Milan Gabor, etični heker

»Imeli smo kar nekaj sreče. Vendar to ni jamstvo, da jo bomo imeli tudi naslednjič.«

Na zaslonih več kot 200 tisoč računalnikov po vsem svetu se je prikazalo navihano grozeče opozorilo. »Ups, vaše pomembne datoteke so bile zakodirane.« Cena za ključ – 300 dolarjev v digitalni valuti bitcoin. Po izteku treh dni se cena podvoji, po sedmih dneh brez plačila podatki izginejo za vedno. Na to ves časa opozarjata dve uri, ki odštevata čas do izteka roka.

Izsiljevalski program s sposobnostjo izkoriščanja varnostne pomanjkljivosti v starejših različicah operacijskega sistema Windows se je po internetu razširil z bliskovito hitrostjo. V Veliki Britaniji je ohromil informacijski sistem javnega zdravstva. Bolniki so ostali brez operacij. V več državah, tudi v Sloveniji, so obstale proizvodnje v tovarnah. Zaradi srečnega naključja se je širjenje virusa že v soboto ustavilo in tudi napovedi o novem valu se za zdaj niso uresničile. Vse večje pa je zavedanje o odvisnosti od zanesljivega delovanja informacijske tehnologije in ranljivosti sodobne družbe.

Strokovnjak za informacijsko varnost Milan Gabor je lastnik in direktor podjetja Viris. Velika podjetja ga najemajo, da vdira v njihove sisteme in jih opozarja na potencialne ranljivosti, da bi bila tako učinkovitejša pri preprečevanju morebitnih zlonamernih poskusov vdorov. V torek, ko je nastal intervju, je bilo za njim nekaj razburljivih dni.

Kako ste preživeli zadnjih nekaj dni od petka, ko so se razširile novice o napadu?

Zelo dinamično, na vseh področjih. Kar nekaj časa smo s sodelavci in znanci preživeli na Twitterju, ki je trenutno najhitrejši medij za širjenje novih podatkov v zvezi z informacijsko varnostjo. Bili smo v navezi z našimi strankami, preverjali smo, ali se je tudi kateri od njih zgodilo kaj podobnega, tudi mediji so nas spraševali za mnenje. V zaprtem sistemu smo virus tudi preizkusili, da bi spoznali njegovo delovanje. Za nami je precej aktiven konec tedna, ki je k sreči minil brez večje škode za Slovenijo.

Kako to, da je napad Slovenijo skoraj popolnoma zaobšel?

Najverjetneje nismo bili na prioritetnem seznamu tarč. Tistim podjetjem, ki so bila okužena, se je to zgodilo bolj kot ne naključno, okužba računalnikov v Revozu pa je verjetno posledica povezanosti z okuženo Renaultovo centralo v Franciji. Ko je okužba prodrla v notranje omrežje, se je namreč neomejeno širila po vseh računalniki v omrežju. Slovenija je imela kanček sreče, hkrati pa je tudi res, da pri nas ni toliko očitno ranljivih sistemov in tudi internetni ponudniki v različnih konfiguracijah onemogočajo povezave do domačih računalnikov, ki jih je ta virus uporabljal. Naša majhnost nas včasih tudi rešuje. Obstaja pa možnost, da je bilo v Sloveniji okuženih več podjetij, ki pa tega niso želela ali hotela javno priznati. V Sloveniji podjetja niso dolžna poročati o vdorih. Če danes banka izgubi vaše osebne podatke, vam tega sploh ni dolžna sporočiti. Šele prihodnje leto bo začela veljati evropska uredba, ki bo poskrbela za to, da bodo morale organizacije in institucije o incidentih s področja varnosti osebnih podatkov obveščati pristojne organe.

Okuženih osebnih računalnikov je bilo sorazmerno malo. Zakaj?

Predvsem zato, ker je osebnih računalnikov s tako starimi operacijskimi sistemi razmeroma malo, poleg tega pa Microsoft uporabnike novejših različic redno gnjavi z nameščanjem popravkov, da se prej ali slej vdajo in kliknejo »namesti posodobitve«. Tudi v Revozu je bila po doslej znanih podatkih prizadeta izključno proizvodna platforma, računalniki v računovodstvu ali v upravi podjetja so bili zaščiteni.

Kaj se je pravzaprav zgodilo? Kaj je bilo ključno pri napadu?

Napadalci so v bistvu izkoristili varnostno pomanjkljivost v operacijskem sistemu Windows, ki je izvirala iz dokumentov ameriške Agencije za domovinsko varnost (NSA), ki jih je razkrila hekerska skupina Shadow Brokers. Ključno orodje za napad so razvili ameriški obveščevalci, pred približno mesecem dni pa je ta skupina to programsko kodo prosto objavila na internetu in s tem dala kriminalcem in hekerjem močno orodje, ki ga je bilo mogoče enostavno uporabiti. Ta ista skupina je tudi napovedala, da bodo junija objavili še nekaj podobnih stvari. Microsoft je sicer za to ranljivost že pred dvema mesecema izdal popravek, ki pa za starejše različice operacijskega sistema, na primer za Windows XP, ni bil dostopen. V informacijsko-varnostnih krogih smo se že nekaj časa spraševali, kdaj se bo takšen napad zgodil. Programska orožarna NSA je namreč velik zaklad za vsakega napadalca. Javno objavljanje tajnih podatkov je sicer lahko hvale vredno, lahko pa te podatke kdo uporabi tudi za povzročanje škode. V tem primeru so ga uporabili na zelo kreativen in hkrati zelo enostaven način. Virus ni bil posebej prefinjen, napreden, je pa zelo dobro opravljal nalogo, za katero je bil ustvarjen.

Predvsem v nedeljo so se vrstila opozorila o morebitnem novem valu okužb v ponedeljek, vendar se to ni zgodilo. Kako to?

V prvi vrsti smo se ponedeljka bali zato, ker se je napad začel v petek popoldne, ko je veliko ljudi že odšlo iz služb domov. V ponedeljek pa bi lahko prižgali službene računalnike in bi jih na zaslonih pričakalo zloglasno sporočilo. Na srečo se to ni zgodilo, verjetno tudi zato, ker so skrbniki omrežij konec tedna poskrbeli za vse potrebne varnostne nadgradnje. Je pa samo vprašanje časa, kdaj bo nekoliko spremenjen virus spet zaokrožil po internetu.

»V Sloveniji podjetja niso dolžna poročati o vdorih. Če danes banka izgubi vaše osebne podatke, vam tega sploh ni dolžna sporočiti.«

Pomembno vlogo pri zaustavljanju širjenja virusa naj bi imel 22-letni britanski raziskovalec zlonamernih programov. Kako mu je uspelo?

Ob analizi škodljive kode je ugotovil, da ta koda ves čas kliče na neki strežnik, na neko domeno. Takoj je preveril, ali ta domena sploh obstaja. Ker ni obstajala, jo je takoj registriral in aktiviral. Verjetno se takrat še ni zavedal, kaj je s tem naredil. Dejansko pa je našel stikalo za izklop virusa. Izkazalo se je namreč, da dokler domena ni bila registrirana in aktivna, klic virusa ni imel nobenega vpliva na širjenje. Ko pa je virus preverjal domeno in našel, da je aktivna na nekem naslovu, se je nehal širiti. Pri tem je imel kar nekaj sreče. Vsi mi pa tudi. Vendar to ni jamstvo, da jo bomo imeli tudi naslednjič.

Kaj vemo o napadalcih? Nekatere sledi naj bi vodile v Severno Korejo.

Trenutno o napadalcih ne vemo praktično nič, z izjemno naslova njihove bitcoin denarnice, kamor se stekajo odkupnine tistih lastnikov okuženih računalnikov, ki so se odločili plačati odkupnino. Pa tudi tega bo zelo težko povezati s komerkoli konkretnim. Iskanje krivca ostaja na ravni špekulacij. Težko bi trdil, da za napadom stoji kakšna država, sploh glede na široko geografsko razpršenost okužb. Eden ali dva človeka, gledano s tehničnega vidika, sta za izvedbo takega napada čisto dovolj.

Kakšne ranljivosti je razkril napad?

V prvi vrsti je pokazal na veliko ranljivost informacijskih sistemov v zdravstvu. Tam namreč nekaterih operacijskih sistemov po pravilu ne nadgrajujejo sproti, saj bi vsaka sprememba sistema pomenila izgubo garancije za vse medicinske naprave, ki v tem sistemu delujejo. Proizvajalci so pripravljeni jamčiti samo za delovanje v tistem sistemu, za katerega je bila oprema zasnovana. Enako je tudi s številnimi računalniškimi sistemi v industrijski proizvodnji.

Zakaj to dopuščamo?

Največkrat se problem pojavi pri naročnikih, ki ne razmišljajo toliko vnaprej in ne postavijo strožjih pogojev za vzdrževanje sistema. Seveda pa to za seboj potegne tudi višjo ceno. Informacijska varnost je bila sicer ob krizi v sektorju informacijske tehnologije eno od področij, na katerem se je iskalo največ prihrankov. In tudi ko se je sektor postavil na noge, je področje ostalo precej zanemarjeno in pozabljeno. Dejansko so incidenti tisti, ki odgovorne spodbujajo k večjim vlaganjem v varnost, kar pa po mojem mnenju ni pravi način za izboljšanje informacijske varnosti v splošnem.

Za vaš posel je torej najnovejši napad pozitivna novica.

To sem v minulih dneh pogosto poslušal. Res je, tovrstni incidenti zvišujejo povpraševanje po naših storitvah. A hkrati me to tudi žalosti. Veliko raje bi videl, da ne bi bilo treba gasiti požarov in da bi se ljudje grožnje zavedali vnaprej. Zdaj bodo nekaj časa pozorni, nato pa bodo na vse skupaj spet pozabili. Do novega incidenta. In tako naprej. In to ni prav.

Splošno prepričanje je, da se bo treba na tovrstne kibernetske napade navaditi. Jih bo res vedno več?

Ne upam si napo vedati, ali bo v pri -hodnosti incidentov vse več. Definitivno se površina napadov veča, saj se vedno več naprav priklaplja na internet in tudi v domača omrežja. Me pa resno skrbi razkritje prefinjenih sposobnosti NSA, da neopazno dostopa do računalniških sistemov. Mimogrede, če bo obveljalo besedilo predloga novega zakona o Sovi, bi tudi slovenski obveščevalci lahko počeli enako. Tukaj bi se morali resno vprašati, do katere stopnje smo pripravljeni žrtvovati zasebnost na račun varnosti.

Kako lahko NSA sploh izgubi takšno stvar, kot je digitalno vohunsko orožje? Predsednik uprave Microsofta je to primerjal z izgubo nekaj raket tomahawk.

Dogaja se tudi največjim. Najverjetneje gre za podoben scenarij, kot smo ga že videli z Edwardom Snowdnom in Bradleyjem Manningom. Gre za velik ustroj in vsake toliko se najdejo ljudje, ki se jim zazdi, da so obveščevalne aktivnosti prestopile mejo, ki se jim zdi še sprejemljiva. V sodobnem digitalnem svetu je skrivnosti zelo težko zadržati skrite. Napad je pravzaprav nekoliko zasenčil spoznanje, kakšen kibernetski arzenal poseduje NSA. In prepričani smo lahko, da ga tudi izkorišča. Številni računalniški sistemi so bili že pred tem napadom okuženi z njihovo programsko kodo, a tega dolgo časa ni sploh nihče opazil. Ko kdo odkrije ranljivost v sistemu, lahko nanjo opozori ali pa jo izkoristi. Na črnem trgu obstaja precej odkritih ranljivosti, ki so za določeno ceno na voljo komurkoli. In zavedati se je treba, da so zneski na črnem trgu bistveno višji kot na legalnem. Raziskovalec, ki bi odkril ranljivost v Applovem operacijskem sistemu iOS, bi si lahko na črnem trgu zanjo obetal več kot milijon dolarjev. Če jo sporoči Applu, ne bo dobil niti približno toliko.

Vi se ukvarjate prav z iskanjem takšnih ranljivosti. Kaj naredite, če na kakšno naletite po naključju?

Tisti, ki se ukvarjamo s področjem informacijske varnosti, po internetu brskamo malo drugače od navadnih ljudi. In včasih nam kakšna pomanjkljivost kar sama skoči pred oči. Velikokrat se najdejo stranska vrata v različnih aplikacijah, ki omogočajo dostop brez uporabniškega imena in gesla. Občasno naletimo na kup nezaščitenih osebnih podatkov. Odzivi so različni. Nekateri se zahvalijo, nekateri pa se postavijo v obrambno pozicijo in nas obtožijo potencialnega vdora v sistem. Vendar je slednjih izjemno malo.

To področje je bilo pri nas veliko let zelo slabo urejeno. Šele v primeru nedavno odkrite ranljivosti na spletni strani AJPES-a smo se začeli pogovarjati o tem, kaj pomeni odgovorno razkritje. Da ni treba preganjati tistega, ki na ranljivost opozori, ampak so morda odgovornejši tisti, ki niso dovolj skrbno opravili svojega dela in poskrbeli za varnost. Je pa dobro, da se je o tem razvila širša debata, saj bodo nekatere stvari v prihodnje, upam, da, bolj jasne.

»Težko bi trdil, da za napadom stoji kakšna država, sploh glede na široko geografsko razpršenost okužb. Eden ali dva človeka sta za izvedbo takega napada čisto dovolj.«

Kakšna je pri aktualnem napadu vloga Microsofta kot razvijalca operacijskega sistema Windows?

Microsoft je s tem, ko je prenehal zagotavljati podporo za Windows XP, napadalcem omogočil lahek dostop do računalnikov s tem operacijskim sistemov, je pa nato zelo hitro, le en dan po začetku napada, omogočil brezplačno nadgradnjo tudi zanj. Mislim, da je to zelo odgovorno dejanje.

Pa ni bilo neodgovorno to, da so kljub znani ranljivosti popravek izdali šele, ko je bilo za številne že prepozno? Za novejše sisteme so popravke objavili že marca.

Vprašanje, ali so se takrat zavedali razsežnosti potencialne grožnje. Je pa seveda res, da je Microsoftov prvi cilj čim več ljudi spraviti na svoj najnovejši operacijski sistem, zato je ukinjanje podpore na neki način tudi priročen pritisk na uporabnike.

Je možno, da je Microsoft to ranljivost v sistemu pustil zanalašč, da bi NSA omogočil skrivni dostop?

O tem žal lahko le ugibamo in razvijamo teorije zarote. Mogoče pa bomo izvedeli kdaj od kakšnega novega žvižgača, ki bo priskrbel tudi te podatke.

Internet je poln zbadljivih prikazov dejstva, da je bil tarča napada zgolj operacijski sistem Windows. So konkurenčni sistemi, na primer iOS ali Linux, res varnejši?

Sistem Windows je predvsem najbolj zanimiv, ker je pač najbolj razširjen. Microsoft je v zadnjih desetih letih naredil ogromno na področju varnosti. Luknje bodo vedno obstajale. Povsem varne kode ni mogoče napisati. Tega ne zmore niti umetna inteligenca.

So odprtokodni programi in operacijski sistemi, za katere skrbi skupnost uporabnikov, varnejša izbira?

V preteklosti se je že pokazalo, da lahko tudi v odprtokodni programski opremi ranljivosti živijo po več let. Problem odprtokodnih rešitev je v tem, da rešitve redko kdo revidira, saj vse temelji na prostovoljstvu. Velikokrat pomanjkljivosti popravijo šele po kakšnem incidentu. Težko bi trdil, da je Microsoft pri tem kaj slabši. Poleg tega pa se je treba zavedati, da lahko pri odprtokodnih rešitvah popravek predlaga kdorkoli. Inženirji NSA redno prispevajo popravke za odprtokodne programe. S takšnim in drugačnim namenom.

Kaj pa naši mobilni telefoni? Kako varen je na primer operacijski sistem Android pred tovrstnimi napadi?

Telefoni imajo to prednost, da niso neposredno dostopni z interneta. Vsaj za zdaj. Operaterji delujejo kot posredniki in tako tudi ščitijo uporabnike. Tudi v operacijskem sistemu Android obstajajo pomanjkljivosti, doslej pa še nismo zaznali nobenega črva, ki bi se razširil tako množično in tako bliskovito. Verjamem pa, da ima NSA na zalogi tudi kakšno orodje za ta namen.

Kako gledate na slovenska prizadevanja za vzpostavitev državne kibernetske obrambe?

Vesel sem, da je Slovenija lani sprejela Strategijo kibernetske varnosti. Tudi gospodarska zbornica je dobila sekcijo za kibernetsko varnost. Seveda pa je nekaj strategija, drugo pa izvedba. Brez ljudi in denarja bo strategija le seznam pobožnih želja in velikih načrtov. Smo pa tudi zasebniki državi pripravljeni pro bono pomagati. Čakamo na povabilo. Kibernetska varnost res ni področje, kjer bi vsak lahko obdeloval le svoj vrtiček in le s pravo koordinacijo ter povezovanjem ključnih oseb na tem področju se lahko zgodijo premiki. Trenutno slovensko »NSA« vodi generalmajor Dobran Božič. Tudi ameriško NSA so vodili generali. Mogoče je to dober štart tudi za slovensko kiber sceno.

»Napad je pravzaprav nekoliko zasenčil spoznanje, kakšen kibernetski arzenal poseduje NSA. In prepričani smo lahko, da ga tudi izkorišča.«

Pa imamo sploh dovolj strokovnjakov s tega področja?

Kadrov tako v Sloveniji kot v svetu primanjkuje. Na nobeni od slovenskih fakultet ni programa, ki bi izobrazil ustrezne profile strokovnjakov, ki bi bili recimo sposobni začeti delati v podjetju, kot ga vodim. To je zelo velika težava. V mojem podjetju bi v tem trenutku takoj zaposlili še enega človeka, a ga preprosto ne najdemo. Naša edina možnost je, da si sami izobrazimo kader. Pogrešam vložek izobraževalnega sistema.

Aktualni napad je najhuje prizadel britanski javni zdravstveni sistem. Koliko je po vašem mnenju ranljiv slovenski zdravstveni sistem?

V vseh desetih letih, kolikor se ukvarjam s tem poslom, nisem še imel priložnosti spoznati zdravstvenega informacijskega sistema. Doslej nam še niso dali možnosti, da bi se razgledali. Dobili smo sicer nekaj povpraševanj, v katerih pa so bili postavljeni smešno kratki roki za izvedbo. Kot če bi mehaniku rekli, naj vam avto pregleda v petih minutah. Ker kot uporabnik zdravstvenih storitev zadevo opazujem od zunaj, pa lahko rečem, da bi bilo v sistem precej enostavno namestiti škodljivo kodo. Če dobim rentgensko sliko na zgoščenki in to zgoščenko malo »predelam«, jo bo sestra brez obotavljanja vstavila v računalnik in spustila črva v interno omrežje. Ravno včeraj sem opazil prispevek na družbenem omrežju s fotografijo iz mariborskega kliničnega centra, na kateri usmerjevalnik za brezžični internet kar visi s stene na hodniku. Sicer ne moremo govoriti o varnostni pomanjkljivosti, vendar pa mogoče daje slutiti o stanju na tem področju.

Veste za kakšen varnostni incident?

Pred mesecem dni so bili prav zdravstveni domovi po Sloveniji tarča usmerjenega »phishing« napada z okuženo elektronsko pošto. Sporočilo je bilo napisano v lepi slovenščini, brez uporabe Googlovega prevajalnika, kar kaže na domnevno vpletenost slovenskega državljana. Na videz je bilo sporočilo poslano z ministrstva za zdravje. Sporočalo je, da jih bo prihodnji teden obiskala zdravstvena ministrica Milojka Kolar Celarc. Ob kliku na priponko je virus zakodiral podatke in zahteval odkupnino. Koliko računalnikov je bilo okuženih, zaradi neobveznega poročanja še danes ne vemo.