Media obiegają informacje o sparaliżowanych firmach i instytucjach na Ukrainie, w Rosji, Polsce, Europie Zachodniej i Stanach Zjednoczonych. Problemem jest wirus żądający okupu. O tym, z jak poważną sytuacją mamy do czynienia, opowiada dr inż. Tomasz Gierszewski z Wydziału Elektroniki, Telekomunikacji i Informatyki Katedry Teleinformatyki Politechniki Gdańskiej.
Według agencji prasowych, ucierpiały między innymi system bankowy Ukrainy, nieczynna elektrownia w Czarnobylu, rosyjski koncern naftowy Rosnieft. Atak dotknął duński koncern A.P. Moller – Maersk, franuski Saint-Gobain. W Polsce problemy sygnalizuje między innymi Grupa Raben.
Sebastian Kwiatkowski: Jaka była pierwsza pańska myśl, kiedy dowiedział się pan o ataku?
Tomasz Gierszewski: Kolejny trudny przypadek nękający wiele osób.
Do takiej sytuacji musiało dojść? To częste?
Zacznijmy od końca. Obecnie pliki, którymi posługują się napastnicy, są zaszyfrowane w sposób matematycznie prawidłowy. Do niedawna ransomware, czyli oprogramowanie szyfrujące – utajniające informacje należące do użytkownika – zawierało błędy. Dzięki temu zaszyfrowane dane, można było samodzielnie odszyfrować, bez zgadania się na warunki proponowane przez atakującego. Wydaje się, że te czasy minęły.
Jak to oprogramowanie dostaje się do naszego komputera? Za sprawą skrzynki mailowej, skąd potem rozsiewa się po wszystkich komputerach w sieci? Czy może jest jak wirus, który dłuższy czas czeka na moment, kiedy dostanie hasło do ataku, jak to przedstawia w filmach SF?
Wszystkie te możliwości są technicznie możliwe i wykorzystywane. Jednak najpowszechniejsze wektory ataków to korespondencja e-mail i klikanie niewłaściwych odnośników lub korzystanie ze stron www w taki sposób, że kolejne kliknięcie doprowadza do kompromitacji naszego systemu komputerowego.
Problem dotknął gigantów na całym świecie. Można było się przed taką sytuacją zabezpieczyć?
Jako osoba zajmująca się bezpieczeństwem, podzielam zdanie innych specjalistów z branży i uważam, że całkowite zabezpieczenie się jest niemożliwe. Możemy korzystać z metod ochrony, ale w przypadku ataków celowanych, z którymi – na szczęście – nie tak często mamy do czynienia, ta ochrona jest bardzo trudna.
Jakie grzechy się mszczą? Patrzymy na firmy, które mają dużo do stracenia. Wydawałoby się, że takie instytucje powinny być zabezpieczone idealnie. Jednak jest ktoś, kto z nimi wygrywa.
Umysł kontra umysł – to rodzaj walki, w czasie której front przesuwa to w jedną, to w drugą stronę. Przeciętny użytkownik, by uchronić się przed atakiem, musi w sposób świadomy otwierać załączniki, ostrożnie podchodzić do niechcianej korespondencji i zachowywać rozsądek w czasie przeglądania stron www. Powtarzamy to jak mantrę. Niestety, czasem ze zdrowym rozsądkiem wygrywają pośpiech bądź rutyna.
To jakich załączników nie otwierać?
Tych sprawiających wrażenie podejrzanych. Dokładnie wczoraj konsultowaliśmy się z kolegą w sprawie pewnej wiadomości e-mail. Wyznacznikiem tego, że wiadomość jest podejrzana, była literówka w adresie nadawcy. Domena była łudząco podobna, jakkolwiek inna od tej oryginalnej. W tym przypadku była to próba wyłudzenia informacji.
Czy przez plik pdf lub obraz w formacie jpg da się zarazić komputer?
Zarażenie przez plik pdf jest jak najbardziej możliwe. Znane są takie i narzędzia, i rozwiązania podnoszące bezpieczeństwo plików pdf. Przez obraz jpg jest to trudniejsze.
Cyberprzestępcy szyfrują cenną dla nas zawartość komputera i żądają – jak podają agencje prasowe – 300 dolarów w bitcoinach. Zatem nie chodzi o ogromne pieniądze, może lepiej zapłacić?
Dobrym zwyczajem jest niewchodzenie w relację z napastnikami. Powinno się też tworzyć kopie bezpieczeństwa. Jeżeli utracimy dane od czasu wykonania ostatniej kopi, robionej np. co tydzień, ta strata jest do odrobienia. Jeżeli utracimy zawartość rocznej pracy, trzeba się poskrobać po głowie, pamiętając, że nadal są to napastnicy – i tak należy tak do niego podchodzić.
W mediach słyszymy się, że trwa „wojna” z hakerami. Tu mówimy o epizodzie, kiedy my przegraliśmy. Ale może, w tej niewidzialnej dla przeciętnego Kowalskiego wojnie, więcej potyczek wygrywają informatycy od spraw bezpieczeństwa?
Napastnicy zdają się być w przewadze. Na potwierdzenie tych słów mogę jedynie dodać, że w doniesieniach na temat ransomware, w tym na temat ostatniego ataku Petya, pojawiają się informacje o istnieniu całego podziemnego rynku oprogramowania i usług związanych z wymuszeniami i naruszaniem bezpieczeństwa informatycznego. To jest ciemna strona internetu – ukryta przed przeciętnym Kowalskim.
Wiadomo, kto stoi za atakiem? Mówiąc o wirusie Petya, wskazuje się grupę Lazarus związaną z Koreą Północną.
Myślę, że jest za wcześnie na wyciąganie takich wniosków.
Ile czasu potrzebujemy, żeby się z tego wylizać? Żeby logistyka, banki, transport, firmy produkujące słodycze w Stanach Zjednoczonych ruszyły?
Sądzę, że niezbyt długo. W korporacjach przyjęto bardzo restrykcyjne polityki odzyskiwania danych i tworzenia kopii bezpieczeństwa, więc odtworzenie stanu sprzed kliku dni powinno potrwać nie dłużej niż parędziesiąt godzin. Zatem już wkrótce firmy uporają się z utratą tych kilku roboczodni i będzie można mówić o powrocie sprawności systemów.
Nie ma się co bać, że świat stanie?
Myślę, że nie.
XXI wiek będzie czasem takich cyberwojen?
Tego przypadku nie nazwałbym cyberwojną, ale – tak jak powiedziałem – tendencja jest zwyżkowa. Nie chciałbym nadmiernie godzić w nasze emocje, ale chyba jeszcze kilku takich doniesień możemy się spodziewać.
Z lekcji informatyki w liceum pamiętam, że bezpiecznym komputerem jest ten, który nie jest podłączony do sieci. Chociaż pewnie w naszych czasach to utopia.
Komputer odłączony od sieci traktuje się jako bardziej bezpieczny, chociażby z konieczności fizycznego kontaktu z taką maszyną. Niemniej warto zdawać sobie sprawę, że w przypadku, kiedy dojdzie do takiego fizycznego kontaktu, taki komputer może być o wiele bardziej narażony niż komputery podłączone do sieci.
Możesz też posłuchać rozmowy Sebastiana Kwiatkowskiego z doktorem Tomasz Gierszewskim:
sk/puch
