Gorazd Božič: "Pornografija ni glavni krivec za okužbe!"

Ena glavnih ranljivosti je pohlep. Pokažejo nam dolarčke in prednji reženj možganov nam začne slabše delati.

Stvari, kot je varnost na netu, se novinarji vse prepogosto spomnimo takrat, ko se nam pač osebno zgodi kaj neprijetnega. Recimo, da nam kar od nekje spletni brskalnik prevzame čuden program, ki ga ne znamo odinštalirati, nakar to par mesecev stoično ignoriramo, nakar imamo na računalniku par sto zlohotnih infekcij. Ampak tega bo v naslednjih letih samo še več. Gorazd Božič je vodja nacionalnega odzivnega centra za omrežne incidente SI-CERT (Slovenian Computer Emergency Response Team), ki že od leta 1995 preiskuje vdore v računalnike in pomaga uporabnikom pri raznovrstnih drugih zlorabah. Med letoma 2000 in 2008 je predsedoval evropski skupini odzivnih centrov TF-CSIRT in je predstavnik Slovenije v upravnem odboru Evropske agencije za omrežno in informacijsko varnost ENISA. SI-CERT je drugače del javnega zavoda Arnes, zato se nanj na brezplačno pomoč lahko obrne kdorkoli.

Je postal splet v zadnjih parih letih za povprečnega uporabnika res občutno bolj nevaren prostor kot je bil prej?

Bo držalo. Lani smo na SI-CERTu obravnavali 750 incidentov, letos smo to cifro dosegli že ob polovici leta. Spletni kriminal je postal ogromna industrija, saj je izjemno dobičkonosen. Pa tudi tehnologija je šla naprej. Današnji malware – torej zlonamerna programska koda – zna biti izjemno sofisticiran. Trenutno najznamenitejša trojanca, Zeus in SpyEye, se recimo namestita v naš brskalnik, prestrezata našo komunikacijo z banko ter celo potvarjata bankine odgovore. Ko torej nekaj plačamo prek spleta, znajo ti programi tako spremeniti številko računa kot potvoriti izpisek naše banke, da je videti vse v redu. Tudi številka računa je na teh izpiskih prava – torej tista, na katero smo želeli nakazati denar. In tudi na našem mesečnem izpisku številke preprosto štimajo, čeprav so nas v resnici grdo okradli. Je pa res, da se za slovenske banke tovrstni problemi šele začenjajo. Do sedaj jim ni bilo hudega.

Kako to?

Ker ne obstaja nek splošen trojanski konj za vse banke. Ker je vsak resen trojanski konj specifično pisan za ropanje specifične banke. In tako so bile najprej, torej v zadnjih letih, na udaru velike zahodne banke. Ko se je nehalo splačati napadati razne CityBank in Bank of America, so se lotili velikih nemških bank, nato so sledile poljske. Sklepam, da bomo kmalu na vrsti tudi mi.

Ampak kaj se zlovešči hrusti, kot sta prej omenjeni ameriški banki tem garažnim vpadom niso znali učinkovito postaviti po robu?

Ni tako preprosto. Da bi sebe in uporabnika zares neprodušno zaščitili, bi morali pri spletnem plačevanju uvesti tako ogromno dodatnih korakov, da bi postalo vse skupaj tako zamudno in neudobno, da bi se uporabnikom nemara najbrž dejansko bolj splačalo plačevati kar po starem. Torej na šalterju. Elektronsko bančništvo je vendar nastalo zato, ker je bilo tako udobno!

Moja prva misel, ko sem bral o divjem sunku spletnega kriminala v zadnjih letih, so bili Kitajci. Ampak pri raziskovanju sem hitro ugotovil, da je bilo to vseeno malo krivično. Če prav razumem, so dinamo spletnega kriminala tudi druge t.i. države BRIK, torej Brazilija, Rusija, Indija in Kitajska?

Pogojno lahko pritrdim, vendar so med temi državami pomembne razlike. Indija je relativno neproblematična, ali pa vsaj občutno manj problematična kot ostale. Največ nesnage pride iz Rusije in Brazilije, a so tudi tu razlike. Brazilija se je začela pred parimi leti proti tovrstnim pojavom kar ostro boriti, in danes lahko zabeležimo zelo pozitivne rezultate tega boja. Dočim Rusija … No, reciva, da uradni Rusiji – in v veliki meri tudi Ukrajini – pregon organiziranega spletnega kriminala preprosto ni prioriteta. Rusija in Ukrajina sta danes tisti glavni varni pristan za e-kriminalce. Tam je krasna klima tako za tiste, ki pišejo trojance, kot za tiste, ki neposredno kradejo denar, pa potem seveda za vse tiste sheme s ponarejenimi zdravili … Čeprav bi morda take sheme veljalo ločiti od druge hard-core spletne lopovščine.

Zakaj?

Ondan sem poslušal predavanje ameriškega novinarja, ki je ta cel posel podrobneje raziskal. Ugotovil je, da ponujana zdravila v veliki meri dejansko delujejo. Da v Indiji očitno obstajajo fabrike, ki v tretji izmeni skrivoma producirajo kupe povsem delujočih zdravil, ki jih potem Rusi poceni prodajo preko interneta. Bojda imajo take senčnate mreže celo neke vrste podporo za kupca. Če so ti tablete zasegli na carini, lahko pokličeš njihovo vročo linijo in ti bodo brezplačno poslali nadomestno pošiljko.

Ha ha, torej ves tisti spam o Viagri s stališča naročnika dejansko ni kriminal, temveč storitev! Opetnajstene pa so v resnici farmacevtske multinacionalke!

Viagra je samo vrh ledene gore. Gre za cel kup zdravil – tudi recimo za zdravila za kardiovaskularne bolezni, ki so v Ameriki brez zdravstvenega zavarovanja zelo draga. Je pa seveda uporabnik tisti, ki veliko tvega, ko zaužije neke pilule, ki so do njega sicer prišle poceni, vendar mimo vsake vsaj minimalne regulative. Naj se me nikakor ne razume narobe, da kogarkoli opogumljam, da tako reč naroči.

Zelo res. Če zaključiva sklop BRIK: kam konkretno v tej kriminalni shemi spada Kitajska?

Tam beležimo predvsem močan pojav lažnih spletnih trgovin. V kakšni Panami najamejo poceni hosting, postavijo spletno trgovino z lepimi slikami, super cenami ter obljubo zastonjske poštnine – in potem začnejo pošiljati na tisoče ali celo milijone spamov. Na ta način se letno pokrade zelo konkretne vsote. Poleg tega bi Kitajsko izpostavil po enem še bolj problematičnem fenomenu, in sicer po vohunstvu. Tu gre za t.i. advanced persistent threats, torej za ciljane napade na zahodno industrijo in vlade.

Mnoge bo treba še izobraziti, da nehajo klikati na OK na raznih okencih samo zato, da bodo šla stran.

Prav tako kot se sliši – kot v krimičih in v filmih?

Gre za povsem filma dostojno high-tech spletno špijonažo. Obstajajo močne govorice, da tovrstne hackerje kitajska država celo sponzorira, čeprav je te govorice težko dokazati ali ovreči. Vsekakor je na udaru Zahod. Tudi pri nas smo imeli primere, ko so skrbno izbranim uslužbencem določenih ministrstev skušali podtakniti določen okužen pdf oziroma Wordovo datoteko. Elektronska pošta s tem namenom je bila potvorjena tako, da je tarča, torej uslužbenec ministrstva, lahko zelo legitimno mislila, da mu je pošto poslal vodja delovne skupine s svojega normalnega naslova. Vse skupaj je bilo izvedeno zelo profesionalno, zelo verodostojno.

Strašljivo.

Prav res. Zato se sam že dolgo časa zavzemam, da bi države znotraj EU morale uvesti t.i. digitalno podpisovanje. To je danes zrela tehnologija, ki jo je moč dobro uporabljati tudi v praksi. Ampak komunikacija med visokimi uradniki znotraj EU še vedno poteka nešifrirano in digitalno nepodpisano. Kar je s čisto tehnološkega stališča bedarija. To bi morali začeti uporabljati že predvčerajšnjim.

Nasploh je zanimiva ta naša spletna mentaliteta. Ne bi nam prišlo na misel iti na dopust in pustiti vsa vrata naše hiše na stežaj odprta. Na netu pa vsak dan počnemo točno to, in se zaradi tega sploh ne sekiramo.

Slikovita, ampak korektna primera. To je stvar evolucije zavesti uporabnikov. Tudi zato smo tu mi na CERT-u, da ljudi opozarjamo, kako zelo realna so tveganja.

Ko sem srfal po vašem sajtu varninainternetu.si, sem videl, da večina objavljenih horor zgodbic zaenkrat še temelji na zelo aktivni udeležbi opetnajstenca in ne toliko na raznih trojanskih konjih …

Ja, trojanci in podobne zadeve so tehnološki napad, raznim goljufijam se reče pa socialni inžiniring. In tega je zaenkrat res precej več. Stvar je v tem, da lopovi za učinkovit socialni inžiniring potrebujejo manj znanja kot za tehnološki napad. Barabe vedno napadejo ranljivosti v sistemu, in bolj kot je sistem kompleksen, več ima ranljivosti. To je logično, število hroščev v vsakem programu je sorazmerno s številom vrstic kode. In najbolj kompleksen sistem od vseh je človeško bitje, zato se lopovu bistveno bolj splača napasti njegove ranljivosti kot ranljivosti njegovega računalnika. In uspešni zlikovci imajo ranljivosti v sistemu človeškega bitja zelo dobro razdelane. Ena glavnih ranljivosti je seveda pohlep. Tudi nevro-znanost to zelo dobro ve. Pokažejo nam dolarčke in prednji reženj možganov nam začne slabše delati. Druga velika ranljivost pride do izraza, ko nas nekdo prosi za pomoč. Tudi takrat nas večina manj pozornosti nameni preverjanju njegove zgodbe in splošne kredibilnosti, kot bi jo sicer. Še posebej, ker spletne barabe situacijo ponavadi predstavijo tako, da se blazno mudi in da je treba nemudoma odreagirati.

Aha, spletna sodrga torej targetira tako naše najnižje kot naše najvišje vzgibe …

Seveda, karkoli je na voljo. In spletni prevaranti znajo zadeve zapakirati zelo sofisticirano. Težko bi rekel, da gre tu samo za neumnost. Gre prej za naivnost in pohlep…

Ja kaj je pa to vendar drugega kot …

In ne samo to, pogosto gre tudi za hude osebne stiske. Zgodilo se je recimo, da so Nigerijci na slovenskih forumih oglaševali poceni in hitre kredite. Dejansko so našli forume, kjer se je mrzlično debatiralo o tem, kje bi se sploh dalo dobiti kredit, in potem so jim poslali ravno prav sanjsko ponudbo z zelo zmernimi stroški kredita … In ko je nekdo v resni stiski, ko mu gre S.P. pod vodo, ko mora razmišljati celo o prodaji hiše … Takrat ga njegov kompletni miselni kontekst peha v to, da želi verjeti.

Najbrž res. Ampak kaj imajo ti afriški mojstri prevare dejansko koga, ki zna slovensko in rutinsko prečesava forume?

Ne. Za to je bil izumljen Google Translate. Rutinsko pa vsekakor pregledujejo forume, ja. To namreč niso neki mozoljavi najstniki v zatohlih sobicah, to so pisarne s tudi po dvajsetimi računalniki, kamor hodijo ljudje vsako jutro na šiht.

Se je varno prilogirati na svoj mail v recimo knjižnici? V nekem javnem prostoru?

Ne, kje pa. Glede tega se trudimo čimbolj opozarjati ljudi, naj na javnih računalnikih nikar ne vtipkavajo kakršnih koli gesel. Kraja gesel in na tej podlagi kasnejša kraja identitete postaja čedalje večji problem. Zakaj? Ker se čedalje bolj selimo v oblak. Čedalje večji del svoje identitete prenašamo na zastonjske ameriške gigante, ki jih poosebljata Google in Facebook. Ljudje si odprejo g-mail račun, ker je tako udoben in tako brezplačen, in potem imajo mnogi tam gor skoraj svoje kompletno življenje. Marsikateri podjetnik ima tam gor vso dokumentacijo svojega podjetja, marsikateri zdravnik kompletno strokovno korespondenco. Poleg tega je cel kup drugih čedalje bolj vitalnih spletnih računov, od E-baya do Pay Pala, neposredno vezano na naš elektronski naslov. In posledično: če dobi nekdo dostop do našega g-maila, nam lahko naredi, kar hoče. Samo primer: dogaja se, da ti ukradejo geslo za elektronsko pošto, nakar vsem tvojim kontaktom s tvojega naslova pošljejo kratek apel, da si nekje v tujini, da so te okradli in da krvavo rabiš, da na ta in ta račun nakažejo sto dolarjev za let nazaj. Nakar zbrišejo ves tvoj mail in vse tvoje kontakte in grejo. Kar odpira še en precej neprijeten problem tega računalništva v oblaku.

Trudimo se čimbolj opozarjati ljudi, naj na javnih računalnikih nikar ne vtipkavajo kakršnih koli gesel.

Katerega?

Kdo ti bo zdaj te podatke povrnil? Google? Morda, če bo ravno dobre volje. Ker če si pozorno prebereš njihove pogoje, njihov terms of service, potem kaj hitro ugotoviš, da oni niso dolžni storiti ničesar. Še ena stvar, ki se ti v primeru resnejših težav hitro obelodani, je, da Google nima resne support službe za uporabnika. Ta posel počiva predvsem na svoji masovnosti, in ti si kot posameznik zanje povsem nepomemben. Tako da je veliko vprašanje, kdaj in če se bodo oni posvetili tvojemu zelo akutnemu problemu izgube identitete.

Povej po pravici: je pornografija glavni krivec, da so naši računalniki čedalje bolj okuženi? Ker vse, kar pisec trojancev rabi, je en klik. In nič ne izvabi iz drugače še kar racionalnega posameznika več nebrzdanih klikov kot ta naša vsakdanja Indija Koromandija razkrečenih čudes.

Pornografija je vsekakor vektor napada, vendar statistično ne nujno tisti res glavni krivec za največ okužb. Res je, na pornografijo se vsakdan ogromno klika, ampak ima v kontekstu lopovščine tudi svoje pomankljivosti. Prvič, ne doseže vseh uporabnikov.

Bistveno več kot si marsikdo predstavlja.

Ja, doseže večino moških in določen odstotek žensk. Ampak za odličen povratek investicije mora tista res najboljša zlonamerna koda ciljati na čim širšo populacijo. Drugi problem je ta, da je pri porno pristopu treba postaviti nek dovolj dober sajt ter ga ustrezno plasirati na tržišče zastonjskih porno sajtov. Kar pa zahteva kar nekaj časa in znanja ter celo nek začetni kapital. Nekdo, ki želi uspeti na hitro, gotovo ne bo šel po tej poti. Še posebej zato, ker obstaja veliko bolj enostavna pot.

Katera?

Da poskusiš svojo robo podtakniti preko spam pošte in/ali socialnega inžiniringa. V enem sunku pošlješ milijone mailov in potem samo še žanješ. Populacijo je treba nujno izobraziti o vsaj najosnovnejših kriterijih za presojanje groženj. In premnoge bo treba izobraziti, da nehajo klikati na OK na raznih okencih samo zato, da bodo šla stran.

Posebej fascinanten in srhljiv je bil nedavni primer, ko je trenutnemu premierju in njegovi ženi preko e-portala nekdo zagrozil, da ju bo napadel z bombo. Ustrezni IP je policija potem sicer izsledila, a se je izkazalo, da naj bi bil krivec v resnici zamerljivi sosed, ki je omenjenemu ukradel spletno identiteto. Kako je to sploh mogoče?

IP naslov je en indikator, ampak pri preiskovanju se ne smemo opirati samo nanj. Vedno je treba poskušati sestaviti širšo sliko in najti potrditve za določene scenarije, ki se med preiskavo ponujajo. V tem konkretnem primeru je bila zgodba medijsko zelo izpostavljena, čeprav smo lahko že na začetku slutili, da bo konec banalen. Ponarediti naslov pošiljatelja je trivialno. To je enako, kot da bi poslali navadno pismo in za pošiljatelja na zadnjo stran napisali soseda. Ko grejo kriminalisti odkrivati pot sporočila po internetu, pa ostajajo sledovi pri ponudnikih, na poštnih strežnikih in kratek čas tudi na usmerjevalnikih prometa.

Hm, to vendar smrdi po sledenju vsem našim gibom na internetu!

Zdi se res tako. Ampak podatki so porazdeljeni med različnimi subjekti. Ene imajo upravitelji strežnika, do drugih imajo mogoče dostop ponudniki gostiteljstva, tretje hranijo spletni operaterji. Vsak jih lahko preda na osnovi sodne odredbe. Menim, da bi se prej veljalo vprašati, zakaj se tako bojimo državnega nadzora. In zakaj imamo tako malo zaupanja v varovalke, v tem primeru sodne. Če stvari zastavimo tako, kaj hitro ugotovimo, da problem morda ni hramba prometnih podatkov, temveč zaupanje v našo državo.

Za konec: kaj bi konkretno svetoval nekemu normalnemu uporabniku interneta, ki zaenkrat še ni pripravljen plačevati za profesionalne verzije anti-virusnih programov? Kaj lahko stori za svojo varnost?

Prvič, vsekakor naj sledi navodilom operacijskega sistema na svojem računalniku. Če mu Windowsi rečejo, da so na voljo novi popravki, naj si jih vsekakor čimprej inštalira. Ob tem naj si omisli en dober brezplačni anti-virusni program. Najbolj znani so AVG, Avast in Comodo – za povprečnega uporabnika med njimi ni večjih razlik. Izobraziti se bo moral glede osnovne spletne higiene, torej na kaj je treba paziti pri sprejemanju informacij. In če ga karkoli bega ali zmoti, naj se vsekakor obrne na nas, na cert@cert.si, in se bomo zelo potrudili, da mu pomagamo.