Hlavní obsah

Selhalo zabezpečení, říkají experti o nabouraném systému víz pro Vietnamce

Foto: Pixabay.com

Nebyl to žádný výjimečný útok, říká expert o činu ruských hackerů proti systému na vydávání víz. A přece odhalení trvalo českým úřadům několik let.

Skupina z Prahy vydělávala stamiliony na vízech pro Vietnamce. Nabourala se do webu Ministerstva zahraničí. Stačilo jednoduše prolomit kód. Nic převratného, říká expert na kyberkriminalitu.

Článek

Skoro pět let se bratři Andrej a Alexander Voroninovi z Prahy dokázali vlamovat do registračního vízového systému na české ambasádě v Hanoji. Tak, aby povolení k dlouhodobému pobytu dostali jen ti Vietnamci, kteří za to předtím bratrům zaplatili tisíce eur.

Rusové dlouhodobě žijící v Česku překonali speciální kód, který museli zájemci o vízum vyplňovat na stránkách Ministerstva zahraničí.

Podle Petra Špiříka, experta na kyberbezpečnost v poradenské společnosti PwC, tento případ ukazuje, že zabezpečení registračního systému nebylo dostatečné. „Jde vlastně o klasický závod ve zbrojení, kde ministerstvem nasazené opatření bylo horší než kvalita útočníka,“ myslí si Špiřík.

Ostatně to ukazuje i policejní vyšetřování, jehož podrobnosti Seznam přinesl v minulých dnech. Kriminalisté spočítali, že skupina kolem ruských bratrů vydělala na obchodování s vízy 763 milionů korun a do Česka tímhle nelegálním způsobem dostala přes dva tisíce Vietnamců.

„Útok, jehož důsledkem je zjevná změna chování napadeného systému, by se měl odhalit podstatně dříve než za pět let,“ říká Marian Kechlibar, publicista a specialista na IT bezpečnost a ochranu dat.

Obrana slabší než útok

Voroninovi, jejich matka a přítelkyně jednoho z bratrů jsou stíhaní pro neoprávněný přístup k počítačovému systému a pro praní peněz. Společně s nimi vyšetřovatelé obvinili i čtyři Vietnamce z Česka, kteří zajišťovali stálý přísun zájemců o vízum.

Systém dálkové registrace k azylovému pohovoru fungoval následovně: ministerstvo na webu zveřejňovalo volné termíny, uchazeč o vízum tak musel web pravidelně sledovat. A jakmile se objevilo volné „okénko“, hned odkliknout žádost.

Aby někdo nepodal pomocí softwarového robota na jedno „okénko“ tisíce žádostí, to zajišťoval kód CAPTCHA – řada čísel a písmen, jež se objevila na webu a kterou musel každý Vietnamec správně opsat do příslušné kolonky. Podle ověřených informací Seznamu se však Andreji Voroninovi pomocí speciálního programu podařilo správný kód najít a toto zabezpečení obejít. A pak zaregistrovat ty uchazeče o víza, kteří byli ochotni zaplatit gangu kolem Voroninových průměrně 380 tisíc korun.

Ministerstvo zahraničí si podle Špiříka bylo vědomo, že web někdo může napadnout, a proto zvolilo způsob preventivní ochrany přes CAPTCHA kód. „Ale zároveň to bylo zjevně nedostatečné,“ podotýká Špiřík.

Podle tohoto experta jsou útoky přes vyplňování formulářů běžné. A to nejen s pomocí softwaru – v rozvojových zemích je možné si najmout lidi, kteří kódy vyplňují ručně. Přesto je možné útočníkům jejich záměr ztížit například tím, že se zavede prodleva, během níž není možné z jednoho počítače zaregistrovat dalšího zájemce. Nebo případně tak, že z jedné IP adresy je možné za hodinu zaregistrovat jen omezený počet lidí.

„Nebo se alespoň zaměřit na identifikaci takových robotických pokusů. Všimnout si, že jednu sekundu po otevření přihlašování je zaregistrováno tisíc žadatelů z jedné adresy, není těžké. A následně už pak nasadit protiopatření na míru,“ radí Špiřík.

Vyřadili z provozu telefony

V jakém rozsahu Ministerstvo zahraničí útoky na registrační systém zachytilo a jak na ně reagovalo, není možné zjistit. Z policejního vyšetřování je však zřejmé, že to bratři Voroninovi systém ovládali od roku 2013 do roku 2017, kdy se jim podařilo prakticky vízový systém vyřadit pro běžné žadatele z provozu. Přístup do něj měli jen ti, co dali úplatek.

Tehdejší ministr zahraničí Lubomír Zaorálek (ČSSD) Seznamu řekl, že se o napadení systému vědělo. Jenže nebylo jasné, odkud útoky přicházejí. „Zpočátku jsme si mysleli, že jsou do toho zapleteni lidé z ambasády. Ale vyšetřování to nepotvrdilo,“ řekl Zaorálek.

Současný ministr zahraničí Tomáš Petříček (ČSSD) zase tvrdí, že gang se dokázal do systému nabourat tak, že nebylo možné ho odhalit. „Podle mých informací byla opakovaně provedena kontrola a na nic se nepřišlo. A podle následných nálezů se dospělo k tomu, že tento útok Ministerstvo zahraničí ani odhalit nemohlo,” dodal Petříček.

Foto: PwC Česká republika

Nic převratného, hodnotí Petr Špiřík ze společnosti PwC způsob, jakým se podařilo nabourat systém víz pro Vietnamce.

Každopádně Bezpečnostní informační služba (BIS), jak už Seznam také zveřejnil, ve svých výročních zprávách čtyři roky po sobě varovala, že se s vízy pro Vietnamce obchoduje. Popsala i způsob přes prolomení kódu CAPTCHA.

V roce 2017 už byla situace neudržitelná a ministerstvo webový registrační systém zastavilo. Zavedlo objednávání přes dvě speciální telefonní linky. Kdo se v daný čas dovolal, mohl přijít v Hanoji na vízový pohovor.

Na to však bratři Voroninovi opět zareagovali. Sestavili si v Praze telefonní ústřednu, která linky s pomocí stovek SIM karet nepřetržitě vytáčela. Byly tedy stále obsazené. Voroninovi linky odblokovali, jen když potřebovali zaregistrovat své žadatele. Tohle trvalo další rok – až do zatčení skupiny loni v září.

„Nic převratného nebo sofistikovaného,“ hodnotí expert Špiřík z PwC způsob, jakým se Rusové do systému nabourali podruhé, tentokrát přes telefony. Zároveň si klade otázku, jak to, že ambasádě nebyly podezřelé stovky hovorů, které někdo vždy zavěsí, a také dlouhá doba, po níž toto blokování linek trvalo. „To už by mělo být podezřelé každému,“ míní Špiřík.

Odborník Kechlibar mluví podobně. Není prý možné nechat útočníka roky nabourávat systémy a pak systém změnit, aniž pachatele odhalíte. „Výměnou systému si sice koupíte nějaký čas, ale útočník má přece motivaci zkusit prolomit i ten nový systém. A v tomto případě se to opět povedlo. Nebo si mysleli, že nový systém bude dokonalý a neprorazitelný?“ diví se Kechlibar.

Podle toho, co o způsobu nabourání vízového systému zjistila policie, řadí Kechlibar útok bratrů Voroninových do „středu pelotonu“ – myšleno podle jejich hackerské odbornosti. „Na druhou stranu úplně triviální také nebyl. A dosáhli, čeho chtěli, takže ta střední úroveň asi stačila“ míní Kechlibar.

Členové rodiny Voroninových plus vietnamští zprostředkovatelé strávili po loňském zatčení tři čtvrtě roku ve vazbě. Seznam obviněné oslovil přes advokáty s žádostí o vyjádření, ale neúspěšně.

Ze 763 milionů, které skupina na vízech vydělala, policisté dohledali jen menší část – peníze, byty a auta zhruba za 200 milionů. Po osudech dalších stamilionů zatím dále pátrají. Zjistili například, že obviněný Andrej Voronin vlastnil firmu v Hongkongu a že odtud převáděl peníze na účty dalších společností.

Doporučované