Ilustracija: 123rf, screenshot: HRT, Wcrypt Tracker

NAKON hakerskog napada do kojeg je došlo u petak i nakon današnje izjave direktora Europola koji tvrdi kako bi do eskalacije napada moglo doći sutra kada se velik broj korisnika vrati na posao i upali svoja računala, razgovarali smo s Lucijanom Carićem, stručnjakom za zaštitu i sigurnost računalnih sustava.

Carić smatra kako je moguće da dođe do širenja s početkom novog radnog tjedna, ali i kako je to samo jedna od špekulacija.

Širenje infekcije u SAD-u ne bi trebalo biti iznenađenje

"To je moguće, to je jedna od špekulacija, tako stvari funkcioniraju. Dešavalo se već da kada globalna infekcija krene s istoka prema zapadu, kako se ljudi bude, tvrtke počinju raditi, uključuju se kompjuteri i tako se infekcija dalje širi. Još jučer je postavljena jedna domena koja malwareu služi kao neka vrsta zaštitnog prekidača i bilo je predviđeno da infekcija stagnira, ali se od jučer pa do danas broj infekcija povećao sa 140.000 na 280.000", kaže Carić.

Dodao je ipak kako broj od 280.000 zaraženih treba uzeti s rezervom, ali i kako trenutno dostupni podaci govore o tom broju.

Naglasio je i kako širenje infekcije, primjerice, u SAD-u ne bi trebalo biti iznenađenje jer su imali dva dana za pripremu.

"Ako korporacije ne rade, nije točno da se sustav ne može zaštititi ili provjeriti. Ako imate primjerice tisuću računala, nemate toliko pristupnih točaka internetu, imate ih možda pet ili deset. Dakle trebate provjeriti svoje pristupne točke internetu, svoje firewalle, te potom da li je unutrašnja mreža ispravno ažurirana. Ako se u ponedjeljak nekome nešto desi, sam je kriv jer se nije pripremio"; zaključio je.

Problem je što se sustavi ne ažuriraju

Objasnio je kako malware radi po principu da napada stare operativne sustave Windows XP i Server 2003, koji su, iako ih Microsoft više ne podržava, i dalje dosta zastupljeni. Upravo to je bio slučaj s nacionalnim zdravstvenim sustavom u Engleskoj, koji u 90% slučajeva koristi Windows XP.

"Problem s tim sustavima je da se ne ažuriraju. To je volja proizvođača, kao i kod vozila ili mehaničkih uređaja, nakon nekog vremena za njih se više jednostavno ne proizvode dijelovi. Ali, ako vi taj sustav koristite, princip je - snađi se druže. Kod vozila imate stare dijelove pa se možete krpati, ali to je kod softvera to puno složenije. Teško je ažurirati softver poput Microsoftovog koji nije javan. Ali ipak, kada taj softver koristite, vi unaprijed znate da postoji opasnost, pa se morate zaštititi nekom alternativnom metodom. U ovom slučaju radi se o sigurnosnom problemu u SMB protokolu, i bilo bi suludo na računalima koja su okrenuta k internetu ne napraviti potrebne alternativne mjere zaštite, poput isključivanja SMB protokola i zaštite portova koje koristi", smatra Carić.

Kaže i kako se ovo moglo naslutiti.

"Microsoft je u ožujku izdao sigurnosnu zakrpu (patch) za taj problem u sustavu (MS17-10), a naknadno i za sustave koje više ne podržava. U travnju su objavljeni tajni programi NSA koji su se mogli upotrijebiti za hakiranje svih Microsoftovih operativnih sustava, sve dok nije izašao ovaj patch. Nakon što je patch objavljen, trebalo je nešto poduzeti, a ako ljudi nisu ništa poduzeli, to je njihov problem i sad možda više nemaju svoje podatke. Mjeseci su prošli, a iako netko možda može misliti kako su dva mjeseca relativno kratko vrijeme s današnjom brzinom širenja rizika dva mjeseca predstavljaju cijelu vječnost. Ako niste svoje sustave dogradili tijekom dva mjeseca, to je suludo, tim više što se velika većina sustava može potpuno automatizirano nadograditi", smatra Carić.

Napad koji funkcionira automatizirano

Rekao je i kako je sreća upravo u tome što se veliki broj sustava automatski nadograđuje, ali kako treba paziti na činjenicu da danas postoje na milijarde računala na internetu, pa ako pretpostavimo kako se samo 5% sustava nije automatski nadogradilo, dolazimo do broja od barem desetak milijuna kompjutera koji nisu nadograđeni i koji će takvi vjerojatno i ostati.

Kaže kako za širenje postoji nekoliko načina, klasični - socijalni inženjering putem maila, društvenih mreža i slično, u kojem je važno samo "nagovoriti" korisnika da klikne i tako aktivira maliciozni kod. To može biti neki lažni financijski dokument, navodna važna obavijest, slika sexy djevojke ili slično i tako će korisnik sam pokrenuti napad.

No, najveći problem s ovim napadom je, kaže Carić, što on funkcionira i potpuno automatizirano, bez potrebe za interakcijom s korisnikom, koristeći sigurnosni propust. A automatizirana mogućnost širenja zaraze malicioznim softverom je Sveti Gral svih informatičkih kriminalaca.

"Proizvođači malicioznih softvera često mijenjanju svoje programe kako bi izbjegli ili otežali njihovo otkrivanje, pa jedna verzija najčešće završava u desecima, čak stotinama ili tisućama podvarijanti, a onda se javljaju i copy-catovi, te drugi oportunisti koji izvlače kod iz te maliciozne aplikacije i prilagođavaju ga u svoje svrhe", rekao je Carić i tako potvrdio natpise u medijima kako već postoji druga verzija programa koji je u petak napao desetke tisuća korisnika.

Svatko bi trebao provjeriti je li zaštićen

Ipak, smatra kako se ne radi o spektakularnom incidentu. "Kada bismo pogledali povijest ovakvih napada, većina njih nije automatizirana, i u tom smislu ovaj napad je jackpot. Ali, kada pogledamo broj trenutno zaraženih računala, i pretpostavimo da vidimo tek četvrtinu stvarnih infekcija, došli bismo do broja od najviše milijun inficiranih računala, a taj broj nije ništa u usporedbi s nekim napadima u kojima su pogođeni deseci, ako ne i stotine milijuna računala", rekao je i zaključio kako ipak treba vidjeti što će biti u ponedjeljak.

"Administracija sustava se može napraviti i udaljeno, provjeriti je li vanjska zaštita dobro napravljena, imate li nepotrebne protokole okrenute prema internetu i da li je potrebno ažuriranje sustava. Svatko bi trebao provjeriti je li dobro zaštićen i ima li potrebne zakrpe, jer su ispravke izdane čak i za stare, nepodržane, operativne sustave.", zaključio je.

Smatra kako je danas jako važno imati kvalitetan sustav arhiviranja podataka te da korisnici imaju arhivu koja je postavljena izvan domašaja štetnih aktivnosti na lokalnoj mreži. Samo odgovarajući servis smije imati pristup arhivi. Ako je arhiva dijeljeni disk kojem pristup imaju svi korisnici, to je recept za katastrofu.

"Danas postoji i mogućnost arhiviranja podataka putem interneta i to treba platiti, ali je to iznos znatno manji od otkupnine koju vam mogu tražiti informatički kriminalci kako bi vam vratili vaše podatke", dodao je.

Ljudi ne cijene svoje podatke

Na kraju zaključuje kako bismo oko ovog problema mogli razgovarati o raznim konotacijama, ali kao je činjenica da sam napada nema veze ni s čim drugim osim s tehnologijom.

"Morate ažurirati svoj sustav, ako to ne radite - u problemima ste", zaključio je. "Radim ovaj posao 25 godina i 25 godina ljudi ne cijene dovoljno svoje podatke, a izgleda da ih nikada neće ni cijeniti, jer su do sad već imali priliku naučiti. Predugo traje ta priča i predugo ih upozoravamo, ali nitko ne reagira", dodao je Carić.

Mapa infekcija