Gorazd Božič: Mala Slovenija na internetu ni nič bolj varna kot druge države
Gorazd Božič. Foto: Matej Povše
Pred 27 leti je v elektronski nabiralnik še sveže ustanovljenega slovenskega nacionalnega odzivnega centra za kibernetsko varnost SI-CERT prispelo prvo sporočilo o spletnem incidentu pri nas. Navajalo je poskus vdora s slovenskega računalnika na švedskega. Tistega leta je bilo to sporočilo tudi edino. Nato jih je bilo vsako leto več, lani že 3177. O tem, katere nevarnosti sploh prežijo dandanes na spletne uporabnike in kako se pred njimi zaščititi, kakšne so razsežnosti in posledice kibernetskega kriminala, pa tudi o kibernetskem vojskovanju pred ruskim napadom Ukrajine smo se pogovarjali z vodjem in soustanoviteljem centra Gorazdom Božičem.
Gorazd Božič je osem let tudi predsedoval skupini evropskih odzivnih centrov TF-CSIRT in bil v upravnem odboru agencije Evropske unije za kibernetsko varnost ENISA. Je tudi scenarist dokumentarnega filma Hekerji.si. Pravi, da to večinoma niso več fanti z mozolji, kot smo si jih nekoč stereotipno predstavljali, ki nam iz svojih spalnic oziroma sob pošiljajo viruse. Zdaj v jedru napadov stoji organizirani kriminal, ki cilja na podjetja, predvsem z izsiljevalskimi virusi.
Avtorici: Klara Škrinjar in Maja Čakarić
Svet na oko nevidnih delcev, pod mikroskopom pa do 140 nanometrov velikih virusov SARS-CoV-2, nam je v minulih letih postal bolj otipljiv, še posebej ko je postalo razvidno, kakšne zdravstvene, gospodarske, družbene, varnostne posledice lahko povzroči. Kako pa naj razumemo računalniške viruse, ki so lahko vsaj zoprni, če že ne nevarni, ne da bi morali znova sesti v šolske klopi?
Virusi, kakršen je ta, ki povzroči covid-19, so kužni, kar pomeni, da se sami prenašajo s človeka na človeka. Njim podobni so, denimo, računalniški virusi, ki imajo vgrajeno tako sprogramirano komponento, da se sami širijo po omrežju, vendar pa so to v glavnem primerki iz preteklosti. Dobro je vedeti, da je računalniški virus manj kompleksen kot biološki, zato ga lahko ustavimo: pri njegovem masovnem širjenju ga analiziramo in iščemo rešitev, najpogosteje jih na koncu zajezimo tako, da namestimo popravke. Pri bioloških virusih ni tako enostavno, ne moremo nameščati popravkov, pa še cepivo se dolgo razvija.
A če je to dobra stran računalniških virusov, obstaja tudi druga, slabša, saj imajo lahko res zelo zoprne posledice. Večinoma se ne širijo sami z računalnika na računalnik, nam pa jih zlahka podtaknejo storilci.
Potem pa imamo opraviti še s kradljivci informacij, virusi, kot je trojanski konj. Ta se nam po navadi pod krinko predstavi kot koristen dodatek za spletno stran oziroma povezavo, ki naj jo kliknemo, pri čemer pa na svoj računalnik nevede namestimo trojanskega konja, ki krade gesla, digitalna potrdila, lahko pa tudi namešča dodatne komponente. Storilci se nato - glede na to, kateri sistem so okužili na računalniku doma ali v podjetju - odločajo za naslednje korake in strategije. A tudi te zaznamo in jih lahko ustavimo. Skratka, na računalniške viruse se lahko veliko hitreje odzovemo kot na biološke.
“Pomembno je, da storjene napake absorbiramo, jih prebavimo, se iz njih naučimo. Tukaj pa naletimo na velik problem. Napako je težko priznati.”
Poleg tega pa strategije boja z računalniškimi virusi in podobnimi nevšečnostmi ne ovirajo, recimo, posamezniki, ki so se ujeli v teorije zarote in za nič na svetu ne bi namestili popravkov in zavarovali svojih naprav?
Nekateri nočejo nameščati popravkov operacijskih sistemov, ampak ne iz nekih načelnih razlogov, ker bi jim to pokvarilo računalnik. Mogoče se jim ne da ali se jim ne zdi smiselno, nimamo pa gibanja, ki bi bilo organizirano, da bi protestirali proti Microsoftu, ker je spet izdal popravke, ne, tega pa ni.
Ali se kljub pogostim opozorilom ljudje še preveč naivno usedemo za svoj računalnik?
Da in ne. Gre namreč za to, da naj bi bili računalniki danes zelo preprosti za uporabo. Mislim pa, da bi morali ubrati drugačen pristop, delati na tem, da že uvodoma sledimo mehanizmom, zaradi katerih do napak ne pride. Danes je težava bitka za trg, kar pomeni, da proizvajalci operacijskih sistemov in aplikacij želijo program ali aplikacijo čim prej predstaviti trgu in prehiteti konkurenco, četudi se je na koncu razvoja programske opreme po navadi treba osredotočiti še na testiranje in flikanje lukenj, tudi varnostnih. Zavoljo naglice se te faze radikalno skrajšajo in za seboj puščajo odprta vrata za potencialne zlonamerne dejavnosti.
Foto: Matej Povše
Ob misli na varnost in zaščito pa tudi uporabniki radi zamahnemo z roko, češ da nam "krade čas" in še postopki so videti močno nadležni.
To je malo odvisno od načina in namena uporabe. Osnovna navodila, kako zmanjšati tveganja, so v bistvu zelo enostavna. Med njimi je osnova dvostopenjska avtentikacija. Pri uporabi VPN (navideznega zasebnega omrežja, op. a.) je že vprašanje, ali ga res potrebujemo v vsaki situaciji. Verjetno niti ne. Zaščita računov v oblaku torej ni toliko kompleksna in se je večina uporabnikov hitro navadi, drugo pa je, če govorimo o tem, kako zaščititi vire, podjetja, da ne bi prišlo do vdora, kar za začetek vključuje delanje varnostnih kopij datotek. A v podjetjih je po navadi že kdo zadolžen, da razmišlja o tem, mogoče celo kar cel oddelek strokovnjakov s področja informacijske tehnologije. Ti morajo narediti varnostne načrte in tudi načrte o tem, kaj narediti, ko pride do incidenta, kako se ustrezno odzvati; no, pustimo ob strani zdaj, da jih verjetno veliko niti še nima narejenih, če pa jih imajo, so pogosto zelo hitro zadovoljni s preventivo. V javni upravi pa je v veljavi celo pravilnik, ki določa osnovne varnostne standarde za vse nove aplikacije in neodvisne varnostne preglede teh. Kar je super, je pa vprašanje, ali lahko kdo dovolj visoko izsili obvode teh postopkov.
Mislim pa, da so osnovni koraki, ki običajnemu uporabniku interneta zagotovijo miren spanec, relativno preprosti.
Osnovni koraki zaščite
• Kjer je to mogoče, vklopite preverjanje v več korakih. Ob priklopu z nove naprave prejmete še dodatno potrditveno kodo na telefon ali pa to storite s posebno aplikacijo.
• Bodite zelo previdni pri mamljivih ponudbah po elektronski pošti, zahtevah za preverjanje gesla in odpiranju priponk.
• Predvsem pa bodite na tekočem: spremljajte obvestila varninainternetu.si prek novičnika ali na njihovih kanalih na družbenih omrežjih.
Včasih je bilo življenje bolj enostavno z vidika varnosti; ponekod, recimo, niso niti vrat zaklepali, toda internet je poseben v tem, da je globalen, ker premostitev kakršne koli razdalje ni ovira. Tako smo tudi nevarnostim na internetu izpostavljeni globalno. Dostikrat na SI-CERT dobimo novinarska vprašanja, ali je Slovenija kaj bolj varna od drugih držav, a naša majhnost nima nikakršnega vpliva, vsaj tukaj ne: mi smo na internetu kot vsi ostali in tudi mi dobimo svoj delež prevar, ne glede na velikost.
Da se tega ne zavedamo, je verjetno posledica evolucije, saj ne znamo dobro ocenjevati tovrstnih groženj. Navajeni smo pogledati okoli sebe in oceniti, ali je okolje, v katerem sedimo, torej fizično okolje, varno ali pa se v njem počutimo ogrožene. V tej presoji smo običajno dobri, težko pa si predstavljamo, da v bistvu prav v tem trenutku vaš računalnik snema naš pogovor, po napravi pa brskajo hekerji iz bogvekje, recimo iz Severne Koreje. Tega ne vidimo in zato navidezna mirnost okoli nas ne more dati objektivne ocene varnosti, razen če se s tem profesionalno ukvarjamo in delamo ocene tveganja.
Kaj pa kažejo vaši podatki in izkušnje, kaj na nas preži v zadnjih letih? Kateri so ključni poudarki poročila, ki ste ga v teh dneh objavili na SI-CERT, kjer sicer spremljate takšne incidente na spletu?
Številčno je največ phishinga, ribarjenja za gesli. Za storilce, ki izvajajo te napade, je ribarjenje zelo preprosta in izredno poceni metoda. Zamislite si, da prejmete elektronsko sporočilo, ki vas želi prepričati, da vam ga je poslala Pošta Slovenije, PayPal ali pa morda vaš ponudnik interneta. V sporočilu vas napoti na določeno spletno mesto, kjer morate nekaj potrditi, nato pa vpisati še svoje geslo, a v bistvu vas odpelje na lažno spletno mesto. Zelo enostavno: s tem, ko vpišete svoje podatke, jih pošljete storilcu.
Takšnih primerov je številčno največ. Pred nekaj leti jih je bilo približno deset odstotkov, zdaj že tretjina, verjetno zato, ker je za storilce uspešen poslovni model - z zelo majhno investicijo dobijo dostop do naših podatkov in potem, očitno v zadostni meri, tudi do finančnih sredstev.
Obenem smo zabeležili ogromen bum investicijskih prevar, ne po številu, ampak po znesku oškodovanja. Večinoma nas premamijo z lažnimi investicijami v kriptovalute. Storilci postavijo lažne platforme in tam prepričujejo, da so naložbe varne in blazno donosne. Tistim, ki si še niso domači s svetom kriptovalut, so pojasnila videti smiselna in logična. Zakaj tudi ne? Mediji so v zadnjih letih ali pa vsaj do nedavnega poročali o nesluteni rasti bitcoina in drugih kriptovalut, poleg tega lahko na družbenih profilih spremljamo tako imenovane kriptomilijonarje, ki se kopajo v denarju, in ko potem zagledamo reklame za investicije v kriptovalute, si sami pri sebi rečemo in utemeljimo: Aha, kar so bile včasih delnice, so danes kriptovalute! V bistvu gre za lažna spletna mesta oziroma spletna mesta, kjer vam lažno prikazujejo te donose. Obstaja tudi ta možnost, da nekaj časa dobivate donose za manjše vložke, potem pa vas prepričajo, da investirate vse svoje prihranke. Same sebe prepričate z argumentom: O, krasni zaslužki so, kar tri- ali štirikrat višji, v resnici pa vam nato en dva tri poberejo denar in izginejo.
Pogoste so še prevare oziroma incidenti, usmerjeni k podjetjem. Storilcem je v tem primeru najbolj pomembno, da dostopijo do elektronske pošte osebe v podjetju, ki skrbi za nabavo ali prodajo. Potem se, kot temu rečemo, vrivajo v poslovno komunikacijo, čemur pravimo 'business email compromise' (BEC, ogrožanje poslovne e-pošte), in spremljajo vso komunikacijo, ne da bi lastnik računa za to vedel. Tako ostane vse do tistega trenutka, ko se izvrši nakazilo denarja v eno ali drugo smer. Takrat vskočijo v komunikacijo in uslužbencu rečejo: 'Joj, veste kaj, naš tekoči račun se je spremenil, dajte, prosim, denar nakazati na novi TRR.' Priložijo pa jim bančni račun tako imenovanih denarnih mul, se pravi, ne neposredno od kriminalca, ampak ljudi, ki jih pod različnimi pretvezami znovačijo, da jim posredujejo denar. Denarne mule se imenujejo, ker prenašajo denar z ene točke na drugo, po verigi več računov denarnih mul, s čimer otežujejo sledljivost temu denarju. Na tej točki sem sicer zadovoljen, da smo se z Združenjem bank Slovenije dogovorili za izmenjavo podatkov o računih, da jih lahko uvrstijo na 'stop sezname'. Po navadi gre za račune posameznikov v Turčiji, Španiji in tudi pri nas smo že imeli primere denarnih mul. Po navadi jih zvabijo z oglasi o delu od doma in krasnem zaslužku. Gotovo poberejo kakšen odstotek od vsake transakcije in včasih celo dobijo v podpis pogodbe, ki pa so fiktivne. Tako prepričajo ljudi, da opravljajo povsem legitimen biznis, da je to služba.
Ne le da smo imeli v Sloveniji mule, tudi veliko oškodovancev je pri nas. BEC-prevare že več let izpostavljamo v naših letnih poročilih.
Poglejmo še bolj globalno, onkraj prevar in napadov, ki zadenejo posameznika ali podjetje. Pozno spomladi so ZDA potrdile, da so njihovi vojaški hekerji izpeljali obrambne in napadalne kibernetske operacije v podporo Ukrajini. Kaj vse je v smislu kibernetskih groženj povzročila še vojna v Ukrajini?
Komponento kibernetskega vojskovanja oziroma priprave terena smo lahko opazovali neposredno pred invazijo. Tedaj so Rusi sprožili viruse, ki so brisali podatke po sistemih v ukrajinski državni upravi, da bi povzročili zmedo in poskusili sabotirati celoten sistem. Ko pa so enkrat spregovorili tanki in rakete, je kibernetska komponenta očitno postala manj pomembna oziroma so presodili, da lahko naredijo veliko večjo škodo z bombardiranjem in obstreljevanjem. Evropski CERT-i, ki se odzivamo na incidente v kibernetskem prostoru, smo to dogajanje zaznali mesec pred začetkom vojne, zdaj pa so nenavadno tiho. Niso povsem utihnili in marsikaj so opazili, ni pa opaznejšega prelivanja iz Ukrajine, hočem reči, da ni opaziti močnejšega povečanja z vojno povezanih incidentov v članicah EU. Izjema so do neke mere baltske države in Poljska. Res pa je zdaj težko priti do verodostojnih informacij tudi v kibernetskem prostoru Ukrajine. Več bomo vedeli sčasoma, ko se bodo delale analize.
Ob tem moramo vedeti, da je bilo območje okoli Ruske federacije, tudi Ukrajine, v preteklosti leglo za organizirani spletni kriminal. Potem ko so uvedli sankcije proti Rusiji, so recimo tudi storilci, ki napadajo z izsiljevalskimi virusi, začeli oznanjati, da so oni samo preprosti kriminalci, da nimajo nič z režimom in vojno v Ukrajini. Zakaj? Zato, ker imajo podjetja, ki vzamejo zavarovanje za kibernetski napad, recimo v ZDA, v pogodbi od zavarovalnice določilo, da zavarovalnica ne bo pokrila stroška, če je škoda nastala zaradi vojne. Kriminalci so tako zdaj v strahu, da jim bo poslovni model propadel, ker podjetja ne bodo imela denarja za plačilo odkupnine, zaradi česar bi radi, da bi zavarovalnica oškodovanemu ameriškemu podjetju povrnila škodo, ki jo storijo - zato da jim bo podjetje lahko plačalo denar.
Foto: Matej Povše
Študirali ste računalništvo, ko je bil digitalni svet še v otroški, optimistični in vzneseni fazi. Kaj vas je tako močno zagrabilo in potegnilo na področje kibernetske varnosti in zaščite?
Imel sem srečo, da je dedek delal na fakulteti za elektrotehniko in me je eno poletje pripeljal v tamkajšnji računalniški center. Tam so mi rekli: 'Tukaj imaš geslo, tam je računalnik, tam je knjižnica, pojdi si iskat kakšno knjigo.' Najprej sem, seveda, začel igrati igrice, potem me je pa pritegnilo programiranje, fasciniralo me je ugotoviti, kako lahko sam nekaj naučim računalnik.
Pozneje sem bil na Institutu Jožef Stefan v laboratoriju za obravnavo naravnega jezika, kjer smo delali računalniške analize besedil. Takrat smo trije študenti napisali program za obdelavo konkordanc besedil, ki so ga potem uporabljali na Inštitutu Frana Ramovša, z njim pa je bila tudi narejena analiza napadov na JLA. Jugoslovanska armada je namreč trdila, da se v Sloveniji vršijo verbalni napadi, da so slovenski časopisi polni člankov, ki jih napadajo, in da so napadi neutemeljeni. To je bilo konec osemdesetih. Takrat je naš mentor dr. Peter Tancig skupaj z Igorjem Ž. Žagarjem sklenil, da je treba zbrati vse članke in narediti strokovno analizo. Za to smo uporabili naš program za izdelavo konkordanc. Iskali smo kolokacije med pojmi, ki so pomenili armado, in pojmi, ki so kazali na morebiten napad ali na agresijo oziroma negativno stališče. Rezultate smo objavili, pokazali pa so, da seveda ni res, kar je JLA trdila.
Kako gledate na razkorak v razvoju zlorab, ki se je v tem času odvil pred vašimi očmi?
Ko sem se zaposlil na Arnesu, sem dal pobudo za ustanovitev slovenskega CERT-a. Direktor se je strinjal in leta 1995 smo dobili prvo elektronsko obvestilo. Prišlo je iz Švedske. Zapisali so: 'Aha, vi ste slovenski CERT, mi pa bi radi prijavili poskus vdora, povezanega s slovenskim IP-naslovom.' Šlo je za nepooblaščen dostop do podatkov na eni od univerz. Zahvalili smo se in posredovali podatke sistemcem v računskem centru univerze.
Leta 1995 smo imeli prijavljen en incident, leta 2008 malo čez 300, lani jih je bilo okoli 3200. Nekoč je bilo veliko bolj enostavno, danes moraš res biti specializiran. Na začetku smo bili trije in smo lahko preiskali bolj ali manj kakršen koli incident, potem se je začelo razslojevanje, tako da je bila specializacija neizogibna: nekdo analizira viruse, drugi ogromne baze podatkov, tretji se ukvarja bolj s podatkovnimi bazami. Področje se je toliko razvilo, da je zelo težko biti popoln strokovnjak za vse.
Kriminalci pridno izkoriščajo to, da lahko registrirajo domeno v ZDA, skrijejo podatke o sebi, najamejo gostovanje za spletno stran v Panami, elektronsko pošto pa imajo pri ponudniku anonimnih storitev v Švici
Kakšne sive lase pa vam povzroča dejstvo, da imajo inšpektorat, policija in druge institucije v Sloveniji in Evropski uniji težave z ukrepanjem na področju spletnega kriminala? Torej, da se incidenti pogosto ne rešijo tako, da pokažemo na storilca, ki za storjeno potem tudi odgovarja.
Težave imajo bolj žrtve različnih goljufij ali pa posamezniki, katerih ime zlorabijo goljufi za promocijo svojega blaga. Tak primer so recimo podtaknjene izjave katere slovenske zdravnice o obstoju novega čudežnega zdravila za to in ono. Kriminalci pridno izkoriščajo to, da lahko registrirajo domeno v ZDA, skrijejo podatke o sebi, najamejo gostovanje za spletno stran v Panami, elektronsko pošto pa imajo pri ponudniku anonimnih storitev v Švici.
Pri ukrepanju zelo hitro pride do problema, kdo je pristojen, kje se konča jurisdikcija našega pristojnega organa oziroma inšpekcije in tako naprej. Mednarodno sodelovanje je zamudno in drago, zato se aktivira ob velikih zlorabah. Goljufije, kot so prodaje čudežnih zdravil ali pa obljube o norem donosu investicij v kriptovalute, storilci mirno oglašujejo skozi oglasne mreže, te reklame pa najdete tudi na spletnih straneh nekaterih slovenskih medijev. Jaz bi sicer dejal, da gre za zavajajoče oglaševanje, ampak za to so pristojni drugi. Naša vloga je, da o tem obveščamo javnost in kažemo na pasti, v katere se lahko ujamete na internetu.
Kaj pa, ko se stvari zataknejo pri vas? Kako se soočite s preprekami?
Z napakami se je treba soočiti, napako je treba - to zagovarjajo tudi moji kolegi, ne le jaz - takoj priznati in se o njej pogovoriti. Določene napake se seveda bodo zgodile, ker nihče ni nezmotljiv. Saj to vemo, kajne?
Pomembno je, da storjene napake absorbiramo, jih prebavimo, se iz njih naučimo. Tukaj pa naletimo na velik problem. Napako je težko priznati, to je povsem človeško, je pa to lahko tudi kulturno pogojeno. Ne vem, kako smo pristali v takšnem okolju v Sloveniji, ampak nekako velja, da se tega ne dela, da napak ne priznamo, temveč jih raje skrijemo. V kolektivu zato zelo vztrajam, da je treba graditi okolje, v katerem moramo o njih govoriti in se iz lekcij učiti. 'Lessons learned' je pri Američanih nekaj povsem običajnega, pri nas žal ne.
Imeli pa smo tudi primere, ko so se napake ponavljale ne glede na to, da smo jih obdelali, ne glede na to, da smo ugotovili, kaj so razlogi zanje, da smo pojasnili, zakaj niso dobre in kako v bodoče delati. Takrat smo sodelavcu rekli, da mogoče nismo za skupaj, in smo prekinili sodelovanje. Do zdaj smo se v teh primerih precej sporazumno zmenili, ne nazadnje napaka ne pomeni, da je oseba nesposobna, ampak preprosto, da morda ni za tovrstne izzive, da se ne znajde v takšnem okolju, kjer je za določene stvari treba biti zelo pedanten. To tudi ne pomeni, da se ne more drugje bolje znajti.
Na telefonu in računalniku najbrž preživite dobršen del dneva. Tudi v prostem času?
Programiram v glavnem službene zadeve, doma pa je hobi številka ena glasba. Igral sem violino in hodil v glasbeno šolo, takrat še ves nesrečen, zdaj pa sem zadovoljen, da me je oče silil v izobrazbo na tem področju. Danes sicer igram kitaro, imamo tudi skupino, ki smo jo naredili ob praznovanju ene od 50-letnic, in zdaj se še kar občasno dobivamo in preigravamo stare rock komade, tudi kakšen punk se najde.
Ste se že kdaj v trenutku nepazljivosti ujeli na trnek kakšnega phishinga?
(Potrka po leseni mizi.) Zaenkrat še ne oziroma ne vem, da bi se to zgodilo, kar lahko pomeni, da je bil napad tako uspešen, da sploh ne vem zanj, ampak upam si trditi, da ne. Mogoče to pride s tem, da sem tako vpet v kibernetsko varnost, da se včasih tudi ob kakšnem legitimnem sporočilu sprašujem, ali je resnično. A moram takoj dati opombo: 'Nikoli ne reci nikoli.' Napadi so danes tako sofisticirani, da se vanje lahko ujame čisto vsak. Napačno je sklepati, tudi pri goljufijah, da je oškodovanec sam kriv, ker je tako nespameten, da je padel na foro. Goljufije so lahko zelo dobro skonstruirane! Lahko pa so seveda povsem trivialne in tedaj se včasih tudi mi sprašujemo, kako je možno, da je oškodovani ni prepoznal. Vendar, kot pravim, so napadi pogosto zelo elegantni, sofisticirani in je zelo težko ugotoviti, da sporočilo ni legitimno, še posebej če se s tem ne ukvarjaš vsak dan.
Podkastu z Gorazdom Božičem lahko prisluhnete na tej povezavi ali v vseh aplikacijah, ki predvajajo podkaste.