Tiskane izdaje
Komaj kako uro za tem, ko je skozi številne varnostne luknje v operacijskih sistemih prodrl kriptovirus z nič kaj prisrčnim imenom, še manj pa namenom, WannaCryptor, je bilo že znano, da je bilo oškodovanih najmanj 45.000 sistemov v najmanj 74 državah. Zjutraj je bilo jasno, da jih je oškodoval še več (75.000 sistemov iz skoraj sto držav), prestopil pa je tudi slovensko mejo, saj jo je zagodel Revozu in še sedmim slovenskim podjetjem.
Matej Breznik, foto: arhiv SI-CERT
Kakšne so razsežnosti tokratnega napada in kako dobro ali pa tudi slabo smo nanj pripravljeni pri nas, smo preverili pri Mateju Brezniku iz SI-CERTA, kjer obravnavajo takšne incidente. Poleg tega pa podobno kot ostali sodelavci sodeluje pri programu ozaveščanja Varni na internetu.
Njihove analize, nasvete in primere zlorab pa lahko spremljate vsak tretji torek na spletnem Delu. Preberite spodnje povezave. Iz njih bo razvidno, da nam takšni napadi niso tuji:
Kaj smo se doslej naučili o izsiljevalskih virusih?
Vsi obrazi spletnega izsiljevanja
Hekerji vdirajo v elektronsko pošto slovenskih podjetij
Vas je sicer vsaj malo presenetila razsežnost sinočnjega virusnega pohoda ali ste ga kot strokovnjak že dolgo pričakovali?
Izsiljevalske okužbe so zadnja leta vedno bolj pogoste, saj so storilci našli model, prek katerega lahko od naključnih uporabnikov pridobijo denarna sredstva. Predmetna okužba ima poleg običajne izsiljevalske funkcionalnosti dodano še možnost širitve prek nabora varnostnih ranljivosti opisanih v Microsoftovem varnostnem priporočilu MS17-10. Ta funkcionalnost je tokrat omogočila zelo hitro širitev po lokalnih omrežjih, seveda pa to velja, če sistemi še nimajo nameščenih varnostnih popravkov.
Je bila po vaše programska koda tako dobro zapisana, ali so bili dejansko varnostni sistemi tako slabše zavarovani?
Težko je govoriti na splošno, lahko pa bi rekel, da so se organizacije, ki upoštevajo minimalno varnostno prakso tokratni okužbi izognile. Na SI-CERT vsem uporabnikom svetujemo, da redno posodabljajo svoje sisteme. Če takšno dobro varnostno prakso upoštevajo, do širitve predmetne okužbe prek omenjenega nabora ranljivosti ne bi prišlo. Naj izpostavim, da so varnostni popravki, ki onemogočajo širitev okužbe, na voljo že od sredine marca.
Pa še to: če morajo biti sistemi za svoje delovanje certificirani, pa lahko skrbniki uporabijo druge zaščite, recimo izolacijo sistemov v svoj omrežni segment. Pri takšnih sistemih nalaganje varnostnih popravkov brez predhodnega testiranja ni dovoljeno, saj bi lahko vplivalo na delovanje samih naprav, kar velja na primer v bolnišnicah.
Iz Velike Britanije so poročali, da zaradi napada ne morejo opravljati rentgena ... Lahko si zamislimo, da bi posledice utegnile biti še resnejše.
Bolnišnice so specifičen tip ustanov. Uporabljati morajo namreč certificirane računalniške sisteme, pri katerih nalaganje varnostnih popravkov brez predhodnega testiranja ni dovoljeno, saj bi lahko vplivalo na delovanje samih naprav. Vendar pa je mogoče tudi tovrstne sisteme ustrezno zaščititi z uporabo dobrih varnostnih praks, se pravi z ločevanjem sistemov po segmentih, delitev v t.i. varnostne zone, ki so lahko tudi popolnoma izolirane od drugih sistemov, tako širitev okužbe prek omrežja praktično ni mogoča.
Vsekakor gre za resen in odmeven primer izsiljevalske okužbe, čeprav morda ne toliko pri nas. To gre morda pripisati odkritemu pogojnemu stavku v kodi okužbe, ki od povezavah na domeno, vdelano v kodo okužbe, prekine nadaljevanje izvajanja procesa.
Obsežnejše so se izsiljevalske okužbe začele pojavljati vse od leta 2012 dalje. Zagotovo sta po dosegu kot tudi po povzročeni škodi prek odkupnin v Sloveniji bila v ospredju Locky in TeslaCrypt.
Najbolj odmeven hekerski napad na sisteme podjetji, ki ga je SI-CERT vodil, je primer Balkanboy. Kriminalna združba je pod vodstvom hekerja Sebastjana Mihelčiča s spletnim vzdevkom Goldi72 vdirala v elektronske bančne račune in skupaj prenakazala kar dva milijona evrov.
Kako danes na SI-CERTU spremljate širjenje izsiljevalskega virusa? Vas o tem obveščajo oškodovani uporabniki?
Prejemamo informacije od partnerjev iz tujine. Analiza okužbe WannaCrypt je omogočila identifikacijo nabora domen, na katere se izvršijo povezave v primeru okužbe. Določene domene so že prevzeli storilci ter jih usmerjajo na svoje zlonamerne sisteme. Določene proste domene, pa so bile še na voljo. Proste domene so tako prevzele sorodne organizacije iz tujine, da bi spremljale poskusov povezav na njih ter obveščale posameznikov o okužbah. Trenutno smo na območju Slovenije zaznali manjše število poskusov povezav z okužbo WannaCrypt - manj kot deset jih je.
Zemljevid prikazuje, kje so bili napadi na sisteme najpogostejši v prvih urah po sprožitvi.
Ampak napadi nas še kar ne ganejo? Ob misli na to, da bi ustrezneje zaščitili svoj računalnik, morda raje zamahnemo z roko?
Na splošno prevečkrat velja, da se posamezniki seznanijo s problemom šele, ko jih ta doleti. Če bi vsi imeli ustrezne varnostne kopije, tovrstni poslovni model izsiljevalskih okužb ne bi prosperiral. V primeru podjetji pa ugotavljamo, da se že bolj zavedajo varnostnih tveganj in imajo v večini izdelane varnostne kopije. Ne glede na sistemsko zaščito pa lahko vsak posameznik ogrozi delovanje organizacije s svojim neodgovornim ravnanjem.
Kako dobro šolo smo imeli to noč? Se bomo česa naučili, ali pa moramo vedeti, da so hekerji vedno korak pred tistimi, ki se želijo zaščititi pred njimi?
Stoodstotne varnosti ni. Zaradi tega dejstva menim, da moramo zagotoviti ustrezne mehanizme, ki nam bodo omogočali ustrezno identifikacijo, zamejitev, odstranitev in povrnitev v prvotno stanje, če se zgodijo omrežni incidenti. To že nudimo in izvajamo na nacionalnem centru za odzivanje na omrežne incidente SI-CERT. Tako lahko v sodelovanju z drugimi organizacijami omogočimo hitrejšo povrnitev v prvotno stanje ter analizo posamezne grožnje.
Druga težava je, da podjetja v večini ne razmišljajo o varnosti naprav razmišljali že v fazi izdelave, s čimer se srečujemo na vsakem koraku, na primer pri posodobitvah telefonov, televizij ... Pri večini namreč nerazumno dolgo traja, da pride posodobitev do uporabnika. Kot da se ne bi zavedali tovrstnega tveganja že pri izdelavi. Tudi v današnjem času, ko se vedno bolj pogosto srečujemo s prihodom t.i. interneta stvari, varnost na žalost v večini primerov še vedno ni del razvojnega procesa.
Obstaja osnovna zapoved varnosti?
Skrbnikom sistemom svetujem redno posodabljanje. Če to ni mogoče, pa uporabo zgoraj navedenih dobrih praks.
Kot je pri družbi običajno, bo tudi predmetna okužba s časom zbledela, in tako bodo najverjetneje prakse, ki so stopile v veljavo, s časom padle v pozabo. Da je človeški spomin pozabljiv, vidimo tudi pri programu ozaveščanja, kjer goljufi v intervalih uporabljajo iste načine prevar ... le malce časovnega presledka mora biti med njimi.
