Grėsmių panorama: diskusija apie įsilaužimų evoliuciją su Adrianu Warmenhoven

Įmonės vis dar įsivaizduoja įsilaužėlius kaip serverių patalpose po gobtuvais besislepiančius programuotojus, rašančius nesibaigiančias kodo eilutes, kad įsilaužtų į objektus. Tačiau visa kibernetinių nusikaltimų sritis pasikeitė praktiškai neatpažįstamai. Įsilaužimai iš kontrkultūros tapo verslus ir politiką apimančia pramone.

„Nord Security“ kibernetinio saugumo patarėjas ir atstovas Adrianus Warmenhoven turi asmeninės etiško įsilaužimo patirties. Su juo kalbėjomės apie tai, kaip per pastaruosius kelis dešimtmečius pasikeitė įsilaužimas, kas skatina kibernetinius nusikaltėlius, kokia neseniai patobulėjusio DI įtaka ir kodėl tikroji šešėliuose besislepianti grėsmė yra ne žmonės, o botai.

Pakalbėkime apie tai, kas įsilaužia ir į kokius objektus. Mažos įmonės dažnai galvoja, kad jos yra per mažos, kad sudomintų kibernetinius nusikaltėlius. Ką joms pasakytumėte?

A: galiausiai, įsilaužimas yra verslas. Joks įsilaužėlis nepabunda galvodamas „Šiandien kieno nors gyvenimą paversiu tikrai įdomiu“. Iš tikrųjų jiems reikia pinigų. Jei jie gali gauti po 5 centus iš milijono žmonių, tai vis tiek yra 5 milijonai centų.

Įsilaužėlių naudojamos technikos gali skirtis atsižvelgiant į objekto dydį, tačiau juos domina tas pats – kiekvienas yra potenciali auka. Didelėse įmonėse įsilaužėliai paprastai taikosi į administratorių paskyras. Su pavieniais asmenimis dažniausiai naudoja duomenų viliojimą.

Ar kaina tamsiajame internete už įmonės ir asmeninę paskyros informaciją yra vienoda?

Ne tiek svarbu kaina, kiek tai, ką galima padaryti su informacija. Paprastai įmonių paskyros yra vertingesnės, tačiau jos ir trumpalaikės bei nepastovios, nes saugumo pažeidimą pastebėjusi saugumo komanda gali išspręsti problemą ir iš naujo nustatyti paskyras.

Galima gauti maždaug 10 000 patikrintų el. pašto adresų už 5 USD, tad jie tikrai pigūs. Kaip ir slaptažodžiai, kurie yra ypatingai pigūs. Galima gauti kelis tūkstančius už vieną ar du dolerius. Viskas priklauso nuo to, ką galima su ta informacija padaryti.

Norite pasakyti, kad dauguma įsilaužėlių tai daro dėl pinigų?

Taip. Iš tikrųjų šiandien daugybė įsilaužėlių dirba nusikalstamoms organizacijoms ir net nežino, kokį darbą atlieka. Iš esmės jie dirba kūrėjais.

Anksčiau matydavome haktyvistus, tačiau bėgant laikui jų tapatumas pasikeitė. Anksčiau jie protestuodavo prie naštos kompanijas ir panašiai. Šiandien daugiau haktyvistų tapatinasi su nacionalinėmis valstybėmis, kad gautų jų paramą. Ir vis tiek kalbame apie finansinę naudą, tačiau į tai sėlina politika.

Europoje taip pat pastebėsite norą būti pripažintam tarp savų, t. y. kitų įsilaužėlių. Pvz., mano draugui visiškai nebesvarbūs pinigai, jis jų turi pakankamai. Tačiau jis užsiėmęs su „Microsoft“, kad galėtų pasakyti „Aš įsilaužiau į „Xbox“ tinklą“ ir dėl to būtų pripažintas.

Ar tos linijos tarp etiško įsilaužimo ir neetiško įsilaužimo nebelieka?

Sudėtinga kalbėti apie etišką ir neetišką įsilaužimą. Viskas tampa sudėtingiau atsiradus tokiems veiksniams kaip koordinuotas pažeidžiamumų atskleidimas. Įmonės skelbia, kad „jei rasite klaidą ir mums pranešite, pažadame apdovanojimą“. „Nord“ irgi taip daro. Daugybė įsilaužėlių užsidirba ieškodami klaidų tokioms įmonėms kaip „Microsoft“ ir „Apple“. Viena atskleista klaida gali būti verta kelių šimtų tūkstančių dolerių.

Tačiau klaidų ieškotojai tai daro ne dėl pinigų, o dėl jaudulio. Jie turi puikius techninius įgūdžius ir jiems greitai pasidaro nuobodu. Tokius įsilaužėlius vertėtų stebėti, kad jie nepereitų į blogąją pusę.

Nyderlanduose įsilaužėliai, įmonės, slaptosios tarnybos, kariuomenė, teisėsauga pažįsta vieni kitus ir jie tiesiog yra kultūros dalimi. Jei įsilaužėlis paskambintų teisėsaugai, jie nesakytų „Tu įsilaužėlis, mes tavęs neklausysim“. Visi vieni kitiems padeda krašto apsaugos srityje. Tikiuosi, kad ir likęs pasaulis pradės taip elgtis.

Tam labai palankūs Europos įstatymai. Esi saugomas įstatymų, jei gali įrodyti, kad įsilaužei vedamas gerų ketinimų. Nyderlanduose suteikiama dar daugiau apsaugos. Jei iškart informuosiu gamintoją ar asmenį, į kurio informaciją įsilaužiau, nebus jokių teisinių pasekmių. Olandų vyriausybė net padovanos marškinėlius su užrašu „Aš įsilaužiau į Olandijos vyriausybę ir gavau tik šiuos bjaurius marškinėlius“. Ir to tikrai siekiama, nes tai yra tarsi garbės medalis, kuriuo galima girtis. JAV vyriausybė dalija medalius. Tokie nieko neverti pripažinimai labai vertinami tarp įsilaužėlių.

Ar tai motyvuoja įsilaužėlius pakeisti puses?

Taip, šiandien matome, kad daugybė įsilaužėlių dirba saugumo įmonėse. Tačiau nuo 1990-ųjų įsilaužėlių kultūroje vyravo požiūris, kad įsilaužus į kieno nors informaciją, po to įsilaužėlių sulauki pats. Tarsi varžybos, kas bus gudriausias vaikas rajone.

Pakalbėkime apie įsilaužimą kaip paslaugą. Ar gali įmonė nusamdyti įsilaužėlių ir kenkti konkurentams?

Ne tik gali, bet ir daro. Net egzistuoja pažeidžiamumų aukcionas, kuriame drauge varžosi įmonės ir nacionalinės valstybės. Jei nueisite į tamsųjį internetą, rasite daugybę sąrašų „Aš galiu įsilaužti į“ bei nišinių sąrašų, pvz., „Galiu pašalinti tavo konkurentą iš „Google“ arba „Galiu tavo oponentui priskirti 10 000 neigiamų vertinimų“. Jei turi pakankamai pinigų, gali nusipirkti praktiškai viską.

Ar yra geriausias būdas apsisaugoti nuo įsilaužėlių arba ar galima padaryti viską, kas įmanoma, su turimais įrankiais?

Galima – atsijunkite nuo interneto. Juokauju, žinoma, bet aš nuolat bandau žmonėms paaiškinti apie skaitmeninę tapatybę. Žmonėms atrodo, kad svarbus yra fizinis asmuo, tačiau realybėje yra kitaip. Jūsų skaitmeninė tapatybė yra vertesnė už jus. Jei dabar numirtumėte, tikiuosi, kad taip nenutiks, jūsų skaitmeninė tapatybė vis tiek atliktų operacijas, gautų žinutes ir turėtų vertę pasaulyje. Fizinio kūno nebelieka. Baisu, bet taip yra. O skaitmeninė tapatybė yra jūsų dalis, tad ja reikia rūpintis. Ji lieka net jums atsijungus nuo interneto ar mirus. Ir ji toliau gali atlikti veiksmus. Visi profiliai, bankų sąskaitos, pranešimai – viskas, ką turite, lieka jūsų dalimi, tarsi jūsų avataras skaitmeniniame pasaulyje, kuris ir toliau funkcionuoja.

Ar DI padeda įsilaužėliams atspėti ir pavogti slaptažodžius?

Atspėti? Ne. Pavogti? Taip. Tuoj paaiškinsiu.

DI negali atspėti slaptažodžių dėl to, kaip jie yra saugomi. Slaptažodžiai yra tik sudėtingos kombinacijos ir jų sudėtingumas priklauso nuo ilgio. Juos brutaliai atspėti naudojant DI matematiškai neįmanoma, ypač dėl to, kad DI nespėja geriau nei optimizuotos matematinės formulės, kurios jau egzistuoja.

Kitaip tariant, yra niuansų. Jei visada naudojate to paties tipo slaptažodį, DI gali nuspėti naudojamo slaptažodžio šabloną. Įsilaužėliai nepradeda nuo AAAAA, jie pradeda nuo slaptažodžių, kuriuos, tikėtina, naudotojas naudoja. Iš esmės, įsilaužėlis gali nupirkti visus įsilaužimo metu gautus slaptažodžius. Tada pridedame papildomos informacijos, pvz., socialinių tinklų paskyras, ir leidžiam DI nuspėti pirmąjį milijoną galimų slaptažodžių. Tad DI gali padėti spėlioti, bet negali atspėti slaptažodžio geriau nei jau naudojami algoritmai.

Tačiau DI gali labai pagelbėti vagiant slaptažodžius. Pasitelkdami DI žmonės sukuria įvairiausių kenkėjiškų kodų nė nežinodami jokios programavimo kalbos. Jiems reikia tą kodą tik nukopijuoti ir įklijuoti. Taip pat galima naudoti DI norint apsimesti kitu asmeniu, t. y. analizuojant, kaip bendraujate socialiniame tinkle ir su kuo.

Tarkime, kad socialiniame tinke bendraujate su patikimu asmeniu. Jei išmokyčiau DI naudoti to asmens atsakymus, galėčiau rašyti taip, kaip tas asmuo. Tada galėčiau bandyti panaudoti personalizuotą duomenų viliojimą, pvz., išsiųsti el. laišką, kuris būtų tarsi parašytas to asmens, kad jums nekiltų įtarimas.

Ar tai reiškia, kad DI galima naudoti slaptažodžių šablonams nuspėti?

Taip. Pvz., jei jūsų slaptažodis yra muzikanto albumo pavadinimas, DI gali nuspėti, kad išleidus naują albumą, jo pavadinimą naudosite kaip slaptažodį. Todėl reikėtų naudoti slaptažodžių generatorių. Jis kuria atsitiktinių simbolių eilutes ir jų neįmanoma nuspėti, tad DI čia bus visiškai nenaudingas.

Tiesa ar melas: senasis įsilaužėlio su gobtuvu įvaizdis jau miręs? Tampame botų aukomis.

Įdomiausia, kad aš niekada nedėvėjau gobtuvo. Man su juo dirbti labai nepatogu. Nejuokaujant, įsilaužėlių su gobtuvais įvaizdis buvo rodomas filmuose, tačiau tai prasilenkia su teisybe.

Esate teisūs sakydami, kad pavieniai įsilaužėliai praktiškai išnyko. Žinoma, vienas kitas dar yra, tačiau jie nėra organizuota grėsmė. Jie įsilauš į mokyklos ar nemėgstamo kaimyno informaciją. Iš esmės, tai tarsi iš praeivio gatvėje gauti smūgį į veidą.

Kalbant apie botus, nusikaltėliai, ypač nusikalstamos organizacijos, atrado, jog daugelį veiksmų galima atlikti automatiškai. Automatizavus, galima padidinti mastą. Mano pradžioje minėtus 5 centus dabar galima paimti ne iš milijono žmonių, o iš milijardo. Tam reikia daugybės botų ir dėl to, pasikartosiu, taikiniu tampa kiekvienas. Pavienis įsilaužėlis į jus greičiausiai nenusitaikys, nebent atitiktumėte jo profilį. Dabar net įsilaužti į ligoninę yra formalus procesas. Tarkime, kažkas įsilaužė į ligoninę. Ligoninė siunčia išpirkos reikalavimo derybininką, o įsilaužėliai turi savo derybininką, kuris net nežino, kas yra tikrieji įsilaužėliai. Taip sukuriamos visiškai nauja darbo vieta kibernetinio saugumo srityje. Visa tai yra verslas, o botai yra tik dar vienas įrankis, tarsi šakės sunkiems kroviniams krauti.

Ar šiandien įsilaužimas į tiekimo grandinę yra įprasta?

Priklauso nuo aplinkybių. Nyderlanduose slaptosios tarnybos paleido veikti šifravimo paslaugą, kurią pirko visi nusikaltėliai, o olandų policija tiesiog sėdėjo ir juokėsi, nes visa pirkimo informacija paprastu tekstu keliavo į jų serverius.

Įsilaužimas į tiekimo grandinę tikrai ateityje bus įprastas nacionalinėse valstybėse. Ir tai gali turėti didžiulių pasekmių. Tarkime, kad įsilaužėte į labai svarbią aparatinę įrangą, pvz., ASML – olandų įmonėje, kuri gamina dalis lustams. Norite prašyti išpirkos ne tik iš gamintojo, bet ir iš klientų. „Intel“, „Apple“, „Nvidia“ — šios įmonės pasikliauja ASML ir būtų katastrofa, jei jos nebegamintų naujų lustų. Galime derėtis, kad jos visos susimes, kad jus surastų, o prie paieškų prisijungtų ir slaptosios tarnybos. Taptumėte visos pasaulio teisėsaugos dėmesio centru.

Dėl visų pigių internete parduodamų daiktų, pirmenybė bus teikiama tiekimo grandinės nuodijimui į grandinę įterpiant kenkėjiškos programinės įrangos. Planetoje yra gal aštuonios gamyklos, kurios gamina visus mūsų perkamus daiktus, užsakomus tiesiai iš tiekėjo ir neturint atsargų. Jie tik užklijuoja kitą etiketę, bet viskas gaminama ten pat. Įsilaužėlis gali sumokėti tiekėjams ir pasakyti, kad „už kiekvieną iš šių pristatomų USB laikmenų su mano aparatine programine įranga mokėsiu po dolerį“. Žmonės pirks tas USB laikmenas, prijungs jas prie savo įrenginių ir bus įsilaužta į kiekvieną aparatą. Viskas taip paprasta.

Įsivaizduoju, kad įsilaužėliai gali padaryti ir daugiau tikslingų dalykų. Kol kas kibernetiniai nusikaltėliai to dar nepavertė pinigais arba dar nesugalvojo, kaip tai padaryti veiksmingai, nesukeliant daug triukšmo. Tačiau tai taps svarbu. Fizinio ir skaitmeninio verslo pasaulių jau nebeįmanoma atskirti. Pvz., pakalbėkime apie Roterdamo uostą. Išleidžiamos nežmoniškos pinigų sumos kibernetiniam saugumui, nes Nyderlandų narkotikų platintojai visą laiką trikdo veiklą. Vien šiais metais buvo suimta žmonių, kurie bandė gauti konteinerį su prekėmis.

Tad tiekimo grandinių atakos dar nėra įprastos, bet esu tikras, kad taps per kelerius ateinančius metus, ypač dėl nacionalinių valstybių įsilaužėlių įtakos.

Kas pelningiau įsilaužėliams: vogti ir parduoti duomenis ar prašyti išpirkos?

Išpirkos prašymas apima abu variantus. Anksčiau buvo vien tik išpirka arba vien tik vagystė, tačiau dabar kenkėjiška programinė įranga apima viską. Įsilaužėliai siunčia visus užšifruotus pavogtus failus į nuotolinę saugyklą. Tada, jei auka nesumoka išpirkos, gali perparduoti duomenis. Tokiu būdu jie nepaleidžia vėjais savo pastangų.

Didesnėse kenkėjišką programinę įrangą naudojančiųjų grupėse iš tikrųjų laikomasi vadinamojo „garbės tarp vagių“ principo. Jei sumokėsite išpirką, jie iš tikrųjų iššifruos jūsų diską ir ištrins atsargines failų kopijas, nes pasitikėjimas yra tai, dėl ko žmonės sumoka lengviau, nors pasitikėjimas nusikaltėliais yra visiškai neintuityvus jausmas.

Dar viena priežastis vogti yra vengimas kenkėjiškoje programinėje įrangoje naudoti iššifravimo priemones. Pvz., įmonės Europoje gali nukreipti iššifravimo priemones per Europolo įrankį nomoreransom.org. Kai tik atrandami šifravimo kodo defektai, galima atrasti būdą nemokamai iššifruoti. Tada policija pasidalija šiomis iššifravimo priemonėmis. Jei jūsų kenkėjiškoje programinėje įrangoje nėra iššifravimo priemonių, jų negalima analizuoti. Net jei nepavyks užšifruoti, vis tiek savo saugykloje turėsite atsarginę kopiją. Jei kas nors sumokės, nusiųsite jiems atsarginę kopiją.

Daugelis vis dar nemoka išpirkos dėl seno įsitikinimo, kad, jei nemokėsi, nusikaltėliai nustos prašyti. Tačiau nusikaltėliai taip paprastai nepasitraukia ir nesako „vėl nepavyko, nuveikim ką nors kito“. Net jei jie užsiima kita veikla, vis tiek kokiu nors būdu gauna savo pinigus.

Minėjote, kad dalis žmonių nė nežino dirbantys su kibernetiniais nusikaltėliais. Kaip įsilaužėliai randa tokių nesąmoningų bendrininkų?

Kibernetinių nusikaltėlių psichologijai ir jų būdams pritraukti žmones studijuoti skirta visa sritis. Pvz., skambučių centro darbuotojai, kurie teikia išpirkos reikalavimo programinės įrangos palaikymą, nežino, kad dirba nusikaltėliams. Jie yra pasamdyti kaip pigi darbo jėga, sėdi priešais ekraną ir laikosi nurodymų, tarsi tai būtų bet koks teisėtas produktas. Jie nežino, kam dirba, ir jiems net nerūpi. Šiandien jie teikia pagalbą įsilaužėliams, rytoj dirbs su IBM skambučiais ar ten, kur gaus atlyginimą.