Your Biggest Security Risk Isn’t Malware — It's What You Already Trust
Stačí jeden příkaz v terminálu a vaše solární elektrárna patří Rusům. Proč je slepá důvěra v open-source hazard se životem?
Většina lidí si myslí, že hacker je týpek v kapuci, co se uprostřed noci snaží hrubou silou prolomit heslo k vašemu adminu. Realita je mnohem nudnější a o to děsivější. Hacker dneška je spíš trpělivý zahradník. Zasadí semínko do půdy, kterou všichni považujeme za úrodnou a bezpečnou, a pak prostě čeká, až si ho sami zalijete.
Tím semínkem je kód, kterému věříte. Tou půdou jsou repozitáře jako PyPI. A tím zalitím je váš nevinný příkaz `pip install`.
Nedávno objevený malware ZiChatBot ukázal, jak snadné je proklouznout pod radarem i té nejstřeženější infrastruktury. Nejde o žádný sofistikovaný virus, který by obcházel firewally. On je totiž nepotřebuje. On ty firewally pozdraví, ukáže jim falešnou propustku a nechá se pozvat dál přímo hlavním vchodem.
Trojský kůň v balíčku od Pythonu
Představte si vývojáře v české energetické firmě. Má za úkol napsat skript, který bude monitorovat výkon fotovoltaických polí nebo řídit toky v distribuční síti. Chybí mu jedna funkce pro zpracování JSONu nebo komunikaci s API. Co udělá? Otevře terminál a stáhne si knihovnu z PyPI (Python Package Index).
V tu chvíli je konec.
Útočníci tam totiž nahráli balíčky, které se jmenují skoro stejně jako ty populární. Říká se tomu typosquatting. Stačí jeden překlep nebo nepozornost a místo užitečného nástroje máte v systému ZiChatBot. Tenhle konkrétní prevít je zajímavý tím, jak komunikuje se svými pány. Nepoužívá podezřelé servery v Rusku nebo Severní Koreji. Používá Zulip API.
Zulip je legitimní platforma pro týmovou komunikaci, něco jako Slack nebo Teams. Pro bezpečnostní software vypadá komunikace se Zulipem naprosto normálně. Vždyť ho firma možná sama používá pro interní chat! ZiChatBot si přes tohle "důvěryhodné" potrubí posílá instrukce, krade přihlašovací údaje a mapuje síť. A vy o tom nevíte, protože váš firewall si myslí, že si kolegové z IT zrovna posílají gify s kočičkami.
Energetika jako ideální cíl
Proč by to mělo zajímat někoho jiného než programátory? Protože moderní energetika stojí na Pythonu a IoT. Každý chytrý střídač, každá baterie a každý systém pro vyrovnávání sítě běží na kódu, který se skládá z tisíců externích knihoven.
Útok na kritickou infrastrukturu už dávno nezačíná odpálením nálože u transformátoru. Začíná v notebooku unaveného junior vývojáře. Jakmile se útočník dostane do vnitřní sítě energetické společnosti, cesta k ovládnutí řídicích systémů (SCADA) je otevřená. Ransomware v těchto systémech neznamená jen zašifrované tabulky v Excelu. Znamená to tmu.
Vzpomeňte si na útok na Colonial Pipeline v USA. Jedno ukradené heslo k VPN stačilo k tomu, aby se zastavily dodávky paliva pro polovinu východního pobřeží. U nás v Evropě je situace ještě napjatější. NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) opakovaně varuje před útoky na dodavatelský řetězec. To je přesně to, co udělal ZiChatBot. Neútočí na vás. Útočí na to, co používáte.
Od "phishingu" k totální nadvládě
Celý řetězec útoku (attack chain) je až mrazivě efektivní. Začíná to buď zmíněným typosquattingem na PyPI, nebo klasickým phishingem zaměřeným na vývojáře. Jakmile je ZiChatBot uvnitř, začne luxovat všechno, co má hodnotu: `.env` soubory s hesly k databázím, SSH klíče, AWS tokeny.
S těmito klíči se útočníci posouvají dál. Pokud má vývojář přístup k produkčnímu serveru, mají ho i oni. A pak přichází finále. Ransomware. Ale ne ten nudný, co chce pár bitcoinů za odemčení fotek z dovolené. Tenhle ransomware zamkne ovládání jističů v rozvodně. To je moment, kdy se z kybernetického problému stává problém národní bezpečnosti.
Investice do bezpečnosti se u nás pořád často berou jako "nutné zlo". Koupíme si drahý firewall od Cisca, nasadíme antivirus a máme pocit, že jsme v suchu. Jenže ZiChatBot se těmhle hračkám směje do ksichtu. On totiž sedí uvnitř aplikací, které jste si sami schválili a nainstalovali.
Jak z toho ven (a nezbláznit se)
Prvním krokem k nápravě je přestat věřit všemu, co má "open-source" nálepku. Open-source je skvělý, ale je to taky největší hřiště pro hackery na světě.
Firmy v energetice musí začít používat nástroje pro analýzu složení softwaru (SCA). Musíte vědět, co přesně ve vašem kódu běží. Nestačí říct "používáme Python". Musíte vědět, že používáte konkrétních 452 knihoven a že žádná z nich nebyla před pěti minutami aktualizována útočníkem, který ukradl účet původnímu autorovi.
Další věcí je izolace. Proč by měl mít skript pro analýzu dat z fotovoltaiky přístup k internetu, aby mohl "chatovat" se Zulipem? Segmentace sítě není buzzword, je to digitální neprůstřelná vesta. Pokud jedna část systému padne, nesmí s sebou vzít zbytek fabriky.
V oblasti sdílení dat a chytrého řízení energií se o tohle snaží i komunita kolem platformy SmartEnergyShare. Bezpečnost tam není jen o šifrování, ale o transparentnosti a ověřování zdrojů. Když sdílíte data o spotřebě nebo algoritmy pro řízení baterií, musíte mít jistotu, že ten kód není cinknutý.
Inovace bez bezpečnosti je jen drahá cesta k průšvihu
Žijeme v době, kdy chceme všechno hned. Chytrou síť, AI řízení spotřeby, decentralizovanou energetiku. Je to sexy, je to inovativní a šetří to peníze. Ale pokud u toho budeme dál bezhlavě instalovat balíčky z internetu bez jakékoliv kontroly, stavíme skleněný dům a dáváme hackerům do ruky kamení.
Největší bezpečnostní riziko není malware. Malware je jen nástroj. Největší riziko je naše vlastní pohodlnost a slepá důvěra v ekosystém, který je postavený na dobrém slově. V kybernetickém světě dobré slovo neexistuje. Existuje jen podepsaný kód, verifikovaný hash a nulová důvěra (Zero Trust).
Až příště uvidíte v terminálu nápis `Successfully installed`, zkuste se na vteřinu zamyslet, co všechno jste si právě do firmy pozvali. Možná je to jen užitečná utilita. A možná je to právě ten poslední kousek skládačky, který někdo v Petrohradu potřeboval k tomu, aby vám vypnul proud.
Budoucnost energetiky je digitální. Ale pokud nebude bezpečná, bude taky velmi temná. A to doslova. Kontroverzní předpověď na závěr? Do dvou let zažije Evropa první blackout způsobený nikoliv nedostatkem plynu, ale jedním chybným `pip install`. Otázka není jestli, ale kdo z nás to bude mít na svědomí.