O hakerskim napadima, sigurnosti, ali i privatnosti u online svijetu razgovarali smo sa Zlatanom Morićem iz IN2date.
Nedavno se odigrao veliki hakerski napad virusom WannaCry, postoji li konačni podatak o broju pogođenih sustava?
Konačni rezultati još se ne znaju jer još nije gotovo. Dosad je zaraženo više od 200.000 računala. Zanimljivo je da se u startu podigla velika “fama” oko starijih Microsoftovih operacijskih sustava koji više nisu podržani, ali taj je broj beznačajan i najviše zaraženih računala koristi Windows 7. Microsoft je iznimno i za stare sustave izdao zakrpu.
O čemu se zapravo tu radi, odnosno što je to učinio WannaCry i kako funkcionira?
WannaCry je program koji kombinira dvije vrste malicioznog koda. To su ransomware, ucjenjivački program, i worm, program koji se, koristeći propuste u računalnim sustavima, samostalno širi po mreži. Ransomware u WannaCryu radi kao i ostali cryptolockeri koji su aktivni zadnjih godina. Koristi kombinacije javnih i tajnih ključeva za enkripciju/dekripciju te svako zaraženo računalo ima svoj ključ. U samom radu manji dio datoteka kriptira i drugim ključem, vjerojatno kako bi pokazali žrtvama, prije nego što plate, da mogu dekriptirati ostale dokumente. Worm je nešto što je ovom malicioznom kodu donijelo veliku medijsku pozornost jer iskorištava propuste u Microsoft SMB protokolu koje je navodno NSA otkrila prije dosta vremena i koristila za svoje ofenzivne aktivnosti. Nakon što je hakerska skupina Shadow Brokers objavila EternalBlue (kod koji iskorištava propuste), kriminalne skupine bacile su se na posao i počele razvijati alate kojima će nešto zaraditi. Iako je Microsoft sredinom ožujka izdao zakrpe za taj propust, dosta računala ostalo je nezaštićeno. Ono što trenutačno najviše zabrinjava jesu industrijska računala, koja često rade na sustavima koji se ne ažuriraju. Čak je i neka medicinska oprema zaražena.
Prethodnik WannaCrya je bio Adylkuzz, maliciozni program koji je koristio iste propuste za širenje, ali nije radio veliku štetu na zaraženim računalima, već je koristio računalne resurse za rudarenje kriptovaluta. Vjerojatno bi i danas radio bez problema da se nije pojavio WannaCry koji je privukao veliku pozornost. “Sretnici” koji su bili zaraženi Adylkuzzom otporni su na WannaCry jer su se autori potrudili onemogućiti drugima da zaraze isto računalo i eventualno prekinu rudarenje.
Koliko je zapravo potrebno hakera za takav napad?
U teoriji dovoljan je samo jedan, ali mislim da iza napada ne stoje hakeri, već kriminalne organizacije koje osmisle cijelu akciju (naprave poslovni plan) te na darknetu angažiraju hakere da im naprave alate. Prethodno sam spomenuo dva maliciozna programa koje su pokrenule različite kriminalne skupine na bazi istog propusta. Pretpostavljam da su im ciljevi isti – ostvariti dobit, a izvedba je dosta različita. Dok je Adylkuzz pokušavao biti neprimijećen i koristio dio resursa zaraženih računala, WannaCry je kriptirao podatke i korisnicima onemogućavao rad. Koliko je dosad poznato, Adylkuzz je svojim kreatorima zaradio oko milijun dolara, dok je WannaCry donio manje od 100.000 USD.
Ransomware je najučestaliji oblik online kriminala u posljednje vrijeme, znate li možda neku statistiku?
S prosječnih 30.000 računala u 2015. u 2016. broj je porastao na 50.000 računala. I taj se trend eksponencijalno nastavlja. Primjerice, količina e-mail poruka s ransomwareom narasla je za više od 6000%, odnosno danas oko 40% spam poruka sadrži ransomware. Ako pogledamo način zaraze, vidimo da je oko 60 posto računala zaraženo putem emaila (preko privitaka ili linka na maliciozni kod), a ostalih 40 posto preko web-stanica koje nisu povezane s e-mailovima i preko društvenih mreža i servisa u oblaku. Naravno, trebamo uzeti u obzir da se većina napada nikad ne prijavi pa ti brojevi mogu biti i veći.
Koliko su tvrtke, ali i pojedinci svjesni opasnosti koje vrebaju online?
Zahvaljujući medijima, a i učestalim napadima u posljednje vrijeme, svijest o sigurnosti se povećava. Naravno da tehnička sredstva zaštite pomažu, ali najvažniji su ipak ljudi.
Kako se uopće od ovog oblika napada možemo zaštititi?
Postoji više faktora zaštite. Kako sam prethodno napomenuo, najbitnija je edukacija ljudi da postanu svjesni odgovornosti rada na računalu i prijetnji koje postoje. Nadalje, tehničkom zaštitom kao što je pravovremeno instaliranje zakrpa, odnosno možda i prije pojave zakrpa pratiti web-stranice koje se bave sigurnošću i koje objavljuju nove propuste u sustavima te na mrežnom nivou (IDS/IPS) probati spriječiti da promet s tim sadržajem ne dođe do samih korisnika u tvrtki.
Ono što se promijenilo zadnjih godina jest da su kriminalci usmjereni profitu i sve manje vremena ulažu u pronalaženje sigurnosnih propusta/ranjivosti. Danas većinom čekaju da proizvođači softvera izdaju zakrpe pa analizom zakrpa doznaju što je propust u sustavu. Nakon toga iskorištavaju “propuste” u procedurama za ažuriranje sustava. Naime, neka najbolje prakse za ažuriranje nalažu da se sva ažuriranja moraju prethodno testirati. Nakon što proizvođač izda zakrpu, prvo se u organizaciji testira u testnom okruženju pa, ako sve radi (po mišljenju IT-a), proslijedi je testnoj grupi korisnika (npr. 10% korisnika iz svakog odjela) jer IT ne zna testirati specifične funkcionalnosti aplikacija. Naposljetku, ako nema prigovora iz testne grupe, onda se ažurira cijeli sustav. To može trajati od tjedan dana u manjim sustavima pa sve do par mjeseci u većim sustavima. Kako je IT potpora poslovanju, jako je bitno da ažuriranje ne dovede do prekida pružanja usluga. U većim sustavima trebali bi postojati ljudi koji prate vijesti i forume vezane za sigurnost, ali i za hakiranje te reagirati na informacije o propustima i sustavu.
Microsoft je kao krivca za napad optužio NSA, što vi kažete, tko je kriv? Ili – tko je olakšao ‘posao’ hakerima?
U slučaju ransomwarea WannaCry pretpostavka je da su sami korisnici krivi. Za propust se znalo već neko vrijeme, a Microsoft je na vrijeme izdao zakrpe. U povijesti je bilo i većih propusta od ovog, ali hakeri to nisu iskoristili na ovako globalan način. Naravno, ako tražimo pravog krivca, onda je to kriminalna skupina koja stoji iza WannaCrya. Ja na NSA u ovom kontekstu gledam kao na odjel koji se bavi ofenzivnim aktivnostima na internetu (state sponsored hackers) i koji pronalazi propuste i radi (ili kupuje na darknetu) alate kojima će obavljati svoju djelatnost. Prije nekoliko godina imali smo sličnu situaciju i u Hrvatskoj. Policija je na javnosti nepoznat način spriječila pljačku tako što je iskoristila propust na pametnom televizoru te snimila dogovore (naravno, sve uz sudski nalog za tajno prisluškivanje). Da je, primjerice, poslije toga neka kriminalna skupina iskoristila isti propust na pametnim televizorima za napad, bi li itko konstatirao da je policija kriva za taj napad?
Možemo li uopće govoriti o potpunoj online sigurnosti?
U životu nema potpune sigurnosti, pa je tako nema ni na internetu. Moja je preporuka da se na internetu ponašamo kao i u stvarnom svijetu. Kako u stvarnom svijetu nećete ostaviti osobnu iskaznicu ili ključeve auta ili stana svakome, tako na internetu trebate paziti što radite i gdje ostavljate podatke. Imamo sreću da živimo u državi gdje je fizička sigurnost na visokom nivou, ali usporedbe radi, posjet nekoj stranici s ilegalnim, odnosno sumnjivim sadržajima ekvivalentan je posjetu nekom kvartu u kojem je velika stopa kriminala.
Kada se radi o prijevarama, koji još oblici prijevara postoje?
Kad je riječ o prijevarama na internetu (vjerojatno i u stvarnom životu), najefikasnije su metode socijalnog inženjeringa u kojima se iskorištava naivnost ili ljudski poriv da pomogne drugome. Takve prijevare postoje već stoljećima i samo su se prebacile na internet. Njihovoj masovnosti pridonosi i činjenica da je doseg takvih kampanja globalan te da pružaju veliki stupanj anonimnosti koji napadači imaju tijekom kriminalnih kampanja.
Koje su institucije najranjivije, a koje su osvijestile problem pa ulažu više u sigurnost svojih sustava?
Naravno, najranjivije su institucije koje su dosegle veći stupanj digitalizacije te im obavljanje posla ovisi o dostupnosti cjelokupne informacijske infrastrukture. Pretpostavljam da sve institucije imaju politike i procedure koje osiguravaju visoku dostupnost sustava. Ono što je malo zabrinjavajuće jest činjenica da još uvijek nismo definirali kritičnu infrastrukturu pa sukladno tome ne možemo prioritizirati ulaganja u sigurnost. Primjerice, prije nekoliko godina svjedočili smo padu telekomunikacijskih usluga zbog tehničkih poteškoća. Cijela je država bila paralizirana. Nismo mogli plaćati karticama, vršiti transakcije, dizati gotovinu na bankomatima itd.
Uz sigurnost često govorimo i o privatnosti, ima li je uopće?
Sam internet ne nadgleda nikoga, već to rade tvrtke, odnosno stranice koje posjećujete. Ali i ako ne koristite internet, postoji vjerojatnost da vaši podaci postoje na internetu. Primjerice, ako ste vlasnik tvrtke, vaši se podaci nalaze na portalu sudskog registra i vi tu ništa ne možete napraviti. Naravno, dosta korisnika interneta radi samopromociju i samim time smanjuje svoju privatnost. Neke informacije koje tako ostavljamo mogu pomoći malicioznim korisnicima da ih iskoriste. Primjerice, ako ste prijatelj s nekim na Facebooku i taj vaš prijatelj postavi neku sliku s godišnjeg odmora, maliciozni korisnik može iskoristiti te informacije da vas pokuša zavarati u cilju pribavljanja novca, simulirajući e-mailove prijatelja koji je u nevolji.
Možemo li danas ne postojati u virtualnom svijetu?
To je nemoguće, naravno, kada promatramo virtualni svijet kao digitalni sustav. Internet kao dio tog svijeta obuhvaća oko 10% virtualnog svijeta i postoji mogućnost da na njemu nema podataka o vama. Da bismo to postigli, moramo dobro paziti što radimo u životu. Ako imate osobnu iskaznicu ili račun u banci, onda ste sigurno u virtualnom svijetu, s druge strane, ako napravite tvrtku ili bilo koje dostignuće značajno po kriterijima medija i društva, opet ćete završiti na internetu.
Vaša je teza da je bolje imati profil na Facebooku nego dozvoliti, možda nekom drugom da se poigrava s našim imenom.
Točno tako. Kako su danas društvene mreže iznimno popularne i koristi ih veliki broj korisnika, izostanak s, primjerice, Facebooka može malicioznom korisniku omogućiti krađu identiteta pa će on iskoristiti vaše prijatelje i poznanike da naprave nešto misleći da to rade na vaš upit. Uz stalni posao u tvrtki IN2data, gdje radim kao data scientist, predajem i na Visokom učilištu Algebra. Svojim studentima i polaznicima kolegija iz područja etičkog hakiranja uvijek savjetujem da otvore svoj Facebook račun, bez obzira na to kakav privatni stav imaju, upravo kako bi mogli izbjeći krađu identiteta. Činjenica je da na početku kolegija ili seminara gotovo polovica sudionika nema Facebook profil, no na kraju ga svi otvore.
Kako gledate na sveopću digitalizaciju poslovanja, jesu li to nove prilike za hakere?
Naravno da s povećanjem digitalizacije poslovanja tvrtke postaju sve više izložene hakerskim napadima. Tvrtke trebaju ulagati u edukaciju ljudi i tehničke mjere sigurnosti da bi se štitile. Naravno, računica je jednostavna (osim ako ne spadate pod regulirane djelatnosti ili uskoro ne završite na popisu kritične infrastrukture) i ta ulaganja trebaju biti u razmjeru s gubicima koji mogu nastati u slučaju hakerskog napada.
Koliko očito sponzorirani članak (bez jasne napomene o tome).... Ovo za FB je jedna od najglupljih stvari koje sam ikada čuo. Po toj teoriji bi morao registrirati apsolutno sve mejlove koje imalo asociraju na moje ime, jer bi netko mogaoo sa mejla sličnog mome isto tako mogao manipulirati moje prijatelje. Kakav majstor...