lapkričio 11, 2020

Donatas Zaveckas: labai pamokanti vieno hakerio istorija

Liepos pabaigoje, kai valstybinis Registrų centras vadavosi iš liūties sukelto skandalo ir gaivino leisgyvę e-sveikatos sistemą, problemų su nulaužta sistema turėjo ir pasaulinė gigantė Garmin.

Kai vienu metu neveikė e-sveikata, kurioje saugomi duomenys apie Lietuvos gyventojų sveikatą ir Garmin Connect aplikacija, kaupianti informaciją apie asmens fizinį aktyvumą ir sveikatos būklę, prisipažinsiu, kad net man, patyrusiam sistemų administratoriui, kilo klausimų, ar gali būti, jog e-sveikatos ir Garmin registrai gali būti kaip nors tarpusavyje susiję.

Dabar jau aišku, kad tai buvo atsitiktinumas, bet Garmin atvejį verta panagrinėti atskirai.

Laukiniai devyniasdešimtieji arba kas atsitiko?

Mažiausiai dešimt milijonų dolerių. Tiek Garmin korporacija sumokėjo hakeriams už vartotojų duomenis, kurie buvo užvaldyti neteisėtai.

Šiuo atveju Garmin neturėjo nei laiko, nei pasirinkimo. Neveikiantys arba ne pilnai funkcionuojantys įrenginiai kėlė vartotojų pasipiktinimą, o ir teisinių kelių mažai: kol kas nėra teisėtų  priešnuodžių tokiems nedorėlių veiksmams.

Teisininkais ir visokio lygio apsaugomis ginkluota gigantė Garmin buvo priversta sumokėti nežinomam gavėjui nežmoniško dydžio sumą, be jokios garantijos, kad pažadai bus įvykdyti. Kažkokie laukiniai devyniasdešimtieji.

Kodėl aš buvau priverstas truputį giliau pasiaiškinti techninę šitų reikalų pusę, Jūs tuoj sužinosite.

Bitkoinai už raktą nuo nuosavo seifo

Hakeriai, kurių, kaip minėjau, identifikuoti kol kas neįmanoma, viską daro paprastai: įsiveržia į sistemą ir vadinamuoju kripto raktu užšifruoja duomenis. Tada reikalauja pinigų už duomenų atrakinimą.

Duomenys niekur „neišnešami“, nesunaikinami, bet jie nebepasiekiami informacinėms sistemoms įprastu būdu, todėl sutrinka jų veikla. Taip buvo užšifruoti ir neteisėtai užvaldyti Garmin vartotojų duomenys, taip gali būti užšifruota visa didelės korporacijos buhalterinė sistema, perimti dokumentai ar kiti jautrūs duomenys.

Hakeriai nustato taisykles ir sąlygas, kaip galima atgauti, „atsirakinti“ nuosavus duomenis ir laukia savo dalies už stebuklingą raktelį, kuriuo, neva bus galima atrakinti duomenis.

Kai nežinai, ar kitoje ekrano pusėje sėdintis asmuo vykdys savo įsipareigojimus ir pervedus lėšas atrakins verslui gyvybiškai svarbius duomenis, jausmai dvejopi. O dar – pinigus už duomenų atrakinimą turi pervesti kriptovaliuta, dažniausiai vadinamasiais bitkoinais. Bet nėra kito būdo, tik rizikuoti po truputį, tikint hakerio sveiku protu ir gera valia.

Hakeriai neršė Lietuvoje

Spalį tokie hakeriai rimtai neršė Lietuvoje. Tikrai talentingi hakeriai. Šiandien jau galime kalbėti apie tai kas nutiko, kaip veikia hakeriai ir svarbiausia, kaip apsisaugoti nuo tokio akiplėšiškumo.

Man žinomas vienas konkretus tokio duomenų nulaužimo atvejis, kai duomenys užrakinami ir prašoma išpirkos už jų „išlaisvinimą“.

Įmonė negalėjo dirbti su duomenimis buhalterinėje programoje, nes buvo užšifruota ne tik tarnybinė darbo stotis, bet ir jos kopijos. Taip pat kiti kompiuteriai, kuriuose buvo visa reikalinga informacija.

Tokie įsilaužimai suplanuojami ypač kruopščiai. Pradžioje užvaldomas darbuotojo kompiuteris, vėliau – tarnybinė darbo stotis, o galiausiai įsilaužėlis tyko ir laukia galimybės prieiti prie atsarginių duomenų kopijų. Kai visi galimi sistemų saugos mygtukai kontroliuojami, spaudžiamas „Start“ mygtukas ir visi finansiniai dokumentai, įmonės buhalterinė apskaita tampa „užrakinta“ ir tikrąją to žodžio prasme nepasiekiama. „Totalus košmaras“, tokios mintys kilo klausant šios istorijos.

Dažniausiai hakeriai bendrauja noriai, į klausimus atsako greitai, bet gyvai pasikalbėti neįmanoma. Viskas vyksta per nuasmenintą Gmail paštą.

Kadangi pasirinkimo nebėra, su nežinomu asmeniu, iš nežinos pasaulio vietos vyksta virtualios derybos dėl kainos ir valiutos. Nes arba prarandi visą įmonės finansinę atskaitomybę, arba pasimokai, susitvarkai saugumo spragas (apie tai vėliau) ir dirbi toliau.

Kiek man žinoma, įvykdžius sąlygas hakeris atrakino duomenis ir šita istorija, nors kainavusi nervų ir pinigų, baigėsi laimingai. O aš komandai kėliau uždavinį – padaryti viską, kad tai neatsitiktų kam nors iš mūsų.

Tai ką daryti?

Verslo klientams vis mažiau reikia aiškinti, kad svarbios ne tik patalpų, bet ir informacinių technologijų saugos sistemos. Hakeriai visame pasaulyje kelia vis daugiau iššūkių, ir jei praeityje žmonės kentėjo nuo piratų jūrose, dabar kenčiam nuo virusų: tiek biologinių, tiek virtualių.

Jei anksčiau gelbėjo atsarginės duomenų kopijos, teisinga jų politika ir įgyvendinimas, tai dabar reikalingos papildomos, kompleksinės priemonės sistemų saugumui užtikrinti, pradedant saugumo programine įranga, baigiant atskira įmonės informacinio saugumo politika, į kurią įeina šifravimo sprendimai, prieigų ribojimai ir pan.

Socialinė inžinerija vis dar lenkia gudrias, nuolat automatiškai besimokančias saugumo sistemas. Darbuotojas pats atrakina duris ir į sistemas įsileidžia vagį. Todėl labai svarbu mokyti darbuotojus atpažinti priemones ir veiksmų rinkinius, galinčius pažeisti informacinių sistemų apsaugas.

Tiesa sakant, versle kartais verta tiesiog netaupyti saugumo sąskaita.

Donatas Zaveckas valdomų Cloud ir IT paslaugų bendrovės „BTT Group“ vadovas.

Tekstas publikuotas portale Delfi.lt