Pericolul amenințărilor informatice nu a dispărut după valul de amenințări WannaCry. Numeroși utilizatori ai sistemelor de operare Windows XP au devenit victimele amenințărilor cibernetice de tip ransomware, aducând din nou în prim plan problematica reprezentată de breșele existente în sistemele de securitate, precum și modul în care utilizatorii sistemelor de operare reușesc să se protejeze în fața unor astfel de atacuri.

Anton Rog, șeful Centrului Național Cyberint (SRI), ne vorbeşte despre măsurile de protecţie şi provocările la care suntem expuşi în faţa ameninţărilor WannaCry, în interviul pe care l-a oferit lui Vladimir Adrian Costea, pentru Europunkt.

2

Vladimir Adrian Costea: Care sunt principale “metode” după care acționează atacurile cibernetice WannaCry? În ce constă originalitatea acestor atacuri?

Anton Rog: Aplicația WannaCry se răspândește în mod similar unei aplicații de tip worm, având ca efecte compromiterea host-urilor, criptarea fișierelor stocate pe acestea și apoi solicitarea de către atacatori a unei sume de bani (recompensă) sub forma monedei virtuale bitcoin, pentru realizarea decriptării. De asemenea, aplicația malware șterge orice copie a fișierelor de pe mașina victimă, cu scopul de a face recuperarea datelor mult mai dificilă. După realizarea criptării, aplicația malware afișează un ecran tipic aplicațiilor ransomware, în care utilizatorul este informat că fișierele de pe stația personală au fost criptate. Un aspect care merită menționat în context este că acest ecran este un executabil, și nu o imagine, fișier HTA sau text. WannaCrypt are suport pentru 28 de limbi si criptează 179 de tipuri de fișiere.

Care sunt breșele din sistemele de securitate care sunt exploatate de atacatori?

Aplicația malware se răspândește automat folosind protocolul SMB și porturile UDP 137 și 138, precum și TCP 139 și 445. Autorii aplicației ransomware folosesc o vulnerabilitate (CVE-2017-0145) din protocolul SMBv1 (pentru care compania Microsoft a emis un patch în luna martie 2017), pentru a asigura răspândirea eficientă, prin instalarea unui backdoor. Obținând controlul de la distanță pe calculatorul victimei cu privilegii de sistem, atacatorul poate împrăștia aplicația malware prin rețeaua locală, acționând asupra tuturor sistemelor vulnerabile pentru care nu a fost instalat patch-ul de securitate.

Care este impactul pe care amenințările WannaCry l-au generat asupra utilizatorilor de Windows? Care este numărul victimelor acestor atacuri?

La nivel internațional, se estimează că au fost mai mult de 300.000 de sisteme informatice afectate, din 150 de țări din întrega lume. Realizarea unei statistici a pagubelor înregistrate în urma atacului cibernetic la nivel național, excede atribuțiilor Serviciului Român de Informații, însă, din cauza unui anumit vid legislativ în acest domeniu care, iată, devine tot mai important din punct de vedere al amenințărilor, înclin să cred că nici nu există o astfel de statistică raportată la realitățile din țara noastră, deoarece companiile sau utilizatorii obișnuiți nu au obligația să raporteze aceste probleme unui organism statuat prin lege.

3

În ce măsură amenințările WannaCry pot să reapară în viitorul apropriat?

În general, majoritatea exploiturilor dezvăluite în diferite surse publice se referă la vulnerabilități care deja au fost adresate prin patch-uri / actualizări de securitate realizate de companiile producătoare din domeniul IT. Atacatorii încearcă să exploateze, pe de o parte, prin folosirea ingineriei sociale, curiozitatea sau imprudența utilizatorilor de a deschide orice document primit pe mail, iar pe de altă parte, neglijența administratorilor de sisteme informatice în ceea ce privește aplicarea la timp a actualizărilor de securitate pentru sistemele de operare sau aplicațiile utilizate.

În viitorul apropiat, este de așteptat ca și alte exploituri dintre cele recent publicate în surse deschise să fie utilizate, în scopul realizării unor atacuri sofisticate asupra sistemelor informatice din întreaga lume.

Cum a fost afectată România de aceste atacuri cibernetice?

România a fost probabil la fel de afectată ca și celelalte țări ale lumii care s-au confruntat cu atacurile cibernetice de tip WannaCry. Orice atac cibernetic are în spate o motivație și vizează anumite ținte, fie că sunt organizații sau/și utilizatori casnici. Prin urmare, expunerea României în fața unor atacuri de acest fel depinde de o serie de factori ce se află în spatele declanșării unor astfel de acțiuni.

Care sunt măsurile pe care le considerați necesare pentru a proteja sistemele de securitate în fața acestor atacuri?

Cred că cel mai important aspect pe care orice utilizator de sisteme informatice trebuie să îl aibă în vedere este că nimeni nu este scutit de astfel de amenințări. Trăim într-o epocă în care Internetul și comunicarea online sunt apanajele informării și progresului. Prin urmare, un set minimal de reguli și bune practici trebuie respectate atât de către organizații, cât și de către utilizatorii casnici, pentru a ține la distanță pericolele iminente rezultate din atacurile cibernetice.

Astfel, acele sisteme care au instalat sistemul de operare Windows trebuie să aibă aplicate toate actualizările de securitate. În plus, porturile SMB 139 și 445 trebuie să fie blocate pentru toate hosturile accesibile extern și, de asemenea, conexiunile la nodurile TOR și traficul TOR în rețea. Actualizarea pentru vulnerabilitatea SMB este disponibilă ca Buletin de securitate Microsoft MS17-010 pentru versiunile sistemului de operare Windows și este absolut necesar ca acest patch să fie instalat. Microsoft a emis un patch care să corecteze vulnerabilitatea exploatată de către aplicația ransomware WannaCry și pentru sistemele care nu mai beneficiază de update-uri de securitate (de exemplu, Windows XP). Este obligatoriu ca aplicațiile antivirus instalate pe sistemele informatice să preia la zi cele mai recente semnături antivirus furnizate de producători.

Utilizatorii trebuie să fie vigilenți la deschiderea documentelor din atașamentele e-mailurilor ce provin din surse necunoscute sau care nu sunt de încredere. Poate pe primul loc în cadrul acestui set de bune practici este necesitatea ca pentru orice sistem informatic să fie realizate automat backup-uri, în mod sistematic. Recomandarea generală este ca organizațiile compromise să evite, pe cât posibil, să plătească recompensa cerută, deoarece nu există nicio garanție a faptului că astfel își vor recupera informațiile și plătind pot contribui la mărirea fondurilor utilizate de campaniile malware.

Care sunt provocările pe care le-au generat amenințările WannaCry asupra sistemelor de securitate?

WannaCry a demonstrat că, deși atacurile cibernetice au devenit aproape un “dat” al zilelor noastre, totuși sistemele informatice încă prezintă vulnerabilități ce pot fi exploatate de un atacator priceput. Lipsa unei culturi de securitate minimale în rândul utilizatorilor poate determina pagube dificil de cuantificat în interiorul rețelelor. În privința aplicării actualizărilor de securitate pentru sisteme și aplicații, nu există “mâine”. Mâine ne putem trezi cu datele criptate, mâine organizații cu un anumit specific pot constata că documente sensibile din interior au fost exfiltrate și publicate în prima ediție a publicațiilor online. Atacatorii sunt tot mai inventivi, iar singura salvare în domeniul protejării informațiilor din cadrul sistemelor și rețelelor informatice este vigilența în administrarea și utilizarea acestora.

 

 

Tags: , , , , ,

 

fără comentarii

Fii primul care comentează

Lasă un comentariu