Pietia uderza z ukrycia

MICHAŁ KUŹMIŃSKI: Co uderzyło w sieci we wtorek, 27 czerwca?

PIOTR SZEPTYŃSKI: Początkowo wydawało się, że komputery – najpierw na Ukrainie, a potem w innych miejscach tego regionu i świata – zaatakował wirus Petya, który jest złośliwym oprogramowaniem typu ransomware. Czyli takim, które szyfruje pliki użytkownika, aby wymusić na nim okup za odszyfrowanie.

Szybko się jednak okazało, że to nie do końca tak...

Owszem, użytkownicy tracili dostęp do swoich danych na komputerach, na ekranach pojawiało się żądanie zapłaty 300 dolarów w bitcoinach [rodzaj quasi-waluty, używanej w transakcjach w internecie – red.]. Ale badacze udowodnili, że utraconych danych nie uda się odszyfrować mimo zapłaty okupu. Co więcej, cyberprzestępcy polecili wysyłać sobie informację o uiszczeniu okupu na adres e-­mail, który natychmiast został zablokowany przez operatora usługi pocztowej. Więc nawet ci, którzy zapłacili okup, nigdy nie dostaną swojego klucza do odszyfrowania danych. To wszystko są symptomy – i śmiało można je nazwać dowodami – że to nie był wirus ransomware, lecz tzw. ­wiper. Czyli złośliwe oprogramowanie w nieodwracalny sposób niszczące dane.

Twórcy naprawdę wyrafinowanego programu użyli tak nieskutecznej metody przekazywania okupu? Czy to nie aż nazbyt ostentacyjny sygnał mówiący: „Tu nie chodzi o pieniądze”?

Złośliwe oprogramowanie ­ransomware istnieje nie od dziś i przyjęło się już, że użytkownikom generowany jest indywidualny „numer rachunku”, czyli tzw. portfel bitcoinowy, na który mają wpłacić okup. Wtedy przestępca ma kontrolę nad tym, kto już zapłacił. Tymczasem tu podano jeden portfel dla wszystkich. Ale to i tak nie ma znaczenia, bo – jak powiedziałem – żaden okup nie pomoże odzyskać plików. Tym, którzy rozprzestrzenili wirusa, nie chodziło o pieniądze. Oczywiście, natychmiast rodzi to pytanie: o co im chodziło?

To samo pytanie rodzi też przebieg ataku: zaczął się on na Ukrainie, dotknął tamtejsze instytucje z dziedziny infrastruktury: energetyki, komunikacji, logistyki, banków. Kluczowe dla funkcjonowania państwa.

Owszem, zaatakowano firmy ze strategicznych sektorów, ale czy to było zamierzone? Mogło to wynikać z metody infekcji: wirusem został zarażony program, którego ukraińskie firmy używają do rozliczania się z urzędem podatkowym. To tak, jakby zarazić naszego „Płatnika”. Ofiarą musiały paść więc także inne podmioty, które z niego korzystają. Ale uderzenie w firmy strategiczne nagłośniono najbardziej. Skala i dynamika ataku była bardzo duża i trudno byłoby dowieść, że ktoś wycelował go precyzyjnie w infrastrukturę państwa.

Media mówiły o ataku programem z rodziny wirusów Petya. Tymczasem eksperci zaczęli używać takich nazw jak: SortofPetya (Coś jak Petya) czy wręcz NotPetya (Nie Petya). Dlaczego?

Ten wirus jest pod wieloma względami podobny do znanych od dawna wirusów z rodziny Petya, ale to tylko powierzchowne podobieństwo: do infekowania komputerów NotPetya wykorzystywał inną podatność, czyli słabość systemu operacyjnego komputera. Nawiasem mówiąc, używał jej też wirus WannaCry, który sparaliżował spory kawał świata w maju tego roku. Wreszcie, NotPetya nie służy do wymuszenia okupu, lecz do siania zniszczenia. A być może – choć to tylko domysły – do odwrócenia uwagi od czegoś większego.

Jeden z analityków użył sformułowania, że twórcy NotPetyi wyciągnęli wnioski z historii wirusa WannaCry. Jakie?

Ulepszono sposób infekowania komputerów. WannaCry infekował te komputery w sieci lokalnej, które miały lukę bezpieczeństwa, bo ich systemy operacyjne nie były aktualizowane. Zaś NotPetya potrafi zarazić też zabezpieczone komputery, bo wykorzystuje „legalny” sposób komunikowania się maszyn w sieci firmowej. Użytkownik lub administrator może się w takiej sieci dostać do innego komputera, więc autorzy NotPetyi wykorzystali fakt, że hasła dostępu mogą być przechowywane w pamięci operacyjnej komputerów. Wirus potrafi je z niej wydobyć. Może się więc rozprzestrzeniać na systemy, które nie są dziurawe.

To poważniejszy problem niż WannaCry. NotPetya korzysta głównie z braku podstawowych zabezpieczeń w firmowych sieciach. A chodzi tu o naprawdę proste zasady, jak ograniczanie uprawnień użytkowników czy separowanie od siebie fragmentów sieci. To zaś oznacza, że podstawowe zasady zaniedbywano przez szereg lat.

Ale skoro NotPetya rozprzestrzenił się za pomocą programu ukraińskiego fiskusa, to jak się dostał poza granice Ukrainy?

Wygląda na to, że właśnie za sprawą nieprzestrzegania tych zasad. Jak ustalili analitycy jednego z polskich portali, do infekcji poza granice Ukrainy przyczyniły się międzynarodowe firmy mające filie na Ukrainie. I raczej nie odbyło się to tak, że jakiś ich pracownik przesłał wirusa ­e-mailem albo przeniósł go na pendrivie. Najpewniej właśnie połączenia między sieciami poszczególnych oddziałów firm nie były właściwie zabezpieczone i wirus to wykorzystał. Lata zaniedbań, być może ignorancji czy nieuwagi, doprowadziły niemało firm do katastrofy.

Jeśli takie luki w zabezpieczeniach sieci mają olbrzymie bogate korporacje, to znaczy, że żyjemy w straszliwie podatnym na ataki świecie?

Rzeczywistość to potwierdza. Nie jest dobrze i niekoniecznie będzie lepiej. Firmy – co potwierdzają moje obserwacje z lat praktyki – często oszczędzają właśnie na bezpieczeństwie. A to trochę tak, jak z ubezpieczeniem auta: to nie jest inwestycja, robi się to, żeby w razie problemów mieć święty spokój. I oczywiście każdemu zależy na jak najniższej składce OC/AC. W dodatku dbanie o bezpieczeństwo często stoi w sprzeczności z wygodą użytkowania. Łatwiej sobie ustalić jedno proste hasło dla wszystkich serwisów, z których się korzysta, a regularne robienie kopii zapasowych jest przecież żmudne. W efekcie rzeczywiście żyjemy w dość niebezpiecznej cyberrzeczywistości.

...w której także wywiady i armie nauczyły się wykorzystywać narzędzia cyfrowych włamywaczy i złodziei?

Nie sposób pokazać dowody, ale zapewne działa to tak, jak w przypadku, gdy złapanemu przestępcy policja proponuje złagodzenie kary w zamian za pójście na współpracę. Nie da się wykluczyć, że państwa korzystają z usług ludzi dysponujących szczególnymi umiejętnościami informatycznymi, a stojących po złej stronie mocy. Są też takie kraje jak Korea Północna, o której wiadomo, że dysponuje pokaźnym zapleczem w tej dziedzinie. Nie mówiąc o takich potęgach jak USA, Izrael, Chiny czy Rosja.

Można też sobie wyobrazić sytuację, w której dla odwrócenia uwagi bądź dla wykonania operacji pod tzw. fałszywą flagą angażuje się niezwiązane bezpośrednio z danym państwem grupy cyberprzestępców. Może się wtedy zdarzyć, że cyberatak prowadzi do konfliktu dwóch państw, a trzecie, które było faktycznym inspiratorem, stoi z boku i zaciera ręce.

Co ciekawe, autorzy oryginalnego programu Petya napisali na Twitterze – zapewne mrugając okiem – że być może oni potrafiliby odzyskać zniszczone przez NotPetyę pliki. Co by to miało znaczyć, można się tylko domyślać. Wiadomo, że różni ludzie w różnych sytuacjach zajmują różne strony.

Historia podatności systemu Windows na włamanie, którą wykorzystują wirusy WannaCry i NotPetya, też wiąże się z działaniami wywiadu pewnego państwa.

Tak. Błąd ten, zwany EternalBlue, znany był od dawna amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA). Ale zachowała ona tę wiedzę dla siebie, zaś Microsoft o błędzie nie wiedział, nie mógł więc stworzyć poprawki systemu, która by go eliminowała. Puszkę Pandory otworzyli ludzie – bądź człowiek – znani jako The Shadow Brokers, ujawniając m.in. ową znaną NSA podatność Windowsa. Ale, co ciekawe, właśnie odkryto w kodzie NotPetyi znaczniki czasowe z 25 lutego 2017 r. Tymczasem The Shadow Brokers ujawnili błąd EternalBlue dopiero 14 kwietnia. Jeszcze za wcześnie na wyciąganie z tego wniosków, zwłaszcza że takie znaczniki da się sfałszować.

Na NSA posypały się gromy: za to, że nie poinformowała Microsoftu o błędzie i w efekcie naraziła na niebezpieczeństwo np. pacjentów szpitali sparaliżowanych przez wirusa WannaCry...

Owszem. Ale czy podobnie myślelibyśmy, gdyby to Polska dysponowała taką unikatową wiedzą, która w samej rzeczy jest bronią? W stosunkach międzynarodowych istnieje pojęcie racji stanu. Jeśli państwo potrafi wypracować sobie taki potencjał, powinno z niego korzystać. Rozumiem krytyków NSA, ale rozumiem też ludzi z NSA, że taką wiedzę postanowili wykorzystać dla celów, nazwijmy to, statutowych. Od czasów, gdy Benjamin Franklin wypowiedział sławetne słowa, że naród, który dla bezpieczeństwa rezygnuje z wolności, nie zasługuje ani na bezpieczeństwo, ani na wolność – wiele się zmieniło. Choćby dlatego, że dziś użytkownicy portali społecznościowych sami udostępniają tyle prywatnych informacji, ile nie zdobyłby żaden wywiad. Krytykuje się więc NSA, ale zapomina się, że wirus wykorzystywał inne braki podstawowych zabezpieczeń systemów. A to już nie jest wina NSA.

Czy części winy nie ponosi Microsoft, który przez lata nie odkrył dziury we własnym systemie?

Microsoftu będę, o dziwo, bronił (śmiech). Działa tam zespół analizujący podobne zagrożenia i podatności, który na temat NotPetyi opublikował ciekawą analizę. Nie zachował tej wiedzy dla siebie, podzielił się nią ze światem. A że nie odkryli błędu bezpieczeństwa? To jak z wadą ukrytą w aucie: można mieć pretensje, gdy firma o niej wie, ale udaje, że nic się nie stało. Ale nie za to, że o niej nie wie. Przy produkcji oprogramowania nie da się dziś przewidzieć wszystkich potencjalnych podatności.

Jak działają ci „ludzie o szczególnych umiejętnościach”? Czy The Shadow Brokers mają gdzieś sekretną siedzibę, analogicznie do sławetnych „farm trolli”?

„Farma trolli” to może być specjalny budynek, ale nie musi. Trolle mogą siedzieć w mieszkaniach w swoich krajach, na Bali czy w Alicante, otrzymywać zlecenia i pisać hejterskie komentarze. A The Shadow Brokers zapewne nie są brodatymi kolesiami w kraciastych koszulach. To ludzie o wybitnym poziomie intelektualnym, o czym świadczą ich umiejętności, choć zewnętrznie pewne się niczym nie wyróżniają. Mogą nie widywać się na oczy i pracować zawsze zdalnie, zachowują zasady bezpieczeństwa operacyjnego, pozostając niezauważonymi.

Ile tak naprawdę o tym wszystkim wiemy? Czy takie historie jak infekcja NotPetyą lub włamania do poczty sztabu Hillary Clinton to ledwie widoczny wierzchołek góry lodowej?

Istnieją koncepcje, według których jest to forma działań wojennych. Z pewnością możemy mówić o wojnie informacyjnej. W połowie XX wieku wojny trafiły na ekrany telewizorów. Teraz użytkownicy sieci mogą wręcz uczestniczyć w tych wojnach. Dostęp do broni jest łatwy, nie wymaga pozwolenia, tylko umiejętności. I nie ulega wątpliwości, że metody z dziedziny cyberbezpieczeństwa wykorzystuje się na użytek polityki. Pierwszy z brzegu przykład to Stuxnet: operacja, która osłabiła irański program atomowy [akcję prowadziły prawdopodobnie USA i Izrael – red.]. My widzimy efekty, i to tylko niektóre. A to, co za nimi stoi, można porównać do działań gabinetów politycznych, w których zapadają decyzje. Skądinąd niewykluczone, że w przypadku NotPetyi czy WannaCry decyzja istotnie zapadła w jakimś gabinecie politycznym...

Czyli?

Pojawiły się hipotezy, że atak NotPetya jest zasłoną dymną dla czegoś większego. Spotkałem się nawet z hipotezą, że to preludium do militarnej interwencji na Ukrainie. I choć nie należy tego lekceważyć, trzeba to traktować jako ledwie domysły.

Ale w konwencjonalnym konflikcie zbrojnym zwykle jednak wiadomo, kto do kogo strzela. W cyberkonfliktach wiele wysiłku wkłada się w to, żeby nie było wiadomo. Czy w przypadku takiego ataku jak NotPetya da się jednoznacznie dojść do tego, kto strzelał?

Z całą pewnością – nie. Chyba że atakujący popełnił błąd i zostawił ślad. Zachowujący zasady bezpieczeństwa agresor ma ogromną szansę, aby nie zostać wykrytym.

Po zwołanym w obliczu infekcji NotPetyą posiedzeniu Rządowego Zespołu Zarządzania Kryzysowego premier Beata Szydło apelowała o czujność.

Z całym szacunkiem, ale niezbyt przydatna to rada. Dziś cyberataki potrafią być tak subtelne, że użytkownicy, nawet nie wiedzieć jak czujni, mogą ich po prostu nie zauważyć. Z drugiej strony, gdy przychodzi do zaproponowania przepisów, na mocy których należałoby dbać o bezpieczeństwo, słychać zastrzeżenia wszystkich stron: obrońców prywatności, operatorów, usługodawców, izb gospodarczych i oczywiście samych użytkowników. Ciężko ich interesy pogodzić. Ale trzeba pamiętać, że na końcu jest nasz wspólny interes. Ofiarą cyberataku może paść każdy, nawet jeśli zachowa czujność. Tymczasem w mojej ocenie Polska jest dziś słabo zabezpieczona przed takimi zagrożeniami jak Petya.

Co zwykły użytkownik sieci może zatem zrobić, by nie stać się ofiarą uboczną takiego konfliktu? Jeśli będę aktualizował system, kupię antywirusa i nie będę klikał podejrzanych załączników – to wystarczy?

Nie będę owijał w bawełnę: użytkownik, choćby przestrzegał zasad bezpieczeństwa, nie ma wielkiego wpływu na to, czy ktoś nie wykorzysta luki, nad którą on nie ma kontroli. Na przestrzeni ostatnich kilku lat badano programy antywirusowe i okazało się, że wiele z nich zawiera luki, czyniące z nich wręcz furtkę do komputera.

Rany boskie...

Ale to nie znaczy, że nie należy z nich korzystać. Pamiętając jednak, że antywirus jest skuteczny dopiero, gdy już wie o zagrożeniu. A użytkownicy niewiele mogą również dlatego, że często nie zarządzają swoją siecią, czasem nawet komputerem. Pomijając środowiska korporacyjne, nasze komputery podpięte są do sieci domowych czy osiedlowych.

Co pozostaje?

Stosowanie się do podstawowych zasad. Jedną z nich jest regularne robienie kopii zapasowej, najlepiej na nośniku, który na co dzień nie jest podłączony do komputera. Trzeba też aktualizować system. Powinien się on aktualizować sam, ale niekiedy trzeba aktualizację wymusić. Oczywiście warto mieć program antywirusowy. I dbać o silne hasła, czyli skomplikowane, zawierające rozmaite znaki. I zmieniać je co jakiś czas. I nie używać tych samych haseł w różnych serwisach, żeby – jeśli zostaną wykradzione z jednego – złodziej nie mógł go użyć w innym.

To jest jak z ubezpieczeniem: kupujemy je na wszelki wypadek. Użytkownik ma niewiele kontroli, ale zawsze może zmniejszyć ryzyko. Bo cyberprzestępcy czekają na każdą naszą słabość. ©℗

PIOTR SZEPTYŃSKI jest ekspertem w dziedzinie bezpieczeństwa IT, specjalizuje się w projektowaniu bezpiecznych sieci, ocenie zagrożeń, analizie incydentów i informatyce śledczej. Wspólnik w firmie świadczącej usługi bezpieczeństwa IT w Polsce i za granicą. Zajmował się problematyką na styku telekomunikacji i bezpieczeństwa publicznego, konsultacjami przy nowelizacji prawa telekomunikacyjnego i wsparciem bezpieczeństwa w branży finansowej.