Pe fondul ultimului mare atac cibernetic, numit WannaCry, „România liberă“ a discutat cu un specialist de talie mondială în domeniul anti-hacking despre „ransomware“, despre schimbările de comportament necesare fiecărui utilizator de dispozitive conectat la Internet, cât şi despre posibile schimbări în comportamentul companiilor.
De la acest expert, pe care o să-l numim generic „Edward“, am aflat că va urma un fel de apocalipsă cibernetică, printr-un alt atac de acelaşi fel, numit Adylkuzz, mult mai devastator decât WannaCry și care se bazează pe aceeași vulnerabilitate a sistemelor de operare. Acesta a explicat ieri că cei care scriu programe de tip „ransomware“ profită de vulnerabilităţile sistemelor de operare Microsoft care nu au fost aduse la zi, chiar dacă Microsoft recomandă insistent să fie realizate toate update-urile.
Pe fondul ultimului mare atac cibernetic, numit WannaCry, am discutat cu un specialist de talie mondială în domeniul anti-hacking despre „ransomware“, despre schimbările de comportament necesare fiecărui utilizator de dispozitive conectat la Internet, cât şi despre posibile schimbări în comportamentul companiilor.
În această situaţie se află, în general, instituţii ale statului, ba chiar şi acceleratorul de particule CERN din Elveţia. Aceste computere vor rula ultimele sisteme de operare și nu vor fi îmbunătăţite pentru mult timp de acum încolo.
„România liberă“: Această situaţie nu a fost reclamată de nimeni? Cine s-ar putea afla în spatele WannaCry?
„Edward“: Vulnerabilitatea a făcut obiectul unui „tool“ folosit de NSA (National Security Agency) în operațiunile de national/international surveillance și acest lucru a fost dezvăluit de către activiștii WikiLeaks, ulterior această vulnerabilitate fiind corectată de către Microsoft printr-un patch de securitate. Din cauza acestui lucru au fost voci care au susținut că în spatele acestui atac (WannaCry) s-ar putea afla un guvern, cel nord-coreean, din cauza similitudinii dintre codul folosit în acest atac și alte atacuri lansate din Coreea de Nord în trecut.
Personal, nu cred că lucrurile stau chiar așa, căci coduri de exploit se găsesc pe dark net și oricine poate pune mâna pe astfel de coduri, folosite cândva de hackeri nord-coreeni pentru a lansa atacuri pe net. În plus, de regulă, guvernele, atunci când lansează un atac informatic, urmăresc să preia controlul anumitor rețele sau să sustragă informații, dar să rămână incognito.
Nu e un secret că marile guverne au, fiecare, câte un program de national surveillance, cu bugete mari, și deci nu cred că ar fi în interesul niciunui guvern să lanseze campanii „ransomware“ din care să obțină sume atât de mici. Aici au fost numai similitudini de cod între WannaCry şi alte atacuri lansate din Coreea de Nord, dar nu înseamnă că au fost cei din această ţară. Au mai fost similitudini de cod şi între WannaCry şi tool-uri folosite de NSA, asta înseamnă că NSA a lansat atacul? Coreenii nu sunt atât de proşti încât să lanseze un atac care să nu le aducă un avantaj strategic.
Cum a funcționat acest atac?
Mai întâi ți se infectează PC-ul. Fișierele îți sunt criptate cu o cheie. Dacă vrei cheia de decriptare, trebuie să plătești 300 USD într-un cont bitcoin. Dacă în 3 zile nu ai plătit, suma se ridică la 600 USD. Dacă în 7 zile nu ai plătit, fișierele sunt pierdute definitiv.
Cum ne protejăm împotriva acestor tipuri de atacuri?
În ceea ce privește în particular acest atac, la ora la care discutăm se pare că deja s-a găsit un antidot. În general, trebuie să avem update-urile la zi atât la sistemele de operare, cât și un antivirus instalat pe PC, la rândul său updatat. De asemenea, trebuie să fim atenți ce site-uri accesăm și pe ce link-uri dăm click, când ne sunt trimise prin e-mail sau chat. Nu în ultimul rând, e recomandat să folosim un sistem de operare cu licență, sau open source, și să evitam instalarea de programe sparte (cracked) downloadate din surse de neîncredere.
Ca măsură suplimentară, cred că tot mai multă lume a început să înțeleagă importanța efectuării de backup la toată informația importantă de pe PC-ul personal sau de pe cel de la birou.
Totodată, se așteaptă ca și companiile să-și schimbe politica în ceea ce privește sistemele de date/comunicare. Dacă până acum personalul de IT din companiile din domeniul financiar era privit ca personal auxiliar, e de așteptat ca de acum încolo aceste departamente să capete o importanță mai mare în organigrama internă. De asemenea, IMM-urile trebuie să acorde o importanță mai mare acestor aspecte, întrucât ele vor fi targetate îndeosebi de aceste grupuri.
Dacă în cazul companiilor mari există un departament mare care se ocupă de aceste aspecte, cu bugete considerabile, în IMM-uri, de regulă, banii sunt atribuiți creșterii operaționale și deci aspectele de data security sunt lăsate mai la coada listei de priorități.
Ca recomandare (de protecție împotriva atacurilor de ransomware), pentru cei care nu au bugete mari, este să apeleze la soluții de stocare în cloud, unde datele sunt stocate în cloud-uri administrate de companii mari, specializate în astfel de soluții.
O altă schimbare de comportament ar fi segmentarea rețelelor de PC-uri, împărțirea departamentelor din cadrul firmei în subrețele, filtrate între ele prin firewall-uri
cu reguli cât mai stricte, care să permită doar traficul dorit între acest segmente. Toate serviciile active by default ar fi de indicat să fie închise și securizate.
De asemenea, ar fi de dorit ca și administratorii de rețea să adopte o politică de „de-omogenizare“ a rețelelor, chiar și cu riscul creșterii cheltuielilor de administrare. Când zicem „de-omogenizare“, ne referim la folosirea mai multor sisteme de operare pe PC-uri/servere, sau aplicații de la diverși vendori/provideri, astfel încât o vulnerabilitate dintr-un produs instalat pe un PC să nu afecteze și celelalte PC-uri.
Când mă refer la sisteme de operare pentru PC-uri, ar fi bine de luat în calcul nu doar sistemele Windows, de la Microsoft, ci și MAC OS, și chiar diverse distribuții de Linux.
Nu încerc să sugerez că Linux nu e vizat de atacuri informatice, ci doar să spun că un atac (cum sunt cele de tip ransomware) se răspândește mai rapid pe o infrastructură omogenă. Pentru a nu ne crea imaginea că Linux e un sistem bullet-proof, ar fi bine să ne amintim de MIRAI, malware-ul din septembrie 2016, care a țintit sistemele de Linux ne-updatate, îndeosebi camerele de supraveghere și routerele/firewall-uri rezidențiale, ne-updatate, pe care le-a transformat în părți active ale unui botnet, care a reușit să creeze un atac DDOS (Distributed Denial Of Service) și care, la rândul său, a reușit să paralizeze servere DNS ale celui mai mare provider DNS, pe nume DYN, rezultând indisponibilizarea mai multor site-uri de renume, precum Netflix, GitHub, Twitter, Airbnb. În acel caz nu a fost vorba deci despre sisteme Windows, ci de distribuții minimaliste de Linux care nu au fost updatate. Și în acel caz, ca și în atacul WannaCry, s-a văzut că lipsa update-urilor la zi lasă loc vulnerabilităților ce pot fi exploatate.
Crezi că vor urma și alte atacuri, la fel de devastatoare pentru mediul virtual?
Din păcate, după WannaCry va urma un atac mult mai devastator, numit Adylkuzz! Acesta, în loc să cripteze hard-discul victimei, îi va folosi PC-ul ca să facă minning pentru bitcoin. Bazat pe aceeaşi vulnerabilitate pe care s-a bazat şi WannaCry. Lucrurile au început, din păcate, deja să se mişte în acest sens nefast. Eu recomand companiilor să trateze şi segmentul terminalelor mobile, urmând cam aceleaşi reguli amintite mai sus: update-uri, segmentare, ne-omogenizare!
Cum ne aşteaptă o nouă eră în tehnologia informaţiei, în care vom asista la creşterea exponenţială a dispozitivelor IoT, nu ne rămâne decât să ne aşteptăm ca şi acest domeniu să prezinte un interes pentru atacatori, şi deci şi acest aspect ar trebui tratat cu multă atenţie.
Din păcate, după WannaCry va urma un atac mult mai devastator, numit Adylkuzz! Acesta, în loc să cripteze hard-discul victimei, îi va folosi PC-ul ca să facă minning pentru bitcoin. Bazat pe aceeaşi vulnerabilitate pe care s-a bazat şi WannaCry.“
Coduri de exploit se găsesc pe dark net și oricine poate pune mâna pe astfel de coduri, folosite cândva de hackeri nord-coreeni pentru a lansa atacuri pe net. În plus, de regulă, guvernele, atunci când lansează un atac informatic, urmăresc să preia controlul anumitor rețele sau să sustragă informații, dar să rămână incognito.“
Citește ziarul integral în format .PDF aici !