Spletni kriminalci vas opazujejo na vsakem koraku

Gorazd Božič je vodja nacionalnega odzivnega centra za posredovanje pri omrežnih incidentih SI-CERT (Slovenian Computer emergency response team). S programsko kodo se ukvarja že od svojega 13. leta, ko je še kot osnovnošolec naredil prve programerske korake na fakulteti za računalništvo, kjer so ravno začeli delati na prvih računalnikih. PC-ji takrat še niso bili v splošni uporabi, zato ga je skozi zadnja vrata zraven spravil dedek in kot pravi, se je okužil v trenutku. Svojo pot je nadaljeval na Institutu Jožef Stefan, kjer ga je vedno bolj vleklo v smer digitalne varnosti. Tudi zaradi enega najslavnejših hekerjev Kevina Mitnicka, ki je v začetku 90. let prejšnjega stoletja buril prve digitalne duhove. Leta 1994 je začel delati na Arnesu in že leto pozneje postal eden od soustanoviteljev SI-CERT oziroma, kot pravi on, gasilske brigade na internetu.

Katere so najpogostejše oblike zlorab v slovenskem kibernetskem prostoru? Incidente bi razvrstil v tri kategorije.

- Prva je škodljiva koda, ki jo že nekaj let izpostavljamo v svojih poročilih. To so razni virusi, ki kradejo informacije ali izkoriščajo naše računalnike, da se razpošilja nezaželena pošta, ali pa se naše računalnike uporabi kot posrednike za vdor v druge sisteme. Naše analize kažejo, da razvoj škodljive kode postaja vedno večji problem. Zadaj stojijo organizirane kriminalne skupine, ki financirajo razvoj škodljive kode. Ta jim namreč omogoča, da lahko na daljavo kradejo denar, na primer prek elektronskega bančništva.

- Drugi primer so napadi na infrastrukturo oziroma izkoriščanje ranljivosti internetne infrastrukture.

- Tretja kategorija pa je bolj človeški faktor kot tehnološki. To je socialni inženiring. Sem spadajo vse goljufije, kjer ponavadi z vami nekdo stopi v stik prek elektronske pošte.

Kaj so mogoče posledice digitalnih zlorab? Lahko izgubite vse osebne podatke, ki jih imate na računalniku. Prvi odziv vsakogar od nas bo, da nima nič takega na trdem disku. Ni res! Če ne drugega, nas ima večina na disku družinske fotografije. Če te izgubimo, je to lahko resna težava. Nimamo več posnetkov otroka, ko je bil še dojenček, ko je naredil svoje prve korake.

Na računalniku imamo tudi vsa gesla za dostop do spletnih računov. Če to izgubimo, smo naenkrat odrezani od interneta in svojih digitalnih profilov.

Tu so tudi izsiljevalski virusi. Ko se okužite s takšnim virusom, se vam zaklenejo vsi podatki na računalniku, na zaslon pa dobite obvestilo z navodili, da morate plačati odkupnino, če jih želite nazaj.

Koliko znaša odkupnina? Odkupnina znaša od 200 do 400 evrov. Ko jim plačate, vam v zameno odklenejo vaše podatke. Če se okužite s takim virusom, je plačilo praktično edina rešitev.

Izsiljevalci, ki večinoma delujejo iz Rusije, se skrivajo na anonimizacijskem TOR-omrežju, tako da jih je zelo težko izslediti, veliko težavo pa predstavlja tudi sodelovanje z ruskimi organi pregona, ki preprosto niso motivirani za preiskovaje takšnih dejanj.

Kako pa je s spletnimi goljufijami? Danes je v prostoru spletnih goljufij izredno veliko dogajanja. Goljufi izkoriščajo različne načine. Eden najbolj razširjenih je nigerijska prevara. Včasih so se uporabljale zgodbe vdov mogotcev, ki so podedovale na milijone dolarjev, potem je prišla vojna v Iraku in marinci, ki so našli Sadamov (Sadam Husein, op. a.) zaklad in so potrebovali nekoga za pomoč pri prenosu, v zadnjem času pa je po e-pošti krožila zgodba sirskega begunca, ki bi rad pobegnil iz države, potrebuje pa pomoč pri prenosu denarja.

Preobleke so različne, recept pa je vedno enak. V zameno za pomoč pri prenosu denarja obljubljajo dobro nagrado, prosijo pa le za vnaprejšnjo poravnavo manjšega stroška. Torej predstavijo, da imajo na primer 20 milijonov evrov, od tega so vam pripravljeni dati milijon, vnaprej morate le plačati 200 dolarjev, ki jih potrebujejo za podkupnino uradniku ali kaj podobnega. Industrija, ki stoji za temi prevarami, izhaja iz Nigerije in še nekaterih držav zahodne Podsaharske Afrike, kot sta Gana in Slonokoščena obala. Zanimivo je, da se je ta goljufija prvič pojavila že v 16. ali 17. stoletju. Takrat je naokoli krožila zgodba o španski princesi, ki je imela ogromno denarja, bila pa je ujeta nekje v Afriki, od koder ni mogla pobegniti. V tistem času so bili primarna tarča razni plemiči.

Pa ljudje res nasedejo tem elektronskim sporočilom? Ti goljufi so pravi mojstri socialnega inženiringa in znajo najti prave gumbe, na katere morajo pritisniti pri ljudeh.

Se morda spomnite kakšnega posebej izstopajočega primera v Sloveniji? Eden najbolj izrazitih primerov v Sloveniji je gospa, s katero je pred leti navezal stik nekdo, ki se ji je predstavil kot ameriški marinec, nastanjen v Afganistanu. Začela sta si dopisovati in prve tri mesece se je z njo samo pogovarjal. Razlagal ji je tudi, kako je v akciji izgubil prijatelja in je zdaj nesrečen. Uspelo mu je zgraditi zaupanje in čustveno navezanost. Ko je bil teren pripravljen, ji je predstavil predlog za prenos denarja. S spretnimi besedami, igranjem na čustva in zaupanje mu je od nje uspelo iztržiti okoli 120 tisoč evrov.

Ko smo se z njo pogovarjali, je dejala, da ko razmišlja za nazaj, še sama ne more verjeti, da je temu nasedla. Rekla je, da je bilo, kot bi bila v transu. In tudi ko je že pomislila, da se dogaja nekaj čudnega, mu jo je uspelo prepričati, naj mu zaupa.

Še kakšen zanimiv primer? Pri nas smo zabeležili kar nekaj zanimivih primerov "sextortiona" oziroma spolnega izsiljevanja. Tarča so bili predvsem moški v srednjih letih, ki jih je prek Facebooka ali Skypa nagovorilo radoživo mlado dekle in jim sčasoma začelo pošiljati svoje gole fotografije. V zameno je potem to dekle zahtevalo tudi fotografije teh moških v kočljivih položajih, na primer med masturbacijo. Ko so fotografije poslali, pa so nazaj dobili izsiljevalsko sporočilo, da bodo objavljene na YouTubu in razposlane medijem, če ne plačajo odkupnine v višini cca. 300 evrov.

V takem primeru svetujemo, da se takoj prekine komunikacija, da se zbrišejo vsi spletni računi na Facebooku, Gmailu in drugje, tako da izsiljevalci jasno vidijo, da računi ne obstajajo več in ne morejo več komunicirati z vami, s tem pa vas tudi ne morejo izsiljevati. V večini primerov se nato premaknejo na naslednjo žrtev, saj vidijo, da tukaj ne bodo mogli ničesar doseči in ne želijo po nepotrebnem izgubljati časa. Tudi za njih je čas denar.

Kako se pred tovrstnimi zlorabami lahko obvarujemo? Gre za kombinacijo preventive, odzivanja in ozaveščanja.

Vsak uporabnik naj pri sebi premisli, katere podatke bi rad zaščitil oziroma katerih ne želi izgubiti, in naj naredi varnostne kopije. Prav tako moramo biti previdni, da ne plačujemo računov z istega računalnika, na katerem se dovolimo igrati svojim otrokom.

Seveda preventiva ni nikoli stoodstotna. Na cestah imamo že desetletja izkušenj o urejanju prometa, pa se še vedno dogajajo nesreče. Na cesti potrebujete reševalce in policijo, na spletu pa nas, SI-CERT. Če imajo ljudje težave in so žrtve zlorab, se lahko vedno obrnejo na nas, saj imamo znanje, kako se s temi problemi spopasti. Zelo se posvečamo tudi ozaveščanju prek naše spletne strani Varni na internetu, kjer skušamo doseči čim večji krog uporabnikov.

Kaj pa zaščita z gesli? Je učinkovita? Ali obstaja kakšen boljši način? Vse še vedno temelji na tem, da imamo gesla, ki si jih zapomnimo in jih damo računalniku oziroma se z njimi identificiramo prek omrežja. Drugih mehanizmov, razen pri specializiranih storitvah, trenutno še nimamo. Pri e-bančništvu in državni upravi se uporabljajo certifikati, ponekod tudi generatorji enkratnih gesel, ampak to je manjšina tega, kar nas večina uporablja na internetu vsak dan. Za vse drugo je še vedno pravilo geslo. O raznih biometriji in nekih naprednih mehanizmih za zdaj lahko samo fantaziramo.

Je pa pri geslih velika težava to, ker jih je precej preprosto ugotoviti, ker se da napade izvajati z različnimi slovarji in ker se da tudi zakodirana gesla dekodirati. V praksi se pri geslih vedno bolj uvaja sistem dvostopenjskega preverjanja oziroma identifikacije, kjer se najprej identificirate z geslom in potem dobite še SMS-kodo, ki jo morate dodatno vpisati.

Kako pogosto moramo gesla menjati? V zadnjih letih se je doktrina o izbiri gesel in na koliko časa jih menjati spremenila. Včasih je veljalo, da moramo gesla menjati na tri mesece. Takrat smo varno uporabo gesel v svojem programu oglaševali v prispodobi, da je "geslo kot zobna ščetka, ki je ne posojate nikomur in jo redno menjate", objava na internetu pa tako kot zobna pasta, ki jo "zelo težko spravite nazaj, ko jo enkrat iztisnete iz tube".

Ta zobna ščetka se je že začela spreminjati, saj je danes pomembneje, da imate daljše in bolj kompleksno geslo, ni pa tako pomembno, ali ga menjate ali ne. Čas menjave je lahko tudi kakšno leto ali dve. Če je geslo dovolj močno, bo to zdržalo kar nekaj časa.

Kakšno je trdoživo geslo? Tukaj se pojavi težava. Močna gesla so razne kombinacije številk, velikih črk, malih črk, posebnih znakov in tega si nihče več ne more zapomniti. Zato so se pojavili programi, ki skladiščijo gesla v zašifrirani obliki. Njihovo uporabo vsekakor priporočamo. Na internetu preverite KeePass, Lastpass ali 1Password.

Nekatera spletna mesta dopuščajo tudi zelo dolga gesla, tako rekoč neomejeno število znakov. Lahko sestavite nek stavek, na katerega boste pomislili samo vi.

Prej ste že spregovorili o virusih. So virusi in trojanci še vedno aktualna oblika grožnje? Zelo! Izsiljevalske viruse sem že omenil, tu pa so še bančni trojanci, ki vam skušajo prek e-bančništva ukrasti denar in so prisotni tudi v našem spletnem prostoru. Ti bodo še kar nekaj časa predstavljali veliko težavo, saj za njimi stoji cela industrija, ki jo poganja organiziran kriminal.

Kje lahko staknemo viruse in trojance? Za to sta dva glavna načina. Proti enemu se lahko uprete, proti drugemu pa ne. Prvi je elektronska pošta. Dobite elektronsko pošto z neko priponko, ki je videti kot datoteka PDF, v bistvu pa gre za izvršilno datoteko EXE. Ko jo kliknete, je zadeva opravljena in na vaš računalnik se namesti zlonamerna koda.

Drugi način, proti kateremu ne morete nič narediti, je pa t. i. drive-by download (po zgledu drive-by shooting) oziroma okužba v mimohodu.

Kaj je okužba v mimohodu? Če želim okužiti čim širši krog ljudi, najdem primerno in čim bolj obiskano spletno mesto, na katerem skušam najti varnostno luknjo, v katero podtaknem del zlonamerne kode. Ta zelo majhen košček kode ob obisku strani s strežnika potegne neopazen element, velikosti 0 x 0 pikslov, tako da se v brskalniku ne vidi. V tem elementu pa je skrita zlonamerna koda, ki v vašem sistemu poišče ranljivosti in jih izkoristi z namestitvijo raznih internetnih črvov. To se zgodi v delčku sekunde. Proti temu ne morete narediti nič.

Kako se lahko uporabniki pred tem ubranijo? Domači uporabnik lahko to prepreči z neko osnovno higieno. Da poskrbi za nadgradnje računalniških programov, da uporablja protivirusni program, da redno dela varnostne kopije in pazi, da ima zaščiteno brezžično omrežje.

SI-CERT letos obeležuje 20. obletnico obstoja. Kako so se stvari v tem času spremenile? Pred dvajsetimi leti smo predvsem pomagali sistemskim skrbnikom pri reševanju njihovih težav. Potem so okoli leta 2000 prišle okužbe računalnikov. PC-ji so postali zadosti razširjeni, razširil se je tudi internet. Komercialni del interneta je takrat eksplodiral, s tem pa tudi slabe stvari na njem.

Kar se je začelo z motivom nekega raziskovanja po internetu (prototip hekerjev izpred 20 let), se je pred petimi leti sprevrglo v dobiček, v pisanje virusov za zaslužek, za krajo denarja. Danes se kibernetski napadi izvajajo tudi v sklopu delovanja nekih močnih držav, velesil. Temu rečemo državno sponzorirani napadi, ko velesile ZDA, Kitajska, Rusija razmišljajo, kako bi tudi same prek interneta dosegle svoje namene.

V enem stavku: pred 20 leti, ko smo začeli, so bili vdiralci najstniki, ki so vdirali z nekim motivom raziskovanja – takrat je veljal slogan information wants to be free – in se zgledovali po hekerskem manifestu, danes pa je na eni strani denar, na drugi strani vohunjenje med državami.