Димитър Ганчев: След вирусната атака - пазете важните файлове, дублирани поне на две флашки
При глобалната киберофанзива, предприета в края на миналата седмица, която порази над 200 хил. компютъра в над 150 държави, прави впечатление, че авторите на този вирус не са го написали качествено.
Те използват инструмент, който беше откраднат преди два месеца от Американската агенция за национална сигурност и просто са го вградили към техния зловреден код. Иначе методът за разпространение не е измислен от тях.
Не знам дали помните - преди два месеца хакери бяха откраднали от АНС целия арсенал от кибероръжия и искаха откуп за него. Но откупът не бе получен и след месец те публикуваха целия този арсенал. В този период от време АНС предупреди засегнатите компании, в т.ч. и Майкрософт, за това какво могат да очакват като следствие от изтичането на информацията. От Майкрософт са взели мерки, но само за тези компютри, които междувременно са си опреснили операционната система. За стари версии те отдавна не предлагат такова решение.
Интересното при последния случай е, че ситуацията бе толкова критична, че са пуснали обновяване дори за старите версии като Windows XP, които официално вече не се поддържат от 3 г.
При конкретният вирус, който заразява света от няколко дни, има някои недомислени неща, които позволиха сравнително лесно да бъде спрян или по-скоро - да бъде забавено неговото разпространение, защото в него са предвидени начини това да стане. И беше използвано от експертите по сигурността, разбира се.
Според мен, има част от вируса, която не е написана както трябва, и това ме кара да мисля, че зад него не стои голяма организация, разузнавателна служба или държава, а по скоро - криминална група. Забелязва се също, че въпросната криминална група вече си е поправила грешката и е пуснала за разпространение нов вирус, който няма kill switch в себе си.
Понеже инструментът за проникване в компютъра вече е публикуван, има го в интернет от около месец, със сигурност ще се появят и други групи, които ще си направят вирус на негова база. Докато компютрите са уязвими, те ще бъдат заразявани с нови и нови вируси, един след друг.
Вирусът, който наблюдаваме е разрушителен дотолкова, доколкото за премахването му се иска откуп от собственика на заразения компютър. Но аз очаквам, че следващата вълна, която ще мине, ще се използва за атаки за отказ на услуга. Това е атака към някакъв сървър в интернет, която се извършва едновременно от огромно количество компютри по света, като по този начин се спира или затруднява неговата работа. Ние сме имали подобни случаи - по време на избори беше спрян сайта на ЦИК, такъв бе случаят и със сайта на НАП. По света това е периодична практика - стотици хиляди компютри започват да „бомбардират” със заявки някакъв сървър и той излиза от строя. А ако разполагаш с мрежа от 300 000 заразени компютъра, пръснати по целия свят, е изключително лесно да организираш от тях атака към конкретна точка в интернет и по този начин да я изключиш.
Моето очакване, или - да го наречем интуиция, е, че в следващите дни тези компютри, които не са с опреснена версия на операционната система, ще бъдат тихо и кротко заразени без да виждаме резултатът от това. А него ще го забележим след време като атака вече към конкретен обект, която ще се осъществи от заразените компютри.
Целият този процес, който става пред очите ни в момента със сигурност е компютърен рекет, искане на откуп. Можем да го наречем и кибертероризъм, защото следващото нещо, което, според мен, ще се случи, е точно това - ще бъде счупена някаква част от критичната инфраструктура, т.е. извадена от строя, с използването на мрежата от заразени компютри. Това не е нещо ново, случва се отвреме навреме, но с колкото по-голяма мрежа разполагат тези групи, толкова по-големи щети могат да причинят. При този случай мрежата ще е доста голяма.
От десетина години не сме имали случай, при който вирус да може да се разпространява сам, от компютър на компютър, без участието на ползвателя му. Обикновено се разпространява чрез т.нар. fishing - ако се изпращат имейли с прикачени файлове към тях, а някой се хваща на въдицата и си заразява компютъра. Но случай, в който компютърът ти се заразява, само защото е включен в тока, много отдавна не е имало. И това се оценява като доста сериозна заплаха. В такава ситуация броят на заразените компютри, според мен, може да надмине и милион.
Две неща могат да се направят, за да се предпазим.
Едното е да не се използват компютри - тук, разбира се, се шегувам. А другото - да си опресняваме достатъчно често софтуера, който ползваме. Както операционната система, антивирусните програми, така и всички приложения, които използваме. Те трябва да бъдат актуални. И пак нямаме гаранция, но поне намаляваме степента на риска.
Не на последно място - трябва да съхраняваме информацията си, копие на важните файлове, на сигурно място извън компютъра - на външен диск или на флашка. Тя трябва да е поне на две места. Защото, ако ни изтрият важната информация в компютъра и ние си включим флашката, за да я върнем обратно, по-вероятно е в този момент да ни унищожат и флашката. Ако това се случи, е добре да имаме резерва. Не съм убеден, че можем да се опазим напълно, но трябва да сме подготвени, ако се случи нещастието, за да си възстановим загубите. Както казват мъдрите хора - ако си предупреден, значи си подготвен. /БГНЕС
------------------
Димитър Ганчев, главен секретар на Интернет общество – България.