Správci sítí a další pracovníci IT prakticky z celého světa prožili v polovině května velmi rušný víkend. V pátek 12. května se začal Zemí šířit vyděračský program známý jako WannaCry – v překladu tedy Chce se plakat. S neuvěřitelnou rychlostí zasáhl celou řadu počítačů a ještě více jich „ajťáci“ zachránili. V první vlně došlo například k omezení některých služeb v britském veřejném zdravotnictví. Nefunkční počítače donutily podle tiskem hladově sesbíraných informací některé sanitky, aby pacienty vozily do jiných nemocnic, jiní pacienti přišli o dlouho dohodnuté termíny operací. Další zemí výrazně zasaženou bylo podle všeho Rusko, kde úřady v moskevské oblasti musely kvůli napadení sítě zastavit vydávání řidičských průkazů, mobilní operátor Megafon musel omezit zákaznický servis. V Indii došlo k zastavení provozu všech bankomatů. A tak dále, a tak podobně, byť v menším měřítku v celkem 150 zemích světa. V ČR byly škody malé, malware zasáhl podle informací zveřejněných v době psaní článku jen stovky počítačů. Ale sečteno a podtrženo škody (alespoň v době psaní článku) nebyly příliš veliké. Mnohem větší následky by mohla mít ve vnímání internetové bezpečnosti. Očekávaný úder Fakt, že podobné potíže nějaký ransomware způsobil, asi žádného odborníka na počítačovou bezpečnost, ba zřejmě ani poučeného laika, nepřekvapil. Ransomware je zdaleka nejrychleji rostoucí formou malwaru, tedy škodlivého softwaru vůbec. Podle analýzy společnosti Trend Micro se během loňského roku zvýšil počet nových druhů ransomware (při dodržování biologického názvosloví bychom asi měli říci spíše rodů, protože jde o skupiny s vysokou mírou podobnosti) téměř 8násobně – to je znamení, že do tohoto „byznysu“ se pustily nové skupiny, nebo těm starým alespoň stálo za to vytvářet nové varianty. Celkem podle odhadů způsobil ransomware za rok 2016 po celém světě škody kolem miliardy amerických dolarů. Internetoví zločinci našli ve vyděračském softwaru velmi životaschopný obchodní model. Není to jediný způsob, jak vydělat na internetu peníze nekalým způsobem, ale rozhodně funguje. Má výhodu, že je i jednoduchý. Útočník získá přístup do počítače, kde pak jeho software zašifruje uživateli či uživatelům data, která pak útočník slíbí znovu zpřístupnit, pokud uživatel pošle peníze na účet. Model funguje díky několika klíčovým technologiím. Jednou je šifrování, které se dnes jen těžko prolamuje. Prolomit dobře implementované asymetrické šifrování je prakticky nemožné – to je i příklad WannaCry, v jehož případě se zločinci velkých chyb zřejmě nedopustili. Druhou důležitou inovací posledních let je rozšíření bitcoinu. Tato internetová kryptoměna, která není kryta žádným státem, ale čistě jen matematikou podloženou „sítí důvěry“, začala fungovat už v roce 2009, umožňuje snadné platby po celém světě. Není rozhodně nevystopovatelná, jak se domnívá řada laiků, ale vystopovat majitele bitcoinové „peněženky“ není také triviální. A i pokud se to podaří, často se zdržují v zemích, ze kterých je vydání komplikované. Ještě důležitějším faktorem je, že v posledních letech výrazně stoupla cena bitcoinu, a ten se v důsledku toho stal nejen známějším, ale také dostupnějším. Pro vyděrače tak začala představovat vhodný platební prostředek, ke kterému se poškozený může už poměrně snadno dostat. (A o to vyděračům jde – autoři ransomware se aktivně starají, aby jejich oběti mohli zaplatit, dokonce v některých případech provozují i velmi slušně fungující „uživatelskou podporu“, která s platbou pomůže.) Třetí důležitou a klíčovou technologií za úspěšným ransowarem je „sociální inženýrství“, tedy schopnost donutit uživatele, aby škodlivému softwaru umožnili přístup do počítače. Obvykle se jedná o podvržené přílohy emailů, které se tváří jako neškodné, v některých případech také velmi důvěryhodné soubory. Rozhodně nejde jen o emaily od „nigerijských princů“, v některých případech dochází údajně i k velmi věrohodnému podvržení vnitrofiremní komunikace. To bývá ovšem spíše případ na danou firmu přesně cílených útoků, a neplatí to pro malware WannaCry, ke kterému se tímto znovu vrátíme konkrétně. Nezadržitelný vzestup Ransomware s označením WannaCry se poprvé objevil v únoru 2017, tehdy ovšem nezpůsobil větší rozruch. To se stalo s objevem jeho nové varianty, někdy označované jako WannaCry 2.0, v pátek 12. května 2017. V první vlně se šířil zcela standardním způsobem: e-mailem, který obsahuje přílohu tvářící se jako ZIP archiv. Uživatelé, kteří tuto přílohu otevřou, si do svého počítače nainstalují virus. Jakmile WannaCry daný počítač napadne, začne šifrovat soubory a složky na počítači. Zašifrované soubory mají příponu .WCRY. Šifrovány jsou soubory například těchto typů: dokumenty DOC, PPT, XLS, obrázky JPG, PNG nebo TIFF, některé videosoubory, některé zálohy, některé programátorské projekty a řada dalších. Ransomware přidá do napadeného adresáře soubor s návodem, jak zaplatit výkupné za soubory. Cena za dešifrování je 300 dolarů (asi 7300 Kč) v bitcoinech. Po třech dnech je cena dvojnásobná. Po týdnu bude dekódování údajně navždy znemožněno. Co bylo pro bleskový úspěch viru ještě důležitější, škodlivý software se z nakaženého počítače dále šíří v lokální sítí skrze svou vlastní botnetovou síť (botnet je počítač „unesený“ útočníkem, který automaticky plní jím předepsané úkoly), pomocí které skenuje dostupné IP adresy a hledá další zranitelné počítače. To byl jeden důvod, proč malware představoval větší riziko pro organizace, než pro jednotlivce. Druhý byl ten, že virus využíval k šíření chyby, které už byly delší dobu známy, a byly pro ně vydány záplaty. Většina soukromníků totiž používá relativně nový software (novější než Windows XP) a používá automatické aktualizace. Řada institucí ovšem používá starší software, a přitom nemá prostředky na jejich zabezpečení. (Microsoft nabízí placenou službu „záplatování“ starších systémů, kterou však využívá jen zlomek z celkového počtu uživatelů XP.) Když špiónům utečou zbraně Rozruch vyvolal fakt, že vir zneužívá ke svému šíření po lokální síti stejnou chybu, kterou podle úniku dat na WikiLeaks využívala k průniku do počítačů americká špionážní služba NSA – chybu, kterou agentura až do úniku nikdy tvůrcům systému neoznámila. Po zveřejnění Microsoft chybu opravil v záplatě ze 14. března letošního roku, ale ta byla zveřejněna jen pro novější operační systémy, které Microsoft stále oficiálně podporuje. Uživatelé například stále relativně populárních Windows XP, které stále běží na několika procentech světových počítačů, tedy měli smůlu. V některých případech také provozovatelé jednoduše svá zařízení neupdatovali. Liknavost v přechodu na nové aktualizace či obecně na novější systémy přitom nemusí být jen důsledek špatné práce IT oddělení či managementu; v řadě případů jsou pro setrvání u starších verzí dobré důvody. Například pokud je software součástí přístrojů či zařízení, které mají podstatně delší životnost než software. Pro představu řekněme například ultrazvukový skener v nemocnici (dobrý příklad i proto, že nemocnice přitom byly zasaženy celkem citelně). Update takového zařízení na nový operační systém může snadno vést k vážným potížím, či přímo odepsání zařízení. Podpora a pomoc ze strany výrobce přitom rozhodně nejsou samozřejmostí. Obměna hardwaru i softwaru z těchto a dalších důvodů probíhá jen postupně, a v oběhu tak stále je poměrně velký počet zařízení staršího data. Například poměrně vážně zasažené britské státní zdravotnictví dodnes stále provozuje nezanedbatelných 4,7 % počítačů s Windows XP či starším systémem. Microsoft nakonec v tomto případě porušil svůj dlouholetý přístup a uvolnil pro všechny uživatele záplaty i pro své starší operační systémy, včetně Windows Server 2003 nebo Windows XP. Podle skromného názoru autora jde pouze a jen o jednorázové řešení systémového problému, ale rozhodně v tomto případě zabránilo větším škodám. Marcus Hutchins je vsku tku hrdina Během soboty se šíření viru zpomalilo, a to jak díky reakci bezpečnostních firem a Microsoftu, tak díky objevu britského bezpečnostního experta, který „vypnul“ šíření v té chvíli nejrozšířenější varianty viru. Britskému bezpečnostnímu expertu, který na webu vystupuje pod pseudonymem MalwareTech a podle britských médií je vlastním jménem Marcus Hutchins, se s pomocí spřáteleného výzkumníka podařilo získat funkční vzorek viru, který se šířil po počítačích v Británii, Rusku, Indii a dalších desítkách zemí včetně ČR. Při tom zjistil, že virus se dovolává nezaregistrované domény s velmi krkolomným názvem (je to: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea. com). Hutchins si doménu tedy za zhruba 11 dolarů zaregistroval, a okamžitě na ní zaznamenal provoz od různých kopií WannaCry z celého světa. V tu chvíli mu šlo především o to, aby získal více informací o fungování softwaru – chtěl vědět, co přesně na doménu posílá. (Všechen provoz přesměroval obrazně řečeno do „černé díry“, aby se informace nedostaly dále.) S jistým překvapením ale také zjistil, že malware se ve stejnou chvíli přestal šířit. Jak se ukázalo, ransomware se odmítá kopírovat po lokální síti, pokud doména se zcela nepravděpodobným názvem (nyní koupená MalwareTech) opravdu existuje. Nejpravděpodobnějším vysvětlením této funkce je snaha zmást bezpečnostní odborníky. Ti malware zkouší ve „virtuálních prostředích“ simulující reálnou síť. Tato prostředí jsou nastavena obvykle tak, aby „vycházely vstříc“ požadavkům malwaru. V podstatě by se tedy tvářily, že je tato ve skutečnosti neexistující doména registrovaná. V takovém „sandboxu“, jak se podobným prostředím říká, by tedy výzkumník na první pohled nezjistil, že malware obsahuje nezvyklou funkci šíření po lokální síti. (Nejde o úplně originální postup, využíval ho například také trojský kůň Necurs, ale v rafinovanější podobě - dovolával se hned několika neexistujících domén.) Jednoduché opatření na nějakou dobu pomohlo. Již během soboty 13. května se objevila nová verze WannaCry, který poněkud nedomyšlený kontrolní mechanismus neobsahuje (pokud to tedy je kontrolní mechanismus), ale také z nějakého důvodu přestala fungovat „vyděračská“ část softwaru. Není vůbec jisté, že to je dílo jeho původních autorů, na to „oprava“ vypadá velmi hrubě. Když jsme u autorů, během pondělí a úterý se objevily první alespoň trochu podložené hypotézy o původu. Není to sice rozhodně žádný důkaz, ale jedna ze starších WannaCry sdílí kód s malwarem skupiny Lazarus. Tato skupina je spojována například s útokem na studio Sony Pictures – a ten zase s největší pravděpodobností proběhl z nařízení vedení severokorejského režimu. Lazarus je tedy státem řízená a zřejmě i zřízená skupina. Uvidíme, zda se podezření podaří nějakým způsobem přesvědčivěji doložit, zatím to nelze považovat za více než dobře podloženou spekulaci. Jejíž důvěryhodnosti samozřejmě nahrává fakt, že KLDR je v tomto směru skutečně velmi aktivní. /jj/
