Ποια είναι η εξέλιξη του ransomware και πώς θα μπορούσε θεωρητικά να εξαπλωθεί σε κάθε συσκευή ; Ποια η διασύνδεση του με το Jackware και το IoT; Πως εξελίσσονται οι διάφορες «οικογένειες» ransomware και τι θα πρέπει να περιμένουμε στο μέλλον ;
Stephen Cobb
ESET Senior Security, Researcher
Ένα από τα πιο ανησυχητικά φαινόμενα που διαπίστωσα το 2016 ήταν το πόσο πολύ πρόθυμοι ήταν ορισμένοι άνθρωποι να πάρουν μέρος σε μία από τις τρεις παρακάτω δραστηριότητες: την “ομηρία” υπολογιστών και δεδομένων με σκοπό την απόσπαση λύτρων (ransomware), την άρνηση πρόσβασης σε συστήματα και δεδομένα (Distributed Denial of Service ή DDoS), τη μόλυνση επιμέρους τμημάτων που συνθέτουν αυτό που ονομάζουμε Internet of Things (IoT). Δυστυχώς, θεωρώ ότι οι τάσεις αυτές θα συνεχίσουν και μέσα στο 2017 και μάλιστα, προβλέπω ότι θα υπάρξει συσχετισμός μεταξύ τους, όσο εξελίσσονται. Για παράδειγμα, μολυσμένες συσκευές IoT θα μπορούσαν να χρησιμοποιηθούν για τον εκβιασμό websites με εμπορική δραστηριότητα υπό την απειλή DDoS, ή το κλείδωμα συσκευών IoT με σκοπό την απόσπαση λύτρων, κάτι που έχω ονομάσει jackware.
Παλιές και καινούριες απειλές
Η πρακτική της επίθεσης σε πληροφοριακά συστήματα με σκοπό την απόσπαση χρημάτων, είναι τόσο παλιά όσο το ίδιο το computing. Το 1985, ένας υπάλληλος του τμήματος ΙΤ σε μια Αμερικάνικη ασφαλιστική εταιρεία προγραμμάτισε μια «λογική βόμβα», η οποία όταν ενεργοποιούταν θα διέγραφε κρίσιμα δεδομένα. Δύο χρόνια μετά, πράγματι την ενεργοποίησε και το αποτέλεσμα ήταν όπως το είχε σχεδιάσει. Ο υπάλληλος λογοδότησε τελικά στη δικαιοσύνη, αποτελώντας την πρώτη περίπτωση καταδίκης ηλεκτρονικού εγκλήματος στην ιστορία.
Το πρώτο κακόβουλο λογισμικό που χρησιμοποίησε τη μέθοδο της κρυπτογράφησης για να «κλειδώσει» αρχεία με σκοπό την απόσπαση λύτρων χρονολογείται το 1989, όπως μας εξιστορεί ο David Harley. Μέχρι το 2011, το κλείδωμα των υπολογιστών με σκοπό την απόσπαση λύτρων είχε περάσει σε άλλο επίπεδο καταπατώντας κάθε ηθική αξία, όπως χαρακτηριστικά το θέτει ο συνάδελφός μου Cameron Camp.
Πως λοιπόν, αναμένουμε να εξελιχθούν οι παραπάνω τάσεις μέσα στο 2017; Κάποιοι αναφέρουν ότι το 2016 ήταν «η χρονιά του ransomware», αλλά πολύ φοβάμαι ότι οι μελλοντικοί τίτλοι θα την αναφέρουν ως τη «χρονιά του jackware». Σκεφτείτε το jackware ως ένα κακόβουλο λογισμικό το οποίο προσπαθεί να πάρει τον έλεγχο μιας συσκευής, η κύρια λειτουργία της οποίας δεν είναι η διαχείριση δεδομένων ή η ψηφιακή επικοινωνία.
Ένα καλό παράδειγμα για να καταλάβετε τι εννοώ, είναι τα λεγόμενα συνδεδεμένα αυτοκίνητα (connected cars). Τα αυτοκίνητα αυτά πραγματοποιούν μεν επεξεργασία πολλών δεδομένων και επικοινωνίες, η βασική τους λειτουργία τους, όμως, δεν είναι άλλη από το να σας πάνε από το σημείο Α στο Β. Το jackware, λοιπόν δεν είναι παρά μια ειδική μορφή ransomware.
Στα τυπικά ransomware, όπως τα Lokcy και CryptoLocker, ο κακόβουλος κώδικας κρυπτογραφεί τα προσωπικά αρχεία του υπολογιστή σας και απαιτεί λύτρα προκειμένου να τα ξεκλειδώσει. Ο σκοπός του jackware είναι παρόμοιος, μόνο που δεν κλειδώνει αρχεία, αλλά το ίδιο το αυτοκίνητό σας, ή κάποια άλλη συσκευή, μέχρι να πληρώσετε τα λύτρα που ζητάει.
Ας φανταστούμε λίγο το εξής σενάριο: κάποιο παγωμένο πρωινό, αντί να βγω έξω στο κρύο επιλέγω να χρησιμοποιήσω το app του αυτοκινήτου μου για να ανοίξω τη μηχανή του από την άνεση της κουζίνας μου. Το αυτοκίνητο όμως αρνείται να ξεκινήσει και έντρομος αντικρύζω ένα μήνυμα στο κινητό μου, που μου λέει ότι θα πρέπει να παραδώσω το τάδε ποσό σε ψηφιακό νόμισμα εάν θέλω να πάρω ξανά τον έλεγχο του οχήματός μου. Ευτυχώς – και το τονίζω – το jackware, καθόσον γνωρίζω, βρίσκεται ακόμα σε θεωρητικό επίπεδο. Μέχρι στιγμής δεν έχει εντοπιστεί κάποιο παρόμοιο κακόβουλο λογισμικό.
Δυστυχώς όμως, βάσει της εμπειρίας, δεν έχω πολλές ελπίδες ότι το jackware δεν θα μπορέσει να αναπτυχθεί και να εξαπλωθεί. Το έχουμε ήδη δει να γίνεται: θυμηθείτε το πρόβλημα της Fiat Crysler Jeep (FCJ) το 2015, όπου ένας κατασκευαστής αυτοκινήτων έβγαλε στην παραγωγή πάνω από ένα εκατομμύριο οχήματα τα οποία περιείχαν ευπάθειες που θα μπορούσαν να γίνουν αντικείμενο εκμετάλλευσης από jackware. Το πρόβλημα μεγαλώνει ακόμα περισσότερο αν σκεφτούμε ότι η ίδια η FCJ δεν κατάφερε να προβλέψει κατά το σχεδιασμό των οχημάτων, ότι οι πιθανές ευπάθειες θα μπορούσαν να διορθωθούν με κάποια μελλοντική αναβάθμιση. Το να κυκλοφορείς ένα ψηφιακό προϊόν γεμάτο κενά ασφαλείας, τα οποία ανακαλύπτονται αργότερα – κάτι που στην πραγματικότητα είναι σε γενικές γραμμές αναπόφευκτο – είναι επικίνδυνο έτσι κι αλλιώς. Το να μην έχεις όμως, προβλέψει τη γρήγορη διόρθωσή του είναι κάτι εντελώς διαφορετικό και πολύ πιο επικίνδυνο.
Ενώ οι περισσότερες έρευνες και συζητήσεις εστιάζουν στα τεχνικά ζητήματα εντός του οχήματος, είναι σημαντικό να αντιληφθούμε ότι ένα μεγάλο τμήμα της τεχνολογίας IoT βασίζεται σε συστήματα υποστήριξης τα οποία επεκτείνονται πολύ πιο πέρα από την ίδια τη συσκευή. Κάτι τέτοιο το είδαμε το 2015 με την περίπτωση της VTech, μιας εταιρείας που κατασκευάζει μεταξύ άλλων παιδικά media players τα οποία θα μπορούσαμε να τα χαρακτηρίσουμε ως IoCT (Internet of Children’s Things). Η «χαλαρή» προστασία στο website της εταιρείας ήταν αρκετή για να εκθέσει τα προσωπικά δεδομένα παιδιών, υπενθυμίζοντάς μας πόσα επίπεδα επιθέσεων υπάρχουν στο οικοσύστημα του IoT. Κάτι παρόμοιο συνέβη το 2016 με τη Fitbit, η οποία αν και λαμβάνει το θέμα της ασφάλειας πολύ σοβαρά και τα wearables της δεν έγιναν αντικείμενο επίθεσης, δεν συνέβη το ίδιο με τους λογαριασμούς κάποιων χρηστών. Επίσης, την ίδια χρονιά, ανακαλύφθηκαν bugs στο web app ConnectedDrive της BMW, το οποίο συνδέει τα οχήματα της εταιρείας με το IoT. Μέσω του app αυτού, μπορείτε για παράδειγμα να ρυθμίσετε τη θερμοκρασία του σπιτιού σας, τον συναγερμό και να ανοίξετε και να κλείσετε τα φώτα και όλα αυτά μέσα από το αυτοκίνητό σας. Η σκέψη ότι κάποιος θα μπορούσε να αποκτήσει πρόσβαση από μακριά στις λειτουργίες του αυτοκινήτου, επειδή κάποιο portal με το οποίο επικοινωνούν όλα τα δεδομένα έχει πέσει θύμα επίθεσης, είναι, αν μη τι άλλο, ανησυχητικό. Ωστόσο, συμβάντα που σχετίζονται με την ασφάλεια των αυτοκινήτων συνεχίζουν να καταφθάνουν, όπως για παράδειγμα τα προβλήματα με το Wi-Fi συγκεκριμένων μοντέλων της Mitsubishi ή τις περιπτώσεις ξεκλειδώματος των συχνοτήτων επικοινωνίας που οδήγησε σε κλοπή αυτοκινήτων των BMW, Audi και Toyota.
Ενώ αρχικά θεωρούσα το jackware ως μια εξέλιξη του κακόβουλου κώδικα με αποκλειστικό στόχο τα έξυπνα οχήματα, γρήγορα φάνηκε ότι η τάση αυτή μπορούσε να επιτίθεται σε πιο ευρεία έκταση. Καθώς λοιπόν το Internet of Things εξελίσσεται και διαδίδεται όλο και περισσότερο, το ίδιο θα συμβαίνει και με το Ransomware of Things (RoT). Μια ανατριχιαστική ιστορία από τη Φιλανδία, για μια επίθεση DDoS σε συστήματα θέρμανσης κτηρίων, δείχνει ξεκάθαρα σε τι καταστάσεις μπορεί να οδηγήσει όλο αυτό. Αν και στη συγκεκριμένη περίπτωση δεν φαίνεται να ζητήθηκαν λύτρα, δεν χρειάζεται πολύ φαντασία για να δούμε ποιο είναι το επόμενο βήμα: Εάν θέλετε να σταματήσουμε το DDoS για να μην παγώσετε, πληρώστε μας!
Εμποδίζοντας την ανάπτυξη του RoT
Για να εμποδίσουμε το IoT να εξελιχθεί σε RoT, είναι απαραίτητες κάποιες συγκεκριμένες ενέργειες σε δυο διαφορετικούς τομείς της ανθρώπινης δραστηριότητας. Ξεκινάμε από τα τεχνικά ζητήματα. Εδώ η πρόκληση που έχουν να αντιμετωπίσουν οι εταιρείες είναι η ενσωμάτωση προστασίας στις ψηφιακές πλατφόρμες των οχημάτων. Οι παραδοσιακές τεχνικές, όπως το φιλτράρισμα, η κρυπτογράφηση και η πιστοποίηση ενδέχεται να καταναλώνουν πολύ επεξεργαστική ισχύ και bandwidth, αυξάνοντας την παραγόμενη θερμότητα, κάτι που δεν είναι επιτρεπτό σε συστήματα που απαιτείται να λειτουργούν σε χαμηλές θερμοκρασίες. Οι τεχνικές ασφαλείας για την υπέρβαση των προβλημάτων αυτών θα οδηγήσουν αναπόφευκτα σε αύξηση του κόστους των οχημάτων, κάτι που η αυτοκινητοβιομηχανία δεν επιθυμεί επ’ ουδενί να συμβεί.
Ο επόμενος τομέας όπου απαιτείται άμεση δράση αφορά τη χάραξη πολιτικών και τη λήψη αποφάσεων. Εδώ τα πράγματα δεν φαίνονται και τόσο καλά, διότι μέχρι στιγμής, η ανθρωπότητα έχει αποτύχει παταγωδώς να αναχαιτίσει με επιτυχία το ψηφιακό έγκλημα, το οποίο πλέον απειλεί κάθε καινοτομία της τεχνολογίας που μπορείτε να σκεφτείτε, από την τηλεϊατρική μέχρι τα drones και από τα big data μέχρι τα αυτοκινούμενα οχήματα. Για παράδειγμα, όπως υπονοείται στον κανονισμό «Προκλήσεις και επιπτώσεις στην ψηφιακή ασφάλεια», οι πολιτικοί το 2016 απέτυχαν να περάσουν νομοθεσίες που θα βοηθούσαν στην θωράκιση των έξυπνων δικτύων, παρά τη δικομματική υποστήριξη.
Για να είμαι ξεκάθαρος, όροι όπως το RoT και το jackware, δεν αποσκοπούν στο να τρομάξουν τον κόσμο. Συμβολίζουν όμως κινδύνους που θα μας απειλήσουν μέσα στο 2017 εάν δεν κάνουμε τίποτα για να τις εμποδίσουμε. Κλείνω, λοιπόν με κάποια θετικά στοιχεία. Κατ’ αρχήν είναι σημαντικό το γεγονός ότι αρκετές κυβερνητικές οργανώσεις επιταχύνουν τις προσπάθειές στους να κάνουν το IoT πιο ασφαλές. Το 2016, το US Department of Homeland Security δημοσίευσε το έγγραφο «Στρατηγικές αρχές Προστασίας του Internet of Things», ενώ το NIST (National Institute of Standards and Technology) το «Special Publication 800-160», ο πλήρης τίτλος του οποίου είναι «Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems» (Σκέψεις για μια Διεπιστημονική Προσέγγιση στη Σχεδίαση Αξιόπιστων Ασφαλών Συστημάτων). Το ινστιτούτο NIST ανήκει στο Υπουργείο Εμπορίου των ΗΠΑ και κατά καιρούς έχει ασκήσει θετική επιρροή σε πολλές δράσεις γύρω από το θέμα της ψηφιακής ασφάλειας. Ελπίζω ότι οι συγκεκριμένες προσπάθειες αλλά και άλλες που λαμβάνουν χώρα σε όλο τον κόσμο, θα μας βοηθήσουν να καταστήσουμε ασφαλή την ψηφιακή μας ζωή, ενάντια σε εκείνους που επιλέγουν να εκμεταλλευθούν την τεχνολογία για να μας εκβιάσουν αποσπώντας χρήματα.
Τέλος, μια ένδειξη ότι όντως γίνονται θετικές προσπάθειες, τουλάχιστον στο θέμα της ευαισθητοποίησης του κοινού για το γεγονός ότι η δυναμική του IoT δεν είναι μόνο τα θετικά που μπορεί να προσφέρει στην κοινωνία, αλλά και τα προβλήματα που μπορεί να προκαλέσει, μας έρχεται από μια διαφορετική πηγή. Συγκεκριμένα, η έρευνα της ESET με τίτλο «Our Increasingly Connected Digital Lives» αποκάλυψε ότι περισσότερο από το 40% των Αμερικανών δεν πιστεύουν ότι οι συσκευές IoT είναι ασφαλείς. Επιπλέον, περισσότεροι από τους μισούς συμμετέχοντες στην έρευνα, δήλωσαν ότι τα ζητήματα των προσωπικών δεδομένων και της ασφάλειας γενικότερα τους έχουν αποτρέψει από τον να αγοράσουν κάποια συσκευή IoT.
Θα μπορούσε άραγε ο συνδυασμός της ανησυχίας εκ μέρους των καταναλωτών και οι κυβερνητικές προσπάθειες να οδηγήσει τις εταιρείες να κατασκευάσουν πιο ασφαλή IoT προϊόντα; Ίσως το διαπιστώσουμε μέσα στο 2017.
Όροι όπως το RoT και το jackware δεν έχουν στόχο να τρομοκρατήσουν το κοινό. Συμβολίζουν όμως απειλές οι οποίες θα συμβούν μέσα στο 2017 εάν δεν κάνουμε τίποτα για να τις εμποδίσουμε.
