Ką gi, antras dublis. Pirmą kartą šį įrašą teko atšaukti.

Birželio 30 d. šis tinklaraštis buvo turbūt populiariausias visų lietuviškų tinklaraščių istorijoje. Jį rodė LNK, TV3, LTV žinios, nuorodos į jį vedė iš įvairių naujienų portalų tiek Lietuvoje, tiek užsienyje, jis nuolat buvo minimas įvairiuose komentaruose bei kituose blog’uose ir t.t. Žodžiu, to vienadienės “žvaigždės” populiarumo jam galėjo pavydėti ir pati Zvonkė. Ta proga šiek tiek dėmesio sulaukiau ir aš. Kadangi klausimai iš esmės dažniausiai kartojosi tiek prieš tai daryto įrašo komentaruose, tiek panašūs buvo užduodami iš kitų asmenų, tai įdėsiu vieną interviu, kuris buvo darytas el. paštu ir iš jo man dabar labai paprasta padaryti naują įrašą čia. Klausimai netaisyti ir palikti tokie, kokie buvo uždavinėjami prieš pusantros savaitės. Taigi, pradedam.

Ar Lietuvoje šiomis dienomis vykdomos kiberatakos priskiriamos prie pavojingų?

Kiekvienos atakos pavojingumas priklauso nuo to, kaip ją pabaigs, t.y. nuo pačio įsilaužėlio kėslų. Galima įsilaužti, pasižvalgyti po sistemą ir panaikinus pėdsakus iš ten tiesiog dingti nieko daugiau nedarant. Arba galima perimtą sistemą pritaikyti bet kokiems kitiems tikslams: naudoti tolimesniems įsilaužimams kaip priedangos priemonę, platinti nelegalų turinį, pasisavinti joje esančius duomenis ir t.t. Viskas priklauso nuo įsilaužėlių tikslų ir pačios sistemos svarbumo. Šiuo atveju tikslas buvo atkreipti dėmesį ir tai puikiai pavyko pakeičiant tinklalapių titulinius puslapius. Pati ataka nebuvo didelė ir palietė vos du (na iš tiesų buvo ir trečias, bet jame buvo tik keli tinklalapiai) serverius, kurie priklauso įmonei, turinčiai apie ~10% tinklalapių talpinimo rinkos. Paprastai svarbūs ar populiarūs tinklalapiai netalpinami viename serveryje kartu su kitais. Todėl išlaužti vieną populiarų ar svarbų tinklalapį gali trukti ilgiau, nei šiuo atveju beveik 300. O išlaužus tą vieną toks efektas nebūtų pasiektas koks buvo gautas dabar.

Kokios hakerių atakos būtų laikomos itin pavojingomis? Kokie galimi nuostoliai?

Vienos pavojingiausių yra DDoS atakos. Jų atveju neįsilaužiama į pačią sistemą, bet perpildomi kokie nors jos resursai. Pvz. interneto srautas, atmintis ir t.t. Tokiu atveju pačioje sistemoje gali ir nebūti pažeidžiamumų, bet atsilaikyti prieš kelis ar keliasdešimt tūkstančių kažkur internete esančių kompiuterių, kurie nuolat kreipiasi į sistemą ir taip išnaudoja jos resursus, yra sudėtinga. Toks DDoS atakoms paruoštas kompiuterių tinklas vadinamas BotNet’u ir yra valdomas įsilaužėlių. Paprastas kompiuteris namie ar sekretorės darbo vietoje gali priklausyti BotNet tinklui ir nevykdyti jokių antpuolių prieš kitas sistemas, kol to nelieps daryti įsilaužėlis. DDoS atakos atveju užpulta sistema tiesiog nustoja normaliai funkcionuoti ir nuostoliai jau priklausytų nuo jos paskirties. Užsienyje yra buvę atvejų, kai tokiu būdu užpulti dideli internetiniai kazino maždaug per valandą sumokėdavo įsilaužėlių reikalaujamas 50 000 USD išpirkas, kad tokios atakos būtų nutrauktos. Tiems kazino kelių valandų neveikimas atnešdavo didesnius nuostolius. Atsilaikyti prieš tokias atakas sudėtinga, yra sugalvota įvairių būdų, bet nei vienas jų nėra efektyvus 100%. Kuo didesnis BotNet tinklas, tuo sunkiau prieš tokias atakas atsilaikyti. Užsakyti DDoS ataką iš Rusijos įsilaužėlių kainuoja nuo 30 USD visai dienai. Jeigu puolama sistema padidintų savo resursus, tuomet pridėjus dar 30 USD galima užsakyti dvigubai didesnę ataką ir t.t., kol baigsis BotNet’o galimybės. Neoficialiais duomenimis, tokius BotNet’us kuria bei valdo maždaug 15 didžiųjų pasaulio valstybių, tarp kurių patenka JAV, Kinija bei Rusija. Pernai metais prieš Estijoje esančias sistemas ir buvo vykdomos būtent tokio tipo atakos. Nedidelio mąsto DDoS atakų jau yra buvę ir Lietuvoje, tik nuo to nukentėjusios organizacijos jų neviešino. Būtent dėl panašaus pobūdžio atakų, įmonėse yra svarbu užtikrinti ir tokį veiklos tęstinumą, kai neveiktų IT sistemos. Tegu įmonė be IT sistemų veikia 40% pajėgumu, tegu 30%, bet svarbu, kad ji veiktų ir atliktų bent jau svarbiausias užduotis, o ne visai sustotų.

Ar įmanoma nustatyti kas atakų autoriai?

Dažnausiai įmanoma tik tais atvejais, jei atakos autorius nesisaugo. Bet tokias klaidas daro tik pradedantieji. Dažniausiai yra saugojamasi ir slepiamasi už kitų tarpinių sistemų. Todėl gali atrodyti, kad ataka vyskta pvz. iš Vokietijos. Išanalizavę sistemą esančią Vokietijoje, galite nustatyti, kad ji buvo tik tarpinė ir prie šios sistemos buvo prisijungta iš kitos sistemos, esančios Brazilijoje. Išanalizavę ją, galite nustatyti, kad ir Brazilijoje esanti sistema yra tik tarpinė. Tokiu būdu tyrimas gali užtrukti kelis metus arba iš viso baigtis nesėkmingai, jei kurios nors šalies institucijos atsisakytų bendradarbiauti arba toje šalyje, iš kurios viskas prasidėjo, nėra tokius nusikaltimus reglamentuoančių teisės aktų. Tuomet net ir nustačius tikrąjį nusikaltėlį jo nubausti nepavyks. Šiuo atveju yra taikomos kitos priemonės nusikaltėliui sučiupti. Jis bandomas išvilioti atvykti į tą šalį, kur tokie teisės aktai jau yra ir toje šalyje būna suimamas. Arba įsilaužimo į bankus atvejais, įsilaužėlį bandoma pagauti ne tik bandant atsekti atakos šaltinį, bet ir sekant per įvairių šalių bei bankų sąskaitas “keliaujančius” pinigus. Nusikaltėlis sučiumpamas, kai bando tuos pinigus išsigryninti.

Kodėl kiberatakos pavyko? Ko trūksta mūsų bendrovėms ar įstaigoms, negalinčioms apsiginti nuo panašių atakų?

Pirmiausia trūksta požiūrio. Saugumas prasideda ne IT skyriuje, o direktoriaus kabinete. Be technologinių saugumo priemonių, kurių dažniausiai reikalauja IT specialistai, dar yra ir organizacinės apsaugos priemonės. Būtent jos ir nurodo kaip valdyti informacijos apsaugą organizacijoje, kokius reikalavimus kelti partneriams, darbuotojams, kiek resursų skirti vienai ar kitai apsaugos sričiai, kada jau reikia pasakyti IT skyriui “ne” į dar vieną jų prašymą, o kada tą prašymą patenkinti, kurias sistemas reikia saugoti labiau, o kurioms saugumo jau pakanka ir t.t. Šis atvejis tiesiog parodo, kad įmonėje, kurios serveriai buvo išlaužti, nebuvo užtikrinami reikiami procesai ir laiku nepasirūpinta serverių saugumu. Galbūt sistemas prižiūrintys darbuotojai nebuvo laiku išsiųsti į kvalifikacijos kėlimo kursus, galbūt nebuvo atliktas sistemų pažeidžiamumų auditas, galbūt tiesiog darbuotojų požiūris į darbą buvo atsainus, o vadovybė nesugebėjo to sukontroliuoti ir t.t. Šiuo atveju galiu tik spėlioti, bet dėl pažeidžiamumų sistemose visų bėdų nereikėtų suversti tik IT specialistams. Įsilaužta buvo vos į du serverius, o nukentėjusiųjų beveik trys šimtai. Svarbūs duomenys nepavogti, klientai finansiškai lyg ir nenukentėjo, bet tinklalapius talpinančiai įmonei nematerialūs nuostoliai kur kas didesni. Atstatyti gerą vardą rinkoje dabar kainuos kur kas daugiau, nei prieš tai būtų išleista reikiamam saugumo lygiui užtikrinti.

Kaip apskritai būtų galima apsisaugoti nuo kiberatakų? Kokie būtų patarimai ateičiai?

Nereikėtų didžausiu pavojumi laikyti tik kažkur toli esančius įsilaužėlius. Statistika rodo, kad dažniau nukenčiama nuo savų darbuotojų. Bet kuriuo atveju turi atsirasti tinkamas požiūris ir pradėta formuoti saugumo kultūra pačioje organizacijoje. Patarti kažką konkretaus yra sudėtinga, nes kiekviena organizacija pernelyg skirtinga, kad vienas patarimas tiktų visoms. Didžiausia vertybe bet kurioje įmonėje visuomet laikiau ir laikysiu žmogų, t.y. jos darbuotoją. Ne serveriai, ne operacinės sistemos, ne tinklalapiai ar tinklo įranga sukelia problemas. Problemas sukuria žmonės, jie jas ir pašalina. Todėl pradėkite nuo jų. Jei negalite nuolat skirti lėšų kursams, tuomet sudarykite biudžetą bent jau jų norimai literatūrai įsigyti ir nuolat skatinkite jų norą tobulinti žinias. Sudėtingėjant sistemoms, sudėtingėja jų priežiūra, taip pat atsiranda ir nauji būdai kaip į jas įsilaužti. Todėl nuolatinis žinių atnaujinimas čia yra svarbus. O toliau? Toliau jau reikėtų žiūrėti konkrečias organizacijas, jų naudojamas sistemas, galimas rizikas ir t.t.

p.s. savo blog‘e rašai, kad pasinaudojus google galima rasti dar daugiau potencialių aukų, gal galėtum šiek tiek ir apie tai brūkštelėti.

Google sistema indeksuoja tai, ką randa tinklalapiuose ir vėliau pateikia paieškos rezultatuose. Apie saugumo problemas tinklalapiuose išduoda juose kartais atsirandančios klaidos, kurios kyla dėl nestandartinio tinklalapio naudojimo ar neįprasto veikimo. Google ar bet kokiai kitai paieškos sistemai tinkamai suformavus paieškos parametrus, galima surasti tokius tinklalapius, kurie turi saugumo problemų ir apie tai patys išsiduoda paieškos sistemoms. Tad siekiant nulaužti ne kurį nors vieną konkretų tinklalapį, bet kuo didesnį jų kiekį, paieškos sistemos yra puikus šaltinis pažeidžiamų tinklalapių paieškai. Formuojant užklausas tik vieno tipo pažeidžiamumo paieškai, šiandien Google rodo, kad iš viso gali būti per 15 000 pažeidžiamų lietuviškų puslapių. Žinoma, ne visų jų pažeidžiamumus bus galima išnaudoti, kai kurie puslapiai paieškos rezultatuose dubliuosis, bet net ir 10% tinklalapių nuo to skaičiaus yra pakankamai didelis kiekis. Ir tai tik pasinaudojus paieškos sistema. Pažeidžiamų tinklalapių ieškant rankiniu būdu, jų randama dar daugiau, tačiau tai užima kur kas daugiau laiko. Taikiniu pasirinkus konkretų puslapį, be rankinio darbo apsieita nebūtų. Balandžio mėnesį buvo įsilaužta į kelis lietuviškus tinklalapius ir juose patalpintos žalingos programos, kurios buvo platinamos jų lankytojams. Ataka buvo pilnai automatizuota ir savo aukų ieškojo naudodamasi Google paieškos sistema. Tokia ataka buvo vykdoma visame pasaulyje ir modifikuoti buvo keli šimtai tūkstančių tinklalapių, tarp kurių pateko ir lietuviški valstybinių bei privačių organizacijų puslapiai. Apie tai daugiau rašiau savo blog’e: http://www.informacijosapsauga.lt/apie-viska/uzsikresti-zalingomis-programomis-jums-pades-susisiekimo-ministerija/.

Tikiuosi tiek pakaks.

» Temos: Rusų antpuoliai
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us