Crna kronika, Hrvatska, ICT, Internet

Ponedjeljak, 15.05.2017.

Tagovi: wannacry, cyber napadi

  • 12:14

Even parity

Cybersmak svijeta!

Veliki broj zaraza koje se ipak događaju unatoč davno objavljenim zakrpama pokazuju kako su ljudi i organizacije needucirani i nonšalantni sa svojim podacima: nekoliko jednostavnih koraka koji bi trebali biti dio svačije digitalne higijene mogli su spriječiti zarazu

Piše: Radoslav Dejanović


Čuli ste, posve sigurno ste čuli o smaku svijeta koji se događa na Internetu: zli malware pali, ruši i gazi sve pred sobom! Zaključajte žene i djecu, iščupajte kablove iz računala i pospremite diskove u sefove!

Ok, stanje jest ozbiljno, ali koliko? Rekao bih da je stanje, u svoj svojoj ozbiljnosti, zapravo poprilično neozbiljno.

Da, da, lako je meni smijati se jadnim korisnicima Windowsa dok pišem ove retke na ružnom, beskorisnom i besplatnom Linuxu na kojem se nikakav ozbiljan posao ne može obaviti. A nema ni MS Office za njega.

Šalu nastranu, situacija jest neozbiljna i ne bi bila katastrofalna da se čovječanstvo drži nekih uzusa računalne sigurnosti, no krenimo redom.

WannaCry je malware koji koristi dva glavna načina infekcije kako bi napao korisničko računalo, šifrirao korisničke podatke i zatražio otkupninu. Tehnikalije možete potražiti u mojem članku na Sistemcu koji bi trebao biti dostupan otprilike kad i ovaj tekst kojeg čitate, a ovdje ću pokušati jednostavnim riječima objasniti što se događa, zašto se događa i svakako najvažnije: kako se zaštititi.

Kako sam već spomenuo, digitalna pošast koja upravo kruži Internetom je ništa više niti manje već malware: program napisan za samo jednu svrhu, da zarazi korisnikovo računalo, enkripcijom učini njegove podatke nečitljivim i potom zatraži otkupninu (obično u Bitcoin valuti) za ključ kojim korisnik može dešifrirati svoje podatke i dobiti ih nazad u čitljivom obliku.

Ransomware je izuzetno popularan vid cyber-kriminala ovih dana jer na relativno lagan način može “pronaći” žrtvu, a žrtva može platiti ucjenu na način koji institucijama koje rade svoj posao čini isti taj posao izuzetno teškim, čak i kada zaista rade svoj posao. Tako kriminalac može vrlo lako i na relativno siguran način pljačkati žrtve širom svijeta.

Naravno, puno je onih koji ne žele platiti, no u tom slučaju bolje im je da imaju negdje pospremljene nezaražene sigurnosne kopije svojih podataka.

WannaCry, kako se zove ovaj kataklizmički softver, radi to i samo to; po svojim se nakanama ne razlikuje od bilo koje druge ransowmare gamadi za koju smo već imali prilike čuti, no ono što ga razlikuje – i što ga čini opasnim – jest njegova mogućnost da direktno zarazi računala na Internetu.

Klasični ransomware, naime, vrlo često, pače najčešće, ne koristi suptilne tehnike napada; umjesto da se zamaraju otkrivanjem sigurnosnih propusta, autori se puno češće oslanjaju na tzv. socijalni inženjering: iskorištavanje korisnika kao slabe karike u lancu.

Socijalni inženjering može imati puno lica i jedna je od poznatih tehnika prilikom skupljanja podataka o žrtvi ili aktivnog procesa napada na žrtvu, a malware koristi najčešću i vrlo jeftinu taktiku skupljanja žrtvi slanjem zaraženih e-mail poruka. Znate kako već to ide... poruka koja obećava neslućena bogatstva, povećanje pimpeka, besplatan pristup porno sajtovima, izvod iz vama nepoznate banke, račun tvrtke za koju nikad niste čuli...

Ovdje moram napomenuti da sam i sam nedavno primio zaraženu poruku koja je, a što je vrlo neobično, bila krivotvorena tako da izgleda kao prava: hrvatski pošiljatelj, poruka na tečnom i ispravnom hrvatskom jeziku, kontekst relevantan i uistinu izgleda kao ozbiljan poslovni mail jedne tvrtke koja se bavi pošiljkama. Samo što transakcija koju spominje e-mail nema veze sa mnom. Znatiželjan, otvorio sam privitak (jer koristim Linux pa sam prirodno imun na Windows viruse i takve digitalne beštije) i naravno, u primitku ransomware.

Ne pokušavajte ovo kod kuće.

Svaku e-mail poruku za koju niste apsolutno sigurni da je u redu obrišite. Ono što sam htio ovom prilikom naglasiti je da se ne smijete oslanjati na gramatički i pravopisno loše poruke kao indikator sumnjivosti; ima i Hrvatska svojih e-kriminalaca: što sposobnih, što pismenih.

WannaCry, dakle, koristi i taj način napada pomoću zaraženih poruka i općenitog iskorištavanja naivnosti neupućenog korisnika, no isto tako on može zaraziti računalo i bez uplitanja korisnika u tu priču.

Taj drugi način, zanimljivo je, iskorištava jedan od trikova u grupi alata koje NSA koristi za ubacivanje u tuđa računala, a koje je crnokapaška (black hat, digitalni crnokošuljaši ali ovi imaju šešire jer je bedasto nekog nazvati crnoteširtaš(*)) grupa The Shadow Brokers.

Konkretno, na svjetlo dana izašla je grupa alata koju su good guys(?) iz NSA koristili da bi bez znanja svoje mete zarazili računalo i dočepali se podataka na njemu. Da bi to ostvarili, koriste alate koji iskorištavaju sigurnosne propuste u operacijskom sustavu Windows (desktop i server verzijama, a imaju posve sigurno slične alate i za Mac i Linux) kako bi automatski i poprilično nevidljivo zarazili žrtvino računalo: jedan dan kucate tako po Internetu, a drugi dan vas NSA špija kroz kameru na laptopu i srče vaše dokumente, a vi blaženo nesvjesni...

Dakako, nakon što je grupa dala u javnost sve te nezgodne alatiće (nakon što su ih bezuspješno pokušavali prodati na aukciji), u roku od dva tjedna pojavili su se prvi zli plodovi, a mediji su krenuli s panikom.

Ono što ovaj napad čini tako uspješnim i toliko rasprostranjenijim od “klasičnih” ransomware napada je činjenica da osim socijalnog inženjeringa koristi i propust u SMB protokolu kojeg Windows koristi za pristup dijeljenim resursima (diskovima, drugim računalima, drugim uređajima...) kako bi izvršio maliciozni kod direktno na napadnutom računalu, bez znanja korisnika tog računala.

Ključni moment u toj priči je da računalo mora biti dostupno: u lokalnoj mreži to nije problem, pa jedno jedino računalo zaraženo pomoću socijalnog inženjeringa može bez problema zaraziti sva ostala računala u lokalnoj mreži: na loše održavanom sustavu masovna infekcija je zagarantirana.

Drugi način napada je traženjem računala na Internetu koja imaju otvoren i pristupačan SMB port.
To je najneozbiljniji dio priče: vrlo, vrlo rijetko – ako ikad – računalo treba imati SMB port izložen Internetu. Zapravo, dosta je teško imati SMB port izložen Internetu: ako računalo ima uključen vatrozid (hrvatski: firewall), ako router (ona kutijica koju vam da ISP) ima uključen NAT i firewall, ili ako tvrtka u kojoj radite ima firewall – male su šanse da će vaše računalo biti izloženo napadu s Interneta.

Praktično, uobičajene postavke kućnog Interneta: router s NAT-om i Windows računalo ne bi trebale dozvoliti upad izvana. Uključite li firewall na routeru bit ćete dovoljno sigurni; imajte na umu da uključivanje shared foldera ili dijeljenje datoteke na Windows računalu automatski “buši rupu” u firewallu tog računala, odnosno otvara mogućnost drugima da komuniciraju SMB protokolom sa tim računalom; stoga nemojte ovisiti samo o firewallu na računalu, obavezno si aktivirajte firewall na još jednoj točci između vas i Interneta: ako nemate hardverski firewall, onaj na routeru je zadovoljavajuće dobar.

No, da ne biste pokupili ovo digitalno zlo dovoljno je nešto vrlo jednostavno: trebate imati instalirane sigurnosne zakrpe na vašem računalu!

I to je to. Ni više ni manje. Digitalna higijena spašava od automatiziranog napada. Na socijalni inženjering ste i dalje osjetljivi, naravno.

Naime, Microsoft je već prije dva mjeseca (dva! dva mjeseca, cyberkrvtij.. pardon!) izdao sigurnosne zakrpe za propuste koje WannaCry iskorištava. I svatko tko ima up-to-date Windowse trebao bi biti siguran od ove napasti.

Ima tu jedna zanimljiva špekulacija, jer je Microsoft vrlo brzo izdao te sigurnosne zakrpe baš negdje u vrijeme kad se dogodila krađa NSA alata: za pretpostaviti da je došlo do “tihe komunikacije” između agencije i tvrtke čim je krađa otkrivena.

Držite li vaša računala ažurnim što se tiče Microsoftovih zakrpa, možemo reći kako ste poprilično sigurni. Ako pritom koristite i antivirus, još ste i sigurniji jer će on uglavnom spriječiti napade socijalnim inženjeringom – no ovdje uvijek morate imati na umu da su tvorci virusa korak ispred tvrtki koje rade antiviruse: antivirusna zaštita nije 100% učinkovita i vrlo je osjetljiva na napad novim i dosad neviđenim digitalnim zlom. Nemojte se previše opustiti.

Ali da, ako imate ažuran antivirus i redovito održavate digitalnu higijenu, i vama se ova medijska panika može učiniti neozbiljnom.

Međutim, veliki broj zaraza koje se ipak događaju unatoč davno objavljenim zakrpama pokazuju kako su ljudi i organizacije needucirani i nonšalantni sa svojim podacima: nekoliko jednostavnih koraka koji bi trebali biti dio svačije digitalne higijene mogli su spriječiti zarazu.

A ona je posebno opasna zbog jednog novootkrivenog momenta: pojavile su se glasine da, čak i ako platite otkupninu za vaše podatke, netko treba generirati ključ za dešifriranje. Ako je istina da to nije automatiziran proces i da zahtijeva ručnu aktivaciju, moglo bi se dogoditi da žrtve tjednima čekaju na red da dobiju svoj ključ za dešifriranje unatoč plaćenoj otkupnini. Drugim riječima, ne samo da bi vaši podaci mogli završiti zaključani, već postoji opasnost da unatoč plaćanju otkupnine ne dobijete ključ.

Kako se zaštititi od tog i takvih napada? U suštini, razumna količina digitalne higijene trebala bi biti dovoljna:

1. Trebate uvijek instalirati sigurnosne zakrpe. Ovo je tako ozbiljan problem da je Microsoft izdao ekstra zakrpu za Windows XP, pa ako ste dovoljno ludi da i dalje koristite taj OS, instalirajte tu zakrpu. Za vaše je dobro.

2. Uključite vatrozid na tom malom kućnom routeru (kakav koristi i većina tvrtki koje nemaju poseban priključak na Internet). Ne troši vam struju, ne jede vam kruha, a pomoći će blokiranjem ovog i drugih sličnih napada.

3. Imajte ažuran antivirus. Ako ste škrti ima ih i dobrih, a besplatnih. Čak je i Windows Defender Ok. Samo koristite nešto antivirusno i neka vam to bude uvijek ažurirano.

4. Uključite mozak. Ovo je najkompliciranija točka, ali i najbolja zaštita: većina infekcija danas se događa zato što je korisnik otvorio neki zloćudan e-mail privitak ili odsurfao na neku stranicu ne razmišljajući pritom. Uostalom, pitajte bilo kojeg IT stručnjaka: kad se radi o Internetu i računalnim tehnologijama, dobro je biti umjereno paranoičan.

5. Backup. Sigurnosna pohrana podataka. Fizički odvojena. Redovita. Bez primjedbi, molim!

(*) Razlikovanje hackera kao white-hat i black-hat zapravo ima veze sa Western filmovima, u kojima bi dobar lik obično nosio bijeli šešir, a filmski zlikovac crni.

Autor je jedan od vodećih domaćih informatičara i ekspert za slobodni softver, informatički novinar, bivši stručni savjetnik za informatiku u poglavarstvu Grada Zagreba i vlasnik tvrtke Operacijski sustavi. Jedan je od 25 najboljih IT konzultanata u Hrvatskoj, prema izboru korisnika tih usluga. Autor je i SF knjige 'Umišljena inteligencija', koju u obliku e-booka možete besplatno skinuti na svoj Android uređaj s Google Play.

Izvor: Monitor.hr