Expert informatician despre atacul cibernetic: “Avem de-a face cu o creație a NSA”

Atacul informatic global din aceste zile ne-a arătat că nimeni nu este imun unui atac cibernetic. De aceea, am căutat să aflăm de la experți care-s cele mai simple operațiuni care ne pot totuși proteja în fața unui virus informatic. A avut amabilitatea să răspundă întrebărilor României Curate  domnul Bogdan Crainicu, doctor în informatică, avînd specialitatea tocmai în securitatea rețelelor de calculatoare:
– Despre ce fel de atac cibernetic este vorba, cine l-a pus la punct și cu ce instrumente? Este adevărat că virusul este “creația” guvernului american, așa cum susțin unii?

– Este vorba despre un atac tip malware (malicious software) de tip ransomware, care utilizeaza/speculeaza vulnerabilitatea (exploit) EternalBlue descoperita de grupul de hackeri The Shadow Brokers in 14.03.2017.

Exista nenumarate informatii (evident, neconfirmate) cum ca The Shadow Brokers au reusit sa aiba acces la un set de instrumente ale NSA (adica au furat), si in felul acesta au aflat de vulnerabilitatea EternalBlue, facand-o publica, vulnerabilitate care la randul ei speculeaza familia de vulnerabilitati MS17-010 – Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148) a protocolului Server Message Block, utilizat cu preponderenta de sistemele de operare MS Windows. Deci, urmand un rationament logic, EternalBlue este creatia NSA. Astfel, pentru cei care au conceput WannaCry, EternalBlue a reprezentat un “ajutor” nesperat.

Concret, WannaCry cripteaza fisierele sistemului afectat (de unde si includerea sa in topologia de malware crypto-ransomware), exploatand modul de operare al protocolul de retea de nivel aplicatie Server Message Block (cunoscut si sub denumirea Common Internet File System), v1 si v2, portul TCP 445, prin intermediul caruia sistemele dintr-o retea locala isi distribuie fisiere si permit accesul la imprimante, porturi de comunicatie etc, si, in plus, poate fi utilizat ca mecanism de comunicare autentificate intre procese.

WannaCry este distribuit prin mesaje spam si apoi raspandit in in reteaua interna ca un worm. Dupa criptarea fisierelor, WannaCry furnizeaza un mesaj care include: o cerere de rascumparare, un cronometru care merge descrescator (timpul avut la dispozitie de persoana atacata pentru a face plata), si un portofel bitcoin care specifica unde sa fie facuta plata (300$).

– Ce fel de calculatoare sunt afectate, ce sisteme de operare, ce rețele de calculatoare sunt vulnerabile?

Orice tip de retele pot fi afectate; evident, tot ce este public presupune un grad de expunere mai mare si control scazut, iar ce este privat, expunere scazuta si control restrictiv.

– De ce nu e afectat Windows 10?

Este afectat si Windows 10. Doar ca update-ul de securitate pentru Windows 10 este inclus nativ in update-urile implicite ale sistemului de operare.

– Cum ne putem proteja de acest malware?

a. patch-ul oficial de la Microsoft

b. (eventual) dezactivarea SMBv1 si SMBv2 de pe sistem; insa trebuie avut mare grija, deoarece dezactivarea protocolului SMB atrage dupa sine dezactivarea altor servicii si functionalitati.

c. backup, backup, si iar backup.

d. mare atentie la atasamentele si link-urile din email-uri, chiar daca par a veni de la utilizatori cunoscuti (aspect ce tine de culturalizarea IT a utilizatorului).

e. mare atentie la email-urile care vin de pe domenii foarte asemanatoare cu cele ale furnizorilor cunoscuti de servicii financiare (ex. PayPal, Western Union, internet banking de la bancile unde sunt utilizatorii clienti).

f. mare atentie la email-urile care solicita schimbari de parole si alte actualizari de informatii cu caracter personal.

g. la fel ca la email, mare atentie la link-urile primite prin intermediul Facebook si la link-urile catre aplicatiile de mesagerie (in special, WatSab!!!!).

h. utilizare solutie antivirus.

i. Windows-ul sa fie up to date.
– Ce putem face în cazul în care suntem atacați de acest malware?

Nu exista un “tratament” standard. Cu fișierele criptate nu mai este nimic de făcut.
Exista câteva soluții. Una dintre ele presupune intrarea in Registry, ceea ce înseamnă că avem de-a face cu un utilizator oarecum avansat in domeniu.

Dar ca simplu utilizator, decuplarea sistemului de la retea si utilizarea unei solutii antivirus/antimalware care “prinde” deja malware-ul. Si pana nu este curat sistemul, sa nu fie introdus in retea.

Apropos de plata cerută de virus pentru decriptare, recomandarea este sa nu se faca, deoarece nu exista garantia primirii cheii de decriptare.


Recomandări

Leave a Reply

Your email address will not be published. Required fields are marked *