Michał Gostkiewicz: Czy Polska jest gotowa na atak taki jak Petya i czy ma czym się przed nim bronić?
Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl: - Część z rodzimych firm i instytucji zawsze jest nieprzygotowana i zawsze będzie nieprzygotowana. Tu się nic nie zmieni.
Pani premier zwołuje sztab kryzysowy. Ministrem obrony jest w Polsce człowiek, do którego w trakcie transmitowanej na żywo konferencji na Skypie zadzwoniło kilku fałszywych Władimirów Putinów.
- Jestem bardzo ciekaw, jakie działania podejmie rząd. Dajmy sztabowi kryzysowemu szansę. Samo to, że rząd się zainteresował tym atakiem, jest dobrym objawem. Zaczęto dostrzegać problemy, które od dawna dotyczą także nas. Niepokojące jednak jest to, że wczoraj, gdy do nas, do Niebezpiecznika , czyli prywatnego serwisu, zaczęły spływać informacje dotyczące ataków na polskie spółki , NC Cyber NASK - jednostka powołana pod auspicjami Ministerstwa Cyfryzacji i mająca zarządzać polskim cyberbezpieczeństwem - cytując wypowiedź dla PAP "nie otrzymała żadnych niepokojących sygnałów z Polski". Oni tych zgłoszeń faktycznie mogli od nikogo nie otrzymać. Pytanie, dlaczego poszkodowani im ich nie przysyłają? Czy w ogóle wiedzą, że istnieje coś takiego, jak NC Cyber NASK?
Powinniśmy zacząć się bać?
- Głównym celem ataku robaka Petya, a tak naprawdę NotPetya, jak obecnie nazywa się tę jego odmianę, była Ukraina.
I wiele mediów i polityków obwiniło od razu Rosję, a przynajmniej rosyjskich hakerów.
- To jest przewidywalny sposób myślenia polityków - że to musi być jakieś wrogie państwo. Zaatakowana została kluczowa ukraińska infrastruktura, więc zarządzający rządowymi ukraińskimi koncernami ludzie, którzy mogą nie mieć technicznej wiedzy na temat ataków komputerowych, od razu wskazali na Moskwę, naturalnego dla nich wroga. Rosja to bardzo wygodna narracja dla mediów, nie tylko ukraińskich, więc i zagraniczne serwisy to podchwyciły. Ja byłbym ostrożniejszy w ocenie - jest za wcześnie, by wskazywać winnego. To rzeczywiście może być konkretne państwo typu Rosja czy Korea Północna, ale równie dobrze może to być grupa 20-latków różnych narodowości, siedząca w piwnicy na drugim końcu świata, czyli po prostu ludzie niezdrowo zainteresowani komputerami, którzy chcieli zarobić po 300 dolarów od osoby.
Podejrzane mogą być jeszcze międzynarodowe grupy przestępcze. Kolektywy hakerskie. Terroryści.
- Albo inna grupa czy organizacja, o której istnieniu nie mamy pojęcia. Przy czym ten konkretny atak w praktyce umożliwiła amerykańska agencja wywiadowcza NSA, która dała się po prostu okraść. Ktoś wyniósł ich "zabawki" do przeprowadzania ataków komputerowych, chciał je początkowo sprzedać, ale nikt nie chciał za nie płacić. Więc po roku złodzieje opublikowali je w internecie. W miesiąc od publikacji były już gotowe wykonane na ich podstawie złośliwe programy, które każdy mógł wykorzystać do ataku. No i ktoś to zrobił.
W Polsce robakiem Petya oberwały m.in. firmy związane z logistyką i transportem, jak światowy potentat Maersk.
- Celem ataku, jak ustalili ukraińscy śledczy, były wszystkie firmy w Ukrainie, które miały zainstalowane oprogramowanie MEDoc. To coś w rodzaju polskiego programu Płatnik, który muszą zainstalować wszystkie firmy, żeby móc m.in. rozliczać podatki. Skoro każda firma powinna go posiadać na minimum jednym komputerze, przestępcy wpadli na bardzo sprytny pomysł: włamali się na serwery producenta i, w uproszczeniu, podmienili ten, potrzebny ukraińskim podmiotom program, na złośliwy.
Zainfekowali źródło.
- Serwer producenta zaczął we wtorek po 10:30 rano publikować aktualizację oprogramowania MEDoc, która automatycznie dystrybuuje się na komputery wszystkich klientów. Firmy domyślnie pobrały ją, bo ufają temu producentowi. To byli "pacjenci zero" - pierwsi zainfekowani.
Dalej poszło szybko.
- Tak. NoPetya, po zainfekowaniu komputerów rozprzestrzenia się po sieciach lokalnych, szukając innych maszyn, które nie mają wgranych wszystkich aktualizacji i dlatego posiadają dziury. I teraz: jeżeli mamy firmę w Polsce, która ma oddział w Ukrainie, albo odwrotnie, to jest spora szansa na to, że komputery polskie "widzą się" z ukraińskimi. A jak się widzą, to mogą się również wzajemnie infekować.
W ten sposób robak został przesłany na komputery polskich spółek. Wyraźnie było widać, że pierwszymi ofiarami były firmy spedycyjne. Mają oddziały w każdym kraju, gdzie operują, także w Ukrainie. I nie rozgraniczałbym tego, co się dzieje w obu krajach. Taki atak wygląda wszędzie tak samo. Szyfruje pliki. Jeżeli ktoś nie ma kopii bezpieczeństwa, to jest na przegranej pozycji. Nie ma znaczenia, gdzie się zacznie atak - niezależnie od kraju skutki będą podobne. Wykorzystane zostało zaufanie do dystrybutora oprogramowania, które jest wymagane na wielu komputerach. Gdyby u nas ktoś zainfekował Płatnika, skutki byłyby podobne.
Miesiąc temu 300 tys. komputerów zainfekował w identyczny sposób robak WannaCry.
- Bardzo podobny sposób działania - szyfrowanie plików i żądania okupu - obserwowaliśmy wczoraj. Firmy już miesiąc temu, analizując wydarzenia związane z WannaCry, powinny wyciągnąć wnioski: aktualizować oprogramowanie na bieżąco, i regularnie robić kopie bezpieczeństwa.
Czy przedsiębiorcy odrobili lekcję sprzed miesiąca dotyczącą ataków ransomware?
- Okazuje się, że część firm się nie uczy na cudzych błędach. A chodzi o dostosowanie się do trzech dobrych porad.
Pierwsza?
- Kopia bezpieczeństwa! Nie potrzeba hakerów, żeby nasze dane uległy uszkodzeniu. Ten sam efekt wywoła uderzenie pioruna czy pożar. Warto mieć skąd odzyskać dane. To jest oczywiste. Pamiętajmy tylko, aby kopię trzymać niepodpiętą do źródła. Inaczej infekcja źródłowego komputera może także spowodować utratę "backupu".
Druga?
- Aktualizacja oprogramowania.
A trzecia?
- Nie do końca związana z tym atakiem, ale zapobiegająca wielu innym. Nie otwierać załączników z maili od firm i osób, od których nie spodziewamy się takowych dostać. Tym bardziej jeśli załącznik jest na hasło lub wymaga włączenia tzw. "makr". Tego typu zachowania są charakterystyczne prawie tylko i wyłącznie dla złośliwego oprogramowania.
Na tę chwilę nie ma możliwości, żeby komputer zwykłego Kowalskiego obronił się przed atakiem typu Petya sam za pomocą firewalla i antywirusa?
- Jak już zobaczymy komunikat o zainfekowaniu plików i żądanie zapłaty okupu, to wszelkie nasze działania to "musztarda po obiedzie". Płacić w tym wypadku też nie ma po co, bo operator skrzynki pocztowej, którą szantażyści wykorzystują do kontaktu z ofiarami, zablokował ją. Nawet, jeżeli ktoś zapłaci, to nie dostanie klucza deszyfrującego, bo nie nawiąże kontaktu z przestępcami. Straci więc i pieniądze, i dane.
I co teraz?
- Jest szansa - tak się zdarzało w przeszłości - że po miesiącu, dwóch, a może dopiero po pięciu latach ktoś złamie algorytm wykorzystywany przez to oprogramowanie do generowania kluczy szyfrujących i wygeneruje uniwersalny klucz, który pozwoli każdemu odszyfrować dane. Ale nie ma pewności, że przestępcy popełnili błąd, który to umożliwi. Ofiarom polecam jednak trzymać przez pewien czas zaszyfrowane dane i być dobrej myśli. Badacze starają się im pomóc i miejmy nadzieję, że to się uda.
Z tego, co pan mówi, wynika, że gdyby taki atak zaczął się w Polsce, to skutki wyglądałyby mniej więcej tak, jak w Ukrainie. Zarówno jeśli chodzi o polski sektor prywatny, i państwowy?
- To możliwe. Jeśli ktoś podmieniłby Płatnika, albo inne oprogramowanie, którego użycie jest konieczne w kontaktach z polskimi urzędami, np. do rozliczania podatków czy cła, mielibyśmy analogiczną sytuację. Takie programy trzeba mieć. Takim programom się ufa.
Jeżeli przestępcom uda się atak na instytucję, która cieszy się zaufaniem, to w każdym kraju będzie tak samo?
- Oczywiście.
Michał Gostkiewicz. Dziennikarz magazynu Weekend.Gazeta.pl. Wcześniej dziennikarz Gazeta.pl, "Dziennika" i "Newsweeka". Stypendysta Murrow Program for Journalists (IVLP) Departamentu Stanu USA. Robi wywiady, pisze o polityce zagranicznej i fotografii. Kocha Amerykę od Alaski po przylądek Horn. Prowadzi bloga Realpolitik .