WannaCry / WannaCrypt ransomware šta se to desilo? (zaštitite vaš računar)

Ovo je definitivno jedan od gorih kompjuterski napada u istoriji. U proteklih desetak godina je bilo na hiljade napada raznoraznih računarskih crva (eng. worm) koji su iskorišćavali propuste u operativnim sistemima, šireći zarazu i na Internetu i u lokalnim računarskim mrežama. Ono što WannaCry / WannaCrypt izdvaja od prethodnih vrsta malware-a je to što se uz širenje zaraze vrši i enkripcija fajlova na zaraženom računaru, što ovaj napad čini tako strašnim. Budući da su svi mainstream mediji, pa čak i oni koji nikada ne objavljuju vesti iz IT sveta, objavljivali vesti koje se tiču ovoga, vrlo pažljivo sam ispratio ovaj napad i odlučio da napravim osvrt na WannaCry / WannaCrypt ransomware. Pokušaćemo da dešavanju o ovom napadu sumiramo na osnovu informacija koje su do sada (tekst pišem 17. maja uveče) dostupne…

Wannacry.PNG

Čitavu priču sam počeo da pratim u petak 12.05.2017. kada sam video da je britanski Independent objavio vest da je sajber-napad napravio haos u NHS-u (nacionalni zdravstveni sistem Velike Britanije). Naime, kako je ovaj list preneo, ransomware po imenu “Wanna Decryptor” je pogodio desetine bolnica širom Engleske i Škotske, što je uslovilo preusmeravanje pacijenta u druge oblasti. Do tog trenutka, virus je zarazio računare u 74 zemlje širom Azije i Evrope. Pored Britanije, najteže su pogođene Rusija i Španija. Javljeno je da su pogođeni i američki Fedex, nemačka železnica, pojedina ruska ministarstva i Sberbanka. Saopštenjem se oglasila i britanska premijerka Tereza Mej, rekavši kako napad nije usmeren na NHS, već da je internacionalnih razmera i da je pogođeno više zemalja i organizacija. Što se NHS-a tiče, napad je prouzrokovao odlaganje pregleda i intervencija, kao i preusmeravanje pacijenata u bolnice koje nisu bile pogođene napadom.

Ne želeći da ulazimo u razmirice britanskih političkih stranaka, moramo preneti i informacije koje su objavljene na društvenim mrežama. Naime, pojavile su se informacija da je vlada Ujedinjenog kraljevstva odlučila da prekine ugovor o produženoj podršci za Windows XP i tako dozvolila da neke od vladinih kompjutera pokreće operativni sistem koji je zastareo i podložan napadima. Istina je, po mom tumačenju, drugačija. Prema informacijama koje su mi bile dostupne, desilo se upravo suprotno. Podrška za Windows XP je istekla 8. aprila 2014. godine, a britanska vlada je sa kompanijom Microsoft imala ugovor o produženoj podršci za Windows XP i on je trajao do aprila 2015. – tačno godinu dana od prestanke besplatne podrške koju Microsoft daje za Windows XP, o čemu je blagovremeno obavestila NHS i dala im rok od godinu dana za upgrade.

Pitanje zašto upgrade nije urađen ćemo ostaviti nekom drugome da analizira. Za nas je bitno da ovo bude primer kako ne treba raditi – definitivno ne treba dozvoliti da operativni sistem koji nije podržan pokreće računare u ustanovi za koju ste odgovorni. Svestan sam da izdaci za softver nisu mali i da, u zavisnosti od broja korisnika i računara, to može biti prilično visok iznos. Ali treba biti svestan i rizika koji preuzimate na sebe ukoliko se oglušite o savete proizvođača softvera i ne pređete na verziju koja je podržana.

Petak veče je bio jako stresan period za ljude u IT sektorima širom Evrope. Vesti su se nizale kao na traci, čak i u mainstream medijima, što me je učvrstilo u uverenju da je stvar ozbiljna, čim su i oni počeli da u realnom vremenu izveštaju o nekoj IT temi.
Kada su ovakvi incidenti u pitanju, brza i pravovremena reakcija je od izuzetne važnosti. Ovom prilikom bih javno pohvalio CERT Republike Srpske, kao jednu od retkih ustanova u regionu koja je jako brzo reagovala i izdala saopštenje o WannaCry / WannaCrypt napadu 12.05.2017. u 23:06 uveče! Momci i devojke, svaka čast!

Saopštenjima su brzo reagovala i ministarstva unutrašnjih poslova zemalja u regionu i posavetovala građane da budu na oprezu i kako da se zaštite.

Prva saznanja, početak problema i njegovo rešavanje

Nedugo nakon otkrića potencijalnog propusta u SMB protokolu i objave upozorenja, Microsoft je u martu mesecu izdao „zakrpu“ (MS17-010) za propust uočen u SMBv1 protokolu. Tom prilikom ju je označio kao „Critical“ i preporučio korisnicima da je instaliraju. To nije ozbiljno shvaćeno od strane nekih korisnika, ali izgleda da jeste od strane napadača. Naime, za sada nepoznata lica su napisala ransomware koji kriptuje fajlove zaraženom računaru i traži 300 USD za njihovo otključavanje (naravno u Bitcoin valuti), ali koji pored toga iskorišćava i ranjivost SMBv1 protokola i skenira mrežu u potrazi za računarima koji su ranjivi na napad. Ranjivi računari bi automatski bili zaraženi, fajlovi na njima kriptovani, a napad bi se nastavio dalje… I to je ono što je kod ovog napada strašno. Ta brzina kojom se zaraza širila.

Ovde moram pohvaliti i reakciju kompanije Microsoft, tj. brzinu koju su pokazali pri samom početku širenja zaraze. Naime, Microsoft je već 12.05.2017. objavio (https://blogs.technet.microsoft.com/ msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/) načine na koji se ugroženi računari mogu zaštititi (ukoliko već nisu). Koliko je Microsoft ozbiljno pristupio rešenju problema, govori i podatak da su izdali patch za operativne sisteme koji zbog zastarelosti veće duže vreme nisu podržani, kao što su Windows XP i Windows Server 2003… Ovo je svakako izuzetak od uobičajene prakse i pokazuje koliko je ovaj napad opasan. U normalnim okolnostima, savet bi bio prelazak na neku od podržanih verzija Windows-a.

Kako je zaustavljen?

Security stručnjak pod pseudonimom MalwareTech je analizirajući kod virusa primetio da je ugrađen tzv. kill-switch koji, ukoliko se aktivira, sprečava širenje zaraze. To je zapravo domen sasvim besmislenog imena, čije postojanje virus proverava pre infekcije sistema – ukoliko je domen dostupan, sistem neće biti zaražen, fajlovi neće biti enkriptovani, niti će se virus proširiti na ostatak mreže. MalwareTech je brže-bolje registrovao taj domen i nastavio sa daljim testovima. Ono što bih želeo da napomenem je da čovek nije slučajno registrovao taj domen, kako su pojedini mediji preneli, već mu je to posao – registrovao je do sada na hiljade takvih domena u cilju obaranja botnet mreža. Interesantna stvar koje tog trenutka MalwareTech nije bio svestan je da je samom registracijom domena “ubio” virus i sprečio njegovo dalje širenje.

Još interesantnije je da je čovek na ovaj način spasao kontinent s one strane okeana – registracija domena je zaustavila širenje virusa pre nego što se Amerika probudila. Na žalost, Evropa i Azija su ozbiljnije pogođeni, ali ne smem ni da zamislim šta bi se desilo da je zaraženo na milione američkih računara i servera. Sada bih pisao o katastrofi mnogo većih razmera.

Wannacry1.PNG

Kako se zaštititi?

Kada govorimo o ovakvim pretnjama, najbolje je početi od opštih uputstva samim korisnicima, a to su: redovno ažuriranje operativnog sistema i aplikacija, korišćenje novih verzija antivirusnog softvera i njihovo redovno ažuriranje, redovno backup-ovanje fajlova, pažnja prilikom otvaranja atachmenta u mejlovima i otvaranja sumnjivih web sajtova… Što se tiče preporuke IT menadžerima i sistem administratorima, opšte preporuke mogu biti:

  • Posedovanje e-mail security i web security gateway uređaja u kompaniji
  • Dolazno i odlazno e-mail filtriranje
  • Blokiranje nesigurnih atachmenta
  • Redovno ažuriranje operativnih sistema, aplikacija i antivirusnih programa
  • Konstantna edukacija IT osoblja
  • Edukacija korisnika o bezbednom korišćenju e-mail-a računarskoj bezbednosti uopšte
  • Proaktivnost i praćenje security biltena i vesti iz domena računarske bezbednosti, kako bi se omogućilo brzo reagovanje i zaštita IT resursa…
  • Praćenje blogova proizvođača antivirus softvera i ostalih sigurnosnih rešenja
  • Praćenje biltena regionalnih, evropskih i svetskih CERT ustanova Kada je reč o konkretnoj WannaCry / WannaCrypt ransomware pretnji, saveti su sledeći:
  • Instalacija zakrpa koje je Microsoft na svojoj strani u tekstu „Customer Guidance for WannaCrypt attacks“
  • Deaktiviranje SMBv1 tamo gde nije neophodan
  • Ažuriranje antivirus softvera najnovijim definicijama koje prepoznaju ovu pretnju

Šta znamo do sada?

Za razliku od prvih dana, sada imamo mnogo više informacija, kao što možete videti u gore, tako da možemo sumirati ono što do sada znamo:

  • sve je počelo u petak
  • ransomware je najviše pogodio Veliku Britaniju, Rusiju i Španiju
  • Zaraženo je puno računara – fajlovi na njima su kriptovani i ne može im se pristupiti
  • “Otmičari” za dekripcioni ključ traže 300 dolara na početku
  • Security stručnjak je registrovao domen koji je pronašao u izvornom kodu virusa i na taj način aktivirao kill-switch, što je zaustavilo dalje širenje zaraze
  • Amerika je, zahvaljujući različitim vremenskim zonama i relativnom brzom blokiranju napada, znatno manje pogođena
  • Security stručnjaci preporučuju što hitnije ažuriranje operativnih sistema Windows i opreznost prilikom rukovanja sa e-mail attachment-ima
  • Zvanični organi, i kod nas u svetu, preporučuju da se ne plaća otkup
  • Vlasnici i IT menadžeri onih kompanija čiji su računari zaraženi su u velikoj dilemi – platiti otkup ili sačekati eventualno rešenje problema

Jedna dilema…

Policije regije i u svetu savetuju da ne plaćate otkup ukoliko su vaši računari pogođeni ransomware-om. S jedne strane su sasvim u pravu – na taj način se samo podstiče kriminal. S druge strane, postavlja se pitanje šta raditi ukoliko ste vlasnik ili rukovodilac kompanije koja je ozbiljno pogođena ovim napadom i ne može da pristupi svojim podacima.

I za kraj – da li se ovo moglo izbeći?

Ovo je logično pitanje koje se nameće. Moglo je biti drugačije. Jako je teško boriti se protiv cyber napada, ali u ovom konkretnom slučaju, pričinjena šteta bi bila znatno manja da su operativni sistemi u pogođenim institucijama bili pravovremeno patch¬-ovani. Začuđuje to da su operativni sistemi ostali nezaštićeni čitava dva meseca nakon što je Microsoft objavio „zakrpu“ za propust u SMBv1 protokolu. S druge strane, nepravedno bi bilo svaliti sve na korisnike, a prenebregnuti činjenicu da je ova ranjivost u javnost dospela tako što ju je neko ukrao iz američke agencije NSA, a hakerska grupa „Shadow Brokers“ je objavila. Preporučio bih vam da pročitate saopštenje pod nazivom „The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack“, u kome Bred Smit (Brad Smith), predsednik kompanije Microsoft, navodi da je ovo postala odgovornost svih nas. U saopštenju se, između ostalog, navodi da se softver uvek mora ažurirati, jer je besmisleno „boriti se protiv problema današnjice, koristeći alate iz prošlosti“ i da je ažuriranje softvera svačija odgovornost i proces koji bi svaki izvršni rukovodilac trebalo da podrži. U saopštenju se osvrnuo i na činjenicu da bezbednosne agencije, kao što su CIA i NSA, gomilaju softverske ranjivosti na koje naiđu, nakon čega one nekako procure u javnost i izazovu štetu. Kako je rekao, kada bi se to uporedilo sa konvencionalnim naoružanjem, ekvivalentan scenario bi bila krađa Tomahavk projektila i naveo da vlade širom sveta moraju da zauzmu drugačiji pristup kada se radi o cyber space-u.

Na kraju, razmislite da li ste spremni da rizikujete svoje podatke, a time i svoje poslovanje time što ne pratite opšte smernice informatičke bezbednosti…

 

by Srđan Stević

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s