"
Oktobra je bil mesec omrežne varnosti, zato so na nacionalnem centru za obravnavanje omrežnih incidentov SI-CERT so opozorili, da se število varnostnih incidentov na medmrežju iz leta v leto precej povečuje. "Podatki o prijavah incidentov in njihovi obdelavi kažejo, da se je število v sedmih letih povečalo za sedemkrat. Letos jih bomo obdelali že okoli dva tisoč. Torej gre za strmo rast. Napadi pa so tudi vedno bolj sofisticirani. Pri izsiljevalskih virusih se vidi evolucija. Prvi so se pojavili pred petimi leti in so bili precej trivialni. Hitro se je lahko našlo rešitev in okuženi računalnik se je vrnilo v prvotno stanje, tako da žrtvam virusa ni bilo treba plačati odkupnine. Zdaj se uporabljajo šifrirne metode, avtorji virusov pa vedo, kako se izogniti nekaterim hitrim rešitvam, ki bi jih naredila protivirusna podjetja," je za MMC pojasnil vodja SI-CERT-a Gorazd Božič.
Po njegovih besedah zmeraj več ljudi po svetu išče priložnost na strani kriminala, hkrati pa so se začele vmešavati tudi države, predvsem velike sile. "V incident Stuxnet so bili vpleteni Izrael in ZDA, ki so s pomočjo programske kode z virusom sabotirali iranski jedrski program in uničili centrifuge za pridobivanje obogatenega urana. Na drugi strani vemo, da so zelo dejavni Kitajci, ki niso vdirali le v ameriške sisteme, temveč tudi v slovenske državne sisteme. To se je dogajalo predvsem med slovenskim predsedovanjem EU-ju, kar je nekako logično. Takrat gre veliko komunikacije čez predsedujočo državo in je zanimiva za pridobivanje informacij. Z ukrajinsko krizo je postala zelo dejavna tudi Rusija, ki ima očitno precej usposobljene ljudi. Operacije z državnim pokroviteljstvom postajajo vedno bolj sofisticirane," pravi vodja SI-CERTA.
Prav tako še vedno niso zamrla zasebna vdiranja v računalnike, ki jih hekerji izvajajo za lastno zabavo. "Če to postaviš v kontekst medmrežja stvari, omreženih avtomobilov, hladilnikov in drugih naprav, je vse našteto precej skrb vzbujajoče," opominja Božič. Več preberite v intervjuju.
Kateri so bili največji varnostni incidenti, v katere so bili v zadnjem času vpleteni Slovenci.
Matjaž Škorjanec, ki je bil obsojen, ker je napisal zlonameren program, ki ga je nato prodal kriminalcem, ki so zgradili Mariposa botnet (omrežje okuženih računalnikov, ki jih storilec nadzoruje prek kontrolnega strežnika). Ne vem, ali je še vedno zaprt na Dobu. Sebastijan Mihelčič je bil del kriminalne združbe, ki je merila na manjša podjetja v Sloveniji. Cilj so bila njihova računovodstva in prek njih so skušali priti do njihovih e-bančnih sistemov. S kombinacijo virusa, orodij za dostop na daljavo in z malo premišljene taktike so ob koncih tedna našli prižgane računalnike, v katere je bila vtaknjena kartica z digitalnim potrdilom, in so si lahko prenakazovali denar. Vsega skupaj je bilo škode za skoraj dva milijona evrov. To se je dogajalo pred dvema letoma, leta 2014. Preiskava je v sodelovanju s policijo potekala pol leta. Analizirali smo kodo virusa in kako komunicira po omrežju. Tako smo pridobili podatke, ki so policistom omogočili, da so prijeli storilca. Leta 2015 so se kar dva tedna vrstili t. i. "phishing" napadi (kraja podatkov, ki storilcu omogočijo dostop do spletnih storitev v žrtvinem imenu in v skrajnem primeru tudi krajo njegovega denarja) na komitente slovenskih bank. To je bilo kar nenavadno za tovrstne napade, saj se po navadi izvdejo zelo hitro. Storilci poberejo, kar lahko, in izginejo.
Sumljiva elektronska sporočila so bila včasih tako slabo prevedena v slovenščino, da je bilo takoj jasno, da nekaj ni v redu.
V tem primeru so bili prevodi narejeni zelo dobro, zato sumimo, da so bili narejeni v Sloveniji. Dva tedna smo se borili skupaj z bankami in zadevo hitro sporočili medijem, tako da so ljudje vedeli, da morajo biti pozorni.
Kolikšna je bila škoda oz. koliko ljudi je nasedlo je nasedlo lažnim sporočilom bank?
Točnih podatkov nimamo in tudi banke tega ne želijo razkriti. Priznale so, da je prišlo do oškodovanja in številke so bile kar konkretne. V zadnjih zaznanih primerih incidentov obravnavamo vrinjanje v poslovno komunikacijo. Po navadi sta vpleteni dve podjetji, eno v Sloveniji, drugo v tujini, dobavitelj in kupec. Nekdo pridobi geslo elektronske pošte, najverjetneje s "phisingom", ter spremlja komunikacijo med podjetji. V ključnem trenutku, tik preden pride do nabave, sporoči številko lažnega tekočega računa. Zgodil se je primer, kjer bi lahko prišlo do oškodovanja v vrednosti 90.000 evrov, vendar je bila na srečo transakcija ustavljena.
Večja težava, kot je phishing, kjer je treba biti pozoren na lažna sporočila, so izsiljevalski virusi „ransomware“, ki zaklenejo okuženi računalnik, tako da njegov lastnik ne more več dostopati do podatkov. Odkupnina je mogoča le s pomočjo nakupa in nakazila t. i. kriptovalut, kot je bitcoin. Protivirusnim podjetjem je šele nedavno uspelo razbiti nekatere izsiljevalske viruse.
Projekt No More Ransom, v katerem sta sodelovala protivirusno podjetje Kaspersky in Europolov center EC3 (Europol Cyber-Crime Centre), je zbralo vse rešitve na enem mestu. Izsiljevalskih virusov je veliko in v njihovem ozadju je prava industrija. Terminologija, ki se uporablja v oblačnem računalništvu "as a service", je tu "crime as a service". V internetnem podzemlju izsiljevalske viruse na različnih forumih ponujajo kot storitev. Gre za veliko denarja, tako da sodelujejo zelo dobri programerji, ki neprestano iščejo nove rešitve in izboljšujejo programsko opremo. Za nekatere viruse ne bo nikoli drugih rešitev kot plačilo odkupnine. Zato nenehno opozarjamo uporabnike, naj vsaj nekajkrat mesečno naredijo varnostno kopijo svojega računalnika.
Koliko primerov okužb z izsiljevalskimi virusi se je zgodilo v Sloveniji?
Čisto natančno številko je težko podati. Lahko bi dejal, da na Certu izvemo za približno polovico primerov po elektronski pošti, polovica jih je pa po telefonu. Če ugibam, da izvemo za polovico vseh okužb nasploh, kar je zelo konzervativna ocena, potem bi si drznil reči, da je bilo letos v Sloveniji vsaj tisoč posamičnih okužb. To bi pomenilo, da kriminalci z odkupninami samo v Sloveniji lahko računajo na izkupiček tja do pol milijona evrov.
Koliko kriminalnih združb, ki so se ukvarjale z izsiljevanji ali prevarami, so po svetu že razbili oziroma obsodili njihove člane? Zdi se, da v državah nekdanje Sovjetske zveze niso zelo aktivni v pregonu spletnega kriminala.
Govori se, da ruski organi pregona ne preganjajo kriminala, v katerem niso oškodovani ruski državljani. V sklopu nove hladne vojne med Rusijo in Zahodom se takšen odnos zdi dokaj logičen. Velike težave povzročajo tudi kriminalne združbe iz Nigerije, Gane in Slonokoščene obale. Policija je, kot sem videl v nekem dokumentarcu o Nigeriji, precej skorumpirana in nima interesa preiskovati oškodovanja v v vrednosti nekaj sto evrov. Mednarodno policijsko sodelovanje tudi ni popolnoma učinkovito znotraj EU-ja. V primerih phishinga iz leta 2015 so slovenski policisti pojasnili, da je bil, kljub temu, da so hitro izpolnili evropske dokazne naloge, da bi pridobili dokaze iz Romunije, Bolgarije in Španije za denarne mule, preko katerih je potoval denar, odziv zelo počasen. Iz Španije in Romunije so dobili podatke šele po enem letu in to po večkratnih posredovanjih. Od Bolgarov pa še vedno niso dobili informacij. Velika težava je v tem, da si po letu dni s temi podatki ne moremo veliko pomagati. Hrambo prometnih podatkov se precej problematizira in tovrstni podatki se hranijo največ tri mesece. Policijski postopki pa seveda trajajo veliko dlje kot tri mesece. Na tem področju bo treba storiti nekaj novega in poskrbeti za učinkovite kompromise. V idealnem svetu bi morali posodobiti mednarodno sodelovanje policije, ki je na številnih področjih precej zbirokratizirano. Vendar ne samo pri policiji, temveč tudi pri drugih pristojnih službah. Pri goljufijah z različnimi preparati imajo inšpektorati pristojnosti le v svojih državah. Nekdo prodaja nevarne preparate, recimo, na nemški spletni strani in meri na slovenski trg. Vendar kolikor vem, inšpektorata ne moreta primera nemudoma predati drug drugemu. Mednarodno sodelovanje organov pregona je uspešno le tedaj, ko gre za skupne koordinirane akcije. Zato mislimo, da je zelo pomembno ozaveščanje uporabnikov in z njim želimo ljudi opozoriti, kaj je trenutno aktualno. Tako lahko uporabniki sami znižajo tveganje pri sebi. Tako, da se seznanijo s tem, na kaj je treba paziti.
Kako najpogosteje prihaja od okužb z izsiljevalskimi virusi?
Večina okužb še vedno poteka po elektronski pošti. V nekaj valovih so prihajali lažni računi nemškega Telekoma in drugih telekomunkacijskih operaterjev. Ljudje so odpirali priponke, da bi videli, za kaj sploh gre. Običajno je potrebna dejavnost uporabnika, da s klikom nekaj zažene.
Kako so še sploh učinkoviti protivirusni programi?
Protivirusni programi zaznajo stare groženje. Pisci virusov imajo tudi sami protivirusne programe, zato pišejo takšne viruse, ki jih ni mogoče zaznati. Protivirusni programi zaznavajo določene vzorce in se pozneje prilagodijo na prepoznavanje teh virusov. Toda od trenutka, ko virus spustijo v omrežje, do posodobljenja protivirusnih programov, lahko mine nekaj tednov. V tem času imajo kriminalne združbe priložnost za svojo kampanjo. Razvijalci protivirusnih programov so najbrž celo zadovoljni zaradi teh virusov, saj dobivajo nova naročila. Zdaj se že pojavljajo nove tehnike prepoznavanja virusov, tako da protivirusni program prepoznava „nečiste“ namere programa, ki se je zagnal. Gre za neko stalno bitko, večina protivirusnih programov pa virusov sprva ne prepoznava. Z vzorci virusov preverjamo, koliko protivirusnih programov, na trgu jih je okoli petdeset, jih sploh zaznava. Ni nenavadno, če dobimo rezultat: nič.
Virusi so v preteklosti večinoma povzročali le težave uporabnikom. S priljubljenostjo kriptovalut, kot je bitcoin, pa nekateri skušajo z virusi dobro zaslužiti.
Kriptovalutam je težje slediti kot običajnim valutam. Nekatere banke, predvsem britanske, omogočajo zelo enostavno odpiranje računov. Sam sem slišal, da celo v Sloveniji obstaja banka, kjer je mogoče odpreti račun zgolj s fotokopijo osebnega dokumenta, samo da banka pridobi nove stranke. To je lahko povezano s krajo identitete, tako da nekomu ukradejo skenirane osebne dokumente s pomočjo goljufije ali pa, recimo, z vdorom v računalnik kakšne manjše turistične agencije, ki ima skenirane kopije osebnih dokumentov svojih strank, ki so jih poslali po elektronski pošti. Z ukradenimi kopijami dokumentov izdelajo lažne osebne dokumente, ki niso nujno niti dobro narejeni. Večina bančnih uslužbencev v evropskih državah ne ve, kakšna je v resnici slovenska osebna izkaznica, s katero so odprli račun. Tako dobijo kratkotrajno odložišče denarja. Kriptovalute pa so to še poenostavile. Uporabo bitcoina pri nas vidimo predvsem kot sredstvo, ki je v uporabi kriminala, čeprav takoj tudi priznam, da smo tukaj pristranski. Toda dejstvo je, da se kriptovalute uporablja za kriminalne dejavnosti. Kakšnega resnega poslovanja z bitcoini na medmrežju še ni. Vprašanje je sicer, kaj bo prinesla prihodnost. Toda ali je nesledljivost finančnih transakcij res neka pomembna pravica, za nas, ki spoštujemo zakone, in za katero se moramo boriti? Ali gre zgolj za oviro pri pregonu medmrežnega kriminala? Na drugi strani se, recimo, zavzemamo za ukinitev anonimnosti bančnih računov v tujini in preglednost pretoka denarja, da tako nadziramo korupcijo, izžemanje podjetij in se bojujemo proti pranju denarja. Bitcoin pa je povsem na nasprotnih načelih. Tu smo rahlo shizofreni.
Koliko pa je sicer primerov kraje identitete, povezane s Slovenijo. Ali je imel kakšen slovenski državljan resne težave zaradi ukradenih kopij dokumentov?
V zadnjih letih ni bilo odmevnejšega primera. Bolj gre za kraje omrežene identitete, ko se nekdo polasti recimo računa na Facebooku ali Gmailu. V Sloveniji je zelo popularno, da, recimo, nekdo ukrade identiteto svojemu nejdanjemu partnerju in mu povzroča težave na Facebooku.
Katere so še znane nevšečnosti, ki jim podlegajo uporabniki spleta?
Veliko je najrazličnejših ponudb različnih priložnosti ali storitev, do on-line posojil, ki so kar problematični. Težava je lahko tudi spletno nakupovanje. Veliko časa smo poslušali, kako ugodni so spletni nakupi in kakšne ugodnosti se ponujajo. Ljudje nasedajo lažnim spletnim ponudbam z velikimi popusti in se nato čudijo, kako so bili lahko tako ogoljufani. Mogoče je vzrok tudi to, da v Sloveniji živimo v relativno varnem okolju. Kar najbrž pogojuje tudi naše obnašanje na spletu.
Poleg kriminalnih združb je pri povzročanju nevšečnosti na medmrežju še vedno prisotna mladostniška objestnost. Eden zadnjih večjih DDoS (Denial Of Service – napad na strežnike, ki preprečuje dostop do njih) napadov na strežnike naj bi glede ugotovitve ene izmed protivirusnih podjetij povzročili mladostniki, ki so orodja za napad nabavili na spletnih forumih.
Eden od povodov za napad naj bi bila zgodba o dveh mladih Izraelcih, ki sta ponujala storitve DDoS napada. Avtorju zgodbe so nato napadli spletno stran, saj jim je ogrozil prihodke. V bistvu gre že za mafijski način maščevanja zaradi pokvarjenega posla. Pri internetu stvari (digitalni snemalci, spletne kamere, pametni hladilniki in druge naprave priključene na internet) se je izkazalo, da je veliko stvari nezaščitenih in nekdo je izgradil tako ogromen botnet iz njih. Če bi se nekdo spravil na slovenske cilje, nekaj časa ne bi imeli interneta.
Kako dobra je zaščita računalniških sistemov v Sloveniji?
Fokus države je bil usmerjen v druga področja in informacijsko družbo se je zapostavljalo zadnjih deset let. Na vrhu države se sedaj kaže neko zavedanje, da se to spremeni. Veliko vprašanje pa je, ali smo pripravljeni presekati gordijski vozel birokratskih omejitev, ki smo si jih postavili do popolnih absurdov.
Kateri so najbolj absurdni primeri?
Na Certu smo denimo štirje zaposleni, od tega se trije ukvarjamo z omrežnimi incidenti. Večkrat poudarim, da je to tako, kot da bi bili le trije gasilci za celo Slovenijo. Graf incidentov v zadnjih letih gre strmo navzgor. Zakon o uravnoteženju javnih financ pa tudi predvideva, da so nove zaposlitve dovoljene, če gre za večji obseg dela. Pošiljali smo prošnje, vendar nismo dobili nobenega odgovora, kar se mi zdi precej nespodobno. Mogoče nihče noče prevzeti odgovornosti. Zdaj smo zelo podhranjeni, sistem kibernetske varnosti pa je treba nadgraditi. Potrebujemo nove ljudi, vendar gre za specializacijo, ki je podobna zdravniški. Delo omrežne varnosti pač ni takšno, da bi lahko pobrali informatika s ceste in bi to že znal delati. Ko se že vsi pristojni strinjajo, da je treba nekaj narediti, se pojavi tisoč in ena birokratska ovira, da do tega ne pride. V Sloveniji smo očitno genialni, da si zakompliciramo svoje življenje.
Slovenija je v času nekakšne nove hladne vojne med Zahodom in Rusijo, Kitajska tudi ni nedejavna, torej precej nepripravljena za morebitne kibernetske napade. Kako je sicer ogrožena, glede na dejstvo, da je del Nata?
Slovenija je tarča napadov in ti se dogajajo. Koliko zadev opazimo in koliko ne? Sam sistem za odzivanje na incidente se ni krepil pravočasno in posledica tega je možnost, da obstaja del, za katerega sploh še ne vemo. Konec koncev tudi velike države šele kasneje opažajo, da so se jim zgodili vdori v sisteme. Na srečo obstaja dobra izmenjava podatkov znotraj EU-ja in Nata, tako da izvemo za incidente. Nekaj pa jih zaznamo tudi sami. Mislim, da je napočil čas, da se nekaj več sredstev nameni aktivnejši zaščiti določenih sistemom, neki kritični infrastrukturi.
Ali bi se Sloveniji lahko zgodil iranski primer (Stuxnet)?
Podoben primer je bil t. i. „Black Energy“, ko so Rusi odklopili elektriko četrtini Ukrajine. Takšne zadeve se bodo še dogajale. Vse velike vojske računajo na kibernetsko komponento, kot podporno komponento pri vojaških akcijah. Lahko ponovim, da se to dogaja večjim državam, ki več vlagajo in bolje skrbijo za sistem kibernetske obrambe, zakaj se potem to ne bi moglo zgoditi pri nas?
Če se na nekih državnih ravneh dogaja kibernetska vojna, se najbrž na poslovni ravni dogaja industrijsko vohunjenje. Kako pogosti so ti primeri?
O tem vemo zelo malo, saj nobena gospodarska družba javno ne razlaga, da je prišlo do vdora v njene računalnike. Vemo, da se nekaj dogaja, vendar je o tem težko govoriti, ker je premalo podatkov.
Internet stvari postaja vedno bolj popularen, omenili pa ste, da naprave sploh niso primerno zaščitene. Lahko pride do resnih zlorab?
Spletne kamere, pametni hladilniki, set top boksi … so izjemno površno narejeni in zmeraj bolj jasno, je, da jih ne bi smeli pustiti na trg. Izdelana bi morala biti neka varnostna merila in seznam zahtev, ki bi jih morale naprave izpolnjevati za priklop na medmrežje. Mogoče je rešitev v tem, da bo prišlo do neke velike mednarodne tožbe in bo neko podjetje odgovarjalo za to. V glavnem gre za enega dominantnega proizvajalca, ki je dal zadeve na trg brez kakršnih koli zaščit, s privzetimi gesli. Industrija je branila ta sistem, da to pač ne more biti tako kot pri avtomobilski industriji, saj je potreben hiter razvij in inovacije.
Avtomobili postajajo vse bolj avtonomni in hekerji so že dokazali, da lahko vdrejo v avtomobilske sisteme in na neki način prevzamejo nadzor nad njimi.
Avtomobilska industrija se je hitro odzvala in velike korporacije vlagajo v zaščito in se udeležujejo vseh konferenc o nednrežni varnosti. Tesla celo sodeluje s hekerji in jih celo najema, da preizkušajo njegove sisteme. Takšen proaktiven pristop je dobrodošel. Kakšen incident se bo najbrž še zgodil, vendar imam upanje, da bo avtomobilska industrija hodila v korak s časom. Pri medmrežju stvari pa bi morali podjetju, ki trži nezaščitene izdelke, prepovedati prodajo v Evropi.
Ali so se s pomočjo medmrežja stvari zgodili že kakšni resni incidenti v Sloveniji ali Evropi?
Obravnavali smo že nekaj incidentov, vsako leto imamo kar nekaj DDoS-napadov. Toplotne postaje manjših ustanov in zasebnih hiš so bile dostopne vsem na medmrežju, pred kratkim pa smo obravnavali tudi vdore v davčne blagajne. Zgodila se je tudi izpostavljenost slovenske hidroelektrarne, ki je imela odprta stranska vrata in javno objavljeno kodo.
Kaj se je zgodilo s tem primerom?
Najslabša je bila njihova reakcija, potem, ko smo razkrili njihovo ranljivost. Najprej so zanikali, da bi šlo za kakršno koli težavo. Nato so nas začeli spraševati, kdo sploh smo mi, kakšne pristojnosti imamo, da preverjamo njihovo elektrarno. Težko jim je bilo razložiti, da gre za javno objavo na medmrežju in da so nas opozorili iz ZDA, naj primer preverimo in sporočimo elektrarni. Namesto zahvale za opozorilo smo bili deležni groženj z morebitno tožbo. Takšen odnos menedžmenta v energetskem sektorju vsekakor ni dober. Vendar je to na žalost še vedno pogost odziv v gospodarstvu. Pozitivno bi izpostavil le bančni sektor, ki pa je vseskozi pod udarom. Na lastni koži so spoznali, da je sodelovanje z nami koristno tudi za njih same.