"Kaspersky Lab" drošības pētnieks: Izspiedējvīrusi un spiegošana - skar teju visus

NO KURIENES APDRAUDĒJUMS. Jornts van der Vīls: «Attiecībā uz Baltijas valstīm var minēt apdraudējumu no hakeru grupas, kuru saista ar Krieviju un kura tiek apzīmēta kā Sofacy. Šī grupa ir atbildīga par mēģinājumu ielauzties Ķīmisko ieroču aizlieguma organizācijas (OPCW) laboratorijas datu sistēmā. Mēs esam novērojuši, ka šī grupa ir visai aktīva arī Latvijā un tās intereses ir vairāk saistītas ar politisko līmeni.» © Dmitrijs Suļžics/F64 Photo Agency

20. martā Rīgā notika Kaspersky caurredzamības konference, kurā tika sniegta jaunākā informācija par kiberdrošību un apdraudējumu Baltijas valstīs, kā arī Latvijas sabiedrība tika informēta, ka līdz 2019. gada pēdējam ceturksnim Kaspersky Lab pabeigs pārvietot Latvijas lietotāju datu apstrādes infrastruktūru uz datu centriem Cīrihē (Šveice). Uz Neatkarīgas jautājumiem atbild Kaspersky Lab Starptautiskās pētniecības un analīzes grupas drošības pētnieks Jornts van der Vīls (Jornt Van Der Weil).

- Kas visvairāk apdraud vienkāršo datora lietotāju?

- Pēdējos mēnešos ir novēroti jauni digitālie apdraudējumi, ar kuriem saskārušies lietotāji gan visā pasaulē, gan arī Baltijas valstīs. Ja runājam par Latviju, tad, atbilstoši mūsu datiem, 87% no lietotājiem 2018. gadā bija saskārušies ar izsekošanas sīkfailiem. 2018. gadā noziedznieki ir sākuši daudz vairāk izmantot svešu datoru jaudas tieši kriptonaudas iegūšanai.

Latvijā identificētais kriptonaudas izracēju (minings) konstatējumu skaits gada laikā pieauga vairāk nekā 3,5 reizes. Šāda nesankcionēta datoru izmantošana tika atklāta 31% gadījumu. Ļoti daudzi no lietotājiem nemaz nezina, ka viņu datori, viņiem pašiem to nezinot, ir iesaistīti kriptonaudas izracēju tīklos. Vienīgais veids, kā to var pamanīt - dators sāk strādāt nedaudz lēnāk, dažādi datora procesi notiek lēnāk. To ir visai grūti pamanīt. Taču, kad dators tiek attīrīts no kaitīgām programmām (malware), kuras to nodarbina kriptonaudas izrakšanai, tad lietotajam ir liels pārsteigums par to, cik ātri strādā viņa dators.

Izspiedējvīrusu konstatējumu skaits 2018. gadā ir palielinājies par 18%, salīdzinot ar iepriekšējo gadu. Tas nav daudz, un tas ir saistīts ar to, ka, tiklīdz šādi gadījumi nonāk policijas redzes lokā, tie tiek izmeklēti, un tas mazina ļaundaru interesi par šādu naudas ieguves veidu. Taču tieši izspiedējvīrusi rada ļoti nepatīkamas problēmas lietotājiem, jo tiek bloķēti viņu datora faili. Taču šāds gadījums lietotājam parasti gadās tikai vienreiz. Ja tiek iesaistīta policija, tad no datora failu bloķēšanas noziedznieki daudz naudas iegūt nevar.

Daudzas kaitīgās programmas tiek veidotas, lai, atrodot drošības caurumu datora operētājsistēmā, pārņemtu datora vadību. Šāds dators tad ir izmantojams gan kriptovalūtas rakšanai, gan lai iegūtu privāta rakstura informāciju - bankas paroles u.c., gan lai izmantotu datoru citiem mērķiem - kā starpnieku sūtījumiem utt.

Identificēto izspiedējprogrammu pieaugums 2018. gadā bija saistīts ar to, ka 2017. gada maijā pasaules datorsistēmas saskārās ar ļaunprogrammatūras WannaCry uzbrukumu. WannaCry izplatījās ar datortārpu palīdzību. Datortārpi, atšķirībā no datoru vīrusiem, izplatās, nemainot failus. Datortārpi ieperinās kādā datorā un tad meklē iespējas izplatīties uz citiem datoriem. Salīdzinājumam - vīruss pēc nonākšanas datorā sāk inficēt failus, līdz tas tiek atklāts. Datortārps var izveidot tikai vienu sava koda kopiju. Datortārps ir atsevišķs fails, bet datorvīruss ir kods, kas iekļaujas citos failos. Ar WannaCry uzbrukumu bija saistīta t.s. Shadow Brokers hakeru grupa. Viņi publicēja informāciju par pasaulē izplatītu datoru programmu ievainojamību, kas bija saistīta ar ASV Nacionālās drošības aģentūras t.s. nulles dienu logiem. Šī grupa veica uzbrukumus pret uzņēmumu ugunsmūri, pretvīrusu programmatūru un Microsoft produktiem.

- Kā var pamanīt, ka datorā ir izspiedējvīruss?

- Datorā parādīsies brīdinošs uzraksts, ka faili ir bloķēti. 2017. gada maijā šādi brīdinājuma paziņojumi bija redzami gan daudzu institūciju datoros, gan uz bankomātu ekrāniem, uz transporta kompāniju tablo utt. Ja jūsu dators ir inficēts ar šo izspiedējvīrusu, jūs to momentā pamanīsiet.

Balstoties uz informāciju, kas tika noplūdināta par ASV Nacionālās drošības aģentūras izveidotajiem caurumiem drošības sistēmās, kļuva iespējams izveidot, piemēram, Word dokumentu, kas, izmantojot caurumus datorprogrammu aizsardzības sistēmās, ļāva ārēji vadīt un veikt jebkuru darbību ar inficētu datoru. WannaCry ļaunprogrammatūra izplatās no viena datora pie otra, izmantojot jau minētos drošības caurumus.

- Ja tiek identificēti tikai izsekošanas sīkfaili, vai tas ir bīstami?

- Ja šo kaitīgo programmu mērķis ir iegūt jūsu datus, lai tos pēc tam tālāk pārdotu, tad - jā! Tad datora inficēšana ar izsekošanas sīkfailiem būs bīstama. Par «kaitīgām programmām» sauc visas programmas, kuras tiek radītas un izmantotas neatļautiem un vai ļaunprātīgiem mērķiem. Tie var būt gan datorvīrusi, kas domāti datora nelikumīgai attālai administrēšanai, gan klaviatūras nolasītāji programmas paroļu zagšanai, pikšķerēšanas programmas, spiegu programmas un citi. Arī reklāmas programmas var tikt klasificētas kā kaitīgā programmatūra. Noziedzīgi ļaudis nopērk reklāmu legālā mājaslapā, kurā ieklikšķinot datora lietotājs caur pieciem vai sešiem savienojumiem tiek novirzīts uz mājaslapu, kuru ir izveidojuši noziedznieki, un tas atvieglos noziedzīgiem ļaudīm iekļūšanu jūsu datorsistēmā. Tāpēc arī reklāmas programmas var nebūt tikt nevainīgas, kā tās izskatās.

- Kādi ir drošības riski privātiem uzņēmumiem un valsts institūcijām?

- Kopumā apdraudējumi ir tie paši, kādi ir parastiem lietotājiem. Protams, ir īpaši riski, kas attiecas uz uzņēmumiem. Nesen pret Nīderlandes un Beļģijas nelielajiem uzņēmumiem tika vērsti uzbrukumi, kad uzņēmumi saņēma e-pastu ar pievienotu inficētu dokumentu. Sūtītāja adrese u.c. informācija bija korektas, bet, lejuplādējot pielikuma dokumentu, datori tika inficēti ar izspiedējprogrammu. Atklājās, ka no maziem un vidējiem uzņēmumiem noziedzniekiem ir vieglāk iegūt naudu. Ja maza vai vidēja uzņēmuma datoros iekļūst izspiedējprogramma, tad uzņēmējam ir trīs iespējas. Pirmā - zaudēt visus bloķētos failus - informāciju par rēķiniem, klientiem utt. Otrā - samaksāt 300 eiro noziedzniekiem, bet trešā - samaksāt 500 eiro ārējai IT kompānijai par failu atjaunošanu. Lētāk ir samaksāt noziedzniekiem. Ja vienkāršiem ļaudīm, bloķējot failus, tiks pazaudēti mīļi fotoattēli, tad uzņēmējiem, pazaudējot visus uzņēmuma datus, var gadīties, ka bizness ar to arī beigsies. Tāpēc mazais un vidējas bizness ir vairāk noskaņots samaksāt izspiedējiem, salīdzinot ar vienkāršiem lietotājiem. Kad Nīderlandē un Beļģijā ar izspiedējprogrammu tika inficēti 5900 uzņēmumu datoru, tad noziedzniekiem izdevās izspiest no uzņēmējiem 70-90 tūkstošus eiro. Tajā pašā laikā tika inficēti 14 000 vienkāršo lietotāju datoru, un no šīs grupas noziedzniekiem izdevās izspiests tikai aptuveni 20 000 eiro. Tāpēc mazais un vidējais bizness ir vairāk apdraudēts. Ar lielajiem uzņēmumiem ir citādi, jo to vadība parasti nevēlas maksāt. Lielajiem uzņēmumiem ir drošības organizācija, kas paredz veidot datu kopijas, lielajiem uzņēmumiem ir politika nemaksāt noziedzniekiem utt. Ar nelieliem izņēmumiem kriminālos elementus lielās kompānijas interesē mazāk. Savukārt lielajiem uzņēmumiem ir citi apdraudējumi. Vispirms tās ir hakeru grupas, kuras saņem finansējumu no kādas valsts struktūras un kur mērķis ir spiegošana. Uzbrukumi lielajiem uzņēmumiem tiek veidoti, lai nepamanīti ielauztos to sistēmās un nemanāmi zagtu vajadzīgo informāciju. Tad mērķis ir uzvesties pēc iespējas nemanāmāk, lai turpinātu informāciju zagt, cik ilgi vien var.

- Ir lielas un mazas valstis. Mazām valstīm nav tik lielu resursu kā lielajām. Kādi ir mazu valstu apdraudējumi?

- Attiecībā uz Baltijas valstīm var minēt apdraudējumu no hakeru grupas, kuru saista ar Krieviju un kura tiek apzīmēta kā Sofacy. Šī grupa ir atbildīga par mēģinājumu ielauzties Ķīmisko ieroču aizlieguma organizācijas (OPCW) laboratorijas datu sistēmā. Mēs esam novērojuši, ka šī grupa ir visai aktīva arī Latvijā un tās intereses ir vairāk saistītas ar politisko līmeni. Savukārt hakeru grupas, kas saistāmas ar Ķīnu un Āziju, vairāk interesējas par informāciju, kas ir attiecināma uz intelektuālo īpašumu.

- Vienīgā valsts Eiropas Savienībā, kurā vēlētājiem ir iespēja balsot internetā gan parlamenta, gan pašvaldību vēlēšanās, ir Igaunija. Latvijā tiek diskutēts par vēlēšanu organizēšanu internetā, bet neatbildēts ir jautājums paar drošību. Kad tas būs iespējams pilnīgi droši?

- Tas nav vienkāršs jautājums. Es nezinu, kā to organizē Igaunijā. Nīderlandē vēlēšanās vienu brīdi tika lietoti datori, kas nebija pieslēgti internetam, taču arī tajos notika mēģinājumi ielauzties. Līdz ar to Nīderlande no vēlēšanu datorizācijas atteicās. Universitātē man mācīja, ka pašlaik nav precīzas matemātiskas metodes, lai organizētu drošas digitālās vēlēšanas. Pagaidām sistēma tam vēl nav gatava. Tomēr pat tradicionālā - papīra formāta - balsošanas metode saskaras ar visai lieliem riskiem un drošības izaicinājumiem.

- Kāda ir jaunākā informācija par kiberuzbrukumu Venecuēlas lielākajai HES? Latvijā ir trīs lielas HES, vai tās var būt apdraudētas?

- Informācija par to, kas precīzi ir noticis, nav pieejama, līdz ar to mēs ar savu padomu nevaram palīdzēt. Ja ar informāciju nedalās, tad mēs nevaram palīdzēt arī citiem, informējot, kas citiem būtu jādara, lai līdzīgi atgadījumi neatkārtotos. Nav iespējams saprast, kur ir robeža starp propagandu un patiesiem apziņojumiem. Kas konkrēti ir noticis Venecuēlā, mēs varēsim komentēt tikai tad, kad būs zināma precīza informācija.

- Vai kādas valdības pretinieki ar kaitīgas programmas palīdzību var pārņemt, piemēram, enerģētikas sistēmu vadību?

- Ukrainā bija gadījums, kad notika ārēja ielaušanās elektroenerģijas sadales sistēmā, lai iegūtu kontroli pār programmu, kas atslēdz strāvas padevi. Kad to atklāja, tad datorsistēma tika sakārtota un pārprogrammēta, novēršot to, ka datorprogramma var brīvi mainīt elektrības padevi. Tagad elektrības atslēgšana ir nomainīta uz rokas vadību.

Tomēr, ja kāds ir ieguvis kontroli pār jūsu datorsistēmu, tad situāciju izlabot nebūs tik vienkārši. Ja jūs nespiežat pogu un nekas nenotiek, jo kāds ir visu pārprogrammējis, tad, protams, nebūs iespējams viegli un ātri to visu izlabot un sakārtot.

- Izskatās, ka mūsdienās pat nevajag pretiniekus bombardēt, bet pietiek iesūtīt pretinieku datorsistēmās ļaunprogrammatūru, un tad varēs pretinieka valsti uz vairākām dienām atslēgt no elektrības.

- Tas, ko mēs zinām pēc Edvarda Snoudena nopludinātās informācijas - datorprogrammās ir ASV Nacionālās drošības aģentūras apzināti iestrādātās «lūkas» (backdoor), kuras ir domātas nelikumīgai attālai administrēšanai un kuras var iedarbināt konkrētā brīdī, kad ir nepieciešamība. Bijušie ASV Nacionālās drošības aģentūras darbinieki nopludināja informāciju, ka ir izstrādāta tā saucamā nulles dienas programma, kura tiek iestrādāta iespējamā pretinieka, piemēram, Irānas, datorsistēmā un kuru var iedarbināt, nobloķējot pilnīgi visu. Lielo valstu drošības dienestiem ir šādas iespējas. Tiem ir pieejas pie datoru sistēmām, un, ja tie saņems pavēli, tad tie var atslēgt visu ko.

- Vai to var kaut kā novērst?

- Tas nav viegls jautājums.

- Bet tas ir jūsu darba pienākumos!

- Tas nav viegli.

- Pirms intervijas es šo jautājumu uzdevu vairākiem ekspertiem. Tie ieteica atteikties no Microsoft programmām un pāriet uz Linux.

- Noteikti nē! Tā nav izeja. Tā nav pareiza atbilde. Linux sistēmai ir sava ievainojamība. Ja vēlaties uzlabot savas datoru sistēmas drošību, tad jāveic daudzu pasākumu komplekss.

Vispirms nodaliet datoru tīklus. Pilnīgi nodaliet. Lai nebūtu fiziska savienojuma starp ražošanas datoru tīklu un administrācijas datoru tīklu. Tomēr laiku pa laikam datoru programmas ir jāapdeito. Kā to veikt?

Nolieciet rindā trīs vai četrus datorus, kuri katrs strādā ar atšķirīgām operētājsistēmām - Windows, Linux un arī ar citām mazāk pazīstamām. Tad pirmajā datorā ievietojiet USB ar apdeita programmu un pārkopējiet to. Pārkopēto failu ar citu USB ieceliet nākamajā datorā, kurā ir atšķirīga operētājsistēma, un tā pārkopējiet failus starp dažādu operētājsistēmu datoriem. Ja tiek veikta šāda procedūra, tad varbūtība, ka pēc vairākām kopēšanas reizēm kaitīgā programma saglabāsies, ir relatīvi neliela.

Jums ir jāpieņem darbā tikai uzticami darbinieki, kuri nekad neveiks neko neatļautu utt. Tā ka tas nav viegli un vienkārši.

- Pašlaik tiek uzskatīts, ka Boeing avārijas Indonēzijā un Etiopijā ir saistītas ar problēmām programmatūrā.

- Jebkas, ko rada cilvēki, nav pasargāts no cilvēku pieļautajām kļūdām. Ir zināms gadījums, kad kosmiskais satelīts netrāpīja ieplānotajam mērķim, jo, rēķinot tā trajektoriju, tika sajauktas pēdas ar metriem vai mārciņas ar kilogramiem.

- Pašlaik autopiloti ir tikai lidmašīnās, bet jau tiek testēti auto bez vadītāja, un jau visai drīz datoru programmu vadītie transporta līdzekļi būs pilsētu ielās.

- Tehnoloģijas attīstās. Automātiskās auto vadības sistēmas tiek savienotas ar radariem, kuras izmēra attālumu daudz precīzāk par cilvēku. Tesla autopiloti dažos gadījumos var noreaģēt ātrāk par cilvēku. Tāpēc ar laiku autopiloti varēs novērst daudzas traģēdijas, kuras citos apstākļos notiktu.

- Automātiskās sistēmas var reaģēt tikai uz tiem notikumiem, kurus programmu rakstītāji būs paredzējuši. Ja notiks kaut kas tāds, ko programma neparedz, tad autopilota darbība būs aplama, tad manuāla vadība būs labāka.

- Jā, es piekrītu. Taču visas sistēmas, pirms tās tiek palaistas plašā apritē, tiek testētas ļoti daudzas reizes, arī pārbaudot, kā tās darbojas, ja iestājas ļoti reti iespējami notikumi. Tiklīdz šādas sistēmas būs drošākas par cilvēka manuālo vadību, cilvēki tomēr izvēlēsies datoru vadību, pat apzinoties, ka ir neliela varbūtība, ka kaut kas var notikt nepareizi.

- Kāds bija jūsu galvenais vēstījums Latvijas publikai konferencē?

- Es pastāstīju par to, kā mēs novēršam apdraudējumu, kā identificējam un atklājam ļaunprogrammatūras. Tas nav vienkāršs darbs, un tas ir jāveic sadarbībā ar policiju un citām drošības struktūrām, jo mūsu mērķis ir aizsargāt lietotājus. Mēs prognozējam, ka uzbrukumu sarežģītība un izsmalcinātība turpinās augt un pilnveidoties. Tāpēc uzsvēru, cik svarīgi ir atbilstīgi drošības risinājumi, ko atbalsta nepārtrauktas drošības mācības, lai veicinātu izpratni par šādu uzbrukumu bīstamību.

Kā aizsargāt datoru no kaitīgā koda un hakeru uzbrukumiem?

  • Instalējiet datorā programmatūru, kas paredzēta aizsardzībai pret IT apdraudējumiem.
  • Regulāri instalējiet operētājsistēmas un lietojumprogrammu atjauninājumus, kas novērš drošības trūkumus.
  • Kad e-pastā saņemat sūtījumu ar piesaistītu failu (Word dokumentu, Excel izklājlapu, izpildāmu failu ar paplašinājumu .exe u.tml.), neveriet vaļā šo failu, ja sūtītājs nav jums pazīstams. Neveriet vaļā piesaistīto failu, ja šāds sūtījums pienācis bez iepriekšēja brīdinājuma. NEKĀDĀ GADĪJUMĀ neveriet vaļā surogātpasta vēstulēm piesaistītus failus.
  • Regulāri (vismaz reizi dienā) atjauniniet datora drošības programmas.
  • Strādājot ar datoru, kontu ar administratora tiesībām izmantojiet tikai tad, kad instalējat programmas vai maināt sistēmas iestatījumus. Ikdienas darbam izveidojiet atsevišķu kontu ar ierobežotām lietotāja tiesībām.
  • Regulāri veiciet savu datu rezerves kopēšanu ārējā datu nesējā. Ja kaitīga programma sabojās datus jūsu cietajā diskā vai veiks to šifrēšanu, varēsiet tos atjaunot no rezerves kopijas.

Avots: Kaspersky Lab drošības ieteikumi

Latvijā

Jebkura Krievijas agresija pret NATO dalībvalsti tai izmaksās ļoti dārgi, Latvijas Ārpolitikas institūta (LĀI) rīkotajā diskusijā "Veidojot aizsardzības un drošības nākotni" uzsvēra Ārlietu ministrijas valsts sekretārs Andžejs Viļumsons.