Utánajártunk

38_depositphotos.jpg
Forrás: ITB
Fizessünk vagy sem a túszul ejtett adatokért?

Terroristákkal nem tárgyalunk! Vagy mégis…

Milliárd dolláros üzletté nőtte ki magát a zsarolóvírus iparág, miután a vállalatok zöme hajlandó fizetni annak reményében, hogy viszontláthassa ellopott adatait. Az állami szférában egyértelmű az üzenet: terroristákkal nem tárgyalnak, inkább vállalják a papíralapú, lassabb működést.

Karácsony előtt derült ki, hogy 2016-ban az Uber két mérnökének ellopott jelszavával léptek be hackerek az Amazon webszerverére, ahol a közösségi taxivállalat az utasok és az Ubernél sofőrként dolgozók adatait tárolta. A virtuális betörők nem tétlenkedtek, lemásolták az 57 millió felhasználó adatait, majd 100 ezer dollárt kértek értük. Az Uber nem túl sokat gondolkodott, megkereste a hackereket és kifizette a váltságdíjat. (Eszerint megért 0,0017 dollárt az Ubernek minden felhasználó, ez még forintban is 43 fillért jelent csupán.)

 

Elkönyvelt zsarolópénz

Sőt, még tovább is ment a vállalat: titoktartási szerződést íratott alá a hackerekkel, hogy a kifizetett összegért cserébe nemcsak törlik a náluk lévő adatokat, hanem titokban is tartják az incidenst a hatóságok előtt – a vállalatnak ugyanis jelentenie kellett volna az esetet. A kifizetést úgy könyvelték el, mintha a cég hibavadász programjában biztonsági rést feltáró szakembereknek fizettek volna.

Az Uber az amerikai „váltságdíjat nem fizetünk” kultúrában tényleg szokatlanul járt el, talán azért, mert éppen akkor az amerikai fogyasztóvédelmi hivatallal egy jogsértési ügyben egyezkedett; vagy azért, mert az agresszív terjeszkedési kultúrájáról híres vállalatnál ez lett a bevett szokás, nem tudni pontosan. Az akkori vezetőt, Travis Kalanickot mindenesetre tavaly leváltották a cég operatív vezetői posztjáról, a kifizetéseket intéző biztonsági szakembert pedig kirúgták.

Vicces, hogy a tőzsdén még nem jegyzett, de 2019-ben részvénypiaci megjelenést tervező vállalatnál azért vált ismertté az eset, mert az új vezető, Dara Khosrowshahi minden csontvázat ki akar pakolni a szekrényből, hogy a cég tőzsdei bevezetése sikeres legyen.

 

Intézzük papíron!

Az észak-karolinai Mecklenburg megye vezetősége az Uber elöljáróihoz képest ellentétesen reagált, amikor a közügyeket menedzselő számítógépes rendszerük zsarolóvírus áldozata lett. A hackerek két bitcoint kértek a titkosító kulcsért – ez december elejei árfolyamon 23 ezer dollárt, vagyis közel 6 millió forintot jelentett. Dena R. Diorio megyei vezető azonban kijelentette: egy fityinget sem fizetnek a zsarolóknak, vannak biztonsági mentéseik, onnan állítják vissza az adatokat. A választást az is megkönnyítette, hogy a rendszerek helyreállítása, a zsarolóvírus teljes kitakarítása, a biztonsági mentések betöltése szinte ugyanannyi időt és energiát venne igénybe, mintha a titkosító kulcs segítségével állítanák vissza az adatokat. „Idő, türelem és munka kérdése, de számítógépes rendszereinket önmagunk, a biztonsági mentések alapján állítjuk vissza” – nyilatkozta a menedzser, hozzátéve, hogy a közügyeket továbbra is lehet intézni, csak valamivel lassabban, papíralapon.

Postán érkezett az első

Már csak az idősebb informatikusok körében ismert floppy lemezen terjedt és postán érkezett az első zsarolóvírus. Nagy-Britanniában (nem véletlenül) a PC Business World magazin előfizetői kapták meg a lemezt. A floppy egy HIV/AIDS-sel kapcsolatos kérdőívet tartalmazott, azonban a program pár nappal később zárolta a számítógépet és 189 dollárnyi váltságdíjat követelt – egy panamai postafiókhoz kellett küldeni a pénzt.

Az AIDS zsarolóvírust húszezer embernek küldték el összesen. A nyomozók hamar kiderítették, ki állt a zsarolás hátterében (egy bizonyos Joseph Popp).

Az 1990-es Virus Bulletin elemzése a koncepciót zseniálisnak és ördöginek nevezte, de a programozást már gyengének tartotta. A vírus nem titkosította a merevlemez fájljait, csupán módosította a fájlneveket. A számítógépet többszöri újraindítása után zárolta. Az értesítő üzenetben a szoftver bérletének megújítására szólította fel a károsultakat. A fájlokat manuálisan is vissza lehetett állítani, igaz, elég kemény munka volt, „csak” a megfelelő átnevezési algoritmust kellett kitalálni.

 

Kriptovaluta a spájzban

A fizetni vagy nem fizetni kérdése kényes téma a szervezetek életében. Természetesen alapból senki sem akar fizetni, senki sem akarja a bűnözőket újabbnál újabb vírusfajták kitalálására „ösztönözni”. Terroristákkal nem tárgyalunk – ez a határozott álláspont. Másrészt viszont ott a csábítás, hogy a titkosító kulcs birtokában gyorsan visszaállítható az épp szükséges fájl; a rendszer biztonsági felülvizsgálata, a zsarolóvírus kitakarítása várathat még magára. És hogy a kifizetésnek ne legyen akadálya, a vállatok bespájzolnak a zsarolók kedvenc valutájából, a bitcoinból.

A spájzolás alatt ténylegesen azt értjük, hogy megelőző céllal vásárolnak kriptovalutát azért, hogy legyen mivel kifizessék a bűnözőket – ahogyan az a Citrix brit cégeket érintő felméréséből is kiderült. A több mint 250 alkalmazottal rendelkező vállalatok átlagosan 23 bitcoint tartanak készenlétben, mert úgy vélik, sokkal egyszerűbb a hatóságok figyelmén kívül, házon belül megoldani a krízist, mint jelenteni az esetet. Ugyanez a felmérés kiderítette azt is, hogy a nagyobb brit vállalatok átlagosan 136 235 fontot, azaz közel 50 millió forintot is hajlandók lennének fizetni az adataikért.

Számos becslés készült arra vonatkozóan, mennyibe is kerül a zsarolóvírus egy vállalatnak. A Cybersecurity Ventures véleménye szerint tavaly 5 milliárd dollárt fizettünk ki zsarolóvírusok miatt (2015-ben még csak 325 millió dollárba került mindez), irodai dolgozóra vetítve ez átlagosan 1400 dollárt jelent. A Google egyetemi központokkal közös tanulmánya ennél szerényebb összegekről számolt be (igaz, ők célzottan bizonyos zsarolóvírusokhoz kapcsolódó kifizetéseket vizsgáltak): két év alatt összesen 25 millió dollárt fizettek ki az áldozatok.

A blockchain technológia segítségével zsarolóvírus-törzsekre leosztva követték a pénzmozgásokat, összesen 34 víruscsaládot figyeltek, közülük egy pár hozta a profit nagy részét. Például a Locky vírus 2016 és 2017 első felében összesen 7 millió dolláros nyereséget generált. Ez volt az első igazán szervezett zsarolóvírus vállalkozás: a fizetési és a titkosítási infrastruktúrákat külön kezelték a malware terjesztőktől, emiatt sokkal hatékonyabban tudott terjedni. Magyarul, külön csapatok foglalkoztak a pénzügyekkel, a technológiával és az eladással. Hasonló taktikát követtek a többi sikeres víruscsaládok is: a Cerber és a CryptXXX 6,9, illetve 1,9 milliónyi dollárt szedtek össze.

 

Félmilliárd forint hazai cégektől

Hasonló tanulmány hazai viszonylatban még nem készült, becslés azonban létezik: a G DATA szerint 2015-ben és 2016-ban, vagyis két év alatt a magyar vállalatok félmilliárd forintot fizettek ki zsarolóvírusok hatására. A cég szerint ez az összeg az elmúlt egy évben 20 százalékkal csökkent. Ez annak is köszönhető, hogy a magyar vállalatok szerencsére tudatosabbak lettek, már jobban odafigyelnek adataik védelmére.

Azonban az is igaz, hogy egyáltalán nem lenne szabad felmerülnie a fizessünk vagy ne fizessünk kérdésnek, hanem megfelelő megelőzésről (frissen tartott védelemről, rendszeres adatmentésről) kellene gondoskodni. A szakember szerint a fertőzések 99 százaléka a nem frissített, vagy a helytelenül beállított védelem miatt következik be. Amíg egy kórház informatikusa arra vár, hogy a felelős területi vezető jóváhagyja a beszerzést, és közben két hónapig nem frissül a vírusvédelem, addig miről is beszélünk.

A tapasztalatok azt mutatják, hogy fizetés után csak az esetek felében érkezik meg a feloldáshoz szükséges kulcs. A kulcs birtokában is valószínűleg csak részlegesen tudjuk helyreállítani az adatokat. És nyilván azért sem tanácsos fizetni, mert így támogatnánk a bűnözést, arra motiválnánk a kiberbűnözőket, hogy még több kártevőt írjanak.


 

Nyitva hagyott ajtók

A különböző zsarolóvírus hullámok hazánkat is elérték, több önkormányzat, intézmény, szolgáltató és gyártó szenvedett már miattuk. Volt olyan, hogy szinte egyidejűleg két autóipari gyártónál is sikeres zsarolóvírusos támadást hajtottak végre: az egyiknél két napra leállították a gyártást, míg megszabadultak a zsarolóvírustól és helyreállították a rendszereket – de nem fizettek. Más megtörtént esetben, kisebb cégnél bevállalták a plusz 5 millió forintos kiadást adataik visszanyerése reményében, de sikertelen volt a próbálkozás.

Az egyik hazai önkormányzatnál történt, hogy egy zsarolóvírus 100 felhasználó gépét titkosította. Az IT-rendszert komoly biztonsági infrastruktúra védte, de a vírus így is becsúszott. Az utólagos vizsgálat kiderítette, hogy a védelmi rendszer rossz beállításai miatt történhetett mindez: a rendszerekben nem aktiválták a http-szűrést, a tömörített fájlok átvizsgálását és az e-mail védelmet sem, de ki volt kapcsolva a magatartásalapú védelem is. Az esetről egy névtelenséget kérő biztonsági vállalat számolt be.

Az informatikus mögöttes szándékait csak találgatni lehet, például lehet, hogy csupán azt gondolta, minek fáradozni a beállításokkal, vagy szerette volna a munkahelyén letölteni az áhított torrentet, amit a vírusirtó megfogott volna. Pontosan nem tudni, a lényeg, hogy a rosszul beállított, nem bekapcsolt védelem mellett a fertőzés csak idő kérdése.

Nagy valószínűséggel az önkormányzat nem fizetett a zsarolóvírusok terjesztőinek; fáradtságos munkával, a biztonsági mentésekből állították vissza az adatokat, miközben reménykedtek benne, hogy a vírust a legrejtettebb zugokból is kiirtották.

 

Négy százalék zsarolóvírusos támadás

A Nemzeti Kibervédelmi Intézet Kormányzati Eseménykezelő Központja, vagyis a GovCERT adatai szerint egyetlen magyar kormányzati hivatal sem fizetett váltságdíjat 2017-ben – de zsarolóvírusos támadások érték őket, a biztonsági események valamivel több mint négy százaléka volt hasonló. Árnyalja a dolgot, hogy tényleges adatvesztés nem minden esetben történt, olyan eseményeket is jelentettek, amikor csupán egy vírust tartalmazó e-mail érkezett.

A GocCERT természetesen nem javasolja a váltságdíj kifizetését, hiszen nincs rá semmilyen garancia, hogy valóban feloldják a titkosított dokumentumokat. Azért sem javasolják, mert az így kifizetett összegek kiberbűnöző vagy más, akár terrorizmussal is kapcsolatba hozható csoportokhoz kerülhetnek. Arra sincsen garancia, hogy a váltságdíj megfizetése után – akár visszaállítható az informatikai rendszer, akár nem – nem történik újabb támadás ugyanazon intézmény ellen.

Vagyis terroristákkal nem tárgyalunk!


Túszul ejtett adatokért követelt váltságdíjak alakulása, dollárban

2014 373
2015 294
2016 1077
2017 1400

Forrás: Symantec 2017 Internet Security Threat Report, Cybersecurity Ventures