Küberekspert lunavararünnakust: tarvis läheks palju suuremat vapustust
Maailmas kümneid tuhandeid arvuteid tabanud WannaCry rünnakut oleks viga seostada vaid ühe organisatsiooni või rühmitusega, leiab küberjulgeoleku ekspert James Scott. Inimeste valvsuse tõstmiseks ja küberhügieeni parandamiseks läheb tarvis aga märksa suuremat vapustust.
Kas me peaksime tegelikult üleüldse üllatunud olema, et selline rünnak aset leidis? Lunavarast on saanud argipäevane nähtus ja see ei kao kuskile.
Suur šokk polnud siin mitte selleks, et ründevahendiks oli lunavara, vaid tervishoiuasutuste, nagu näiteks Suurbritannia riikliku tervishoiusüsteemi, valmisolek või õigemini selle puudumine. Teame eelnevast, et kriitilistest taristustest satub häkkerite rünnaku alla kõige sagedamini just nende infrastruktuur. Eriti seoses terviseandmete elektroonilisele kujule viimisega.
Antud lunavara variandi puhul oli tegu ussiga. See levib iseseisvalt, mis muudab selle eriti ohtlikuks. Samal ajal on veebikasutajatel aga endiselt küberhügieenist kummaline arusaam. Nad klõpsavad e-kirju saades kõigele võimalikule. Phishing on endiselt lunavara peamiseks levikukanaliks. Sinna juurde tuleb sotsiaalmeedia, eriti Facebook ja Twitter. Muidugi on ka keerukamaid viise. Üha suuremaks probleemiks on muutumas pahareklaamid
Kuidas selle levikut aeglustada ja mida suured organisatsioonid teha saavad? Tarkvara ei uuendata tavaliselt niipea, kui uuendus välja tuleb.
Küberhügieeni koolitused on tähtsad. Inimestele tuleb näidata, millised õngitsemiskirjad välja näevad ja õpetada neid märkama häkkimisele viitavaid märke. Inimestele peab mällu jääma, et nad ei tohiks kontrollida töö juures oma sotsiaalmeedia kontot ega isiklikku e-posti, sest ettevaatamatult käitudes võivad nad nakatada tervet arvutivõrku. Nad peavad mõistma, et need abinõud pole mõeldud nende kiusamiseks.
Lunavara on uus DDOS. Selle üheks eesmärgiks on pakkuda kattevarju tulevaste rünnete tarbeks sillapeade loomisele. Paralleelselt üritatakse leida väärtuslikke andmeid nagu IP-aadresse ja terviseandmeid ning tekitada samal ajal tuleviku tarbeks tagauksi. Kui süsteem on end ammendanud, müüvad nad ligipääsu edasi teistele häkkeritele, kes kasutavad seda juba omal otstarbel.
Esitatud lunarahanõuded süsteemi uuesti avamiseks olid suhteliselt tagasihoidlikud, jäädes 300-600 dollari vahele. Miks nii vähe?
Tarkvara- ja turvafirmad asuvad turvaaugu leidmisel koheselt otsima viise selle mõju nullimiseks. Seega loodavad küberpubekad ja häkkerid enne lahenduse leidmist oma raha kiiresti kätte saada. Suuremõõtmelisel rünnakul on siinkohal omad eelised. Kuid niipea kui hakatakse nõudma andmete eest korraga sadu tuhandeid dollareid, sekkub FBI või teised julgeolekuorganid. Paarisaja dollari pärast ei hakka keegi rabelema.
Seejuures oleks viga siduda WannaCry rünnakut ühe üksiku tegijaga. Kui lunavara on juba kord loodud, kasutavad seda kõik alates küberpubekatest ja teistest madalama astme koodikirjutajatest lõpetades organiseeritud jõukude ning mõnel juhul isegi rahvusriikidega. Seda kasutatakse erineval otstarbel.
Kui suur on lootus neile jälile jõuda?
Lapshäkkerid ja neotehnorünnakrühmad leiab FBI ehk üles. Võime ilmselt paari kuu pärast kuulda, kuidas meedia teatab WannaCry 2.0 loojate tabamisest. Tegelikult jäävad vahele väikesed kalad, teismelised, kes ei suuda oma jälgi nii hästi peita. Kuritegelike jõukudega, mis kasutasid seda kattevarjuna organisatsiooni andmete varastamiseks ja tumenetis müümiseks, seda tõenäoliselt ei juhtu. Nad on kogenud, oskavad oma jälgi peita ja jälitajad seljatada. Nad rikuvad tuhat arvutit ja suunavad oma liiklust nende kaudu. Võibolla kasutavad nad selleks praegugi minu või sinu arvutit (muigab).
Nagu eile valimiste häkkimist käsitlenud Kongressi paneelil veendusin, leapfroggingu (esmase rünnaku käigus hangitud andmeid kasutatakse teise võimsama rünnaku korraldamiseks), tähtsus kasvab. Seda tehakse üha osavamalt.
Olen ka jälginud tumenetis päris häkkerite vestlusi, milles naljatlevad nad liikluse suunamiseks Vatikani arvutite kasutamise üle. USA ametivõimudel puudub Vatikani-taoliste riikidega koostöölepe. Ja kui nad ka lõpuks internetiliiklust uurima lubatakse, võib lõng viia edasi näiteks mõnesse Põhja-Korea nakatunud arvutisse. Ma ei tahaks olla küberkriminalistide nahas, kes peavad välja nuputama, kes rünnakute taga ikkagi oli.
Kas rünnakus võib näha ka midagi positiivset? Asjad oleks võinud minna ka palju hullemini ja võibolla kulus väike raputus inimeste valvsuse taastamiseks ära.
Tõsi, me oleme reaktiivne ühiskond. Olukord peab muutuma enne selle paranemist palju hullemaks. Kuid ma ei usu, et sellest vahejuhtumist piisab inimeste käitumise muutmiseks. Arvan, et selleks läheb tarvis märka raputavamat pandeemiat, mis peaks mõjutama inimesi üksikisiku tasandil majanduslikult sedavõrd tugevalt, et nad pelgavad Facebookis, Twitteris ja mujal teha isegi ühte klikki.
See paiskaks nad tagasi reaalsusesse. Et nad mõtleks lõpuks: "Ma järgin isiklikku hügieeni. Ma pesen ennast iga päev. Kuid mul on ka digitaalne identiteet, mille eest pean kandma hoolt sama hästi". Enda luna- ja pahavara eest kaitsmine pole ühekordne üritus, vaid maraton. Sa pead olema ettevaatlik ja ohtu teadvustama.
Meedias on rünnaku puhul leidnud palju kõneainet ka asjaolu, et lunavara levikut suutis ühe internetidomeeni registreerimisega oluliselt aeglustada üks pahavarauurija. Kas see oli pigem õnne asi või kui sageli seda juhtub?
Ma ei usu, et seda saab pidada lihtsalt vedamiseks. Tal võis olla aimdus, see osutus tõeks ja tal õnnestus verdjooksvale haavale plaaster peale panna. Küberkaitse põhineb taolistel aimdustel. Samamoodi töötavad häkkerid, võibolla proovin, mis see teeb, või näpin hoopis teist asja. Samamoodi leitakse nullpäeva turvaauke, haavatavusi operatsioonisüsteemis. Puudujääk kõrvaldatakse.
Kuid samal ajal asuvad kohe teised üksikasjalikult uurima, mis uuendusega ikkagi kaasnes ja mis oli selle eesmärk. Nad loodavad leida sellega seostuva turvaaugu, millest juba ise kasu lõigata. Nad teevad seda teadmises, et suurem osa inimestest ei paigalda uuendusi kohe peale nende kättesaadavaks muutumist. Seega taandub küsimus taas osaliselt küberhügieenile.
Mida me tulevikult oodata võime? Palju räägitakse tehisintellektist.
Tehisintellektil põhinevad masinõppealgoritmid on pahavara, lunavara jmt tõrjumisel kriitilise tähtsusega. Enne nende võidukäiku pidime viiruste avastamisel toetuma viirust iseloomustavale jälgedele ja heuristilistele andmebaasidele. Ent jälje saamiseks pidid sa alati kellegi ohvriks tooma. See on isegi natukene naljakas. Muteeruva räsifunktsiooni ilmumine on muutnud aga heuristilistele andmebaasidele toetuvad viirusetõrjed sisuliselt mõttetuks. Iga päev tekib sadu tuhandeid kui mitte miljoneid uusi jälgi.
Siin tulebki mängu tehisintellekt, mis jooksutab paralleelselt leegionite viisi protsesse, võrdleb erinevaid nakatumisjuhtumeid ja uurib, kuidas nakkuse mõju kasutaja või organisatsiooni poolt nulliti. See kiirendab uue pahavara avastamist ja vähendab võimalust selle süsteemi lisamiseks.
Aitäh aja leidmise eest!
Mõtle enda puhtusele ka küberruumis!
James Scott on küberjulgeoleku küsimustele keskenduva USA mõttekoja ICIT (Institute for Critical Infrastructure Technology vanemteadur ja kaasasutaja.