Update opasnost i izazov

U ovom postu ću pokušati da približim čitaocima važnost procesa update sistema kao i sigurnosne izazove koji se mogu javiti u ovakvom procesu. Ovde moram napomenuti da se ovaj proces veoma razlikuje ako je u pitanju pojedinačan računar privatnog korisnika gde je dovoljno samo uključiti opciju automatski update i veliki računarskih mreža u kompanijama gde se svaki update mora prvo testirati pre nego što se pušta u produkcijsko okruženje (update management process).

Da li raditi update sistema?
Odgovor je uvek DA! Naravno postoje i posebne situacije gde ovaj odgovor nije odgovarajući ali skoro uvek je pozitivan odgovor na navedeno pitanje. Sami tim što nismo uradili update operativnog sistema i programa koje imamo instalirane na računaru ostavili smo sebe ranjivim na veliki broj propusta koji zlonamerni korisnik (haker može iskoristiti) protiv nas. Iz tog razloga ukoliko je moguće update sistema je potrebno raditi što češće i naravno potrebno je stanje sistema održati na nivou poslednjeg update koji je proizvođač izbacio.

Zero (0) day
Ako neko nije upućen u problematiku ovde želim samo da istaknem šta se zapravo podrazumeva pod pojmom zero day. Radi se o tome da je to propust koji nije poznat proizvođaču softvera i kompanijama koje se bave zaštitom. Kada se sazna za ovakav propust proizvođač odmah izbacuje peč (path) koji ispravlja uočeni nedostatak. Međutim postavlja se pitanje ko je i kada došao do saznanja da postoji zero day. Ovo je posebno važno jer postoji na dark netu veliki broj marketa gde se trguje ovakvim zero day informacijama. Neretko se dešava da su kupci i same vlade određenih zemalja ili špijunske agencije. Vrednost ovakvki informacija može da bude i do 500.000 eura ukoliko je to zero day koji se može iskoristiti na velikom broju računaru i ako su posledice preuzimanje kontrole nad računarom. U poslednje vreme je u medijima često informacija o nepoznatoj grupi Shadow Brokers koja izbacuje razne informacije o NSA špijunskim operacijama i gde je pre nedelju dana baš objavljena informacija da postoji već neko vreme poznat zero day propust koji može da se iskoristi na većini savremenih windows operativnih sistema i za koji Microsoft nije izbacio već neko vreme update upravo iz razloga šta ga NSA koristi za svoje operacije već neko vreme. Postoji mnogo špekulacija na navedenu temu kao i na temu grupe Shadow Brokers za koju mnogi smatraju da je u pitanju ne grupa hakera već insajdera koji rade za NSA i koji zbog nekih viših interesa žele da obelodane razne informacije i operacije. Ovo nije tema ovog posta pa se neću detaljnije time baviti ali uskoro možete očekivati i post sa mojim mišljenjem na ovu temu.

Kako se nekada radilo?
Nekada za vreme windowsa 2000 i drugih serverskih operativnih sistema među iskusnim administratorima je važilo pravilo da se Service Pack (SP) ne instalira na serverski sistem pre neko što se pojavi SP3 što je tada i bilo prihvatljivo ali danas to više apsolutno nije slučaj i ovakvo ponašanje bi mnoge izložilo nepotrebnim bezbednosnim rizicima.

Kako se to danas radi?
U nekim slučajevima situacija je takva da update sistema treba uraditi istog dana kada se pojavi update upravo iz razloga što takav update zatvara mogućnosti iskorišćavanja nekih zero day propusta. Danas je sasvim neprihvatljivo ne raditi update osim u posebnim uslovima kao što su računari specijalne namene do kojih je teško doći i koji su veoma specifični kao što su računari koji upravljaju SCADA sistemom gde i dan danas možemo videti veliki broj windows XP sistema za koje više ne postoji tehnička podrška. Slična stvar je i sa ATM mašinama sa kojih podižemo novac i gde u Srbiji postoji doduše sada već manji broj Windowsa XP jer se na većini ATM-ova sada postavlja Windows 7. Naravno moramo uzeti u obzir da su ovakvi računaru van interneta i da imaju specijalne konekcije tako da je do njih veoma teško doći osim da se neko fizički nakači na takav računar pa samim tim i njihova izloženost napadima je drastično smanjena.

Šta može poći po zlu?
Može se javiti problem kompatibilnosti sa određenim uređajima ili drajverima. Takođe određene aplikacije možda neće moći da se pokrenu ili neće normalno raditi posle update sistema. Ono što je Microsoft počeo da radi trenutno jeste da svakog 14-tog u mesecu izbacuje update i da tu uključuje veći broj pečeva a ne da pušta jedan po jedan. Ovakav potez je direktna posledica toga što se svaki peč testira neko vreme pre nego što se zvanično objavi. Ono što zabrinjava jeste šta ako se određeni sigurnosni problemi ne pečuju uopšte nekoliko meseci iako se zna za njih odnosno da budem precizniji ako proizvođač softvera zna za njih. Ovakav potez može izuzetno veliki broj kako privatnih tako i poslovnih korisnika ostaviti ranjivim određeni vremenski period što priznaćete nije baš dobro.

Bezbednost podataka u Cloud okruženju

Ono što je tema ovog posta jeste odgovor na pitanje koje često dobijam od klijenata a to je dilema da li smem da svoje podatke čuvam u Cloud okruženju i koliko je to bezbedno odnosno koji su rizici takve akcije. Pokušaću da ukratko objasnim par stvari vezano za samo funkcionisanje Cloud-a kao i za bezbednosne rizike koji se pojavljuju u ovakvom okruženju. Pa da krenemo redom.

Prva stvar koja je definitivno istina jeste da je Cloud computing iz korena promenio način na koji danas funkcioniše IT. Prednost ovakvog pristupa je ogromna jer su Vaši podaci dostupni gde god da se nalazite i možete im pristupati sa svih vrsta uređaja bez obzira na to koji operativni sistem imaju (mobilni telefoni, tableti, laptopovi...). Ovo je veoma pozitivna stvar vezana za prednosti korišćenja ove tehnologije jer jedan od efekata svakako jeste mogućnost velike uštede na IT troškovima kompanije jer se neko drugi brine o Vasim podacima a i korisnici mogu sa jeftnijih uređaja da koriste resurse (ne moraju svi da imaju jake računare sa snažnim procesorima i dosta RAM memorije). Međutim potrebno je znati da postoje tri osnovna modela servisa u svakom cloud okruženju i svaki od navedenih modela ima različit uticaj na bezbednost u cloud‑u i nijedna mera bezbednosti nije univerzalno primenjiva na sva tri modela. Postoje sledeći modeli:
Infrastruktura kao servis (IaaS)
Platforma kao servis (PaaS)
Softver kao servis (SaaS)
Pošto tema ovog posta nije da predstavi detaljno tipove Cloud usluga ovde se neću baviti objašnjavanjem svakog od njih pojedinačno ali želim da naglasim da svaki od njih ima svoje bezbednosne rizike koji nisu univerzalni.

Da li i koliko kontrolišete svoje podatke ako ih outsource‑ujete?
Cloud provajderi uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visokokvalifikovano IT osoblje, što mala i srednja preduzeća u Srbiji sebi teško mogu da priušte na tom nivou. Ovde treba voditi računa da i dalje najveća odgovornost jese na korisniku jer ne znači puno ako Cloud provajder vodi računa o svim ostalim stvarima a korisnik ne zaštiti svoj pristup Cloud-u.

Koje podatke čuvati na Cloud-u?
Oko ovog pitanja se uvek podiže velika polemika. Naime neke vrste podataka su isuviše osetljive za smeštaj u javni ili hibridni cloud. Tu pre svega spadaju poverljivi poslovni podaci kao što su podaci o klijentima na primer. Međutim postoje različite varijante Cloud-a pa se postavlja pitanje koji je pravi model za Vaše poslovanje. Kod public cloud-a situacije je takva da vise korisnika deli isti prostor za skladištenje podataka i tu je bezbednost na mnogo nižem nivou. Za razliku od toga privatni ili hibridni Cloud ima sasvim drugačije karakteristike ali i cene korišćenja pa o svemu treba povesti računa prilikom odabira.

Zašto bi trebalo da imate poverenja u svog cloud provajdera?
Danas je većina cloud provajdera sertifikovana za poslove koje rade i trude se da steknu i očuvaju dobru reputaciju zbog starih i novih klijenata. To znači da su spremni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići kao kompanija. Izbor cloud provajdera je stvar poverenja i to se mora graditi tokom vremena.

Da li da koristim Cloud u poslovanju ili ne? 

Odgovor sa moje strane je jednostavan – DA! Ali potrebno je da ipak sami donesete odluku jer o bezbednosti vaših podataka ipak i uglavnom sami morate odlučiti! Ako se odlučite da koristite ovakvu uslugu potrebno je proveriti usaglašenost Cloud provajdera sa regulativom, posedovanje odgovarajućih sertifikata, mogućnost eksterne revizije kao i kredibilitet provajdera i njegovih administratora.
Pošto su svesni rizika provajderi koji nude cloud computing usluge veoma ozbiljno shvataju opasnosti koje vrebaju u cloudu. Čak i u slučaju da se desi neki neželjeni upad u sistem, to ne znači da su podaci hakerima dati „na tanjiru“. Oni se enkriptuju i gotovo je nemoguće dešifrovati ih u nekom razumnom vremenskom periodu (ono što ovde stvara još dodatne zabune jeste veliki broj vesti koje se brzo šire interentom kako je došlo do kompromitovanja velikog broja podataka što uglavnom nije tačno već su uzete samo heš vrednosti lozinki i veliko je pitanje da li se i na koji način stvarno mogu razbiti). Kako god da okrenete, moje lično mišljanje je da rad u cloud okruženju donosi niz prednosti u odnosu na rad sa izolovanim računarima. Naravno trebamo biti obazrivi i voditi računa o svemu ali ne treba da postoji paranoja i odbacivanje ovakve tehnologije koja će se u budućnosti svakako sve više razvijati.

Budućnost ili sadašnjost?
Zamislite sledeći scenario. Živite u Londonu, koristite usluge javne garaže gde koristiti mesečni zakup parking mesta za svoj automobil. Sve je to jedan složen Cloud sistem koji omogućava da vi sa svojom karticom i PIN kodom pristupate svom parking mestu i ulaziti u garažu. U jednom momentu posle neplaćenih računa ili zbog nekakve tužbe na račun parkinga neko Vam ugasi nalog za pristup sistemu i samim tim i garazi u centru Londona). Da li mislite da je ovo neki naučno fantastični film iz perioda posle 2020 godine? Odgovor je NE, ovo je vest koja je iz današnjice i kao što možete videti već danas je sve ovo postalo naša realnost e sad da li ćemo i u kojoj meri da koristimo ovakve tehnologije najviše zavisi od nas samih.

Kako zaštiti svoj webmail nalog

Email je sada već dosta star servis i  Skoro da ne postoji neko ko nema bar neku mail adresu čak i ako koristi twitter za komunikaciju (mislim na DM) jer mu treba za recover naloga u slučaju bilo kakvih problema sa korisničkim imenom i lozinkom kako na twitter-u tako i na drugim društvenim mrežama (FB, LinkedIn...). Ono što je svakako moguće jeste da takva osoba ne koristi svakodnevno svoj emal nalog ali ga ipak svakako poseduje.
Ako pogledamo poslovno okruženje email predstavlja primarni način komunikacije za većinu biznisa i danas je postalo sasvim normalno da se mail komunikacija smatra potpuno istom kao i da smo sa nekim razmenili zvanične podatke koji su odstampani (ovde u nekim slujačevima su potrebni dodatni mehanizmi kao sto su digitalni potpis kako bi elektronski dokument imao istu važnost kao pečatiran i svojeručno potpisan dokument na papiru. Osnovni razlog zašto je email servis tako popularan jeste to se na email poruku ne mora odmah odgovarati kao što je slučaj kod sms-a već se to može obaviti i kasnije što je u poslovnog okruženju naravno veliki plus (ovde se naravno ne smatra da je potrebno odgovoriti tek za nekoliko dana jer je bar neki normalan minimum 24h u poslovnom okruženju).

Kakva je razlika između običnog emaila i webmaila?
U početku smo na svojim računarima imali instaliran program (desktop mail klijent) kao što je MS Outlook ili neki drugi i na njemu smo konfigurisali sve svoje naloge gde se preko njega vršila i sinhronizacija poruka. Ono što je polako postalo trend jeste mobilnost tako da je ovo postalo ograničavajući faktor i polako je počelo da se prelazi na web orijentisane klijente gde nije potreban nikakav poseban program niti operativni sistem već je potrebno da imate bilo kakav web pretraživač (IE, Chrome, Firefox, Opera, Safari...) čak i ne mora imati pune funkcionalnosti već može biti i na mobilnom telefonu. Naravno to je vrlo brzo postalo trend i veliki igrači su se priključili tom trendu tako da danas imamo veliki broj ovakvih servisa od koji su najpoznatiji Gmail, Yahoo, Hotmail, Outlook, MailRU i još mnogo drugih.

Šta možemo da uradimo da dodatno zaštitimo webmail nalog?
Ovde ću navesti neke stvari koje svako može da radi kako bi dodatno obezbedio svoj webmail nalog:
- Jaka i jedinstvena lozinka - Kada se kaže jaka lozinka misli se na lozinku koju je teško probiti različitim vrstama brute-force napada i tu se primarno misli na kompleksnost (minimum 8 karaktera od kojih su: 2 mala slova, 2 velika slova, 2 broja i 2 specijalna simbola i to tako sastavljeni da to ne bude neka smislena reč). Druga stvar jeste da lozinka bude jedinstvena a tu se pre svega misli da se ne ponavlja na više mesta odnosno različitih sajtova (upravo ovo je jedan od najvećih problema jer kada dođe do nekog većeg incidenta gde dođe do curenje padata (data breach) prvo što hakeri pokušavaju da urade jeste da pokušaju da tu šifru koju su pronašli za određeni korisnički nalog isprobaju na ostalim mestima gde pronađu da isti korisnik ima kreiran nalog (ovo dovodi do toga da neko uspe da provali gmail nalog samo zbog toga što je na primer korisnik na nekom tamo sajtu sa lošom zaštitom stavio isto korisničko ime i šifru kao i na gmailu koji je inače jedan od najbolje zaštićenih sistema).
- Korišćenje pasword managera za generisanje i čuvanje lozinki je dosta dobra praksa iz više razloga a osnovni jeste taj što ne moramo da pamtimo i stalno kucamo kompleksne lozinke koje smo generisali. Drugi razlog jeste to što ove aplikacije uglavnom imaju sisteme za generisanje jakih lozinki ugrađene u sebe i treće što je još mnogo važnije jeste i to što nam mogu pomoći prilikom različitih vrsta ciljanih fišing napada gde dobijamo mail sa linkom koji nas vodi na sajtove koji liče na prave vizuelno i traže da unesete svoje korisničko ime i lozinku. Ako do ovoga dođe pasword menager će primetiti da to nije prava strana pošto on inače na toj strani treba automatski za vas da popuni korisničko ime i lozinku on to neće uraditi nego će prijaviti potencijalni fišing napad i pitati vas šta dalje da radi. Za dodatne informacija o pasword menageru kao i razmatranje o tome da li ga treba koristiti ili ne pogledajte jedan od ranijih postova.
- Višefaktorska provera - U poslednje vreme je trend i skoro svi ozbiljni webmail servisi su uveli višefaktorsku proveru (multifactor authentication MFA). Osnovna ideja jeste da ako neko na neki način i uspe da dođe do vaših podataka kao što su korisničko ime i lozinka on i dalje neće moći da pristupi webmailu jer će mu biti potrebna još jedna stvar a to je pristup vašem mobilnom telefonu gde će stizati PIN broj koji je potreban u drugom koraku. Ideja je da se generiše uvek drugi PIN i šalje uglavnom na sms i to na broj mobilnog telefona koji je ranije prijavljen. Ovo u početku može da bude odbojno jer morate svaki put kada se logujete na novi računar da unesete PIN i zbog toga što morate uvek kod sebe imati mobilni telefon koji ste prijavili što znači da ako ga zaboravite negde nećete moći da pristupite svoj webmail nalogu. Da se ne bi svaki put tražio PIN jer bi to bilo zamaruće prate se lokacija, IP adresa i sam uređaj sa koga se pristupa i samo ako se podaci na poglapaju onda se traži unos u suprotnom se smatra da je to već uređaj kome se veruje.
- Podesiti recovery mail i broj telefona - Ovo je nešto što moramo uraditi ako želimo da se osiguramo da ćemo u svakom momentu moći da pristupimo svom webmail nalogu jer će preko ovog broja telefona ili emaila biti moguć proces oporavka naloga. Ono o čemu posebno treba voditi računa jeste da se ovi podaci ažuriraju tokom vremena jer se često dešava da promenimo broj telefona i email adresu prilikom promene posla ili zbog nečeg drugog tako da povedite računa o ovome.
- Pregled poslednjih aktivnosti na mail nalogu - Na većini webmail servisa imate mogućnost da se ulogujete i odete na posebnu stranu gde možete videti poslednje aktivnosti na svom nalogu. Ovo je veoma značajno jer se ovo ne može obrisati kao podatak kako bi se prikrio trag i svaka aktivnost ostaje trajno zabeležena i potrebno je redovno pregledati ovaj spisak da bi uspeli da na vreme otkrijemo ako je bilo neobičnih aktivnosti na nalogu i blagovremeno reagujemo (nece nam biti od prevelike koristi ako tek posle mesec dana ili više vidimo da je bilo pristupa nalogu)
- Pregled uređaja sa kojih je pristupano i kojima se veruje - Kao i za prethodnu stavku i ovde većina webmail servisa ima mogućnost da vidite spisak svih uređaja sa IP adresama i drugim opisima sa kojih se pristupalo webmail nalogu. Ovo je potrebno takođe povremeno pregledati jer tu možemo videti uređaje koji nisu naši a koji su eventualno imali pristup nalogu. Takođe ovde se može videti i posebna lista uređaja koji su u grupi uređaja kojima se veruje i gde nisu potrebno dodatne mere provere kao što je PIN.
- Pregled dodeljenih prava pristupa nalogu drugim korisnicima ili aplikacijama - Ovo je nešto gde neko ko ima kraći pristu webmail nalogu može da izmeni a poznato je u većini webmail servisa kao delegacija (DELEGATION) odnosno ustupanje određenom drugom korisniku ili aplikaciji pristup webmailu gde oni imaju različite mogućnosti, od toga da čitaju pa do toga i da pišu i šalju mailove sa tog webmail naloga. Ovo svakako treba proveravati periodično.
- Provera prosleđivanja sa mail naloga - Ovo je nešto što je veoma korisni i dosta nas ima podešeno tako da većinu naših naloga preuseravamo u neki webmail klijent koji svakodnevno koristimo kao što je gmail na primer. Ono što je problem jeste što to haker može da iskoristi  i da kroz pravila prosleđivanja (forwarding rules) podesi sebe kao primaoca mailova i tako dobije trajan pristup svemu što stiže na vas mail nalog. I ovo bi bilo korisno povremeno proveravati i ukoliko postoji sumnjivih unosa odmah to ispitati.
- Voditi računa odakle se pristupa - Ovo je nešto o čemu većina ljudi (osim security profesionalaca) na rezmišlja uopšte. Radi se o tome da kada pristupamo webmailu sa javnih mesta kao što je internet kafe, apple kiosk i slično mi uopšte nismo zaštićeni jer pojma nemamo šta je ko i kada instalirao na takav računar. Ovo je veoma rizično jer na takvim računarima se može nalaziti keyloger softver ili ko zna kakav drugi maligni softver koji može ukrasti korisničko ime i lozinku. Trend je da se u poslednje vreme banke bore sa hakerima koji instaliraju takve softvere na ATM uređaje pa ona možete misliti kakva je situacija sa računarom u igraonici.

Na kraju želim da naglasim da je email nalog danas vrlo sličan vašoj kreditnoj kartici jer je čitav vaš online život vezan na njega i zbog toga je veoma važno na vreme preduzeti sve moguće mere zaštite kako ne bi kasnije bilo kasno.

Šta je u stvari digitalna forenzika?

U širem smislu digitalna forenzika je nauka koja se bazira na informatici i klasičnoj forenzici dok u užem smislu predstavlja proces prikupljanja digitalnih dokaza sa elektronskih uređaja. Proces se sastoji od nekoliko faza od kojih je prva akvizicija odnosno prikupljanje podataka, druga analiza prikupljenih podataka i treća pisanje izveštaja, ovo je najkraće što mogu objasniti sam termin.

Da li postoji više vrsta digitalne forenzičke istrage?

Da, postoji više vrsta istrage dokaza sa digitalnih uređaja. Postoji zvanična istraga koju sprovode policijski organi u slučajevima gde postoji osnovana sumnja i gde je proces zvanične istrage počeo izdavanjem zvaničnog policijskog naloga za oduzimanje elektronske opreme. Druga vrsta istrage jeste korporacijska gde menadžent kompanije angažuje privatnu kompaniju koja se bavi ovakvom vrstom istrage i gde ne postoji potreba za sudskim nalozima. Obe vrste istrage se baziraju na istim alatima i postupcima s tim što u slučaju zvanične istrage se moraju postovati strožije pravila istrage i izveštaj se predaje isključivo nadležnom organu dok kod korporacijske istrage pravila se mogu malo liberalnije prihvatiti i izveštaj se predaje isključivo menadžmentu kompanije koji je zahtevao istragu, naravno ovde se potpisuje ugovor o tajnosti podataka takozvani NDA kako bi se osiguralo da informacije neće otići u ruke nikoga osime naručioca posla.

UKako postati digitalni forenzičar?

Na ovo pitanje je veoma teško dati precizan odgovor jer ne postoji zvanična ustanova u Srbiji gde bi se mogla dobiti takva diploma. Možete sami učiti iz različitih priručnika i na internetu možete naći veliki broj kvalitetnih izvora međutim javlja se pitanje kako potvrditi svoje znanje i dobiti neku verifikaciju toga. Postoji nekoliko kurseva od kojih su neki od najpriznatijih EC Council CHFI kurs, zatim SANS GIAC sertifikati kao i sertifikat poznate organizacije ISC² pod nazivom CCFP koji se bave temama digitalne forenzičke istrage nevezano za određenog proizvođača softvera. Pored toga postoje i vendorski kursevi i sertifikati od kojih je najpoznatiji EnCE iza koga stoji Guidance software firma čiji je proizvod jedan od najpoznatijih alata pod nazivom EnCase.

Da li se svi alati plaćaju i da li postoje alati koji  se ne plaćaju?

Ovo je odlično pitanje na koje ću ukratko odgovoriti. Osim dva alata koji se najčešće koristi i plaćaju se a to su EnCase i FTK postoji i veći broj linux distribucija koje se potpuno besplatno mogu koristiti kao što su DEFT i SIFT. U tim distribucijama se nalazi veći broj programa koji su u sudskoj praksi prihvaćeni kao validni alati od kojih je napoznatiji Autopsy alat.

Kolika je odgovornost u ovakvom poslu?

Odgovornost zavisi od toga za šta se konkretno angažovani i koji je tip istrage u pitanju. Što se tiče zvanične istrage tu je veća odgovornost jer su u pitanju ljudski životi i u zavisnosti od istrage neko će možda otići u zatvor i odgovarati pred zvaničnim organima tako da se sa tim uopšte nije igrati. Ako je u pitanju korporacijska istraga tu je za nijansu manja odgovornost jer u ovom slučaju najgore što se može dogoditi jeste da neko dobije otkaz na poslu ili da bude prebačen kazneno na neko drugo radno mesto. Naravno ne kažem da se i ovde treba olako uzeti bilo šta jer je danas veoma teško naći posao pa samim tim i ovo može za nekog pojedinca biti veliki udarac tako da svakako treba veoma pažljivo raditi sa digitalnim dokazima i sve treba više puta proveriti pre pisanja konačnog izveštaja.

Napast zvana Ransomware

Svedoci smo u poslednje vreme sve veceg broja ransomware napada koje se šire kako u našem regionu tako i u svetu. Veoma često su pogođeni ne samo pojedinci već i računari kompanija. Ovaj blog post ima za cilj da malo detaljnije objasni kakva je zapravo ova pretnja i kako se razvijala kroz istoriju.

Istorijski osvrt
Ako pogledamo šta je to što je prethodilo ransowmare onda se moramo vratiti u 2005 godinu kada su se pojavile prvi put lažne poruke tzv. "FIX" gde je korisnik dobijao informaciju na ekranu u vidu sistemskog upozorenja gde se kaže da su određene aplikacije loše konfigurisane i da klikom na dugme "Repair Now" sve ćemo lako i jednostavno rešiti. Treba imati u vidu da klik na ovo dugme može izazvati instalaciju bilo kakvog zlonamernog softvera na računar. Sledeća stavka u istorijskom razvoju jesu lažni antivirus programi koji su se pojavili 2010 godine i koji su imali interfejs veoma sličan pravim antivirus programima. Ovde je osnovna ideja bila samo sto smo sada imali dugme "CLEAN" koje bi trebalo da navodno očisti zaražen računar. Ako uporedimo sa prethodnim ova pretnja je veoma slična. Sledeći u nizu bi bio zapravo prvi ransomware koji se pojavio 2012 godine tzv. "Locker ransomware". Ovde je ideja da se računar zaključa i da se traži otkup kako bi se računar otključao. Ono što ovde treba zapaziti jeste da u ovom momentu fajlovi na računaru nisu kriptovani već je samo desktop zaključan. Vađenjem hard diska i kačenjem na drugi računa ili butovanjem sistema sa nekog live CD/USB diska moguće je neometano pristupiti fajlovima. I na kraju negde krajem 2013 i početkom 2014 godine pojavljuje se prvi pravi ransomware kakav danas poznajemo a to je tzv. "Crypto ransomware" koji šifruje sve fajlove na hard disku zaraženog računara, postavlja ih u neku svoju ekstenziju i traži otkup u bitcoin valuti kako bi dobili pristup svojim podacima.

Kako je sve počelo - Zeus trojanac
Prvi put savremena vrsta ransomware koja kriptuje fajlove pod nazivom CryptoLocker pojavila se zajedno sa jednom ozbiljno pretnjom poznatom kao Zeus trojanac koji je gađao MS windows operativni sistem. Ovo je bio trojanac koji se pojavio krajem 2007 godine i koji se koristio primarno za krađu podataka među čijim žrtvama se nalaze i Bank of America, NASA, ABC, Oracle, Cisco, Amazon i još mnogo poznatih kompanija i vladinih institucija. Međutim pored ovoga detektovano je da je krajem 2013 godine, početkom septembra izkorišćen Zeus za skrivenu instalaciju i širenje CryptoLocker-a. To je detektovano tek polovinom 2014 godine kada je ustanovljeno da postoji napredna verzija botnet mreže pod nazivom Gameover Zeus koja je pored toga što je služila za krađu bankarskih podataka korišćenja i za širenje CryptoLocker-a.

Da li da platim ako se zarazim?
Na ovo pitanje odgovor je skoro uvek negativan iz dva razloga:

1. samim plaćanjem finansira se od tih para dalji razvoj ovakvih grupa i alata
2. niko ne daje garanciju da time što ćete platiti i što ćete pristupiti svojim fajlovima neko neće ponovo iskoristiti isti način da ponovo šifruje i traži otkup

Međutim ako su podaci koji su kriptovani toliko bitni da ugroze poslovanje određene firme ili rad nekog pojedinca jedino bi u tom slučaju trebalo razmisliti da li platiti otkup podataka.
Naravno pre toga je potrebno proveriti dve stvari:

1. da li imamo neki bekap svojih podataka na nekom offline medijumu i koliko je taj bekap star odnosno od kada su nam ti podaci. Pokazalo se da za sada ovo je jedini lek, čak i online bekap sistemi mogu biti šifrovani u određenim slučajevima.
2. da li postoji besplatan dekriptor za taj tip ransomwera kojim je zaražen računar. 

No More Ransom (NMR) inicijativa
Ova inicijativa je pokrenuta pre nekih godinu dana od strane Europola, Nemačke policije, Intel Security i Kaspersky Laba a sa ciljem da se omogući žrtvama ransomware da besplatno dekriptuju svoje fajlove. Na NMR sajtu moguće je naći veći broj besplatnih dekriptor alata. Po nekoj statistici od decembra prošle godine preko 10.000 žrtava je uspelo da besplatno povrati svoje fajlove. Trenutno platforma je na 14 jezika i na njoj se nalazi tačno 40 besplatnih dekriptor alata. Trenutno postoji trend da se veliki broj organizacija priključuje ovoj inicijativi i da je ovo baš lep primer saradnje različitih zemalja oko zajedničkog cilja, borbe protiv ransomware. Neki koji su se priključili od decembra prošle godine su: Avast, CERT Poljska, Eleven Paths kao i organizacije za sprovođene zakona iz Interpola, Australije, Belgije, Izraela, Južne Koreje, Rusije i Ukrajine.

Za i protiv korišćenja password menadžera

Password menadžer je aplikacija čija je osnovna namena da čuva vaše različite šifre za pristupanje raznim sajtovima i aplikacijama. Osnovna ideja jeste da imate jedan glavni master ključ koji koristite za logovanje na password menadžer aplikaciju i da je potrebno samo njega pamtiti dok će se za sve ostale šifre aplikacija brinuti.

Da li je svakom potreban password menadžer?

Odgovor na ovo pitanje nije lako dati. Ukoliko koristite veći broj sajtova gde je potrebno logovati se kroz korisničko ime i šifru svakako je preporučljivo koristiti ovakvu aplikaciju kako bi sami sebi olakšali život. Sa druge strane ako imate samo nekoliko šifara koje je potrebno pamtiti (napominjem da je izuzetno loša praksa koristiti istu šifru za logovanje na različite sajtove jer ako neko dođe do jedne moćiće da pristupi i svim ostalim nalozima na drugim sajtovima) onda nije potrebno koristiti ovakvu aplikaciju jer samim tim nećemo nešto preterano postići.

Kako radi password menadžer?

Osnovna ideja jeste da se ovakva aplikacija instalira kao plugin za web browser koji koristite (Firefox, Chrome, Safari...) i da onda čuva šifre za logovanje na različite sajtove. Kada vi kao korisnik pristupite određenom sajtu on ima opciju autofill koja će automatski popuniti korisničko ime i šifru koju ste ranije sačuvali (ako postoji više naloga na isti sajt aplikacija će vas pitati koji želite nalog da koristite). Ali ne samo to, aplikacija ovog tipa će takođe voditi računa o tome da ne koristite istu šifru na više mesta, zatim da sve šifru budu dovoljno kompleksne odnosno teške za probijanje kao i da pazi ako dođe do promene neke šifre na nekom od naloga to automatski ažurira u svojoj bazi. Uglavnom ovakve aplikacije u sebi imaju i generatore sigurnih šifara za koje se danas preporučuje da budu minimum 16 cifara, naravno sada nema problema jer nije potrebno pamtiti ih jer će to za vas raditi sama aplikacija. Posebno je komplikovano ovakve šifre pamtiti ali ne samo to već i kucati ih zajedno sa različitim simbolima na smart telefonu ili tabletu tako da i tu ovakav tip aplikacije priskače u pomoć.

Koji su popularni password menadžeri?

Ovde ću navesti nekoliko poznatih i popularnih aplikacija ove namene ali mi nije cilj da navedem mnogo različitih već neke koje su predstavnici ovog tipa aplikacija.
Sledi moja lista top 5:
1. LastPass
2. Dashlane
3. RoboForm
4. 1Password
5. LogMeOnce

Koliko je sve ovo bezbedno?

Postavlja se pitanje bezbednosti prilikom korišćenja ovakvih aplikacija i tu postoje dva različita mišljenja. Jedna strana priče jeste da je ovo opasno jer ako neko dođe do naše master šifre koju koristimo za logovanje na samu password menadžer aplikaciju onda će taj neko imati apsolutini pristup svim našim zapamćenim korisničkim imenima zajedno sa pridruženim šiframa što je potencijalni sigurnosni problem. Sa druge strane ukoliko ne koristimo ovakvu aplikaciju veoma je teško ako ne i nemoguće koristiti sigurne šifre za veliki broj sajtova i aplikacija jer je veoma teško pamtiti šifru koju je generisao neki generator dužine 16 karaktera za svaki sajt posebno a da ne pričamo da je to veoma teško i unositi na portabilnim uređajima. Često korisnici pribegavaju tome da naprave neki tekstualni fajl na svom računaru gde beleže sve svoje naloge za različite sajtove zajedno sa šiframa i onda samo rade copy/paste tamo gde je šta potrebno. Ovo je po mom ličnom mišljenju mnogo lošija varijanta nego koristiti password menadžer koji sve šifre čuva u fajlu koji nije običan tekst. Međutim bez obzira na sve treba se postaviti pitanje kako mi koristimo password menadžer aplikaciju a ne samo koliko je ona dobra i sigurna što se proizvođača tiče. Veliki broj korisnika master šifru čuva negde na svom računaru (ovo nikada ne raditi) i eto opet problema gde smo u stvari se vratili na to da nam ovakva aplikacija onda i nije potrebna.

I na kraju želim da napomenem događaj od pre nekoliko dana vezan za aplikaciju LastPass gde je otkriven propust u ovaj aplikaciji koji omogućava curenje informacija o korisničkim imenima i šiframa kroz plugin za web pretraživač koji je vrlo brzo ispravljen od strane proizvođača softvera.