NAPADNUTI SMO

Kako? Zašto? Što uraditi?

Više nije upitno hoćete li biti hakirani, danas je pitanje kada. To je svojevrsni poraz u borbi protiv cyber-kriminala, ali i dugo očekivano priznanje o nesavršenosti antivirusnih alata što je snažno potaklo razmišljanja o novim smjerovima borbe.

Petog srpnja prošle godine pratitelji Twitter profila tvrtke Hacking Team ostali su nemalo iznenađeni kad su vidjeli najnoviju objavu s profila koji je u tom trenutku već promijenio i ime u Hacked Team.  Objava je sadržavala link za preuzimanje goleme datoteke koja je navodno sadržavala cjelokupnu dokumentaciju, e-mail prepiske i izvorni kod softvera koji je ta kompanija godinama uspješno distribuirala. Prvi pratitelji ovog profila provjeravali su u nevjerici detalje objave i linkove koji su vodili na kanale za dijeljenje na kojima se nalazilo više od 400 GB podataka. Hacking Team ekipa još je spavala, izazivajući podsmijeh zajednice koja je već nekoliko minuta nakon objave započela pregledavati sadržaj i objavljivati najsočnije detalje.

Tko je zapravo Hacking Team?

Poznata kao neprijatelj interneta ta je talijanska tvrtka izgradila svoje poslovanje na razvoju i distribuciji rješenja za masovni nadzor komunikacija preko interneta. Njihovi klijenti bile su isključivo vlade i organizacije pod državnim patronatom od kojih se veći dio nikako ne može svrstati u vlade modernih demokracija, ljudskih prava i slično. Hacking Team se smatrao ekskluzivnim dobavljačem rješenja za nadzor komunikacija i u svojim je javnim istupima često imao izuzetno arogantan stav. Baš zato je cijela vojska istraživača krenula u detaljnu analizu njihove ukradene dokumentacije u potrazi za kompromitirajućim detaljima. Ubrzo je otvoren i GitHub repozitorij pod imenom Hacked Team (Hacking Team) We Kill People™ koji je sadržavao brojne detalje o izvornom kodu sustava koje je Hacking Team razvijao, ali i sigurnosne postavke njihovih internih sustava koje su izazivale masovni podsmijeh zajednice.

U nekom je trenutku i Hacking Team shvatio što se dogodilo te je krenula procedura kontrole štete. Iz današnje perspektive svi ti pokušaji izgledaju vrlo kaotično i smiješno, međutim nije teško zamisliti atmosferu u Hacking Teamovim uredima u rano jutro 6. srpnja. Iako nije kontrolirao svoj informacijski sustav, Hacking Team je preko svog glavnog istraživača Christiana Pozzija započeo PR kontrolu štete, najprije objavom da je cijela priča o hakiranju neistinita, a zatim i viješću da je datoteka koja je bila dostupna za preuzimanje zaražena zlonamjernim kodom. Oboje se pokazalo neistinitim. Sljedećih sati zabilježeni su DDoS napadi na infrastrukturu koja je pružala hosting torrent  datotekama, ali ni to nije urodilo plodom. Već sutradan, u ponedjeljak 6. srpnja Hacking Team je poslao poruku svim svojim klijentima da prekinu s korištenjem njihovih alata.
Tko je stajao iza hakiranja Hacking Teama i objave podataka? Do danas nije potvrđeno tko stoji iza napada, ali se nagađa da je do uspješnog otuđenja podataka došlo nakon kompromitacije računala dvojice glavnih administratora sustava koji su imali pristup svim internim sustavima tvrtke. Važno je reći da se ista stvar dogodila nepunih godinu dana ranije tvrtki Gamma Group koja pokriva istu tržišnu nišu kao i Hacking Team. Gamma Group je ostala bez 40 GB podataka, značajno manje nego Hacking Team, ali posljedice su bile identične.
Ono što su obje tvrtke nudile na tržištu je diskrecija i povjerenje. Tijekom godina su nekoliko puta demantirali da se njihovi alati koriste u nedemokratskim režimima i da dovode do progona aktivista. Stvar je funkcionirala dok god je njihova komunikacija s  klijentima bila povjerljiva. U trenutku kad su svi njihovi e-mailovi, ponude i specifikacije iscurili postalo je jasno da je tvrtka ostala bez svog najvažnijeg resursa - povjerenja klijenata. Posljednjih nekoliko mjeseci Hacking Team je jako tih. Priča o njemu zaslužuje više redaka, no mi ga navodimo samo kao primjer kako cyber napad može uništiti reputaciju tvrtke do te razine da joj ugrozi i opstanak.


Nije sve u povjerenju

Povjerenje je jedna od najvažnijih stvari u poslovanju svake tvrtke. Klijenti u svakom trenutku očekuju sigurnost i stopostotnu pouzdanost svega onoga što kao tvrtka proklamirate i to je razlog zbog čega posluju baš s vama. Međutim, gubitak povjerenja nije jedni razlog prekida poslovanja tvrtke. Do toga može dovesti i gubitak  opipljive imovine. Naprimjer, ako proizvođaču automobila do temelja izgori jedino postrojenje teško je zamisliti brz oporavak i nastavak poslovanja. Osobito se to odnosi na direktan financijski gubitak kad vam netko doslovce uzme novac. Iako se taj scenarij  uz razne načine pohrane financijskih sredstava činio malo vjerojatnim, pojavom elektroničkog novca ta je mogućnost više negoli izgledna.
U ožujku 2014. godine bitcoin banka Flexcoin ugasila je svoju web-stranicu i objavila sljedeće:  Drugog ožujka 2014. Flexcoin je napadnut i svi bitcoini su ukradeni. Budući da Flexcoin nema sredstva za oporavak od ovog gubitka, trenutačno zatvaramo naša vrata. A samo nekoliko dana prije toga Flexcoin se hrabro pohvalio da su prošli neokrznuti tijekom raspada bitcoin burze MtGox budući da sva svoja sredstva pohranjuju interno. Nakon šest dana uprava Flexcoina objavila je navedenu izjavu.

Ne treba puno surfati internetom da naiđete na ponudu gdje možete iznajmiti mrežu od desetak tisuća računala na sat ili dva. Cijene ovise o veličini mreže, a ciljevi odnosno šteta koja se može počiniti iskorištavanjem takve mreže je značajna.

Iz ta dva primjera vidimo kako uspješan cyber napad može kompaniji presuditi u samo nekoliko dana. Iza svake od tih kompanija stoje i brojni zaposlenici na koje ta situacija direktno utječe zbog gubitka radnih mjesta. Nerijetko su mete hakerskih napada i obični korisnici, odnosno njihova osobna računala i korisnički podaci.
Postoji nekoliko načina na koje napadači mogu monetizirati kompromitaciju korisničkih računala i gotovo sve od tih vrsta napada smo vidjeli i u Hrvatskoj tijekom posljednjih godinu dana. Napadi su obično dio kampanje koja obuhvaća mnoštvo korisnika čija je računala moguće kompromitirati na jednostavan način. Kampanje obično počivaju na ranjivosti otkrivenoj na velikom broju računala koja time postaju meta. Zašto bi napadači uopće pokušavali hakirati osobna računala? U konačnici odgovor je uvijek zarada, jer u tom se slučaju ne radi o ciljanim napadima kao što su napadi na tvrtke ili posebno važne pojedince. Nekoliko je načina kako napadači mogu monetizirati činjenicu da su uspješno kompromitirali računala običnih korisnika.
Jedan je nanošenje izravne financijske štete kompromitacijom aplikacija  odnosno sustava preko kojih korisnici pristupaju svojim financijskim sredstvima. To su obično aplikacije za internet bankarstvo gdje napadač može preuzeti kontrolu nad sustavom te mijenjati naloge za plaćanje u realnom vremenu. Legitimno potvrđen nalog korisnika napadač može preinačiti tako da promijeni račun na koji će iznos biti uplaćen. Najpoznatije kampanje tog tipa u posljednje dvije godine koristile su zlonamjerni kod iz porodice ZeuS koji je uspješno preuzimao potpunu kontrolu nad zaraženim računalom.

Vaše računalo kao zombi

Drugi način za monetiziranje kompromitacije osobnih računala je izgradnja bot mreža gdje se računalima upravlja s centralnog mjesta pa upravljači mreže imaju na raspolaganju računalnu moć golemih razmjera. Računalne mreže s velikom snagom vrlo se često koriste u znanstvene i istraživačke svrhe, ali su pogodne i za zlonamjerne aktivnosti kao što je rad na razbijanju zahtjevnih kriptografskih protokola, provođenje DDoS napada ili jednostavno slanje spam poruka. Osobe koje upravljaju tim mrežama imaju u rukama tražen alat čiju snagu mogu prodavati ili iznajmljivati. Ne treba puno surfati internetom da naiđete na ponudu gdje možete iznajmiti mrežu s više od 10.000 računala na sat ili dva. Cijene ovise o veličini mreže, a ciljevi odnosno šteta koja se može počiniti iskorištavanjem takve mreže je značajna. Mnoga privatna računala su nakon zaraze priključena u bot mrežu kao zombi računala, a da vlasnici nisu uopće svjesni da se s njihovim računalima događa nešto čudno. Štoviše, isto računalo može biti uključeno u nekoliko bot mreža pa više napadača može monetizirati činjenicu da je računalo hakirano.

Antivirusni alati su korisno sredstvo za borbu protiv primitivnih i starijih verzija zlonamjernog koda, ali njihova snaga blijedi pred naprednim vrstama kojih je danas  u divljini sve više

Treća metoda podrazumijeva klasičnu ucjenu koja se provodi zlonamjernim kodom iz porodice ransomware. Kampanje tog tipa bile su izuzetno aktivne tijekom prve polovice ove godine, a funkcioniraju tako da zlonamjerni kod koji se instalira na žrtvino računalo kriptira sve datoteke čime one postaju neupotrebljive. Kad korisnik pokuša otvoriti jednu od zaraženih datoteka prikazuje mu se poruka da treba uplatiti određenu svotu (najčešće u bitcoinu) kako bi dobio ključ kojim može dekriptirati datoteke. U tom slučaju korisnici vrlo često uplaćuju napadačima novac, jer procjenjuju da vrijednost izgubljenog sadržaja premašuje iznos otkupnine. Analiza te vrste zlonamjernog koda pokazala je da nije moguće u razumnom roku otkriti ključ kojim su datoteke kriptirane pa ako korisnik nema vanjski backup podataka oni više nisu upotrebljivi.  
Opisali smo samo najučestalije metode monetiziranja kompromitacije računala privatnih korisnika koje objašnjavaju motivaciju napadača da pažnju usmjere na privatne korisnike.


Nama se to ne može dogoditi!

To se vrlo često može čuti od korisnika kao odgovor na pitanje poduzimaju li nešto da se zaštite od hakerskih napada. Takvo razmišljanje najčešće dolazi iz dubokog nepoznavanja aktualne situacije i zastarjelog razmišljanja da se računalo može kompromitirati samo ako se posjećuju sumnjive stranice, instaliraju razne aplikacije sumnjivog podrijetla i slično. Iako svi navedeni primjeri značajno povećavaju vjerojatnost da na vaše računalo uspješno naselite zlonamjeran kod, vektori napada (metode i načini na koje se zlonamjerni kod instalira) danas su mnogo suptilniji.
Jedan od osnovnih vektora zaraze danas su e-mail poruke odnosno phishing. Potencijalnim žrtvama šalju se specijalno obrađene e-mail poruke koje najčešće sadržavaju privitke s malicioznim sadržajem. Sadržaj takve e-mail poruke često je dobro pripremljen i obično dolazi s e-mail računa osobe koju poznajete. Otvaranjem privitka zlonamjerni kod se instalira na računalo, a da to i ne primijetite.  
No, kako je riječ o masovnoj kampanji e-mail poruke su manjkave što bi vam moglo pomoći da se ipak ne zarazite. Obično su loše sročene i gramatički netočne jer se prevode automatski ili im je sadržaj teško poveziv s osobom od koje dolaze. Svakako treba razmisliti prije preuzimanja bilo kakve datoteke iz e-mail poruke koju ne očekujete, a ako posumnjate najbolje je direktno kontaktirati pošiljatelja i provjeriti je li on uistinu poslao tu poruku.

Posljednjih godina paradigma se mijenja - prevencija ostaje važan aspekt borbe, ali naglasak se stavlja i na prepoznavanje kompromitacije

Tijekom masovnih kampanja napadači se oslanjaju na zakon velikih brojeva – dovoljan je samo pokoji postotak otvorenih e-mail poruka da bi kampanja bila uspješna. Pokretanje takvih kampanja nije značajan financijski izdatak pa ih napadači mogu lansirati relativno često. Uz phishing napade vrijedi spomenuti i spear phishing napade - ciljano slanje zlonamjernih e-mail poruka. U tom su slučaju poruke namijenjene uskom krugu potencijalnih žrtava (najčešće djelatnicima tvrtke koja je konačni cilj napada) te napadači mogu posvetiti puno više pažnje njihovoj pripremi. Tada se zlonamjerni kod ugrađuje u dokument u privitku koji je sadržajno povezan s poslovanjem tvrtke i time zanimljiv osobi koja prima e-mail.
Phishing kampanje pokazale su se kao vrlo učinkovit način distribucije zlonamjernog sadržaja, ali problem je što korisnik  mora svjesno preuzeti privitak. Drugi izuzetno popularan način je preuzimanje zlonamjernog sadržaja s interneta, a da niste svjesni kako je to nešto potencijalno štetno. Metoda drive-by-download iskorištava činjenicu da današnja računala relativno često moraju preuzimati nadogradnju operativnog sustava i drugih aplikacija. Napadači to koriste tako da kompromitiraju web-stranice koje se često posjećuju i na njih postavljaju kod za preuzimanje koji samo nalikuje na legitimnu nadogradnju. Naprimjer, surfajući tom stranicom prikazuje vam se poruka da treba nadograditi Adobe paket. Ekran koji se prikazuje je identičan legitimnom ekranu za nadogradnju Adobea. Budući da je to već radio prosječni korisnik neće primijetiti ništa sumnjivo. No, preuzimanjem takve nadogradnje zapravo će preuzeti zlonamjerni sadržaj koji kontrolira njegovo računalo.
Kako biste izbjegli zarazu tom metodom treba provjeravati izvor s kojega se preuzima nadogradnja - najjednostavniji način je provjeriti URL adresu. Ako se ona razlikuje od adrese tvrtke koja pruža nadogradnju to bi trebao biti jasan signal da se događa nešto neuobičajeno.
Mi imamo ažurne antivirusne alate!
To je druga zabluda zbog koje korisnici smatraju da ne mogu biti hakirani. Antivirusni alati su dobro, korisno i nužno sredstvo u obrani vaših računala i vaših podataka, međutim treba pojasniti kako detektiraju zlonamjerni sadržaj na računalu. Ti alati sadrže popise definicija poznatog malicioznog sadržaja i sve što se nalazi na računalu uspoređuju sa zadanim popisima. Ako alat naiđe na podudarnost to se  prepoznaje kao prisutnost zlonamjernog koda.
Antivirusne definicije su statičke liste koje se često ažuriraju, ali ne dovoljno dobro da se spriječi instalacija zlonamjernog koda novijih generacija. Definicije se izrađuju u istraživačkim centrima antivirusnih kompanija koje neumorno analiziraju velike količine uzoraka koda koji se nalazi u divljini. Kad se za specifični uzorak zaključi da je zlonamjeran izrađuje se njegova definicija i prosljeđuje kao nova nadogradnja antivirusnog alata. Međutim, problem je što moderne vrste zlonamjernog koda jako brzo mijenjaju svoj sadržaj i postaju nevidljivi za antivirusne alate. U divljini su primijećene familije zlonamjernog koda koje za svaki pojedini primjerak imaju izmijenjen sadržaj, a time i definiciju na temelju koje može biti prepoznat uzorak.
 Dakle, antivirusni alati su korisno sredstvo za borbu protiv primitivnih i starijih verzija zlonamjernog koda, ali njihova snaga blijedi pred naprednim vrstama kojih je danas u divljini sve više.  

Ne je li nego kada

Prevencija je dugo bila glavno sredstvo borbe protiv cyber-kriminala pa su tvrtke sto posto svojih sredstava za cyber sigurnost trošile na taj aspekt. U takvom okruženju tvrtke i pojedinci su se uljuljkali u lažnu sigurnost i uvjerenje kako su učinili sve moguće. To se posljednjih godina mijenja - prevencija i dalje ostaje važan aspekt borbe, ali se naglasak stavlja i na prepoznavanje kompromitacije. Iako se čini banalno, nije jednostavno utvrditi da je sustav hakiran.
U prilog tomu govore egzaktni podaci o zlonamjernim vrstama koda koje su u divljini postojale i pet godina prije nego što su identificirane kao zlonamjerne te statistički podatak da je prosječnoj američkoj kompaniji potrebno više od 260 dana da shvati kako je hakirana.

Što napraviti kad ste hakirani?

 Prvi korak je svakako utvrditi jeste li hakirani. Činjenica da su vaši podaci iscurili u javnost govori da je završni čin hakiranja uspješno proveden dok je sustav probijen ranije (podatak o 260 dana!). Treba aktivno i kontinuirano provjeravati sve konekcije koje se iniciraju iz vašeg sustava prema vanjskom svijetu te identificirati one koje su vam nepoznate i neobjašnjive.
Uočite li nepoznati kod ili komunikaciju s vanjskim svijetom koja ne nije dio vašeg standardnog sustava situaciji valja pristupiti na razuman način bez ishitrenog brisanja zlonamjernog koda i prekidanja zlonamjernih konekcija. To napadačima može biti signal da su otkriveni i dati im mogućnost da malim preinakama svoj kod učine nevidljivim na duže vrijeme. Treba potpuno istražiti način rada koda i kako je taj kod uopće došao u vašu mrežu. Tek kad to otkrijete možete obrisati zlonamjerni kod  i  ukloniti ranjivost koja je omogućila da kod pristupi vašim sustavima.  
Tvrtke koje nemaju vlastite interne resurse za provođenje takvih istraga trebale bi pozvati u pomoć nekoga tko ima iskustva s analizom hakerskih napada i načina na koje se takve situacije rješavaju. U toj je fazi presudno iskustvo, jer se većina napada zbiva po špranci koju iskusni stručnjaci mogu prepoznati i nastaviti postupanje. Nakon uspješne identifikacije zlonamjernog koda i uklanjanja ranjivosti koja je dovela do kompromitacije sustava nužno je da tvrtka napravi svojevrsni restore sustava što uključuje mijenjanje svih zaporki i ostalih korisničkih podataka koji su potencijalno kompromitirani, a napadaču omogućuju pristup sustavu.
Ako su vam podaci već kompromitirani ili je nanesena bilo koja druga vrsta štete svaka bi ozbiljna kompanija trebala postupiti kao u kriznoj situaciji. Vrlo jasne i odmjerene izjave prema javnosti mogu značajno umanjiti rizik od gubitka klijenata, jer iskrenost se uvijek cijeni. Podaci koji će se objavljivati javno moraju biti pažljivo filtrirani bez previše tehničkih detalja koji napadačima mogu pomoći u dodatnoj kompromitaciji sustava.
Kad sve završi ovisno o tomu jesu li posljedice bile katastrofalne ili ne, treba odraditi tzv. lessons learned. U istražnom postupku otkrit će se mnogo internih krivaca, osoba koje su nešto zaboravile, a nisu smjele, zaposlenika koji nešto nisu znali, a trebali su znati i članova uprave koji su trebali odobriti neka sredstva, a nisu ih odobrili. To je svakako dobar (ne i najbolji, najbolji je upravo sada!) trenutak za svaku tvrtku da detaljno razmotri svoje strategije upravljanja cyber krizama i iz cijele situacije puno nauči. Jer, kako kaže jedan od podnaslova - nije pitanje hoće li se to ponoviti već kada.