Slučaj JKP Informatika Novi Sad: Kako se odbraniti od sajber napada

Kako odbraniti biznis od sajber napada, a da ne prođete kao Gradska uprava Novog Sada?

Vest da su informacioni sistemi gradske uprave Novog Sada hakovani i da su izvršioci tražili otkupninu u bitkoinima kako bi otključali sisteme, zatekla je domaću javnost prošle nedelje. I, dok se grad polako oporavlja, mi smo analizirali kako je do napada uopšte došlo i, još bitnije, kako sprečiti tako nešto u budućnosti.

Gradski informacioni sistem Novog Sada koji se čuvao u Javno-komunalnom preduzeću “Informatika” blokiran je u nedelju uveče, 1. marta, a grad je ucenjen na 50 bitkoina (iliti oko 400.000 evra) da ga dobije nazad. Podaci i bekap sa servera gradskih uprava i nekoliko drugih javnih službi ostali su zaključani, a Novi Sad pravi novi informacioni sistem.

Zbog ovog napada deo zaposlenih u gradskoj upravi i pojedinim javnim preduzećima nije dobio plate, o čemu je Blic pisao pre nekoliko dana, a portal IT klinika preneo je da je otkrivena slabost u malware-u, te da je kompanija Emsisoft uspela da pronađe dekriptor za štetni softver PwndLocker koji je i zaključao podatke u bazi pomenutog grada (50TB podataka).

Otuda smo se odlučili da detaljnije analiziramo šta ovi virusi tačno podrazumevaju, kako funkcionišu PwndLocker i RansomWare napadi i na koji način se najbolje odbraniti od istih. O tome smo razgovarali sa Borisom Prpićem (CEO, Goglasi.com) i Vladimirom Vučinićem (Cyber security Specialist), koji već nekoliko godina uspešno rade u oblasti sajber bezbednosti.

Sve počinje jednim pogrešnim klikom

Već na samom početku, Boris se vraća desetak godina unazad, rekavši da se pojavom Bitcoina pronašao način da se preko Interneta anonimno šalje novac tj. vrednost. Prema njegovim rečima, to je kreiralo nekoliko novih tipova napada koji i dalje dobijaju na popularnosti, a koji se baziraju na iznuđivanju novca (tačnije bitkoina) preko Interneta. S obzirom na to da su te transakcije anonimne, napadač može izvući novac, a da ne bude praćen od strane policije.

Da bi se novac ili bitkoini uopšte iznuđivali, potrebno je koristiti određenu vrstu softvera kako bi se zarazili računarski sistemi. Jedan od popularnih napada jeste RansomWare gde napadač, nakon što obezbedi pristup nekom računarskom sistemu, šifruje sve podatke šifrom koju samo on zna.

Boris nam dalje objašnjava da su ove vrste napada postali popularni pre svega zato što napadač obezbeđuje dobru zaradu. Male firme su spremne da plate po par hiljada evra a velike i stotine hiljada, u zamenu za nekad vrlo dragocene podatke, objašnjava Prpić i dodaje:

Napadač uglavnom distribuira virus po Internetu po različitim sajtovima ili mrežama za razmenu fajlova i čeka da se neko upeca. Kada žrtva pokrene zaraženi fajl virus odmah šifruje sve čemu ima pristup i uspostavlja komunikaciju sa napadačem. Korisnik se obaveštava da su mu fajlovi šifrovani i da treba da plati otkupninu da bi dobio ključ. Žrtva i napadač mogu razmenjivati poruke međusobno ukoliko dođe do nekog problema. Često se može ispregovarati bolja cena od one prvobitno ponuđene.

Naš sagovornik nam objašnjava da je najbolja zaštita od RansomWare napada backup podataka:

Vrlo je jednostavno, ukoliko vam virus šifruje podatke vi imate mogućnost da sve vratite iz backup-a. Međutim, potrebno je paziti da backup-i uvek budu što više odvojeni od računara koji se backup-uje da virus ne bi zahvatio i njih. U velikim sistemima dobra prevencija protiv RansomWare-a su bezbednosne barijere.

Prema njegovim rečima, kako bi se baze obezbedile od napada, sistem treba biti tako dizajniran da ukoliko se jedan računar zarazi da virus ne može da se proširi na celu mrežu. “Ne znam kako je virus ušao u mrežu Novog Sada, ali činjenica da je zarazio stotine servera i hiljade radnih stanica znači da mreža verovatno nije baš najbolje dizajnirana sa sigurnosnog stanovišta”, ocenio je Boris.

Potrebno je raditi na obuci zaposlenih o prepoznavanju phishing-a

Vladimir je takođe saglasan sa Borisovim stavom, a ističe i da, kada se govori o napadima na preduzeća, najčešće sve počinje od ciljanog phishing-a – slanja lažnih mailova kojima je krajnji cilj ili krađa korisničkog imena i šifre ili instalacija zlonamernog softvera. Vučinić nam objašnjava da krađom kredencijala (korisničko ime i šifra) sajber napadači mogu da pristupe mailu korisnika, a uz malo sreće i samom računaru.

“Istu ulogu na početku ima i malver koji se instalira klikom na link u phishing poruci – da napadač dođe do računara”, napominje Vladimir i objašnjava sledeće:

Naredna faza je prikupljanje informacija o okruženju i pokušaj da se dođe do naloga sa što je moguće više prava (tzv. elevacija prava), a to su najčešće administratorski nalozi. Time napadač dolazi i do servera, što je i cilj, jer se tu nalaze podaci.

Daljim istraživanjem napadač proverava koliko su vredni podaci do kojih se došlo i da li ih treba ukrasti (radi dalje prodaje) ili kao druga najčešća akcija napadača da se podaci i serveri kriptuju tzv. kriptolokerima ili ransomware-om i da se zatraži otkup za dešifrovanje podataka – upravo ono što se i desilo u JKP Informatika, tj. gradu Novom Sadu.

Štaviše, dodaje naš sagovornik, nekada napadači koriste slabije alate i ključeve/algoritme za šifrovanje, pa se dešava da se brzo razviju i alati za dešifrovanje, u čemu je Novi Sad imao sreće, s obzirom na to da je PwndLocker imao ključ za kriptovanje ugrađen u sam alat za šifrovanje – što je zapravo omogućilo da se relativno brzo dođe do alata za dešifrovanje, bez plaćanja otkupa.

Na pitanje Netokracije na koje sve načine je moguće efikasno sprečiti ove napade, koje su mere prevencije i na šta treba obratiti pažnju, Vladimir otkriva da su u tom procesu pre svega ključni ljudi i znanje. Kao dalje kaže, potrebno je da svi zaposleni budu svesni opasnosti i načina na koji sajber kriminalci pokušavaju da napadaju, a zatim je potrebno imati stručnjake ili partnere sa dovoljno iskustva i znanja da mogu da pomognu i odbrane preduzeće od napada:

Odbrana treba da obuhvati zaštitu ključnih tačaka ITK sistema: zaštitu emaila (budući da je to najčešće korišćeni vektor za napad na preduzeća), zaštitu radnih stanica i servera, mobilnih uređaja, tableta – tzv. endpoint-a, zaštitu web saobraćaja (dakle zaštitu komunikacije) i zaštitu cloud sistema (ako se koriste).

Dobra rešenja će zaustaviti većinu napada, ali je za njihov optimalni rad potrebno znanje i iskustvo, kao i stalno nadgledanje celokupnog sistema – događaja u ITK sistemu, njihova korelacija i praćenje upozorenja, što nas ponovo vraća na ljude.

Vučinić nas je, između ostalog, podsetio i da su današnji virusi pravljeni da budu neprimetni i da se što teže detektuju, kako bi napadačima omogućili da dođu do onog najvrednijeg – podataka, bilo da se radi o ličnim podacima, bazama podataka, brojevima kreditnih kartica i sl. Međutim, svaki virus danas ima svoju zasebnu namenu:

Neki od virusa služe samo da priključe zaraženi računar mreži drugih zaraženih računara koje koristi napadač – tzv. botnetu kako bi sa njima mogao da napada druge računare, da vrši DDOS napade (najčešće služe za obaranje web sajtova) ili neki od virusa samo omogućavaju udaljeni pristup radi špijuniranja.

Za sam kraj, Vladimir je govorio i o tome šta je sve potrebno uraditi kako bi se podigla digitalna pismenost u velikim javnim institucijama, a koja bi značajno uticala na prevenciju napada kao u Novom Sadu. Prema rečima našeg sagovornika, neophodno je da preduzeća, ne samo javne institucije, počnu mnogo ozbiljnije da posmatraju zaštitu IKT sistema i resursa računara, mreže, servera i podataka.

On smatra da pored tehničkih sistema zaštite kao što su firewall uređaji nove generacije (NGFW) ili endpoint security rešenja, važno je raditi na konstantnoj obuci zaposlenih počevši od obuke za prepoznavanje phishing-a, preko opšte obuke o Internet bezbednosti.

“Ono što je važno napomenuti kod obuke zaposlenih jeste da se radi o procesu – obuka ne može da se zaustavi na jednom predavanju, već mora da se sprovodi stalno ili periodično, poželjno uz merenje uspešnosti obuke”, zaključio je Vladimir na kraju.


Ostavi komentar

  1. Predrag Tomić

    Predrag Tomić

    11. 3. 2020. u 09:09 Odgovori

    Kada se preduzmu mere zaštite, firme bi trebale da razmisle i o sajber osiguranju. Ovo osiguranje bi im nadoknadilo troškove sajber napada.
    Mislim ako neko plaća osiguranje za auto, valjda je bitnije da osigura podatke?!?

  2. a

    a

    12. 3. 2020. u 23:41 Odgovori

    ovo da treba raditi o obuci zaposlenih protiv phishing-a je teška zabluda.
    mnogi ransomware u svetu su bili startovani odmah posle obuka koje koštaju boga oca.
    da, treba obuka, ali minimalno posvetiti vremena tome, jer koliko god da je dobra i skupa, uvek imaš imbecile. kompanije do 100 zaposlenih još i mogu da se više fokusiraju češće na obuke i testiranja, ali sve preko toga nema smisla.
    samo backup. i voditi se idejom da koliko god misliš da je dobar, nije, barem iz prvih 10 iteracija.

  3. Žrtva

    Žrtva

    12. 11. 2020. u 10:12 Odgovori

    Znam da je stari tekst, ali moram da napišem svoje iskustvo. Par meseci pre novosadske informatike i ja sam bio žrtva RansomWare napada. Napadnut je moj lični PC, jer je OS Windows Server. Srećom, nije bilo bitnih podataka – sveža instalacija. Krivica je bila samo moja – password je bio isti kao i username, a jačina nikakva: pavle/pavle (ne zovem se Pavle). Napad se dogodio oko 3 ujutru i po logovima se može videti da je trajao dosta dugo. Da sam u to vreme bio budan, možda sam i mogao nešto uraditi. Na Desktopu me je sačekao .txt fajl sa podacima o uplati, posle koje ću dobiti dekriptor. Postoji mnogo dekriptora online, ali nijedan nije odgovarao ovom tipu RansomWare-a. Uz malo istraživanja, saznao sam da je šansa da dobijem dekriptor nakon uplate, gotovo ravna nuli, jer se ovakav napad koristi kao vrsta iznude novca, a napadač nema baš nikakvu obavezu da pošalje dekriptor. U skladu sa tim, mislim da je priča Informatike oko potencijalne uplate 400.000 EUR, u najmanju ruku, suluda. Takođe, pretpostavljam, da im je zaštita bila gotovo nikakva (kao i meni). Pitanje koje se nameće ovde, zapravo, jeste zbog čega oni nemaju neki backup sistem? Čitav zastoj koji je nastao kao posledica ovog napada je neobjašnjiv. Zaista je zabrinjavajuće što jedna “institucija” em dozvoljava sebi lošu zaštitu, em nema alternativu u slučaju bilo kakvog problema.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Office Talks Podcast

Matorci vs. Milenijalci – problem generacijskog jaza

Glavna tema 44. epizode Office Talks podcasta bila je diskusija o problemu koji sve vidljiviji generacijski jaz nosi sa sobom. Može li se životno iskustvo naših roditelja primeniti u eri digitalizacije i pandemije?

Karijere

Jovan Jovanović otkriva šta čeka domaće IT-jevce koji žele posao u norveškoj tehnološkoj industriji

Jovan Jovanović, QA inženjer u kompaniji Tidal, u Oslu živi već tri godine i kao aktivan učesnik u tom sektoru veoma je dobro upoznao norvešku tehnološku industriju. O njoj razgovaramo u nastavku teksta.

Startapi i poslovanje

Novosadski Anari AI dobio investiciju od $2.000.000 za proizvodnju AI čipova u cloudu

Ova srpsko-američka kompanija je za dva meseca zatvorila investicionu 'seed' rundu vođenu od strane nemačkog fonda Earlybird VC, koji je po prvi put investirao u jedan srpski startap. U investiciji su učestvovali i fondovi Acequia Capital i Serbian Entrepreneurs kao i Erica Ries, osnivač Lean Startup-a.

Propustili ste

Netokracija

Predstavljamo vam ‘Employer Branding Belgrade’ – online konferenciju koja otkriva nova pravila u IT industriji

Pravila za regrutovanje top talenta u IT-ju su se promenila… I zato organizujemo Employer Branding Belgrade - besplatni online događaj koji će pokušati da odgovori na pitanje šta zaposleni u tehnološkoj industriji danas traže kod svog poslodavca!

E-commerce

Pošta Srbije i eCommerce Asocijacija potpisale Memorandum o razumevanju

Saradnja sa Poštom Srbije u programskim sadržajima eCommerce Asocijacije ključna je za razvoj i unapređenje internet poslovanja u Srbiji - pre svega kroz razmenu iskustva radi edukacije mikro i malih preduzeća.

Kultura 2.0

Kako da ne budete Dositej Obradović u Employer Brandingu?

IT kompanije jesu u fokusu ovog članka, jer je interesovanje za ovu temu u toj industriji najveće. Ali često, Employer Branding jednostavno ne radi ono što bi zaista trebalo.

Office Talks Podcast

Kako prodati vaš proizvod? (gost Ilija Ćosić)

Tema 45. epizode Office Talks podcasta bila je prodaja putem digitalnih kanala tj. kako efikasno prodavati proizvode putem interneta. Naš gost bio je Ilija Ćosić, Head of Sales u startapu Skylead koji se bavi automatizacijom prodajnih procesa. 

Kultura 2.0

Takmičenje FIRST LEGO League dolazi u Srbiju – 23. maja u Prvoj kragujevačkoj gimnaziji

Takmičenje 'FIRST LEGO League' za decu i mlade ima za cilj da učesnicima obezbedi iskustvo u rešavanju stvarnih problema kroz vođeni globalni program robotike.

Karijere

Mihailo Ponjavić imenovan za direktora prodaje Euronews mreže u Srbiji

Nakon skoro tri godine u e-commerce sektoru, Mihailo Ponjavić vraća se u medijski biznis i staje na čelo prodajnog sektora televizijske mreže Euronews u Srbiji koja uskoro kreće sa radom.