Play
Ascultă RFI Romania
Play
Ascultă RFI France
Ascultaţi


Expert: Atacul cibernetic, o premieră pentru că se propagă singur

Atacul cibernetic care a afectat 100 de ţări deschide o nouă etapă şi marchează o premieră: ameninţarea se propagă singură, explică la RFI Liviu Arsene, expert Bitdefender. Oricine poate fi autorul unui astfel de atac, specialist sau nespecialist, mai spune expertul în securitate. Important e ca victimele să nu plătească, mai transmite expertul.

Liviu Arsene: Este un atact de tip ransomware. Este o amenințare pe care am văzut-o deja în trecut. Există de câțiva ani buni. În schimb, ceea ce nu am văzut până acum este modalitatea ei de a se răspândi de la o victimă la alta fără a fi nevoie de interacțiunea victimei. Dacă, de regulă, până acum, amenințarea se răspândea printr-un atașament la un email pe care îl deschidea victima sau printr-un link pe care îl vizita, acum dacă se află într-o rețea în care un singur calculator a fost infectat, toate calculatoarele din acea rețea vor fi infectate automat.

Reporter: Cum te poți apăra în fața acestei amenințări?

L.A: Dat fiind faptul că se răspândește printr-o vulnerabilitate în sistemul de operare Windows, care, deși a fost rezolvată de Microsoft în aprilie, mulți utilizatori nu și-au actualizat sistemul de operare, motiv pentru care, acest tip de amenințare folosește această vulnerabilitate pentru a infecta automat toate calculatoarele. Recomandarea specialiștilor este să țineți constant sistemele de operare actualizate cu cele mai noi actualizări de securitate. Folosiți o soluție de securitate capabilă să detecteze astfel de amenințări. Și încercați să instruiți și angajații să identifice astfel de emailuri malițioase sau emailuri care conțin atașamente pe care nu le așteaptă.

Rep: Aceste atacuri au afectat mai multe țări. Serviciul public de sănătate din Marea Britanie a fost o țintă destul de grav afectată. Ce înseamnă asta?  Este o premieră?

L.A: Da, este o premieră din cauza faptului că amenințarea se propagă singură. Exact cum spuneam și mai devreme, datorită faptului că, cel mai probabil, nu și-au actualizat sistemele de operare și amenințarea exploatează o vulnerabilitate din ele, toate calculatoarele sau toate instituțiile care sunt legate între ele de la distanță, pot fi infectate dacă un singur calculator a fost infectat. Gândiți-vă la cum funcționează sistemul medical. Există doctori care lucrează de la diverse cabinete medicale și trebuie să acceseze datele pacienților. Aceste date pot fi accesate de orice doctor, indiferent de locația în care se află. Acest lucru înseamnă că ei împărtășesc aceeași rețea. Dacă un singur doctor se infectează, automat infectează toată rețeaua la care sunt conectați și ceilalți doctori.

 

Rep: Cei care se află în spatele atacurilor cer 300 de dolari în Bitcoin, spunând că plata trebuie să se facă în trei zile sau prețul urmează să se dubleze. Modul acesta de a opera este unul obișnuit printre hackeri? Vorbim despre hackeri sau despre ce?

 

L.A: În cazul în care vorbim despre acest tip de amenințatre, este o practică obișnuită. Ransomware are ca scop blocarea utilizatorului de a accesa fișierele de pe calculator și cererea unei sume de bani pentru deblocarea accesului la acele fișiere. Faptul că cer 300 sau 500 de dolari este o practică obișnuită. Au fost și instanțe în care au cerut sume mult mai mari, până la 10.000 – 20.000 de dolari și chiar mai mult, pentru deblocarea accesului la acele fișiere. Am văzut astfel de cazuri anul trecut în Statele Unite. O firmă medicală a fost infectată. Toate spitalele au fost blocate pentru că nu mai aveau acces la datele pacienilor. Pentru deblocarea accesului li s-au cerut 17.000 de dolari. În cazul de față, este o sumă mai mică.

 

Rep: În momentul în care plătești, ce siguranță ai că pericolul a trecut? Acel om care se află în spatele atacului poate oricând să preia controlul asupra sistemului.

 

L.A: Exact. Din nefericire, plata nu garantează că fișierele vor fi eliberate sau că nu vă va infecta din nou peste o zi, două sau trei. Specialiștii nu recomandă plata acestei recompense. În schimb, recomandă să folosiți sisteme de back up. În cazul în care vi se comprimit datele să aveți de unde să le puneți înapoi. Să folosiți o soluție de securitate și să educați angajații să nu deschidă emailuri sau atașamente pe care nu le așteaptă. Faptul că plătiți nu vă garantează că o să vă recuperați datele.

Rep: Dumneavoastră ce v-a atras atenția în urma acestei informații cu atacul?

L.A: Premiera unui astfel de atact constaă în faptul că se distribuie automat către toate victimele. Nu este necesar ca o victimă să execute un fișier, să dea click pe ceva sau să citească un email. Pur și simplu, faptul că împărtășești aceeași rețea cu o victimă, te transformă, la rândul tău, în victimă.

Rep: Asta ne duce într-o altă etapă?

L.A: Da. Ne duce într-o nouă fază a unei astfel de amenințări, prin care toată lumea poate fi vulnerabilă dacă un singur individ este vulnerabil.

Rep: Cine ar putea să se afle în spatele acestui atac? În momentul în care afli că zeci de țări au căzut victime, nu este foarte liniștitor. Cine ar putea avea această forță?

L.A: Este foarte greu de speculat cine ar putea fi în spatele acestui atact, tocmai pentru că amenințarea există de foarte mult timp pe piață, iar accesul la ea îl poate avea oricine, chiar și fără cunoștințe tehnice. Ransomware poate fi cumpărat de absolut oricine pe o anumită sumă de bani și apoi distribuit către diverse victime. Este imposibil de spus cine ar putea fi în spatele atacului.

Rep: Am vorbit puțin despre responsabilitatea utilizatorilor. Aș vrea să vorbim puțin și despre responsabilitatea companiilor. În acest caz se vorbește deja despre vulnerabilități știute, care vizau Windows. Companiile ce responsabilitate au în aceste cazuri? Noi, ca utilizatori, trebuie tot timpul să ne updatăm, dar companiile.

L.A:  Și companiile trebuie să își țină sistemele de operare și aplicațiile actualizate la zi cu cele mai noi actualizări de securitate. Altfel se întâmplă ceea ce vedem acum. Mai mult decât atât, trebuie să aibă și sisteme de redundanță a datelor pentru a le putea recupera în cazul în care există astfel de incidente și, eventual, modalități de segregare, de izolare a rețelelor. Spre exemplu, poate nu vreau ca în momentul în care mi s-a infectat un sediu din București să mi se infecteze și sediul din Londra. Trebuie fac o de,limitare clară între aceste rețele. Sunt soluții tehnice pe care companiile le pot implementa

Rep: Și uzina de la Mioveni a căzut victimă unui astfel de atac. Ce însemnă pentru o uzină o astfel de contaminare?

L.A:  Cel mai probabil producția se va opri pentru o perioadă nedeterminată de timp pentru că mașinile respective nu pot funcționa corespunzător. O mașină crae este restricționată, care a fost infectată cu o astfel de amenințare, nu își mai poate face funcția, nu mai poate continua linia de producție. Dacă este vorba despre aceeași amenințare, cel mai probabil le va cere să plătească. Sau pot avea o soluție de redundanță prin care să poată recupera datele pe care le-au pierdut deja. Dar durează. Implică timp și costuri. Repunerea în funcțiune a mașinilor, a unităților, a calculatoarelor, a sistemelor infectate durează ceva timp.

 

Rep: În momentul în care un astfel de atacator a preluat controlul asupra datelor tale, le poate folosi? În aceste domenii delicate, gen industria auto, este foarte imporant să îți păstrezi cât mai pentru tine informațiile. Aceste date, o dată ce ai acces la ele, le poți da mai departe? Devii posesorul unor informații foarte importante?

 

L.A:  Nu. Parte interesantă a unei astfel de amenințări este că pe atacatori nu îi interesează ce date au blocat, ce date au criptat. Pur și simplu îi interesează să restricționeze accesul la ele pentru că un utilizator va dori să plătească ca să recupereze accesul la ele. Dacă nu are o copie de redundanță, atunci va pierde date sensibile pentru el. Pe atacator nu îl interesează altceva decât să facă bani într-un timp foarte scurt. Nu îl interesează ce date sunt acelea sau ce informații sunt în sistem. Pur și simplu îl interesează să te convingă să plătești o recompensă pentru deblocarea accesului la acele date.

Rep: Pentru că ați pomenit de bani, ce face cu acești bani? Înțeleg că sunt bani virtuali.

 

L.A:  Da, sunt bani virtuali, cunoscuți sub numele de Bitcoin. Bitcoin-ul este o monedă universală sau virtuală foarte des folosită de atacatorii informatici. Cu Bitcoin se pot cumpăra diverse servicii și bunuri online. Există inclusiv o bursă de Bitcoin. Partea interesantă la Bitcoin este că nu poți depista o tranzacție dintre un vânzător și un cumpărător. Nu poți să vezi în mâinile cui ajung banii în momentul în care ai făcut plata. Sitemul este conceput de așa natură încât anonimizarea informațiilor individuale se face sută la sută.

Rep: Prin urmare, nici nu poți lua urma banilor o dată ce ai făcut plata unui astfel de șantaj. Pare un fel de șantaj...

L.A:  Exact, este un șantaj. Nu ai cum să urmărești banii, să vezi la cine au ajuns, cine îi folosește. Este imposibil.

 
Liviu Arsene, expert Bitdefender