Pe fondul ultimului mare atac cibernetic, numit WannaCry, am discutat cu un specialist de talie mondială în domeniul anti-hacking despre „ransomware“, despre schimbările de comportament necesare fiecărui utilizator de dispozitive conectat la Internet, cât şi despre posibile schimbări în comportamentul companiilor.
De la acest expert, pe care o să-l numim generic „Edward“, am aflat că va urma un fel de apocalipsă cibernetică, printr-un alt atac de acelaşi fel, numit Adylkuzz, mult mai devastator decât WannaCry și care se bazează pe aceeași vulnerabilitate a sistemelor de operare.
„România liberă“: Lumea virtuală este în continuu și maximum progres.
Edward: În comparaţie cu anii 1990-2000, când o mare parte din calculatoarele din lume era neconectată la Internet sau conectată la Internet, dar la viteze joase și doar sporadic (prin conexiuni dial-up), în ziua de azi, majoritatea computerelor sunt conectate la Internet de viteză largă (broadband) sau prin circuite de viteză dedicată. Mai mult de atât, cu excepţia unor PC-uri din mediul industrial/militar etc., putem estima că mai toate PC-urile de uz personal sau din companii, au măcar într-o oarecare măsură acces la Internet.
Spre deosebire de atacurile de acum 15 ani, când autorii de viruși o făceau, în majoritatea cazurilor, pentru obținerea de prestigiu sau chiar din dorința de a face rău în mod gratuit, în zilele noastre observăm că astfel de acțiuni au ca scop obținerea de avantaje financiare ori sunt gândite pentru obținerea de informații, infiltrări în anumite medii, control, spionaj etc.
În anii ’90, erau foarte comune atacurile prin infectarea anumitor tipuri de fișiere (în cele mai multe din cazuri cele executabile) stocate pe dischete, CD-uri, hard diskuri etc. Acum ce se întâmplă?
Cu timpul, odată cu creșterea ratei de conectare la Internet, am asistat la apariția de noi metode de stocare a informației utilizatorilor, cât și la creșterea ratei de adopție a unor servicii, specifice unei lumi conectată preponderent la Internet. Cel mai popular serviciu la care facem referire, deși nu e singurul, şi care a cunoscut o creștere fulminantă din anii ’90 a fost serviciul de e-mail. Deși conceptul de e-mail, a fost inventat cu ani buni înainte (la începutul anilor ’70), acesta a cunoscut o creștere exponențială în popularitate doar după ce masa celor conectați la Internet a crescut la fel și odată cu dezvoltarea tehnologiilor.
Din această cauză și atacatorii au văzut acest mediu ca fiind mai propice răspândirii unui atac. În paralel cu asta, observăm cum creatorii de viruși au evoluat, în sensul că în loc să scrie viruși, le-am putea spune cu caracter pueril, au început să scrie și să lanseze atacuri ce urmăresc obținerea de bani, sustragerea de informații sau obținerea de foloase. Am spus atacuri în loc de viruși, pentru că în această perioadă s-a trecut la scrierea de programe malițioase care să se comporte ca un atac concertat, ce afectează utilizatori chiar și din zone geografice diferite, separate, și nu doar utilizatori din aceeași rețea locală, care acesează aceeași resursă dintr-o, să zicem, rețea privată. Din această cauză, s-a conștientizat și nevoia securizării acestui canal de comunicare, cât și a securizării fiecărei locații împotriva atacurilor din Internet. Din păcate, nu doar utilizatorii și companiile producătoare de soluții informatice au conștientizat acest lucru, cât mai ales atacatorii! Aceștia au început să scrie atacuri care infectează PC-uri conectate la Internet, ca apoi să le folosească în rețele botnet, ce le permit să ruleze atacuri distribuite, de la mai multe locații, către o victimă.
Dar dacă un firewall, chiar şi cu foarte multe resurse de procesare, este atacat din milioane de direcții, nu va putea face faţă volumului de date ce trebuie procesate, astfel încât nu va mai fi în stare să filtreze corespunzător pachetele ce îi vin din exterior, iar atacatorii vor reuși să penetreze rețele private. Din acest motiv, atacatorii de azi au un comportament predominant de atacare a unor destinații, în mod concertat, simultan din alte destinaţii asupra cărora au preluat controlul. Pentru asta, atacatorii care urmăresc infiltrarea unei anumite rețele, sau indisponibilizarea unui anume serviciu din Internet, mai întâi vor infecta mai multe resurse din Internet și când se ajunge la un volum de procesare suficient, se va ataca destinația finală.
În paralel cu aceste atacuri țintite asupra anumitor rețele, asistăm și la creşterea numărului de atacuri de phishing, prin care atacatorii încearcă furtul de date bancare (carduri de credit/debit), cât și datele de autentificare pe diverse platforme bancare sau chiar nebancare. Care este situația în acest domeniu, ce se întâmplă cu moneda bitcoin?
Aici, majoritatea atacurilor aveau și au încă în comun aceeași formă de răspândire: se încearcă convingerea potențialei victime să acceseze un fișier, sau un link prin care este rugat să își dezvăluie datele personale sau prin care să i se fure aceste date.
Un alt fel de atac cibernetic des întâlnit este așa-numitul ransomware. Ca și în cazul virușilor, care au devenit din ce în ce mai complecși și s-au răspândit mai rapid, tot așa și atacurile de tip ransomeware au apărut și s-au dezvoltat datorită apariției unui nou instrument de plată a „recompensei“. Și aici ajungem la acel bitcoin sau cryptocurency. Această monedă virtuală este necontrolată de vreun stat sau instituție financiară afiliată la vreun guvern sau convenție internațională.
Tranzacțiile cu bitcoin, față de tranzacțiile cu monedele clasice, au avantajul că nu pot fi urmărite, astfel încât un debitor și un creditor pot rămâne anonimi și, teoretic, nimeni nu poate afla cine a dat și cine a primit bitcoin într-o tranzacție. Această monedă a înregistrat în ultimii ani o creștere a ratei de adopție în multe grupuri sociale. La ora actuală sunt foarte mulți comercianți care acceptă plata în bitcoin pentru produsele lor. Printre ele am putea menționa Microsoft, Dell, Paypal. Există chiar și state (Germania e cel mai notoriu caz) care au recunoscut bitcoin ca metodă de plată legală acceptată, exact ca și moneda euro. Mai mult, bitcoin a devenit o metodă acceptată de plată a taxelor către guvern. Marele avantaj al acestei monezi este confidențialitatea. Acest lucru a făcut din bitcoin moneda preferată a jucătorilor de pe piața substanțelor halucinogene, în unele cazuri chiar și a traficanților de arme. Un lucru este sigur: bitcoin este suportul ideal pentru plata cerută de atacatorii informatici în cazurile de ransomware.
Referitor la ultimul mare atac de tip ransomware, WannaCry, cu ce s-a diferențiat față de altele anterioare?
WannaCry s-a diferențiat prin faptul că nu mai implică o eroare umană în a accesa un link sau executa un fișier infectat, ci a exploatat o vulnerabilitate existentă în sistemele de operare Windows de generație mai veche. Astfel, cam orice calculator care rula Windows XP, 7, 8 sau server care rula Windows Server 2003 sau 2008 și care nu avea update-urile de securitate la zi, a fost vulnerabil în fața acestui atac. Această vulnerabilitate a fost identificată în martie 2017 și deja în luna mai a avut loc atacul WannaCry.
Microsoft a acuzat utilizatorii, deoarece nu au urmat sfatul de a updata sistemele de operare cu patchul emis în luna martie, însă marea problemă este că actualizarea e simplu de făcut în cazul utilizatorilor rezidențiali (unde un restart al PC-ului e oricând posibil), dar la utilizatorii economici/militari etc., aceste update-uri presupun uneori și downtime al unor servicii critice, dar foarte posibil și incompatibilități, cu anumite programe mai vechi, și deci update-urile sunt amânate, uneori și pe perioade foarte lungi.
Pentru o exemplificare cât se poate de simplă, – deși lucrurile sunt mult mai grave din acest motiv -, la ora actuală sunt multe calculatoare în mediul guvernamental, administrativ, bancar, în spitale care încă rulează pe Windows XP, sistem de operare pentru care Microsoft nu mai emite update-uri de securitate. Ca situația să fie și mai interesantă, la ora actuală, la CERN (European Organization for Nuclear Research), organizație care are cele mai mari descoperiri în știință, majoritatea PC-urilor încă mai rulează Windows XP. Acest lucru nu e cauzat de necunoaștere sau inconștiența personalului din IT, ci din cauza faptului că multe sisteme de măsură și control folosite în set-up-ul acceleratorului de particule, pentru a putea fi folosite, au nevoie de drivere, și de programe speciale, pentru scrierea cărora s-au depus eforturi uriașe.
Citeşte în ediţia de mâine cine s-ar putea afla în spatele WannaCry, programul care a blocat calculatoarele din toată lumea, şi cum va acţiona
noul atac Adylkuzz.
Citește ziarul integral în format .PDF aici !
