IT Professional Security - ΤΕΥΧΟΣ 50

www.itsecuritypro.gr 05/06/07.2017 • Τεύχος 50 • Τιμή 5€
Ransomware
Η μεγαλύτερη πρόκληση
για την ασφάλεια
• Μια σύγχρονη τεχνολογική απειλή για τις
επιχειρήσεις & τα επιβεβλημένα ψηφιακά
αντίμετρα
• NIS - Η νέα οδηγία για την κυβερνοασφάλεια
και οι βέλτιστες επιλογές

T5005/06/07.2017
Editorial
Απλά μέτρα πρόληψης ..που
μπορεί να αποδειχτούν “σωτήρια”!
Οι περισσότερες αναφορές των εταιριών ψηφιακής ασφάλειας,
αλλά και των ειδικών του χώρου, σχετικά με τις επιθέσεις
των διαφορετικών τύπων Ransomware - που πρόσφατα εκδηλώθηκαν
με σφοδρότητα σε πολλές χώρες του κόσμου -
συγκλίνουν σε μια σειρά από συμβουλές και συστάσεις προς
τους απλούς χρήστες, αλλά φυσικά και προς τις επιχειρήσεις
κάθε κλίμακας και μεγέθους, μιας και όπως αποδείχτηκε τα
λεγόμενα και ως “λυτρισμικά” …δεν κάνουν διακρίσεις!
Επιχειρώντας να συγκεντρώσουμε αυτές τις συμβουλές,
που σκοπό έχουν να ενισχύσουν τα μέτρα άμυνας απέναντι
στις απειλές των Ransomware, πρέπει να επισημάνουμε
ότι σχεδόν όλες θέτουν ως βασικές προτεραιότητες τη
διατήρηση των ενημερώσεων των λειτουργικών των συστημάτων,
αλλά και των αντιγράφων ασφαλείας σε συχνή
βάση. Η μετάβαση στο Κέντρο Ενεργειών των Windows και
η εγκατάσταση των απαραίτητων ενημερώσεων του λειτουργικού,
που εκδίδει η Micrososft, μπορεί πραγματικά να
αποβεί σωτήρια απέναντι στα κακόβουλα λογισμικά κάθε
τύπου. Επίσης, ο μόνος τρόπος επανάκτησης των αρχείων
– χωρίς φυσικά να ενδώσει το θύμα επίθεσης ransomware
στην πληρωμή λύτρων – είναι η συχνή διατήρηση αντιγράφων
ασφάλειας των δεδομένων. Η διατήρηση αντιγράφων
των αρχείων και εκτός δικτύου/internet (off site), είναι μια
διαδικασία που συνίσταται όχι μόνο απέναντι στην πιθανότητα
μόλυνσης από κακόβουλα λογισμικά, αλλά και πολλών
άλλων καταστάσεων (κλοπή, απώλεια, καταστροφή, κλπ)
Φυσικά, η βοήθεια μιας τεχνολογικής λύσης ασφάλειας για
την αντιμετώπιση των επιθέσεων ransomware και των
άλλων σύγχρονων ψηφιακών απειλών, είναι πάντα σημαντική.
Όμως εξίσου σημαντική, είναι και η εκπαίδευση των
χρηστών και του προσωπικού των επιχειρήσεων, προκειμένου
να αποφεύγουν ενέργειες που πιθανόν θα δημιουργήσουν
“κερκόπορτες” για τους επιτιθέμενους. Θα πρέπει
λοιπόν οι χρήστες να μην ανοίγουν επισυναπτόμενα αρχεία
από email παραληπτών που δεν γνωρίζουν ή θεωρούνται
ύποπτα, ενώ τα τμήματα IT, θα πρέπει να διακρίνουν τα κρίσιμα
δεδομένα, να τα αποθηκεύουν ξεχωριστά και φυσικά
να δημιουργούν αντίγραφα ασφάλειας, περιορίζοντας την
πρόσβαση σε αυτά.
Μπορεί τα παραπάνω να φαίνονται απλά, όμως αποτελούν
την πρώτη και βασική γραμμή άμυνας απέναντι σε αυτές τις
απειλές και αν όλοι τα εφάρμοζαν σίγουρα οι συνέπειες από
τις επιθέσεις θα ήταν πολύ μικρότερες. Στο τεύχος αυτό, θα
βρείτε πολλές εκτεταμένες αναλύσεις και αναφορές, σχετικά
με τα λυτρισμικά και βέλτιστους τρόπους αντιμετώπισης τους.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
v.amanatidis@smartpress.gr
Συνεργάτες
Σήφης Ανδρουλιδάκης
Μίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
n.sarafoglou@smartpress.gr
DTP
Λεωνίδας Πουλόπουλος
Νίκος Χαλκιαδάκης
Διεύθυνση Events
Ανδρέας Καραντώνης
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνη Social Media
Αγγελική Νόστη
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Δήμητρα Κατερέλου
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 210 5238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210 5230000,
Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
2 security

security
3

T5005/06/07.2017
Contents
12 40 44
2 | editorial
Cover issue
12 | Ransomware
Η μεγαλύτερη πρόκληση για την
ασφάλεια
Issue
20 | Ransomware ή αλλιώς…
«λυτρισμικό»!
Μια σύγχρονη τεχνολογική
απειλή για τις επιχειρήσεις & τα
επιβεβλημένα ψηφιακά αντίμετρα
22 | Ransomware: Κερδίζοντας
τον πόλεμο με μια ολιστική
προσέγγιση
24 | Κατανοώντας το WannaCry για
να προστατευθείτε από αυτό και
άλλου τύπου ransomware
28 | Πάντα σε ετοιμότητα.. γιατί η
ιστορία επαναλαμβάνεται!
30 | Your files or your money – Πώς
να αμυνθείτε αποτελεσματικά
έναντι της κρίσιμης απειλής των
Ransomware
34 | Ransomware Vs Wiper:
Από τον Cryptolocker στον
WannaCry, στην νέα εποχή της
κυβερνοτρομοκρατίας.
36 | Θωρακίστε την επιχείρησή σας
με την Bitdefender
38 | Αύξηση του Ransomware: Πώς
η Seqrite μπορεί να βοηθήσει να
προστατεύσετε την επιχείρησή σας!
40 | Πως αντιμετωπίζεται από ένα
ασφαλιστήριο cyber insurance
το ransomware;
42 | ObserveIT: Αναγνώριση και
Αντιμετώπιση της εσωτερικής
απειλής
44 | NIS - Η νέα οδηγία για την
κυβερνοασφάλεια
Business IT
2 | Η νέα McAfee δεσμεύεται για την
οικοδόμηση ενός ασφαλέστερου
μέλλοντος
5 | ITWAY & McAfee
Μια συνεργασία που συνεχίζει και
αναπτύσσεται διαρκώς
4 security

security
5

T5005/06/07.2017
News
Νομοθεσία για το έγκλημα στον κυβερνοχώρο και την
ψηφιακή εγκληματικότητα -Επιστημονικό σύγγραμμα
από Αξιωματικούς της Ελληνικής Αστυνομίας
Η διείσδυση των διαδικτυακών και
υπολογιστικών συστημάτων στην
καθημερινότητά μας, έχει διευρύνει
σημαντικά τον αριθμό των εν δυνάμει
θυμάτων κυβερνοεγκληματιών
σε παγκόσμιο επίπεδο, ενώ
παράλληλα έχει διαμορφωθεί ένα
νέο τοπίο τεχνικών και νομικών
προκλήσεων για τους εκπροσώπους
των διωκτικών αρχών, τους
δικαστικούς λειτουργούς και
τους εμπειρογνώμονες –
ειδικούς ασφαλείας ψηφιακών
συστημάτων. Βασικό εργαλείο
για την αποτελεσματική άσκηση
των καθηκόντων τους και την
απονομή της δικαιοσύνης, αποτελεί
το ισχύον νομικό πλαίσιο
κάθε χώρας, που λόγω της
πολυπλοκότητας του αντικειμένου,
δεν είναι εύκολα προσβάσιμο.
Αυτό ακριβώς το εργαλείο
φιλοδοξεί να αποτελέσει το εν λόγω σύγγραμμα, των
Αξιωματικών της Ελληνικής Αστυνομίας Γέρμανου Αθ. Γεωργίου
και Παπαθανασίου Χρ. Αναστασίου, το οποίο περιλαμβάνει,
συστηματικά συγκεντρωμένη και κωδικοποιημένη,
την νομοθεσία για το Έγκλημα στον Κυβερνοχώρο και
την Ψηφιακή Εγκληματικότητα. Το σύγγραμμα συμπεριλήφθηκε
στην Επιστημονική Σειρά «Ποινικά», που διευθύνουν οι
Καθηγητές κ.κ. Ν. Ανδρουλάκης και Λ. Κοτσαλής.
Στο βιβλίο, 368 σελίδων, εμπεριέχονται, μεταξύ άλλων,
διατάξεις Ουσιαστικού Ποινικού Δικαίου, διατάξεις Δικονομικού
Ποινικού Δικαίου, διατάξεις Διεθνούς Συνεργασίας, αλλά και
νομοθετήματα σχετικά με τις προβλεπόμενες διαδικασίες
διερεύνησης, ερευνών και δίωξης των εγκλημάτων στον
Κυβερνοχώρο, τις διαδικασίες άρσης απορρήτου των
επικοινωνιών, συγκρότησης Κοινών Ομάδων Ερευνών στο
πλαίσιο της Ε.Ε., Γνωμοδοτήσεις & Εγκυκλίους, ποινικού
περιεχομένου, της Εισαγγελίας του Αρείου Πάγου, καθώς και
αποφάσεις, πράξεις & κανονισμούς
Ανεξάρτητων Διοικητικών Αρχών
(Α.Δ.Α.Ε., Α.Π.Δ.Π.Χ., Ε.Ε.Ε.Π. κ.λ.π.).
Ταυτόχρονα, τα νομοθετήματα συνοδεύονται
από εκτεταμένη εισαγωγική
μελέτη για το Έγκλημα στον
Κυβερνοχώρο.
Το βιβλίο των δύο Αξιωματικών, που
υπηρετούν στη Διεύθυνση Δίωξης
Ηλεκτρονικού Εγκλήματος και
διαθέτουν αξιέπαινο επιστημονικό
υπόβαθρο, μπορεί να αποτελέσει
ένα χρήσιμο οδηγό και βοήθημα
νομοθεσίας για το Έγκλημα στον
Κυβερνοχώρο, τόσο για τους
Νομικούς (Δικηγόροι, Δικαστές,
εργαζόμενους στο σύστημα
απονομής ποινικής δικαιοσύνης
εν γένει), για τους εκπροσώπους
των Αρχών Επιβολής του
Νόμου (Αστυνομικοί, Λιμενικοί,
Στρατιωτικοί κτλ), φοιτητές και
σπουδαστές (Νομικών Επιστημών, Πληροφορικής, Σχολής
Δικαστών, Αστυνομικών και Στρατιωτικών Σχολών κτλ)
αλλά και για επαγγελματίες εργαζομένους στο χώρο της
Πληροφορικής.
Αξίζει να επισημανθεί ότι τα έσοδα από τα συγγραφικά
δικαιώματα του βιβλίου, που αντιστοιχούν στους
συγγραφείς, θα διατεθούν, μέσω του Ιδρύματος «Εξοχές
Ελληνικής Αστυνομίας», υπέρ των ορφανών τέκνων
των αστυνομικών, πυροσβεστικών και πολιτικών
υπαλλήλων του Υπουργείου Προστασίας του Πολίτη, οι
γονείς των οποίων έπαθαν ή έπεσαν από βίαιο περιστατικό,
είτε από τρομοκρατία, είτε από το οργανωμένο έγκλημα.
Το βιβλίο κυκλοφορεί και είναι διαθέσιμο από τις εκδόσεις
Αντ. Ν. Σάκκουλα Ε.Ε. (διεύθυνση Σόλωνος 86, Τ.Κ.
10680, Αθήνα και τηλ. 210 3623586). Η παραγγελία του
μπορεί να γίνει μέσω βιβλιοπωλείων σε όλη την Ελλάδα,
αλλά και ηλεκτρονικά στο URL: https://goo.gl/0tYWG5.
6
Business IT

Business IT 7

T5005/06/07.2017
News
Με μεγάλη επιτυχία διοργανώθηκαν τα σεμινάρια της ManageEngine
σε συνεργασία με την CYSOFT σε Ελλάδα και Κύπρο
Το ενδιαφέρον πολλών επαγγελματιών στο τομέα της πληροφορικής
προσέλκυσαν τα σεμινάρια που διοργάνωσε στα
μέσα Ιουνίου σε Ελλάδα και Κύπρο, η ManageEngine σε
συνεργασία με την CYSOFT. Στα σεμινάρια, παρευρέθηκαν
IT managers μεγάλων οργανισμών, τεχνικοί, διαχειρι-
στές δικτύων και IT administrators, που είχαν την ευκαιρία
να παρακολουθήσουν τα στελέχη της ManageEngine να
αναπτύσσουν την προσέγγιση της εταιρίας για πολλά κρίσιμα
ζητήματα διαχείρισης της ΙΤ υποδομής σε επιχειρηματικά
περιβάλλοντα. Στα σεμινάρια, παρουσιάστηκαν
Success Stories εταιριών που υιοθέτησαν τις πρακτικές και
τις λύσεις που προτείνει η ManageEngine σε τομείς όπως
το IT Service Management, Desktop and Mobile Device
Management και IT Operation Management. Οι εισηγητές
των σεμιναρίων ανέδειξαν τους τρόπους ενοποίησης της
διαχείρισης της δικτυακής υποδομής, των server και των
εφαρμογών σε έναν οργανισμό καθώς και τα οφέλη που
προκύπτουν. Επίσης παρουσίασαν λύσεις αντιμετώπισης
των εσωτερικών και εξωτερικών απειλών για τις κρίσιμες
πληροφορίες και παράλληλα ενημέρωσαν το κοινό για όλες
τις απαιτήσεις που προκύπτουν από το GDPR και το πώς η
ManageEngine μπορεί να βοηθήσει στην συμμόρφωση με
τα νέα δεδομένα που θα επιφέρει ο κανονισμός.
Το παγκόσμιο δίκτυο συνεργατών της ESET στην Ελλάδα
για το ετήσιο ESET World 2017 Conference
Περισσότεροι από 350 συνεργάτες της ESET από ολόκληρο
το κόσμο επισκέφθηκαν τη χώρα μας στις 29 Μαΐου – 2 Ιουνίου
2017 με αφορμή το ESET World 2017. Οι εξαιρετικές
επιδόσεις της εταιρίας στην ελληνική αγορά, λαμβάνοντας
μάλιστα υπόψη τα μεγέθη και τις δυνατότητες συγκριτικά
με τις υπόλοιπες χώρες παγκοσμίως, οδήγησαν στο να επιλεχθεί
για δεύτερη φορά μέσα στα τελευταία τέσσερα χρόνια
η Ελλάδα ως χώρα φιλοξενίας του ετήσιου παγκοσμίου
συνεδρίου της ESET.
Το 2014 το Παγκόσμιο συνέδριο είχε πραγματοποιηθεί στη
Ρόδο, ενώ φέτος το ESET World 2017 φιλοξενήθηκε σε
γνωστό ξενοδοχείο στην Πελοπόννησο. Στελέχη διοικητικά,
marketing, πωλήσεων, τεχνικής υποστήριξης, ερευνητές
malware και αναλυτές που εργάζονται για την ESET σε όλον
τον κόσμο, είχαν την ευκαιρία να ανταλλάξουν εμπειρίες και
τεχνογνωσία, να ενημερωθούν για όλες τις εξελίξεις στη βιομηχανία
ασφάλειας και να συζητήσουν για τη στρατηγική και
τάσεις του IT Security. Το φετινό ESET World 2017 υπήρξε
η αφορμή για την παρουσίαση νέων λύσεων που προάγουν
την προληπτική τεχνολογία και το artificial intelligence. Παράλληλα
συζητήθηκε η στρατηγική και οι ενέργειες που θα
ακολουθηθούν στο πλαίσιο του Ευρωπαϊκού Κανονισμού
Γενικής Προστασίας Δεδομένων (GDPR). Το συνέδριο στάθηκε
επίσης η αφορμή για να επιβραβευθούν οι συνεργάτες
που σημείωσαν εξαιρετικές επιδόσεις στα μερίδια αγοράς.
Στο πλαίσιο αυτό, η ESET Hellas & Cyprus απέσπασε διάκριση
του στην κατηγορία «New Business Champion 2017».
Ο κ. Νεόφυτος Νεοφύτου, Διευθύνων Σύμβουλος της ESET
Middle East, Hellas & Cyprus, δήλωσε: «Από το 1987 η ESET
έχει διαγράψει μία πορεία συνεχούς ανάπτυξης, διαθέτοντας
πλέον παρουσία σε περισσότερες από 200 χώρες και κρατώντας
ασφαλείς πάνω από 100 εκατομμύρια χρήστες. Η
διαρκής εξέλιξη των προϊόντων της, που έχει διευρυνθεί με
την προσφορά λύσεων πλέον και σε νέους τομείς ασφαλείας
με λύσεις threat intelligence, κρυπτογράφησης, two-factor
authentication, DLP και patch management, αποτελεί απόδειξη
της ικανότητάς να κρατάει πραγματικά ασφαλείς χρήστες
και επιχειρήσεις τώρα και στο μέλλον.»
8
Business IT

Business IT 9

T5005/06/07.2017
News
Η ENCODE συμμετείχε στην «Infosecurity Europe»
Για τρίτη συνεχή χρονιά, η ENCODE συμμετείχε ως εκθέτης
στην Infosecurity Europe που πραγματοποιήθηκε μεταξύ
6 – 8 Ιουνίου στο Λονδίνο.
Η Έκθεση “Infosecurity Europe” αποτελεί το κορυφαίο γεγονός
στον τομέα ασφάλειας των πληροφοριών στην Ευρώπη
με πάνω από 315 εκθέτες και φορείς παροχής υπηρεσιών,
με το πιο ευρύ φάσμα νέων προϊόντων ενώ την Έκθεση
επισκέφθηκαν πάνω από 15.000 επαγγελματίες του
κλάδου από όλο τον κόσμο.
Το περίπτερο της ENCODE επισκέφθηκε πλήθος επισκεπτών
και κατά τη διάρκεια της έκθεσης δόθηκε η ευκαιρία
υλοποίησης σημαντικότατων συναντήσεων με εκπροσώπους
του τραπεζικού χώρου, των τηλεπικοινωνιών και φυσικά
με εκπροσώπους εταιρειών του ευρύτερου χώρου της
τεχνολογίας.
Τα στελέχη της ENCODE, μπόρεσαν κατά τη διάρκεια των
συναντήσεων αυτών να παρουσιάσουν τα προϊόντα και να
αναπτύξουν τις υπηρεσίες της εταιρείας, συμβάλλοντας ουσιαστικά
στην ανταλλαγή πληροφοριών και γνώσης σχετικά
με όλες τις τελευταίες εξελίξεις στον χώρο του Cyber
Security, δίνοντας ταυτόχρονα και το στίγμα της εταιρείας
που ξεφεύγοντας από τα ελληνικά γεωγραφικά σύνορα
εντάσσεται στο διεθνή καμβά τεχνολογικών εξελίξεων και
ανάπτυξης.
Το Threat Detection &
Response – TDR είναι η
νέα υπηρεσία ασφάλειας
της WatchGuard η οποία
με τους agents – τους Host Sensors – που εγκαθίστανται
στα end points και την ανάλυση της δικτυακής κίνησης, συσχετίζει
και αναλύει τα συμβάντα ώστε να προσφέρει αναγνώριση
επίθεσης και άμεσους τρόπους αντιμετώπισης.
Ο συσχετισμός και η αξιολόγηση των συμβάντων γίνεται
στο σύννεφο, ωστόσο οι δράσεις για την αντιμετώπιση
των επιθέσεων εκτός από την κεντρική κονσόλα, μπορούν
να γίνουν και αυτοματοποιημένα στα end points μέσω των
host sensors όπως π.χ. τοποθέτηση αρχείου σε καραντίνα,
delete τιμών από το registry, ή kill κάποιου process (περίπτωση
ransomware όπου μπλοκάρεται η κρυπτογράφηση)
Νέα υπηρεσία ασφάλειας από τη WatchGuard
Η WatchGuard προχώρησε στη διάθεση της συγκεκριμένης
λύσης μετά από εξαγορά της κορυφαίας
σε αυτή την τεχνολογία Hawkeye, της Hexis.
Με την ενσωμάτωση του TDR προσφέρεται σε μικρά και
μεσαία δίκτυα ένα εργαλείο ελέγχου του δικτύου για την
έγκαιρη αντιμετώπιση και αντίδραση σε περίπτωση κακόβουλης
επίθεσης, που μέχρι τώρα ήταν προνόμιο των πολύ μεγάλων
επιχειρήσεων λόγω του κόστους παρόμοιων λύσεων.
(Με μία πλήρη σουίτα UTM υπηρεσιών (Antiransomware/
Sandbox, TDR, Data loos Prevention κ.ά.) οι λύσεις
της WatchGuard προσφέρουν όλες τις
τεχνολογίες ασφάλειας που μπορούν να υλοποιηθούν
στο firewall για συμμόρφωση με GDPR)
Η Digital SIMA (www.digitalsima.gr) είναι ο επίσημος
διανομέας της WatchGuard σε Ελλάδα και Κύπρο.
10
Business IT

Business IT 11

T5005/06/07.2017
Cover Issue
Ransomware
Η μεγαλύτερη πρόκληση
για την ασφάλεια
Παγκόσμιο συναγερμό για τους ανθρώπους της ασφάλειας, αλλά και ευρύτερα, προκαλούν οι
επιθέσεις Ransomware που έχουν εκδηλωθεί τους τελευταίους 3 μήνες σε πολύ μεγάλη κλίμακα
και σε πάρα πολλές χώρες. Όλες οι εταιρίες και οι επαγγελματίες που ασχολούνται με την
ψηφιακή ασφάλεια βρίσκονται σε συνεχή εγρήγορση προκειμένου να αντιμετωπίσουν τη ραγδαία
εξάπλωση των διαφορετικών τύπων επιθέσεων των λεγόμενων “λυτρισμικών”.
Α
ν θέλαμε να ιεραρχήσουμε τις ψηφιακές
απειλές των τελευταίων ετών, ως προς την
έκταση τους, την ταχύτητα εξάπλωσης τους,
τις διάφορες παραλλαγές που εμφανίζουν,
τις δυσκολίες αντιμετώπισης τους, άλλα και
τις συνέπειες που προκάλεσαν σε παγκόσμια κλίμακα τους
τελευταίους μήνες, τότε το φαινόμενο Ransomware διεκδικεί
σε πολύ μεγάλο βαθμό την πρώτη θέση.
Οι εταιρίες που δραστηριοποιούνται στο τομέα της ασφάλειας
πληροφοριών, είτε σε επίπεδο ανάπτυξης και παροχής λύσεων,
είτε στην παροχή υπηρεσιών και υλοποίηση έργων, αλλά
και όλοι οι επαγγελματίες που εργάζονται σε οργανισμούς
και επιχειρήσεις κάθε κλίμακας και δραστηριότητας και είναι
υπεύθυνοι IT γενικότερα ή υπεύθυνοι ασφάλειας πληροφοριών
ειδικότερα, βρίσκονται σε μια παγκόσμια επιφυλακή για
την αντιμετώπιση των Ransomware.
12 security

Το λεγόμενο και ως “Λυτρισμικό” (Rasnom = Λύτρα) –
αποτυπώνοντας με αυτόν τον όρο την “αξίωση” των κυβερνοεγκληματιών
για καταβολή λύτρων από όσους πέφτουν
θύματα – είναι αυτή τη στιγμή η αναμφισβήτητα η νο1
πρόκληση για την παγκόσμια κοινότητας της ψηφιακής
ασφάλειας. Σχεδόν όλοι πλέον γνωρίζουν το φαινόμενο
Ransomware, ως ένα κακόβουλο λογισμικό το οποίο
εξαπλώνεται στα συστήματα ηλεκτρονικών υπολογιστών και
έχει τη δυνατότητα να μπλοκάρει τη πρόσβαση των χρηστών
στα δεδομένα που είναι αποθηκευμένα σε αυτούς, κρυπτογραφώντας
τα αρχεία τους ή ακόμα χειρότερα εμποδίζοντας
την πλήρη χρήση του υπολογιστή τους. Στη συνέχεια, οι
επιτιθέμενοι με μηνύματα τους προσπαθούν να εξαναγκάσουν
τους χρήστες στην πληρωμή λύτρων, είτε σε πραγματικά
χρήματα είτε κυρίως σε bitcoins, προκειμένου να
επιτρέψουν, στους χρήστες να ανακτήσουν πάλι τον έλεγχο
του υπολογιστή τους και να έχουν πρόσβαση στα δεδομένα
τους. Φυσικά, η πληρωμή των λύτρων δεν εξασφαλίζει
σε καμία περίπτωση ότι τα δεδομένα θα “απελευθερωθούν”
για αυτό και οι ειδικοί του χώρου, οι εταιρίες ασφάλειας και
μεγάλοι οργανισμοί όπως ο ENISA σε καμία περίπτωση δεν
συνιστούν την καταβολή των λύτρων στους ηλεκτρονικούς
εγκληματίες, αφού μια τέτοια ενέργεια ούτε την αποκρυπτογράφηση
των αρχείων εγγυάται, ούτε εξασφαλίζει ότι το συγκεκριμένο
σύστημα δεν θα ξαναμολυνθεί.
Ας δούμε λοιπόν το ιστορικό των 2 πιο πρόσφατων μεγάλων
επιθέσεων με Ransomware και την προσέγγιση
οργανισμών και εταιριών ψηφιακής ασφάλειας όπως προέκυψε
από τις πρόσφατες αναφορές που δημοσίευσαν.
WannaCry – Το πρώτο …“αίμα”
Στα μέσα του Μαΐου εκδηλώθηκε ίσως το μεγαλύτερο κύμα
επιθέσεων τύπου Ransomware, που είχε κληθεί να αντιμετωπίσει
μέχρι τότε η παγκόσμια κοινότητα του τομέα της ψηφιακής
ασφάλειας, με την ονομασία. Πρόκειται για το γνωστό
σε όλους WannaCry, μια παγκόσμια κυβερνοεπίθεση που
λέγεται ότι αξιοποίησε εργαλεία, που είχαν αναπτυχθεί από
την Υπηρεσία Εθνικής Ασφάλειας (NSA) των Η.Π.Α. Το
WannaCry μόλυνε χιλιάδες υπολογιστές σε πάνω από
150 χώρες, προκαλώντας μεγάλα προβλήματα μεταξύ σε
εκτενή κλίμακα στο βρετανικό σύστημα υγείας, αλλά και σε
πολλές επιχειρήσεις όπως την παγκόσμια εταιρεία ταχυμεταφορών
FedEx. Η γαλλική αυτοκινητοβιομηχανία Renault
επλήγη επίσης από το κύμα των ταυτόχρονων κυβερνοεπιθέσεων,
ενώ η εταιρεία τηλεπικοινωνιών Telefonica ήταν
μεταξύ των κύριων στόχων στην Ισπανία, αν και ανακοίνωσε
πως η επίθεση περιορίσθηκε σε μερικούς ηλεκτρονικούς
υπολογιστές σ’ ένα εσωτερικό δίκτυο και δεν επηρέασε
πελάτες ή υπηρεσίες. Οι Portugal Telecom και Telefonica
Argentina ανακοίνωσαν επίσης πως έγιναν αμφότερες στόχοι.
Πολλά συστήματα της δημόσιας επιχείρησης των γερμανικών
σιδηροδρόμων, της Deutsche Bahn, επλήγησαν από
κακόβουλο λογισμικό. Η συγκεκριμένη επίθεση εξαπλώθηκε
σε μεγάλο βαθμό από χρήστες που άνοιξαν μολυσμένα αρχεία
που βρίσκονταν επισυναπτόμενα σε email και έμοιαζαν
με τιμολόγια, προσφορές, προειδοποιήσεις ασφάλειας ή άλλους
φακέλους επαγγελματικού ενδιαφέροντος. Οι επιτιθέμενοι
με όπλο το WannaCry, ζητούσαν από 300 έως 600 δολάρια
περίπου ως λύτρα μέσω ψηφιακού νομίσματος bitcoin.
security
13

T5005/06/07.2017
Cover Issue
Σε δηλώσεις του στο ΑΠΕ-ΜΠΕ, με αφορμή την εξάπλωση
του WannaCry στα μέσα Μαΐου, ο Διευθυντής του Ευρωπαϊκού
Οργανισμού για την Ασφάλεια Δικτύων και
Πληροφοριών (ENISA), κ. Πάουλο Εμπαντίνιας (Paulo
Empadinhas) αξιολόγησε ως πολύ σοβαρή την κατάσταση
και για αυτό όπως δήλωσε δημιουργήθηκε μια ειδική
ομάδα εργασίας που ενημέρωνε την Ευρωπαϊκή Επιτροπή
σχετικά με την εξέλιξη των επιθέσεων. Επίσης ανέφερε, ότι
η παραλλαγή του λυτρισμικού WannaCry που εντοπίστηκε
την Παρασκευή 12 Μαΐου 2017 και εξαπλώθηκε παγκοσμίως
μέσα σε λίγες ώρες βασίστηκε σε μια ευπάθεια στο
πρωτόκολλο Server Message Block (SMB) που χρησιμοποιείται
από τους υπολογιστές για να παρέχει πρόσβαση
σε κοινόχρηστους δίσκους και εκτυπωτές. Οι επιθέσεις, εκδηλώθηκαν
με επιτυχία όταν οι χρήστες άνοιγαν μηνύματα
ηλεκτρονικού ταχυδρομείου με συνημμένο αρχείο που
περιέχει το κακόβουλο λογισμικό. Άλλες μέθοδοι εκδήλωσης
της επίθεσης, σχετίζονταν με την επίσκεψη σε έναν
«ύποπτο» ιστότοπο, όπου η ενεργοποίηση ενός συνδέσμου
οδήγησε στη λήψη του κακόβουλου λογισμικού απευθείας
στον ηλεκτρονικό υπολογιστή του χρήστη. Φυσικά, μεγάλος
στόχος των επιθέσεων ήταν όπως πάντα μεγάλοι οργανισμοί
και επιχειρήσεις που έπεσαν θύματα επειδή δεν είχαν
προχωρήσει στην ενημέρωση των λειτουργικών τους συστημάτων
που διόρθωναν τις όποιες ευπάθειες υπήρχαν.
Σύμφωνα, με τη SophosLabs, το RansomWare που έγινε
γνωστό και με τις ονομασίες WannaCry, WCry, WannaCrypt,
WanaCrypt και WanaCryptor- κρυπτογράφησε τα αρχεία των
θυμάτων του και άλλαξε τις επεκτάσεις τους σε .wnry, .wcry,
.wncry, .wncrypt. H Sophos προστάτευσε τους πελάτες της
από την απειλή, την οποία ανίχνευσε ως Troj/Ransom-EMG,
Mal/Wanna-A, Troj/Wanna-C και Troj/Wanna-D ενώ οι
πελάτες της Sophos που χρησιμοποιούν το Intercept X είδαν
το ransomware να μπλοκάρεται από τον CryptoGuard.
Από την ώρα που η Sophos δημοσίευσε ένα σχετικό άρθρο,
η Microsoft έλαβε δραστικά μέτρα, καθιστώντας μία ενημέρωση
ασφαλείας διαθέσιμη για όλους ακόμα και για τις μηυποστηριζόμενες
πλατφόρμες της, όπως για τα Windows
XP. Η επίθεση θα μπορούσε πάντως να είναι ακόμα χειρότερη,
αν ένας ερευνητής που χρησιμοποιεί τον λογαριασμό
@MalwareTechBlog δεν έκανε μία τυχαία ανακάλυψη.
Πιο συγκεκριμένα βρήκε έναν “διακόπτη απενεργοποίησης”
κρυμμένο στο κακόβουλο λογισμικό. Ο ερευνητής δημοσίευσε
τα ευρήματα του και σε σχετική ανάρτηση του, έγραψε:
Ένα πράγμα που είναι πολύ σπουδαίο να σημειωθεί είναι ότι
το sinkholing μας σταματάει μόνο το συγκεκριμένο δείγμα
και πως τίποτα δεν μπορεί να σταματήσει τους επιτήδειους
από το να αφαιρέσουν τον έλεγχο του domain και να ξαναδοκιμάσουν
να επιτεθούν, οπότε είναι εξαιρετικά σπουδαίο
ότι στα ευάλωτα συστήματα να εγκατασταθεί το patch το συντομότερο
δυνατό”.
To συγκεκριμένο Ransomware που όπως αναφέρθηκε
εξαπλώθηκε εκμεταλλευόμενο μια ευπάθεια των Microsoft
Windows σε υπολογιστές χωρίς patches, ονομάστηκε από
την ESET ως «WannaCryptor», ωστόσο εναλλακτικά του
«WannaCry» και «Wcrypt». Σε αντίθεση με τα περισσότερα
κακόβουλα λογισμικά κρυπτογράφησης, το WannaCryptor
διαθέτει ιδιότητες τύπου worm, που του επιτρέπουν
να εξαπλωθεί από μόνο του. H ESET, που ανίχνευσε το
Ransomware Win32/Filecoder.WannaCryptor.D κατάφερε
να μπλοκάρει το ίδιο καθώς και τις παραλλαγές του
και συνέστησε σε οικιακούς και εταιρικούς χρήστες κάποια
βήματα για να παραμείνουν προστατευμένοι από το
WannaCryptor ή από άλλο ransomware/malware όπως
: την εγκατάσταση μίας λύσης Anti-Malware, την αναβάθμισης
του λογισμικού ασφάλειας στις πρόσφατες εκδόσεις
και την ενημέρωση των βάσεων αναγνώρισης των ιών. Φυσικά
προτρέπει τους χρήστες να μην ανοίγουν συνημμένα
σε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους
αποστολείς. Ειδικά οι εταιρικοί χρήστες θα πρέπει να είναι
ιδιαίτερα προσεκτικοί στις περιπτώσεις που εργάζονται ή
συνεργάζονται με τμήματα που λαμβάνουν συχνά email
από εξωτερικές πηγές – για παράδειγμα οικονομικά τμήματα
ή ανθρώπινου δυναμικού. Η δημιουργία τακτικών
αντιγράφων ασφάλειας των δεδομένων είναι επίσης σημαντική
μιας και σε περίπτωση μόλυνσης, αυτό θα βοηθήσει
στην ανάκτηση των δεδομένων. Ενώ παράλληλα η ESET
προτρέπει να μην αφήνουμε συνδεδεμένο στον υπολογιστή
το εξωτερικό αποθηκευτικό μέσο που χρησιμοποιείται
14 security

security
15

T5005/06/07.2017
Cover Issue
για αντίγραφα ασφαλείας, για να αποτρέψουμε τον κίνδυνο
μόλυνσής του. Επίσης η ESET ανακοίνωσε τη διάθεση
δύο χρήσιμων εργαλείων για την καταπολέμηση των
κρουσμάτων από τις πρόσφατες επιθέσεις ransomware,
συμπεριλαμβανομένου του WannaCry (WannaCryptor)
καθώς και μίας παραλλαγής του διαβόητου ransomware
Crysis ransomware, που ευθύνεται για την προσθήκη των
επεκτάσεων .wallet και .onion στα αρχεία που μολύνει. Το
πρώτο εργαλείο – EternalBlue Vulnerability Checker, εξετάζει
αν τα Windows διαθέτουν τα κατάλληλα patch ώστε
να μην μολυνθούν από το exploit EternalBlue, το οποίο βρίσκεται
πίσω από την πρόσφατη εκστρατεία εξάπλωσης του
ransomware WannaCry και εξακολουθεί να χρησιμοποιείται
για την εξάπλωση λογισμικού που στοχεύει σε εξόρυξη
κρυπτονομίσματων (cryptocurrency) και άλλων κακόβουλων
προγραμμάτων.
Η λειτουργία ανίχνευσης του EternalBlue exploit (CVE-
2017-0144) είχε προστεθεί από τις 25 Απριλίου στην πλατφόρμα
της ESET, πριν το ξέσπασμα του WannaCry.
Το δεύτερο εργαλείο που διαθέτει η ESET είναι ένα
ransomware decryptor για τους χρήστες που έχουν πέσει
θύματα μιας παραλλαγής του ransomware Crysis, η οποία
χρησιμοποιεί τις επεκτάσεις .wallet και .onion στα κρυπτογραφημένα
αρχεία. Τα κλειδιά δημοσιεύθηκαν στις 18 Μαΐου
από τα φόρουμ του BleepingComputer.com.
Και τα δύο εργαλεία διατίθενται δωρεάν στη σελίδα της ESET.
Σύμφωνα με την BitDefender σε μόλις 24 ώρες, ο αριθμός
των περιστατικών από το WannaCry ξεπέρασε τις 185.000
μηχανές σε περισσότερες από 100 χώρες.
Η επίθεση κρίθηκε ιδιαίτερα επικίνδυνη για τις επιχειρήσεις,
επειδή χρειάζονταν ένας μόνο υπάλληλος να μολυνθεί για
να εξαπλωθεί η επίθεση σε ολόκληρο το δίκτυο και μερικές
φορές ακόμη και σε άλλες χώρες σε άλλες θυγατρικές, χωρίς
καμία άλλη αλληλεπίδραση μεταξύ των χρηστών. Αυτό
συμβαίνει επειδή το συγκεκριμένο ransomware είναι ένα
worm που αξιοποιεί μια πρόσφατα εντοπισμένη ευπάθεια,
επηρεάζοντας ένα ευρύ φάσμα λειτουργικών συστημάτων
των Windows, συμπεριλαμβανομένων των 2008, 2008
R2, 7, 7 SP1. Το WannaCry αυτοματοποίησε την εκμετάλλευση
μιας ευπάθειας που υπάρχει στις περισσότερες
εκδόσεις των Windows επιτρέποντας σε έναν απομακρυσμένο
εισβολέα να εκτελεί κώδικα στον ευάλωτο υπολογιστή
και να χρησιμοποιεί αυτόν τον κώδικα για να φυτέψει
ransomware και να το εκτελέσει αυτόματα χωρίς να χρειαστεί
κάποια ενέργεια από τον χρήστη. Αυτή η πρωτόγνωρη
συμπεριφορά, το καθιστά το τέλειο εργαλείο για επίθεση
σε συγκεκριμένα περιβάλλοντα ή υποδομές, όπως servers
που εκτελούν μια ευάλωτη έκδοση του Server Message
Block (SMB protocol). Τα endpoints που είχαν εγκατεστημένα
το Bitdefender GravityZone όπως αναφέρθηκε στο
δελτίο της εταιρίας, προστατεύτηκαν από το ξεκίνημα αυτού
του κύματος επίθεσης και δεν επηρεάστηκαν από αυτή τη
νέα έκδοση ransomware καθώς τα προϊόντα μας ανιχνεύουν
και παρεμποδίζουν τόσο τον μηχανισμό παράδοσης
του, όσο και όλες τις γνωστές παραλλαγές του WannaCry
Τη Δευτέρα 15 Μαΐου, ένας ερευνητής ασφάλειας της Google
δημοσίευσε ένα artifact στο Twitter που ενδεχομένως δείχνει
μια σύνδεση μεταξύ των επιθέσεων ransomware του
WannaCry και του κακόβουλου λογισμικού που αποδόθηκε
στη διαβόητη ομάδα χάκερ Lazarus, υπεύθυνη για μια σειρά
καταστροφικών επιθέσεων εναντίον κυβερνητικών οργανισμών,
μέσων ενημέρωσης και χρηματοπιστωτικών ιδρυμάτων.
Στις μεγαλύτερες επιχειρήσεις που συνδέονται με την
ομάδα Lazarus περιλαμβάνονται: οι επιθέσεις εναντίον της
Sony Pictures το 2014, η ψηφιακή ληστεία της Κεντρικής
Τράπεζας του Μπαγκλαντές το 2016 και μια σειρά παρόμοιων
επιθέσεων που συνεχίστηκαν το 2017. Ο ερευνητής της
Google επεσήμανε ένα δείγμα κακόβουλου λογισμικού του
WannaCry, το οποίο εμφανίστηκε ελεύθερο στο Διαδίκτυο
το Φεβρουάριο του 2017, δύο μήνες πριν από το πρόσφατο
κύμα επιθέσεων. Οι ερευνητές της Παγκόσμιας Ομάδας
Έρευνας και Ανάλυσης της Kaspersky Lab ανέλυσαν αυτές
τις πληροφορίες, αναγνώρισαν και επιβεβαίωσαν σαφείς
ομοιότητες στον κώδικα του δείγματος κακόβουλου λογισμικού
που επισημάνθηκε από τον ερευνητή της Google και
των δειγμάτων κακόβουλου λογισμικού που χρησιμοποίησε
η ομάδα Lazarus στις επιθέσεις του 2015.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομοιότητα
φυσικά θα μπορούσε να είναι ένα false flag. Ωστόσο,
η ανάλυση του δείγματος του Φεβρουαρίου και η σύγκριση
16 security

Σε δελτίο που εξέδωσε η Panda Security για το WannaCry
επισήμανε ότι ένας νέος ερευνητής από την Αγγλία ανακάλυψε
το “διακόπτη κλεισίματος” του ransomware και κατάφερε
να αποτρέψει ολοκληρωτικά την περαιτέρω εξάπλωση
του κακόβουλου λογισμικού. Οι ειδικοί αναφέρουν
ότι αυτό αποτέλεσε μια προσωρινή λύση και εκατοντάδες
χιλιάδες συστήματα παραμένουν ευάλωτα καθώς πολλοί
χρήστες και επιχειρήσεις απλώς δεν ενημερώνουν τα
συστήματά τους ή δεν έχουν εγκατεστημένη κάποια λύση
antivirus. Η εταιρία προτρέπει όλους να ενημερώνουν το
λειτουργικό του σύστημα μιας και ο λόγος για τον οποίο η
Microsoft βγάζει τις ενημερώσεις είναι για να κάνει το εκάμε
τα δείγματα του WannaCry που χρησιμοποιήθηκαν στις
πρόσφατες επιθέσεις δείχνουν ότι ο κώδικας που υποδεικνύει
την ομάδα Lazarus αφαιρέθηκε από το κακόβουλο
λογισμικό WannaCry που χρησιμοποιήθηκε στις επιθέσεις
που ξεκίνησαν την περασμένη Παρασκευή. Αυτή μπορεί να
είναι μια προσπάθεια κάλυψης ιχνών των διαχειριστών της
εκστρατείας WannaCry. Αν και αυτή η ομοιότητα από μόνη
της δεν επιτρέπει την απόδειξη μιας ισχυρής σχέσης μεταξύ
του ransomware WannaCry και της ομάδας Lazarus, μπορεί
μελλοντικά να οδηγήσει σε νέες αποδείξεις που θα ρίξουν
φως στην προέλευση του WannaCry, η οποία μέχρι στιγμής
παραμένει μυστήριο. Επίσης οι ερευνητές της Kaspersky
Lab ανέλυσαν τον κώδικα του ransomware προγράμματος
WannaCry και ως αποτέλεσμα, έχουν καταλήξει στο συμπέρασμα
ότι οι δημιουργοί αυτού του κακόβουλου λογισμικού
έχουν κάνει πολλά λάθη στον κώδικα, τα οποία καθιστούν
δυνατή την ανάκτηση αρχείων που επηρεάζονται από το κακόβουλο
λογισμικό. Τα περισσότερα από τα λάθη καθιστούν
δυνατή την αποκατάσταση αρχείων με τη βοήθεια διαθέσιμων
στο κοινό εργαλείων λογισμικού. Σε μια περίπτωση, το
σφάλμα στο μηχανισμό επεξεργασίας read-only αρχείων του
κακόβουλου λογισμικού δεν του επιτρέπει να κρυπτογραφεί
καθόλου read-only αρχεία. Αντίθετα, το κακόβουλο λογισμικό
δημιουργεί κρυπτογραφημένα αντίγραφα των αρχείων,
ενώ τα αρχικά αρχεία παραμένουν ανέγγιχτα, δίνοντάς τους
μόνο έναν «κρυφό» χαρακτήρα, ο οποίος είναι εύκολο να
αναιρεθεί. Το κακόβουλο λογισμικό αποτυγχάνει απλώς να
διαγράψει τα πρωτότυπα αρχεία.
«Το έχουμε δει να συμβαίνει και κατά το παρελθόν: οι δημιουργοί
ransomware προγραμμάτων συχνά κάνουν
σοβαρά λάθη που επιτρέπουν στον κλάδο ασφάλειας να
ανακτήσει με επιτυχία τα αρχεία που έχουν προσβληθεί.
Το WannaCry – τουλάχιστον η πρώτη και πιο διαδεδομένη
έκδοση αυτής της οικογένειας ransomware – είναι ακριβώς
αυτό το είδος κακόβουλου λογισμικού. Αν έχετε «μολυνθεί»
με το ransomware WannaCry, υπάρχει μια καλή πιθανότητα
να μπορέσετε να επαναφέρετε πολλά από τα αρχεία στον
υπολογιστή σας. Συμβουλεύουμε τους οικιακούς χρήστες
αλλά και τους οργανισμούς να χρησιμοποιούν τα βοηθητικά
προγράμματα αποκατάστασης αρχείων στα μηχανήματα
που έχουν προσβληθεί από το ransomware στο δίκτυό
τους», δήλωσε ο Anton Ivanov, ερευνητής ασφαλείας της
Kaspersky Lab.
security
17

T5005/06/07.2017
Cover Issue
στοτε σύστημά καλύτερο και ασφαλέστερο. Επίσης υπογραμμίζει
ότι ο μόνος τρόπος που για την επανάκτηση των
αρχείων χωρίς να χρειαστεί να ενδώσουμε σε πληρωμή
λύτρων είναι μέσω συχνής διατήρησης αντιγράφων ασφαλείας
των δεδομένων.
Petya ή NotPetya … και ο “πόλεμος” συνεχίζεται
και εντείνεται
Στα τέλη Ιουνίου, εκδηλώθηκε ένα νέο μαζικότατο κύμα επιθέσεων
ransomware που προκάλεσε χάος μεταξύ άλλων
σε κρίσιμες υποδομές, όπως αεροδρόμια, τράπεζες, κρατικούς
οργανισμούς και επιχειρήσεις σε ολόκληρη την Ευρώπη.
Πρόκειται για το Petya (ή NotPetya), μια νέα μορφή
ransomware που χρησιμοποιεί το EternalBlue για να διεισδύσει
σε υπολογιστές Windows, ομοίως με το WannaCry.
Θύματα έπεσαν η κεντρική τράπεζα της Ουκρανίας, το τοπικό
μετρό και το αεροδρόμιο Boryspil του Κιέβου καθώς και
πολλές άλλες εταιρίες στην Ουκρανία όπως και συστήματα
του πυρηνικο σταθμού του Τσερνόμπιλ. Υπήρξαν αναφορές
για επιθέσεις στην Γερμανία, την Πολωνία, την Σερβία, την
Ρωσία και την Ελλάδα.
Η βασική διαφορά των δύο πρόσφατων τύπων Ransomware,
είναι ότι ναι μεν το WannaCry, ήταν ιδιαίτερα καταστροφικό,
αλλά ήταν ένα εργαλείο που είχε αρκετά σφάλματα και δημιουργήθηκε
από ερασιτέχνες, ενώ το Petya, σύμφωνα με τους
ειδικούς είναι ένα πανίσχυρο ransomware που μπορεί να
μολύνει οποιαδήποτε έκδοση των Windows, συμπεριλαμβανομένων
και των Windows 10. Μόλις το κακόβουλο
λογισμικό μολύνει έναν υπολογιστή, παραμένει αδρανές για
περίπου μια ώρα και στη συνέχεια επανεκκινεί το σύστημα.
Μετά την επανεκκίνηση, τα αρχεία κρυπτογραφούνται
και τα θύματα λαμβάνουν ένα σημείωμα λύτρων στον
υπολογιστή τους. Κατά τη διαδικασία της επανεκκίνησης,
τα θύματα προειδοποιούνται να μην προβούν σε τερματισμό
του συστήματος επειδή μπορεί να χάσουν τα αρχεία τους.
Οι ερευνητές της ESET που διερεύνησαν την επίθεση, ανακάλυψαν
ότι οι κυβερνοεγκληματίες που βρίσκονται πίσω
από αυτήν έχουν καταφέρει να παραβιάσουν το M.E.Doc,
ένα πολύ δημοφιλές λογισμικό για λογιστική χρήση που
χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ
των οποίων και σε χρηματοπιστωτικά ιδρύματα. Αρκετά
από αυτά τα ιδρύματα είχαν εκτελέσει μία «trojanized»
ενημέρωση του M.E.Doc, που έδωσε την ευκαιρία στους
κυβερνοεγκληματίες να ξεκινήσουν την εξάπλωση της
εκστρατείας ransomware, και αυτή μετά να διαδοθεί σε
ολόκληρη τη χώρα και στη συνέχεια σε ολόκληρο τον κόσμο.
Τα αποτελέσματα της έρευνας της ESET δείχνουν το
ransomware φαίνεται να είναι μια έκδοση του Petya και
όταν μολύνει επιτυχώς το MBR, θα κρυπτογραφήσει ολόκληρη
τη μονάδα δίσκου. Διαφορετικά, κρυπτογραφεί όλα
τα αρχεία, όπως κάνει το trojan Mischa. Για την εξάπλωσή
του, φαίνεται ότι χρησιμοποίησε ένα συνδυασμό του SMB
exploit (EternalBlue), όπως είχε κάνει και το WannaCry
για να μπει στο δίκτυο και στη συνέχεια εξαπλώνεται μέσω
του PsExec. Αυτός ο επικίνδυνος συνδυασμός πιθανά να
είναι ο λόγος για τον οποίο η εκστρατεία αυτή εξαπλώθηκε
σε παγκόσμιο επίπεδο και τόσο γρήγορα. Αρκεί μόνο ένας
υπολογιστής χωρίς patches για να εισχωρήσει στο δίκτυο
το κακόβουλο λογισμικό και μετά μπορεί να αποκτήσει
δικαιώματα διαχειριστή και να εξαπλωθεί σε άλλους υπολογιστές.
Το Petya ανιχνεύεται από την ESET σαν Win32/
Diskcoder.C Trojan. Αναλυτικές πληροφορίες σχετικά με
το malware βρίσκονται στο σχετικό άρθρο στο blog της
ESET, WeLiveSecurity.com. Η ESET έχει εντοπίσει χιλιάδες
απόπειρες επίθεσης σε μοναδικούς χρήστες, ενώ και η
Ελλάδα βρίσκεται μεταξύ των χωρών που έχουν καταγραφεί
κρούσματα, βρίσκεται μάλιστα στην 5η θέαση
με 1,39%.
Η SophosLabs διαπίστωσε πως οι νέες παραλλαγές του
ransomware, Petya (γνωστού και ως GoldenEye) βρίσκονται
πίσω από την πρόσφατη μαζική επιδημία που εξαπλώθηκε
σε ολόκληρη την Ευρώπη, ενώ κάποιες άλλες
εταιρείες από την βιομηχανία της ασφάλειας το ονομάζουν
PetrWrap. Αυτό που καθιστά τη νέα αυτή απειλή διαφορετική
είναι ότι τώρα συμπεριλαμβάνει το exploit με την ονομασία
EternalBlue (ή και κάποια τροποποιημένη μορφή του)
ως ένα τρόπο διάδοσής του στο εσωτερικό του δικτύου
που αποτελεί τον στόχο. Το exploit επιτίθεται στην υπηρεσία
Windows Server Message Block (SMB) που χρησιμοποιείται
για τον διαμοιρασμό αρχείων και εκτυπωτών κατά μήκος
τοπικών δικτύων. Η Microsoft όπως είναι γνωστό έχει
18 security

ασχοληθεί με το ζήτημα και το έχει τακτοποιήσει (προσφέροντας
τα απαραίτητα patches) με το bulletin MS17-010από
τον περασμένο Μάρτιο, ωστόσο ακριβώς το ίδιο exploit
ήταν που αποδείχτηκε καθοριστικής σημασίας για την τρομακτική
διάδοση του WannaCry τον περασμένο μήνα.
Το Petya επίσης επιχειρεί να εξαπλωθεί εσωτερικά σε ένα
δίκτυο “σπάζοντας” κωδικούς πρόσβασης με δικαιώματα
διαχειριστή και μολύνει άλλους υπολογιστές στο δίκτυο
χρησιμοποιώντας εργαλεία απομακρυσμένης διαχείρισης.
Επίσης μπορεί να διαδοθεί εσωτερικά με το να μολύνει διαμοιραζόμενα/
κοινόχρηστα στοιχεία δικτύου σε άλλους
υπολογιστές. Και το καταφέρνει με το να τρέχει κώδικα
κλοπής διαπιστευτηρίων για να “σπάει” κωδικούς πρόσβασης
από λογαριασμούς χρηστών προτού εξαπολύσει το
ransomware. Για να μολύνει απομακρυσμένους υπολογιστές,
συνοδεύεται και από ένα νόμιμο εργαλείο απομακρυσμένης
διαχείρισης με την ονομασία PsExec από τη σουίτα
SysInternals της Microsoft. Όσοι πελάτες χρησιμοποιούν το
Sophos Endpoint Protection προστατεύονται από όλες τις
τελευταίες παραλλαγές αυτού του ransomware. Για πρώτη
φορά δημοσιεύτηκε η προστασία στις 27 Ιουνίου και από
τότε η εταιρεία έχει προσφέρει αρκετές ενημερώσεις για την
περαιτέρω προστασία από τυχόν μελλοντικές παραλλαγές
του. Επιπλέον, οι πελάτες που χρησιμοποιούν το Sophos
Intercept X προστατεύονται προληπτικά χωρίς κρυπτογραφημένα
δεδομένα από τη στιγμή που εμφανίστηκε αυτή η
νέα παραλλαγή ransomware.
Οι αναλυτές της Kaspersky Lab ερεύνησαν το νέο κύμα
επιθέσεων ransomware και από αρχικά συμπεράσματα τους
προκύπτει πως δεν είναι μία παραλλαγή του ransomware
«Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος
τύπος ransomware που δεν έχει εμφανιστεί ποτέ
ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει
τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονόμασαν
«ExPetr». Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη
αφού περιλαμβάνει διάφορους φορείς έκθεσης σε
κίνδυνο. Σύμφωνα με την ομάδα ασφαλείας της Kaspersky,
το ransomware βασίζεται σε ένα προσαρμοσμένο εργαλείο
με την ονομασία “a la Minikatz” για τη διάδοσή του.
Αυτό εξάγει τα credentials που χρειάζεται για το spread, από
τo process lsass.exe. To Lsass ή Local Security Authority
Subsystem Service πρόκειται για ένα από τα πιο κρίσιμα
αρχεία στο σύστημα των Windows. Το κακόβουλο λογισμικό
χρησιμοποιεί μια πληθώρα εργαλείων για να διαδοθεί σε
ένα δίκτυο, μολύνοντας τους υπολογιστές στην πορεία του.
Η επίθεση πιστεύεται ότι ξεκίνησε μέσω μιας ευπαθούς ενημέρωσης
του ουκρανικού λογισμικού MeDoc, το οποίο
χρησιμοποιείται από πολλούς κυβερνητικούς οργανισμούς
στη χώρα. Σύμφωνα με αναφορές, αυτός είναι και ο λόγος
για τον οποίο η Ουκρανία χτυπήθηκε περισσότερο από όλες
τις υπόλοιπες χώρες. Η ανάλυση δείχνει πως λίγες ελπίδες
υπάρχουν για να ανακτήσουν τα θύματα των επιθέσεων
ransomware «ExPetr» τα δεδομένα τους.
Έχοντας αναλύσει τον υψηλού επιπέδου κώδικα της ρουτίνας
κρυπτογράφησης, προκύπτει πως μετά από την κρυπτογράφηση
δίσκου, ο φορέας απειλής δεν μπορούσε να αποκρυπτογραφήσει
τους δίσκους των θυμάτων. Για να αποκρυπτογραφήσουν
το δίσκο ενός θύματος, οι φορείς απειλής
χρειάζονται το αναγνωριστικό εγκατάστασης. Σε προηγούμενες
εκδόσεις από παρόμοια ransomware όπως το Petya/
Mischa/GoldenEye αυτό το αναγνωριστικό εγκατάστασης
περιέχει πληροφορίες απαραίτητες για την επαναφορά. Το
ExPetr δεν το έχει αυτό, το οποίο σημαίνει πως ο φορέας απειλής
δεν μπορούσε να εξάγει τις απαραίτητές πληροφορίες για
την αποκρυπτογράφηση. Με λίγα λόγια, τα θύματα δεν
μπορούσαν να επαναφέρουν τα δεδομένα τους.
Η Bitdefender επιβεβαιώνει ότι το GoldenEye/Petya
ransomware, μαζί με άλλα exploits, χρησιμοποιεί και το the
EternalBlue exploit για να μεταφέρεται από τον έναν υπολογιστή
στον άλλο. Σε αντίθεση με τα άλλα ransomware, η νέα
έκδοση του GoldenEye έχει δύο στάδια κρυπτογράφησης:
ένα που κρυπτογραφεί αρχεία στον υπολογιστή και ένα που
κρυπτογραφεί την δομή του NTFS. Με αυτό τον τρόπο τα θύματα
αδυνατούν να ξεκινήσουν τον υπολογιστή για να προσπαθήσουν
να ανακτήσουν τα αρχεία τους. Ακριβώς όπως
το Petya, το GoldenEye κρυπτογραφεί όλο τον σκληρό δίσκο
και απαγορεύει την πρόσβαση στον υπολογιστή. Σε αντίθεση
όμως με τον Petya, δεν υπάρχει τρόπος ανάκτησης των
κλειδιών της αποκρυπτογράφησης από τον υπολογιστή. Επιπλέον,
μετά την διαδικασία κρυπτογράφησης των αρχείων,
το ransomware διακόπτει βίαια την λειτουργία του λειτουργικού
συστήματος απαιτώντας επαννεκίνηση μετά από την
οποία ο υπολογιστής δεν μπορεί πλέον να χρησιμοποιηθεί
εκτός εάν πληρωθούν λύτρα των 300 δολλαρίων. Η εταιρία
δηλώνει ότι όσοι χρησιμοποιούν το Bitdefender δεν επηρεάζονται
από αυτή την επίθεση. H Bitdefender αποκρούει
όλες τις μέχρι τώρα εκδόσεις του GoldenEye. Το GravityZone
διαθέτει μία νέας γενιάς πολύπλευρη δομή ασφαλείας που
προσφέρει πρόληψη, ανίχνευση, αντιμετώπιση και διαχείριση
μέσα σε μία κονσόλα.
Πηγές: Secnews.gr, AME-ΜΠΕ, Reuters
security
19

T5005/06/07.2017
Issue
Ransomware ή αλλιώς…
«λυτρισμικό»!
Μια σύγχρονη τεχνολογική απειλή
για τις επιχειρήσεις & τα επιβεβλημένα
ψηφιακά αντίμετρα
πως σε όλο τον υπόλοιπο κόσμο, έτσι και
στη Χώρα μας, τα τελευταία χρόνια το φαινόμενο
του κακόβουλου λογισμικού τύπου
ransomware («λυτρισμικό» όπως έχει καθιερωθεί
να αναφέρεται στα ελληνικά) βρίσκεται
σε έξαρση. Με τον όρο λυτρισμικό αναφερόμαστε στο
κακόβουλο λογισμικό που είναι σχεδιασμένο να εγκαθίσταται
σε υπολογιστικά συστήματα, να απενεργοποιεί λειτουργίες
του συστήματος ή να κρυπτογραφεί δεδομένα και ακολούθως
να απαιτεί, με τη μορφή εκβίασης, την πληρωμή λύτρων
στους δημιουργούς του προκειμένου το σύστημα να επανέλθει
στην προηγούμενη κατάστασή του ή ο χρήστης - θύμα να
λάβει το κλειδί αποκρυπτογράφησης των δεδομένων του και
να τα επαναφέρει. Γεγονός είναι ότι το πεδίο των υποψήφιων
θυμάτων των κυβερνοεγκληματιών – δημιουργών λυτρισμικού
– έχει διευρυνθεί σε μεγάλο βαθμό, λόγω της ολοένα
μεγαλύτερης εξάρτησης όλων μας, φυσικών προσώπων,
επιχειρήσεων και οργανισμών, από τα σύγχρονα υπολογιστικά
συστήματα και τα δίκτυα επικοινωνιών.
Λυτρισμικό: άμεσο κέρδος για τους κυβερνοεγκληματίες!
Το λυτρισμικό παρέχει στους κυβερνοεγκληματίες μια μοναδική
ευκαιρία, που μέχρι σήμερα δεν είχαν: άμεσο οικονομικό
όφελος. Τα λύτρα, με τη μορφή ψηφιακών νομισμάτων
(bitcoins κ.λπ.), που καλούνται να καταβάλουν τα θύματα
για να πάρουν πίσω τον έλεγχο των συσκευών τους ή να
ανακτήσουν τα κρυπτογραφημένα τους δεδομένα, κατευθύνονται
απευθείας στα ψηφιακά πορτοφόλια των δραστών,
χωρίς τη μεσολάβηση κανενός άλλου ενδιάμεσου συνεργού.
Χαρακτηριστικά του κυβερνοχώρου
Εξάλλου, στον κυβερνοχώρο δεν υπάρχουν φυσικά σύνορα.
Τα εγκλήματα μπορούν να διαπραχθούν ταχύτατα και από
απόσταση, αλλά και υπό καθεστώς «ανωνυμίας», αφού υπάρχει
πάντα η επιλογή για ένα χρήστη να κρύψει επιμελώς τα
ψηφιακά του ίχνη. Τα προαναφερθέντα από τη μια ευνοούν τις
δραστηριότητες των εγκληματιών και από την άλλη δυσχεραίνουν
το έργο των Αρχών Επιβολής του Νόμου ανά την υφήλιο.
Η νομοθεσία στην Ελλάδα
Προσφάτως επικαιροποιήθηκε το νομικό πλαίσιο στη Χώρα
μας αναφορικά με τις σύγχρονες απειλές στον κυβερνοχώρο,
με την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης
για το έγκλημα στον Κυβερνοχώρο (Σύμβαση της Βουδαπέστης)
καθώς και τη μεταφορά στο ελληνικό δίκαιο της Οδηγίας
2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου
για τις επιθέσεις κατά συστημάτων πληροφοριών και την
αντικατάσταση της απόφασης – πλαισίου 2005/222/ΔΕΥ του
Συμβουλίου. Έτσι, στον Ποινικό Κώδικα ενσωματώθηκαν συγκεκριμένοι
ορισμοί για το «πληροφοριακό σύστημα» και τα
«ψηφιακά δεδομένα» και παράλληλα προστέθηκαν νέα άρθρα
για την ποινικοποίηση, μεταξύ άλλων:
● της παρακώλυσης λειτουργίας πληροφοριακών συστημάτων,
20 security

Αναστάσιος Παπαθανασίου 1
Γεώργιος Γερμανός 2
Αξιωματικοί της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος
● της φθοράς ηλεκτρονικών δεδομένων, και
● της παραγωγής, πώλησης, προμήθειας για χρήση, εισαγωγής,
κατοχής, διανομής ή με άλλο τρόπο διακίνησης:
❍ συσκευών ή κακόβουλου λογισμικού σχεδιασμένων
ή προσαρμοσμένων για το σκοπό της διάπραξης των
παραπάνω εγκλημάτων και
❍ συνθηματικών ή κωδικών πρόσβασης ή άλλα παρόμοιων
δεδομένων με τη χρήση των οποίων είναι δυνατόν
να αποκτηθεί πρόσβαση στο σύνολο ή μέρος
ενός πληροφοριακού συστήματος.
Το λυτρισμικό μπορεί να ενταχθεί στις παραπάνω περιπτώσεις
και έτσι είναι εφικτή η εκκίνηση ερευνών σε ποινικό επίπεδο,
από την Ελληνική Αστυνομία και τις εισαγγελικές και δικαστικές
Αρχές, για την τιμωρία των κυβερνοεγκληματιών. Η διεθνής
αστυνομική συνεργασία στις εν λόγω περιπτώσεις είναι,
σχεδόν πάντα, επιβεβλημένη.
Μέτρα πρόληψης και προστασίας
Οι χρήστες του διαδικτύου και ειδικά οι διαχειριστές εταιρικών
δικτύων οφείλουν να είναι ιδιαίτερα προσεκτικοί και
να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας
για την αποφυγή προσβολής των εταιρικών δεδομένων από
λυτρισμικό. Η προστασία αυτή θα πρέπει να αφορά κάθε συσκευή
η οποία χρησιμοποιείται για προσπέλαση σε εταιρικά
δίκτυα και δεδομένα, δηλ. σταθερούς υπολογιστές, laptops,
έξυπνα κινητά τηλέφωνα, tablets, ακόμα και έξυπνα ρολόγια!
Συγκεκριμένα, είναι επιβεβλημένη η χρήση γνήσιου λογισμικού
(λειτουργικά συστήματα, εφαρμογές και λοιπές πλατφόρμες),
τα οποίο θα πρέπει να ενημερώνεται τακτικά και σε κάθε
περίπτωση αμέσως μόλις δημοσιοποιούνται κρίσιμες ενημερώσεις
και επιδιορθώσεις ασφαλείας (patches). Ακόμα, μια
αξιόπιστη λύση ψηφιακής ασφάλειας (λογισμικό antivirus, λογισμικό
anti-spyware και προστασία firewall), που είναι διαρκώς
ενημερωμένη, μπορεί να προσφέρει ένα ικανοποιητικό
επίπεδο προστασίας από λυτρισμικό. Καθόσον η επαναφορά
δεδομένων μέσω τηρούμενων αντιγράφων ασφαλείας (back
up) είναι η μόνη σίγουρη λύση σε περίπτωση μόλυνσης από
λυτρισμικό, η τήρηση αντιγράφων ασφαλείας (σε μια εξωτερική
τοποθεσία και ταυτόχρονα στο cloud) είναι μονόδρομος.
Ειδικότερα μέτρα που μπορούν να ληφθούν έχουν να κάνουν
με την εκπαίδευση του προσωπικού, ώστε τα μέλη της εταιρείας
ή του οργανισμού που λαμβάνουν μηνύματα ηλεκτρονικού
ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη
προέλευση, να μην ανοίγουν τους συνδέσμους (links) και να
μην κατεβάζουν τα συνημμένα αρχεία, που περιέχονται σε
αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα
και το περιεχόμενο του συνημμένου αρχείου.
Μολυνθήκαμε! Και τώρα;
Η γενική συμβουλή είναι να μην πληρώσετε τα λύτρα που
ζητούν οι κυβερνοεγκληματίες. Στέλνοντας χρήματα στους
δημιουργούς του λυτρισμικού επιβεβαιώνετε ότι αυτό λειτουργεί
και τους ενθαρρύνετε να συνεχίσουν το «επιχειρηματικό»
τους μοντέλο. Ακόμα, δεν υπάρχει καμιά εγγύηση
ότι θα λάβετε σε αντάλλαγμα το κλειδί αποκρυπτογράφησης
ή ότι αυτό που θα λάβετε θα λειτουργήσει σωστά.
Σημειώνεται ότι για περιστατικά μολύνσεων από λυτρισμικό,
η Europol και το Ευρωπαϊκό Κέντρο για Εγκλήματα στον Κυβερνοχώρο
[European Cybercrime Centre (EC3)], έχουν θέσει
σε λειτουργία τον ιστότοπο https://www.nomoreransom.org,
όπου οι χρήστες του Διαδικτύου μπορούν να βρουν κλειδιά
και εργαλεία αποκρυπτογράφησης για ορισμένες μορφές λυτρισμικού,
αλλά και ορισμένες επιπλέον συμβουλές προστασίας.
Το «No More Ransom» είναι μια διεθνής πρωτοβουλία
που δείχνει και παράλληλα αναδεικνύει την αξία της συνεργασίας
δημόσιου – ιδιωτικού τομέα κατά τη λήψη μέτρων ενάντια
σε σοβαρά εγκλήματα στον κυβερνοχώρο. Η συνεργασία αυτή
ξεπερνά τα γεωγραφικά σύνορα. Η Ελληνική Αστυνομία, μέσω
της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος, είναι
Supporting Partner του «No More Ransom». Στις επόμενες
εβδομάδες ολόκληρο το περιεχόμενο του ιστοτόπου θα είναι
διαθέσιμο και στην ελληνική γλώσσα.
Τέλος, μην ξεχνάτε ότι, εφόσον έχετε μολυνθεί από λυτρισμικό,
έχει διαπραχθεί ένα έγκλημα σε βάρος σας, οπότε θα πρέπει να
το καταγγείλετε στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος
ή στην πλησιέστερη αστυνομική ή δικαστική Αρχή.
Οι πολίτες μπορούν να επικοινωνούν, ανώνυμα ή επώνυμα,
με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος προκειμένου
να παρέχουν πληροφορίες ή να καταγγέλλουν παράνομες
ή επίμεμπτες πράξεις ή δραστηριότητες που τελούνται
μέσω Διαδικτύου, στα ακόλουθα στοιχεία επικοινωνίας:
Τηλεφωνικά: 11188 - Στέλνοντας e-mail στο: ccu@cybercrimeunit.
gov.gr - Μέσω της εφαρμογών για smartphones & tablets:
CYBERΚΙD & FEELSAFE - Μέσω twitter: @CyberAlertGR - Μέσω
της διαδικτυακής πύλης https://portal.astynomia.gr
1 Αστυνόμος Α΄, Υπ. Διδάκτωρ Πληροφορικής, Πτυχιούχος Πληροφορικής, Μ.Δ.Ε. «Πληροφορικής», «Ποινικές Επιστήμες» & «Εγκληματολογία».
E-mail: a.papathanasiou@cybercrimeunit.gr
2 Αστυνόμος Β΄, Πτυχιούχος Πληροφορικής, Μ.Δ.Ε. «Διεθνείς & Ευρωπαϊκές Σπουδές», Μ.Δ.Ε. «Τεχνολογίες & Διοίκηση Πληροφοριακών & Επικοινωνιακών
Συστημάτων». E-mail: g.germanos@cybercrimeunit.gr
security
21

T5005/06/07.2017
Issue
Ransomware: Κερδίζοντας τον
πόλεμο με μια ολιστική προσέγγιση
Το κυβερνο-έγκλημα τα τελευταία χρόνια παρουσιάζει μια ιδιαίτερα αυξητική τάση. Σύμφωνα με
παγκόσμιες έρευνες και αναφορές υπολογίζεται ότι το κόστος του κυβερνο-εγκλήματος για οργανισμούς
και επιχειρήσεις θα φτάσει τα δύο τρισεκατομμύρια δολάρια μέχρι το έτος 2019! Με απώτερο
σκοπό το οικονομικό όφελος, πραγματικός στόχος των κυβερνο-εγκληματιών είναι όλα τα συστήματα,
οι εφαρμογές και οι υπηρεσίες που μεταφέρουν, επεξεργάζονται ή αποθηκεύουν πληροφορίες.
ansomware: Μια απειλή σε έξαρση!
R
Τα Ransomware είναι ένα ιδιαίτερο είδος
κακόβουλου λογισμικού το οποίο
αποτελεί ισχυρό όπλο των κυβερνοεγκληματιών.
Η απειλή αυτή, τα τελευταία
χρόνια, έχει πάρει σοβαρές διαστάσεις σε εγχώρια και παγκόσμια
κλίμακα. Θύματα των κυβερνο-εγκληματιών αποτελούν
δημόσιες υπηρεσίες, ιδιωτικές επιχειρήσεις όπως
εταιρείες τηλεπικοινωνιών, εργοστάσια, τράπεζες, ιδρύματα,
πανεπιστήμια, ακόμα και απλοί ιδιώτες.
Το κύριο χαρακτηριστικό αυτού του είδους ηλεκτρονικής
απειλής είναι ο εκβιασμός. Όταν μολύνει ένα τερματικό
σταθμό, αρχίζει τη διαδικασία κρυπτογράφησης αρχείων
κειμένου (όπως Excel spreadsheets, PDFs, κλπ.) χρησιμοποιώντας
ισχυρούς αλγόριθμους. Το αποτέλεσμα αυτής της
κακόβουλης διαδικασίας είναι να κρατούνται σε ομηρία τα
αρχεία αυτά και να απαιτούνται λύτρα, τα οποία πρέπει να
καταβληθούν μέσα σε καθορισμένο χρόνο, προκειμένου να
παραχωρηθεί το κλειδί αποκρυπτογράφησης τους. Οι κυβερνο-εγκληματίες
μάλιστα απειλούν ότι εάν παρέλθει η προθεσμία
για την καταβολή των λύτρων, το τίμημα θα αυξηθεί και
στο τέλος τα αρχεία δεν θα είναι καν ανακτήσιμα. Η πληρωμή
γίνεται σχεδόν αποκλειστικά σε ψηφιακό νόμισμα (BitCoin),
γεγονός που καθιστά εξαιρετικά περίπλοκο έως και ακατόρθωτο
τον εντοπισμό των φυσικών προσώπων που κρύβονται
πίσω από αυτές τις συναλλαγές.
Η «βιομηχανία» του Ransomware και τρόποι
εξάπλωσης
Η ανάπτυξη υπηρεσιών «ransomware-as-a-service» στο
22 security

Αλέξανδρος Κανικλίδης
IthacaLabs Assistant Manager, Odyssey
www.odysseycs.com
«σκοτεινό διαδίκτυο» (Darknet) βοηθά στην αύξηση των
κρουσμάτων. Οι πλατφόρμες αυτές δίνουν τη δυνατότητα
σε κυβερνο-εγκληματίες που δε διαθέτουν ιδιαίτερα υψηλή
κατάρτιση ή τεχνογνωσία να κατασκευάσουν, να διαδώσουν
και να εκτελέσουν τη δική τους επίθεση. Για να ξεκινήσουν
την δική τους καμπάνια επίθεσης, οι κυβερνο-εγκληματίες
δεν έχουν πάρα να ορίσουν ελάχιστες μόνο παραμέτρους
στην πλατφόρμα, για παράδειγμα το ποσό των λύτρων.
Η πιο συνηθισμένη μέθοδος εξάπλωσης των Ransomware
είναι μέσω της ηλεκτρονικής αλληλογραφίας. Με αυτή τη μέθοδο
οι κυβερνο-εγκληματίες αποστέλλουν μαζικά ηλεκτρονικά
μηνύματα με στόχο να παραπλανήσουν τους χρήστες, έτσι
ώστε να χρησιμοποιήσουν κάποιο κακόβουλο επισυναπτόμενο
αρχείο ή να περιηγηθούν σε ένα ιστότοπο που βρίσκεται
κάτω από τον έλεγχό τους. Στην πρώτη περίπτωση, το κακόβουλο
λογισμικό ενεργοποιείται αυτόματα με το άνοιγμα ενός
αρχείου. Στη δεύτερη περίπτωση, με το πάτημα ενός συνδέσμου
(URL) ο χρήστης οδηγείται σε κακόβουλους ιστότοπους,
οι οποίοι διαθέτουν προγράμματα που εκμεταλλεύονται τυχόν
κενά ασφαλείας ή ελαττώματα του λογισμικού που εκτελείται
στο σταθμό εργασίας, αποκτώντας έτσι πρόσβαση σε πόρους
ή ευαίσθητες πληροφορίες. Η εξάπλωση των Ransomware
γίνεται επίσης μέσω διαφημιστικών δικτύων. Στις περιπτώσεις
αυτές αντί να μολύνουν τον ίδιο τον ιστότοπο, οι κυβερνο-εγκληματίες
μολύνουν το διαφημιστικό δίκτυο και κατά
συνέπεια το διαφημιστικό υλικό (advertisements). Αυτό έχει
ως αποτέλεσμα να μολύνονται οι υπολογιστές ανυποψίαστων
χρηστών που περιηγούνται σε γνωστούς θεματικούς ιστότοπους,
πατώντας απλά σε μια διαδικτυακή διαφήμιση.
Σήμερα, οι πιο πρόσφατες και πιο μαζικές επιθέσεις
Ransomware «WannaCry» και «Petya» εκμεταλλεύονται
γνωστές ευπάθειες για να εξαπλωθούν. Το κακόβουλο λογισμικό
τους μπορεί να μολύνει ηλεκτρονικούς υπολογιστές με
ανοικτές θύρες SMB αποκτώντας απομακρυσμένη πρόσβαση
και εγκαθιστώντας το πρόγραμμα κρυπτογράφησης χωρίς να
γίνει αντιληπτό, και χωρίς να απαιτείται κάποια ενέργεια από
τον χρήστη του υπολογιστή που δέχεται την επίθεση.
Πώς η Odyssey μπορεί να βοηθήσει
Διατηρώντας ολιστική προσέγγιση 360°και παρέχοντας καινοτόμες
υπηρεσίες και λύσεις στον τομέα ασφάλειας των πληροφοριών,
η Odyssey συμβάλει καθοριστικά στην βελτίωση
των διαδικασιών διαχείρισης, διασφάλισης αλλά και μείωσης
του ρίσκου απώλειας ευαίσθητων πληροφοριών ενός οργανισμού
από τυχόν κυβερνο-επιθέσεις τύπου Ransomware.
Για να παραμείνουν ένα βήμα μπροστά από τις επιθέσεις και
να είναι σε θέση να αντιμετωπίσουν προληπτικά και αποτελεσματικά
αυτού του είδους τις κυβερνο-απειλές, οι οργανισμοί
πρέπει να υιοθετήσουν την αρχή της «άμυνας εις
βάθος» (Defense in-depth).
Έχοντας τεχνογνωσία και μακρόχρονη εμπειρία στον τομέα
της ασφάλειας στον κυβερνοχώρο, η Odyssey προτείνει
την εφαρμογή της αρχής αυτής, που αποτελείται από ένα
συνδυασμό βέλτιστων πολιτικών και διαδικασιών μαζί με
αλληλοκαλυπτόμενα μέτρα ασφαλείας σε στρώματα (onion
approach), προκειμένου να αυξηθεί το επίπεδο ασφαλείας
των πληροφοριακών συστημάτων ενός οργανισμού.
Αυτή ακριβώς τη δυναμική που δημιουργείται από τη στρατηγική
της «άμυνας εις βάθος» ενισχύει η επίλεκτη ομάδα
επαγγελματιών της Odyssey IthacaLabs. Πρόκειται
για μια ομάδα εξειδικευμένων αναλυτών οι οποίοι διερευνούν
το παγκόσμιο περιβάλλον της κυβερνο-ασφάλειας
έχοντας διπλή αποστολή: να εντοπίζουν και να αξιολογούν
τις αναδυόμενες απειλές αλλά και να αναλύουν και να ανταποκρίνονται
άμεσα στις κυβερνο-επιθέσεις.
Για την αντιμετώπιση των Ransomware, η ομάδα IthacaLabs
αρχικά προτείνει στους οργανισμούς την υιοθέτηση μιας σειράς
προληπτικών μέτρων που στόχο έχουν την ενίσχυση της προστασίας
τους έναντι των απειλών αυτών. Σε κάθε περίπτωση,
τα μέτρα αυτά σχεδιάζονται με βάση τις επιχειρησιακές και λειτουργικές
ανάγκες κάθε οργανισμού.
Ως προτεραιότητα, η ομάδα IthacaLabs διενεργεί περιοδικούς
ελέγχους αξιολόγησης των ευπαθειών και αδυναμιών
ασφαλείας της υποδομής και των εφαρμογών ενός οργανισμού
(Vulnerability Assessment). Παράλληλα, πραγματοποιεί
περιοδικές δοκιμές διείσδυσης (Ethical Hacking) ώστε
να αποτυπώνονται τυχόν τρωτά σημεία και να δημιουργούνται
σχέδια διαχείρισης. Η ανάγκη προληπτικής ενίσχυσης
(Security Hardening) των πληροφοριακών συστημάτων όχι
μόνο αναδεικνύεται μέσα από τα σχέδια διαχείρισης του ρίσκου,
αλλά και επιβάλλεται, προκειμένου να επιτευχθεί η
μείωση της έκθεσης σε κυβερνο-επιθέσεις. Για να καλύψει
την ανάγκη ευαισθητοποίησης στα θέματα ασφαλείας που
προκύπτουν, η ομάδα IthacaLabs παρέχει τη δυνατότητα
διαρκούς ενημέρωσης (Threat Intelligence Feeds) σχετικά
με τις αναδυόμενες απειλές. Τέλος, συνδράμει στη δημιουργία
ή/και επικαιροποίηση ενός ολοκληρωμένου πλάνου για
την αντιμετώπιση τέτοιου είδους περιστατικών ούτως ώστε
να εξασφαλίζεται η μέγιστη επιχειρησιακή ετοιμότητα.
Για μια πιο ολοκληρωμένη εικόνα του συνόλου των υπηρεσιών
και λύσεων που προσφέρει η Odyssey για την προληπτική
αντιμετώπιση των Ransomware και άλλων κυβερνο-απειλών,
μπορείτε να επισκεφθείτε την ιστοσελίδα μας
στο www.odysseycs.com
security
23

T5005/06/07.2017
Issue
Κατανοώντας το WannaCry για να
προστατευθείτε από αυτό και άλλου
τύπου ransomware
Μεγάλες και μικρές επιχειρήσεις απειλούνται καθημερινά από ολοένα και πιο άγριες και βίαιες
επιθέσεις ransomware. Η αδυναμία πρόσβασης σε κρίσιμης σημασίας αρχεία, ακολουθούμενη
από απαιτήσεις για λύτρα, είναι καταστάσεις που μπορούν να προκαλέσουν τεράστια
αναστάτωση στην παραγωγικότητα ενός οργανισμού.
μως πως μοιάζει στην πραγματικότητα μία
τυπική επίθεση με ransomware; Και ποιες λύσεις
ασφάλειας θα πρέπει να χρησιμοποιούνται
για την παροχή της καλύτερης δυνατής άμυνας;
Οι περισσότεροι οργανισμοί έχουν τουλάχιστον
μία μορφή προστασίας της υποδομής IT που διαθέτουν. Οπότε
πως καταφέρνουν και ξεγλιστρούν οι επιθέσεις ransomware
από το δίκτυ προστασίας των οργανισμών; Από ότι φαίνεται,
υπάρχουν τρεις βασικοί λόγοι για αυτό:
1. Εξελιγμένες τεχνικές επιθέσεων και διαρκής
καινοτομία
Η πρόσβαση σε έτοιμα κακόβουλα προγράμματα ως
υπηρεσία για άμεση χρήση “Malware-as-a-Service” (ΜaaS)
είναι ολοένα και πιο εύκολη, με αποτέλεσμα να είναι
απλούστατο το ξεκίνημα μίας τέτοιας επίθεσης και συχνά
έχει και καλά αποτελέσματα. Επίσης, αποφέρει κέρδη
στους επιτιθέμενους, ακόμα και αν αυτοί δεν γνωρίζουν
και πολλά πράγματα σχετικά με την τεχνολογία. Οι τεχνικές
κοινωνικής μηχανικής (social engineering) που χρησιμοποιούνται
είναι εξαιρετικά επιδέξιες και προτρέπουν τον
ανυποψίαστο χρήστη να εκτελέσει μία ρουτίνα εγκατάστασης
του ransomware πολλές φορές με επιτυχία. Για παράδειγμα,
ο χρήστης μπορεί να λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου
που ενδεχομένως να λέει το παρακάτω: “Οι απαιτήσεις
της εταιρείας μας βρίσκονται στο συνημμένο αρχείο.
Παρακαλώ όπως μας αποστείλετε σχετική προσφορά”. Οι
κατασκευαστές ransomware λειτουργούν με εξαιρετικά
επαγγελματικό τρόπο. Αυτό περιλαμβάνει και την παροχή
ενός εξατομικευμένου εργαλείου αποκρυπτογράφησης μετά
την καταβολή των λύτρων. Όλα κανονισμένα στην εντέλεια!
2. Τρύπες ασφαλείας σε επηρεαζόμενες εταιρείες
Πολύ συχνά, δεν υπάρχει κάποια στρατηγική δημιουργίας
αντιγράφων ασφαλείας (backup) ή αυτή είναι ανεπαρκής.
Δηλαδή, δε δημιουργούνται αντίγραφα ασφαλείας σε
πραγματικό χρόνο και αυτά δεν βγαίνουν εκτός της
εταιρίας (off-site), κάτι αναγκαίο σε περίπτωση ανάγκης
24 security

Affordable Cutting Edge
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
www.nss.gr
για αποκατάσταση από καταστροφή (disaster recovery).
Επιπλέον, οι ενημερώσεις και τα patches για το λειτουργικό
σύστημα και τις εφαρμογές δεν εγκαθίστανται αρκετά
γρήγορα ή πολλές φορές εφαρμόζονται «επικίνδυνα»
δικαιώματα στους χρήστες. Για παράδειγμα υπάρχουν χρήστες
ή διαχειριστές που έχουν περισσότερα δικαιώματα από
ό,τι είναι απαραίτητο για τις εργασίες τους. Ένα από τα πιο
σημαντικά προβλήματα επίσης, είναι ότι υπάρχει έλλειψη
κατάρτισης και εκπαίδευσης των χρηστών σε θέματα
ασφαλείας. Για παράδειγμα, ποια έγγραφα μπορούν να
ανοιχτούν και από ποιον; Ποια είναι η διαδικασία που πρέπει
να ακολουθήσει ένας χρήστης αν ένα έγγραφο μοιάζει με
κακόβουλο; Πώς μπορεί ο χρήστης να είναι σε θέση να
αναγνωρίσει ένα μήνυμα ηλεκτρονικού ψαρέματος (phising);
Επιπλέον τα συστήματα ασφαλείας σε μία επιχείρηση όπως
σαρωτές ιών (antivirus), τείχη προστασίας (firewalls), IPS,
πύλες ηλεκτρονικού ταχυδρομείου (email gateways) ή πύλες
περιήγησης ιστού (web gateways) δεν έχουν υλοποιηθεί
ή δεν έχουν ρυθμιστεί σωστά. Σε αυτό το σημείο, μπορούμε
να λάβουμε υπόψη μας και τον ανεπαρκή κατακερματισμό
του δικτύου όπως πχ. αν οι διακομιστές και οι σταθμοί
εργασίας βρίσκονται στο ίδιο δίκτυο και δεν υπάρχει DMZ.
Κάποια επίσης συνήθη προβλήματα είναι ότι λόγω έλλειψης
γνώσεων στην ασφάλεια πληροφορικής ενώ τα αρχεία
.exe όντως αποκλείονται από τα συστήματα ηλεκτρονικού
ταχυδρομείου, δε συμβαίνει το ίδιο με τις μακροεντολές
του Office σε έγγραφα ή άλλο ενεργό περιεχόμενο που
τυχόν να συναντήσουν οι χρήστες. Τέλος έχουμε το πρόβλημα
των αντικρουόμενων προτεραιοτήτων όταν ακούμε
από τη Διοίκηση μίας επιχείρησης ατυχή σχόλια του τύπου:
«γνωρίζουμε ότι αυτή η μέθοδος που ακολουθούμε δεν
είναι απόλυτα ασφαλής, αλλά οι άνθρωποι μας πρέπει και να
δουλέψουν».
3. Έλλειψη προηγμένης τεχνολογίας πρόληψης
Πολλές επιχειρήσεις έχουν κάποια μορφή γενικής προστασίας.
Αλλά τα ransomware ενημερώνονται συνεχώς για να
εκμεταλλεύονται και να ξεπερνούν αυτές τις προστασίες. Για
παράδειγμα, υπάρχουν ransomware που αυτό-διαγράφονται
πολύ γρήγορα μετά την κρυπτογράφηση αρχείων ώστε να
μην απομείνουν στοιχεία που να μπορούν να αναλυθούν στη
συνέχεια. Οι λύσεις ασφάλειας θα πρέπει να έχουν εξαρχής
σχεδιαστεί ειδικά για την καταπολέμηση των τεχνικών των
ransomware. Για να είστε σε θέση να σταματήσετε τα ransomware,
θα πρέπει να έχετε μία προηγμένη και ιδιαίτερα
αποτελεσματική προστασία σε κάθε στάδιο της επίθεσης.
Πάνω από όλα, θα πρέπει να φροντίσετε οι τερματικές
σας συσκευές να είναι ασφαλείς. Το Sophos Intercept X
χρησιμοποιεί τη μοναδική τεχνολογία CryptoGuard για να
αντιμετωπίζει τις επιθέσεις ransomware με επιτυχία. Με
τη βοήθεια της τεχνολογίας CryptoGuard, τα ransomware
εντοπίζονται εγκαίρως και αποτρέπονται προτού ξεκινήσουν
να κρυπτογραφούν τα αρχεία σας. Και αυτό σημαίνει ότι
ήταν σε θέση να σταματήσει αποτελεσματικά τα ransomware
WannaCry, NotPetya και κυρίως αυτά που ακόμα δεν
έχουν κυκλοφορήσει ! Το Intercept X μπορεί να συμπληρώσει
την υπάρχουσα ασφάλεια σας, αποκλείοντας προγράμματα
που επιχειρούν να τροποποιήσουν χωρίς εξουσιοδότηση τα
δεδομένα σας.
Προστασία email με Time-of-Click
Το επόμενο σημαντικό βήμα προστασίας είναι η προστασία
από οποιαδήποτε απειλή ηλεκτρονικού ταχυδρομείου. Η
καλύτερη άμυνα ενάντια στα «παγιδευμένα» μηνύματα
ηλεκτρονικού ταχυδρομείου είναι φυσικά τα συστήματα
ασφαλούς ηλεκτρονικής αλληλογραφίας (email security)
που έχετε στη διάθεσή σας. Οι τεχνολογίες ενάντια
στην ανεπιθύμητη ηλεκτρονική αλληλογραφία (antispam)
σταματούν τα μηνύματα ηλεκτρονικού ταχυδρομείου που
φέρουν επικίνδυνα αρχεία ransomware ή που οδηγούν σε
ransomware μέσω συνδέσμων, ενώ παράλληλα τα εργαλεία
antivirus σαρώνουν και αποκλείουν τις απειλές που
προέρχονται από μηνύματα ηλεκτρονικού ταχυδρομείου. Ο
αποκλεισμός μηνυμάτων ηλεκτρονικού ταχυδρομείου που
φέρουν συνημμένα μακροεντολών μπορεί να σας βοηθήσει
επίσης να αποφύγετε μια ακόμη κοινή τεχνική ransomware.
Η τεχνολογία Time-of-Click εμποδίζει εσάς και τους χρήστες
σας από το να κάνετε κλικ σε μολυσμένες διευθύνσεις
ιστοσελίδων, ακόμη και αν αυτές ήταν καθαρές όταν το email
εισήλθε στα εισερχόμενά σας.
security
25

T5005/06/07.2017
Issue
Αποτροπή zero-day απειλών
Επιπλέον, θα πρέπει να φροντίσετε και τις απειλές στο Internet,
που μπορούν να εξουδετερωθούν τόσο στο τείχος προστασίας
όσο και τα συστήματα προστασίας περιήγησης ιστοσελίδων
(web security). Το φιλτράρισμα διευθύνσεων URL αποκλείει
τις ιστοσελίδες που φιλοξενούν ransomware, καθώς και τους
διακομιστές εντολών και ελέγχου τους (C&C / command
and control servers). Και με την επιβολή αυστηρών ελέγχων
μπορείτε να απαγορεύσετε εντελώς το κατέβασμα αρχείων
που ενδεχομένως να σχετίζονται με ransomware. Ένα πρόσθετο
επίπεδο προστασίας τοποθετεί cloud sandboxing τόσο
στο ηλεκτρονικό ταχυδρομείο όσο και στην πύλη ιστού. Η
τεχνολογία απαγορεύει προηγμένες απειλές zero-day, συμπεριλαμβανομένων
και των ransomware. Ουσιαστικά είναι
σαν να έχετε το δικό σας ιδιωτικό εργαστήριο εντοπισμού
κακόβουλου λογισμικού, που ουσιαστικά «τρέχει» εκτελέσιμα
ή γενικότερα ύποπτα αρχεία για να προσδιορίσει με ακρίβεια
την συμπεριφορά τους σε ένα εικονικό περιβάλλον.
Sophos Server Protection με CryptoGuard
Αν και πολλές φορές ξεχνιέται, ένα από τα βασικά σημεία
εισόδου του κακόβουλου λογισμικού είναι οι διακομιστές
της εταιρείας. Οι τεχνικές lockdown και whitelisting των
servers μπορεί να τους κρατήσει ασφαλείς αφού μόνο
οι εξουδιοδοτημένες εφαρμογές μπορούν να κάνουν
αλλαγές και ενημερώσεις. Οποιαδήποτε άλλη προσπάθεια
πραγματοποίησης αλλαγών αποκλείεται αυτόματα με
αποτέλεσμα να αποτρέπεται και οποιαδήποτε ενέργεια από
κάποιο ransomware. Η ανίχνευση κακόβουλης κίνησης δεδομένων
αποτρέπει την επικοινωνία του ransomware με
τους διακομιστές C&C από όπου θα κατέβει και το κακόβουλο
φορτίο. Το Sophos Server Protection επίσης περιλαμβάνει
την τεχνολογία CryptoGuard που εμποδίζει το ransomware
από το να κρυπτογραφήσει τα δεδομένα και τα αρχεία σας.
Επίσης θα πρέπει να σκεφτείτε και ένα σύστημα ασφάλειας
που επιτρέπει την επικοινωνία μεταξύ των διαφόρων
υποσυστημάτων που το απαρτίζουν. Αν και τα προϊόντα
ασφαλείας μπορούν να λειτουργήσουν καλά μεμονωμένα,
είναι ακόμη πιο αποτελεσματικά όταν συνεργάζονται και
επικοινωνούν μεταξύ τους. Μέσω του Sophos Heartbeat που
μέρος της τεχνολογίας Synchronized Security της Sophos
και αποτελεί παγκόσμια πατέντα, οι τερματικές συσκευές και
το τείχος προστασίας μοιράζονται πληροφορίες και δεδομένα
ανταποκρινόμενα προληπτικά, προσφέροντας απαράμιλλη
προστασία ενάντια στις προηγμένες απειλές.
X by Invincea και μηχανική εκμάθηση
Πρόσφατα, στο χαρτοφυλάκιο προϊόντων της Sophos
προστέθηκε και το X της Invincea που θα ενσωματωθεί στη
διάρκεια στο Sophos Central και επομένως στη μάχη ενάντια
στις προηγμένες απειλές και στο malware, προστίθεται
τώρα και η μηχανική εκμάθηση (machine learning). Το
προϊόν ναυαρχίδα της Invincea χρησιμοποιεί τεχνικές
βαθιάς εκμάθησης (deep learning), νευρωνικά δίκτυα και
παρακολούθηση συμπεριφοράς (behavioral monitoring)
για να εντοπίζει με επιτυχία προηγουμένως αθέατο / άγνωστο
malware και να σταματάει επιθέσεις προτού γίνουν
επιζήμιες. Η Sophos έχει αναγνωριστεί σήμερα ως ηγέτης
στον τομέα της προστασίας τερματικών συσκευών με μια
διευρυμένη σειρά από τεχνολογίες επόμενης γενιάς, όπως
είναι η signature-less τεχνολογία anti-malware, anti-exploit
και anti-ransomware με την ονομασία Intercept Χ καθώς και
τα βασισμένα στην συμπεριφορά analytics, την τεχνολογία
ανίχνευσης κακόβουλης κίνησης δεδομένων και την φήμη
εφαρμογών που βρίσκονται στο Sophos Endpoint Protection.
Η τεχνολογία ανίχνευσης μηχανικής εκμάθησης και πρόληψης
malware της Invincea θα ενσωματωθεί πλήρως στο
χαρτοφυλάκιο της προστασίας τερματικών συσκευών της
Sophos, για να ενισχύσει περαιτέρω την ηγετική θέση της
εταιρείας στη συγκεκριμένη ταχέως αναπτυσσόμενη αγορά. Η
διαθεσιμότητα της τεχνολογίας της Invincea στην πλατφόρμα
Sophos Central, θα ενισχύσει περαιτέρω το χαρτοφυλάκιο
της συγχρονισμένης ασφάλειας της Sophos και την ανταλλαγή
πληροφοριών σε πραγματικό χρόνο.
26 security

security
27

T5005/06/07.2017
Issue
Πάντα σε ετοιμότητα.. γιατί η
ιστορία επαναλαμβάνεται!
Πριν πολλά χρόνια, τα malware και οι ιοί ξεκίνησαν σαν αστεία, σαν «proof of points», σαν
φάρσες. Κάποια έβγαζαν αστεία ASCII μηνύματα, κάποια έκαναν τις οπτικές μονάδες δίσκων να
ανοιγοκλείνουν, μετονόμαζαν τα αρχεία μας ή τα έκρυβαν.
υτοί οι καιροί έχουν όμως περάσει και πλέον
τα malware έχουν μετατραπεί, μεταξύ
Α
άλλων, σε ένα τρόπο απόσπασης χρημάτων,
με την ειδική κατηγορία των Ransomware.
Ένα πρόγραμμα, ένα κομμάτι κώδικα, ένα
script, φτιαγμένο ώστε να κρυπτογραφήσει το συντομότερο
δυνατόν όσο περισσότερα δεδομένα μπορέσει. Τα malware
της κατηγορίας αυτής, θα φροντίσουν έτσι ώστε να αφήσουν
πίσω τους μηνύματα επικοινωνίας και οδηγίες πληρωμής
των λύτρων. Μόλις ολοκληρώσουν το έργο τους,
θα εξαφανίσουν τα ίχνη τους, ώστε να προλάβουν να επιτεθούν
σε περισσότερους υπολογιστές πριν τα ανιχνεύσουν
τα antivirus που είναι εγκατεστημένα στους υπολογιστές
του δικτύου.
Ποιοι βρίσκονται πίσω από αυτά; Hackers, hacktivists,
προγραμματιστές, ή απλά script kiddies, δηλαδή κάποιοι
«enthusiasts», που πειραματίζονται αγοράζοντας έτοιμα
malicious scripts από το Dark Web αποσκοπώντας σε εύκολο
χρήμα. Εκεί υπάρχουν έτοιμα εργαλεία σύνθεσης ενός
malware, καθώς και έτοιμα εργαλεία εξάπλωσης με διάφορες
μεθόδους, όπως τα Exploit kits και το Social Engineering.
Βασιζόμενοι πάνω σε exploits, δηλαδή στις ευπάθειες
λειτουργικών και προγραμμάτων καθημερινής χρήσης, οι
δημιουργοί τους βρίσκουν τρόπους παρείσφρησης σε μηχανήματα,
ώστε να προχωρήσουν σε επιπλέον ενέργειες.
Ποτέ δεν πρόκειται για ένα ολοκληρωμένο και αυτούσιο
πρόγραμμα. Αντίθετα, είναι κομματάκια κώδικα με σκοπό
την εύκολη εισαγωγή στο σύστημα, π.χ. μέσω ενός απλού
και μικρού macro μέσα σε ένα αρχείο Word. Αυτό το macro
θα ξεκινήσει μία διαδικασία, που συνθέτει επιτόπου scripts
και άλλα τμήματα κώδικα, τα οποία μάλιστα χρησιμοποιούν
εφαρμογές του συστήματος και συχνά εκτελούν κρυπτογραφημένο
κώδικα.
Σχετικά πρόσφατα, στα μέσα Απριλίου, κυκλοφόρησε στη δημοσιότητα
η ιστορία του EternalBlue, ένα exploit το οποίο
φημολογείται ότι αναπτύχθηκε από την NSA με σκοπό την
απομακρυσμένη εκτέλεση οποιουδήποτε κώδικα από έναν
υπολογιστή με/σε οποιαδήποτε έκδοση των Windows. Ο κό-
28 security

Γιάννης Παυλίδης
Presales Engineer, ESET Hellas
www.esetgr.com
σμος δεν θορυβήθηκε αρκετά, ίσως γιατί ήταν άλλο ένα exploit
από τα πολλά που ήδη υπάρχουν.
Όταν όμως το EternalBlue χρησιμοποιήθηκε, περίπου ένα μήνα
μετά, για την εξάπλωση του WannaCry ή WannaCryptor,
τότε μάθαμε κάτι πολύ σημαντικό. Πως όταν εμείς μαθαίνουμε
ένα σοβαρό κενό ασφαλείας που υπάρχει στα συστήματά
μας, το ίδιο μαθαίνουν και οι κυβερνοεγκληματίες. Και
αποτελεί και για τις δύο πλευρές μία ευκαιρία. Για εμάς, τους
χρήστες, να βελτιώσουμε την προστασίας μας, και στους κυβερνοεγκληματίες
για την εξάπλωση σε περισσότερα σημεία.
Το WannaCryptor ευτυχώς δεν έκανε πολύ μεγάλη ζημιά,
καθώς εμπεριείχε ένα kill switch, το οποίο ανιχνεύθηκε γρήγορα
και σταμάτησε σε παγκόσμιο επίπεδο. Όμως, πρόλαβε
και χτύπησε αρκετές εταιρίες, υπηρεσίες, νοσοκομεία και κρυπτογράφησε
ευαίσθητα δεδομένα. Όσοι είχαν ήδη μεριμνήσει
για το updating των λειτουργικών Windows είχαν εξαλείψει
την ευπάθεια του EternalBlue, οπότε δεν είχαν λόγο ανησυχίας.
Το exploit είναι τόσο σοβαρό, που η Microsoft εξέδωσε
patch μέχρι και για τα Windows XP.
Στην ESET, ανιχνεύαμε ήδη το exploit EternalBlue μέσω της
λειτουργίας Network protection που διαθέτουν οι λύσεις
Security/Internet Security κι έτσι δεν του δόθηκε καν η
ευκαιρία να να εκμεταλλευτεί τη συγκεκριμένη ευπάθεια.
Επίσης, το WannaCryptor ανιχνεύθηκε πολύ γρήγορα από
το Cloud Malware Protection System της ESET και μέσω του
ESET LiveGrid υπήρξε άμεση ενημέρωση για το νέο malware
σε παγκόσμιο επίπεδο. Περιγράφοντας το απλοϊκά, κάθε πελάτης/χρήστης/συσκευή
που προστατεύεται από ESET client, είναι
ταυτόχρονα και ένας «αισθητήρας» ανίχνευσης και αρωγός
στο Cloud Malware Protection System της ESET.
Η εικόνα που εμφανιζόταν στα συστήματα που είχαν μολυνθεί
από το KillDisk malware το Δεκέμβριο του 2016.
Το CMPS της ESET είναι ένα data center με πολλαπλές
μηχανές και τεχνολογίες, όπως Auto-sample analysis,
DNA matching, Machine Learning, Sandboxing, Botnet
analysis και άλλα, όπου με δυναμική Big Data analysis
υπάρχει η δυνατότητα αναλύσεων σε μεγάλη κλίμακα μέσα
από την άντληση feeds από όλους αυτούς τους sensors/αισθητήρες.
Τα παραπάνω, σε συνδυασμό με τους Αναλυτές
Malware της ESET, δίνουν συνεχώς άμεσες και εύστοχες
λύσεις στις νεότερες απειλές.
Στην πλευρά του client, κάποιες από τις πολλές λειτουργίες
των λύσεων Endpoint αναλαμβάνουν το υπόλοιπο κομμάτι
προστασίας, όπως το HIPS, τα Advanced Heuristics
με το DNA matching και τέλος, το Advanced Memory
Scanner, που εκτελεί behavioral analysis ειδικά για
ransomware και κρυπτογραφημένα malware.
Απ’ ότι φαίνεται όμως, η απότομη εξάλειψη του
WannaCryptor και οι άμεσες αντιδράσεις των detection
engines καθησύχασαν αρκετά τον κόσμο. Έτσι, πολύ σύντομα,
η ιστορία επαναλαμβάνεται και πλέον στο στόχαστρο
είναι κι άλλα ransomware που χρησιμοποιούν
το EternalBlue exploit, όπως το Petya, το οποίο
κρυπτογραφεί το MBR του δίσκου και αποτρέπει πλήρως
την είσοδο στο σύστημα.
Οι αντιδράσεις της ESET ήταν και πάλι άμεσες, αλλά η ιστορία
αυτή θα επαναληφθεί ξανά και ξανά. Με αυτό το exploit,
ή κάποιο άλλο, παλαιότερο ή νεότερο.
Σαν Administrators, Security experts ή γενικά υπεύθυνοι
ασφάλειας και προστασίας των δεδομένων μας, οφείλουμε
να παρακολουθούμε αυτές τις τάσεις και να κάνουμε
τα απαραίτητα. Στην περίπτωση αυτή, είναι το updating/
patching.
Άλλη μία πολύ σωστή τακτική που εφαρμόζουμε στους πελάτες
μας, είναι το hardening των συστημάτων Windows
μέσω HIPS rules, το οποίο αφαιρεί τη δυνατότητα μίας μεθόδου
scripting μη κοινής χρήσης, π.χ. ένα office macro,
από το να ξεκινήσει την αλληλουχία που θέλει ώστε να καταλήξει
στο χτίσιμο του κώδικα malware και την επιτόπου
εκτέλεση ενός ransomware. Είναι μία αποτελεσματική μέθοδος,
η οποία μάλιστα δεν εμποδίζει την καθημερινότητα
του χρήστη.
Θεωρώ πολύ σημαντικό όμως το ότι, εφόσον τα περισσότερα
ransomware ξεκινούν από ένα document, ή ένα
αρχείο text, πρέπει να εκπαιδεύουμε τους χρήστες
μας σε αυτό. Είναι το πρώτο βήμα και παράλληλα ο μοναδικός
παράγοντας, ο οποίος δεν επιδέχεται patching ή
αυτοματοποίηση.
security
29

T5005/06/07.2017
Issue
Your files or your money – Πώς
να αμυνθείτε αποτελεσματικά έναντι της
κρίσιμης απειλής των Ransomware
Η προληπτική αντιμετώπιση των περιστατικών ransomware είναι κάτι παραπάνω από
σημαντική, αφού η εκδήλωση αυτών των επιθέσεων μπορεί να έχουν καταστροφικές
συνέπειες εταιρικό επίπεδο.
ανταστείτε το ακόλουθο σενάριο. Έχετε
Φ
περάσει τις τελευταίες εβδομάδες εργαζόμενοι
σε μια κρίσιμη αναφορά που θα καθορίσει
την επιχειρησιακή στρατηγική του
οργανισμού σας για την επόμενη δεκαετία.
Όταν η εργασία ολοκληρώθηκε, η προσπάθεια αποστολής
του αρχείου στους κατάλληλους παραλήπτες απέτυχε, και
ένα περίεργο μήνυμα εμφανίστηκε.
“Τα αρχεία σε αυτόν τον υπολογιστή έχουν κρυπτογραφηθεί.
Έχετε 96 ώρες για να υποβάλετε την πληρωμή,
διαφορετικά τα αρχεία σας θα καταστραφούν μόνιμα”
Έχετε πέσει θύμα κακόβουλου λογισμικού ransomware. Δεν
δημιουργήσατε αντίγραφο ασφαλείας για την εργασία σας.
Στην πραγματικότητα δεν έχετε αντίγραφα ασφαλείας από τα
αρχεία σας για μήνες. Τι μπορείτε να κάνετε;
Δυστυχώς, στην περίπτωση του ransomware, μετά την κρυπτογράφηση
των αρχείων, δεν υπάρχει τίποτα που μπορείτε
να κάνετε αν δεν έχετε προβλέψει την λήψη αντιγράφων
ασφάλειας – εκτός από τη μείωση των ζημιών σας ή την πληρωμή
των λύτρων. Ακόμα και μετά την πληρωμή, η ανάκτηση
των αρχείων δεν είναι εξασφαλισμένη.
Για τις επιχειρήσεις σε όλο τον κόσμο, οι κίνδυνοι είναι υψηλοί.
Το πρόσφατο ξέσπασμα του WanaCryt0r ήταν η μεγαλύτερη
επίθεση ransomware στην ιστορία του Διαδικτύου,
αποκλείοντας την πρόσβαση των νοσοκομειακών εργαζομένων
σε κρίσιμα δεδομένα, και έχοντας ως αποτέλεσμα
την διακοπή των δραστηριοτήτων των οργανισμών σε 150
χώρες.
30 security

Παναγιώτης
Καλαντζής
Διευθυντής Τομέα
Ιωάννης Λάλος
Security Consultant
Τομέας Information Security
Governance Risk & Compliance SYNTAX Πληροφορική ΑΕΒΕΕ,
www.syntax.gr
WanaCryt0r Ransomware
Αυτά τα είδη επιθέσεων μπορεί να έχουν καταστροφικές
συνέπειες εταιρικό επίπεδο, από την απώλεια πολύτιμων
δεδομένων μέχρι το κλείσιμο των νοσοκομειακών υπηρεσιών
στη μέση των διαδικασιών έκτακτης ανάγκης. Σε ορισμένες
περιπτώσεις, πρόκειται για ζήτημα ζωής ή θανάτου.
Αυτός είναι ο λόγος για τον οποίο είναι τόσο σημαντική η
προληπτική αποτροπή περιστατικών ransomware.
Είδη ransomware
Το πρώτο βήμα στην πρόληψη επιθέσεων ransomware είναι
η αναγνώριση των διαφορετικών τύπων ransomware
απειλών. Η σοβαρότητα των επιθέσεων ransomware μπορεί
να κυμαίνεται από απλή ενόχληση σε αυξημένης σοβαρότητας
περιστατικά οριστικής απώλειας δεδομένων.
Scareware - Σε αντίθεση με ότι το όνομα προϊδεάζει, το
scareware κακόβουλο λογισμικό – σε σύγκριση με άλλους
τύπους ransomware – δεν είναι τόσο τρομακτικό. Το
scareware περιλαμβάνει αποστολή μηνυμάτων, που φαίνεται
να προέρχονται από λογισμικό ασφάλειας ή τμήματα
τεχνικής υποστήριξης, και ισχυρίζονται ότι ανακαλύφθηκαν
κομμάτια κακόβουλου λογισμικού και ο μόνος τρόπος να
απαλλαγούμε από αυτά είναι η πληρωμή μιας αμοιβής.
Ακόμα όμως και αν δεν αναλάβουμε καμιά δράση, θα συνεχίσουμε
να βομβαρδιζόμαστε από τα ανωτέρω μηνύματα,
αλλά τα αρχεία μας είναι ουσιαστικά ασφαλή.
Screen lockers - Το κακόβουλο λογισμικό τύπου screen
locker είναι λογισμικό αυξημένης επικινδυνότητας σε σχέση
με το scareware. Η μόλυνση του υπολογιστή από κακόβουλο
λογισμικό τύπου screen locker σημαίνει ότι η
πρόσβαση του χρήστη έχει αποκλειστεί, αφού κατά την
εκκίνηση εμφανίζεται ένα παράθυρο πλήρους μεγέθους
οθόνης το οποίο συχνά συνοδεύεται από επίσημο σήμα κάποιας
κρατικής αρχής (συνήθως του FBI ή της σφραγίδας
του Υπουργείου Δικαιοσύνης των Η.Π.Α.) αναφέροντας ότι
έχει εντοπιστεί παράνομη δραστηριότητα και επιβάλλεται η
καταβολή πρόστιμου.
Encrypting ransomware -Το κακόβουλο λογισμικό τύπου
encrypting ransomware είναι λογισμικό ύψιστης επικινδυνότητας.
Αυτός ο τύπος ransomware κρυπτογραφεί
τα αρχεία του χρήστη αποκλείοντας την πρόσβασή του στα
αρχεία αυτά, απαιτώντας πληρωμή για την αποκρυπτογράφησή
τους και την επαναφορά της πρόσβασης του χρήστη
σε αυτά. Ο αυξημένος βαθμός επικινδυνότητας οφείλεται
στο γεγονός ότι άπαξ και τα αρχεία κρυπτογραφηθούν από
το κακόβουλο λογισμικό, πολύ σπάνια η επαναφορά των
αρχείων είναι εφικτή μέσω της χρήσης λογισμικών ασφάλειας.
Ακόμα και η πληρωμή των ζητούμενων λύτρων δεν
εξασφαλίζει την επαναφορά των αρχείων.
Προληπτικά μέτρα προστασίας έναντι επιθέσεων
ransomware
Η απάντηση στο ερώτημα των τρόπων προστασίας έναντι
επιθέσεων ransomware, είναι αυτή της υιοθέτησης υγιεινής
ασφάλειας (βασικών μέτρων ασφάλειας – security hygiene)
και βέλτιστων πρακτικών.
Βασικό και πρωτεύων μέτρο είναι η ενημέρωση των χρηστών.
Ένας από τους πιο συνηθισμένους τρόπους με τους οποίους
οι υπολογιστές έχουν μολυνθεί με ransomware είναι μέσω
της κοινωνικής μηχανικής. Η εκπαίδευση των χρηστών για τον
τρόπο ανίχνευσης καμπάνιας phishing, ύποπτων ιστότοπων
και άλλων απατών είναι ύψιστης σημασίας. Και πάνω από όλα,
η άσκηση κοινής λογικής είναι σε θέση να αποτρέψει πληθώρα
επιθέσεων ransomware. Εάν φαίνεται ύποπτο, πιθανότατα
είναι. Επιπρόσθετα, είναι επιτακτική η συχνή ενημέρωση
των συστημάτων και του λογισμικού που χρησιμοποιείται για
εταιρικούς σκοπούς. Η πιο πρόσφατη επιδημία ransomware
WannaCry εκμεταλλεύτηκε μια ευπάθεια στο λογισμικό της
Microsoft. Ενώ η εταιρεία είχε κυκλοφορήσει μια διορθωτική
έκδοση (patch) για την εν λόγω ευπάθεια ασφαλείας τον Μάρτιο,
πολλοί δεν εγκατέστησαν την ενημέρωση – καθιστώντας
τους οργανισμούς ευάλωτους στην συγκεκριμένη επίθεση.
Είναι σίγουρα αρκετά κοπιώδης η διαδικασία διαρκούς παρακολούθησης
των νέων ευπαθειών και των αντίστοιχων
διορθωτικών πακέτων (patches και plugins), και η εφαρμογή
τους στα αντίστοιχα συστήματα. Για τον λόγο αυτό, η αυτόματη
ενημέρωση των συστημάτων είναι μια πρόταση που αξίζει
την διερεύνηση της εφαρμοσιμότητάς της στα συστήματά σας.
Επίσης, ίσως αξίζει να διερευνηθεί η πιθανότητα χρήσης εξει-
security
31

T5005/06/07.2017
Issue
δικευμένων λύσεων, όπως το Symantec Patch Management
Solution 1 .
Η επιλογή κατάλληλων τεχνολογικών αντίμετρων, επίσης
δεν θα πρέπει να αμεληθεί. Παρότι, ιστορικά, οι επιθέσεις
ransomware ξεκινούσαν μέσω phishing emails, στο μέλλον
είναι πιθανό να δούμε περισσότερες επιθέσεις μέσω ευάλωτων
εφαρμογών διαδικτύου όπως JBOSS, WordPress,
και Joomla. Καθίσταται, λοιπόν, επιτακτική η ανάπτυξη και
ενεργοποίηση τεχνολογιών πρόληψης σχετικών επιθέσεων.
Ενδεικτικά αναφέρουμε:
● To IPS 2 (Intrusion Prevention System) αποκλείει κάποιες
απειλές που ένα παραδοσιακό antivirus μόνο δεν
μπορεί να σταματήσει.
● Τις τεχνολογίες προστασίας σε πραγματικό χρόνο χρησιμοποιώντας
heuristics και δεδομένα φήμης (reputation
data), όπως η τεχνολογία SONAR 3 της εταιριάς Symantec,
για να ανιχνεύσουν επικείμενες και άγνωστες απειλές.
● Τις τεχνολογίες απομόνωσης ύποπτων ή αμφισβητήσιμων
ως προς την λειτουργικότητα αρχείων, όπως η τεχνολογία
Insight 4 της εταιριάς Symantec
Τέλος, αλλά ίσως περισσότερο σημαντικό, είναι η δημιουργία
αντιγράφων ασφαλείας των δεδομένων σε τακτική βάση. Με
αυτό τον τρόπο, η πιθανή απώλεια δεδομένων λόγω επίθεσης
ransomware έχει ελάχιστο αντίκτυπο σε προσωπικό ή επιχειρησιακό
επίπεδο, με δεδομένη την ύπαρξη των δεδομένων
σε κάποιο ενημερωμένο αντίγραφο ασφάλειας. Φυσικά, είναι
επιτακτική η ασφάλιση των δεδομένων με την εφαρμογή κανόνων
περιορισμού πρόσβασης. Είναι συνετό να παρέχεται
πρόσβαση μόνο για ανάγνωση σε αρχεία που βρίσκονται σε
δικτυακούς δίσκους και να παρέχεται δικαίωμα πρόσβασης
μόνο αν είναι απόλυτα αναγκαίο. Με τον περιορισμό των δικαιωμάτων
των χρηστών περιορίζουμε τα αρχεία που μπορεί να
κρυπτογραφηθούν από μία απειλή ransomware.
Πώς γίνετε η αφαίρεση ενός ransomware
Στην απευκταία περίπτωση μόλυνσης των συστημάτων από
ransomware, δυστυχώς δεν μπορούμε να κάνουμε πολλά
πράγματα. Στην συντριπτική πλειοψηφία των περιπτώσεων, η
κρυπτογράφηση από ένα ransomware δεν μπορεί να “σπάσει”.
Εάν κάποιο σύστημα έχει προσβληθεί από ransomware και
τα δεδομένα σας έχουν κρυπτογραφηθεί, προτείνουμε τα εξής
βήματα.
● Μην Πληρώσετε τα λύτρα. Εάν πληρώσετε τα λύτρα:
❍ Δεν υπάρχει εγγύηση ότι ο εισβολέας θα προμηθεύσει
μία μέθοδο για να ξεκλειδώσετε τον υπολογιστή
σας ή να αποκρυπτογραφήσετε τα αρχεία σας.
❍ Ο εισβολέας πιθανότατα θα χρησιμοποιήσει τα χρήματα
από τα λύτρα σας για να χρηματοδοτήσει επιθέσεις
εναντίον άλλων χρηστών.
● Απομόνωση του μολυσμένου συστήματος. Η ενέργεια
αυτή συνίσταται να πραγματοποιηθεί πριν το
ransomware καταφέρει να επιτεθεί σε προσβάσιμους
δικτυακούς δίσκους
● Επαναφορά των κατεστραμμένων αρχείων από ένα
πρόσφατο αντίγραφό ασφάλειας
● Υποβολή του κακόβουλου λογισμικού σε σχετικές
υπηρεσίες κατασκευαστών antivirus όπως το
Security Response 5 της εταιρίας Symantec. Με τον
τρόπο αυτό, επιταχύνεται η διαδικασία της ανάλυσης της
απειλής από τις σχετικές υπηρεσίες των κατασκευαστών
antivirus και επιτρέπουν τη δημιουργία νέων υπογραφών
και την βελτίωση της άμυνας εναντίων των ransomware
Σχετικά με την SYNTAX Πληροφορική ΑΒΕΕ
Η SYNTAX Πληροφορική Α.Β.Ε.Ε. ( www.syntax.gr ) ιδρύθηκε
το 1994 και δραστηριοποιείται στην Ευρώπη και στον
Αραβικό Κόλπο.
Η SYNTAX προσφέρει σε μεγάλες επιχειρήσεις και οργανισμούς
τη δυνατότητα να αφομοιώνουν τεχνολογίες αιχμής και βέλτιστες
πρακτικές, έτσι ώστε να διαφοροποιούνται στην αγορά, και
να μειώνουν το λειτουργικό τους κόστος, αποκτώντας ανταγωνιστικό
πλεονέκτημα και βέλτιστη αποτελεσματικότητα (ROI).
Η εταιρία παρέχει συμβουλευτικές υπηρεσίες, αναλαμβάνει έργα
μελετών, ανάπτυξης, υλοποίησης και υποστήριξης τεχνολογιών
αιχμής, λειτουργίας & διαχείρισης συστημάτων ΙΤ και εκχωρεί
εξειδικευμένο προσωπικό με συμβάσεις ορισμένου χρόνου.
Τομείς εξειδίκευσης: Applications Lifecycle Management -
Data Management - Security, Governance, Risk & Compliance
- IT Operations, Business Service & SLA Management.
Τον κατάλογο των πελατών κοσμούν κορυφαίες μεγάλες επιχειρήσεις
και οργανισμοί από όλους τους τομείς της οικονομίας.
Η SYNTAX είναι πιστοποιημένη κατά ISO 9001: 2008 και
27001: 2013 και μέλος των φορέων ΣΕΠΕ, ΣΕΣΜΑ, ITSMF
και TMF.
1 https://www.symantec.com/products/endpoint-hybrid-cloud-security/endpoint-management/patch-management-solution
2 https://support.symantec.com/en_US/article.TECH104434.html
3 https://support.symantec.com/en_US/article.HOWTO80968.html
4 https://support.symantec.com/en_US/article.HOWTO80989.html
5 https://www.symantec.com/security_response/
32 security

security
33

T5005/06/07.2017
Issue
Ransomware Vs Wiper: Από τον
Cryptolocker στον WannaCry, στην
νέα εποχή της κυβερνοτρομοκρατίας.
Ξεκίνησα να γράφω αυτό το άρθρο λίγες μέρες μετά την εκδήλωση του WannaCry και διερωτόμουν
αν η κυβερνότρομοκρατία θα φτάσει στα επίπεδα της χερσαίας τρομοκρατίας που αντιμετωπίζει η
Ευρώπη αυτή την εποχή. Μετά την εκδήλωση του Petya είμαι πια πεπεισμένη ότι όχι μόνο θα την
φθάσει αλλά ίσως και θα την ξεπεράσει τόσο σε τακτικές όσο και σε αποτελεσματικότητα.
ριν προλάβουμε να συνέλθουμε καλά-καλά
Π
από το κτύπημα του WannaCry το Μάιο,
μετά από λίγο διάστημα ήρθαμε αντιμέτωποι
με τον Petya. Θεωρητικά, πρόκειται για
Ransomware αφού είναι ένα κακόβουλο
λογισμικό που μπλοκάρει την πρόσβαση του θύματος στον
υπολογιστή και τα δεδομένα του, απειλώντας να τον εκθέσει
ή να τα διαγράψει αν δεν πληρώσει τα απαιτούμενα λύτρα.
Παρόλο που μοιάζουν πολύ εκ πρώτης όψεως σαν επιθέσεις,
αν τις εξετάσουμε καλύτερα θα δούμε ότι είναι κάτι
πολύ περισσότερο από μια απλή νέα παραλλαγή της
ήδη δοκιμασμένης τεχνικής πολλαπλασιασμού του
WannaCry.
Σημαντικές ζημιές σε πολλές χώρες
Η χώρα που κτυπήθηκε πιο πολύ είναι η Ουκρανία αφού
μεταξύ άλλων επηρεάστηκαν υπουργεία, Τράπεζες, ΔΕΚΟ
και τηλεπικοινωνίες. Πρόκειται για μια καθαρά στοχευμένη
επίθεση, αφού εκμεταλλεύτηκε μια αδυναμία στο λογιστικό
σύστημα MEDoc. Το σύστημα αυτό χρησιμοποιείται
εξαναγκαστικά από εταιρίες που έχουν δραστηριότητες και
φορολογούνται στην Ουκρανία. Ο κατασκευαστής, το παραδέχτηκε
αρχικά στην ιστοσελίδα τους, αλλά μετά διέψευσε
κατηγορηματικά στην σελίδα του στο Facebook. Αφού μολύνει
τον πρώτο υπολογιστή, ο Petya σκανάρει το τοπικό
δίκτυο μολύνοντας άλλα μηχανήματα στο δίκτυο (ακόμη και
αυτά που έχουν όλα τα απαραίτητα patches) χρησιμοποιώντας
το EternalBlue SMB exploit και εργαλεία WMIC
και PSEXEC.
Μέχρι και τα συστήματα του σταθμού παραγωγής πυρηνικής
ενέργειας του Τσέρνοπιλ επηρεάστηκαν αν και δεν
πιστεύεται να υπήρξε οποιοσδήποτε κίνδυνος διαρροής
ραδιενέργειας. Το γεγονός ότι το κακόβουλο λογισμικό έχει
ρυθμιστεί να περιμένει 5 ημέρες πριν από την ενεργοποίηση
του την 27ης Ιουνίου, την ημέρα πριν από την ουκρανική
αργία για τον εορτασμό της επικύρωσης του νέου συντάγματος
του 1996, προσδίδει επίσης έμμεσα βάρος στην άποψη
ότι η επίθεση ήταν στοχευμένη. Εκτός από τα θύματα
στην Ουκρανία υπήρξαν και παράπλευρες συνέπειες εκτός
της χώρας και περιλαμβάνοντας συνεργάτες και με ουκρανικούς
οργανισμούς.
Άλλα θύματα του Petya ήταν μεγάλοι οργανισμοί με λειτουργίες
mission critical όπως ο διαφημιστικός κολοσσός WPP
και η γαλλική βιομηχανία Saint-Gobain. Για καλή τους τύχη
όμως έθεσαν άμεσα σε λειτουργία πρωτόκολλα προστασίας
αποτρέποντας τα χειρότερα. Δεν υπήρξε τόσο τυχερή
όμως η ναυτιλιακή Maersk που ανέφερε ότι πολλά υποκαταστήματα
και τμήματα της τέθηκαν εκτός λειτουργίας λόγω
της επίθεση. Ο δε αυτοματοποιημένος τερματικός σταθμός
Maasvlakte II στο Rotterdam παρέλυσε εντελώς.
34 security

Αλεξία Χριστοφή
Managing Director CYSOFT
www.cysoft.gr
Ένα ιδιαίτερα εξελιγμένο malware με αρκετά
ερωτηματικά
Οι δημιουργοί του συγκεκριμένου malware φαίνονται πολύ
έμπειροι. Δανείστηκαν κώδικά από τον ιό Petya (πρωτοεντοπίστηκε
το 2016), επαναχρησιμοποίησαν χαρακτηριστικά
του WannaCry, προσθέτοντας password hash harvesting
και άλλες δύο τεχνικές εξάπλωσης, απέκρυψαν κώδικα
και χρησιμοποίησαν πλαστά πιστοποιητικά Microsoft. Το
κίνητρο είναι προφανές αφού ζητάνε την καταβολή λύτρων.
Ο μηχανισμός όμως που χρησιμοποιήθηκε για την καταβολή
των λύτρων δημιουργεί ερωτήματα. Γιατί άραγε να χρησιμοποιεί
ένα μοναδικό hard-coded Bitcoin wallet, και να
αποστέλλει μήνυμα που περιέχει το bitcoin wallet ID καθώς
και προσωπικό κωδικό εγκατάστασης του θύματος από μια
διεύθυνση που σίγουρα ο πάροχος – η απόλυτα αξιόπιστη
Posteo με έδρα το Βερολίνο - θα απενεργοποιήσει;
Είναι σαν οι δημιουργοί να μην είχαν ποτέ πρόθεση να
εισπράξουν λύτρα. Ίσως για αυτόν τον λόγο χαρακτηρίστηκε
πιο πολύ ως Wiper παρά Ransomeware. Τα Wiper
είναι κομμάτια κακόβουλου κώδικα που αποσκοπούν στη
μόνιμη διαγραφή του Master Boot Sector του υπολογιστή
του θύματος . Ακόμα και μετά την καταβολή των λύτρων
είναι αμφίβολο αν θα μπορέσει το θύμα να επανακτήσει τα
δεδομένα του, αφού ο Petya είτε από λάθος ή σκοπίμως
δεν κρατάει αντίγραφο του MBR.
Απαιτείται προληπτική αντιμετώπιση
– Η Trend Micro διαθέτει τις λύσεις
Παρόλο τον θόρυβο, το συγκεκριμένο ransomware δεν
φαίνεται να παρουσιάζει ιδιαίτερη απειλή για τα ελληνικά
δεδομένα, εκτός φυσικά αν υπάρχει άμεση ή έμμεση σχέση
με Ουκρανικά συμφέροντα. Αυτό όμως δεν πρέπει να
μας καθησυχάζει, αφού μπορεί οποιανδήποτε στιγμή να
γίνουμε ο επόμενος στόχος. Και δεν θα πρέπει πια να είναι
ανησυχία μόνο των ανθρώπων της πληροφορικής, αλλά θα
πρέπει να πάρουν την υπόθεση σοβαρά και όλοι οι φορείς
που ασχολούνται με την προστασία του πολίτη.
Η απώλεια προσωπικών δεδομένων είναι πολύ σοβαρό
θέμα και για μας τους καθημερινούς χρήστες μπορεί να μετριαστεί
αν αντιμετωπιστεί προληπτικά με μια καθημερινή
διαδικασία back-up και την χρήση ενός ολοκληρωμένου
συστήματος ασφαλείας, που να περιλαμβάνει Antivirus και
Sandboxing άλλα και προληπτικό εικονικό patching.
Σε πιο κρίσιμα περιβάλλοντα αλλάξουν κάποια πράγματα
λόγω του όγκου και της ταχύτητας που ανταλλάζονται δεδομένα
η θεωρία παραμένει ίδια.
Στην ιστοσελίδα http://bit.ly/2t7SRTZ θα βρούμε λεπτομέρειες
από την Trend Micro για το πως μπορούμε να είμαστε έτοιμοι
να αντιμετωπίσουμε τον Petya. Η Trend Micro διαθέτει λύσεις
που ανταποκρίνονται στα σημεία των καιρών προστατεύοντας
μικρές και μεγάλες επιχειρήσεις.
security
35

T5005/06/07.2017
Issue
Θωρακίστε την επιχείρησή σας
με την Bitdefender
Δεν έχουν περάσει πολλά χρόνια από τότε που ένας άνθρωπος αυτοκτόνησε όταν ο υπολογιστής
του προσβλήθηκε από ransomware και θα αναγκαζόταν να πληρώσει λύτρα αξίας χιλιάδων δολαρίων.
Αυτό συνέβη το 2014 και όσο απίστευτο κι αν ακούγεται είναι η πρώτη καταγεγραμμένη
πράξη όταν ένας ιός υπολογιστή σκότωσε κυριολεκτικά έναν άνθρωπο.
ίγουρα η κατάσταση δεν βέλτιώθηκε από
Σ
τότε. Αντίθετα, τα θύματα πληθαίνουν και οι
θύτες οι οποίοι καταφέρνουν να αποκτούν
πρόσβαση σε όλο και περισσότερα δεδομένα,
γίνονται διαρκώς πλουσιότεροι. Είναι ακόμα
πολύ νωπές οι αναμνήσεις των επιθέσεων του WannaCry και
του GoldenEye/ Petya που κατάφεραν να μολύνουν πλήθος
υπολογιστών παγκοσμίως, σε λιγότερο από μία μέρα.
Είναι δεδομένο, ότι η τεχνολογία του ransomware γίνεται
διαρκώς όλο και πιο επικίνδυνη και επεκτείνεται μάλιστα σε
smartphones και tablets, αφού χρήσιμα δεδομένα υπάρχουν
πλέον και εκεί.
Τι είναι τα ransomware;
Η πιο επικίνδυνη μορφή ransomware, είναι εκείνη που απαγορεύει
την πρόσβαση του θύματος στα δεδομένα του εκτός
εάν ο θύτης ικανοποιηθεί οικονομικά. Όταν τα ransomware,
εισέρθουν στο εταιρικό δίκτυο θα εκμεταλλευτούν το τοπικό
δίκτυο για να αποκτήσουν πρόσβαση σε servers, on-line
backups ή data storages και να κρυπτογραφήσουν όσο το
δυνατό περισσότερα δεδομένα μπορούν. Πρέπει να τονιστεί
ότι η διαδικασία της κρυπτογράφησης μπορεί να καταστρέψει
εντελώς τα δεδομένα ή το Master Book Record (MBR),
με αποτέλεσμα να μην είναι δυνατή η επαναφορά των δεδομένων
με κανένα τρόπο. Όταν ολοκληρωθεί η διαδικασία
36 security

Βασίλης Καραβασίλης
Bitdefender Senior Presales Engineer
Blue Soft & IT - www.bluesoft.gr
της κρυπτογράφησης, θα εμφανιστεί ένα μήνυμα στην οθόνη
του θύματος όπου θα εμφανίζεται ο τρόπος πληρωμής και το
απαιτούμενο ποσό για την αποκρυπτογράφηση.
Με ποιον τρόπο εισβάλουν
Ο πιο γνωστός τρόπος εισβολής, είναι μέσω φαινομενικά αθώων
email όπου υπάρχει επισυναπτόμενος ο ιός με αθώα μορφή
(πχ Payment.pdf). Μόλις ο χρήστης ανοίξει το attachment,
ο ιός ενεργοποιείται. Σύμφωνα, με μια άλλη μέθοδο διασποράς,
ο θύτης δημιουργεί έναν ιό ransomware που επισυνάπτει
σε ένα exploit kit, δηλαδή ένα λογισμικό εγκατεστημένο
σε website και ελέγχει για ευπάθειες υπολογιστών. Αρκεί επομένως
να έρθουν τα υποψήφια θύματα στο site.
Οι τρόποι λοιπόν είναι πολλοί και διάφοροι. Ένας είναι μέσω
των phishing emails, δηλαδή αληθοφανών μηνυμάτων (για
παράδειγμα από μια τράπεζα) με ένα σύνδεσμο που παραπέμπει
στη σελίδα αυτή. Ένας άλλος τρόπος είναι η εκμετάλλευση
λέξεων που χρησιμοποιούνται πολύ στις σελίδες
αναζήτησης. Βάσει των λέξεων αυτών, δημιουργούνται
συνδέσμοι προς τη μολυσμένη σελίδα και φροντίζεται ότι
οι σύνδεσμοι αυτοί θα βρίσκονται στην πρώτη σελίδα των
αποτελεσμάτων αναζήτησης.
Ο πιο πρόσφατος όμως τρόπος είναι αυτός των ψευδών ειδήσεων.
Δημιουργείται μία ψεύτικη ενδιαφέρουσα είδηση.
Μόλις ο χρήστης την επιλέξει, θα πατήσει ακούσια τον σύνδεσμο
προς την μολυσμένη σελίδα.
Μόλις το θύμα έρθει στην μολυσμένη σελίδα, το exploit kit
θα ελέγξει τον υπολογιστή του για ευπάθειες και θα στείλει
το αντίστοιχο exploit για να ολοκληρώσει την μόλυνση.
Πώς να προστατευτούμε
Σίγουρα η μόλυνση από τα ransomware είναι επιζήμια για
μια εταιρεία αφού εκτός των λύτρων που ίσως αναγκαστεί να
δαπανήσει, πρέπει να υπολογιστεί ο χρόνος που η εταιρεία
δεν θα εργάζεται με αποτέλεσμα ένα οικονομικό κόστος. Σε
αυτό πρέπει να προσθέσουμε και τις εργατοώρες και ίσως το
κόστος για να νέο hardware που θα δαπανηθεί για να επανέρθει
η εταιρεία σε φυσιολογικούς ρυθμούς.
Παρακάτω παραθέτουμε μερικές απλές συμβουλές.
Δημιουργήστε backup των δεδομένων σας. Προτιμήστε
λύσεις offline backup ή cloud. Με την cloud λύση δεν εξασφαλίζετε
μόνο backup των αρχείων σας, αλλά, επιπλέον, τα
αντίγραφα ασφαλείας μπορούν εύκολα να αποκατασταθούν.
Αποφύγετε, αν δεν χρειάζεται, την εκτέλεση των αρχείων
ως διαχειριστής του συστήματος. Κάθε λεπτό που οι χρήστες
χρησιμοποιούν τον υπολογιστή με δικαιώματα διαχειριστή,
αυξάνουν την πιθανότητα τα ransomware να κρυπτογραφήσουν
σημαντικές βάσεις δεδομένων ή άλλα αρχεία.
Φροντίστε μέσω της λύσης ασφαλείας σας να μπορείτε να
ελέγχετε ποιες ακριβώς εφαρμογές επιτρέπεται να τρέχουν
στα endpoints, επισφαλίζοντας με αυτό τον τρόπο ότι ακόμα
και εάν ένα ransomware καταφέρει να διεισδύσει στο
σύστημα, δεν θα μπορεί να ενεργοποιηθεί λόγω δικαιωμάτων.
Αυτός ο έλεγχος των εφαρμογών, υποστηρίζεται από
το περιβάλλον GravityZone της Bitdefender.
Να είστε πάντα καχύποπτοι σε ανεπιθύμητα ή άγνωστης
προέλευσης μηνύματα, ιστοσελίδες και επισυναπτόμενα
αρχεία, ειδικά αν δεν περιμένετε κάποιο μήνυμα από τον
συγκεκριμένο αποστολέα ή αν η διατύπωση τους φαίνεται
εκτός των συνηθισμένων.
Κρατήστε τον υπολογιστή σας ενημερωμένο με τις τελευταίες
ενημερώσεις ασφαλείας (πχ windows, java, flash
updates κι άλλα), καθώς τα ransomware χρησιμοποιούν
συχνά τα κενά ασφαλείας για να εισβάλλουν στο σύστημα.
Εγκαταστήστε ad-blocker διαφημίσεων καθώς οι επιθέσεις
ransomware συχνά ξεκινούν από μολυσμένες διαφημίσεις,
Εγκαταστήστε ένα πρόγραμμα ασφαλείας για τον υπολογιστή
και το Smartphone σας, βεβαιωθείτε ότι έχετε ενεργοποιήσει
όλες τις δυνατότητές του και ότι είναι διαρκώς ενημερωμένο.
Φροντίστε η λύση ασφαλείας σας να χρησιμοποιεί
τεχνικές νέας γενιάς όπως το machine learning, advanced
anti-exploit techniques και έλεγχο των processes του λειτουργικού
για την πρόληψη ύποπτων ενεργειών. Αυτές είναι
μερικές μόνο από τις τεχνικές που παρέχονται στη λύση
GravityZone της Bitdefender.
Μην ενεργοποιείτε macros σε αρχεία Microsoft Office που
είναι συνημμένα σε μηνύματα από άγνωστους παραλήπτες,
εκτός εάν είστε απόλυτα σίγουροι ότι αυτά είναι ασφαλή.
Φροντίστε για τις απειλές ασφαλείας. Η τελευταία γραμμή της
άμυνας είστε εσείς οι ίδιοι, καθώς είστε εσείς που κάνετε
click σε ένα σύνδεσμο, επισκέπτεστε μία σελίδα στο internet
ή ανοίγετε κάποιο επισυναπτόμενο αρχείο.
Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο
215 5353030.
security
37

T5005/06/07.2017
Issue
Αύξηση του Ransomware: Πώς
η Seqrite μπορεί να βοηθήσει να
προστατεύσετε την επιχείρησή σας!
Μια επίθεση ransomware μπορεί να παραλύσει τη λειτουργία μιας επιχείρησης εάν την βρει
απροετοίμαστη. Σήμερα, το ransomware αποτελεί ίσως την πιο κακόβουλη επίθεση που καλούνται
να αντιμετωπίσουν οι επιχειρήσεις. Σε αυτού του τύπου την επίθεση, οι χάκερ κρατούν
τα δεδομένα των χρηστών σε ομηρεία και απαιτούν λύτρα για να τα απελευθερώσουν. Εάν οι
χρήστες δεν πληρώσουν τα λύτρα υπάρχει κίνδυνος να χάσουν όλα τα δεδομένα τους!
Seqrite διαθέτει τα «εργαλεία» για να προστατεύσετε
τα υπολογιστικά σας συστήματα
Η
από τις επιθέσεις ransomware οι οποίες
συνεχώς αυξάνουν σε παγκόσμιο επίπεδο.
Εκτός από την έκδοση σε τακτά χρονικά διαστήματα
updates (Signatures) και την εξέλιξη της λύσης
Behavior Detection System (BDS), η Seqrite διαθέτει
τη λειτουργία Anti-Ransomware η οποία είναι συγχρονισμένη
και συμβαδίζει με το συνεχώς εξελισσόμενο και περίπλοκο
ransomware.
1.Ανίχνευση με βάση την υπογραφή (Signature
Based Detection)
α) To Intrusion Prevention System (IPS) είναι μια τεχνολογία
πρόληψης απειλών που εξετάζει τις ροές κίνησης του
δικτύου (network traffic flows) με σκοπό την ανίχνευση
και την αποτροπή εκμετάλλευσης αδυναμιών ασφάλειας
(vulnerability exploits). Κατά την πρόσφατη εξάπλωση του
ransomware WannaCry, για παράδειγμα, το επίπεδο (layer)
Intrusion Prevention της Seqrite μπλόκαρε με επιτυχία
επιθέσεις ακριβώς τη στιγμή που ξέσπασε το γεγονός
(zero-day). Μόνο τις πρώτες ημέρες του WannaCry μπλοκαρίστηκαν
πάνω από 48.000 επιθέσεις!
β) H λειτουργία Email Scan Protection αποτελεί το πρώτο
επίπεδο (layer) προστασίας για κακόβουλα προγράμματα
συμπεριλαμβανομένων των ransomware τα οποία διαδίδονται
μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου
(emails). Tα μολυσμένα μηνύματα ηλεκτρονικού ταχυδρομείου
και τα συνημμένα τους τις περισσότερες φορές
είναι προσεκτικά επεξεργασμένα και έχουν μια ενδιαφέρουσα
και αληθοφανή περιγραφή στο subject του μηνύματος
που σκοπό έχουν να δελεάσουν τους χρήστες για
να τα ανοίξουν. Η λειτουργία Email Scan Protection της
Seqrite κατάφερε να αποκλείσει με επιτυχία ένα υψηλό
ποσοστό ransomware και παρέχει προστασία zero day.
γ) Τέλος, μέσω της λειτουργίας Virus Protection παρέχεται,
σε πραγματικό χρόνο, προστασία και άμυνα από ιούς,
ώστε τα συστήματα να είναι ασφαλή από πιθανές απειλές.
2. Ανίχνευση με βάση τη Συμπεριφορά (Behavior
Based Detection - BDS)
38 security

PartnerNET
www.partnernet.gr
Η BDS είναι μια δυναμική και εξελιγμένη προληπτική μέθοδος
που βοηθά στην εξάλειψη νέων καθώς και άγνωστων
κακόβουλων απειλών στο σύστημα.
Η Seqrite μέσω της τεχνολογίας Advanced DNA Scan
παρέχει zero-day προστασία ενώ παράλληλα δίνει τη δυνατότητα
παρακολούθησης της δραστηριότητας του συστήματος
και ανάληψης άμεσης δράσης στην περίπτωση που
διαπιστωθεί κάποια ύποπτη δραστηριότητα, αναστέλλοντας
την εκτέλεση οποιασδήποτε περαιτέρω ενέργειας.
3.Λειτουργία Anti-Ransomware (Anti-Ransomware
Feature)
Η λειτουργία Anti-Ransomware αποτελεί μια πιο στοχευμένη
λύση ειδικά σχεδιασμένη για την ανίχνευση /
αποκλεισμό των ransomware. Σε μηνιαία βάση ανιχνεύει
και εμποδίζει, με επιτυχία, εκατοντάδες ransomware σε
επιχειρήσεις. Συγκεκριμένα, κατά μέσο όρο, 1 εκατομμύριο
ransomware (ανά μήνα) εντοπίστηκαν επιτυχώς και εμποδίστηκαν
από την Quick Heal / Seqrite μόνο μέσα στο
2017 (Ιανουάριος – Ιούνιος) .
κρίσιμα αρχεία σας θα είναι προσβάσιμα σε περίπτωση επίθεσης
ransomware η λειτουργία Backup και Restore της
Seqrite αποτελεί τη λύση. Μέσω της λειτουργίας Back-Up
και Restore η Seqrite κατάφερε να ανακτήσει με επιτυχία
3,5 TB δεδομένα πελατών της!
Το Ransomware Protection είναι ΜΟΝΟ ένα από τα
πολλά features που ενσωματώνονται στην σειρά EPS
(Endpoint Security) της Seqrite βοηθώντας τις επιχειρήσεις
να απλοποιήσουν το ΙΤ security και να μεγιστοποιήσουν
τις επιχειρηματικές τους επιδόσεις!
Για να μάθετε περισσότερα για τις λύσεις της Seqrite και
για να σας βοηθήσουμε να προστατεύσετε την επιχείρηση
από το ransomware καλέστε την PartnerNET στο 210
7100000.
4.Screen Locker Protection
Η λειτουργία Screen Locker Protection βοηθά στην
εξουδετέρωση του κακόβουλου λογισμικού / ransomware
που έχει κλειδώσει ειδικά την οθόνη του υπολογιστή σας
και σας εμποδίζει να έχετε πρόσβαση σε αυτόν. Σε περίπτωση
που ο υπολογιστής σας μολυνθεί από αυτόν τον τύπο
κακόβουλου λογισμικού, μπορείτε πολύ εύκολα, πατώντας
Alt + Ctrl + Shift + A, να απενεργοποιήσετε το κακόβουλο
λογισμικό και στη συνέχεια να αποκτήσετε ξανά πρόσβαση
στον υπολογιστή σας.
5.Δημιουργία αντιγράφων ασφαλείας και ανάκτηση
δεδομένων (Back-Up και Restore)
Τέλος, στην περίπτωση που ανησυχείτε για τον εάν υπάρχουν
αντίγραφα ασφαλείας για τα δεδομένα σας και εάν τα
Σχετικά με την PartnerNET :
Η PartnerNEΤ - Value Added Solutions Distributor προϊόντων
IP τηλεπικοινωνιών, ασύρματων δικτύων και
ασφάλειας δικτύων - αντιπροσωπεύει μερικούς από τους
μεγαλύτερους κατασκευαστές ICT προϊόντων, παγκοσμίως,
προσφέροντας ολοκληρωμένες λύσεις τελευταίας
τεχνολογίας.
Βασικός στόχος της PartnerNET είναι να βοηθά τις επιχειρήσεις
να αναπτύσσονται επιλέγοντας τα κατάλληλα
προϊόντα τεχνολογίας για τους συνεργάτες της και τους
πελάτες τους. Είμαστε μοναδικά τοποθετημένοι για να
ανταποκριθούμε σε κάθε τεχνολογική ανάγκη και να παρέχουμε
ευέλικτες, εξατομικευμένες και οικονομικά προσιτές
λύσεις για τους πελάτες μας.
Οι λύσεις μας καλύπτουν όλες τις ανάγκες μικρών και
μεγάλων επιχειρήσεων καθώς και οργανισμών του ιδιωτικού
ή δημόσιου τομέα σε φυσικά, virtual και cloud
περιβάλλοντα. Παρέχουμε μια πλήρη γκάμα προϊόντων
με άμεση διαθεσιμότητα παράδοσης - next business
day delivery - αλλά και συνεχή υποστήριξη και εκπαίδευση
των συνεργατών της.
security
39

T5005/06/07.2017
Issue
Πως αντιμετωπίζεται από ένα
ασφαλιστήριο cyber insurance
το ransomware;
Τα περιστατικά Ransomware αυξάνονται διαρκώς και πέρα από τους τρόπους προστασίας των
δεδομένων θα πρέπει να λαμβάνονται σοβαρά υπόψη και οι δυνατότητες και τα οφέλη αντιμετώπισης
του φαινομένου με ένα ασφαλιστήριο cyber insurance.
o Ransomware, ως γνωστόν είναι κακόβουλο
λογισμικό που “κλειδώνει” τις λει-
Τ
τουργίες υπολογιστών και συστημάτων, ενώ
παράλληλα μπορεί να κρυπτογραφήσει δεδομένα
και αρχεία, ζητώντας “λύτρα”, σε κάποιο
κρυπτονόμισμα (πχ Bitcoins), για να ανακτηθεί ο έλεγχος του
υπολογιστή ή των συστημάτων και να χρησιμοποιηθούν ξανά
τα μολυσμένα αρχεία. Όπως έχει αποδειχθεί, είναι μια απάτη η
οποία εξελίχθηκε από εγκληματικές οργανώσεις που δραστηριοποίουνται
στο χώρο του κυβερνοεγκλήματος και επιδιώκουν
παράνομο κέρδος.
Μία επιτυχημένη επίθεση σε μια εταιρία, μπορεί ενδεχομένως
να μολύνει πολλούς υπολογιστές, προκαλώντας ζημιά
στα έσοδα της και στη φήμη της. Σε περίπτωση που
οι συμμορίες του κυβερνοεγκλήματος δουν μια επιχειρήση
να υποκύπτει σε μια κυβερνοεπίθεση και να πληρώνει τα
λύτρα, ακολουθούν και άλλες κυβερνοεπιθέσεις σε αυτήν
με στόχο να πάρουν και αυτοί το μερίδιό τους.
Τα περιστατικά αποζημιώσεων λόγω Ransomware που
διαχειρίστηκε η Ομάδα Διαχείρισης των Beazley υπερτετραπλασιάστηκαν
το 2016 με το 50% περίπου αυτών να αφορά
εταιρίες που δραστηριοποιούνται στο χώρο της υγείας.
Η εκτίμηση της εταιρίας είναι ότι και το 2017 θα διπλασιαστούν
τα περιστατικά αυτά. Οι οργανισμοί είναι ευάλωτοι
σε τέτοιου είδους επιθέσεις οι οποίες έχουν σαν αποτέλεσμα
την μη διαθεσιμότητα των συστημάτων και των αρχείων
τους, ιδιαίτερα σε περιόδους εορτών και κλεισιμάτων
τριμήνων και συνδιάζονται με την απαίτηση καταβολής λύτρων
για να γίνει εφικτή η επαναφορά των αρχείων στην
πρότερη κατάσταση.
Περιστατικά ransomware παρατηρούνται τον τελευταίο
καιρό σε ιδιώτες, ελεύθερους επαγγελματίες (λογιστές , δικηγόρους,
μηχανικούς, γιατρούς) και επιχειρήσεις (φαρμακευτικές,
εταιρίες στοιχημάτων, νοσοκομεία).
Για να κατανοήσουμε πως αντιμετωπίζεται από ένα ασφαλιστήριο
cyber insurance ένα περιστατικό ransomware
ας δούμε το παρακάτω σενάριο.
Ένας εργαζόμενος μιας επιχείρησης παροχής συμβουλευτικών
υπηρεσιών έκανε κλικ σε ένα μολυσμένο Link που
περιείχε ένα email που έλαβε και ένα malware κατέβηκε
στον εταιρικό server. Το Malware κρυπτογράφησε όλα τα
αρχεία που περιείχε ο server.
Ένα μήνυμα εμφανίστηκε στον υπολογιστή του εργαζομένου
ζητώντας την πληρωμή 7 Bitcoin (€ 10.900) στις επόμενες
24 ώρες για να παραλάβει το κλειδί αποκρυπτογράφησης των
αρχείων. Το συμβάν αυτό αποτελεί ένα Περιστατικό Παραβίασης
Ασφάλειας Εταιρικού Δικτύου. Η επιχείρηση
επικοινώνησε με την ασφαλιστική της εταιρία για να την ενημερώσει
για το συμβάν και να ζητήσει βοήθεια για την διαχείρισή
του. Ο Incident Response Manager που ανέλαβε την
διαχείριση του συμβάντος επικοινώνησε με τους Forensic
Investigators της ασφαλιστικής εταιρίας για να διερευνήσουν
τις συνθήκες του περιστατικού και να γνωμοδοτήσουν αν η
εταιρία μπορεί να αποφύγει την πληρωμή λύτρων.
40 security

Νίκος Γεωργόπουλος
Cyber Privacy Risks Insurance AdvisorCromar Coverholder at Lloyd’s
Email: Nikos.georgopoulos@cromar.gr, www.cyberinsurancequote.gr
Πιθανές Οικονομικές Επιπτώσεις - Καλύψεις Ασφαλιστηρίου που ενεργοποιούνται
Cyber Extortion – Κυβερνοεκβιασμός
Κόστη τα οποία σχετίζονται με την αντιμετώπιση του κακόβουλου λογισμικού και την επαναφορά των
αρχείων σε περίπτωση μη καταβολής του ποσού των λύτρων
●
Αμοιβή Συμβούλου Πληροφορικής ο οποίος θα διερευνήσει την δυνατότητα επαναφοράς των
μολυσμένων από το κακόβουλο λογισμικό αρχείων από το back up που διατηρεί ο ασφαλισμένος
€15.000
Incident Response Expenses – ‘Εξοδα ανταπόκρισης Περιστατικού Παραβίασης
● Αμοιβές ειδικών διερεύνησης εγκλημάτων που σχετιζονται με την παραβίαση πληροφοριακών
συστημάτων ( Forensics Investigators) για τον εντοπισμό του κακόβουλου λογισμικού, την ανάλυση
των επιπτώσεων του συμβάντος, τον περιορισμό τους και την εκτίμηση του κόστους του συμβάντος
● Αμοιβή Εξειδικευμένου Νομικού Συμβούλου
● Αμοιβή Incident Response Manager
Data Asset Loss
Κόστη επαναφοράς / αντικατάστασης κατεστραμένων αρχείων από το κακόβουλο λογισμικό.
Συνολικό Κόστος Διαχείρισης Συμβάντος
€21.000
€8.500
€7.200
€18.000
€69.750
Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών
Δεδομένων για αυτά τα συμβάντα;
Σε περίπτωση περιστατικών κυβερνοεκβιασμού πρέπει να
ενημερώνονται οι αρμόδιες αρχές σύμφωνα με το νέο Κανονισμό
Προστασίας Προσωπικών Δεδεμένων (GDPR), γιατί
το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταιρικού
δικτύου και δείχνει ανεπάρκεια των υφιστάμενων διαδικασιών
της εταιρίας κατι το οποίο μπορεί να οδηγήσει και σε
περιστατικά διαρροής προσωπικών δεδομένων.
Τι πρέπει να θυμόμαστε
Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι
μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική
εταιρία σύμφωνα με τους όρους του ασφαλιστηρίου, οι
αστυνομικές αρχές (FBI , Europol) συνιστούν να μην πληρώνονται
τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού. Η
καταβολή των λύτρων αυξάνει την εγκληματικότητα και
δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρίας
και την μη ύπαρξη back up. Επίσης δεν διασφαλίζει ότι
μπορεί να γίνει η επαναφορά των αρχείων που έχουν κρυπτογραφηθεί
ούτε ότι η εταιρία δεν θα ξαναγίνει στόχος σε
σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων
θα πρέπει να φυλάσσονται σε ασφάλες μέρος. Η ασφαλιστική
εταιρία αν χρειασθεί θα πληρώσει το ποσό των λύτρων
σε Bitcoin θα είναι όμως η τελευταία επιλογή της.
Cyber Secure Solution
Η αγορά των Lloyd’s παρέχει τις κατάλληλες ασφαλιστικές λύσεις,
για να αντιμετωπίσουν καιι να διαχειρισθούν οι εταιρίες
τέτοιου είδους περιστατικά. H Cromar coverholder at Lloyd’s
δημιούργησε την λύση αντιμετώπισης περιστατικών Cyber
Secure Solution σε συνεργασία με το μεγαλύτερο συνδικάτο
της αγοράς στον τομέα αυτό τους Beazley με ετήσια παραγωγή
ασφαλίστρων στον συγκεκριμένο τομέα άνω των $400εκ
και μεγάλη εμπειρία στην διαχείριση περιστατικών (η ομάδα
της έχει διαχειρισθεί πάνω από 5.000 περιστατικά). Μεγάλο
ρόλο στην αντιμετώπιση τέτοιων περιστατικών παίζει η εκπαίδευση
του ανθρώπινου δυναμικού μια εταιρίας, για το λόγο
αυτό δημιουργήσαμε την καινοτόμα εκπαιδευτική μηχανή
www.cyberinsurancequote.gr η οποία βραβεύθηκε από
την αγορά των Lloyd’s στον ετήσιο διαγωνισμό Lloyd’s Market
Innovation Awards.
security
41

T5005/06/07.2017
Issue
ObserveIT: Αναγνώριση και
Αντιμετώπιση της εσωτερικής απειλής
Τα συμπεράσματα από την ανάλυση των περιστατικών ασφάλειας των τελευταίων 10 ετών καταδεικνύουν
την αντικειμενική πραγματικότητα.
το 90% των περιστατικών ασφάλειας υπάρχει
εμπλοκή ανθρώπινου παράγοντα με το
Σ
55% αυτών να προέρχονται εκ των έσω. Στο
76% των περιπτώσεων διαρροών εμπλέκεται
λογαριασμός εσωτερικού χρήστη με
πρόσβαση σε ευαίσθητες πληροφορίες. Ως αποτέλεσμα του
πλήθος των συμβάντων και των επιπτώσεων τους, οι επιχειρήσεις
πλέον συνειδητοποιούν την ανάγκη για προηγμένο
έλεγχο και επίβλεψη της δραστηριότητας εσωτερικών
και εξωτερικών χρηστών και επιπρόσθετα με την
έλευση του GDPR καθίσταται σχεδόν υποχρεωτική. Η λύση
έγκειται στον έλεγχο και την ανάλυση της δραστηριότητας
των χρηστών στο δίκτυο της επιχείρησης. Χαρτογραφώντας
τα είδη των χρηστών μπορούμε να τους διαχωρίσουμε σε
3 κατηγορίες:
1. Business Users: η κατηγορία με τους περισσότερους
χρήστες σε μια επιχείρηση. Είναι οι απλοί εταιρικοί
χρήστες με κάποιου είδους πρόσβαση σε πληροφορίες.
Όσο ψηλότερα ιεραρχικά βρίσκεται ο χρήστης, τόσο μεγαλύτερη
η πρόσβασή του σε ευαίσθητες πληροφορίες.
Σε έρευνα της Verizon, στο 84% των εκ των έσω διαρροών
εμπλέκεται εταιρικός λογαριασμός χρήστη.
2. Privileged Users: Είναι ο μικρότερος αριθμός χρηστών
με τα περισσότερα όμως δικαιώματα πρόσβασης
στα δεδομένα και τυχόν λάθος τους έχει πολύ μεγάλες
επιπτώσεις. Σε έρευνα της ibid το 62% των διαρροών
από administrators οφείλεται σε ανθρώπινο λάθος.
3. 3 rd party contractors/εξωτερικοί χρήστες: οι οποίοι
αποκτούν πρόσβαση στο εσωτερικό μας δίκτυο. Όσο
επαρκή και να θεωρούμε τα μέτρα ασφάλειας του δικτύου
μας δεν μπορούμε να έχουμε εικόνα του δικτύου των
εξωτερικών χρηστών. Τα τελευταία έτη έχει παρατηρηθεί
κατακόρυφη αύξηση των περιστατικών και των επιπτώσεων
διαρροών με συμμετοχή εξωτερικών χρηστών.
Η λύση της ObserveIT αντιμετωπίζει την εσωτερική απειλή
δίνοντας τον απόλυτο έλεγχο και την πλήρη εικόνα της
εσωτερικής δραστηριότητας, εντοπίζοντας και προστατεύοντας
προληπτικά από κακόβουλη ή αμελή συμπεριφορά
χρηστών. Εφαρμόζει πολιτικές καταγράφει, κατηγοριοποιεί,
αποθηκεύει και αναλύει την πραγματική δραστηριότητα
των χρηστών στα υπό παρακολούθηση συστήματα.
Περισσότερες από 180 προ-εγκατεστημένες και έτοιμες
προς εφαρμογή πολιτικές δημιουργούν, άμεσα με την
εγκατάσταση του ObserveIT, ένα πλαίσιο δραστηριοτήτων
των χρηστών. Μπορούν να παραμετροποιηθούν προσαρμόζοντας
το επίπεδο επικινδυνότητας και την ενέργεια αποτροπής
για κάθε χρήστη ή ομάδα χρηστών ξεχωριστά και
να αποστέλλουν alert emails. Σε περίπτωση παραβίασης
ενός κανόνα οι επιλογές ενέργειας είναι οι κάτωθι :
● Προειδοποιητικό μήνυμα, το οποίο μπορεί να χρησιμοποιηθεί
και για σκοπούς επιμόρφωσης των χρηστών
(awareness)
● Μήνυμα και αποτροπή ενέργειας,
● Υποχρεωτική αποσύνδεσητου χρήστη,
● Κλείσιμο εφαρμογής χρήστη
Βάση των παραπάνω επιλογών γίνεται και η ανάλυση της
συμπεριφοράς των χρηστών. Αναλόγως του επιπέδου επικινδυνότητας
εκάστοτε ενέργειας, αποδίδεται στον χρήστη
συγκεκριμένη βαθμονόμηση που σχετίζεται με κανόνες
ελέγχου και προστίθεται στην συνολική αξιολόγηση κινδύνου
του χρήστη. Το ObserveIT αναλύει και παρουσιάζει συγκεντρωτικά
σε μία πλατφόρμα (User Risk Dashboard & User
Activity Profile) τα στοιχεία που αφορούν την δραστηριότητα
και την τάση των χρηστών υπολογίζοντας τον βαθμό ρίσκου
για κάθε έναν, εντοπίζοντας τις αλλαγές και τις τάσεις σε συ-
42 security

Αντρέας Τσιόκανος
Pre-Sales Product Specialist, BESECURE
www.besecure.gr
μπεριφορές. Σε περίπτωση που χρήστης χρησιμοποιεί γενικό
λογαριασμό με αυξημένα δικαιώματα (π.χ administrator) το
ObserveIT μπορεί να παρεμβαίνει μη επιτρέποντας στον χρήστη
την πρόσβαση αν δεν εισάγει επιπλέον τα διαπιστευτήρια
του προσωπικού του Active Directory λογαριασμού. Μπορεί
επίσης να συνεργαστεί και με Ticketing System επιτρέποντας
την πρόσβαση σε ορισμένη ομάδα χρηστών (π.χ remote
vendors) αφού έχουν πρωτύτερα λάβει αριθμό ticket ο οποίος
ελέγχεται για την εγκυρότητα του κατά την σύνδεση τους
σε υπο έλεγχο συστήματα.
H λεπτομερής καταγραφή δραστηριότητας του χρήστη επιτυγχάνεται
με τη χρησιμοποίηση μέτα-δεδομένων (δεδομένα
για τίτλους παραθύρων, αρχείων, φακέλων, όνομα
χρήστη, συστήματος, ώρα, ημ/νία, χρήση εφαρμογών, κλπ)
και της τεχνολογίας advanced key logging, η οποία όταν
ενεργοποιείται καταγράφει πλήρως τα δεδομένα εισαγωγής
ακόμη και κακόβουλες εντολές οι οποίες μπορεί να
είναι εμφωλευμένες και μέρος ενός εκτελέσιμου. Τα χαρακτηριστικά
αυτά συμβάλλουν στην άμεση και λεπτομερή
κατηγοριοποίηση και ακολούθως την εύκολη και τάχιστη
εύρεση ενός περιστατικού, με δυνατότητα αναζήτησης
βάση λέξεως κλειδιού η οποία μπορεί να αφορά, αρχείο ή
φάκελο, χρήση εφαρμογής, ticket number, τίτλο παραθύρου,
URL, εντολή ή πληκτρολόγηση παρόμοιας λέξης και
αμέσως γίνεται παρουσίαση όλων των αποτελεσμάτων.
Υπάρχει μια ευρεία γκάμα από έτοιμα reports τα οποία
μπορούν να προσαρμοστούν στις εκάστοτε ανάγκες των διαχειριστών
με δυνατότητα αυτοματοποιημένης αποστολής
μέσω email. Βρίσκοντας την απαιτούμενη δραστηριότητα ή
ενέργεια μπορεί να αναπαραχθεί σε βίντεο δίνοντας
άμεσα την πλήρη εικόνα.
Ιδιωτικότητα
Το ObserveIT διαχειρίζεται ευαίσθητες πληροφορίες και ταυτόχρονα
σέβεται τους κανόνες και νόμους ιδιωτικότητας. Όλα
τα δεδομένα κρυπτογραφούνται εξαρχής και σε περίπτωση
προσπάθειας αλλαγής/πρόσβασης στη ΒΔ γίνεται άμεση
ενημέρωση των υπευθύνων. Η πρόσβαση διαχειριστών είναι
διαβαθμισμένη. Δυνατότητα εφαρμογής πλήρους ανωνυμίας
χρηστών με αποκάλυψη και αναπαραγωγή του video μόνο
κατόπιν έγκρισης υπευθύνων (4 Eyes Principle). Δυνατότητα
ενημέρωσης του χρήστη ότι οι ενέργειες του καταγράφονται
με μήνυμα το οποίο βρίσκεται συνεχώς στην οθόνη. Επιπρόσθετα
το ObserveIT μπορεί να μην καταγράφει εφαρμογές που
δεν είναι αναγκαίο ή τίθεται θέμα ιδιωτικότητας όπως οι εφαρμογές
ηλεκτρονικής αλληλογραφίας.
Το ObserveIT είναι η λύση η οποία προσφέρει τον απόλυτο
έλεγχο και ολοκληρωμένη εικόνα στην εσωτερική δραστηριότητα
της επιχείρησης βοηθώντας στην συμμόρφωση
κανονιστικών πλαισίων ασφάλειας (ISO 27001, GDPR, PCI,
κ.α) με προηγμένες δυνατότητες και συνεχή εξέλιξη. Είναι το
εργαλείο το οποίο αποτρέπει αλλά και δίνει άμεση εικόνα σε
επικίνδυνα περιστατικά εκμηδενίζοντας τον χρόνο αντίδρασης
από ώρες/ημέρες σε δευτερόλεπτα.
H Besecure E.E είναι επίσημος αντιπρόσωπος της λύσης
ObserveIT σε Ελλάδα-Κύπρο. Για περισσότερες πληροφορίες
και διευκρινίσεις μπορείτε να επικοινωνείτε στα παρακάτω:
Στοιχεία επικοινωνίας Ελλάδος: Τηλ.: +30 210 3307440 -
Στοιχεία επικοινωνίας Κύπρου: τηλ.: +357 250 29 300, +357
222 62 400, Email: observeit@besecure.gr
Μια εικόνα, 1000 logs
Η αναπαραγωγή τύπου video playback δίνει την
δυνατότητα άμεσης και ολοκληρωμένης ανάλυσης
ενός γεγονότος ώστε να καθοριστούν οι
επόμενες ενέργειες. Η καταγραφή είναι μια σειρά
από snapshots σε κάθε ενέργεια χρήστη. Αν ο
χρήστης δεν κάνει καμία ενέργεια δεν καταγράφεται
τίποτα. Ο μέσος όρος δεδομένων καταγραφής
είναι περί τα 12 ΜΒ ανά ώρα εργασίας. Tο
ObserveIT καινοτομεί και στην περίπτωση των
logs καθώς δημιουργεί ευανάγνωστα logs της
δραστηριότητα των χρηστών και συνεργάζεται
με όλες τις λύσεις SIEM δίνοντας την δυνατότητα
επεξεργασίας logs τα οποία δεν υπήρχαν πριν
την εγκατάσταση του.
security
43

T5005/06/07.2017
Issue
NIS - Η νέα οδηγία για την
κυβερνοασφάλεια
Μπορεί τα φώτα της δημοσιότητας να έχει πέσει στο GDPR, όμως εξίσου πολύ σημαντική είναι
και η οδηγία NIS (Network and Information Systems) που θα αρχίσει να εφαρμόζεται τον Μάιο
του 2018 και στοχεύει στην υιοθέτηση μέτρων από όλα τα κράτη μέλη της E.E για ένα υψηλό
κοινό επίπεδο ασφάλειας συστημάτων δικτύου
Τελευταία, όλοι ασχολούνται με τον νέο Γενικό
Κανονισμό για την Προστασία Δεδομένων,
Π
γνωστό ως GDPR (General Data Protection
Regulation) 1 ο οποίος τίθεται σε εφαρμογή
στις 25 Μαΐου του 2018. Ωστόσο, την ίδια
εποχή -συγκεκριμένα έως τις 9 Μαΐου 2018 - θα πρέπει τα
κράτη μέλη να έχουν θεσπίσει τις αναγκαίες νομοθετικές, κανονιστικές
και διοικητικές διατάξεις για να συμμορφωθούν με
ένα άλλο κρίσιμο νομοθέτημα της ΕΕ, την οδηγία για την
ασφάλεια των πληροφοριακών συστημάτων, γνωστή ως
οδηγία NIS, η οποία δεν έχει λάβει την ίδια δημοσιότητα με
τον κανονισμό GDPR αλλά έχει σημαντικές συνέπειες τόσο
για τους φορείς που δραστηριοποιούνται στον τομέα των
κρίσιμων υποδομών όσο και για τις επιχειρήσεις παροχής
ψηφιακών υπηρεσιών σε ό,τι αφορά στην προστασία
και στη διαχείριση των κυβερνοεπιθέσεων.
Συγκεκριμένα, η Οδηγία 2016/1148/ΕΕ σχετικά με μέτρα
για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου
και πληροφοριών σε ολόκληρη την Ένωση - καλούμενη και
ως οδηγία NIS από τα αρχικά του αγγλικού όρου Network
1 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της
επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ)
44 security

Ευαγγελία Βαγενά
Δικηγόρος, ΔΝ, DEA Droit et Informatique, CIPP/E
Αντιπρόεδρος Hellenic Association of Data Protection & Privacy
and Information Systems - στοχεύει στην υιοθέτηση μέτρων
από όλα τα κράτη μέλη για ένα υψηλό κοινό επίπεδο ασφάλειας
συστημάτων δικτύου και πληροφοριών σε όλη την ΕΕ.
Η προθεσμία ενσωμάτωσής της λήγει στις 9.5.2018 και τα
μέτρα που προβλέπει θα πρέπει να τεθούν σε εφαρμογή από
τις 10.5.2018. Βάσει της οδηγίας θα πρέπει τα κράτη-μέλη
βάσει κριτηρίων, να ορίσουν καταρχήν ποιες επιχειρήσεις
παρέχουν βασικές ή ζωτικής σημασίας υπηρεσίες σε τομείς
ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία
και οι χρηματοπιστωτικές υπηρεσίες. Οι επιχειρήσεις αυτές
καλούμενες και ως φορείς εκμετάλλευσης βασικών υπηρεσιών/
Operators of Essential Services (OES) θα πρέπει
να λάβουν τα κατάλληλα και αναλογικά τεχνικά και οργανωτικά
μέτρα για τη διαχείριση των κινδύνων, τηναποτροπή και
την ελαχιστοποίηση του αντίκτυπου συμβάντων και να κοινοποιούν
χωρίς αδικαιολόγητη καθυστέρηση στην αρμόδια
αρχή ή στην CSIRT συμβάντα με σοβαρό αντίκτυπο στη συνέχεια
των βασικών υπηρεσιών που παρέχουν. Η σοβαρότητα
των συμβάντων κρίνεται: α) από τον αριθμό των χρηστών
που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας,
β) η διάρκεια του συμβάντος και γ) το γεωγραφικό εύρος
της περιοχής που επηρεάζεται από το συμβάν.
Η οδηγία επίσης επιβάλει στους παρόχους ψηφιακών υπηρεσιών/
Digital Service Providers (DSPs) στους οποίους περιλαμβάνονται
τα ηλεκτρονικά καταστήματα, οι μηχανές αναζήτησης
και οι υπηρεσίες νεφοϋπολογιστικής (cloud computing),
να προσδιορίσουν και να λάβουν κατάλληλα και αναλογικά
τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων
και την αποτροπή και την ελαχιστοποίηση του αντίκτυπου
συμβάντων που επηρεάζουν την ασφάλεια. Ταυτόχρονα, θα
πρέπει να κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς
αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό
αντίκτυπο. Και σε αυτήν την περίπτωση τα κριτήρια που θέτει
η οδηγία για τον καθορισμό της σοβαρότητας του συμβάντος
είναι: α) ο αριθμός των χρηστών που επηρεάζονται από το
συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία
για την παροχή των δικών τους υπηρεσιών, β) η διάρκεια
του συμβάντος, γ) το γεωγραφικό εύρος της περιοχής που
επηρεάζεται από το συμβάν δ) η έκταση της διατάραξης της
λειτουργίας της υπηρεσίας και ε) η έκταση του αντίκτυπου στις
οικονομικές και κοινωνικές δραστηριότητες. Όσες οντότητες
δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών
υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορούν
να κοινοποιούν σε εθελούσια βάση συμβάντα με σοβαρό
αντίκτυπο στη συνέχεια των υπηρεσιών που παρέχουν.
Τα ανωτέρω αποφασίστηκαν λόγω «έλλειψης επαρκούς
καταγραφής», καθώς τα περιστατικά που γνωστοποιούνται
ή για τα οποία ενημερώνονται οι αρχές είναι πολύ
λιγότερα από το πλήθος των κυβερνοεγκλημάτων που
πραγματοποιούνται. Είναι γνωστό ότι έως σήμερα οι εταιρίες
συνήθως που δέχονται επιθέσεις, προτιμούν να μη
δώσουν στοιχεία και λεπτομέρειες καθώς φοβούνται ότι θα
πλήξουν τη δημόσια εικόνα τους, τη φήμη, την αξιοπιστία
και την εμπιστοσύνη των πελατών τους.
Η οδηγία επιβάλει επίσης ιδιαίτερες υποχρεώσεις στα
κράτη μέλη. Τα κράτη θα πρέπει καταρχήν να καταστρώσουν
μια εθνική στρατηγική για την ασφάλεια των
συστημάτων δικτύου και πληροφοριών και να ορίσουν
ένα εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των
συστημάτων δικτύου και πληροφοριών («ενιαίο κέντρο επαφής»).
Στο πλαίσιο της οδηγίας προβλέπεται επίσης η ίδρυση
ενός δικτύου-national CSIRTs (Computer Security
Incident Response Teams), γνωστών επίσης ως «ομάδων
αντιμετώπισης έκτακτων αναγκών στην πληροφορική» 2 και
η σύσταση και λειτουργία μιας «Ομάδας Συνεργασίας»/
Cooperation Group αποτελούμενη από εκπροσώπους των
κρατών μελών, της Επιτροπής, του ENISA 3 γιατην υποστήριξη
και διευκόλυνση της στρατηγικής συνεργασίας καθώς και
της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος
αξιοπιστίας και εμπιστοσύνης.
Υπενθυμίζεται ότι μόλις πριν ένα χρόνο, στη χώρα μας εκσυγχρονίσθηκε
το εθνικό νομοθετικό πλαίσιο για το κυβερνοέγκλημα,
μετά από πολλά έτη επεξεργασίας του σχετικού
2 Υπάρχει ήδη σε επίπεδο ΕΕ το CSIRT Network, που προάγει την επιχειρησιακή συνεργασία σε περίπτωση συμβάντων κυβερνοασφάλειας. Λειτουργεί ακόμα στο πλαίσιο
της πολιτικής ΕΕ για την κυβερνοασφάλεια από τον Ιούνιο του 2013 μια πλατφόρμα ανταλλαγής τεχνογνωσίας για την ασφάλεια των πληροφοριακών συστημάτων
με διαθέσιμα δημόσια έγγραφα στην ακόλουθη διεύθυνση, https://resilience.enisa.europa.eu/nis-platform/shared-documents(διαθέσιμη στις 13.09.2016).
3 The European Network and Information Security Agency (ENISA) εδρεύει στην Ελλάδα και επικεντρώνεται στην ενίσχυση της συνεργασίας για την αντιμετώπιση
απειλών και περιστατικών προσβολής της ασφάλειας των πληροφοριών και την ανταλλαγή καλών πρακτικών μεταξύ των κρατών
security
45

T5005/06/07.2017
Issue
νομοθετήματος. Συγκεκριμένα στις 3.8.2016 ψηφίσθηκε
ο ν.4411/2016 με τίτλο «Κύρωση της Σύμβασης του Συμβουλίου
της Ευρώπης για το έγκλημα στον Κυβερνοχώρο
και του Προσθέτου Πρωτοκόλλου της, σχετικά με την ποινικοποίηση
πράξεων ρατσιστικής και ξενοφοβικής φύσης,
που διαπράττονται μέσω Συστημάτων Υπολογιστών - Μεταφορά
στο ελληνικό δίκαιο της Οδηγίας 2013/40/ΕΕ του
Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις
επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση
της απόφασης – πλαισίου 2005/222/ΔΕΥ του Συμβουλίου,
ρυθμίσεις σωφρονιστικής και αντεγκληματικής
πολιτικής και άλλες διατάξεις».
Δεν υπάρχει ωστόσο επίσημη εθνική στρατηγική για την
κυβερνοασφάλεια, ενώ υπάρχουν πολλοί διαφορετικοί δημόσιοι
αλλά και ιδιωτικοί φορείς που ασχολούνται θεσμικά
στο πλαίσιο των αρμοδιοτήτων τους με την αντιμετώπιση του
κυβερνοεγκλήματος.
Σε αυτούς περιλαμβάνονται, για παράδειγμα, από πλευράς
Υπουργείου αρμόδιου για την Εθνική Άμυνα η Διεύθυνση
Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Άμυνας
(ΓΕΕΘΑ) αλλά και το ΓΕΕΘΑ ως αρμόδιο για την έκδοση
του Εθνικού Κανονισμού Ασφάλειας 4 , σχετικά με τις πολιτικές
ασφαλείας και τα ειδικά σχέδια που εφαρμόζονται
από τα υπουργεία, τις δημόσιες υπηρεσίες και τα Ν.Π.Δ.Δ.
που κατέχουν διαβαθμισμένο υλικό. Η Εθνική Υπηρεσία
Πληροφοριών (ΕΥΠ), σύμφωνα με το ν. 39/2008 είναι
υπεύθυνη για το εθνικό CERT (Computer Emergency and
Response Team) και αποτελεί την Εθνική Αρχή Αντιμετώπισης
Ηλεκτρονικών Επιθέσεων 5 . Ταυτόχρονα, αποτελεί
Αρχή Ασφάλειας Πληροφοριών (INFOSEC) και φροντίζει
για την ασφάλεια των επικοινωνιών και συστημά-
των πληροφοριών σε εθνικό επίπεδο, καθώς και για την
πιστοποίηση του διαβαθμισμένου (απόρρητου) υλικού των
εθνικών επικοινωνιών 6 . Η Διεύθυνση Δίωξης Ηλεκτρονικού
Εγκλήματος με έδρα την Αθήνα, έχει ως αποστολή
την πρόληψη, έρευνα και καταστολή των εγκλημάτων ή
αντικοινωνικών συμπεριφορών, που διαπράττονται μέσω
του διαδικτύου ή άλλων μέσων ηλεκτρονικής επικοινωνίας.
Είναι αυτοτελής υπηρεσία που υπάγεται απευθείας στον
Αρχηγό της ΕΛΑΣ. Βάσει του νέου για το κυβερνοέγκλημα
(α.5) ορίζεται ως το σημείο επαφής για την εκπλήρωση
των σκοπών του άρθρου 35 της Σύµβασης («Δίκτυο 24/7»).
Στο πλαίσιο του Υπουργείο Εσωτερικών η Διεύθυνση Πολιτικού
Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ), καταρτίζει τα
σχέδια εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας
ΔΔ και Ηλεκτρονικής Διακυβέρνησης. Υπάρχει επίσης
το “Κέντρο Μελετών Ασφαλείας(ΚΕΜΕΑ) 7 που υπάγεται
στο Υπουργείο Εσωτερικών & Διοικητικής Ανασυγκρότησης
και αποτελεί ιδρυτικό μέλος του “Ευρωπαϊκού Οργανισμού
Ασφαλείας” στο Βέλγιο 8 .
Όσοι ασχολούνται με την κυβερνοασφάλεια συμφωνούν
ωστόσο ότι η πρόληψη είναι ο πιο αποφασιστικός παράγοντας
για την μείωση της τέλεσης των κυβερνοεπιθέσεων και
των κυβερνοεγκλημάτων αυτού του είδους. Όσα χρήματα
και αν ξοδέψει κανείς για να προστατευτεί για παράδειγμα
από μια διαδικτυακή επίθεση, ο πιο αδύναμος κρίκος παραμένει
ο ανθρώπινος παράγοντας καθώς έχει αποδειχθεί ότι
μέσω της αποκαλούμενης «κοινωνικής μηχανικής» τελικά
η εξαπάτηση, η άγνοια ή η ευήθεια κάποιου ανθρώπου σε
θέση κλειδί είναι που θα ανοίξει την«κερκόπορτα» για την
διάπραξη ενός ηλεκτρονικού εγκλήματος ή/και την επίθεση
σε ένα πληροφοριακό σύστημα 9 . Η πρόληψη είναι προτιμότερη
της καταστολής του εγκλήματος και στο πλαίσιο αυτό
η δράση φορέων ενημέρωσης και ευαισθητοποίησης για τις
δυνατότητες και τις συνέπειες των κυβερνοπεπιθέσεων θα
είναι καθοριστική. Η χώρα μας έχει το ανθρώπινο δυναμικό
και την τεχνογνωσία να ανταποκρίνεται εγκαίρως στις προκλήσεις
της αντιμετώπισης των κυβερνοεπιθέσεων αρκεί
να υπάρχει η σχετική θεσμική βούληση και ένας κεντρικός
συντονισμός όλων των διεσπαρμένων εμπλεκόμενων φορέων,
όπως επιβάλλεται πλέον και από τις νομοθετικές και
θεσμικές εξελίξεις σε επίπεδο ΕΕ.
4 Βλ. Π.Δ. 17/1974.
5 Βλ. α. 4 παρ. 8 ν. 3649/2008.
6 Βλ. α. 2 παρ. 4 ΠΔ 325/2003.
7 Βλ. ίδρυση και λειτουργία του με ν. 3387/2005, όπως τροποποιήθηκε με α. 4 Ν. 3938/2011.
8 Βλ. European Organization for Security – EOS,http://www.eos-eu.com.(διαθέσιμη στις 13.09.2016).μελών.
9 Ο παράγοντας του ανθρώπινου λάθους άλλωστε είναι καίριος και στα συμβάντα σχετικά με την ασφάλεια πληροφοριακών συστημάτων, βλ. Annual Incident
Reports 2015, ENISA, σελ. 33.
46 security

security
47