Dušan DINGARAC

1. decembar 2020.

Zahvaljujući događaju koji je opisan u antrfileu ovog teksta, iskoristili smo priliku da intervjuišemo Denisa Legeza, koji je viši istraživač bezbednosti u Globalnom timu za istraživanje i analizu (GReAT), u kompaniji Kaspersky.

Denis je u svom izlaganju na pomenutom skupu rekao da se na osnovu podataka koje stručnjaci ove kompanije obrađuju, Srbija može svrstati u red srednje napadanih zemalja. Sličan je nivo rizika u zemljama regiona, pa oko 33 odsto korisnika u Srbiji i Crnoj Gori biva izloženo napadima koji imaju za cilj plasiranje malvera, dok je taj procenat u zemljama Centralne Evrope niži - na primer, u Nemačkoj je oko 30 odsto. Naglasio je da se fišing napadi najčešće koriste da bi hakeri podatke korisnika zarazili malverom. Istakao je da su na meti hakerskih napada najčešće vladine i diplomatske institucije i organizacije, vojska, telekom, ali i banke i obrazovne ustanove. U Srbiji i regionu aktivno napadaju globalno poznate hakerske grupe CactusPete i Sofacy, koje koriste vrlo različite metode da bi naštetile organizacijama i pojedincima.

SK:Kako sada živimo u covid vremenu, navike ljudi su se izmenile zbog zatvaranja gradova. Mnogo ljudi radi od kuće koristeći vpn konekcije i sopstvene uređaje. Održava se veliki broj online sastanaka. Znamo da je porast popularnosti aplikacije Zoom doneo stotine lažnih sajtova sličnog naziva. Znamo za fišing e-mail poruke sa lažnim pozivima za MS Teams sastanke... Da li ste primetili neke promene u šemama napada, preraspodelu načina napada i da li ste otkrili neku zaista novu vrstu napada ove godine?

•Spearfishing kampanje i upotreba malicioznog softvera u njihovu svrhu definitivno su jedna od glavnih tema trenutno.

Zbog COVID-19 pandemije ljudi sve više vremena provode kod kuće, a neki od njih i više igraju kompjuterske igre. Tokom 2020. godine, svim igrama (a posebno onim najpopularnijim, kao što su Minecraft i Counterstrike) dodatno je porasla popularnost, a kriminalci tu šansu nisu propustili. Lažni veb-domeni povezani sa Minecraft, Counterstrike i ostalim igrama predstavljaju sve značajniji vektor napada koji je povezan sa trenutnom situacijom.

Osim igara, takođe je bitno napomenuti izrazitu upotrebu RDP veze (RDP - Remote Desktop Connection) kako bi zaposleni mogli da rade na daljinu. Značajno se uvećao broj slučajnih pokušaja pogađanja lozinki, tzv. Bruteforce napada, kako bi se hakovala RDP veza i samim tim i bezbednosni parametri kompanije.

I u slučaju targetiranog malvera i naprednih upornih pretnji (APT) trend porasta je sličan. Ovi se napadi sada u velikoj meri oslanjaju na teme koje su u vezi sa COVID-19 pandemijom, s obzirom na to da su ljudi tokom proleća i leta bili najzainteresovaniji za ove teme i da je procenat klikova na maliciozne linkove ove vrste bio znatno veći.

SK: Velike kompanije trpe mnogo različitih napada, posebno ako imaju sisteme u sopstvenim data centrima (a većina ih ima). One pokušavaju da izgrade izolovane sisteme sa sopstvenim uređajima, skeniraju elektronsku poštu, veb-saobraćaj, uvode proksije... BYOD (korišćenje privatnih uređaja zaposlenih u poslovne svrhe) koncept je bio dobra ideja, ali više nije popularan iz bezbednosnih razloga. Sada, da covidom, kućnim kancelarijama, nedovoljnim brojem kompanijskih uređaja za sve radnike koji rade od kuće, imamo upotrebu privatnih uređaja za poslovne svrhe. Provodeći veći deo dana kod kuće, podela između poslovne i privatne komunikacije je izbrisana. Dakle, kompanije su u povećanom riziku. Kako one menjaju svoje strategije zaštite kako bi ostale bezbedne, a da ne ograniče svoje zaposlene koji rade od kuće da zaista mogu da obave svoj posao?

Ljudi su i pre pandemije dosta koristili lične uređaje za posao - pametne telefone ili tablete. Pitanje koje se postavlja jeste da li sami zaposleni ili timovi zaduženi za bezbednost treba da vode računa o bezbednosti ovih uređaja?

•Ovo pitanje svakako nije novo, jedino su se okolnosti sada promenile. Na primer, koncept upravljanja mobilnim uređajem koji postoji danas, jednostavno podrazumeva instalaciju određene vrste softvera. Neophodno je da poslodavci koriste softver kojim na uređajima mogu da se podele korporativni i privatni deo, tako da na istom uređaju postoje dva naloga i sve dozvole mogu biti podešene odvojeno. Na primer, za korporativni deo uređaja administrator sistema može da podesi sva pravila, dok će korisnik samostalno podesiti bezbednosne mere za svoj privatni deo. Ova podela može biti jedan od pristupa ka rešavanju ovog problema. Stoga administratori sistema korisnike moraju da podsećaju na to da treba da instaliraju softver na svojim uređajima.

Drugi pristup podrazumeva razmišljanje o sistemu u celosti. Zamislite kompaniju koja ne razmišlja samo o BYOD konceptu, već i o sistemu na strani servera, takođe instaliranom na MSN ili Microsoft cloud-u. Da li tako bezbednost postaje stvar administratora sistema kompanije? Da li se tako osigurava bezbednosni perimetar? Rekao bih da nije nužno i da čitava koncepcija ranijih bezbednosnih parametara treba da se promeni, a proizvodi koji se koriste usklade sa tim promenama, kako bismo zaštitili čak i našu vezu sa virtuelnim mašinama i entitetima instaliranim na sistemima trećih strana. Verujem da je ovo izuzetno važno.

SK: Sve više ljudi koristi mobilne uređaje kao svoje glavne uređaje za komunikaciju. Znamo da najveći broj pametnih telefona nema aktuelnu verziju operativnog sistema (posebno Android uređaji koji su najzastupljeniji na svetu) uz nedostajuće bezbednosne zakrpe. Danas veći procenat korisnika ima antivirusne proizvode na računarima, nego na mobilnim uređajima. A upravo mobilni uređaji su ranjiviji i korisnici mogu biti lakše dovedeni u zabludu na mobilnom uređaju, nego na računaru. Kako vidite budućnost komunikacije sa bezbednosne strane, naročito na mobilnim uređajima?

•Korisnik sam Android operativnog sistema, koji bez problema preuzima najnovije aplikacije i ažuriranja. Dovoljno je samo da ih odobrim. Ja želim da kontrolišem koji softver se kada ažurira, tek toliko da proverim listu i sam pritisnem dugme OK, ali ukoliko korisnik želi automatsko instaliranje, to je sasvim izvodljivo. Kod ovog operativnog sistema sam sadržaj datoteke za ažuriranje ne predstavlja glavno bezbednosno pitanje, koliko je to brzina kojom će ažuriranje biti dostupno. Za razliku od korisnika čistog Android-a, ukoliko imate uređaje nekih vodećih proizvođača, koji predstavljaju modifikovane verzije Android operativnog sistema, onda ćete ažuriranja dobiti nešto kasnije.

Mislim da je ova brzina kojom ažuriranja postaju dostupna jedan od glavnih izazova za osiguranje bezbednosti. Danas su telefoni mali računar koji se nalazi u vašem džepu. Kada uzmemo u obzir to da on ima kameru, GPS i da ga uvek i svuda nosite sa sobom, njegova zaštita je veoma značajna. Uvek treba da razmišljate o svom pametnom telefonu i njegovoj zaštiti.

SK: Pričali ste o kampanjama hakerskih napada. Znamo da na internetu u svakom trenutku postoji mnogo mreža zombi računara koji se koriste za različite napade. Kakav je uticaj gašenja jedne od većih mreža ovog tipa? Koliko brzo se takve mreže ponovo izgrade i koliko brzo druge mreže preuzmu njihove aktivnosti? Nedavno je mreža pod nazivom Trickbot onesposobljena od strane Microsofta (94 odsto mreže), a ta mreža je postojala od kraja 2016. godine. Kakav će biti stvarni uticaj gašenja Trikbota? Da li će to zaista smanjiti nivo raznih napada i pretnji ili će to biti samo kratak poremećaj u ukupnim napadačkim aktivnostima?

•Ovo je odlično pitanje. Onesposobljavanje jednog velikog botnet-a definitivno smanjuje malicioznu aktivnost, ali glavno pitanje je koliko dugo će ovaj uticaj trajati i da li se radi o kratkotrajnoj promeni ili pravom smanjenju napadačkih aktivnosti. Uklanjanjem jedne pretnje, na njeno mesto će doći nova, to je sigurno. Radi se o privremenoj promeni, o pauzi, jer će doći do novih razvijanja, do novih implementacija i zasigurno će se pojaviti isti botnet-ovi.

Moramo da posmatramo ovo sa druge strane, jer kada govorimo o stvarima kao što je Trickbot radi se o industriji, koja kao i svaka druga mora da zaradi novac, zbog čega dolazi do pojave novog softvera. Ukoliko bismo sada maštali o načinima na koje možemo, ne da eliminišemo u potpunosti, već da smanjimo ovaj nivo malicioznih aktivnosti, radilo bi se o potpuno sistematičnom procesu, na nivou našeg operativnog sistema i mreže, uz postepenu promenu mrežnih protokola i osnove na kojoj se baziraju naš operativni sistem i hardver. Cilj bi bio da kroz menjanje svih ovih principa sve više smanjujemo ranjivost, a unapređujemo bezbednost, uvek imajući na umu moguću buduću ranjivost.