wannacry / wannacrypt ransomware šta se to desilo? · wannacry / wannacrypt ransomware šta se to...

48 ERP magazine

WannaCry / WannaCrypt ransomware

šta se to desilo? (zaštitite vaš računar)

WannaCry / WannaCrypt ransomware šta se to desilo? (zaštitite vaš računar)

…virus je zarazio računare u 74 zemlje širom Azije i Evrope. Pored Britanije, najteže su pogođene Rusija i Španija. Javljeno je da su pogođeni i američki Fedex, nemačka železnica, pojedina ruska ministarstva i Sberbanka. Saopštenjem se oglasila i britanska premijerka Tereza Mej…

49 ERP magazine

Ovo je definitivno jedan od gorih kompjuterski na-pada u istoriji. U proteklih desetak godina je bilo na hiljade napada raznoraznih računarskih crva (eng. worm) koji su iskorišćavali propuste u operativnim sistemima, šireći zarazu i na Internetu i u lokalnim računarskim mrežama. Ono što WannaCry / Wan-naCrypt izdvaja od prethodnih vrsta malware-a je to što se uz širenje zaraze vrši i enkripcija fajlova na zaraženom računaru, što ovaj napad čini tako strašnim. Budući da su svi mainstream mediji, pa čak i oni koji nikada ne objavljuju vesti iz IT sveta, objavljivali vesti koje se tiču ovoga, vrlo pažljivo sam ispratio ovaj napad i odlučio da napravim osvrt na WannaCry / WannaCrypt ransomware. Pokušaće-mo da dešavanju o ovom napadu sumiramo na os-novu informacija koje su do sada (tekst pišem 17. maja uveče) dostupne…

jedan od gorih kompjuterski

napada u istoriji

Poruka koja se prikazuje nakon što WannaCrypt enkriptuje fajlove


fotografija preuzeta sa: freeimages.com

50 ERP magazine

Čitavu priču sam počeo da pratim u petak 12.05.2017. kada sam video da je britanski In-dependent objavio vest da je sajber-napad napravio haos u NHS-u (nacionalni zdravstve-ni sistem Velike Britanije). Naime, kako je ovaj list preneo, ransomware po imenu “Wanna Decryptor” je pogodio desetine bolnica širom Engleske i Škotske, što je uslovilo preus-meravanje pacijenta u druge oblasti. Do tog trenutka, virus je zarazio računare u 74 zem-lje širom Azije i Evrope. Pored Britanije, najteže su pogođene Rusija i Španija. Javljeno je da su pogođeni i američki Fedex, nemačka železnica, pojedina ruska ministarstva i Sber-banka. Saopštenjem se oglasila i britanska premijerka Tereza Mej, rekavši kako napad nije usmeren na NHS, već da je internacionalnih razmera i da je pogođeno više zemalja i organizacija. Što se NHS-a tiče, napad je prouzrokovao odlaganje pregleda i intervencija, kao i preusmeravanje pacijenata u bolnice koje nisu bile pogođene napadom.

Zaražen računar. Izvor: www.dw.com

Ne želeći da ulazimo u razmirice britanskih političkih stranaka, moramo preneti i informacije koje su ob-javljene na društvenim mrežama. Naime, pojavile su se informacija da je vlada Ujedinjenog kraljevst-va odlučila da prekine ugovor o produženoj podrš-ci za Windows XP i tako dozvolila da neke od vla-dinih kompjutera pokreće operativni sistem koji je zastareo i podložan napadima. Istina je, po mom tumačenju, drugačija. Prema informacijama koje su mi bile dostupne, desilo se upravo suprotno. Podrš-ka za Windows XP je istekla 8. aprila 2014. godine, a britanska vlada je sa kompanijom Microsoft imala ugovor o produženoj podršci za Windows XP i on je trajao do aprila 2015. - tačno godinu dana od prestanke besplatne podrške koju Microsoft daje za Windows XP, o čemu je blagovremeno obavestila NHS i dala im rok od godinu dana za upgrade.

Pitanje zašto upgrade nije urađen ćemo ostaviti ne-kom drugome da analizira. Za nas je bitno da ovo bude primer kako ne treba raditi – definitivno ne treba dozvoliti da operativni sistem koji nije podržan pokreće računare u ustanovi za koju ste odgovor-ni. Svestan sam da izdaci za softver nisu mali i da, u zavisnosti od broja korisnika i računara, to može biti prilično visok iznos. Ali treba biti svestan i rizika koji preuzimate na sebe ukoliko se oglušite o savete proizvođača softvera i ne pređete na verziju koja je podržana.


51 ERP magazine

definitivno ne treba dozvoliti da operativni sistem koji nije podržan pokreće računare u ustanovi za koju ste odgovorni. Svestan sam da izdaci za softver nisu mali i da, u zavisnosti od broja korisnika i računara, to može biti prilično visok iznos. Ali treba biti svestan i rizika koji preuzimate na sebe ukoliko se oglušite o savete proizvođača softvera

Petak veče je bio jako stresan period za ljude u IT sektorima širom Evrope. Vesti su se nizale kao na traci, čak i u mainstream medijima, što me je učvrs-tilo u uverenju da je stvar ozbiljna, čim su i oni poče-li da u realnom vremenu izveštaju o nekoj IT temi.

Kada su ovakvi incidenti u pitanju, brza i pravovre-mena reakcija je od izuzetne važnosti. Ovom prili-kom bih javno pohvalio CERT Republike Srpske, kao jednu od retkih ustanova u regionu koja je jako brzo reagovala i izdala saopštenje o WannaCry / Wanna-Crypt napadu 12.05.2017. u 23:06 uveče! Momci i devojke, svaka čast!

Saopštenjima su brzo reagovala i ministarstva un-utrašnjih poslova zemalja u regionu i posavetovala građane da budu na oprezu i kako da se zaštite.

Mapa najviše pogođenih zemalja Izvor: Avast Threat Labs


52 ERP magazine

Prva saznanja, početak problema i njegovo rešavanjeNedugo nakon otkrića potencijalnog propusta u SMB protokolu i objave upozorenja, Microsoft je u martu mesecu izdao „zakrpu“ (MS17-010) za pro-pust uočen u SMBv1 protokolu. Tom prilikom ju je označio kao „Critical“ i preporučio korisnicima da je instaliraju. To nije ozbiljno shvaćeno od strane nekih korisnika, ali izgleda da jeste od strane napadača. Naime, za sada nepoznata lica su napisala ransom-ware koji kriptuje fajlove zaraženom računaru i traži 300 USD za njihovo otključavanje (naravno u Bitcoin valuti), ali koji pored toga iskorišćava i ran-jivost SMBv1 protokola i skenira mrežu u potrazi za računarima koji su ranjivi na napad. Ranjivi računari bi automatski bili zaraženi, fajlovi na njima kripto-vani, a napad bi se nastavio dalje… I to je ono što je kod ovog napada strašno. Ta brzina kojom se zaraza širila.

Ovde moram pohvaliti i reakciju kompanije Micro-soft, tj. brzinu koju su pokazali pri samom početku širenja zaraze. Naime, Microsoft je već 12.05.2017. objavio

( h t t p s : // b l o g s . t e c h n e t . m i c r o s o f t . c o m /msrc/2017/05/12/customer-guidance-for-wanna-crypt-attacks/) načine na koji se ugroženi računari mogu zaštititi (ukoliko već nisu). Koliko je Microsoft ozbiljno pristupio rešenju problema, govori i po-datak da su izdali patch za operativne sisteme koji zbog zastarelosti veće duže vreme nisu podržani, kao što su Windows XP i Windows Server 2003… Ovo je svakako izuzetak od uobičajene prakse i po-kazuje koliko je ovaj napad opasan. U normalnim okolnostima, savet bi bio prelazak na neku od po-držanih verzija Windows-a.

WannaCry / WannaCrypt – kako je sve počelo?Početkom godine je hakerska grupa „Shadow Brokers“ objavi-la da poseduje podatke o potencijalnom propustu u SMB pro-tokolu, nakon čega su usledila upozorenja security stručnjaka. Nedugo potom, US-cert (United States Computer Emergen-cy Readiness Team) je objavio upozorenje o ovom propustu i preporučio korisnicima da isključe SMBv1 protokol i blokira-ju određene portove na firewall-ovima. Naravno, u saopštenju

se nigde eksplicitno ne pominje „Shadow Brokers“ grupa, ali se pretpostavl-ja da su upravo oni uzrok…

Microsoft je u martu mesecu izdao „zakrpu“ (MS17-010) za propust uočen u SMBv1 protokolu. Tom prilikom ju je označio kao „Critical“ i pre-poručio korisnicima da je in-staliraju

ransomware koji kriptuje fajlove

zaraženom računaru i traži 300

USD za njihovo otključavanje


53 ERP magazine

Kako je zaustavljen?Security stručnjak pod pseudonimom MalwareTech je analizirajući kod virusa primetio da je ugrađen tzv. kill-switch koji, ukoliko se aktivira, sprečava širenje zaraze. To je zapravo domen sasvim besmis-lenog imena, čije postojanje virus proverava pre in-fekcije sistema – ukoliko je domen dostupan, sistem neće biti zaražen, fajlovi neće biti enkriptovani, niti će se virus proširiti na ostatak mreže. MalwareTech je brže-bolje registrovao taj domen i nastavio sa daljim testovima. Ono što bih želeo da napomen-em je da čovek nije slučajno registrovao taj domen, kako su pojedini mediji preneli, već mu je to posao – registrovao je do sada na hiljade takvih domena u cilju obaranja botnet mreža. Interesantna stvar koje tog trenutka MalwareTech nije bio svestan je da je samom registracijom domena “ubio” virus i sprečio njegovo dalje širenje.

Još interesantnije je da je čovek na ovaj način spas-ao kontinent s one strane okeana – registracija do-mena je zaustavila širenje virusa pre nego što se Amerika probudila. Na žalost, Evropa i Azija su ozbil-jnije pogođeni, ali ne smem ni da zamislim šta bi se desilo da je zaraženo na milione američkih računara i servera. Sada bih pisao o katastrofi mnogo većih razmera.

Analiza funkcionisanja WannaCry ransomware-a. Izvor: technet.microsoft.com

registracija domena je zaustavila širenje virusa pre

nego što se Amerika probudila


54 ERP magazine

Kako se zaštititi?Kada govorimo o ovakvim pretnjama, najbolje je početi od opštih uputstva samim korisnicima, a to su: redovno ažuriranje operativnog sistema i aplik-acija, korišćenje novih verzija antivirusnog softvera i njihovo redovno ažuriranje, redovno backup-ovanje fajlova, pažnja prilikom otvaranja atachmenta u me-jlovima i otvaranja sumnjivih web sajtova…

Što se tiče preporuke IT menadžerima i sistem ad-ministratorima, opšte preporuke mogu biti:

• Posedovanje e-mail security i web security gate-way uređaja u kompaniji

• Dolazno i odlazno e-mail filtriranje

• Blokiranje nesigurnih atachmenta

• Redovno ažuriranje operativnih sistema, aplikacija i antivirusnih programa

• Konstantna edukacija IT osoblja

• Edukacija korisnika o bezbednom korišćenju e-mail-a računarskoj bezbednosti uopšte

• Proaktivnost i praćenje security biltena i vesti iz domena računarske bezbednosti, kako bi se omo-gućilo brzo reagovanje i zaštita IT resursa…

• Praćenje blogova proizvođača antivirus softvera i ostalih sigurnosnih rešenja

• Praćenje biltena regionalnih, evropskih i svetskih CERT ustanova

Kada je reč o konkretnoj WannaCry / WannaCrypt ransomware pretnji, saveti su sledeći:

• Instalacija zakrpa koje je Microsoft na svojoj strani u tekstu „Customer Guidance for WannaCrypt at-tacks“

• Deaktiviranje SMBv1 tamo gde nije neophodan

• Ažuriranje antivirus softvera najnovijim definicija-ma koje prepoznaju ovu pretnju

redovno ažuriranje operativnog sistema i

aplikacija

korišćenje novih verzija antivirusnog softvera

edukacija IT osoblja


55 ERP magazine

Šta znamo do sada?Za razliku od prvih dana, sada imamo mnogo više informacija, kao što možete videti u gore, tako da možemo sumirati ono što do sada znamo:

• sve je počelo u petak

• ransomware je najviše pogodio Veliku Britaniju, Rusiju i Španiju

• Zaraženo je puno računara – fajlovi na njima su kriptovani i ne može im se pristupiti

• “Otmičari” za dekripcioni ključ traže 300 dolara na početku

• Security stručnjak je registrovao domen koji je pronašao u izvornom kodu virusa i na taj način akti-virao kill-switch, što je zaustavilo dalje širenje zaraze

• Amerika je, zahvaljujući različitim vremenskim zonama i relativnom brzom blokiranju napada, znat-no manje pogođena

• Security stručnjaci preporučuju što hitnije ažuriranje operativnih sistema Windows i opreznost prilikom rukovanja sa e-mail attachment-ima

• Zvanični organi, i kod nas u svetu, preporučuju da se ne plaća otkup

• Vlasnici i IT menadžeri onih kompanija čiji su računari zaraženi su u velikoj dilemi – platiti otkup ili sačekati eventualno rešenje problema

Jedna dilema…Policije regije i u svetu savetuju da ne plaćate otkup ukoliko su vaši računari pogođeni ransomware-om. S jedne strane su sasvim u pravu – na taj način se samo podstiče kriminal. S druge strane, postavlja se pitanje šta raditi ukoliko ste vlasnik ili rukovodilac kompanije koja je ozbiljno pogođena ovim napa-dom i ne može da pristupi svojim podacima.

Infografika: WannaCry Ransomware Timeline 2017. Iz-vor: Symantec.com


56 ERP magazine

I za kraj - da li se ovo moglo izbeći?Ovo je logično pitanje koje se nameće. Moglo je biti drugačije. Jako je teško boriti se protiv cyber napada, ali u ovom konkretnom sluča-ju, pričinjena šteta bi bila znatno manja da su operativni sistemi u pogođenim institucijama bili pravovremeno patch¬-ovani. Začuđuje to da su operativni sistemi ostali nezaštićeni čitava dva meseca nakon što je Microsoft objavio „zakrpu“ za propust u SMBv1 protokolu. S druge strane, nepravedno bi bilo svaliti sve na korisnike, a prenebregnuti čin-jenicu da je ova ranjivost u javnost dospela tako što ju je neko ukrao iz američke agencije NSA, a hakerska grupa „Shadow Brokers“ je objavi-la. Preporučio bih vam da pročitate saopštenje pod nazivom „The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack“, u kome Bred Smit (Brad Smith), predsednik kompanije Microsoft, navodi da je ovo postala odgovornost svih nas. U saopštenju se, između ostalog, navodi da se softver uvek mora ažurirati, jer je besmisleno „boriti se protiv problema današnjice, koristeći alate iz prošlosti“ i da je ažuriranje softvera svačija odgovornost i proces koji bi svaki izvršni rukovodilac trebalo da podrži. U saopštenju se osvrnuo i na činjenicu da bezbednosne agencije, kao što su CIA i NSA, gomilaju softverske ranjivosti na koje naiđu, nakon čega one nekako procure u javnost i izazovu štetu. Kako je rekao, kada bi se to uporedilo sa konven-cionalnim naoružanjem, ekvivalentan scenario bi bila krađa Tomahavk projektila i naveo da vlade širom sveta moraju da zauzmu drugačiji pris-tup kada se radi o cyber space-u.

Na kraju, razmislite da li ste spremni da rizikujete svoje podatke, a time i svoje poslovanje time što ne pratite opšte smernice informatičke bez-bednosti…

SrđanStević

Srđan Stević je Microsoft Certified Professional od 2003., a od ove godine i MVP. Dugi niz godina se bavi sistemskom administracijom, pro-jektovanjem, imple-mentacijomi podrškom za Micro-soft tehnologije (Win-dows Server, Active Directory, Exchange Server, Hyper-V, Direct-Access, RDS, Failoverclustering). Zaposlen je kao sistem adminis-trator na Učiteljskom fakultetu Univerziteta u Beogradu. Jedan je od lead-ova ITPro Serbia korisničke grupe i sa kolegama koordinira rad Mi-crosoft zajednice u Srbiji. Predsednik je udruženja “Tarabica IT konferencija“. Bloguje na http://srdjanstevic. wordpress. com.

Moglo je biti drugačije

Jako je teško boriti se protiv cyber napada, ali u ovom konkretnom slučaju, pričinjena šteta bi bila znatno manja da su operativni sistemi u pogođenim institucijama bili pravovremeno patch-ovani. Začuđuje to da su operativni sistemi ostali nezaštićeni čita-va dva meseca nakon što je Microsoft obja-vio „zakrpu“


wannacry / wannacrypt ransomware šta se to desilo? · wannacry / wannacrypt ransomware šta se to...

Documents