»Virus wannacry se je tako uspešno širil, ker je izkoriščal ranljivosti v operacijskih sistemih windows,« je izredno hitro in obsežno širitev virusa, ki je konec tedna okužil več kot 230.000 računalnikov, pojasnil dr. Andrej Rakar, vodja informacijske varnosti pri Slovenskem institutu za kakovost in meroslovje (SIQ).
»V prvi fazi je verjetno tudi tu šlo za klasično odpiranje priponk ali obisk okuženega spletnega mesta, nadaljnja širitev v notranjem omrežju pa se je zgodila samodejno, na sisteme, ki niso bili posodobljeni. Glede na trenutne informacije še ni jasno, ali je šlo res za ciljane napade,« pravi Rakar.
Uporabljena naj bi bila koda vohunskega orodja NSA
»Tudi v preteklosti smo imeli opraviti s podobnimi okužbami, ki pa niso bile tako destruktivne, način širitve po omrežju pa je bil enak. Razlika v tem primeru je, da je bila izrabljena zelo nova ranljivost. Domnevno je bila uporabljena koda vohunskega orodja NSA, popravek pa je bil izdan pred kratkim, tako da se velika podjetja še niso mogla ustrezno zaščititi.« Gre za izrabo ranljivosti EternalBlue, ki jo je hekerska skupina The Shadow Brokers javno objavila na spletu 14. aprila, razvila pa naj bi jo ena najbolj sofisticiranih kibernetskih napadalnih skupin Equation Group, ki jo mnogi povezujejo z ameriško nacionalno varnostno agencijo NSA.
Microsoft je popravek, ki odpravlja ranljivost, objavil že 14. marca, a ker mnogi niso posodobili operacijskih sistemov, popravka niso imeli. Poleg tega popravek tedaj ni bil izdan za starejše operacijske sisteme, ki jih je Microsoft že »upokojil« in jih ne posodablja več (Windows XP, Windows 8 in Windows server 2003). Doslej še neznani napadalci so ranljivost izkoristili in ji prilagodili črva wannacry. Kot pojasni Rakar, je razlika med običajnimi virusi in virusi, ki jim pravimo črvi, da so se slednji sposobni po omrežju širiti samostojno, brez akcije uporabnika.
Širitev črva, ki je okužil več kot 230.000 računalnikov v 150 državah, vključno z britanskim državnim zdravstvom (NHS), nemškimi železnicami, španskim telekomunikacijskim ponudnikom Telefonico, ameriškim dostavljalcem paketov FedEx in slovenskim Revozom, se je naposled uspešno zamejila s pomočjo odkrite napake v virusu. 22-letni varnostni strokovnjak, britanski Daily Mail piše, da mu je ime Marcus Hutchins, je odkril, da se virus za nadaljevanje napada posvetuje z neobstoječo spletno stranjo. Ko je to opazil, je stran zakupil, virusu pa s tem ukazal, naj preneha napade.
Microsoft je nato ponudil posodobitve tudi za upokojene operacijske sisteme. Predsednik Microsofta Brad Smith je ob tem ostro kritiziral vlade ter njihove varnostne in obveščevalne agencije, ker raje kopičijo podatke o ranljivosti računalniških sistemov in jih izkoriščajo za svoje namene, namesto da bi o pomanjkljivostih obveščale avtorje programske opreme, da bi napake lahko popravili in poskrbeli za večjo varnost vseh. Napad naj vsem služi kot opozorilo, so dodali v računalniškem gigantu.
Že izdana nova verzija črva
»Napad je bil delno ustavljen zgolj po srečnem naključju,« opozarja Andrej Rakar in dodaja, da je že izdana nova verzija črva. »Lahko pričakujemo nadaljevanje napadov v manjšem obsegu, saj so se prilagodili tudi protivirusne zaščite in drugi varnostni mehanizmi. V prihodnje lahko pričakujemo podobne napade, ki bodo izrabljali drugo varnostno pomanjkljivost. Nekaj jih je bilo že javno objavljenih z razkritjem kode vohunskih agencij.«
