Kompiuterių saugumo bendrovėje „Fortinet“ dirbantis informacinių sistemų saugumo ekspertas Guillome'as Lovet vykusioje interneto saugumo konferencijoje lankytojams aiškino, jog šiuolaikiniai kibernetiniai nusikaltėliai yra pakankamai motyvuoti, kad apeitų praktiškai visas apsaugos priemones, kuriomis savo kompiuterius bando ginti vartotojai – ypač jeigu tie vartotojai nėra eiliniai piliečiai.
Apie tamsiojo programišių pasaulio užkulisius jis papasakojo išskirtiniame interviu DELFI:
– Kada įvyko tas virsmas, kai virusų kūrėjai iš smalsuolių entuziastų tapo nusikaltėliais?
– Manau, pagrindinis virsmo taškas buvo 2005 metai. Iki tol, ypač du paskutinius praėjusio amžiaus dešimtmečius, virusai ir piktybinės programos buvo kuriami savo malonumui ar siekiant pripažinimo. Pavyzdžiui „Sasser“ kirminas – jį parašė vaikas, norėjęs, kad jo mama, dirbanti apsaugos nuo virusų bendrovėje, turėtų darbo. Vaikis pamanė, kad jei sukurs virusą, kuris pridarys daug bėdų, tai jo mama turės daug darbo.
Tikriausiai tai yra pirmas atvejis, kai virusas buvo kuriamas turint tam tikrą finansinę motyvaciją – tai buvo apie 2003–2004 metus.
Praėjusio dešimtmečio pradžioje labai dažnai susidurdavome su elektroninio pašto kirminais – pavyzdžiui, „MyDoom“, „NetSky“ ir panašiai. Jie užkrėtė daugybę kompiuterių, bet jų tikslas buvo tik užkrėsti ir nieko daugiau. Tarp šių kenkėjiškų programų netgi prasidėjo karai – „NetSky“ iš kompiuterių šalino „MyDoom“ ir panašiai.
Virusų kūrėjai pamatė, kad jei gali užkrėsti tūkstančius, šimtus tūkstančių ir netgi milijonus kompiuterių, bet nieko su tais užkrėstais kompiuteriais nedarė. Ir kažkada kažkam šovė mintis – o gal ką nors galima padaryti su tokiu kiekiu užkrėstų kompiuterių? Gal iš to galima užsidirbti pinigų?
Todėl netrukus, 2005 metais, atsirado elektroniniu paštu plintantis kirminas, kuris taip pat veikė kaip botas. Visi šiuo kirminu užkrėsti kompiuteriai, vietoje to, kad nieko neveiktų, jungėsi prie bendro valdymo kanalo IRC (kadaise daugelis interneto vartotojų būtent per IRC kanalus palaikė ryšį su draugais ir bendraminčiais). Visi kompiuteriai jungdavosi į pokalbių kambarį, o to pokalbių kambario vadovas galėjo teikti instrukcijas visiems tiems kompiuteriams.
Ir pirmasis užkrėstų kompiuterių tinklo panaudojimas buvo siųsti brukalus, iš kurių buvo galima uždirbti pinigus. Turint daug kompiuterių brukalams siuntinėti galima kreiptis į tokio reklamavimo būdo užsakovus ir pasakyti jiems: „Sumokėk man kažkokią cento dalį už kiekvieną išsiųstą laišką“. Taip jie uždirbdavo nemažai pinigų.
Vėliau žmonės pradėjo ieškoti ir kitų būdų monetizuoti savo sukurtus botnetus (botais užkrėstų kompiuterių (zombių) tinklus). Pavyzdžiui, imtasi vogti „PayPal“ slaptažodžius, kredito kortelių numerius, elektroninės bankininkystės prisijungimo duomenis ir panašiai, naudoti kompiuterius DDoS tipo atakoms.
Norint išsinuomoti kompiuterių tinklą DDoS atakoms atlikti pakanka nueiti į juodąją rinką, susirasti kokį nors žmogelį, pasiūlyti jam 200 dolerių už tai, kad jo botnetas iš 100 000 kompiuterių atakuotų vieną ar kitą taikinį, tarkim, vieną parą. O sumokėjus daugiau ataką galima vykdyti savaitę. Na ir panašiai.
Taigi, maždaug nuo praėjusio dešimtmečio vidurio pradėta monetizuoti užkrėstų kompiuterių tinklus taikant skirtingus verslo modelius.
O po kurio laiko atsirado naujo tipo programišiai, vadinamieji hacktivistai, kurie savo veikla užsiima ne dėl pinigų.
Ir taip pat kiek vėliau pradėtos vykdyti kompiuterių atakos vyriausybiniu lygiu – prisiminkite „Stuxnet“ ir „Flame“ infekcijas. Tiesa, apie pastaruosius tinklus daugiausiai išgirdome pastaraisias metais, nors jie iš tikrųjų veikė jau metų metus. Iki tol tiesiog nieko apie juos nežinojome.
– O nejaugi taip lengva prieiti prie tos juodosios programišių rinkos, tarkime, DDoS atakai vykdyti? Nejaugi pakanka tik mokėti naudotis „Google“?
– Iš esmės, taip. Jokių specifinių žinių nereikia. Visa tai galima rasti per „Google“, kokiuose nors pogrindiniuose forumuose. Na ne visai pogrindiniuose – jie tiesiog talpinami teisėsaugai neprieinamose tarnybinėse stotyse. Kartais tokius forumus talpina ir FTB, kurie tokiu būdu stebi kas vyksta.
– FTB kuria kažką panašaus į programišių medaus puodynes?
– Tiksliai taip. Bet ir tuos tikruosius forumus gana paprasta surasti, nesunku susisiekti su vaikinais, kurie parduos savo tinklus DDoS atakai, parduos savo trojos arklio tipo virusus bankininkystės duomenų vogimui. Tie vaikinukai net per „Youtube“ reklamuojasi. Ir reklamavimuisi jie netgi naudoja merginas, fotomodelius. Juokinga. Bet taip iš tiesų yra.
Bet jei norite nusipirkti kredito kortelių numerių ar pavogtų prisijungimo prie bankininkystės duomenų ir norite būti tikri, kad duomenys nėra išgalvoti, jau reikalinga patekti į pasitikėjimo ratą. Kad prieitumėte prie aukščiausio lygio kibernetinių nusikaltėlių rato, kuriame uždirbami didžiausi pinigai, jus turi rekomenduoti ir pristatyti tam tikriems žmonėms. Bet iš esmės Trojos arkliams ar DDoS atakoms užsakyti pakanka nueiti į tam tikrus forumus.
– O FTB su savo medaus puodynėmis taikosi sučiupti tuos potencialius nusikaltėlius, kurie sugeba užsukti ne į tikrą forumą?
– Manau, kad jie gaudo tik stambias žuvis. Panašiai kaip ir kovojant su narkotikų verslu – daugiausiai pastangų dedama norint sučiupti tinklų vadovus, o ne eilinius pardavėjus.
– Savo pranešime minėjote, kad kibernetinio nusikalstamumo pasaulyje yra tam tikri luomai – tie, kurie gamina priemones, tie kurie naudodamiesi priemonėmis surenka duomenis ir tie, kurie naudodamiesi duomenimis išgauna pinigus. Kokie tai žmonės? Kokie yra jų motyvai? Ar virusus kuria protingi vaikai?
– Virusų kūrėjai yra ne vaikai. Na gali pasitaikyti vienas kitas vaikas, bet visoje skaitmeninio nusikalstamumo grandinėje tai yra labiausiai techniniu požiūriu pasikaustę žmonės. Kaip pavyzdžiu pasinaudokime Rusija. Tai yra šalis, kurioje labai stiprios akademinės pažangos tradicijos. Ypač inžinerijos srityje. Taigi, iš Rusijos universitetų atėję žmonės yra labai kompetetingi, labai aštraus proto inžinieriai.
Bet taip pat į akį krenta ir jų atlyginimai – vidutiniškai gal 300 dolerių. Taigi, turime labai kompetetingus specialistus ir labai nedaug pinigų. Tai – sprogstamasis kokteilis, nes jie tikrai ras kitų būdų užsidirbti tiek pinigų, kiek verta jų kompetencija. Ir tai suprantama. Aš tam nepritariu, bet pilnai tai suprantu.
Vyrukai, gaminantys Trojos arklius, virusus ir kitus įrankius, juos parduoda vaikams už kelis dolerius ar daugiau. Naudojantis tokiais įrankiais vagiami bankininkystės prisijungimo duomenys, slaptažodžiai. Dviejų lygių prisijungimo prie bankų apsauga – su kodų lentelėmis, su kodų generatoriais – nėra pakankama. Tokią apsaugą galima įveikti.
O kai turi rinkinį prisijungimo duomenų ar kortelių numerių, ką su jais daryti? Jeigu pats jungsiesi prie sąskaitų, kaip iš jų ištraukti pinigus taip, kad nebūtumėte susekti? Nes pinigus susekti labai paprasta. Juk nepervesi pinigų tiesiai į savo sąskaitą. Staigiai sučiuptų. Taigi, paprastai tie duomenys parduodami kitiems žmonėms – tokiems, kurie žino, kaip išimti pinigus iš svetimų sąskaitų. Iš esmės tai yra pinigų plovimo procedūra. Kas ją geriausiai išmano? Mafija. Organizuotas nusikalstamumas. Žmonės, kurie nuo seno yra patyrę pinigų plovėjai. Jie technologiškai pasikaustę, bet vistiek tai yra mafija.
Pavyzdžiui, viena iš pinigų perėmimo taktikų yra pinigų mulų naudojimas. Standartiškai, jeigu turite JK gyventojo bankininkystės prisijungimo duomenis, negalite jo pinigų tiesiogiai pervesti į Rusiją. Interneto bankininkystės sistemos to neleidžia. Pinigus galima pervesti tik į kitą ES valstybę. Todėl mafija samdosi mulus, į kurių sąskaitas perveda pinigus iš apvagiamųjų sąskaitas, o vėliau tie mulai pinigus išsigrynina ir per „Western Union“ ar kitus panašių paslaugų teikėjus siunčia į Rusiją.
– Ir visų trijų nusikaltėlių luomų atstovai koncentruojasi Rusijoje, taip pat Kinijoje bei Turkijoje?
– Paprastai taip, akys daugiausiai krypsta į Rytų Europą, į valstybes, kur žmonės yra moksliškai pažangūs, bet labai nedaug uždirba.
– Vadinasi, kompiuterinis nusikalstamumas yra iš dalis ir politinė-ekonominė problema?
– Tikrai taip.
– O kiek pelninga būti kiekvieno iš tų luomų nusikaltėliu?
– Jei vien kuriate ir pardavinėjate įrankius, galite užsidirbti ganėtinai nemažai. Kai kurie įrankiai gali kainuoti kad ir 600 dolerių ar net 2000 dolerių, kai kurie įrankiai parduodami kaip paslaugos su techniniu palaikymu. Kai kurie šios grandies nusikaltėliai netgi susikuria mažus versliukus – ne įprastines įmones, jie neturi nei rinkodaros kampanijų, nei apskaitos – jie turi klientų aptarnavimo protokolus, atnaujina savo pardavinėjamą įrangą taip, kad jos nesugautų antivirusinę įrangą gaminančios bendrovės, jie turi tam tikrų rinkodaros elementų, reklamuoja savo paslaugas tam tikrais kanalais. Tai tokie programišiai gali uždirbti visai nemažą kiekį pinigų. Skaičiais įvertinti sunku, nes nedaug žinome iš to gyvenančių žmonių, bet, manau, nesunkiai įmanoma uždirbti 10 000 eurų per mėnesį. Bet nusikalstamumo grandinėje ne jie uždirba daugiausiai pinigų.
Vaikai, naudojantys šiuos įrankius, uždirba labai nedaug. Tarkime, jiems bankininkystės duomenų vogimo įrankis kainuoja 200 dolerių, o už vieną duomenų rinkinį jie uždirba vidutiniškai vieną dolerį. Tai nėra daug, bet jei esate vaikas iš Ukrainos ar Baltarusijos, tai 300 dolerių per mėnesį yra visai nemažai. Jie gali nusipirkti džinsus ar kokį žaidimą.
O trečias luomas yra žmonės, kurie varto didžiausius pinigus. Pavyzdžiui, buvo atvejis, kai vaikas aukcione pasiūlė pirkti prisijungimo duomenis prie sąskaitos, kurioje buvo beveik 200 000 dolerių. Ir kiek jis už tai gavo? 200 dolerių. Pasiskaičiuokite pelno maržą. Ji geresnė nei prekiaujant heroinu. Ir ne taip rizikinga. Štai kur uždirbami didžiausi pinigai – milijonais dolerių per metus.
Dar egzistuoja savotiškas šantažavimo verslas, kuomet naudojamos vadinamosios scareware arba ransomware programos. Tai yra virusai, kurie apsimetinėja antivirusine programa ir įkyriai atidarinėja langus su pasiūlymu susimokėti už tai, kad tie langai nebebūtų atidarinėjami. Paprastai išpirka už kompiuterio ramybę yra apie 30 dolerių. Viena iš tokias programas platinusių kompanijų buvo iš Ukrainos, jie uždirbdavo po kelis milijonus dolerių per metus. Mat žmones tie iššokantys langai taip smarkiai erzino, jog jie sutikdavo susimokėti.
– O kiek rizikinga tokia veikla užsiimti? Ar kibernetiniai nusikaltėliai dažnai sučiumpami?
– Nusikalstamų įrankių gamintojai rizikuoja nemenkai, nes tokių įrankių kūrimas daugelyje šalių yra neteisėtas. Bet tie, kurie tuos įrankius naudoja, rizikuoja nestipriai. Nes tol, kol auka yra ne toje valstybėje, kaip nusikaltėlis, aukos valstybei labai sunku sugauti nusikaltėlį. Tam reikalingas tarptautinis bendradarbiavimas, be to, būna labai sunku atsekti žmogų. Pinigus sekti galima, bet ir tam reikalingas tarptautinis bendradarbiavimas. Ir nepamirškite to, kad valstybė, kurioje yra nusikaltėlis, paprastai būna nesuinteresuota suimti nusikaltėlį. Nes auka yra kitoje valstybėje, o aukos pinigai įliejami į nusikaltėlio valstybės ekonomiką. Taigi, kol aukos yra kitų šalių gyventojai, nusikaltėlio valstybės ekonomikai naudinga nesuimti nusikaltėlio. Ir nesvarbu, kad valstybė turi kovos su kibernetiniu nusikalstamumu įstatymų – jei valstybė neparodo valios tų įstatymų laikytis, jie ir neveikia.
– Ar programišių verslas populiarus, tarkime Afrikoje – jie juk uždirba labai nedaug pinigų. Nors ir universitetais negali pasigirti.
– Dėl to jie neturi techninių programišių. Bet jie turi daug socialinių programišių, kurie tiesiogiai mulkina žmones. Pavyzdžiui, be jau įprastų „Nigerijos 419“ tipo apgavysčių taikoma ir tam tikra šantažavimo forma, populiari Prancūzijoje. Dramblio kaulo kranto ir kitos prancūziškai kalbančios Afrikos valstybės gyventojai susisiekia su prancūzais, apsimeta panelėmis arba prieš interneto kamerą pasodina panelę. Apgavikai bando arba išprašyti pinigų iš prancūzo, kad šis atsiųstų pinigų, už kuriuos panelė galėtų nuvykti į Prancūziją, arba gali šantažuoti savo auką, nes įrašinėja viską, ką jis daro, skatina jį nusirengti ir save glamonėti, o paskui grasina filmuotą medžiagą išplatinti visiems šeimos nariams ir „Facebook“ draugams. Paprastai tokie bauginimai suveikia.
– O kokios yra gynybos nuo kibernetinių atakų linijos – tik sveikas protas ir antivirusinės priemonės? O gal esama kokių nors veiksmų ir interneto paslaugų teikėjų, valstybių ar pagrindinių interneto mazgų pusės?
– Šiuo klausimu turiu savo nuomonę. Įsivaizduokite – namie turite nemažai prie interneto prijungtų įrenginių, o netrukus visa įranga bus prieinama per internetą. Net šaldytuvas ir viryklė. Nejaugi norėsite diegti antivirusinę programinę įrangą į kiekvieną iš tų produktų? Tikrai ne! Jums reikės universalios sistemos, kuri suveiktų aukščiau interneto tiekimo grandinėje.
Interneto prieiga pastaruoju metu tapo bemaž komunaline paslauga. Visai kaip vandentiekis. Ir kai atsukate čiaupą, iš jo bėga vanduo, o vartotojas tikisi, kad tas vanduo bus švarus, be infekcijų. Žmonės prie kiekvieno čiaupo neprijunginėja mažų vandens filtravimo įrenginių. O dabar juk taip daroma su antivirusinėmis programomis – jos diegiamos į kiekvieną kompiuterį.
Norėčiau, kad interneto paslaugų teikėjas išvalytų duomenų srautą iki vartotojo, o vartotoją pasiektų tik švarūs duomenys. To ir visuomenė turėtų norėti. To turėtų prašyti iš savo interneto paslaugų teikėjų.
– Ir kodėl tai nedaroma iki šiol?
Nes tai brangu. Nes žmonės dar nesusivokia, kad švaraus interneto jie turi reikalauti kaip švaraus vandens. Tai yra žmonių filosofijos pažangos klausimas. Galbūt ir vyriausybės spaudimo klausimas.
– Ar šiais laikais sveikas vartotojo protas ir atsargumas dar gali apsaugoti nuo kompiuterio užkrėtimo virusais?
– Jeigu taikinys yra labai įdomus, o programišių ataka labai tikslinga, sveikas protas ir atsargumas nelabai padės. Žinoma, sveikas protas gali padėti išvengti daugumos bendrinių atakų, standartinių nelegalių taktikų. Bet jei ataka yra tikslinga – nieko nepadarysite. Žinoma, tikslingų, sudėtingų atakų dalis yra labai nedidelė, jos taikomos tik prieš labai svarbius asmenis. Taigi, didžiajai daugumai žmonių suvokimas ir sveikas protas vis dar yra svarbus
Bet įsivaizduokite situaciją – tarkime, gaunu elektroninį laišką iš siuntėjo, kurį pažįstu, o prie laiško prisegtas PDF dokumentas. Mano PDF skaityklė yra atnaujinta, operacinė sistema atnaujinta, tačiau prisegtoji rinkmena infekuota tokiu piktavališko kodo fragmentu, kuris išnaudoja visai neseniai atrastą silpnybę, kurios užkišimui atnaujinimo dar nėra. Tokį dokumentą atsidarysiu. Ir mano kompiuteris bus užkrėstas. Nors tikriausiai ne – naudoju ne „Windows“ o „Linux“ sistemą. Kita vertus, jeigu atakuojantysis tai žino, jis gali sukurti ir prie šios sistemos kimbantį virusą.
Taigi, technologijos turėtų padėti žmogaus sveikam protui saugoti kompiuterį. Apsaugoti kompiuterį sunku, bet jeigu apsauga daugiasluoksnė – tai įmanoma. Tiesa, visais atvejais, kai tik kompiuterio apsaugos priemonės pradės aktyviai mažinti kompiuterio funkcionalumą, vartotojas apsaugos priemones išjungs. Ir vartotojo už tai kaltinti negalima. Žmogus turi užsiimti savo darbu, o ne aiškintis ko ten reikia apsaugos programoms ir kodėl jos jam kažko neleidžia.
Dėl to saugumo technologijos turi būti kiek įmanoma skaidresnės. Vienas būdas tai padaryti – apsaugas diegti ne į kompiuterį, o į mazgus, siejančius kompiuterį su internetu: komutatorius, maršrutizatoriuis, „Wi-Fi“ prieigos taškus ir panašiai. Ta įranga neturi erzinti žmogaus ir stabdyti jo kompiuterį, neturi reikalauti atsisiųsti atnaujinimus.
– Ar tai reiškia, kad į kompiuterius diegiamai antivirusinei apsaugai nežadate šviesios ateities?
– Aš taip manau. Bendrovė, kurioje dirbu, kuria antivirusinę įrangą kompiuteriams ir telefonams – bet aš netikiu jų ateitimi. Taip pat mes gaminame antivirusinę įrangą tinklo komponentams, turime įrangą, kuria naudodamiesi mobiliojo ryšio operatoriai gali filtruoti MMS žinutes. „Symbian“ operacinėje sistemoje tai buvo vienas iš pagrindinių metodų užkrėsti telefonus.
–Ar tikslinga būtų greta techninių sprendimų kibernetinį nusikalstamumą stabdyti kokiomis nors socialinėmis, visuomenės švietimo priemonėmis?
– Manyčiau, kad tai yra daugiau ekonominis klausimas. Jeigu pragyvenimo lygiai būtų vienodesni, jeigu atlyginimai būtų harmonizuoti, tokių nusikaltimų būtų mažiau. Žinoma, švietimas taip pat būtų naudingas. Tėvai, kurie aiškina savo vaikui, kad jis neturėtų vogti, turėtų pridurti, kad jis ir internete neturėtų vogti.
Lietuvoje, Latvijoje ar Estijoje, kur žmonės yra gerai pasikaustę skaitmeninių technologijų klausimais, nebūtų sunku pamokyti vaikus, kad jie nevogtų internete. Bet bėda ta, kad kibernetinis nusikalstamumas atsiranda ne Baltijos šalyse. Nes tai yra išsivysčiusios šalys su pakankamai aukštais atlyginimais. Kitaip tariant, jūs esate dažniau aukos nei nusikaltėliai. Žinoma, ne dažniau taikomasi apvogti JAV, JK, Prancūzijos ar Vokietijos gyventojus.
Kažkuria prasme tai yra etinis klausimas – ar teisinga vogti iš turtingesnių ir pasidalinti su skurdesniais arba pasilaikyti sau?
– Ačiū už interviu.
G. Lovet skaitė pranešimą Vilniuje vykusioje konferencijoje „Globalūs iššūkiai valstybės institucijoms ir valstybinėms reikšmės organizacijoms“, kurioje technologijų saugumo temomis diskutavo daugelio šalies įmonių ir valstybės institucijų atstovai. Šį renginį organizavo „Teo“ kartu su bendrovėmis „Baltic Data Center“ ir „Fortinet“, Informatikos ir ryšių departamentu prie Lietuvos Respublikos vidaus reikalų ministerijos ir Lietuvos Respublikos ryšių reguliavimo tarnyba.