Ar balsuotumėte už pasiūlymą, kad interneto vartotojams reikėtų gauti naršytojo pažymėjimą? Kibernetinio saugumo bendrovės „Sophos“ atstovas Sascha Pfeifferis balsuotų. IQ apžvalgininkui Gyčiui Kapsevičiui jis papasakojo apie per porą dešimtmečių pasikeitusius įsilaužėlių prioritetus ir supeikė daugelio giriamą blockchain technologiją.
– Daugelis yra girdėję apie kriptovaliutų kasimą (angl. cryptomining), tačiau terminas „kriptoplėšimas“ (angl. cryptojacking) dar ganėtinai naujas. Gal galėtumėte plačiau paaiškinti, kas tai?
– Kriptovaliutų kasimas yra santykinai paprastas procesas – reikia turėti įrangą, kuri atliktų kompleksiškus matematinius veiksmus ir taip gamintų kriptomonetas. Kita vertus, toks procesas turi didelį trūkumą – dažniausiai suvartotos energijos kaina yra didesnė už „iškastų“ monetų vertę.
Kriptoplėšimas yra kompiuterio užgrobimas, siekiant kasti kriptovaliutas – šiuo tikslu prietaise įrašoma programėlė. Kitaip tariant, tai yra kitų kompiuterių galios vagystė.
Prieš keliolika metų gana populiari buvo kompiuterio programa SETI, skirta ieškoti nežemiškos gyvybės. Kriptoplėšimo principas yra beveik toks pats, tik SETI vartotojai savo noru „paskolindavo“ kompiuterius kolektyviniams skaičiavimams, o ir kompiuterį programa naudodavo tik retkarčiais.
Nebūtina, kad užgrobtas prietaisas turėtų dideles skaičiavimo galias. Tai gali būti telefonas, planšetinis kompiuteris ar lėtas kompiuteris – pagrindinis šio metodo privalumas yra tai, kad atskirų prietaisų pajėgumus galima sujungti. Efektyviausiai tokia ataka vykdoma serveriuose, kur dažnai nėra stebėjimo sistemų. Paprastai jų procesoriai daug apkrovų negauna, todėl kažką įtarti galima nebent pastebėjus, kad sąskaitos už elektrą pašoko dešimteriopai.
Tai populiarus būdas tarp programišių, kadangi daugelis aukų nieko neįtaria, o kitiems tai apskritai netrukdo. Jei hakeris nepersistengia, „valgo“ tik nedidelę dalį prietaiso resursų, o norimą galią susirenka iš tūkstančio kitų aukų, jokių įtarimų nekyla, o tai, kad jam nereikės mokėti už energiją, sukuria didelę vertę.
Kriptoplėšimas įkvėpimo pasisėmė iš išpirkos reikalaujančių virusų (angl. ransomware) sėkmės. Prieš porą metų jie buvo tokie populiarūs, kad tam tikrose platformose buvo pradėti siūlyti suprogramuoti virusai, kuriais savo tikslams galėjo pasinaudoti ir daug patirties neturintys programišiai.
Tačiau įsilaužėliui įgyvendinti tokį planą gali būti sudėtinga. Jam reikia išsipirkti elektroninio pašto adresus, įsitikinti, kad žmonės žinos, kaip reikia mokėti išpirką, ir panašiai. Galų gale tai pavirsta į 6–7 žingsnių procesą, ir jei bent vienas iš jų neįvykdomas, hakeris pinigų negaus.
– Kokia tikimybė, kad kriptovaliutas kasanti programėlė be sutikimo įrašyta mano telefone ar kompiuteryje?
– Gana didelė, ypač naudojant išmaniuosius ir planšetinius kompiuterius. Jei kompiuteryje yra „Windows“ sistema, ten yra įdiegta tam tikrų apsauginių priemonių, tačiau, pavyzdžiui, vidutinis „Android“ vartotojas apsaugos programėlių neįsirašinėja.
Didesnė problema yra ta, kad daugybė telefonų naudoja labai senas „Android“ versijas, pavyzdžiui, itin populiari yra „Android 4.4 Kitkat“, kurioje labai daug saugumo spragų. Vienintelis dalykas, ko tokiu atveju reikia, ‒ kad vartotojas paspaustų tam tikrą nuorodą, atsakytų į žinutę, parsisiųstų netikrą mobiliąją programėlę.
Įsilaužėliams naudinga, kad išmanusis yra įjungtas kone 24 valandas per parą, mes jį nuolat pakrauname, taip pat jis beveik visada prijungtas prie interneto.
Įsilaužėliams naudinga, kad išmanieji yra įjungti kone 24 valandas per parą, kai kompiuteriai naudojami vidutiniškai penkias valandas ar dar mažiau. Juk vis daugiau dalykų atliekame telefonu. Mes jį nuolat pakrauname, taip pat jis beveik visada prijungtas prie interneto. Žinoma, telefonas suteikia kur kas mažiau kompiuterinių pajėgumų, tačiau tai galima kompensuoti prijungiant daugiau prietaisų.
– Kai kurie ekspertai itin giria blockchain ir sako, kad ši technologija bus labai plačiai pritaikyta. Ar tai atneš daugiau saugumo? Regis, kad nulaužti daugybę serverių yra sunkiau, nei įveikti vieną?
– Su tuo yra susijusios dvi didelės problemos. Mes sakome, kad blockhain turi daug serverių, t. y. dalyvių (angl. nodes), tačiau jie nėra lygūs. Galingesni serveriai turi daugiau pajėgumų, tinkle gali atsirasti ir superkompiuteris, kuris turės daugiau įtakos nei kiti tinklo kompiuteriai.
Kitas dalykas – patys kompiuterių tinklai. Tarkime, jūs norite turėti prieigą prie 10 tūkst. „Windows“ kompiuterių ar serverių. Tam sprendimų tikrai yra, pavyzdžiui, JAV Nacionalinės saugumo agentūros sukurta programa „EternalBlue“, kuri leidžia įsilaužti į bet kurį „Windows“ kompiuterį.
Blockchain turi dar vieną didelę problemą – jei vienas asmuo ar organizacija kontroliuoja 51–52 proc. tinklo kompiuterių, jis gali keisti visą blockchain be kitų 49 proc. naudotojų sutikimo.
Kinija tokiomis technologijomis labai domisi, nes iš 500 galingiausių pasaulio superkompiuterių bene 300 gali būti Kinijoje. Taigi, kodėl ne, jų vietoje aš irgi daryčiau tą patį. Jie turi apie 57 proc. visos kompiuterių pasaulinės galios, todėl praktiškai gali kontroliuoti bet ką.
Žmonės, kurie sukūrė šią technologiją, darė viską dėl anarchijos. Tačiau mes nesugebėsime pakeisti to, ką kontroliuoja didžiosios bendrovės ar didžiosios valstybės, į technologijas, kurios leidžia žmonėms būti anonimiškiems ir laisviems.
– Susidaro įspūdis, kad netikite blockchain technologijos ateitimi?
– Manau, kad skaitmeninės valiutos neabejotinai yra ateitis, tačiau jos neturėtų būti paremtos dabartinėmis technologijomis.
Valstybės reguliuoja bankus ir kontroliuoja, kiek pinigų galima išleisti. Kriptopasaulyje pinigus galima kurti laisvai. Juos „kasant“ sunaudojama daugybė energijos, o juodojoje rinkoje kriptovaliutos naudojamos daug dažniau nei kitur. Kol didelės prekybos įmonės ir bendruomenės, tokios kaip „Amazon“, kriptovaliutų neįsileis, jos turės labai mažai vertės.
Tai nekontroliuojama aplinka, o blockchain nėra ta technologija, ant kurios galima pastatyti ekonomiką, būtent dėl minėtų silpnybių. Ir problemos su kriptoplėšimu tai tik paryškina.
– Žmonės, kurie kasdien tiesiogiai nesusiduria su interneto saugumo problemomis, apie jas dažniausiai išgirsta iš žiniasklaidos. Ji, savo ruožtu, daugiausia praneša apie didelius įsilaužimus. Gali susidaryti įspūdis, kad technologijas piktiems kėslams naudojančių žmonių yra labai daug. Kokia tikroji situacija – ar hakeriai laimi šias protų lenktynes?
– Saugumo bendrovės turi paklusti įstatymams, o programišiai – ne. Jei lygintume išsilavinimą ir galimybes, esame vienodame lygmenyje, tačiau mes, kaip bendrovė, negalime slapta įrašyti antivirusinės programos į jūsų kompiuterį. Tam reikia sutikimo. Įsilaužėliai savo programas įrašyti gali, ir būtent tai yra priežastis, kodėl jie visuomet bus vienu žingsniu priekyje.
Mes norėtumėme savo produktus pagerinti ir gauti daugiau duomenų iš vartotojų. Kiekviena programa prašo vartotojų pasidalyti duomenimis tam, kad būtų galima ją tobulinti. Dažniausiai žmonės sako „Ne“.
Kuo labiau atsiveriame technologijoms, tuo labiau atsiveriame ir galimoms atakoms. Po beveik 30 metų mes vis dar kalbame tomis pačiomis temomis – stiprūs slaptažodžiai ir įtartinos nuorodos. Jei kažkas internete atrodo įtartina, tikriausiai taip ir yra, bet žmonės spaudžia iš smalsumo.
Jei pažiūrėtumėme į kenksmingas programėles prieš 15–20 metų, hakeriai stengėsi būti matomi, nes darė tai dėl šlovės. Nulaužto kompiuterio ekrane galėdavai išvysti sprogimus, kaukoles ar kitų keistų dalykų. Kalbame apie laikus prieš „PayPal“ ar bitkoiną, kai lengvai keistis pinigų negalėjai. Dabar turime anoniminius mokėjimus, o programišiai gauna daugiau naudos būdami įsilaužėliais, nes rizika, kad juos suseks, labai maža. Todėl šiandien hakeriai nebenori būti matomi.
Kompiuterizacija padalijo visuomenę. Žmonės, kuriems virš 70 metų, nelabai supranta, kas tai ir kam tai skirta. Netgi žmonės, sulaukę 60-ies, dar stovi ant ribos. Jaunimas irgi nesirūpina saugumu, tačiau yra pasiryžę paimti praktiškai bet ką, ką tik gali gauti. Jie sako, aš sutinku, man nesvarbu, tik duokite ką nors nemokamai. Ir tai yra atvira erdvė tiems, kurie gali šią sistemą išnaudoti.
– Žmonės puikiai suvokia, kad durims reikia spynos, antraip kyla rizika netekti daiktų. To negalima pasakyti apie virtualią erdvę. Vis dėlto auga karta, kuri daug geriau supranta internetą. Ateityje, kai vis daugiau turto bus virtualioje erdvėje, galbūt požiūris į kibernetinį saugumą pasikeis savaime?
– Manau, kad saugumo produktų rinka nesugebėjo to išaiškinti jaunesnei kartai. Man sunku to išmokyti net ir savo vaikus. Mes nesugebame jiems paaiškinti, kad atsainus požiūris yra netgi blogiau nei durys be spynos – tai atidarytos durys, už kurių guli visi jūsų pinigai.
Didžiulis sukrėtimas įvyko tuomet, kai žmonės suvokė, kad duomenimis, kuriuos jie patys teikė „Facebook“, buvo pasinaudota ir jie perduoti pašaliniams. Manau, kad tokie dalykai atsitiks vis dažniau. Jei pasinaudojus kompiuteriais išrenkamas kas nors, ko tu nenorėjai išrinkti, ir dar tokiu būdu, kurio tu iki galo nesupranti, – manau, kad tai gąsdina daugybę žmonių.
Neigiamos saugumo tendencijos dar tęsis, tačiau vėliau padėtis pagerės.
– Etiški programišiai ieško saugumo spragų ir padeda bendrovėms apsisaugoti. Ar ši bendruomenė galėtų pagelbėti, jei įmonės jai suteiktų daugiau galimybių? Tarkime, jei aktyviau siūlytų vertingus apdovanojimus?
– Tai problemiška, nes jei tokie testai ir atliekami, dauguma bendrovių už tai nemoka. Jie netgi neskiria pinigų, kad pamokytų savo darbuotojus. Per visą savo karjerą girdėdavau tik apie naudojamus produktus, bet, išskyrus priminimus apie slaptažodžius, niekada nebūdavo aiškinama apie saugų elgesį.
– Žmonės kasdien susiduria su galybe problemų, o šalia to saugumo ekspertai jiems dar primena, kad reikia jaudintis ir dėl skaitmeninio saugumo. Galbūt dėl to šią problemą ir sunku paveikiai pateikti. Ar vienintelis būdas, kad žmogus pradėtų į tai žiūrėti rimtai, yra pačiam tapti auka?
– Greičiausiai, kad taip. Tapimas auka „padeda“ labiausiai – kitu atveju tai atrodo kaip gąsdinanti pasaka, nutikusi kažkam kitam. Turiu draugę, kuri dirba dideliame Vokietijos banke. Jos „Android“ sistema telefone buvo nulaužta labai gudriu būdu – pagaminus skaitmeninę telefono kopiją ir praktiškai pavogus jos tapatybę. Iš pradžių ji į tai žiūrėjo atsainiai, kol įsilaužėliai jos vardu pradėjo siuntinėti laiškus banko vadovui. Jai buvo labai sunku, dabar ji pripažįsta tapusi auka ir sako, kad yra jautresnė saugumo klausimams.
Esu matęs dokumentinę laidą Vokietijos televizijoje apie įmonę, kuri gamino aukštos klasės patefonų adatėles. Verslas ir šiaip sudėtingas, nes ši rinka susitraukusi. Viena adatėlė kainavo 800 eurų. Programišiai iš Kinijos vykdė atakas 40 mėnesių ir pagamino beveik identišką adatėlę, kuri kainavo apie du dolerius. Ta bendrovė bankrutavo. Aš prisimenu įmonės savininko reakciją – jis verkė prieš TV kameras.
Tada pagalvojau, kad turime tokius atvejus viešinti dar labiau. Deja, manau, kad reikia mėginti gąsdinti žmones panašiai, kaip tai daroma su cigarečių pakeliais, ant jų uždedant baisius paveikslėlius. Jokie kiti būdai, panašu, neturi poveikio.
– Su kokia interneto saugumo problema šiandien susiduriame dažniausiai?
– Pasikartosiu, didžiausia problema yra silpni slaptažodžiai. Tai pagrindinis būdas įsilaužti į žmonių paskyras. Taip pat tos pačios saugumo informacijos naudojimas keliuose skirtinguose tinklalapiuose. Nepadeda ir tai, kad žmonės internete yra naivūs. Per 20 metų beveik niekas nepasikeitė.
Žmonės norėtų kaltinti technologijas, tačiau daugybė jų gali atiduoti pusę gyvenimo, kad gautų kažką, kas praktiškai neturi vertės.
– Reikėtų suprasti, kad problemos glūdi ne technologijoje, o vartotojuose?
– Žmonės norėtų kaltinti technologijas, tačiau daugybė jų gali atiduoti pusę gyvenimo, kad gautų kažką, kas praktiškai neturi vertės. Pavyzdžiui, žaisti „Candy Crush“ kompiuteryje.
Manau, kad kalti būtent vartotojai. Jei nori vairuoti automobilį, pirmiausia turi įrodyti, kad sugebi tai daryti nesukeldamas avarijų. Jei būtų keliamas toks klausimas, tikrai balsuočiau, kad žmonės negalėtų naudotis kompiuteriu, kol neįrodė, kad supranta kylančias rizikas.
Deja, vartotojas yra didžiausia šios sistemos spraga. Norint tai ištaisyti, reikia mokytis.
S. Pfeifferis
Sascha Pfeifferis yra saugumo sprendimų bendrovės „Sophos“ inžinerinių pardavimų direktorius, atsakingas už verslo plėtrą Centrinėje ir Rytų Europoje, Artimuosiuose Rytuose bei Afrikoje.
Nuo 2012-ųjų metų spalio iki 2014-ųjų gegužės S. Pfeifferis vadovavo bendrovės „Juniper Networks“ saugumo produktų padaliniui Europos, Artimųjų Rytų ir Afrikos regione.
Iki tol jis penkerius metus dirbo vyriausiuoju saugumo konsultantu „Sophos“ atstovybėje Vokietijoje.
Didžiausios patirties Pfeifferis įgijo vadovaudamas „Check Point Software Technologies“ bei „Gupta/Centura“ įmonių įrenginių saugumo ir inžinerinių pardavimų komandoms.