Kada je krajem mjeseca svijet pogodio novi, dotad nepoznati virus, doimalo se kao da je riječ o još jednom u nizu zločinačkih pothvata čiji je cilj bio brza i laka zarada. Zaražena računala ubrzo su postala neupotrebljiva, a na ekranu se pojavila poruka: “Uplatite 300 dolara u Bitcoin valuti na ovaj anonimni račun i dobit ćete svoje podatke natrag”.
Virus koji su stručnjaci ubrzo prozvali NotPetya izgledao je kao još jedan “ransomware” napad koji vaše podatke drži kao taoca dok ne isplatite “otmičare”. No, za razliku od prethodnih takvih napada, novac je trebalo uplatiti na samo jedan račun, a sve žrtve dobile su istu, samo jednu e-mail adresu na koju su trebale poslati dokaz o uplati. Njemačka tvrtka odgovorna za održavanje te adrese ugasila ju je u manje od 24 sata i postalo je nemoguće vratiti svoje podatke, čak i onima koji su se odlučili platiti otkupninu.
S obzirom na to koliko je traljavo osmišljen i izveden dio virusa koji je bio zadužen za stvaranje zarade autorima, moglo bi se pomisliti da se radilo o djelu amatera, hakera početnika - no zarada je, čini se, doslovno bila zadnja na pameti tvorcima virusa.
VELIKI SPECIJAL O CYBER NAPADIMA: EVO KAKO SE ZAŠTITITI
“NotPetya je izrađena poprilično ozbiljno”, rekao nam je Spanov sigurnosni stručnjak Krešimir Filla. “Tkogod ga je radio, potrudili su se i ugradili su u njega dosta mehanizama za širenje tog virusa koje nisu standardne. Obično se virusi šire jednom ili dvije metode, a on ih ima puno više, znači poprilično truda uloženo je u to da se osigura ta propagacija virusa od računala do računala.”
Stručnjaci iz NATO-ova Centra za kooperativnu cyber obranu u Tallinnu došli su do sličnog zaključka te otkrili kako je sigurnosni “ključ” potreban za povratak podataka odbačen - čak i da nije došlo do gašenja e-mail adrese, nitko ne bi mogao dobiti svoje podatke natrag.
Udar na godišnjicu
Detaljna analiza širenja virusa pokazala je kako se prvo pojavio u Ukrajini, gdje je pogodio ključnu državnu infrastrukturu, a proširio se u još 65 svjetskih država većinom putem tvrtki koje imaju svoja predstavništva u Ukrajini. Napad je započeo dan prije nego što je Ukrajina slavila godišnjicu donošenja svojeg ustava, prvog nakon izlaska iz Sovjetskog Saveza.
Visoko rangirani izvor iz NATO-a potvrdio nam je kako za tu organizaciju nema nikakve sumnje da iza napada stoji neka država, najvjerojatnije Rusija, a ne privatna grupa hakera. Ipak, dokazivanje izvora nije jednostavno.
“Postoji razlika između političkog i tehničkog određivanja krivca”, rekao nam je NATO-ov izvor. “Za tehničko određivanje potrebni su vam svi forenzički podaci, svi dokazi kao u policijskoj istrazi. Za političko određivanje gledaju se obrasci ponašanja, prethodni napadi...”
Forenzičko ispitivanje može trajati mjesecima prije nego što se jasno ustvrdi lokacija s koje je napad potekao, a ni tada nije jednostavno dokazati da su ta osoba ili osobe primile naredbu ili podršku državnih agencija neke zemlje. S druge strane, ako se ustvrdi da je cilj nekog zloćudnog programa bio prouzročiti materijalnu ili financijsku štetu nekoj državi ili omesti djelovanje vlasti te ako postoje ozbiljne indikacije da iza napada stoji neka suverena država, to može biti povod za odmazdu, čak i bez detaljnih, forenzičkih dokaza.
Napad virusom NotPetya na Ukrajinu najvjerojatnije neće izazvati odgovor NATO-ovih cyber snaga, prvenstveno jer nije riječ o zemlji članici NATO pakta. No, da je napad bio usmjeren na, primjerice, Latviju ili Hrvatsku, smatralo bi se da se radi o kršenju suvereniteta. Ako bi počinjena šteta bila dovoljno velika, nije nezamisliv ni scenarij u kojem bi se aktivirao članak 5 sporazuma, o zajedničkoj obrani nakon napada na jednu od članica.
To kolika je šteta dovoljna da je se tretira jednako kao i vojni napad prvenstveno će ovisiti o političkom trenutku. Neće se razmatrati samo kolika je materijalna šteta i ima li poginulih, nego specifična situacija - koja je država napala koju članicu, koje su opasnosti od eskalacije sukoba, osjećaju li se vodeće zemlje NATO-a dovoljno sigurno za ući u otvoreni sukob s mogućim krivcima.
I bez pozivanja na članak 5 NATO-ove snage koordiniraju zajedničku obranu, a moguća odmazda također ne mora poprimiti oblik vojnog odgovora, nego bi se mogla svesti na uzvratne cyber napade ili jednostavno ekonomske sankcije.
“Problem sa cyber napadima je što šteta ne mora biti očita isti tren”, rekao nam je NATO-ov dužnosnik. “To je kao da vam netko provali u stan, vidite da vam je nestao prsten i mislite si da je to sve. Godinu dana kasnije otkrijete kako više nemate ni svoje zlatnike te shvatite da se to moralo dogoditi tada.”
To je upravo jedan od problema na koji je u utorak upozorila i njemačka unutarnja obavještajna agencija BfV - Služba za zaštitu ustavnog poretka. U svojem detaljnom godišnjem izvještaju BfV je naglasio kako su najveća prijetnja “tihe, kuckajuće digitalne bombe” - zloćudni programi koji djeluju s odgodom, a mogli bi oštetiti ključnu infrastrukturu.
Svi su naši sugovornici naglasili kako “oružani” programi više nisu nešto što može naštetiti samo podacima na računalima i prouzročiti financijsku štetu, nego može dovesti do ozbiljnih, fizičkih posljedica i u stvarnom svijetu.
Najzorniji primjer je zloglasni Stuxnet - računalni crv koji je zaslužan za sabotiranje iranskih nuklearnih postrojenja. Iako nitko nije preuzeo odgovornost za njegovu izradu, vjeruje se kako je plod suradnje američkih i izraelskih tajnih službi. Stuxnet je inficirao računala u iranskom nuklearnom programu i davao pogrešna uputstva centrifugama za razdvajanje urana, što je dovelo do fizičkog uništenja petine svih uređaja za centrifugu.
Teško dokazati
NotPetya je krajem prošlog mjeseca ugasila uređaje za nadgledanje radijacije u nuklearnom postrojenju u Černobilu. Nadzor je brzo ponovno uspostavljen putem ručnih kontrola, no ostala je gorka činjenica da su mnogi ključni sustavi ranjivi na online napade.
Ideja nezaštićenih nuklearnih elektrana vjerojatno uzrokuje najviše straha, no danas je nezamisliva količina ključnih uređaja povezana na internet. Dalekovodi, željeznice, semafori, zračna kontrola, pa i mnogi osobni uređaji poput pećnica, koji se mogu iskoristiti za uzrokovanje fizičke štete. U vrlo bliskoj budućnosti ulicama će voziti automobili i kamioni bez vozača spojeni na internet, što znači da bi bilo koji mogao biti potencijalno iskorišten kao oružje.
Za sada se obavještajne agencije diljem svijeta ne suzdržavaju od korištenja cyber oružja. Za razliku od nuklearnog ili konvencionalnog, teško je dokazati tko ga je odaslao, a šteta je relativno ograničena. No, velik je problem precizno pogoditi metu cyber oružjem, a obični korisnici i susjedne zemlje, kao u slučaju NotPetyae, hmogu postati kolateralne žrtve.
VELIKI SPECIJAL O CYBER NAPADIMA: EVO KAKO SE ZAŠTITITI
“Znamo što radi konvencionalno oružje”, rekao nam je NATO-ov dužnosnik. “Ako bomba radi krater od 30 metara, za sobom će ostaviti krater od 30, ne od 50 metara. S druge strane, nikad ne možete biti sigurni kakvu će štetu napraviti cyber oružje i hoće li vam se vratiti poput bumeranga.”
Stuxnet je bio zamišljen kao “precizno” cyber oružje - računalni crv koji je trebao inficirati samo iransko nuklearno postrojenje i utjecati samo na Siemensov Step7 program za kontrolu tvorničkih linija. No, nakon što je otkriven na iranskoj mreži ubrzo su se pojavile i verzije na internetu.
Kako nam je objasnio Krešimir Filla, iako je relativno teško ukrasti nečije cyber oružje, jednom kada ga se pusti “u divljinu”, bilo tko ga može preraditi za svoje potrebe. NotPetya je iskoristila istu ranjivost kao i WannaCry napad, koji je u svibnju paralizirao britanski zdravstveni sustav, a WannaCry je koristio alate koji su procurili online iz “oružarnice” američke tajne službe NSA.
Zakrpu koja štiti od oba virusa Microsoft je ponudio svim korisnicima Windowsa još u ožujku - nevjerojatna količina zaraženih računala pokazala je da obični ljudi i brojne velike tvrtke takve prijetnje ne shvaćaju ozbiljno. U slučaju malih korisnika, najčešći razlozi za ignoriranje zakrpi je razmišljanje tipa “ma, neće baš mene”, “pa ja ni nemam neke bitne podatke” i “budem sljedeći tjedan”.
Kolateralne žrtve
Tvrtke imaju drugi problem, a taj je da instalacija zakrpi često znači prekid ili barem ometanje normalnog rada na nekoliko sati pa se rizici nerijetko podcjenjuju kako bi se opravdalo odgađanje postavljanja najnovijih zaštita. Kod velikih tvrtki i državnih agencija javlja se i još jedan problem, a to je masivna birokracija koja dodatno usporava cijeli proces.
“Treba instalirati sve zakrpe na sustavu”, objasnio nam je sigurnosni stručnjak Leon Juranić iz tvrtke DefenseCode kako se najbolje zaštititi. “Smanjiti privilegije na računima na kojima radimo. Općenito paziti i ne klikati na privitke u e-mailu i slično.”
Najveći problem su takozvani “zero-day exploits” - ranjivost nultog dana - što znači rupe u sigurnosti za koje tvrtka koja održava program ni ne zna. Kada je hakerska grupa Shadow Brokers u travnju pustila u javnost svu silu ukradenih alata koje je razvila NSA, ispostavilo se da je ta tajna služba bila svjesna brojnih takvih rupa u Windowsima.
“Ne zna se koliko dugo su imali pristup toj ranjivosti, vjerojatno godinama”, rekao nam je Juranić. “Nisu je prijavili Microsoftu, nego su je koristili za svoje operacije.” NSA je mogla godinama prisluškivati ciljane pojedince, gledati njihove podatke, uništiti njihova računala po potrebi. Ali su time doveli u opasnost i brojne ljude i tvrtke koji uopće nisu bili njihov cilj.
“Često se dogodi kad se otkrije neka ranjivost da, paralelno s njima, još nekoliko ljudi zna za to. Ne samo ta agencija, nego i netko na drugom kraju svijeta isto traži ranjivost u tom sustavu. Nema nigdje garancije da su oni bili jedini koji su znali za to, možda je tajna služba neke druge države isto imala tu informaciju”, rekao je Juranić.
IT konzultant Radoslav Dejanović upozorava kako ne treba zaboraviti ni crno tržište. “Na njemu je moguće kupiti alate za izradu malware aplikacija koje svojim sposobnostima i učinkovitošću ne zaostaju mnogo za alatima za cyber ratovanje”, rekao nam je Dejanović. “Kriminalci, iako možda nemaju dostupne alate koje države čuvaju u tajnosti, s dostupnim alatima također mogu napraviti veliku štetu, pa čak i napasti infrastrukturu neke države.”
Postavlja se pitanje postoji li siguran način kako zaštititi najranjiviju infrastrukturu, s obzirom na to da moguće posljedice napada postaju sve razornije i opasnije. “Vjerojatno će zvučati smiješno, ali - povratkom u kameno doba”, tvrdi Dejanović. “Republika Hrvatska je donekle zaštićena od cyber ratovanja baš zato što je tehnološki zaostala. Prije nekoliko godina Rusija se odlučila na djelomično vraćanje klasičnih pisaćih strojeva na mjesta koja obrađuju podatke visokog sigurnosnog rizika. Naravno, besmisleno je do u krajnost zazirati od modernih tehnologija, ali ako i jednostavna rješenja pružaju zaštitu, valja ih koristiti”, objasnio je Dejanović.
S time da je sustave potrebno fizički odvojiti, slaže se i Juranović. “Nuklearne elektrane trebale bi biti odvojene od mreže, od interneta. Trebao bi postojati takozvani ‘air gap’, znači da nema nikakve poveznice između njih i ostatka mreže. Ni to nije sto posto pouzdana zaštita, jer vidjeli smo Stuxnet koji se širio putem USB-a. Stopostotne zaštite nema.”
Spriječiti širenje
Krešimir Filla i naš izvor iz NATO-a ipak ne bi posezali za tako drastičnim rješenjima. Filla vjeruje kako su dovoljna zaštita sigurnosne kopije podataka, antivirusni sustavi koji reagiraju i na nepoznate prijetnje te dostupne ručne kontrole na potencijalno osjetljivim sustavima.
Američko Ministarstvo domovinske sigurnosti provelo je znakovit test još 2011. godine, kada su na parkinzima državnih agencija ostavljali “izgubljene” USB memorije. U čak 60 posto slučajeva osoba koja je našla USB uključila ga je u svoje službeno računalo. Ako je na USB-u bio službeni logo agencije za koju rade, uključili bi ga u 90 posto slučajeva. Tako je vjerojatno i Stuxnet dospio u iransko nuklearno postrojenje, koje je bilo odvojeno od interneta.
Najbolje što se može učiniti, vjeruje naš izvor iz NATO-a, jest dizajnirati sustave tako da budu kompartmentalizirani, poput brodskih kabina. Osigurati da uspješan napad na jedno računalo ne znači uspješan napad na cijelu mrežu. Nove tehnologije, poput blockchaina koji koristi virtualna valuta Bitcoin, mogle bi omogućiti da sva računala u mreži aktivno paze i po potrebi “liječe” druga računala u mreži od zaraza. “Ne postoji srebrni metak koji bi zaštitio od svih prijetnji”, rekao nam je.
Stražnji ulaz
Ipak, dok se sigurnosni stručnjaci antivirusnih tvrtki, Microsofta i velikih tvrtki ozbiljno trude učiniti računala što sigurnijima, vlade brojnih država u ime sigurnosti pokušavaju progurati zakone koji bi mogli imati sasvim suprotni učinak.
Britanska vlada, kao i američki FBI, već se dulje zalažu za obavezne “backdoorove” na mobitelima i računalima - namjerne sigurnosne rupe koje bi policiji i tajnim službama omogućile lakši pristup korisničkim podacima.
Argument je da bi to znatno olakšalo borbu protiv najgorih vrsta zločina - terorizma, pedofilije, trgovine ljudima, oružjem i drogama - čiji počinitelji sve češće koriste internet kao sigurnu metodu komunikacije.
“To su mokri snovi vlada već dugo vremena”, rekao nam je Juranić. “To nije dobra ideja jer iste te kanale mogu zloupotrijebiti neki hakeri. Ne dobiva se na sigurnosti s tim, a uvodi se još jedna rupa u mreži.” Filla također smatra kako, iako bi takav pristup mogao pomoći vladama, ne bi bila pogođena ravnoteža između sigurnosti i prava na privatnost.
“Sigurnosni propusti ugrađeni u softver su monumentalna glupost i nerazumijevanje problema”, smatra Dejanović, koji priznaje da ideja da “dobri dečki” imaju alate kojima će lako prisluškivati “loše dečke” zvuči primamljivo. “Da vam netko kaže da od sutra možete na ulazna vrata stavljati samo brave koje, osim vas, u slučaju potrebe može otvoriti svaki policajac, vatrogasac ili liječnik, vjerojatno vam ne bi puno smetalo. No, s druge strane, takve brave moći će otvoriti i korumpirani policajac, vatrogasac koji je u slobodno vrijeme provalnik ili lokalni moćnici s dobrim vezama.”
Potpuna sigurnost od hakera i virusa nikada neće biti moguća, ali to ne znači da se ne treba potruditi zaštititi svoja računala i svoje podatke. Svi su naši sugovornici naglasili kako je najbolja zaštita - edukacija korisnika. Iako instalacija najnovijih zakrpa i izrada sigurnosnih kopija troše vrijeme i novac, radi se o malom trudu koji može spriječiti veliku katastrofu. Svijet je dobrano zakoračio u eru cyber ratovanja i cyber kriminala, u kojoj bilo koji pojedinac lako može stradati čak i kao “slučajni prolaznik” na internetu.