Vélemény: A sírás határán – a WannaCry-probléma
Péntek óta nem szól másról az IT-szakma (és azon belül különösen az IT-biztonsági szcéna), mint a WannaCry zsaroló malware (ransomware) terjedéséről és pusztításáról. Már csaknem 300 ezer fertőzött eszközről vannak információk, és nem úgy tűnik, hogy a korábbi híreknek megfelelően kifulladna a támadás, sőt egyes szakértők a hétfői munkahét indítással kapcsolatban globális összeomlást is vizionáltak, de ez szerencsére (még) elmaradt.
Kocsis Tamás, a Secure Networx igazgatójának véleménye:
Nem akarok belemenni a malware működésébe vagy a védekezési lehetőségek felsorolásába – megtették már nagyon sokan, és remélem, teszik is még a következő napokban. Arról viszont mindenképpen érdemes beszélni, amit a Microsoft vetett fel az esettel kapcsolatban.
Nyilván sokakban felmerült a Microsoft felelőssége, hiszen a támadáshoz a Windows egyik sérülékenységét használják fel. Pontosabban az adott megfertőzött gépről ezt a sebezhetőséget kihasználva terjed tovább a vállalati hálózatban a fertőzés. A hibát korábban az NSA fedezte fel, de nem vette fel a kapcsolatot a fejlesztővel, hanem megtartotta magának, és olyan "kiberfegyvereket" épített köré, amelyekkel az Amerikai Egyesült Államok kormányának és népének érdekeit védi – vagy – amelyek illegális, demokráciát tipró, szabadságjogokat gyalázó sötét és bűnös üzelmei végrehajtását szolgálják (a számodra elfogadottabb minősítés aláhúzandó).
(Bónusz: a Microsoft nyilatkozatában erre nem "probable" vagy "highly possible" jelzőket használnak, hanem tényként közlik.)
A tavalyi NSA-hack miatt (pongyolán: az NSA illetékes csoportját meghackelték és kész "kiberfegyvereket", valamint brutális mennyiségű információt nyúltak le tőlük, majd eladták/publikálták az adatokat a "kiberfeketepiacon") az NSA által felfedezett, majd eltitkolt sérülékenységre végül fény derült, a Microsoft márciusban riasztást, és javító csomagot adott ki, amely a sérülékenységet befoltozza – ha telepítésre kerül.
Nézzük meg ezt a szituációt kicsit közelebbről és osszuk ki a felelősséget!
A sérülékenység miatt felelőssé tehető a Microsoft?
Persze, elméletileg és erkölcsileg igen. Végül is – mondhatjuk, - a saját rendszere, a saját kódja. Írhatott volna hibamentes kódot, nem igaz? A valóság azonban az, hogy senki nem ír hibamentes milliárd soros kódot, a legtöbb, amit tehet egy (bármely) fejlesztő cég, hogy törekszik olyan módszertanok és fejlesztési koncepciók alkalmazására, amelyek segítenek elkerülni a biztonsági hibákat, valamint saját maga és külső szakértők bevonásával számtalan biztonsági tesztnek veti alá a kész rendszert – nem csak egyszer, de folyamatosan.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A legtöbb vállalatnak megvan az eljárása hibák feltárásra, a talált hibák befogadására, ellenőrzésére, javítására – rosszabb vagy még rosszabb, de van. Ez alól a Microsoft sem kivétel, de persze nincs olyan folyamat, amelyen nem lehet tovább javítani. A sérülékenység megvizsgálása után kiadták a figyelmeztetést és a javítást – a patch telepítéséről azonban ők nem gondoskodhatnak, az ugyanis a felhasználó/szervezet felelőssége.
Erre rá is mutatnak a nyilatkozatban, finoman közös felelősségnek nevezik a frissítést – ezt akár indokolatlan „felpuhításként” is lehetne venni, hiszen a javítások telepítése egyértelműen a felhasználó személy vagy vállalat felelőssége lenne.
Ami miatt mégis felpuhították, hogy sajnos egy sok ezer fős szervezeten belül a javítások kitelepítése nem úgy megy, ahogy egy otthoni gépen: rengeteg tesztre és hatásvizsgálatra van szükség azzal kapcsolatban, hogy mi történik a működő rendszerekkel és alkalmazásokkal a javítócsomag telepítése után. Működnek-e tovább problémamentesen, vagy a telepítés miatt olyan problémák jönnek elő, amely rendelkezésre állásban sérti az adott rendszert vagy az adott alkalmazást?
Egy több ezer fős vállalatnál ezért simán előfordulhat, hogy még mindig a fél évvel korábban kiadott javítócsomagok hatását vizsgálják és ezért fél éves elmaradásban vannak a javításokkal és frissítésekkel. Az már azonban megint más kérdés (és ezt a "felpuhításnál" is figyelembe vették), hogy ez csak akkor fordulhat elő, ha egy termékhez sok száz (vagy ezer) frissítést adnak ki, amelyet telepíteni kell. Az már megint érdekes kérdéseket vethet fel.
Nem szabad azt sem elfelejteni, hogy léteznek olyan rendszerek, amelyeknek a foltozása nem is oldható meg, évtizedek óta üzemben lévő diagnosztikai, egészségügyi, stb. berendezéseké, amelyeknek gyártója csak az adott operációs rendszert támogatja, és amelyek patchelése ráadásul szigorúan tilos.
Felelősnek lehet-e kimondani az Amerikai Egyesült Államok "kiber-ügynökségét"?
Egyrészt mindenképpen terhelheti őket erkölcsi felelősség, hiszen a felfedezett biztonsági rést nem hozták a gyártó tudomására, hanem megtartották maguknak, hogy a Nemzet érdekében – vagy - sötét és bűnös üzelmeikhez (kívánt minősítés aláhúzandó) a későbbiekben hátsó ajtóként felhasználják. Ez "rendben" van egyébként, erkölccsel még soha nem nyertek egyetlen háborút sem.
Amivel viszonylag kevesen gondolnak, ezzel nem csak az NSA és az amerikai ügynökségek kaptak saját bejáratú hátsó ajtót, hanem gyakorlatilag elfogadták, hogy az USA állampolgárainak és egyébként a kormányszervek és kritikus infrastruktúrák rendszerében (valamint a szövetséges államok rendszereiben) létezik egy kiskapu, amelyen keresztül támadhatóvá válnak ezek az eszközök. Ez ugye csak addig jó buli, amíg csak mi használjuk a hátsó ajtót. Azzal, hogy nem értesítették a gyártót és így nem is készült javítás, az USA kormánya a saját rendszereit is nagyon súlyos kockázatnak tette ki.
Egy sérülékenységet megtalálni ugyanis nem olyan, mint atombombát létrehozni: nem kell hozzá hatalmas ipar és dollármilliárdok. Egy biztonsági rést, egy kihasználható sérülékenységet megtalálni és kihasználni - a megfelelő szakértelemmel - tulajdonképpen bármely felkészült "kibertámadásra" szakosodott személy, csoport, állam relatív alacsony költség mellett meg tud valósítani.
Honnan feltételezte az USA kormánya, hogy más nem találja meg (vagy nem találta már meg) és nem tárolja el a sérülékenységet, hogy "kiberfegyvert" köré építve a Másik Nemzet érdekében - vagy - sötét és bűnös üzelmeikhez (kívánt minősítés aláhúzandó) a későbbiekben hátsó ajtóként felhasználják – immáron az USA kormánya vagy lakossága, vagy bárki más ellen és sérelmére? Nyilván sehonnan, és ez az, ami igazán vitathatóvá teszi a döntést.
Szintén érdemes stratégiai döntésként átgondolni a szituációt – bár azt nem tudom, volt-e egyáltalán döntés vagy stratégia mögötte. A II. világháború Varázslat és Enigma üzenetei is eszünkbe juthatnak: a Szövetségesek képesek voltak feltörni a japán és német kódokat, az elfogott és megfejtett üzenetekből számos olyan támadás információihoz jutottak hozzá, amelyek megakadályozására így lehetőséget kaptak, mégsem éltek vele, mert ezzel leleplezték volna, hogy képesek megfejteni a német és japán üzeneteket, elveszítve ezzel a stratégiai előnyt. (Az egyik idevágó "összeesküvés elmélet" szerint Churchill tudott a németek tervéről, még sem akadályozta meg Coventry bombázását, mert azzal elárulta volna, hogy feltörték a német kódokat, hanem hagyta, hogy a várost porig bombázzák.)
Egy másik nézőpont szerint viszont nyeretlen naiv kétéves, aki azt gondolja, hogy a fegyverkezési verseny csak egy vicc a "kibertérben". Miért is kell "kiberfegyvert" fejlesztenie bárkinek is? Nincs elég bajunk az atom- és bio fegyverekkel?!! Ja, hogy egyébként a tilalmi és sorompó egyezmények mögött ugyanúgy fejlesztik azokat is?!
A megfelelő képességekkel felszerelkezett kormányok gőzerővel dolgoznak saját "kibervédelmi" és "kibertámadási" fegyvereiken és rendszereiken. És ahogy a hagyományos fegyverfejlesztésben, itt sem életszerű, hogy a fejlesztések eredményeit a nem szövetséges országok megosszák egymással. Ahogy a rakéták vagy rakétaelhárító pajzsok specifikációi és műszaki részletei sem nyilvánosak, hiszen akkor a kifejlesztett fegyver hatása korántsem lesz ugyanaz, valamint az "ellenséges" fegyverek is hamarosan fel lesznek "vértezve" az általunk fejlesztett funkciókkal.
A Microsoft példája jó abból a szempontból, hogy az NSA-tól ellopott "kiberfegyvert" egy Tomahawk-rakétához hasonlítja: egyrészt finoman elítéli az USA kormányát a "kiberfegyver-felhalmozás" miatt, viszont arra is rámutat, hogy az USA felelőssége egy ellopott rakéta esetében egyértelműen kimondható – és felveti, hogy ugyanez a felelősség terheli őket jelen esetben a nem megfelelően őrzött "kiberfegyverrel" kapcsolatban is.
Valóban, azért mindenképpen az USA-t terheli a felelősség, hogy nem védték meg jobban a "kiberfegyverek-raktárat" – ha atombombát loptak volna, akkor ez a felelősség fel se merülne: egyértelműen felelősnek lehetne kimondani őket.
Ellopták az internet "mesterkulcsát"!
Rés a pajzson, Szikla, Úszó/Száguldó erőd, The Net, és még sorolhatnánk: se szeri se száma azoknak a kiváló filmeknek, ahol éppen valami halálos cuccot tulajdonítanak el/szereznek meg oroszok/kínaiak/kiábrándult kommandósók/stb., amellyel aztán az USA/Világ elpusztítására törnek.
Hányszor fedezték már fel az „Internet mesterkulcsát” amellyel minden meghekkelhető? Mindenféle nagyformátumú, vagy éppen lecsúszott hősök mentik meg ilyenkor a Világot, sajnos most ez egyáltalán nem így történt: egyetlen hajószakács sem indult bevetésre a "kiberfegyver" ellopása után.
Nyilván volt jobb dolga is (Casey Ryback épp állampolgárkodik Oroszországban), és lássuk be, a "kiberfegyvert" – ha már kikerült a kiberfegyvertárból - visszaszerezni nem lehet. Nyilván ilyen esetben értesíteni kell a gyártót (és a világot), hogy adjon ki javítást, ami használhatatlanná teszi a "kiberfegyvert" – ez jelen esetben meg is történt.
Ki lehet-e mondani a vírusvédelmi rendszerek gyártóit felelősnek?
Végül is azért költünk el rájuk annyi pénzt évente (már aki, már ahol, már amennyit), hogy megvédjenek bennünket, nem igaz?
A vírusvédelmi rendszerek igyekeznek mindenféle csilli-villi védelemmel megerősíteni a jó öreg szignatúra-alapú felismerést (viselkedésvizsgálat, reputációs vizsgálat, IPS, stb.) – de sajnos többnyire ezek a funkciók vagy ki vannak kapcsolva, vagy alacsony érzékenységre vannak állítva, különben annyi fals felismerést (false positive) produkálnának, ami a munkát tenné lehetetlenné, nem is beszélve arról, hogy a legtöbb védelmi mechanizmus tovább lassítja a munkaállomást. A felhasználó a végén meg annyit fog panaszkodni, hogy az üzemeltetés ki kikapcsolja ezeket a funkciókat.
Egyesek felvetik a marketingesek és presales mérnökök felelősségét, akik azt sulykolják, hogy az Új Szuper Védelemi Eszköz (USVE) majd magától, de legfeljebb minimális erőforrást a beállításra fordítva megvédi a felhasználót, az adatokat és a Világbékét – szinte ingyen (de legalábbis egy kávé áráért havonta/felhasználó). Aki durvának találja ezt a felvetést, az esetleg nézzen szét a Facebookon, hírlevelekben, reklámokban, sajtóközleményekben – nemigazán van olyan gyártó, aki ne kezdett volna rákommunikálni a víruskitörésre és ne indított volna poszt-cunamit azzal kapcsolatban, hogy az ő terméke megvéd a ransomware ellen.
Persze ez a felelősség nehezen áll meg, és mint korábbi USVE értékesítő jómagam is csak annyit mondanék erre, amit a Microsoft: "this attack demonstrates the degree to which cybersecurity has become a shared responsibility between tech companies and customers." Mert valahol sajnos tényleg igaz: a védelmi funkciók megléte, a védelmi funkciók bekapcsolása, és azok helyes használata között jelentős különbség van.
Az azonban itt is más kérdés, hogy ha mint felhasználó szeretném a fejlett védelmi funkciókat igénybe venni, de a nap végén a bekapcsolásuk miatt nem tudok dolgozni, akkor milyen haszna van ezeknek a funkcióknak jelen formájukban?
Akinek van kidolgozott stratégiai terve (mije?) az ilyen súlyos malware fenyegetettségek kezelésére, az ettől függetlenül szerintem már bekapcsolta ezeket a funkciókat – legalábbis remélem, hogy bekapcsolta, annak ellenére, hogy ez problémát fog a munkavégzés során okozni. Mert még mindig jobb időszakosan elviselni a felhasználók panaszait, mint a jelen fenyegetettségi helyzetben csak bizakodni, hogy nem leszünk érintettek.
Vannak különösen fejlett malware védelmi megoldások – különösen fejlett árért (ezer kávé/felhasználó/év) – amelyek jobb eredménnyel működnek, mint a "hagyományos mosópor", de ezek hazánkban még nemigen elterjedtek, és kevésbé megfizethetőbbek. Meg nem feltétlenül erre kellene a nehezen megszerzett IT-biztonsági büdzsét elkölteni, miközben sok más sebből vérzik a torka a vállalati informatikai rendszereknek – például, ha a hagyományos vírusvédelmi megoldás sincs behangolva.
Az azonban egyértelmű: ezekben a szuper, űrháborús megoldásokban sem szabad tökéletesen megbízni, ugyanis nincsen tévedhetetlen biztonsági megoldás. Ahogy Bruce Schneier mondta: a biztonság nem egy termék, hanem három! (Nem, nem ezt mondta, hanem azt, hogy "security is a process and not a product" – de ha értékesítő lenne, biztos nem így mondta volna)
Összefoglalva: tehát ki a felelős?
Microsoft? USA/NSA? Felhasználók/vállalatok? Vírusvédelmi gyártók? Nehéz kérdés, de kicsit kell csak pofozni a Microsoft már idézett kijelentésén, és szerintem megfelel a valóságnak:
"This attack demonstrates the degree to which cybersecurity has become a shared responsibility between tech companies and customers and governments and anti-virus vendors." Vagy magyarul: ez a támadás is mutatja, hogy milyen fokig közös felelősséggé vált a kiberbiztonság a tech cégek, a vásárlók, a kormányzatok és az IT-biztonsági beszállítók között.
(Na és a “kiberbűnözők” hol maradnak? – jó, adjunk hozzá egy „and cyber-criminals” tagot a sorhoz, és akkor teljes lesz a lánc.)
Balázs Zoltán, az MRG Effitas CTO-jának adaléka:
A WannaCry zsarolóvírus kapcsán kiadott Microsoft közlemény véleményem szerint nem a valós problémával foglalkozik. Tekintsük át, pontosan mi is történt.
Tételezzük fel, hogy az NSA készítette a támadó kódokat (ha már egyszer a Microsoft tényként közli). Nagyon valószínű, hogy az NSA miután megtudta, hogy a ShadowBrokers csoport megszerezte vagy rendelkezik ezen nulladik napi támadó kódokkal, értesítette a Microsoft-ot a pontos sérülékenységről.
A Microsoft javította a sérülékenységet. Erre válaszlépésként a ShadowBrokers egy hónappal később publikálta a támadó kódokat, és újabb egy hónap múlva a WannaCry zsarolóvírus elindult világhódító útjára.
Mi lett volna, ha az NSA nem tartja meg magának a sérülékenységet és/vagy a támadó kódot, hanem azonnal jelenti a Microsoft-nak?
A Microsoft javítja a hibát. Ebben a pillanatban is elindul a verseny, hogy ki írja meg a támadó kódot előbb. A kiadott patcheket ugyanis minden fél részletesen elemezni szokta, és a javítás alapján általában sikerül is rekonstruálni magát a sebezhetőséget. Ez azt is jelenti, hogy ha a patch kiadásáig titkos is volt a hiba, a javítás után már gyakorlatilag publikusnak számít.
A versenybe beszállnak a konkurens titkosszolgálatok, a biztonsági kutatók és a rossz fiúk. Akárki is fejleszti ki előbb a támadó kódot, amint az széleskörű használatba kerül, bárki számára elérhető lesz. Nyilvánvaló, ha a támadók csak egy nagyon szűk körben, célzottan, óvatosan (például passzív megfigyelésre) használják a támadást, a lebukás esélye minimális. Ha a szélesebb körű használati időablak 2 helyett 4 vagy 6 hónap, ez aligha változtatott volna a megfertőzött gépek számosságán.
Tehát ha "megtiltjuk" az NSA-nak, hogy támadó kódot használhasson - amit nem oszt meg a Microsoft-tal,- az nem jelenti azt hogy a mostani eset ne fordulhatna ugyanúgy elő. Picit kisebb eséllyel, picit nagyobb időablakkal talán, de ugyanúgy be fog következni.
Valószínűleg nem ugyanakkora (erőforrás, pénz) kerettel dolgozik az NSA, ha egy sérülékenységet csak defenzív, mintha egyszerre defenzív és offenzív céllal keres meg. Kisebb kerettel kevesebb hibát találnak meg. Azokat a hibákat, amelyeket az NSA nem talál meg, megtalálja más. És akkor ugyanott tartunk, ahol a part szakad.
Be lehet tiltani ENSZ szinten a támadó kódok használatát, de ez csak arra lesz jó, hogy a titkosszolgálatok még nagyobb titokban fogják őket fejleszteni, az átláthatóság pedig még tovább csökken.
A Microsoft utal a "kiberfegyver felhalmozás" problémájára is az NSA-nál. Véleményem szerint az eddig nyilvánosságra került dokumentumok nem támasztják alá az agresszív, kapzsi felhalmozás tényét.
Az NSA-nak pont annyi támadó kódja van, amennyi szükséges egy offenzív program szinten tartásához. Gazdaságilag ugyanis nekik sem érdekük több száz sérülékenységet megkeresni, és támadó kódot fejleszteni minden egyes sérülékenységhez. Így feltételezhető, hogy a talált kisebb-nagyobb hibák túlnyomó részét a szervezet igenis jelenti a fejlesztőknek, és csak az igazán fejlett-rejtett kiskapukat tartja meg magának.
Az, hogy az NSA milyen célokra használja a támadó kódokat, nyilván nem kategorikusan csak jó vagy csak rossz. Használják olyan célokra, amivel a Föld lakossága összességében jobban jár, de használják olyan célra is, ami csak az USA-nak kedvez, és valószínűleg használják megkérdőjelezhető célokra is. De ez nem ok a támadó kódok teljes betiltására.
Akkor most ki a hibás?
Hol hibázott az NSA?
A legnagyobb probléma, hogy ők maguk sem tudták megvédeni a támadó kódokat a saját hálózatukban. Lehet, hogy az NSA gyúrta a hógolyót - amiből a lavina lett, de azért arról nagyon sok mindenki tehet, ha egy hógolyóból végül lavina lesz.
Hol hibázott a ShadowBrokers?
Publikálni a támadó kódokat a teljes világnak - nem nevezhető a legfelelősségteljesebb eljárásnak. Még akkor sem, ha már volt biztonsági javítás a legtöbb támadó kód ellen. Jelenleg a legvalószínűbb feltételezés, hogy orosz titkosszolgálatnak van köze a csoporthoz.
Ha a WannaCry zsarolóvírus tényleg komoly károkat okozott az orosz belügyminisztériumban (és egyéb orosz kormányzati szektorban), biztos vagyok benne, hogy nem kapnak a ShadowBrokers-hez köthető illetékesek bónuszt az idén.
Hol hibázott a kisvállalkozás/multinacionális cég/kormányzat/otthoni felhasználó, akit megfertőzött a zsarolóvírus?
Lehet beszélni vezetőkről, akik nem tartották elég fontosnak az IT biztonságot és nem adtak elegendő forrást a fejlesztésekhez és működtetéshez. Lehet említeni CISO-kat akik nem folyamatokban, képzésekben, hanem mindent megoldó termékben gondolkodnak, de ugyanígy igaz lehet száz egyéb indok és ok is. Ez néha csak kifogás, néha pedig a szomorú valóság.
Egy biztos, az IT biztonság komplex probléma, és az is marad még jó néhány évtizeden keresztül. A felhasználók megszokták, hogy évente szervizeltetni meg műszakiztatni kell az autót, javíttatni a felvonót és rendszeresen takarítani az irodát. Valamiért azonban ez a gondolkodásmód nem terjed ki az informatikára, ott továbbra is az egyszeri beszerzésekben gondolkodnak amikor költségeket terveznek.
Hol hibázott az IT biztonsági szakma?
A rengeteg snake-oil megoldás, a prioritások helytelen kezelése, az "én szerszámom nagyobb mint, a te szerszámod" – az én termékem jobb, mint a Te terméked, a túlságosan magának való szakma (átlagemberhez nem beszélünk, ha meg igen, akkor nehogy véletlenül megértse), a nem elegendő oktatás és hasonló ezer probléma a szakma felelőssége.
A hétvégi vizsgán súlyosan megbukott a IT biztonsági szakma (nem egyénileg, hanem összességében): figyelembe véve hogy mennyi pénzt költött a világ IT biztonságra, mégis itt tartunk. És még ki tudja mi vár ránk a héten.
Aki pedig most és a jövőben is megmenekül a zsarolóvírustól (vagy másokon segített), az valóban jó munkát végzett, és ha nem is kap bónuszt vagy kitüntetést ezért, de névtelenül is dicséret és köszönet illeti.