bank po celém světě.

Pochopení toho, jak útok probíhá a co mu předchází, je základním poznatkem, který může uživatele ochránit od možného napadení. Nicméně uživatelova iniciativa bude bezvýznamná, pokud banky svá zabezpečení nebudou mít na dostatečné úrovni. Schopnost reagovat na nové změny a mít přehled o novinkách v bezpečnostní oblasti se tak stává základem pro kvalitní a fungující systém. Znalost směru bezpečnostních rizik poté následně dovoluje reagovat jen ne na náhlé hrozby, ale dívat se dál a své plány provádět s dlouhodobým záměrem. Zvyšující se počet úspěšných útoků je poté důkazem, že banky nejsou zcela připravené na obranu a se zvyšujícím se zájmem o internetové bankovnictví, roste i počet potencionálních obětí.

MitB útoky jsou v současnosti oblastí, které není věnována taková pozornost, jakou by si možná zasloužila. Především v českém prostředí lze těžko nalézt práci zabývající se komplexním představením klíčových aspektů této problematiky. Obsah této práce může tedy posloužit pro porozumění základního konceptu této problematiky. V úvodu je vysvětlen postup vývoje bankovnictví, které vedlo až k zavedení svých služeb přes internet. Přes vysvětlení obecného principu napadení a jeho podobností s MitM útokem jsou dále představeny trojské koně a jejich charakteristické prvky. Mezi cíl práce spadá i shrnutí účinných a neúčinných bezpečnostních řešení z pohledu jejich účinnosti. Z celkového obsahu tak mohou těžit banky pro pochopení možných rizik a objevení slabých míst ve svých bezpečnostních systémech, ale i uživatelé internetového bankovnictví pro získání znalostí o jedné ze současných hrozeb, které mohou být vystaveni.

Domnívám se, že pozornost bank ve světě je vůči této hrozbě stále nízká i přesto, že škody jsou v řádech několika set milionů dolarů. V českém prostředí lze nízkou informovanost vysvětlit nízkým počtem útoků oproti jiným zemím, především ve Východní Evropě. Proti MitB útokům není ani jednoduchá obrana, což je dle mého názoru zapříčiněno opravdu velkým počtem druhů trojských koní, kteří se neustále aktualizují, kombinují a vyvíjejí. V tomto ohledu musím zmínit i zásadní moment v této oblasti, za který považuji únik

[65]

kódu původního Dia. Poté, co se dostal k velkému počtu hackerů, kteří tak byli schopni rozluštit, jak pracuje, nebyl již problém k němu přidávat další funkce a rozšiřovat ho dle svých úmyslů. To vede i bezpečnostní agentury k odhalování stále rozrůstající se sítě tohoto typu trojských koní. I přes tento fakt je ale možno najít účinná bezpečnostní opatření. Ze získaných dat jsem zjistil, že správná cesta nevede přes autentizaci uživatelů, na kterou je právě v současnosti kladen takový důraz. Pokud by se tedy banky měly někudy ubírat, volil bych autorizaci prostřednictvím jiných kanálů, než je webová stránka/prohlížeč. Při výběru je poté ale třeba hledět i na samotné uživatele, pro které by řešení nemělo být nepříjemné a při následném zavádění dbát i na formu odůvodnění a informování uživatelů, aby se banka nedostala do pozice, že ztrácí kontrolu nad bezpečností, což by mohlo vést k obecné ztrátě důvěry ke službě internetového bankovnictví.

Diplomová práce může dále sloužit jako základ pro hlubší analýzy zaměřené na dílčí části, zde uvedené. Pokračovat lze například ve směru analýzy českých bank z pohledu jejich zabezpečení a vztahu k této problematice.

[66]

Seznam použité literatury

1. ABRAHAM, Ajith et al. Advances in Computing and Communications, Part IV: First International Conference, ACC 2011, Kochi, Indie. 2011. Proceedings, Part IV. Berlin: Springer, 2011. ISBN 978-364-2227-264 2. ADHAM, Manal, Amir AZODI, Yvo DESMEDT a Ioannis KARAOLIS. How to Attack Two-Factor Authentication Internet Banking. [online]. s. 322 [cit. 2015-04-20]. ISBN: 9783642398834. Dostupné z: http://link.springer.com/10.1007/978-3-642- 39884-1_27 3. ALMEIDA, Mário, Emmanouil BUYUKSAHIN, Aras DIMOGERONTAKIS a TARHAN. Man-In-The-Browser attacks. In: Slideshare [online]. 2011 [cit. 2015-02- 08]. Dostupné z: http://www.slideshare.net/aknahs/meninthebrowser 4. AMINE, Abdelmalek, Otmane AIT MOHAMED a Boualem BENATALLAH. Network security technologies: design and applications. IGI Global, 2013, s. 156-157. ISBN 978-146-6647-916. 5. ANDERSON, Ross et al. Measuring the Cost of Cybercrime. [online]. 2012 [cit. 2015- 01-28]. Dostupné z: http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf 6. ANDERSON R., BÖEHME R., CLAYTON R., and MOORE T.. Security Economics and the Internal Market. Technical report, The European Network and Information Security Agency. [online]. 2008 [cit. 2015-02-27]. Dostupné z: https://www.enisa.europa.eu/publications/archive/economics-sec 7. ARCOT. Protecting Online Customers from Man-inthe-Browser and Man-in-the- Middle Attacks. CA Technologies [online]. 2010 [cit. 2015-04-07]. Dostupné z: http://www.ca.com/~/media/Files/whitepapers/protection-from-mitm-mitb-attacks- wp.pdf 8. ARDAGNA, Claudio Agostino a Jianying ZHOU. Information security theory and practice: security and privacy of mobile devices in wireless communication. 5th IFIP WG 11.2 international workshop, WISTP 2011, Heraklion, Crete, Greece, 2011. New York: Springer, 2011. ISBN 36-422-1039-2 9. BARROSO, David. ZeuS Mitmo: Man-in-the-mobile (I). S21sec [online]. 2010 [cit. 2015-02-27]. Dostupné z: http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in- mobile-i.html

[67]

10. BUCHTA, Martin. Fiktivní objednávka z obchody24.cz obsahuje škodlivý kód. ESET [online]. 2015 [cit. 2015-02-25]. Dostupné z: https://servis.eset.cz/index.php?/News/NewsItem/View/148#.VO3nVvmG-uI 11. CONROY, Julie. Citadel and Gozi and ZeuS, Oh My!. RSA [online]. 2012 [cit. 2015- 03-15]. Dostupné z: https://www.emc.com/collateral/white-papers/citadel-gozi-zeus- oh-my-wp.pdf 12. CONSTANTIN, Lucian. New online banking Trojan program combines Zeus and Carberp features. PCWorld [online]. 2014, 2014-05-26 [cit. 2015-02-19]. Dostupné z: http://www.pcworld.com/article/2159280/new-online-banking-trojan-program- combines-zeus-and-carberp-features.html 13. CRISTEA, Marius a Bogdan GROZA. A Survey on Security Solutions of Top e- Banking Providers from an Eastern European Market [online]. 2013 [cit. 2015-03- 08]. Dostupné z: http://www.aut.upt.ro/~bgroza/Papers/banks.pdf 14. ČERMÁK, Miroslav. Objevila se nová verze populárního bankovního trojana Tinba. CleverAndSmart [online]. 2015 [cit. 2015-02-25]. Dostupné z: http://www.cleverandsmart.cz/objevila-se-nova-verze-popularniho-bankovniho- trojana-tinba/ 15. ČERMÁK, Miroslav. Smartbanking. CleverAndSmart [online]. 2011 [cit. 2015-03- 23]. Dostupné z: http://www.cleverandsmart.cz/smartphone-banking/ 16. DE, Nilanjan. Counter-measures against Man-in-the-Browser attacks – Part 1 – Things to keep in mind while doing Online Banking. IViZ Security [online]. 2013 [cit. 2015- 03-12]. Dostupné z: http://www.ivizsecurity.com/blog/penetration-testing/counter- measures-against-man-in-the-browser-attacks-part-1-things-to-keep-in-mind-while- doing-online-banking/ 17. DE, Nilanjan. Man in the Browser on Online Transactions & Prevention Strategies. In: Slideshare [online]. 2013 [cit. 2015-02-06]. Dostupné z: http://www.slideshare.net/DaveEdwards12/ppt-man-in-the-browser 18. DELL. Top Banking Botnets of 2013. DELL Secure Works [online]. 2014 [cit. 2015- 03-24]. Dostupné z: http://www.secureworks.com/cyber-threat- intelligence/threats/top-banking-botnets-of-2013/ 19. DOSSOGNE, J´erˆome a Olivier MARKOWITCH. Online banking and man in the browser attacks, survey of the belgian situation [online]. Universit´e Libre de Bruxelles, 2010 [cit. 2015-03-08]. Dostupné z: http://www.ulb.ac.be/di/scsi/markowitch/publications/wic2010b.pdf

[68]

20. DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence. 2012, roč. 4, č. 1, s. 31. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi- global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 21. ETAHER, Najla a George R S WEIR. Understanding the Threat of Banking Malware. [online]. Department of Computer and Information Sciences University of Strathclyde. Glasgow, s. 8 [cit. 2015-04-20]. Dostupné z: https://pure.strath.ac.uk/portal/files/35636529/8_etaher_weir.pdf 22. EISEN, Ori. Catching the fraudulent Man-in-the-Middle and Man-in-the-Browser. Network Security [online]. 2010, roč. 2010, č. 4 [cit. 2015-04-01]. DOI: 10.1016/S1353-4858(10)70046-5. Dostupné z: http://linkinghub.elsevier.com/retrieve/pii/S1353485810700465 23. ENTRUST. Defeating Man-in-the-Browser Malware: How to prevent the latest malware attacks against consumer and corporate banking [online]. 2014 [cit. 2015- 03-16]. Dostupné z: http://www.entrust.com/wp- content/uploads/2014/03/WP_Entrust-MITB_March2014.pdf 24. ESPINER, Tom. Zeus attack nets £675,000 from UK bank customers. ZDNet [online]. 2010 [cit. 2015-02-13]. Dostupné z: http://www.zdnet.com/article/zeus-attack-nets- 675000-from-uk-bank-customers/ 25. EUROSTAT. Individuals using the internet for internet banking. Europa.eu [online]. 2014 [cit. 2015-01-27]. Dostupné z: http://ec.europa.eu/eurostat/tgm/table.do?tab=table&init=1&language=en&pcode=tin0 0099&plugin=1 26. GEORGE, Thomas. Bank Robbery 2.0: The Invisible Danger on your Computer. Check & Secure [online]. 2013 [cit. 2015-02-18]. Dostupné z: http://blog.check-and- secure.com/bank-robbery-2-0-invisible-danger-computer/ 27. GOYAL, Aakash. Man in the Browser Attack. CSI Communications [online]. 2014 [cit. 2015-02-19]. Dostupné z: http://www.csi- india.org/c/document_library/get_file?uuid=0eaac9df-9ef3-442f-bbdc- 60a4356f8d2d&groupId=10157 28. GREENBERG, Adam. Indictment charges 'Jabber Zeus Crew' with using malware to steal millions. SC Magazine [online]. 2014 [cit. 2015-02-14]. Dostupné z: http://www.scmagazine.com/indictment-charges-jabber-zeus-crew-with-using- malware-to-steal-millions/article/342375/

[69]

29. GREENBERG, Adam. New variant of Zeus banking trojan concealed in JPG images. SC Magazine [online]. 2014 [cit. 2015-02-15]. Dostupné z: http://www.scmagazine.com/new-variant-of-zeus-banking-trojan-concealed-in-jpg- images/article/334477 30. GREGG, Michael. Certified Ethical Hacker (CEH) cert guide. Indianapolis, Ind: Pearson, 2014. ISBN 07-897-5127-5 31. GÜHRING, Philipp. Concepts against Man-in-the-Browser Attacks. [online]. 2006, [cit. 2015-02-08]. Dostupné z: http://www.cacert.at/svn/sourcerer/CAcert/SecureClient.pdf 32. HAMID R. NEMATI, Hamid R.editor. Security and privacy assurance in advancing technologies new developments. 2012. vyd. Hershey, PA: Information Science Reference, 2011. ISBN 16-096-0202-1 33. HOŘEJŠÍ, Jaromír. Falešný exekuční příkaz ohrožuje uživatele českých bank. AVAST [online]. 2014 [cit. 2015-02-25]. Dostupné z: https://blog.avast.com/cs/2014/07/17/falesny-exekucni-prikaz-ohrozuje-uzivatele- ceskych-bank-2/#more-29945 34. CHAKI, Nabendu, Dhinaharan NAGAMALAI a Natarajan MEGHANATHAN. Computer Networks & Communications (NetCom): Proceedings of the Fourth International Conference on Networks & Communications. New York: Springer New York, 2013. ISBN 978-1-4614-6154-8. 35. CHENG, Jacqui. Researchers hijack botnet, score 56,000 passwords in an hour. Ars technica [online]. 2009, 2009-05-04 [cit. 2015-02-18]. Dostupné z: http://arstechnica.com/security/2009/05/researchers-hijack-botnet-score-56000- passwords-in-an-hour/ 36. IBRAHIM, Laheeb M. a THANOON. Detection of Zeus Botnet in Computers Networks and Internet: International Journal of Information Technology and Business Management JITBM [online]. roč. 2012, č. 6, str. 86 [cit. 2015-02-12]. ISSN 2304- 0777. Dostupné z: http://www.jitbm.com/6thVolumeJITBM/zeus%20jitbm.pdf 37. KALIGE, Eran a Darrell BURKEY. A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware. CheckPoint [online]. 2012 [cit. 2015-02-27]. Dostupné z: https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Pa per.pdf

[70]

38. KASPERSKYLAB. Kaspersky Security Bulletin 2014. Overall statistics for 2014. SECURELIST. [online]. 2014, [cit. 2015-02-03]. Dostupné z: http://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-security- bulletin-2014-overall-statistics-for-2014/ 39. KITTEN, Tracy. Citadel Trojan Tough for Banks to Beat. Bank Info Security [online]. 2012 [cit. 2015-02-19]. Dostupné z: http://www.bankinfosecurity.eu/citadel-trojan- tough-for-banks-to-beat-a-5282/op-1 40. KLEIN, Amit. First SpyEye Attack on Android Mobile Platform Now in the Wild. Security Intelligence [online]. 2011 [cit. 2015-02-27]. Dostupné z: http://securityintelligence.com/first-spyeye-attack-android-mobile-platform-now- wild/#.VPBo2vmG-uL 41. KLEIN, Amit. One Size Fits All – Universal Man in the Browser Attack Targets All Websites. Security Intelligence [online]. 2012 [cit. 2015-02-27]. Dostupné z: http://www.trusteer.com/nl/node/680#.VPCsKPmG-uI 42. KLEIN, Amit. Man-in-the-Browser: Citadel Trojan Targets Airport Employees With VPN Attack. Security Intelligence [online]. 2012 [cit. 2015-02-21]. Dostupné z: http://securityintelligence.com/man-browser-citadel-trojan-targets-airport-employees- vpn-attack/#.VOhH0PmG-uI 43. KLEIN, Amit. OddJob: New Financial Trojan Keeps Online Banking Sessions Open After Users Logout. Security Intelligence [online]. 2011 [cit. 2015-02-25]. Dostupné z: http://securityintelligence.com/oddjob-new-financial-trojan-keeps-online-banking- sessions-open-after-users-logout/#.VO2Qt_mG-uJ 44. KOVACS, Eduard. Citadel Trojan Targets Password Managers, Authentication Solutions. SecurityWeek [online]. 2014 [cit. 2015-02-28]. Dostupné z: http://www.securityweek.com/citadel-trojan-targets-password-managers- authentication-solutions 45. KOVACS, Eduard. Chthonic Trojan Targets Online Banking Systems in 15 Countries. SecurityWeek [online]. 2014, 2014-12-19 [cit. 2015-02-15]. Dostupné z: http://www.securityweek.com/chthonic-trojan-targets-online-banking-systems-15- countries 46. KOVACS, Eduard. New Variant of Carberp Trojan Discovered by Researchers. SecurityWeek [online]. 2015 [cit. 2015-02-19]. Dostupné z: http://www.securityweek.com/new-variant-carberp-trojan-discovered-researchers

[71]

47. KREBS, Brian. ‘Citadel’ Trojan Touts Trouble-Ticket Systém. Krebs on Security [online]. 2012 [cit. 2015-02-19]. Dostupné z: http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/#more- 13474 48. KRUSE, Peter. Complete ZeuS sourcecode has been leaked to the masses. CSIS [online]. [cit. 2015-02-28]. Dostupné z: https://www.csis.dk/en/csis/blog/3229/ 49. KRUSE, Peter. Say hello to Tinba: World’s smallest trojan-banker. CSIS [online]. 2012 [cit. 2015-02-25]. Dostupné z: https://www.csis.dk/en/csis/news/3566/ 50. KUMAR, Basant. Secure Web Financial Transaction Methods and Smart Authentication with a Focus on Mobile Devices. Computer Science and Engineering [online]. 2012-10-1, roč. 2, č. 6, s. 92-97 [cit. 2015-04-20]. ISSN: 2163-1492. Dostupné z: http://article.sapub.org/10.5923.j.computer.20120206.02.html 51. LEYDEN, John. Ex-Google, Mozilla bods to outwit EVIL BOTS with 'polymorphic' defence. The Register [online]. 2014 [cit. 2015-03-19]. Dostupné z: http://www.theregister.co.uk/2014/01/21/shapeshifter/ 52. LEYDEN, John. 'Gozi Trojan trio' blamed for multimillion-dollar bank raid spree. The Register [online]. 2013, 2013-01-24 [cit. 2015-02-23]. Dostupné z: http://www.theregister.co.uk/2013/01/24/gozi_trojan_indictment/ 53. LITAN, Avivah.. Where Strong Authentication Fails and What You Can Do About It. GARTNER [online]. 2009 [cit. 2015-03-21]. Dostupné z: http://www.yourmoneyisnotsafeinthebank.org/Gartner_Avivah_Litan_Strong_Authent ication.pdf 54. MASLENNIKOV, Denis. ZeuS-in-the-Mobile - Facts and Theories. Secure List [online]. 2011 [cit. 2015-02-27]. Dostupné z: http://securelist.com/analysis/36424/zeus-in-the-mobile-facts-and-theories/ 55. MOSCARITOLO, Angela. URLZone touted as most sophisticated banking trojan yet. SC Magazine [online]. 2009 [cit. 2015-02-25]. Dostupné z: http://www.scmagazine.com/urlzone-touted-as-most-sophisticated-banking-trojan- yet/article/151096/ 56. NEAGU, Aurelian. The Top 10 Most Dangerous Malware That Can Empty Your Bank Account. Heimdal Security [online]. 2014, 2015-08-01 [cit. 2015-02-15]. Dostupné z: https://heimdalsecurity.com/blog/top-financial-malware/

[72]

57. NIELSEN, Dave. Clampi Trojan Virus Attacks the World of Online Banking. Fight Identity Theft [online]. 2009 [cit. 2015-02-27]. Dostupné z: http://www.fightidentitytheft.com/blog/new-trojan-virus-attacks-world-online-banking 58. OUSE, Margaret. Man in the browser definition. TechTarget [online]. 2006 [cit. 2015- 02-06]. Dostupné z: http://searchsecurity.techtarget.com/definition/man-in-the- browser 59. PEOTTA, Laerte, Marcelo D. HOLTZ, Bernardo M. DAVID, Flavio G. DEUS a Rafael TIMOTEO DE SOUSA. A Formal Classification of Internet Banking Attacks and Vulnerabilities. International Journal of Computer Science and Information Technology [online]. 2011-02-28, roč. 2, č. 2 [cit. 2015-03-15]. DOI: 10.5121/ijcsit.2011.3113. Dostupné z: http://www.airccse.org/journal/jcsit/0211ijcsit13.pdf 60. POLESNÝ, David. Podvodné e-maily neutuchají a napáchaly první větší škodu. Živě.cz [online]. 2014 [cit. 2015-02-25]. Dostupné z: http://www.zive.cz/bleskovky/podvodne-e-maily-neutuchaji-a-napachaly-prvni-vetsi- skodu/sc-4-a-174441/default.aspx 61. PURBEY , Ravi Kumar. Network security man in the middle (MITM). In:Slideshare [online]. 2013 [cit. 2015-02-07]. Dostupné z: http://www.slideshare.net/ravikumarpurbey/network-security-man-in-the-middle- mitm-attacks?next_slideshow=1 62. RAFF, Aviv. The New Trend in "Malware Evolution". Seculert [online]. 2011, 2011- 01-17 [cit. 2015-02-19]. Dostupné z: http://www.seculert.com/blog/2011/01/new- trend-in-malware-evolution.html 63. RAGHAVAN, A.R. a Latha PARTHIBAN. The effect of cybercrime on a Bank's finances. [online]. International Journal of Current Research and Academic Review, 2014, roč. 2, č. 2, s. 6 [cit. 2015-01-28]. Dostupné z: http://www.ijcrar.com/vol-2- 2/A.R.%20Raghavan%20and%20Latha%20Parthiban.pdf 64. REL-ID. UNIKEN [online]. [cit. 2015-03-20]. Dostupné z: http://www.uniken.com/rel-id-digital-banking-app-corporate/ 65. ROONEY, Ben. 'Zeus Trojan' zaps $3 million from bank accounts. CNN [online]. 2010, 2010-09-30 [cit. 2015-02-13]. Dostupné z: http://money.cnn.com/2010/09/30/technology/cyber_crime_charges/

[73]

66. SELVAN, Sabari. Banks are not interested to fix Man-in-the-Browser (MitB) security flaw. E Hacking News [online]. 2012 [cit. 2015-03-08]. Dostupné z: http://www.ehackingnews.com/2012/02/banks-are-not-interested-to-fix-man-in.html 67. SHANKARAPANI, Madhu. Anatomy of Banking Trojans -- Zeus Crimeware (how Similar are its Variants). Proceedings of the International Conference on Information Warfare [online]. 2011, s. 252-259 [cit. 2015-04-15]. ISSN 1535-0096. Dostupné z: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.301.2845&rep=rep1&type= pdf#page=262 68. SHERSTOBITOFF, Ryan. Inside the World of the Citadel Trojan. McAFee Labs [online]. 2013 [cit. 2015-02-19]. Dostupné z: http://www.mcafee.com/us/resources/white-papers/wp-citadel-trojan.pdf 69. SOOD, Aditya a Richard ENBODY. The Art of Cyber Bank Robbery: Stealing Your Money Through Insidious Attacks. MICHIGAN STATE UNIVERSITY. Crosstalk [online]. 2013 [cit. 2015-04-20]. Dostupné z: http://static1.1.sqspcdn.com/static/f/702523/23488863/1378930887780/201309- Sood.pdf?token=w%2BdEh%2Frak%2BlkuEIhoT8DThDpH30%3D 70. SOOD, Aditya a Richard ENBODY. Targeted Cyber Attacks Multi-staged Attacks Driven by Exploits and Malware. Syngress Media Inc, 2014, 158 s. ISBN 978-012- 8006-047. 71. SPIKES SECURITY. How Cyber Criminals Are Targeting Financial Institutions – And How You Can Stop Them. SPIKES SECURITY [online]. [cit. 2015-03-19]. Dostupné z: https://r.spikes.com/0.05.28/downloads/Spikes-Security-Banking- solution-brief.pdf 72. SULE, Dauda.. Man in the Browser—A Threat to Online Banking. ISACA JOURNAL [online]. 2013, roč. 2013, č. 4 [cit. 2015-02-09]. Dostupné z: http://www.isaca.org/Journal/Past-Issues/2013/Volume-4/Documents/13v4-Man-in- the-Browser.pdf 73. SULLIVAN, Dan. The Shortcut Guide to Extended Validation SSL Certificates. Realtimepublishers.com, 2007. ISBN 1-931491-76-3 74. SYMANTEC SECURITY. All That Glitters Is No Longer Gold - Shylock Trojan Gang Hit by Takedown Symantec Corporation [online]. 2014. [cit. 2015-02-15]. Dostupné z: http://www.symantec.com/connect/blogs/all-glitters-no-longer-gold- shylock-trojan-gang-hit-takedown

[74]

75. TAMIR, Dana. Massively Distributed Citadel Malware Targets Middle Eastern Petrochemical Organizations IBM [online]. 2014, 2014-09-14 [cit. 2015-02-21]. Dostupné z: http://securityintelligence.com/massively-distributed-citadel-malware- targets-middle-eastern-petrochemical-organizations/#.VOg7q_mG-uL 76. TeleSign Verify 2-Way SMS: Confirm key transactions details via SMS. TELESIGN [online]. [cit. 2015-03-16]. Dostupné z: http://www.telesign.com/products/telesign- verify-2-way-sms#overview 77. TOMEI, Lawrence A. Encyclopedia Of Information Technology. Indie: Atlantic Publishers & Dist, 2007. s. 527. ISBN 81-269-0752-5. 78. VILEN, Shaman. Evolution of Banking Malwares, Part 1 INFOSEC INSTITUTE [online]. 2014, 2015-12-24 [cit. 2015-02-14]. Dostupné z: http://resources.infosecinstitute.com/evolution-banking-malwares-part-1/ 79. WEIGOLD, Thomas a Alain HILTGEN. Secure Confirmation of Sensitive Transaction Data in Modern Internet Banking Services. WorldCIS 2011 Conference [online]. 2011 [cit. 2015-03-09]. Dostupné z: http://www.zurich.ibm.com/pdf/csc/WorldCIS-draft.pdf 80. WOODS, Laura. How Online Banking Evolved Into a Mainstream Financial Tool: The History of Online Banking. GOBankingRates [online]. 2014 [cit. 2015-01-27]. Dostupné z: http://www.gobankingrates.com/banking/history-online-banking/ 81. WYKE, James. What is Zeus? SOPHOS [online]. 2011 [cit. 2015-02-12]. Dostupné z: http://www.sophos.com/medialibrary/PDFs/technical%20papers/Sophos%20what%20 is%20zeus%20tp.pdf

[75]

Seznam použitých zkratek, tabulek a obrázků

Seznam zkratek

 API – Application Programming Interface  ARP – Address Resolution Protocol  ATS – automatizovaná transakční služba  BHO – Browser Helper Object  C&C server – Command-and-Control server  CD/DVD – Compact Disc/Digital Versatile Disc  CRM – Customer Relationship Management  CSS – Cascading Style Sheets  ČSOB – Československá obchodní banka  DLL – Dynamic-Link Library  DNS – Domain Name System  DoS/DDoS – Denial of Service /Distributed Denial of Service  EC3 – European Cybercrime Center  EMV-CAP – Europay, MasterCard and Visa: Chip Authentication Program  ENISA – European Network and Information Security Agency  EV-SSL – Extended Validation SSL  FBI – Federal Bureau of Investigation  FTP – File Transfer Protocol  HTML – HyperText Markup Language  http – Hypertext Transfer Protocol  IE – Internet Exploer  IMEI – nternational Mobile Station Equipment Identity  ISO/OSI – referenční model  IT – Information Technologies  JPG – formát souboru  LAN – Local Area Network  LCD – Liquid Crystal Display  MitB – Man-in-the-Browser  MitM – Man-in-the-Middle  MitMo – Man-in-the-Mobile  mTAN – mobile Transaction Authentication Number  NASA – National Aeronautics and Space Administration  OS – Opearion Software  OTP – One-Time Password  PDF – Portable Document Format  PHP – skriptovací programovací jazyk  PIN – Personal Identification Number  POP – Post Office Protocol  RASP – Runtime Application Self-Protection  RC4 – Rivest Cipher 4  SMS – Short Message Service  SSL – Secure Sockets Layer  SSMS – Smart Security Management Server  TCP/IP – sada protokolů pro komunikaci v počítačové síti

[76]

 uMitB – universal-Man-in-the-Browser  URL – Uniform Resource Locator  USB –Universal Seriál Bus  US-CERT – United States Computer Emergency Readiness Team  VPN – Virtual Private Network  XSS – Cross-site Scripting

Seznam tabulek

Tabulka č. 1: Příklad průběhu MitB útoku ……………………………………………..…...…… str. 26

Tabulka č. 2: Rozdělení bezpečnostních řešení, dle vztahu k MitB útokům …………………..… str. 62

Seznam obrázků

Obrázek č. 1: Odhad globálních prodejů v oblasti komunikačních zařízení do roku 2017 v milionech kusů …………………………………………………………………………...... str. 16

Obrázek č. 2: Druhy útoků na peníze internetových uživatelů v roce 2014………………………………….……………………………………………...……………..str. 17

Obrázek č. 3: Počet počítačů napadených finančním malwarem v rozmezí období: listopad 2013-říjen 2014…………………………………………………………………………….………………….str. 18

Obrázek č. 4: Ilustrace komunikace během MitM útoku ……………………………….…………str. 21

Obrázek č. 5: Rozdíl před zásahem a po zásahu útočníka na stránku s přihlašovacími údaji ……………………………………………………………………………………….…….………str. 25

Obrázek č. 6: ZeuS a jeho vývoj v čase ………………………………………………..………….str. 32

Obrázek č. 7: Citadel- prostředí panelu botnetu ……………………………………………..……str. 38

Obrázek č. 8: Email šířený v České republice, který v příloze obsahoval trojského koně ...…….. str. 41

Obrázek č. 9: Zeus a SpyEye – vývoj v mobilním prostředí ………………………………..….…str. 44

Obrázek č. 10: CAPTCHA- použití pro potvrzení transakce, návrh od firmy Arcot ………….….str. 52

Obrázek č. 11: Příklad technického řešení EMV-CAP s klávesnicí …………………………..…..str. 55

Obrázek č. 12: Real-time polymorfismus- příklad přeměny kódu ……………………….……….str. 57

Obrázek č. 13: Prostředí aplikace REL-ID …………………………………………..……………str. 58

[77]

FILOZOFICKÁ FAKULTA, MASARYKOVA UNIVERZITA, BRNO

Kabinet informačních studií a knihovnictví Akademický rok: 2014/2015

PROJEKT BAKALÁŘSKÉ DIPLOMOVÉ PRÁCE

Jméno a příjmením Lukáš Zduba UČO 402758 Imatrikulační ročník 2012 E-mail [email protected]

Název tématu:

Man-in-the-browser útoky na internetové bankovnictví a bezpečnostní řešení

Rozpracovat osnovu (jako přílohu) 1. Popis problému, který bude v práci řešen 2. Rešerše zpracovaných diplomových prací v rámci celé MU včetně anotací 3. Cíl diplomové práce 4. Metody zpracování diplomové práce 5. Základní odborná literatura s ohledem na současný stav řešené problematiky Vedoucí diplomové práce (včetně titulu):

PhDr. Pavla Kovářová

Pracoviště a pozice vedoucí/vedoucího diplomové práce:

Kabinet informačních studií a knihovnictví - Ústav české literatury a knihovnictví - Filozofická fakulta

Vyjádření vedoucí/vedoucího práce:

Souhlasím s vedením diplomové práce.

Podpis: Datum:

Vyjádření vedoucího KISK UČL FF MU PhDr. Petra Škyříka, Ph.D.: Souhlasím/Nesouhlasím

Podpis: Datum:

Podpis diplomanta:

Podpis: Datum: [78]

Popis problému

Útoky typu man-in-the-browser jsou formou internetové hrozby, využívající trojské koně k infikování prohlížeče. Pomocí napadaného prohlížeče jsou hackeři schopni modifikovat v reálném čase transakce prováděné v prostředí internetového bankovnictví.166 Man-in- the-browser (dále jen MITB) útoky jsou zaměřené především na banky a uživatele internetového bankovnictví, kteří se stávají nejlukrativnějším cílem, na základě rozšířenosti této služby a přímého přístupu k finančním transakcím. Forma internetového bankovnictví se za posledních pár let stala nedílnou součástí nabídky bank a počet uživatelů, využívajících tento způsob, již překročil např. v USA polovinu z celkových klientů167, viz graf níže. Problematika tak pokrývá značnou část obyvatelstva nejen v Severní Americe, ale i ve zbytku vyspělých zemí.

Obrázek 1: Růst počtu uživatelů internetového a mobilního bankovnictví v USA Zdroj: FOX, Susannah. PEW RESEACH. 51% of U.S. Adults Bank Online. 2013. [cit. 2014- 11-14]. Dostupné z: http://www.pewinternet.org/2013/08/07/51-of-u-s-adults-bank-online/

Samotné útoky hackerů, které jsou prováděny za pomocí webových prohlížečů uživatelů bank, jsou o to nebezpečnější v tom smyslu, že neexistuje software, který by dokázal

166 DOUGAN, Timothy a Kevin CURRAN. Man in the Browser Attacks. International Journal of Ambient Computing and Intelligence [online]. 2012, vol. 4, issue 1, s. 29-39 [cit. 2014-11-14]. DOI: 10.4018/jaci.2012010103. Dostupné z: http://services.igi- global.com/resolvedoi/resolve.aspx?doi=10.4018/jaci.2012010103 167 FOX, Susannah. 51% of U.S. Adults Bank Online. [online]. 2013 [cit. 2014-11-14]. Dostupné z:http://www.pewinternet.org/2013/08/07/51-of-u-s-adults-bank-online/ [79]

jednoduše odvrátit všechny formy útoků. Právě počet variací a modifikací malwarů, v podobě trojských koní, které MITB využívají, komplikuje práci bankám, jejichž pověst je v ohrožení a současně musí svým klientům dokazovat bezpečnost, která hraje v tomto sektoru primární roli. Oběťmi jsou tak především uživatelé bank, jejichž finance, včetně osobních údajů, jsou v ohrožení.

Rešerše zpracovaných diplomových prací

Problematika MITB útoků je téma, které v rámci diplomových prací nebylo žádným způsobem zpracováno a tak podobné práce se ho dotýkají pouze částečně. Nejbližší práce pochází z Filozofické fakulty, přesněji pak Kabinetu knihovnictví a informačních studiií, kde jsou popsány různé druhy útoků na internetové bankovnictví, mezi nimiž nechybí ani „Útok ze středu“ (v originále Man-in-the- middle), který je klasickému MITB nejblíže. Oblast MITB je parciálně zmíněna i v diplomových pracích pocházejících z Ekonomicko-správní fakulty, kde jsou popisovány bezpečností hlediska internetového bankovnictví, jejichž koncentrace však směřuje ve většině případu k autentizaci uživatelů nebo na Fakultě informatiky.

 Bibliografický záznam: RŮŽIČKOVÁ, Anna. Zneužívání internetového bankovnictví: mediální analýza. Brno, 2013. 69 s., 15 s. příloh. Diplomová práce. Masarykova univerzita, Filozofická fakulta, Kabinet informačních studií a knihovnictví. Vedoucí práce PhDr. Pavla Kovářová.

Práce je rozdělena na dvě části, přičemž první je zaměřena na teoretickou problematiku kyberkriminality v prostředí internetového bankovnictví a druhá pak volně navazuje v analytickém smyšlení na medializaci zpráv dané problematiky. Autorka práce popisuje i různé útoky na internetové bankovnictví, které budou v práci taky krátce představeny. Útoky MITB však bohužel nezmiňuje, i přesto, že již v té době představovaly výraznou hrozbu.

 Bibliografický záznam: VESELÝ, Jakub. IPv6 a bezpečnost [online]. 2014 [cit. 2014-11-26]. Diplomová práce. Masarykova univerzita, Fakulta informatiky. Vedoucí práce Eva Hladká.

[80]

Autorova práce je věnována oblasti bezpečnosti IPv6, tedy internetového protokolu, který postupně nastupuje na místo nedostatečné IPv4. V první části se věnuje bezpečnostním mechanismům IPv6 a porovnání bezpečnosti s rozšířenou IPv4. V části zabývající se útoky je blíže představen MITM útok a jeho proces v prostředí IPv6. Součástí práce bylo i testování útoků v operačních systémech. V porovnání s mou prací je tato zaměřená pouze na samotný proces útoku.

 Bibliografický záznam: MÁŠA, Radek. Bezpečné prostředí internetového bankovnictví [online]. 2014. Diplomová práce. Masarykova univerzita, Ekonomicko-správní fakulta. Vedoucí práce Jiří Dvořák.

Zaměření této práce je vymezeno na prostředí internetového bankovnictví, jež obsahuje i jeho systémovou analýzu a návrh modelu pro řešení slabých míst v této oblasti. Začátek práce je mířen k oblasti zabezpečení, kde je kladen především důraz na technologii elektronického popisu. Jednotlivá rizika internetového bankovnictví, jsou představena spíše informativně a rozhodně nejdou do nějaké hloubky. Směr autora je v této práci odlišný v oblasti autentizace a autorizace, které budou v této práci pouze představeny jako nedílná součást internetového bankovnictví.

 Bibliografický záznam: KUCKIR, Alexandr. Detekce útoků na VoIP s pomocí NetFlow dat [online]. 2012 [cit. 2014-11-26]. Diplomová práce. Masarykova univerzita, Fakulta informatiky. Vedoucí práce Pavel Minařík.

Autor se ve své práci věnuje detekci útoků v oblasti VoIP, tedy místu, kde může docházet i k MITM útoků, které jsou v mnohém podobné s MITB útoky. V kapitole bezpečnostní hrozby, tak popisuje čtyři typy útoků založených na tomto principu, kdy se útočník dostává mezi komunikaci a je schopný manipulovat s daty, které jsou distribuovány pomocí počítačové sítě.

 Bibliografický záznam: KISLER, Lukáš. Smartbanking a jeho bezpečnost. Brno, 2014. 58s. Bakalářská práce. Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví. Vedoucí práce PhDr. Pavla Kovářová

V této práci je popisováno autorem prostředí smartbankingu, které je orientováno čistě na mobilní technologie, respektive mobilní telefony. Nicméně práce má relativně podobné

[81]

téma a především pak strukturu, která se drží konceptu podobně jako práce o MITB útocích. V jednom ze svých případů útoků na smartbanking zmiňuje i MITM (man-in- middle) útoky, který je úzce spojený s MITB a informuje i o přenesení těchto typů napadení účtů na mobilní telefony (viz další modifikace v podobě Man-in-the phone).

Cíl diplomové práce

Cílem práce je analyzovat bezpečnostní technologie (metody), které jsou schopny bránit uživatele bank proti MITB útokům a shrnout i ty, které jsou již ze strany hackerů prolomeny a v této oblasti jsou tak nedostatečné. Součástí naplnění práce je i komplexní představení klíčových aspektů v oblasti bezpečnosti MITB útoků v jedné celistvé formě. Struktura práce tak bude obsahovat oblasti teoretického vymezení pojmu, jako je jeho definice, cílová kategorie obětí nebo popsání procesu útoku. U procesu budou představeny i běžné kroky, které útočník používá, s ohledem na daný typ útoku, respektive na druh trojského koně. Typy útoků a jejich následky tak budou reflektovat míru rizika nejen v oblasti internetového bankovnictví. Po teoretickém úvodu bude následovat popsání vybraných typů trojských koní, na které pak naváže oblast bezpečnosti, jež představuje klíčovou roli v této práci.

Metody zpracování diplomové práce

Práce se bude po metodologické stránce prolínat třemi rovinami.

 První je část teoretická, vycházející z prostudované literatury, jež se bude stahovat na teoretické představení a vymezení dané problematiky. Svým obsahem bude vycházet především z odborných článků, které se danému tématu věnují. Na základě studií věnovaným MITB útokům, bude vytvořen i obecný koncept procesu napadení.

 V oblasti příkladů trojských koní a s nimi spojenými reálnými situacemi, budu pracovat jako s ukázkovými případy, které mají za cíl představit co nejrůznorodější spektrum forem útoků. Jednotlivé typy trojských koní budou navíc doplněné o informace ze

[82]

skutečných případů, které budou reflektovat jejich riziko a způsobené škody uživatelům a bankám.

 V případě bezpečnostních řešení je zvolena, jako metodologický přístup, komparační analýza. Na základě dostupných technologií (metod postupu) je cílem vybrat ty technologie, které jsou proti MITB útokům odolné a současně nefungují na stejném principu. Dojde tak ke srovnání v jednotlivých charakteristických bodech, z čehož vyjde přehledová tabulka, která přehledně popíše rozdílnost technik. Podobný analytický přístup se uplatní i pro představení těch opatření, která jsou nedostatečná a ze stran hackerů již překonána.

Základní odborná literatura

 GÜHRING, Phillip. Concepts against Man-in-the-Browser Attacks. [online]. 2006, s. 15 [cit. 2014-11-14]. Dostupné z:http://www.cacert.at/svn/sourcerer/CAcert/SecureClient.pdf

Tato práce je v oblasti MITB útoků stěžejní, právě Phillip Gühring stál u zrodu tohoto pojmu a jedná se o první celistvou práci, která daný problém popisuje. Obsahem je nejen popsání útoků a jejich postupu, ale především se věnuje konceptům, které jsou schopny uživatele bank ochránit, ale nebojí se i poukázat na jejich možné nedostatky.

 QUSA, Hani a Shadi ABUDALFA. Secure Collaborative Processing Architecture for MITB Attack Detection. International Journal of Network Security [online]. 2013-09-30, vol. 5, issue 5, s. 83-93 [cit. 2014-11-14]. DOI: 10.5121/ijnsa.2013.5507. Dostupné z: http://www.airccse.org/journal/nsa/5513nsa07.pdf Technicky zaměřená studie na semantic room (SR), která je vyvinuta v rámci projektu EU a jejím cílem je spolupráce dat od finančních institucí k odhlaení MITB útoků. Tyto data by tak mohla znamenat důležitý krok k ochraně uživatelů bank a jejich osobních údajů. Současně se tak snaží i o ochranu kritických míst v infrastruktuře prohlížečů.

 BAR-YOSEF, Noa. The Evolution of Proxy Trojans. SecurityWeek: Internet and enterprise security news, insights and analysis [online]. 2010 [cit. 2014-11-14]. Dostupné z: http://www.securityweek.com/evolution-proxy-trojans

Článek na portálu SecurityWeek představuje velmi přehledný a věcný vývoj proxy trojanů, tedy těch trojských koní, které maskují ostatní jako infikované počítače. Je tak možno zjistit,

[83]

které typy malwarů byly využívány pro počátečním rozšíření, jelikož je článek z konce roku 2010 neobsahuje bohužel i další vývoj, který se během dalších udál.

 KELLY, Spencer. Hackers outwit online banking identity security systems. [online]. 2012 [cit. 2014-11-15]. Dostupné z: http://www.bbc.com/news/technology-16812064

Server BBC news patří svým rozsahem čtenářů mezi ty největší v Evropě a tak je dopad na čtenáře opravdu velký. Článek tak představuje obecné představení této internetové hrozby široké veřejnosti ve srozumitelném jazyce. Běžní uživatelé bank se tak mohli dozvědět, na co si dát případně pozor a jaké bezpečnostní prvky jsou již překonány.

 MUSHTAQ, Atif. MITB (Man in the Browser) Protection Layers. [online]. 2010 [cit. 2014-11-15]. Dostupné z: http://www.fireeye.com/blog/technical/malware- research/2010/02/mitb_protection_layers.html

Předmětem tohoto příspěvku je představení dvou techniky na posílení ochrany proti MITB útokům. Přesněji se jedná o témata: sekundární komunikační zařízení a náhodná klávesnice (random keybord). Popsán je nejen princip, na kterém jednotlivé techniky stojí, ale je i kriticky věnován prostor pro nedostatky a problémy při zavedením do běžného procesu internetovéhobankovnictví.

 WILLIAMSON, Wade. Stopping the Man in the Browser. [online]. 2014 [cit. 2014-11-15]. Dostupné z:http://www.securityweek.com/stopping-man-browser

Autor článku se věnuje problematice malwarů již delší dobu a sleduje nové trendy, které souvisí s bezpečností a bojem proti MITB útokům. Jedná se o článek, který již navazuje na předtím zmíněné technologie a tentokráte představuje např. aplikaci sebe-ochrany nebo analýzu chování, která je s obranou velmi často skloňována.

 DELL SECUREWORKS COUNTER THREAT UNIT(TM) THREAT INTELLIGENCE. Top Banking Botnets of 2013. [online]. 2014 [cit. 2014-11-15]. Dostupné z: http://www.secureworks.com/cyber-threat-intelligence/threats/top-banking-botnets-of- 2013/

Přehledová zpráva za uplynulý rok 2013 nabízí statistický pohled na trojské koně, které napadají finanční instituce a dokazuje tak na číslech jejich pokračující nárůst. Přehledně je i graficky znázorněno rozložení jednotlivých trojských koní, včetně těch států, kde nejsou [84]

čísla zanedbatelná. Zbytek zprávy se pak detailně zaobírá trojskými koňmi, kteří tvořili podstatnou část v oblasti bankovních malwarů.

 SHAKEEL, Irfan. Man in the Browser Attack vs. Two Factor Authentication. INFOSEC Institute [online]. 2012 [cit. 2014-11-15]. Dostupné z: http://resources.infosecinstitute.com/two-factor-authentication/

Článek se zaobírá tématem dvou fázové autentizace, která je pro mnohé banky standarde, které v úvodu představuje. Následuje popis procesu napadení MITB útokem, ze kterého pak vychází právě souvislost s dvou fázovou autentizací. Cílem článku je pak objasnit co představuje v současnosti funkční ochranu a také fakt, že největší roli zde hraje stále sám uživatel, který může být pro sebe velkým nebezpečím a neinformovanost o současném stavu, tento fakt je potvrzuje.

 CRISTEA, Marius a Bogdan GROZA. A Survey on Security Solutions of Top e-Banking Providers from an Eastern European Market. [online]. 2013, s. 13 [cit. 2014-11-15]. Dostupné z: http://www.aut.upt.ro/~bgroza/Papers/banks.pdf

Přehledová zpráva zaměřená na situaci bezpečnostních řešení z Rumunska analyzuje stav tamních bankovních institucí, které jsou četně zastoupeny společnostmi jak z východní, tak i západní Evropy. Popis bezpečnostních technik je představen od těch jednodušších k těm složitějším. Upozornění je kladeno na hrozbu MITB útoků, které jsou schopny prolomit většinu uplatněných bezpečnostních prvků. V příloze je pak přiložena studie zaměřená na informovanost ohledně hrozeb uživatelů bank.

 INVENDI, Celestine, Dr. Security Solution For Man-in-the-Browser Attacks. Wireless Sensor Networks Magazine [online]. 2013 [cit. 2014-11-15]. Dostupné z: http://www.wsnmagazine.com/security-solution-for-man-in-the-browser-attacks/

Tématem článku je představení bezpečnostního řešení od firmy Cronto, která úzce spolupracuje s velkou německou bankou. Srozumitelně objasňuje svůj princip a uvádí i další sektory, kde by mohla být tato technika uplatněna.

[85]