Ransomware - primer kao upozorenje

Ransomware napad čine zlonamerni program koji enkriptuje podatke žrtve i napadač koji kasnije tim žrtvama traži svojevrsnu otkupninu za njihovo otključavanje (ransom - otkupnina). Žrtva nema više pristup podacima dok ili ne plati otkupninu od hakera ili dok ne vrati bekap (rezervna kopija podataka), što može potrajati i danima, u zavisnosti od kompleksnosti sistema i količine podataka. Po običaju se otkupnina plaća bitkoinom (kriptovaluta - ili ektronski novac) jer se takve transakcije ne mogu pratiti i žrtva ne zna kome je otišao novac.

Naravno da problem nastaje kada žrtva nema bekap, pa je primorana da hakerima plati traženu sumu, što je apsurdno ponekad jeftinije rešenje od ponovnog uspostavljanja sistema. Nakon uplate hakerima, žrtva dobija ključ kojim otključava (dekriptuje) svoje podatke i opet im ima pristup.

Deluje kao scena iz filma, ali ovo je već par godina realnost sa kojom se susrećemo sve češće. Ovo se naravno lako može izbeći korišćenjem propisnih sigurnosnih protkola i mera zaštite, a bekap uvek treba da bude ažuran čime se šteta minimalizuje. Šteta će uvek postojati čak i u slučaju da žrtva ima bekap, jer ponovno uspostavljanje kompleksnog sistema od nule zahteva veliko vreme za koje su nedostupni servisi koje žrtva pruža.

U slučaju Novog Sada svi servisi koje grad pruža, time efektno dovodeći do svojevrsnog prestanka funkcionisanja gradskih sistema, a ponovno uspostavljanje takođe puno košta jer je potrebno angažovati po običaju dodatni stručni kadar.

Da bi se sprečio ovaj tip napada, sistem mora uvek da ima najnovije zakrpe (ispravke propušta u sistem) jer po običaju virusi iskorišćavaju te bezbedonosne propuste u sistemu, isti je slučaj i kod ransomware napada. Još 2017. kada se pojavio prvi ransomware napad - wannacry, microsoft je zakrpio čak i one sisteme kojima je zvanično istekla podrška godinama pre, zato jer je postojala pretnja da stanu bitne institucije poput bolnica ili aerodroma. Nakon toga, 2018. pojavio se novi propust pogodan za ransomware programe i tada se takođe pojavio još jedan patch koji je takođe ponuđen vlasnicima zastarelih sistema bez zvanične podrške, tako da su stvarno svi imali dovoljno vremena da se spreme i iste zakrpe apliciraju.

To bi trebalo da bude poznato osobi koja se bavi održavanjem sistema, međutim sve zakrpe i ažuriranja ne vrede puno ukoliko korisnici nisu edukovani u smislu cyber sigurnosti i upoznati sa sigurnosnim protokolima kao i da adekvatno reaguju na sumnjive mejlove i situacije. Za sve takve situacije treba da postoji interna procedura koju propisuje IT administrator ili firma koja je zadužena za bezbednost institucije ili preduzeća.

Jer, svaka zaštita je nepotpuna, ukoliko korisnici sistema nisu prošli makar osnovnu edukaciju po pitanju sigurnosti koja bi minimalno trebalo da sadrži teme kao što su pravilan izbor i upotreba lozinki, razmena lozinki na siguran način, kao i čuvanje istih. Zatim bi trebalo i da se upoznaju sa sigurnim pristupanjem servisima i autorifikacionim formama, da znaju da prepoznaju lažne od pravih, a poseban deo edukacije treba da bude siguran pristup i sigurnost na društvenim mrežama.

Takođe je bio bitan deo posvećen e-mailu i proveri autentičnosti istih. E-mail je po običaju najkorišćeniji alat hakera za ubacivanje virusa i malwera, a u skorije vreme češći primeri su zloupotreba identiteta e-mail poruka u svrhu naplaćivanja lažnih faktura. To je što se tiče obuke krajnjih korisnika osnova.

Drugi nivo edukacije bi uključivao IT podršku u firmama i državnim institucijama koja bi trebalo da vodi računa o tome da su sistemi uvek zakrpljeni sa poslednjim zakrpama kao i da vode računa o bekapu, kao i načinu njegovog skladištenja, jer bekap ne vredi ništa ukoliko se i live i bekap kopija npr. baze nalaze na istom hard disku, čak i u istoj prostoriji ili u istoj zgradi. Jedini siguran bekap je kada rezervnu kopiju podataka i/ili baze imate off-site ili na udaljenoj lokaciji.

Mnogi se u današnje vreme odlučuju za opciju skladištenja bekapa online ili u cloudu što je manje sigurna opcija. U tom slučaju takvi podaci moraju biti enkriptovani pre slanja. Međutim, dobra sigurnosna praksa je da se bitni podaci, posebno lični, ukoliko nije neophodno ne drže online.

Lično ne mislim da je grad Novi Sad bio eksplicitno targetiran, već hakeri šalju milione phishing mejlova dnevno, pa ko se upeca. Upecaće se po običaju onaj kome nedostaje gorepomenuta edukacija.

Da slučaj ovog ransomware napada nije ni po čemu jedinstven niti najgori govori nam primer napada na kompaniju SONY gde su hakeri odneli 100TB poverljivih podataka o firmi kao i ličnih podataka zaposlenih, a hakeri su se domogli čak i filmova u produkciji. Da stvar bude gora, isti napad se desio dva puta u razmaku od par godina, što znači da prvi put lekcija nije bila naučena.

Ovakvi napadi ne samo da čine veliku štetu reputaciji žrtve već i veliku materijalnu štetu jer ponovo uspostavljanje sistema je mnogo skuplje nego zaštita i prevencija uz adekvatnu edukaciju. Ovaj primer treba da služi kao upozorenje svim ostalima da provere svoj sistem i edukuju svoje ljude. Jer strašno je pomisliti da sutra isto može da se desi npr. u bolnici gde se potpuno zanemaruje cyber sigurnost, a tamo šteta pod pravim okolnostima može biti i nešto više od curenja ličnih podataka o pacijentima, reputacije ili materijalne štete.