Etični heker: "Pri USB ključkih obramba pred kibernetskimi napadi odpove."

Z njim smo se pogovarjali po petkovem razkritju, da so v javni upravi naročili večje število kitajskih USB ključkov, okuženih z zlonamerno programsko opremo, ki lahko olajša kibernetski napad. Po prijavi urada za informacijsko varnost zadevo obravnava tudi policija. Po nekaterih informacijah naj bi bila okužena približno petina USB ključkov, ki naj bi jih uporabljalo večje število javnih institucij.

Danes je sicer o tej temi razpravljal tudi sekretariat sveta za nacionalno varnost in odredil, da morajo državni organi sporne USB-ključke takoj umakniti.

Je takšen napad nekaj novega v svetu kibernetskih vojn?

Napadi prek USB ključkov so že dolgo znan način napada, saj ti niso nova tehnologija. V mnogih okoljih veljajo že za zastarelo rešitev, saj se kot nadomestek USB ključkov vse pogosteje uporabljajo oblačne storitve za prenos datotek kot na primer spletno odložišče velikih datotek (SOVD) ali druge protokole za izmenjavo datotek.  

Varnostni strokovnjaki že vrsto let opozarjamo na nevarnosti, ki jih USB in prenosni mediji predstavljajo, hkrati pa se zavedamo, da so v določenih okoljih še vedno nepogrešljivi za nemoteno izvajanje delovnih procesov.

Tudi naše podjetje v sklopu izvedbe varnostnega pregleda, ki ga naroči naša stranka, pripravi in odloži USB ključke z navidezno zlonamerno kodo na parkiriščih naših strank, pri multifunkcijskih napravah ali v toaletnih prostorih. Včasih jih celo pošljemo po pošti osebno naslovniku v podjetje. Izkaže se, da zaposleni veliko število teh ključkov vstavijo v računalnik. Zato priporočamo, da podjetja pri politiki varovanja informacij in uporabe IKT sredstev določijo tudi predpise glede uporabe USB ključkov. Uporabnike naj izobrazijo o rokovanju z nepoznanimi USB ključki, recimo da naj jih ne vstavljajo v svoje računalnike, ampak prej odnesejo v IT službo.

Do zdaj o napadu vemo le, da je slovensko podjetje Extra Lux okužene ključke nabavilo na Kitajskem. Kako sploh deluje takšen napad?

Konkretnega primera z omenjenim podjetjem ne poznam in mi je znan samo iz medijev, zato lahko tovrstne napade opišem le na splošno. 

Cilj napadalcev je dostaviti zlonamerno programsko opremo na delovno postajo uporabnika in jo zagnati, s čimer pride do okužbe. Kaj takšna okužba naredi, pa je povsem odvisno od pisca zlonamerne programske kode ter varnostnih mehanizmov, ki jih uporablja organizacija.

Ob uspešnem napadu lahko pride do kraje shranjenih gesel uporabnikov v brskalnikih,  vzpostavijo se tako imenovana zadnja vrata, preko katerih se napadalci lahko povežejo na okužen računalnik in v najhujšem primeru okužijo celotno omrežje organizacije, ukradejo večjo količino podatkov in šifrirajo podatke. Nato grozijo z objavo podatkov in uporabo le-teh za izvajanje nadaljnjih napadov. 

Kaj pa pri težjih, bolj kompleksnih oblikah teh napadov?

V takšnih primerih želi zlonamerna programska oprema ostati pod radarjem varnostnih rešitev in je njen namen le vohunjenje, s čimer odtekajo podatki iz organizacije daljše časovno obdobje. USB ključki so posebej nevarni zato, ker uporabnike pred zagonom potencialno zlonamerne programske opreme varuje le zaščita končne točke (protivirusna programska oprema), za katero je znano, da nas ne more v vsakem trenutku v celoti zaščititi.

Kdo so lastniki podjetja Extra Lux, dobavitelja spornih USB ključkov

Kako se zlonamerna programska oprema znajde na USB ključku, ki pride v Slovenijo?

O tem lahko le ugibamo. Odvisno je od tega, skozi koliko "rok" so ti ključki potovali med samim proizvajalcem in končnim uporabnikom. Ni skrivnost, da ima kitajska vlada izredno močan in napreden oddelek za kibernetsko vojskovanje, kjer se poslužujejo najrazličnejših kibernetskih tehnik za vohunjenje in vdore v druge države. 

Na kateri točki tarča zazna takšen napad?

Ko uporabnik priključi USB ključek v napravo, datoteke na njem avtomatsko pregleda protivirusna programska oprema. Ta naj bi zlonamerne datoteke, ki so bile na ključku, zaznala tudi v zadnjem primeru. Vsakič, ko se to zgodi, smo lahko pomirjeni, da je bila zaznava uspešna. Precej bolj bi nas moralo skrbeti, če protivirusna programska oprema nevarnosti ne bi zaznala, uporabniki pa bi nanjo kliknili in s tem okužili delovne postaje. 

Je ob dejstvu, da gre za podjetje, ki je dolgoletni dobavitelj javne uprave, zdravstva, ministrstva za notranje zadeve, finančne uprave in drugih institucij s področja kritične infrastrukture, že mogoče domnevati, da je šlo za napad hekerske skupine, povezane s kitajsko državo oziroma obveščevalnimi službami?

Na tem mestu izražam rahel dvom, da bi šlo za ciljan napad na našo državo, vendar so to le predvidevanja. Odgovore na to vprašanj lahko podajo le pristojne službe, po opravljeni forenzični analizi zlonamerne programske kode, ki lahko poda marsikateri odgovor, komu je bil napad namenjen.

Kdo vse je kupoval pisarniški material od podjetja Extra Lux:

Kako v takšnem primeru poteka forenzična analiza?

Izvede se v dveh korakih, in sicer statična analiza in pod posebnimi pogoji tudi dinamična. Pri statični analizi se izvede obratni inženiring kode in poizkuša priti do same izvorne oziroma programske kode. Preveri se metapodatke dokumenta in poizkuša ugotoviti, kdaj je bila zlonamerna programska oprema ustvarjena in kdaj je bila naložena na USB ključek. 

Dodatno se pri tovrstni analizi išče morebitne IP naslove ali domene, kamor se lahko ta zlonamerna koda povezuje, preveri se, kakšne funkcije vsebuje oziroma kaj konkretno ob zagonu naredi. V posebnih laboratorijih pa se izvede tudi dinamična analiza, kar predstavlja zagon zlonamerne kode na ustrezno predpripravljenem računalniku, istočasno pa se nadzoruje aktivnosti. Pri tem je treba biti previden, da se koda dejansko ne poveže na napadalčeve sisteme, saj se lahko s tem izdamo, da opravljamo pregled. 

Omenili ste že, da so taki napadi v tujini že vrsto let stalna praksa. Znan je primer podobnega napada na iranski jedrski program s pomočjo zlonamerne programske opreme Stuxnet in ruskih kibernetskih napadov na ukrajinsko energetsko omrežje. Kako se je pred takim napadom mogoče ubraniti?

V primeru, ko nas iz Kitajske ali katerekoli druge države napadejo preko elektronske pošte, imamo na voljo več nivojev obrambe — od filtrov neželene elektronske pošte, do preverjanja priponk na požarni pregradi, analiziranja vsebine s pomočjo naprednih varnostnih rešitev in na koncu še zaščite na sami končni napravi. 

Pri USB ključku pa ta večplastna obramba odpove. V določenih primerih se lahko zlonamerna koda zažene z USB ključka že avtomatsko ob priklopu v računalnik, največkrat pa jo sproži nič hudega sluteči uporabnik z zagonom datoteke. Veliko podjetij in organizacij, še posebej v finančnem sektorju, USB ključke že vrsto let prepoznavajo kot visoko varnostno tveganje, zato njihovo uporabo prepoveduje z internimi varnostnimi politikami, dodatno pa še onemogočajo mehansko ali programsko na samih delovnih postajah. Če v takšno postajo vstavimo USB ključek, se ta ne zažene in vsebina ne prikaže.

Se podatki, če jih zbrišemo z USB ključka, tam trajno izbrišejo ali ne? 

Poleg že omenjenega so USB ključki in vsi prenosni mediji tudi resno varnostno tveganje ob izgubi ali kraji, še posebej, če vsebujejo zaupne ali osebne podatke, ki niso ustrezno zaščiteni.

Mnogi uporabniki se ne zavedajo, da brisanje datotek z USB ključka ne pomeni trajnega izbrisa. Podatke je mogoče z uporabo orodij za obnovitev v nekaterih primerih ponovno pridobiti, dokler niso fizično prepisani. To pomeni, da lahko že "prazna" naprava, ki je vsebovala občutljive dokumente, še vedno predstavlja varnostno tveganje.