Ne bi verjeli, kdo vse so žrtve računalniških napadov

Graham Cluley je svojo poklicno pot v panogi računalniške varnosti začel pred skoraj tridesetimi leti. Najprej je kot programer soustvarjal nekatere izmed prvih programov za zaščito pred računalniškimi virusi, do leta 2013 pa opravljal več različnih vodilnih vlog v podjetjih za računalniško varnost Sophos in McAfee.

Pred šestimi leti se je odločil iti na svoje in od takrat deluje kot predavatelj, neodvisni analitik računalniške varnosti in bloger. Svoje poslanstvo opisuje kot dviganje zavesti o računalniški varnosti in hekanju. Redno objavlja kolumne in strokovne članke za vrsto mednarodnih tehnoloških medijev, kot so Mashable, TechCrunch, IT Week in Computer Weekly, kakor tudi splošnih medijev, kot so BBC, Sky, Fox, CNN in The Telegraph.

Seznam dogodkov in konferenc po vsem svetu, na katerih je predaval, je zelo dolg, na njem pa so tudi letošnji Dnevi zavarovalništva v Sloveniji, ki so ga prve dni junija pripeljali na slovensko obalo. Že 26 let jih organizira Slovensko zavarovalno združenje.

"Eden od najučinkovitejših in pravzaprav zelo nezahtevnih načinov za hiter zaslužek velikih količin denarja je prevara s poslovnimi e-sporočili," pravi Graham Cluley, neodvisni strokovnjak računalniške varnosti in publicist. Foto: Matija Lepoša

Zadnjih nekaj let delujete predvsem kot predavatelj in avtor. Ali kdaj še vedno lovite računalniške nepridiprave?

Veliko manj kot nekoč, ko sem bil zaposlen v podjetjih računalniške varnosti. Sicer se še vedno zgodi, da do mene pride nekaj, kar bi bilo lahko zanimivo in uporabno za oblasti, ker je tako marsikomu prijetneje, kot da bi komuniciral neposredno z organi javnega reda in pregona. Ko se to zgodi, takšne podatke in spoznanja nemudoma posredujem naprej.

Kateri je po vaših izkušnjah za računalniške nepridiprave najboljši način za hiter zaslužek velikih količin denarja?

Eden od najučinkovitejših in pravzaprav zelo nezahtevnih načinov takšnih dejanj je prevara s poslovnimi e-sporočili. Največkrat poteka tako, da v ciljanem podjetju enemu od zaposlenih ukradete njegovo e-poštno sporočilo, s čimer lahko dobite vpogled, s kom to podjetje posluje. Takrat ustvarite lažno podjetje z lažnim bančnim računom in začnete izstavljati fakture za dejansko opravljeno delo ali dobavljeno blago. Če računovodstvo ne ugotovi ukane, bo denar pristal na bančnem računu nepridiprava.

Kakšno škodo povzročajo takšni napadi?

Celo napredne tehnološke družbe, kot sta Google in Facebook, so s takšnimi napadi utrpele okrog sto milijonov dolarjev (90 milijonov evrov) škode. Čar takih napadov je, da napadalec ne potrebuje veliko računalniškega ali programerskega znanja. Že res, da mora nekomu ukrasti geslo, a je to danes, žal, zelo preprosto. V preostalem delu pa takšne ukane niso bistveno drugačne od različnih nigerijskih pisem, ki obljubljajo mastne provizije ob domnevnem prenosu dediščine ali druge velike količine denarja. Samo prepričljiv je treba biti.

"Nepridipravi znajo odlično izkoristiti človeško dobroto." Foto: Matija Lepoša

Kako napadalcem to uspe?

Ne bi verjeli, koliko podjetij, tudi velikih in znanih, je žrtev takšnih napadov. Včasih nepridipravi celo pokličejo po telefonu ter pod pretvezo, da so šefi nekega oddelka in da jim računalnik ne dela ali da gre za pomemben posel, ki ga ne smejo omenjati pisno, prek telefona prosijo za izvedbo naročila. Ljudje so zelo podvrženi takim prevaram. Sliši se kot nekaj oguljenega, a dejstvo je, da so ljudje velikokrat lahko ozko grlo. Ljudje posodabljamo svoje računalnike, ne posodabljamo pa svojih možganov.

Kako lahko sploh kdo nasede na to?

Zadošča že majhna preprosta napaka, ki se vsakomur, zlasti ob prezaposlenosti, lahko še prehitro zgodi. Vsakodnevno dobivamo na stotine e-sporočil, če pa ravno takrat, ko kakšno beremo, pride kdo do nas in nas zmoti s svojim vprašanjem, lahko nehote pritisnemo napačno tipko, odpremo neželeno povezavo. Morda delate v podjetju, kjer šefu preprosto ne smete ugovarjati ali mu reči ne, zato si ne boste upali preverjati, ali je kaj videti, kot da prihaja od nadrejenega.

Želite reči, da nepridipravi stavijo na element presenečenja?

Tudi to, a gre za še veliko več – družbeno nerodnost. Ljudje globoko v sebi vendarle radi pomagamo drug drugemu in nam je nerodno, če kdo potrebuje pomoč. Nekoč sem delal v podjetju, kjer smo vsi morali ves čas nositi identifikacijske kartice ter vsakega, ki je ni imel, povprašati za identiteto in ga prijaviti. V praksi pa so vsi držali odprta vrata vsakemu mimoidočemu, tudi če ni nosil svoje kartice in ga niso poznali. Nepridipravi znajo odlično izkoristiti človeško dobroto.

"Politično motivirano hekanje postaja v zadnjem desetletju zelo vroča tema. Pred četrt stoletja je bilo to slišati kot znanstvena fantastika, danes pa je to realnost." Foto: Matija Lepoša

Kako daleč sega iznajdljivost nepridipravov pri oblikovanju napadov?

V nebesa. Nekoč smo imeli v Veliki Britaniji velik napad na šole in fakultete, ki se celo ni začel z elektronskim sporočilom, temveč s telefonskim klicem. Napadalci so poklicali številne izobraževalne ustanove in pod pretvezo, da kličejo z ministrstva za šolstvo, napovedali pošiljanje e-dopisov z obrazci, ki jih morajo šole in fakultete izpolniti. Povezave do obrazcev so bile zlonamerne, a marsikatera tajnica ni podvomila o pristnosti klica, ki mu je sledilo napovedano e-poštno sporočilo.

Torej prijaznost in zaupanje lahko škodujeta?

Žal da. To je del težave. Del obrambe je, da smo bolj cinični in bolj skeptični, a je to zelo žalostno, ker nas hkrati odvrača od prijaznosti in zaupanja na tistih področjih življenja, kjer je to še bolj pomembno in kjer nikakor ne bi smeli biti kruti drug do drugega. Menim, da je del težave tudi v generacijskih razlikah – med najranljivejšimi so pogosto starejši, ki niso odraščali v tako krutem svetu in ki ne pričakujejo, da jih bodo tisti, ki jih nagovorijo, želeli prevarati.

Kakšen primer tovrstnega napada?

Celo mojega tasta so enkrat poklicali prevaranti in se predstavili kot tehnična podpora Microsofta, ki je odkrila virus na njegovem računalniku. Njegov računalnik je bil sicer izklopljen in spravljen v kleti, napadalci pa so čakali pol ure na zvezi, medtem ko je tast iskal ključe kleti. Še dobro, da se mu ni ljubilo v klet, ko je našel ključe. Klicateljem je rekel, naj ga pokličejo naslednji dan. Seveda ga niso in še dobro, da ga niso. Pod pretvezo programa za pomoč so mu namreč želeli podtakniti zlonamerno povezavo, prek katere bi pridobili oddaljeni nadzor nad njegovim računalnikom. Takšna oblika napada je običajna.

"Pred četrt stoletja so bili hekerji mozoljasti najstniki, danes pa prek interneta vohunijo države, ki imajo denar za take podvige in se pred njimi ne bodo obotavljale." Foto: Matija Lepoša

Zakaj ljudje težko prepoznajo takšne napade?

Za tiste, ki smo pogosto v stiku z računalniško varnostjo, je to nekaj vsakdanjega in žal povsem običajnega. Ljudje na drugih delovnih mestih se ukvarjajo s svojim delom in niso toliko v stiku s tem. Posvečajo se svojim poglavitnim nalogam in ne razmišljajo o tem, česa so zmožni računalniški nepridipravi.

Kaj je poleg e-poštnih prevar še donosno za računalniške nepridiprave?

Zagotovo izsiljevalski programi (ransomware), katerih pogostost narašča. Tu so še programi, ki ugrabijo procesorsko moč napadenega računalnika in prek nje rudarijo kriptovalute za napadalca. Če se vam zdi, da je računalnik nenadoma počasen, bi morali posumiti, da se dogaja to. Pogostost teh napadov je velikokrat odvisne od cene kriptovalut na trgu. Sledijo različne kraje podatkov, še najraje kar številk kreditnih kartic.

Koliko takšnih in drugih zlonamernih računalniških napadov je po naročilu vlad različnih držav?

Politično motivirano hekanje postaja v zadnjem desetletju zelo vroča tema. Pred četrt stoletja je bilo to slišati kot znanstvena fantastika, danes pa je to realnost. Pred četrt stoletja so bili hekerji mozoljasti najstniki, danes pa prek interneta vohunijo države, ki imajo denar za take podvige in se pred njimi ne bodo obotavljale. Dobra novica je, da večina posameznikov in podjetij tujim obveščevalnim agencijam ni zanimiva.

"Vohunijo tudi sicer prijateljske države, tudi članice EU vohunijo druga za drugo. Vse kaže, da največ tega prihaja iz Rusije, Ukrajine in Kitajske, a bi bilo naivno misliti, da obstaja kakšna razvita država, ki ne izvaja internetnega vohunjenja." Foto: Matija Lepoša

Katere države največ vohunijo prek interneta?

Niso to samo predvidljive relacije, na primer ko Rusija vohuni za ZDA. Vohunijo tudi sicer prijateljske države, tudi članice EU vohunijo druga za drugo. Vse kaže, da največ tega prihaja iz Rusije, Ukrajine in Kitajske, a bi bilo naivno misliti, da obstaja kakšna razvita država, ki ne izvaja internetnega vohunjenja. To delajo Američani, Grki imajo svojega trojanskega konja in to ni šala, celo vi to počnete. Zakaj ne bi? Razočaralo bi me, če naši obveščevalci tega ne bi počeli, ker je takšno vohunjenje varnejše, cenejše in težje izsledljivo. Lahko ga tudi zanikate, kar je težje, če najdejo vašega živega vohuna.

Skupni imenovalec vseh računalniških napadov je, da žrtev v nekem trenutku nasede. Zakaj v javnosti velja splošno prepričanje, da vemo dovolj o teh nevarnostih? Kako premostiti ta prepad?

Težko. Menim, da moramo kar naprej govoriti o primerih prevar. Ljudje najbolje razumejo, če jim opišemo nekaj, kar se je zgodilo nekomu, ki ga poznajo in jim je blizu. Napadalci neredko dolgo načrtujejo napade, izobraževalne ustanove in druga podjetja, ki nimajo sredstev in kadra za računalniško varnost, pa so lahka tarča. Včasih so tako slabo varovani, da napadalci na zakonito spletno mesto postavijo zlonameren program ali s kompromitiranega zakonitega e-poštnega naslova pošljejo sporočilo. Ali boste res poklicali šolo za vsako datoteko, ki se pojavi na njihovem spletnem mestu, za vsako e-sporočilo?

Pa vendarle, ogromna večina "phishing" napadov oziroma sporočil, ki skrivajo tovrstne zlonamerne povezave, je takšna, da že od daleč kaže znake prevare. Kako se lahko zgodi, da so takšni napadi vendarle uspešni?

Morda vas je kaj zmotilo, morda imate slab dan, vsak ga občasno ima, morda je v ozadju jokal dojenček. Napadalcu ni pomembno, da ga v 99 odstotkih prepoznajo, če bo uspešen v enem odstotku poslanih sporočil. Običajno razpošljejo na stotine tisoč sporočil, to jih nič ne stane, en sam odstotek uspeha je več tisoč žrtev. Če že ena sama oseba klikne na napačno mesto, se plaz sproži in napadalec je dosegel svoj namen.

"Napadalcu ni pomembno, da ga v 99 odstotkih prepoznajo, če bo uspešen v enem odstotku poslanih sporočil. Običajno razpošljejo na stotine tisoč sporočil, to jih nič ne stane, en sam odstotek uspeha je več tisoč žrtev." Foto: Matija Lepoša

Kako se obvarovati?

Izjemno orodje je preverjanje v dveh korakih. Največkrat je tako, da drugo geslo dobite na svoj mobilni telefon ali na e-poštni naslov. Vsi resni ponudniki to omogočajo, a uporabniki še vedno premalo uporabljajo ta izjemno močan varnostni mehanizem. Uporabljati je treba različna gesla za različne dostope – eden od najpogostejših načinov vdora je, da uporabniku ukradejo kombinacijo uporabniškega imena in gesla na eni storitvi in nato z isto kombinacijo poskušajo še pri drugih dostopih. Prevečkrat jim to uspe. Seveda pa za obvladovanje velikega števila zahtevnih gesel potrebujete dober in zanesljiv program za upravljanje gesel.

Kako učinkovita je zaščita, ki jo zagotavljajo protivirusni programi?

Za večino uporabnikov je dokaj dobra. Težava je, da vsak dan nastane okrog pol milijona novih groženj.

Pol milijona vsak dan?

Vsak dan, tudi na božič. Da, to je noro. Toda dobra novica je, da številnih od njih ne bomo nikoli videli in da gre pri mnogih za manjše variacije znanih zlonamernih programov, ki jih ustvarjajo računalniki pod nadzorom hekerjev. Ko sem leta 1992 začel delati v panogi računalniške varnosti, je bilo 200 novih virusov vsak mesec. Posodobitve protivirusnih signatur so bile na voljo trimesečno, zahtevnejši uporabniki so jih prejemali mesečno.

"Težava je, da vsak dan nastane okrog pol milijona novih groženj. Vsak dan, tudi na božič." Foto: Matija Lepoša

Ali smo uporabniki lahko vedno en korak pred nepridipravi?

V devetdesetih so me mediji spraševali, kako se bomo spopadali z na desettisoče virusi, ko bodo posodobitve prevelike za disketo, danes pa jih je okrog pol milijona na dan. Internet je pospešil širitev zlonamerne programske opreme, a je tudi pospešil širjenje popravkov in protivirusnih signatur. Pomembno je, da uporabniki sproti posodabljamo in nadgrajujemo svoje aplikacije, a žal mnogi to naredijo šele, ko je neki črv ali druga zlonamerna programska oprema že na pohodu, čeprav smo na to opozarjali že prej. Očitno ljudje raje kot nasvete za računalniško varnost spremljajo Kim Kardashian, Melanio Trump ali karkoli je že v novicah.

Nekateri pravijo, da je samodejno sprejemanje popravkov prav tako varnostno tveganje.

Potencialno je res, zlasti zato, ker je Microsoft v preteklosti poslal nekaj slabih nadgradenj svojih sistemov in ker so nepridipravi zlorabili mehanizme za samodejno posodabljanje nekaterih programov, toda za večino uporabnikov v domačem okolju ali majhnih podjetij samodejno posodabljanje prinaša več prednosti kot pomanjkljivosti. Velikim podjetjem svetujem, naj nadgradnje najprej preizkusijo na majhnem številu računalnikov, nato pa, če je vse v redu, še na vseh preostalih, pri manjših, ki si tega ne morejo privoščiti, pa je samodejno posodabljanje verjetno še vedno najprimernejši izbor.

Katero napako pri zagotavljanju svoje računalniške varnosti najpogosteje delajo skrbniki računalniških sistemov, katero pa posamezniki?

Velikokrat so to iste napake: preprosta gesla, ki jih je mogoče preprosto uganiti, ter nenameščanje varnostnih popravkov in nadgradenj. V velikih sistemih velikih podjetij se neredko zgodi, da skrbniki sploh ne vedo, kaj vse in katere naprave so v njihovih omrežjih ali če na primer tržni oddelek postavi neki spletni strežnik, o katerem vi nič ne veste. Danes ima vsak računalnik pri sebi ali celo v svojem žepu in vsak meni, da je podkovan v tem. Ne krivim podjetij, da se jim zgodijo varnostni incidenti, njihova kakovost pa se vidi v tem, kako hitro in učinkovito se odzovejo, da se jim kaj podobnega ne bi več zgodilo.

"Uporabljajte različna gesla za različna spletna mesta in vklopite preverjanje v dveh korakih povsod, kjer je mogoče." Foto: Matija Lepoša

Katero podjetje si lahko upa trditi, da se njim ne more zgoditi nič?

Nobeno! Lahko imajo še tako dobro zaščito pred zunanjimi napadi, a jih lahko napade kdo od zunaj, morda nekdo, ki so ga odpustili, pa se maščujejo. To niso ljudje, bi kradli gesla, to so ljudje, ki ste jim dali gesla. Če imate v svojem sistemu gnilo jabolko, je boj proti temu bistveno težji.

Če bi končnim uporabnikom lahko dali samo en nasvet, kaj bi jim rekli?

Uporabljajte različna gesla za različna spletna mesta in vklopite preverjanje v dveh korakih povsod, kjer je mogoče.

Za konec še vprašanje: ali menite, da so ameriške obtožbe proti Huaweiu glede vohunjenja utemeljene?

Ne vem, čeprav so nekateri prepričani, da vedo. Jaz nisem videl nobenih dokazov, ki bi te obtožbe potrdili. Vsekakor je mogoče, da so takšne obtožbe v funkciji političnih prerivanj, s katerimi želijo nekatere države okrepiti vlogo in moč svojih tehnoloških podjetij, ne kitajskih. Dokler ne vidimo jasnih in nedvomnih dokazov, ki bi potrdili te obtožbe, menim, da porota ne bi smela dolgo razmišljati o tem, kaj je prav.