Петър Кирков, CERT.bg: Не преговаряйте с киберпрестъпници, защитете се предварително

Друго запомнящо се бяха двете DDoS атаки, една от които причини затруднения при електронното преброяване на населението, а другата бе при въвеждането на зелените сертификати срещу портала, през който ставаше издаването им.

В средата на февруари 2022 г. се случиха няколко DDoS атаки срещу медии у нас, като сред пострадалите бяха и сайтовете на Digitalk, "Дневник" и "Капитал". Това нещо мащабно ли беше или по-скоро точков удар?

Нямаше мащабен удар, бяха засегнати само няколко отделни организации. За мащабна атака можем да говорим, когато например се застраши функционирането на цял телеком или на цялата държава. DDoS атаките представляват запълване на входящия канал с фалшива информация, с шум. В целите на една мащабна DDoS атака може да бъде включена и държавата, тъй като теоретично е възможно запълване на всички входящи линии на България.

Тези атаки в момента са популярни, но трябва да се има предвид и какво точно се атакува. Дори да бъде свален сайтът на една банка и платежен оператор, това не означава, че е хакната самата организация. Комуникационната мрежа на банкоматите например е съвсем отделна от сайта на една банка. В този смисъл щетите от една DDoS атака в повечето случаи са по-скоро репутационни.

Същото важи и за DDoS атаките по време на избори. Напоследък при всеки вот отчитаме такива. Искам да подчертая нещо важно - сайтът на ЦИК е напълно отделен от системите, които обработват гласуването. Ако сайтът на ЦИК е недостъпен, много често информацията в медиите е "Хакнаха изборите". Едното няма нищо общо с другото.

Какви са основните тенденции в сферата на кибербезопасността?

Една от тенденциите е тази масовост на DDoS атаките, които в момента се предлагат в нещо като електронни магазини. Почти всеки човек, стига да знае какво прави и да разполага с малко биткойни, може да си поръча DDoS атака. Отделен е въпросът колко сериозна би била тя. В крайна сметка, ако си поръчате нещо от престъпник и той не ви го достави, то няма на кого да се оплачете. Трябва да се отчете, че DDoS атаките навлязоха като инструмент за въздействие.

Друга тенденция, която продължава да е доста масова, е свързана с т.нар. ransomware (криптовируси). Около тази идея се сформираха групи, които намериха начин да монетаризират знанията си по информационна сигурност. Тези инциденти не са нищо повече от изнудване - придобива се нелегитимен достъп до данни, след което те се криптират и от собствениците се изисква откуп.

Какви са вашите съвети към фирма, сблъскала се с криптовирус? Да плаща ли, да преговаря ли?

Както при останалите случаи на рекет, плащането не е добра идея, тъй като това стимулира престъпниците. Разцветът на криптовирусите до голяма степен се обуславя от това, че голяма част от застрахователите започнаха да предлагат застраховки за киберсигурност. За конкретната организация нещата може и да приключат, но престъпници стават все по-мотивирани да рекетират.

Препоръката ми е да не се плаща, но за целта трябва да сме се подготвили предварително, така че ако ни криптират данните, да можем да ги възстановим. Това се прави чрез добре известната практика на архивиране, или бекъп. Информацията се съхранява в отделно хранилище (при компрометиране на мрежата сред първите неща, които правят престъпниците, е да изтрият резервните копия), данните могат спокойно да бъдат възстановени.

Платите ли веднъж, нямате гаранция, че няма да ви изнудват още няколко пъти. Първо, за да ви дадат ключ за декриптиране на информацията, след това, за да не публикуват данни, които евентуално са откраднати от вас. Може да има и трети казус. Ако сте търговска организация, може да се свържат с ваши клиенти и да изнудват и тях за непубликуване на техни данни. Както казах, говорим за хора без морал и етика, това са престъпници.

И не на последно място, необходими са мерки за защита от пробиви. На пазара се предлагат много системи и услуги за подобен вид защита.

Сериозните атаки обикновено на базата на услуги ли са или са специално насочени?

Атаки има всякакви. Хора с различна компетентност търсят дупки, например чрез скриптове, които сканират адреси. Може да се каже, че всяко свързано с интернет устройство е обект на атаки. Специфичното е, че много рядко този тип престъпници са фокусирани върху една организация. По-често те сканират и опитват най-лесното - търсят, пробиват, криптират, и едва тогава започват да разучават къде са проникнали и колко пари могат да вземат. Част от нещата дори биха могли и да са автоматизирани.

Ето сега, покрай ситуацията в Украйна, някой публикува вътрешен чат на една от изнудваческите банди. Интересно е да се надникне в организацията на такава банда. Разпределението е като в една обикновена фирма - има хора, които са на заплата, такива, които се занимават със сървърите, разработчици, хора, които търсят, други, които преговарят... Това е една екосистема, която търси най-слабите брънки и ги компрометира.

Разбира се, има и много софистицирани атаки, които са насочени към конкретни цели, например ключови държавни организации. Това са т.нар. APT-та (Advanced Persistent Threat). В информационната сигурност се прави анализ на риска и се подбира адекватна защита. В крайна сметка трябва да бъде постигнат баланс между ресурсите, които се отделят за защита, и нивото на заплаха.

Напоследък все повече се говори за т.нар. атаки срещу вериги за доставки (supply chain attacks), като пример в тази посока е пробивът в SolarWinds, чрез чиито софтуерни ъпдейти бяха засегнати десетки хиляди компании. Какъв е вашият поглед в тази посока?

Това също стои на дневен ред, но в тези случаи става дума за софистицирани атакуващи и попада в обхвата на споменатите ATP-та. Тук отново имаме търсене на най-слабата връзка във веригата. Ако не могат да атакуват например ЦРУ, те компрометират някой негов доставчик. В случая със SolarWinds бе компрометиран доставчик на софтуер за управление на мрежови устройства, чрез който бе придобит достъп в други организации.

Всъщност Log4j, за който споменах преди малко, също е такава атака. Това е едно малко модулче, за което повечето хора, използващи отворения сървърен софтуер Apache, дори не са чували. Това е един от модулите в него и в един момент се оказа, че там има дупка в сигурността. Да, в случая не става въпрос за целенасочено компрометиране, но все пак това е атака срещу верига за доставки, тъй като това малко парченце е част от софтуерен пач със значителен пазарен дял (между 1/4 и 1/3 от световния пазар на уеб сървъри според различни анализатори).

В цял свят в момента се обмисля как да бъдат адресирани подобни заплахи. Една от стратегиите е да се създава правилната документация за това къде и какви софтуерни модули се използват и защо това е необходимо. Целта е да се изгради познание и да може да се реагира по-бързо в случай на инциденти от този тип. Софтуерите, които се използват днес, вече са много комплексни системи, съставени от множество компоненти.

Говорейки за големи доставчици, няма как да не погледнем и към най-големите облачни доставчици като Amazon, Google, Microsoft и други. При компрометиране на някой от такъв калибър щетите ще са колосални. Много анализатори от доста време са на мнение, че пробив там е само въпрос на време...

Това със сигурност е риск и със сигурност големите са обект на атаки. Този тип компании инвестират много сериозно в информационната си безопасност, както и в продуктите, които създават. Залогът е много голям, тъй като в случай на компрометиране на доверието към такъв доставчик не бих се учудил да видим и негов фалит. Чисто репутационният риск дори от малък пробив в не толкова популярен продукт е много голям. Този тип компании имат ресурсите и инвестират много сериозно в информационна сигурност.

Да поговорим за човешкия фактор. Все още сред основните рискове се посочва използването на лесни за отгатване пароли, както и преизползването им на много места.

Един от най-големите проблеми в информационната сигурност е, че колкото и техника да имаме, с колкото и технологии да разполагаме, ако не си обучим потребителите, те могат съвсем спокойно да заобикалят всички защити, защото така им е по-лесно. Един от най-големите проблеми е преизползването на една и съща парола за множество услуги. В много сайтове и форуми не се инвестира сериозно в тяхната защита. И при компрометирането им престъпниците започват да изпробват конкретните потребителски имена и пароли например във Facebook, Twitter, LinkedIn и т.н. и в много случаи успяват да получат достъп и до други услуги.

Измислянето на една парола наистина е важно. Изследвания показват, че дължината на комбинацията е от голямо значение, дори по-важно от комплексността, т.е. използването на разнообразни знаци и цифри. Един съвет: използвайте пас-фрази. Това е структурно правилно изречение, например "Зеленият кон изяде батерията". Като изречение може и да няма никакъв смисъл, но като за парола е добра и лесна за запомняне комбинация.

Какви са основните съвети, които бихте дали в тази посока?

Образованието е задължително. Най-честата векторна атака е електронната поща. Получавате писмо с прикачен файл или връзка, което създава усещането за спешност, като може да е оформено така, сякаш идва например от счетоводството. При отварянето му излиза съобщение, приличащо на грешка, човек бързо кликва на бутона "Next" и компютърът на служителя, а оттам и цялата мрежа се оказват компрометирани.

Една от тенденциите при атаките срещу бизнеси са измамите чрез електронна поща, където често няма никакъв технологичен компонент. Изпраща се имейл до някой младши счетоводител от името на директора, в което се изисква спешен превод на определена сума. Много хора не се замислят защо в българска фирма директорът пише на английски. Веднага се нареждат преводи, като се заобикалят всички контроли като подписи и печати, защото е спешно.

В такива случаи възможно най-бързо трябва да се уведомят банката и полицията. Този тип престъпници обикновено използват мулета - сметките, на които се превеждат сумите, може да са на неграмотни или подлъгани хора. След това парите може да се изтеглят в брой, да се прехвърлят в криптовалута, предприемат се стъпки те да не могат да бъдат проследени. Банката не може да върне парите, но може да спре трансфера до изясняване на обстоятелствата.

През май 2022 г. ще се навършат три години от влизането в сила на GDPR (Общия регламент относно защитата на данните). Как оценявате ефекта му?

Това беше първият закон, който заговори за данни и тяхната защита. Той положи основата на Директивата за мрежова и информационна сигурност - NIS, а вече работим и за NIS 2, която се очаква да бъде приета в края на лятото. В последната се говори не само за защита на личните данни, а за минимални нива на информационна сигурност, която трябва да имат организациите. GDPR положи една основа, не само регулаторно, за разработка на допълнителни директиви, но накара самите организации да се замислят. Доста ИТ мениджъри казват, че след въвеждането на GDPR са добили много по-добра представа за информацията, която тяхната фирма обработва, за информационните потоци, както и за мерките за защита.

GDPR дойде с впечатляващи глоби и заради това организациите му обърнаха внимание и започнаха да обмислят как да го прилагат. Научавайки какви лични данни обработват, фирмите разбраха и какви други данни се обработват при тях, къде се съхраняват и как се защитават. На базата на този опит и познание могат много по-добре да защитят своята организация, своите служители и клиенти.

Петър Кирков, директор на дирекция "Мрежова и информационна сигурност" в Министерството на електронното управление и на CERT Bulgaria

Фотограф: Надежда Чипева