Tag: WannaCry

Efectele WannaCry inca nu s-au terminat si e posibil ca prima “rafala” sa fie doar un mic test demo, atacuri mult mai puterice urmand sa loveasca. Voi face totusi un mic istoric al WannaCry-ului si recentei infectii.

Acum ceva timp (2-3 saptamani din ce-mi aduc eu vag aminte) un grup de hackeri a publicat cateva unelte folosite de NSA care exploatau unele vulnerabilitati ale sistemului de operare Windows – dar nu numai – inca ne…”reparate” de Microsoft. Oficial Microsoft nu a declarat decat ca multe dintre vulnerabiliti erau rezolvate de mult timp si putinii specialisti care au putut formula o opinie (putini la care am ajuns noi, existand evident multi specialisti in acest domeniu) au declarat ca este sub semnul intrebarii daca uneltele facute publice chiar sunt eficiente sau sunt doar inca o miscare de distragere a atentiei publicului de al chestiunile de zi cu zi din politichia Imperiului unde Trump mai are uneori obiceiul sa lanseze rachete atunci cand scade in sondajele de popularitate.

Acum, la ceva timp dupa acest incident, avem a face cu WannaCry care este pus pe seamna acelor “leak-uri” de la NSA. Opinia formulata cu ocazia acestui atac ar fi ca hackerii s-au folosit de acele unelte  si de “gaurile” deconspirate pentru a intra in sisteme si pentru a face ce au facut. Este greu insa sa spunem cu certitudine da sau nu, asa este, hackerii s-au folosit de acele unelte si Microsoft a gresit ca nu a rezolvat bug-urile imediat ce au aparut publice. WannaCry poate pur si simplu sa fie un malware mai eficient ca altele dinainte si sa nu foloseasca nimic din leak-ul anterior.

Publicarea unor vulnerabilitati inainte de anunta compania victima este un faux pas in lumea hackerilor, insa de ceva vreme pana si hackerii au cam renuntat la bunele maniere. In vremurile onorabile ale hackingului in care 99% dintre hackeri practicau hackingul din pasiune si pentru ca patrunderea in sisteme interzise era o provocare, rareori vulnerabilitatile erau facute publice cu scopul de a face rau. Daca se intampla asta – extrem de rar – era doar pentru a pedepsi acea companie pentru anume fapte.

Pe langa hackerii “gri” care desi actioneaza ilegal, nu cauta raul in sine, evident ca au existat hackeri black-hat tot timpul, prin black-hat intelegand urmarirea de scopuri rele in sine, imorale, raufacatoare.

Ceea ce s-a intamplat cu publicarea informatiilor NSA este extrem de ciudat si rar intalnit: un grup de hackeri a facut public aceste informatii. Care sa fii fost scopul? Daca hackerii erau raufacatori si aveau doar scopuri comerciale, foloseau uneltele in scop propriu si nu le faceau publice, mai ales ca prin aceasta masura atrageau atentia companiilor target (Microsoft) care urmau sa repare “gaurile”. Daca hackerii doreau doar sa arate ca NSA-ul isi baga nasul unde nu ii e treaba, gestul lor este infantil: cine nu stie ce face NSA si cine nu mai crede in ziua de astazi ca oricum probabil NSA nici nu are nevoie de backdoruri pentru a avea acces la toate calculatoarele conectate la Internet (si nu numai) si o poate face probabil folosind chiar mijloacele companiilor mama (Microsoft, Google , Facebook). Au mai fost unele speculatii “far fetched” cum ca deconspirarea ar fi fost o miscare de manipulare provocata tocmai de NSA care ar fi dorit sa arate ca nu colaboreaza direct cu companiile pentru accesarea sistemelor ci are nevoie – ca toata lumea – de backdoor-uri, exploit-uri si tool-uri de hacking. Actul publicarii are deci o cheie greu de citit. Poate cea mai plauzibila varianta ar fi bunavointa unor hackeri care au dorit sa impartasasca cu hackerii din intreaga lume asemenea …. “bunatati”.

Ransomware-ul este doar o mica felie din tipurile de actiuni care se pot face. Pana nu demult (inainte de bitcoin), ransomware-ul era o prostie, fiind imposibil de cerut bani deoarece plata recompensei se facea cu riscuri mari. Ca o mica paranteza, as aminti un “virus” care a circulat pe la noi intr-o perioada. Pe calculatoarele victima, se activa la un moment dat un mesaj care se dadea ca si venind din partea politiei romane “Atentie acest calculator este urmarit de politia romana. Am descoperit ca folositi programe piratate. Pentru a nu face puscarie, va rugam sa ne contactati”. Victimele erau invitate sa contacteze politaii “binefacatori” care se ofereau sa treaca cu vederea victima in schimbul platii unei sume intr-un cont. Daca cineva s-ar fi dus insa la politie, era usor de urmarit unde se duc banii si faptasul putea fi prins usor. Foarte posibil, cel care ridica banii insa era un neica nimeni, un fraier trimis de niste baieti rai care pe mana cu niste baieti destepti realizau schema. Erau deci multi intermediari, hackerii aveau de platit multi intermediari si la ei oricum nu puteau ajunge niciodata sume prea mari.

Cu bitcoin insa, totul s-a schimbat. Posibilitatea tranzactiilor anonime face ca un hacker sa ofere pur si simplu un hash-code direct in mesajul adresat victimei in care sa ii ceara sa realizeze plata pentru a primi cheia pentru decriptare si pentru a recupera datele. Nenumarate astfel de incidente au loc zilnic si multi au cazut victima, unii chiar fiind nevoiti sa plateasca pentru a putea functiona normal. As aminti aici cateva spitale care s-au trezit cu fisele pacientilor encriptate si cu cereri de rascumparare. Faptul ca hackerii au mers pana acolo incat a cere spitalelor bani si a se juca cu vietile oamenilor denota ca acesti oameni nu au scrupule si ca sunt capabili de orice.

Tehnic, din punct de vedere al securitatii, nu prea putem face mare lucru, sistemle fiind vulnerabile si nicio masura de protejare neavand eficienta 100%. Foarte mult m-am intrebat personal cum de atat de multe victime au fost in cazul incidentului de fata, si cum de acestia nu aveau backup pentru a reintra in functiune instant. In particular m-a mirat cazul Renault care a avut mai multe fabrici oprite (inclusiv Dacia) pierderile fiind evident imense. Realitatea este ca in ciuda backup-urilor si a sistemelor de securitate (oare Renault chiar sa nu aiba un firewall pus la punct?!) sunt locuri unde backup-ul nu ajunge, un simplu restore nu rezolva situatia.

Ca o paranteza cu privire la recuperarea fisierelor, as sublinia ca dupa parerea mea, plata este inutila in cazul victimelor. Cine a pus la cale acest atac, cu siguranta nu va sta sa comunice si nu va risca nimic pentru a oferi cheia de decriptare dupa ce s-a facut plata. Desi estimarea platilor facute ar fi in jur de 20.000$ (conform unor “specialisti” – greu de stiu, bineinteles), foarte posibil ca cei care au pus la cale atacul sa nu fie dispusi sa tina la brand si sa se tina de cuvant oferint cheia de decriptare, deoarece o astfel de lovitura este once in a lifetime. 

Sa facem acum un mic exercitiu de imaginatie: ce s-ar fi intamplat daca hackerii care au lansat acest atac, nu planuiau ransomware ci pur si simplu cautau informatii pentru a le revinde. Ei bine, acest tip de atac se intampla deja. Daca exista un calculator neinfectat si care nu are pe el vreun virus sau malware, acel calculator chiar este one-in-a-milion. Efectele insa nu sunt vizibile si impactul nu este acelasi. Un impact poate si mai puternic era daca in loc sa encripteze si sa ceara recompensa, hackerii ar fi alterat datele intr-un mod cat mai discret. Imaginati-va in cazul unui spital ce ar insemna modificarea rezultatelor analizelor pacientilor.

Reiterez: in cazul de fata, prin backdoor-urile folosite, hackerii au preluat controlul total. Particularitatea atacului a fost propagarea autonoma si declansarea autonoma. Foarte probabil singura actiune concreta a hackerilor a fost trimiterea catorva mailuri initial, pana cand virusul a prins masa critica si a inceput a se propaga singur.

Sa ne intoarcem insa la Bictoin. Nu voi comenta fluctuatiile recente: o crestere la un nou record urmata de o scadere brusca. Eu cred ca dupa acest incident Bitcoin va fi mort. E la mintea cocosului ca nici un investitor care are 2 neuroni nu se va candi sa-si plaseze un procent prea mare in bitcoin in conditiile in care una dintre urmarile epidemiei recente ar putea fi tocmai interzicere bitcoinului. Daca era nevoie de o masa critica de opinie impotriva aceste monezi si daca era nevoie de fapte care sa demonstreze riscurile negative ale bitcoinului, aceasta s-a intamplat deja. Incepand de luni, bitcoin poate fi interzis in orice zi care va urma si putina lume se va opune, mult mai multa fiind in sprijinul autoritatilor care ar putea argumenta: “cati oameni mai vreti sa moara ca sa ne trezim ca acest bitcoin este o moneda folosita de teroristi care trebuie interzisa pentru a le bloca sursele de castig”?

Poate singura aparare in favoarea bitcoinului va veni din partea investitorilor cu sume mari care deja au expunere. Insa oricum bitcoinul a suferit o lovitura prin neacceptarea tranzactiilor de catre SEC care ulterior a acceptat o alta moneda, Etherium, care cred ca este putin mai sigura decat Bitcoinul care dupa cum stim, are multe defecte, in ciuda notorietatii.

Presedintele Trump a lansat un plan de pregatire al americanilor pentru caderea retelei electrice. Unii zic ca riscul exploziilor solare justifica impacienta cu care Trump actioneaza. Eu zic ca americanilor le e frica de atacuri cibernetice care sa vizeze gridul invechit si de aceea se precipita ei. Luni si zilele urmatoare, vom vedea fallout-ul de la aceasta prima runda. Parerea mea, este ca fenomenul abia incepe sa scoata capul din peisajul evenimentelor cu tenta apocaliptica ale vremurilor si lumii nebune in care traim.

~ ~ ~ ~ ~ ~ ~

ALTE ARTICOLE (EXTERNE)

Blockbuster ‘WannaCry’ Malware Could Just Be Getting Started: Experts

~ ~ ~ ~ ~ ~ ~

ADDENDUM

Cum ne ferim de WannaCry?

Nimic nu este 100% sigur, dar putem face:

• sa trecem pe Linux
• sa rulam toate update-urile Windows-ului, indiferent de versiune
• sa evitam sa deschidem atasamente de la necunoscuti

Cum nu ne ferim de WannaCry?

• nu rulam programe descarcate aiurea de pe internet
• nu cautam pe Google “wannacry removal”

E foarte posibil ca unii “antivirusi” sau programe sa contina virusi, daca site-urile sursa nu sunt de incredere.