Ko gre za velike denarje, pri kibernapadih ni naključij

Varnostnih groženj je v računalništvu dobesedno iz dneva v dan več. S tem res več prostora za ponudnike varnostnih rešitev. Vendar je treba biti nenehno na tekočem z vsem dogajanjem, saj v tednu ali dveh lahko izpadeš iz igre, poudarja Paula Januszkiewicz, ustanoviteljica poljskega podjetja Cqure, s pisarnami v Varšavi, Dubaju in New Yorku.

V podjetju Cqure se ukvarjajo z analizo varnostnih tveganj v podjetjih in predlaganjem rešitev. Njegova prva dama je o svojih izkušnjah predavala na letošnji konferenci NT in ob robu tega dogodka smo ji postavili nekaj vprašanj.

So podatki in naše razumevanje, da večina groženj, napadov, krekerskih vdorov prihaja s Kitajske, pravilni? Ali imajo veliko tovrstnih nepridipravov tudi druga območja?

Splošno gledano gotovo, temu pritrjujejo vsa poročila največjih ponudnikov protivirusne opreme. Toda Kitajska je zelo velika, in če bi jo razdelili na manjše regije, te ne bi bile nujno v vrhu. Veliko napadov in zlonamerne kode prihaja tudi iz Afrike in tudi iz ZDA. Odvisno je tudi od tega, o kakšnih grožnjah govorimo. Večina ribarjenja prihaja iz južnih držav. Izsiljevalski virusi večinoma izvirajo iz vzhodnega bloka. Seveda pa se grožnje prenašajo, ko ena zraste na enem koncu sveta, jo hitro pograbijo tudi krekerji na drugih celinah.

So te grožnje v glavnem usmerjene naključno ali napadalci izbirajo točno določene tarče? Denimo banke, infrastrukturna podjetja in podobne.

Odvisno od tega, koliko hočejo zaslužiti.

Večkrat poslušam zgodbe ali opažam, kako so shekali to ali ono spletno stran. In vedno znova se sprašujemo, kako je nekdo na drugem koncu sveta za cilj svojega kiberrazbijaštva vzel prav to slovensko spletišče. In kaj je s tem pridobil.

Verjetno je res nekdo nekje prečesal internet in točno pri naslovih tiste strani našel nekaj takega, kar se mu je zdelo intrigantno. Toda po drugi strani bolj zapleteni napadi z ribarjenjem (»spear phishing«) nikakor niso naključni. Napadalci dobro vedo, koga so se lotili, in takih napadov je vse več. V eni od bank so dobivali kopico tovrstnih sporočil ravno takrat, ko sem delala zanje. Ker pa so malo pred tem zaposlene poučili o tem, nihče ni kliknil in odpiral priponk. Čeprav so bila sporočila videti, kot da so res prišla od njihovega ponudnika mobilne telefonije.

Človek bi si mislil, da je tovrstno smetje v obtoku že dovolj dolgo, da bi ga večina uporabnikov spleta morala že na daleč prepoznati. In da ga tudi protivirusni programi ne bi smeli spustiti skozi.

Spam je napisan vse bolje, videti je pristno in v ničemer ne izdaja, da gre za nekaj sumljivega. In tudi koda se nenehno spreminja, protivirusni programi je ne poznajo, dokler ponudniki ne izdajo ustreznih definicij, in takrat jo ribiči že dovolj spremenijo, da je protivirusni programi spet ne označijo za sumljivo. In tako naprej in tako dalje.

Med nastopom ste omenili, da veliko podjetij še vedno nima nikakršne varnostne politike in strategije.

Res je. Neverjetno veliko podjetij hodi po robu.

Tista, ki določijo varnostno politiko, pa imajo potem v resnici manj težav?

Absolutno. Take rešitve niti niso zahtevne in drage. Nekateri programi, ki blokirajo zlonamerno kodo, so tudi brezplačni. Seveda pa morajo biti implementacije premišljene. Določene rešitve preprečujejo zlorabe, ne pa tudi samega zaganjanja programov. Treba je biti previden in izbrati pravilna orodja. In seveda nočemo otežiti dela zaposlenim.

Zavedanje o nujnosti rezervnih kopij je med podjetij večje kot glede varnosti?

Gotovo. Večina jih ima rezervne kopije, saj nočejo ostati brez posla.

Navedli ste podatek, da je od denarja, ki ga podjetja porabijo za informacijsko varnost, približno 33 dolarjev na uporabnika v bistvu vrženih skozi okno. Od kod prihaja ta podatek in kako točen se vam zdi?

Podatek je objavilo svetovalno podjetje PriceWaterhouseCoopers, mislim pa, da gre za zelo grobo, ampak realno oceno.

Kaj torej podjetja počnejo? Kupujejo programsko opremo, ki je potem ne uporabljajo?

Tudi to. Morda nabavljajo nepotreben hardver. Ali pa pošiljajo zaposlene na slabo načrtovana izobraževanja.

Po vaših opažanjih se marsikateri nepooblaščen dostop do podatkov zgodi, ker je napadalcu uspelo osebno nekoga pretentati, ne zaradi slabe informacijske varnosti. Mislite, da je take primere sploh mogoče preprečiti? Iz primera našega podjetja vem, da ni večja težava priti v stavbo in tudi za katerega od računalnikov v hiši se je dokaj lahko nepooblaščeno usesti.

Strinjam se, da vedno lahko kdo pride noter. Vprašanje pa je, kaj lahko tak »napadalec« dobi, do česa se lahko dokoplje. Odgovor bi moral biti – do ničesar. Naj vzame računalnik, toda podatki na njem so šifrirani. S svojim pa se ne more povezati v omrežje, vsi podatki so zavarovani pred nepooblaščenimi napravami in uporabniki. To vse bi moralo biti urejeno v resnem podjetju.

Zakaj je zadnje čase tako razširjena izsiljevalska koda?

Ker deluje. Napadalci s tem veliko zaslužijo.

In zakaj je protivirusni programi ne morejo ustaviti?

Ker je zadeva dokaj nova. Obstaja tudi nekaj različnih razvijalskih paketov, ki omogočajo izdelavo unikatnih izsiljevalskih virusov. Kar pomeni, da izurjen programer lahko spiše popolnoma novo in protivirusnemu programu neznano kodo. Odkrijejo jo šele, ko dovolj ljudi zaradi nje zaide v težave. Danes je v svetu toliko zlonamerne kode, ki je nihče ne pozna, da so protivirusni programi vse manj učinkoviti. Že pred nekaj leti je predstavnik Symanteca izjavil, da je protivirusno programje mrtvo, da ni več učinkovito. In od takrat se je situacija samo še poslabšala.

Koliko časa imajo slabi fantje, preden varnostna podjetja odkrijejo njihovo novo kodo?

Mislim, da je tovrstno časovno okno po navadi odprto nekaj dni. Tudi večina podjetij šele po nekaj dneh opazi, da je bila žrtev tovrstnega napada. Vendar to niti ni pomembno, ker tako ali tako ne posodabljajo vsi virusnih definicij in ker napadalci lahko takoj izdajo novo, modificirano različico.

Je za nesrečneže, ki jim tovrstni virus zaklene podatke, edina možnost, da plačajo napadalcem?

Če imajo veliko srečo, bodo morda podatke odklenili z enim od znanih programov za dešifriranje kriptolockerjev. Protivirusnim podjetjem občasno v sodelovanju z lokalnimi organi pregona uspe locirati strežnike, ki sodelujejo v tovrstnem šifriranju, in iz njih potegnejo šifrirne ključe. Vendar se uporabniki ne morejo zanašati na to, ker je možnost, da bodo imeli srečo, približno ena proti milijon. Kdor ima ustrezne rezervne kopije svojih podatkov mogoče lahko preprosto sformatira disk in se s tem izogne plačevanju za dešifriranje.

Kakšno je vaše mnenje o zadnjih vdorih v azijske banke? Na daleč se zdi, da je njihova varnost zelo problematična.

Nisem presenečena. Marsikatera infrastruktura izhaja še iz 80. ali 70. let prejšnjega stoletja. Kot primer lahko dam protokol, po katerem letala komunicirajo z nadzornimi stolpi. Je izjemno slabo zasnovan in zastarel. Ideja je sicer dobra, toda varnostna izvedba je obupna. Zdaj delamo na to, da to varnost povečamo, saj lahko zdaj kdorkoli prestreza komunikacijo, če se malo potrudi. Podobno je pri bančnih protokolih. Toda prestaviti banke na protokol swift 2.0? Uf, to bi bilo naporno, zamudno in zelo drago. Tako pač ostajamo pri krpanju starega.