Stefan Tanase z Kaspersky Lab mówi o bezpieczeństwie w sieci

Rz.: Jak w ciągu ostatnich 10 lat zmieniła się cyberprzestępczość?

Stefan Tanase:

Kiedyś cyberprzestępcy zajmowali się tworzeniem wirusów głównie dla rozrywki, albo po prostu po to, żeby udowodnić, że są sprytniejsi od innych. Dziś 99 proc. złośliwego oprogramowania ma za zadanie realizację jakiejś strategii monetyzacji ataków. Cyberprzestępcy działają tak samo jak prawdziwi przedsiębiorcy, z tą różnicą, że pozostają w ukryciu i nie przejmują się prawem.

Od pewnego czasu mamy do czynienia z coraz większą ilością oprogramowania ransomware, czyli takiego, które domaga się od użytkowników zapłaty okupu za przywrócenie dostępu do ich danych.

To prawda. Obecnie to jedna z najbardziej bezpośrednich form kradzieży pieniędzy użytkowników. A w zasadzie nawet nie tyle samej kradzieży, ile zmuszenia użytkownika do zapłacenia określonej kwoty, gdy uświadomi sobie, że to jedyny sposób na odzyskanie danych. Kilka lat temu cyberprzestępcy popełniali wiele błędów w implementowaniu procesu szyfrowania. Gdy pojawiało się nowe oprogramowanie typu ransomware, byliśmy w stanie odwrócić ten proces i stworzyć narzędzie pozwalające na odszyfrowanie plików. Z biegiem czasu przestępcy stawali się jednak coraz lepsi w swoim fachu i obecnie większość oprogramowania ransomware ma bardzo dobrą implementację szyfrowania. To sprawia, że w zasadzie nie da się go odszyfrować. W takim przypadku użytkownik może odzyskać swoje dane tylko na dwa sposoby. Albo posiadając ich kopie, albo płacąc cyberprzestępcom. To drugie rozwiązanie zdecydowanie odradzamy, ponieważ to zachęta dla kryminalistów do tworzenia jeszcze większej ilości złośliwego oprogramowania. Dlatego tak ważne jest, by robić kopie swoich danych, a niestety wciąż wielu użytkowników nie widzi takiej potrzeby.

Nadal dużą popularnością wśród cyberprzestępców cieszy się jednak tradycyjny phishing.

Pomimo tego, że to bardzo prosta i bardzo stara strategia, wciąż niestety dobrze się sprawdza. Oczywiście jest ona nieskuteczna w sytuacji, gdy dana strona internetowa wymaga dwustopniowej weryfikacji użytkownika, np. przy użyciu kodu przesłanego za pośrednictwem telefonu lub wygenerowanego przez token. Problem w tym, że wielu użytkowników, zwłaszcza starszych, może mieć problem z określeniem czy dana strona – np. banku – jest prawdziwa, czy też nie. W takiej sytuacji można polegać wyłącznie na technologii.

Jak zatem zachęcić użytkowników, by pogłębiali swoją wiedzę dotyczącą bezpieczeństwa w sieci?

W pewnym stopniu rozumiem, dlaczego wiele osób nie przejmuje się tą kwestią myśląc, że ich to nie dotyczy. Problem w tym, że zazwyczaj zaczynają się one martwić cyberbezpieczeństwem dopiero, gdy spotka je coś złego. A wtedy zwykle jest już zbyt późno. I nie mam tu na myśli wyłącznie złośliwego oprogramowania. Podam najprostszy przykład: komuś zaczyna psuć się twardy dysk, ale mimo to nie robi jego kopii. Dopiero gdy dysk padnie definitywnie, wtedy taka osoba zacznie robić kopie. Czekanie, aż coś się wydarzy, to złe podejście. Ale przecież nie można zmusić nikogo, żeby podejmował działania mające na celu poprawę bezpieczeństwa. Żyjemy w wolnym świecie i każdy może robić ze swoim komputerem, co mu się podoba. To, co możemy zrobić – zarówno ja, jak i pan – to mówić i pisać o rzeczach, które odkrywamy. Z punktu widzenia ochrony naszych klientów wykrycie złośliwego oprogramowania, czyli to czym zajmujemy się na co dzień, jest w zupełności wystarczające. Publikujemy jednak nasze odkrycia, by podzielić się nimi z innymi firmami z branży, a prasa mogła o nich napisać. Oczywiście to nie zawsze przynosi efekt, ale sądzę, że gdybyśmy tego nie robili, to obecna sytuacja byłaby znacznie gorsza. W ten sposób przynajmniej użytkownicy Windows, którzy mają świadomość zagrożenia, instalują program antywirusowy. Niestety sytuacja wygląda znacznie gorzej w przypadku użytkowników systemów na urządzeniach mobilnych, Makach czy Linuxa, którzy ciągle wierzą, że są one odporne na wirusy. W rzeczywistości mniejsza ilość złośliwego oprogramowania dedykowanego tym systemom wynika po prostu z ich znacznie mniejszego udziału w rynku.

W sytuacji, gdy ciągle wzrasta liczba urządzeń mobilnych, takie podejście jest ryzykowne.

Oczywiście. Te urządzenia stają się przecież coraz bardziej podobne do komputerów. Mają coraz szybsze procesory, więcej pamięci i szerokopasmowy dostęp do Internetu, czyli wszystko to, czego potrzebują cyberprzestępcy do tworzenia botnetów.

Telefon można dodatkowo również zgubić.

To prawda, ale przecież równie łatwo zgubić laptopa. Wystarczy spojrzeć na to, co dzieje się na lotniskach. Dlatego właśnie wszyscy powinni szyfrować swoje dyski. Inaczej stracą nie tylko samo urządzenie, ale przede wszystkim dane, które są w nim zapisane. Problem w tym, że wiele osób przez lata wzrasta w poczuciu, że nie jest to konieczne. Dzieci używające komputera do gier i sieci społecznościowych nie przejmują się tym, czy ich urządzenie zostanie zainfekowane złośliwym oprogramowaniem. Z biegiem lat zaczynają jednak korzystać np. z e-bankowości lub przesyłają wrażliwe dane dotyczące swojej pracy, ale ich nastawienie do kwestii cyberbezpieczeństwa nie ulega zmianie.

Jak chronić się przed atakami typu Heartbleed?

Heartbleed to bardzo ciekawy przykład. Myślę, że ten incydent dał nam wszystkim dobrą lekcję. Wierzymy, że oprogramowanie typu open source powinno być pod pewnymi względami bezpieczniejsze, ponieważ każdy może zajrzeć do jego źródła. Jeśli znajduje się w nim błąd lub jakaś podatność, to wcześniej czy później zostaną one wykryte. Dlatego właśnie zdumienie wywołał fakt, że luka znajdowała się w protokole OpenSSL, który jest stosowany do zabezpieczenia zaszyfrowanych połączeń w Internecie. Heartbleed uświadomił nam, że oprogramowanie open source może mieć swoje problemy. Nie możemy polegać na przekonaniu, że bezpieczeństwo naszych najważniejszych informacji będzie zależało od grona ochotników – a tak przecież jest z większością osób zajmujących się rozwojem tego oprogramowania. Firmy, które wykorzystują tę technologię, muszą zacząć finansować takie projekty. Twórcy open source też przecież muszą opłacać rachunki i za coś żyć. Paradoksalnie uważam jednak, że ujawnienie Heartbleed pomoże branży open source. Dzięki temu będzie ona mogła pozyskać lepsze finansowanie. Problem z Heartbleedem polega też jednak na tym, że nikt nie wie, czy ktoś skorzystał z tej luki przed ujawnieniem informacji o niej. Trudno mi wierzyć, że żadna spośród agencji rządowych nie dysponowała taką wiedzą. To już jednak kwestia zasad – jeśli ktoś wie o jakiejś luce, to sądzę, że powinien o tym poinformować świat, żeby owa luka została naprawiona. Jeśli natomiast taką informację zostawia dla siebie, to... Cóż, ja się nie zgadzam z takim podejściem. Inna sprawa, że firmy komercyjne, takie jak Google, mogą sobie pozwolić na płacenie osobom, które zgłoszą im błędy w ich oprogramowaniu. Twórcy open source nie mają takiej możliwości.

Kaspersky Lab poinformował właśnie o wykryciu kampanii Luuuk. Czym się ona charakteryzuje?

Luuuk wygląda na nowy rodzaj złośliwego oprogramowania, które atakuje banki. Jest ono o tyle tajemnicze, że nikt nie widział samego kodu. Udało nam się zlokalizować jedynie serwer, za pośrednictwem którego dokonano ataku. Na nim znaleźliśmy ślady jednej z operacji, jaką przeprowadzili cyberprzestępcy. To, co było dla nas w tym przypadku ekscytujące, to niezwykle rzadka możliwość podejrzenia działań niejako zza kulis, tzn. z punktu widzenia osób przeprowadzających atak. Mogliśmy zobaczyć m.in. w jaki sposób przestępcy dzielili pieniądze, gdzie je przesyłali, itp. Dzięki temu uda się złapać osoby odpowiedzialne za ten atak, co nie zdarza się zbyt często. Takie grupy są bowiem bardzo dobrze zorganizowane i zwykle poszczególne osoby na różnych ich szczeblach nie wiedzą nawet dla kogo pracują.

Jak duży odsetek cyberprzestępców trafia w ręce policji?

Myślę, że nie jest on zbyt pokaźny. Nie chciałbym wskazywać jakiejś konkretnej liczby, ale należy pamiętać o tym, że zwykle aresztuje się cyberprzestępców dopiero w momencie, gdy popełnią jakiś błąd. Tak dzieje się w większości przypadków. Przestępcy działają przez rok, dwa, pięć i w pewnym momencie muszą popełnić błąd – nikt nie jest przecież doskonały. Problem w tym, że na każdego cyberprzestępcę, który zostanie złapany, przypada co najmniej 10, którzy kontynuują ten proceder. Wielu z nich prowadzi zresztą taką działalność jedynie przez określony czas. Cyberprzestępcy inwestują zdobyte nielegalnie środki w biznesy działające w realnym świecie – w ten sposób piorą brudne pieniądze. Jeśli grupa taka jak ta, która wykorzystała Luuuk, zdobywa pół miliona euro w ciągu jednego tygodnia, to możemy sobie wyobrazić ile pieniędzy są w stanie ukraść w ciągu roku. Jeśli potem odpowiednio je zainwestują, to mogą porzucić cyberprzestępczy proceder. To stanowi prawdziwe wyzwanie dla policji. W Internecie wszystko dzieje się tak szybko, że w wielu przypadkach jeśli nie złapie się kogoś na gorącym uczynku, to za rok może być już zbyt późno.

Jak w obliczu takich zagrożeń możemy zachęcić użytkowników do korzystania np. z e-bankowości?

Ludzie nie powinni bać się zagrożeń związanych z Internetem. Myślę, że każdy jest w stanie bardzo łatwo osiągnąć satysfakcjonujący poziom bezpieczeństwa w sieci – mam tu na myśli taki, który sprawi, że będziemy chronieni przed większością przypadków klasycznych cyberprzestępstw. Można to zrobić za pomocą jednej bardzo prostej rzeczy, a mianowicie aktualizacji oprogramowania, z którego korzystamy. Większość ludzi nie rozumie, jak bardzo istotna jest ta kwestia. Uważają, że to tylko kłopot. A przecież to najprostszy i najtańszy sposób, by zdecydowanie poprawić poziom bezpieczeństwa swojego komputera. Cyberprzestępcy używają bowiem zwykle metod korzystających z inżynierii społecznej albo próbują zainfekować komputer poprzez luki, do których zostały już wydane poprawki. W ten sposób atakują tych użytkowników, którzy nie zaktualizowali swojego systemu. Przypomina to trochę spacer ulicą i próby otwierania przypadkowych drzwi i okien w domach. Wcześniej czy później uda się znaleźć takie, które nie są zamknięte, i wejść do środka. Ten sam schemat pojawia się w przypadku cyberataków. Cyberprzestępcy działają podobnie jak prawdziwi biznesmeni – wydają pieniądze na przeprowadzenie ataku, ale oczekują w zamian określonej stopy zwrotu z tej inwestycji. Jeśli zainstalujemy wszystkie aktualizacje i odpowiednie zabezpieczenia, to okaże się, że zaatakowanie nas będzie znacznie droższe niż zaatakowanie kogoś, kto tego nie zrobił. A to zdecydowanie mniej opłaca się cyberprzestępcom.

Z początkiem kwietnia Microsoft zakończył wspieranie systemu Windows XP, z którego korzysta większość bankomatów na świecie. Jak poważne zagrożenie stanowi to dla klientów banków?

Szczerze mówiąc, bankomaty to najmniejszy problem związany z końcem wsparcia dla Windows XP. Dzieje się tak z dwóch powodów. Po pierwsze, zwykle bankomaty nie są podłączone do Internetu, a jedynie do jakiegoś prywatnego Intranetu danego banku. Po drugie, nawet zanim Microsoft zakończył wspieranie Windows XP, te bankomaty i tak nie były aktualizowane – właśnie dlatego, że nie są podłączone do Internetu. Prawdziwe zagrożenie związane z decyzją Microsoftu tkwi gdzie indziej, a mianowicie w komputerach, z których korzystają np. instytucje rządowe. Przykładowo, w Rumunii wiele z komputerów w takich instytucjach jest bardzo przestarzałych. Nie można na nich zainstalować nowszych wersji Windows, a na zakup nowego sprzętu nie ma pieniędzy.

Czyli z powodu XP nie musimy się obawiać bankomatów?

Nie. Zresztą generalnie przypadki zainstalowania złośliwego oprogramowania w bankomatach na całym świecie są dość rzadkie. Zwykle tego typu działania podejmowane są „od wewnątrz", np. przez administratora systemu. Zdarzały się również przypadki, że przestępcy wycinali dziurę w bankomacie i instalowali złośliwe oprogramowanie za pośrednictwem USB, ale to bardzo prymitywna metoda.

Znacznie poważniejszym zagrożeniem jest zatem skimming?

To faktycznie problem. I to właśnie na urządzenia skanujące powinniśmy przede wszystkim zwrócić uwagę, a dopiero w dalszej kolejności na złośliwe oprogramowanie. Na szczęście istnieje bardzo skuteczny sposób, by ochronić się przed skimmingiem. W czasie wkładania i wyciągania karty nie powinniśmy robić tego jednym płynnym ruchem, ale spróbujmy poruszać trochę kartą. Jeśli w bankomacie zainstalowano urządzenie skanujące, to nie będzie ono wtedy w stanie odczytać paska magnetycznego naszej karty. Oczywiście należy również pamiętać o zakrywaniu ręką klawiatury na wypadek, gdy przestępcy zainstalują w bankomacie kamerę. Część z nich stosuje również specjalne nakładki na klawiaturę, dlatego zawsze warto sprawdzić, czy dany bankomat nie ma tego typu modyfikacji. Jeśli jakaś część urządzenia odstaje, albo się trzęsie, wtedy dostajemy sygnał ostrzegawczy, że coś jest z nim nie w porządku.