U nedelji za nama, dok je korona virus vladao na zemlji, rensomver virusi napali su nas u virtuelnom svetu. Pažnju javnosti najviše je privukao slučaj Novog Sada u kom je ni manje ni više nego javno preduzeće Informatika zapatilo jedan ovakav, nazvan „Pwndlocker“, a virus i njegove posledice potom su se prenele i na deo javne uprave.
Rensomver je kovanica od engleskog „rensom“ (ransome) što znači otkup i „softver“. U pitanju su maliciozni virusni programi koji napadaju ranjive i nedovoljno zaštićene sisteme, enkriptuju (zaključaju) važne baze podataka i druge fajlove. Potom autori virusa od vlasnika ili upravljača traže novac kako bi ih otključali.
Kasperski Lab, najveća ruska kompanija za bezbednost na internetu, i Hornetsecurity, nemačka kompanija koja se bavi zaštitom klaud servera, proglasili su 2019. za godinu rensomvera. Kao i mnogo toga, ovaj trend u Srbiju stigao je sa manjim zakašnjenjem, ali samo ako govorimo o slučajevima poznatim javnosti.
Prvi veći ovakav slučaj odnosi se na rensomver „Pwndlocker“ (Oundloker) koji je glavni osumnjičeni da je onesposobio JKP Informatika i deo javne uprave, a slučaj je u javnost dospeo zahvaljujući izveštavanju portala 021.rs.
Gradonačelnik Novog Sada Miloš Vučević naveo je za RTS da je „blokiran ceo informacioni sistem Novog Sada“ i da on ovo smatra „savremenim vidom terorizma“.
„Lični podaci građana apsolutno nisu ugroženi jer se nalaze na drugoj softverskoj platformi. Naš program je bio pod zaštitom poznatog internacionalnog antivirus softvera programa koji je kupljen, koji je licenciran, tako da nismo mi držali otvoren sistem“, dodao je Vučević. Naknadno iz drugih medija saznajemo da je u pitanju softverska kompanija Sofos (Sophos), međutim do zaključenja ovog broja „Vremena“ Jerg Šindler, predstavnik ove kompanije za komunikaciju sa medijima za centralnu i istočnu Evropu, nije odgovorio na naš upit od 4. marta.
Kako „Vreme“ saznaje, poslednju javnu nabavku za obnavljanje vremenski ograničene antivirusne licence, novosadska Informatika sprovela je krajem 2016. godine, dva meseca pre isteka prethodne jednogodišnje licence.
NEMAMO BITKOINE U BUDŽETU
„Tražili su 50 bitkoina, posle je to palo na 20 bitkoina. Nismo naravno ništa platili. Oni su upali u naš sistem, pretpostavka je putem mejla, praktično su zaključali naše podatke, uzeli naš bekap i onda se javili kao klasični ucenjivači“, otkrio je Vučević za RTS i dodao: „Nećemo plaćati, mi ćemo nove podatke uneti, ne znam ni kako bismo plaćali, kako bismo to pravdali u budžetu. Nije to realno da mi plaćamo.“
Maja Mekić, stručnjakinja za IT bezbednost i koosnivačica novosadskog hakerspejsa Tilda centar, takođe je pretpostavila da je do zaraze sistema došlo upravo putem mejla: „Veoma je bitno u čitavoj priči da je neko taj rensomver softver morao da pokrene – neko je morao kliknuti. Znači, postoji odgovorna osoba imenom i prezimenom koja je pokrenula rensomver. Jako je veliki problem u čitavoj priči što mi kao javnost nismo dobili nikakve informacije. Oni su pomenuli da je neko ‘kliknuo na atačment i pokrenuo virus’, ali nismo dobili informacije kako je taj mejl izgledao, da li je bio ciljani organizovani napad, pa je napadač potpisao nekog šefa kao ‘šaljem ti izveštaj, pogledaj’ ili je neko na radnom mestu kliknuo na link za besplatne patike ili na neki porno sadržaj.“
Radnicima su kasnile plate, gradske bezbednosne i saobraćajne kamere nisu radile, nije funkcionisao sistem za objedinjenu naplatu, deo matičarske službe nije radio… Novinari portala 021.rs navode da „u Gradskoj kući ne žele da kažu šta je sve nestalo i u kojoj količini, šta je sa dugovanjima građana i pravnih lica za komunalne usluge, sa poreskim prijavama, građevinskim dozvolama“.
Da su podaci zaista obrisani, što je verovatno usledilo nakon direktnog odbijanja da plate, Vučević je za 021.rs potvrdio: „Bez svega smo ostali. Nije mogla da se radi objedinjena naplata, nisu mogle da se izdaju građevinske dozvole, prestao je da radi sistem video-nadzora i sve je stalo. Ugasili su sve ono što smo radili kroz digitalizaciju i kroz informacione tehnologije.“
I ovaj deo Maja Mekić iz Tilda centra smatra lošom procenom: „Njima je uleteo rensomver, zaključao je stotine hiljada podataka i oni su uradili užasno glupu stvar – rekli su dva-tri dana kasnije ‘nećemo da platimo’, i pošto ne verujem da su sami našli ključ i otključali podatke, očekivano je da će im obrisati podatke. Ono što su mogli da urade je da dobiju na vremenu pregovarajući. Da kažu ‘sačekajte nas da pronađemo način da legalno nabavimo bitkoine’, ‘hoćemo, samo nam treba vremena da pravno regulišemo, znate, mi smo velika institucija’. Za to vreme, oni su mogli da pozovu tim koji bi uradio forenziku napada. I zaista postoje i u Novom Sadu i u Beogradu fantastični ljudi koji mogu relativno brzo da urade tu vrstu forenzike. Da vide da li postoje rupe, da li može da se otključa, šta sve treba da se zakrpi. Novi Sad je uradio najgluplju moguću stvar. Očekujem da su podaci obrisani. Forenziku nisam čula da je iko radio, iako savršeno kompetentni CERT centri u Srbiji postoje (CERT – computer emergency response team, timovi za hitno reagovanje u slučajevima računarskih napada i nezgoda).
„Oni sada vraćaju peške podatke u sistem koji je možda i dalje ranjiv, rade ogroman posao ponovnog unošenja podataka iz papira ili iz drugih sistema, a verovatno se ništa nije zakrpilo. Ne zna se kako se rensomver pokrenuo, postoji mogućnost da je taj sistem i dalje ranjiv, da za 6 meseci neko upadne ponovo. Možda ne neki stranac, možda neko sa Balkana, samo zato što je shvatio koliko je sistem ranjiv.“
Bitno je da znamo da li postoji pristup u sistemu ili u ljudskom faktoru. Da li npr. ljudi nisu dovoljno obučeni za to šta sve može da bude virus i kako sve može da se upadne u sistem. A to što je on uspeo iz Informatike da se proširi u druge sisteme javne uprave govori nam da verovatno nisu izolovali svaki sistem ponaosob, da serveri nisu međusobno razdvojeni.
Prema saznanjima „Vremena“, u ovom talasu je do sada u Srbiji pogođena najmanje jedna velika programerska firma koja je problem rešila samostalno i jedna mala porodična firma koja je platila otkup; jedan manji lanac pekara je, kao što je često slučaj, formatirao sve svoje računare, postavio bolje sisteme, bolju zaštitu i povukao poslednji knjigovodstveni bekap sa klauda, a targetirano je i nekoliko slobodnih umetnika (fotografa i snimatelja) koji su problem rešili (ili nisu) u saradnji sa firmama koje se bave IT bezbednošću. Na internetu postoje „otključavači“, gotovi generisani ključevi i čitave baze za otključavanje rensomvera koji su već „provaljeni“, ako se već niste „vakcinisali“, redovnim apdejtima sistema i antivirusnih programa.
„Ono što mi još uvek nemamo od informacija jeste da li su kompromitovani na primer korisnički nalozi za logovanje korisnika u sistem Informatike. Jer ako je ovakvo stanje, male su šanse da je baš to bilo enkriptovano. Kada bi arhitektura sistema od danas bila u redu, kada bi sve rupe bile zakrpljene, kada bi svi serveri, antivirusi, brauzeri bili apdejtovani, i dalje tu ima jako puno dnevnog posla za nekoliko jako odgovornih osoba, da bejbisituju te servere u nekom narednom rizičnom periodu“, zaključila je Mekić.
Za stare operativne sisteme na serverima i na personalnim računarima, nema rešenja. Za npr. Vindouz XP ili 7, Majkrosoft je obustavio korisničku podršku. Stručnjaci predlažu prelazak javne uprave na Linuks operativne sisteme, barem kada su serveri u pitanju, ali skeptični su pošto više njih navodi za „Vreme“: „Naša država ima dil sa Majkrosoftom i oni imaju monopol.“
Nakon napada koji se prema navodima gradonačelnika Miloša Vučevića desio 1. marta u večernjim časovima, do sada su Ustanova studentskog standarda Studentski centar Novi Sad (studentski domovi) 5. marta i JP Urbanizam 6. marta raspisali javne nabavke baš za produženje licenci za Sofos antivirus, a 10. marta su u razmaku od 3 sata isto uradili i Ministarstvo za rad, Zavod za intelektualnu svojinu i Gradska uprava grada Pančeva.
Kada je u pitanju „Pwndlocker“ koji je držao Novi Sad kao taoca, u međuvremenu je kompanija Emsisoft sa Novog Zelanda izradila „otključavač“, i to jeste mogao biti jedan od načina legalnog i jeftinijeg otključavanja svih podataka za vrlo kratko vreme.
Prema podacima nemačke kompanije Hornetsecurity, Američki rad Atlanta imao je gubitke od 2,6 miliona američkih dolara jer nije platio otkup od 50.000 dolara, grad Baltimor je imao gubitke od 18,2 miliona američkih dolara jer nisu platili otkup od 100.000 dolara. Američko načelo „nema pregovaranja sa teroristima“ skupo ih je koštalo u oba ova slučaja, a procene stručnjaka su da su razni nivoi samouprave 2/3 svih žrtava rensomver napada (prosto imaju velike i vredne baze, a i veliki broj korisnika, pa su i velike mete). Nakon napada na samoupravu, često bi usledili napadi na univerzitete, fakultete i srednje škole. Ovi napadi delimično su olakšani posedovanjem ličnih podataka preuzetih od lokalnih samouprava, pa je generatorima šifara lakše da „pogode“ nečiju lozinku, ako ona recimo sadrži datum rođenja.
Teško je proceniti šta bi se desilo da se sutra sa rensomverom suoče dečija bolnica, centar za kontrolu leta ili Đerdap, ali gotovo je izvesno da se naša administracija ne bi snašla i da nije spremna na to. Iako formalno imamo CERT tim RATEL a (Vladine Regulatorne agencije za elektronske komunikacije i poštanske usluge) koji je formiran baš za ovakve situacije, nismo čuli da je on reagovao.
Skoro je izvesno da je bilo znatno više slučajeva nego što smo čuli, ali narod ćuti o tome. Ili se stide ili ne žele da otkrivaju da su (bili) ranjivi. Loša strana toga što se malo i retko o tome govori jeste i to da nismo osvešćeni, nismo edukovani i nismo spremni.
Za tržište bitkoina potrebno je da neko kupuje bitkoine. Kada cena bitkoina pada, učestalost rensomvera se povećava. Ako neko kupi bitkoin po nižoj ceni i pošalje neki broj rensomver napada, ljudi će kupovati bitkoin i cena će mu skočiti. Napadač proda bitkoin po višoj ceni, a dok postoji potražnja – možda upravo nekoj od svojih žrtava.