Док неки од нас тапкају у месту, вируси свакодневно еволуирају.
Неупућеност нашег становништва је један од разлога због чега смо на тему компјутерских вируса разговарали управо са Дејаном Николићем, директором F-Secure-а, једне од најпознатијих антивирусних компанија.
Шта су вируси, како се развијају и који су неки од савета за борбу против тзв. “малициозног кода”, великог проблема данашњице, неке су од тема о којима смо разговарали.

МЛ: Да ли постоје званични подаци о заступљености рачунара, интернета и нивоу информатичке писмености у нашој земљи?
Дејан Николић: Постоје два референтна истраживања, рађена на територији Србије без Косова на тему колико има компјутера код нас и колика је пенетрација рачунара у Србији. Најновије истраживање је радио Телеком Србије уз помоћ Цесида за потребу промоције свог сајта “На длану”.

Дошло се до податка да је пенетрација негде око 20%. Дакле, 20% укупног становнишва је у Србији видело интернет, а ту спадају и људи који једном недељно или једном у две недеље размене неки маил што је заиста врло слабо коришћење. Претпоставља се да је правих корисника интернета у Србији 11%, 12%, максимално 15% популације што је солидан број али далеко од жељеног с` обзиром на земље из окружења где је та цифра негде око 25%.

Поред овог, вршено је и истраживање ЦЕПИТ-а, центара за проучавање информационих технологија београдске основне школе. Њихова методологија је била обилажење центара округа Србије и сакупљање података о томе ко користи интернет, у које сврхе, које су преференције, шта се највише тражи…

Резултати тог истразивања доступни су на адреси (www.boos.org.yu/cepit), међутим они још нису коначни јер је наведено да истраживање треба да се доради.

Интернет се користи највише за комуникацију са удаљеним људима – електронска пошта, много мање за прикупљање неких информација у вези са школовањем или послом. То је у ствари и индикатрор неразвијаности српског интернета, што значи да врло условно можемо да говоримо о неких миллион корисника.

МЛ: Који је број забележених вируса (дневно, годишње, у свету, код нас ) и колико то све брзо напредује?
ДН: Сваким даном се појави 15-20 нових вируса и то су углавном верзије неких постојећих варијанти. То указује на потребу за поседовање антивирус софтвере-а који има редовно ажурирање базе вирус дефиниција.
Вируси и злонамеран код могу да се посматрају са два становишта. Једно је да је Србија део света када је реч о инфекцијама вируса и она није заобиђена ни на који начин.

Са друге стране, иако то још није потврђено, Србија је виђена као један од потенцијалних жаришта или место са којег може да се лансира одређен број напада и злонамерних кодова који би се дистрибуирали свуда у свету, што значи да је на зони високог ризика.

Истиче се нови тренд када говоримо о откривању сигурносних рупа за сам оперативни сyстем. Самом произвођачу оперативног система треба одређено време да направи закрпу (“patch”), чиме би се избегле додатне компликације.

Некада је за то било потребно око годину дана, и управо оно што је аларманто је брзина којом се данас појаве нови вируси и нови малициозни код који у ствари искоришћавају ту сигурносну рупу. Најновије сигурносне рупе по принципу Windows Meta File-a виделе су први малициозан код за њих у року од два до три дана.

МЛ: Да ли можете да ми кажете нешто више о развоју вируса? Ко је некада писао/правио вирусе, а ко се тиме данас бави?
ДН: За разлику од неког ранијег периода, уназад 2 године, аутори не производе вирусе ради свог доказивања већ је основни мотив за прављење вируса и свог осталог малициозног кода чист профит.

Нове верзије вируса нису ту да би са вашег рачунара побрисале податке или уништиле неку компоненту рачунара, већ да би на што бољи начин искористиле ресурсе вашег рачунара или ваше интернет конекције зарад згртања профита некој организацији или особи која има криминогене намере.

Више не можемо да говоримо о вирусима као једином проблему, сада све те претње можмо да назовемо заједничким именом малициозни или нежељени код. Нека врста дефиниције вируса би била да је то компјутерски програм који без знања корисника сам себе реплицира. Вирус може имати неки садржај који може да изазове неку деструктивну акцију на вашем рачунару.

Најновији вируси углавном служе како би отворили врата за инсталацију рецимо неког тројанца. Данас, сврха вируса (пошто су сада повезани и црви и тројанци и spyware-и итд) јесте да корисник не зна да је заражен.

То што се некоме није срушио систем, не значи да компјутер није заражен и не значи да се из његовог система не црпе подаци. Уколико завиримо у ту зону, зону “spyware-а” и “adware-а”, схватићемо да имамо цео дијапазон комплексних претњи.

МЛ: Да ли можете да нам кажете нешто више о тзв. “phishing преварама”?
ДН: Једна од актуелних претњи које долазе из сфере организованог криминала је “phishing”. Он не спада у класичан домен малициозног кода који се инсталира на рачунару корисника већ је то мудар начин да се превари корисник.

Процедура је да корисник добија обичну електронску пошту у којој пише да га његова наводна банкарска или друга финансијска институција љубазно моли да понови своје податке ради ажурирања базе или сличног разлога, иначе ће остати без средстава и биће му угашен рачун.

Када кликне на понуђени линк, који је у ствари лажни линк, он бива одведен на страницу која личи на страницу праве банке која се разликује по једном ситном али веома битном детаљу, а то је да обично мора да се унесе много више података него што би једна банка тражила, а да притом банка никада не тражи те податке путем електронске поште.

Тако корисник несвесно, желећи да помогне себи и банци, организованом криминалу открива своје поверљиве податке као што је број рачуна, број картице, пин код, итд. То се касније употребљава за разноразне финансијске преваре.

До сада је наша земља због мале пенетрације корисника интенета тих услуга електронског банкарства била изузета из оваквог вида преваре, али ускоро можемо да очекујемо неки “phishing” напад који ће бити лансиран и код нас. За сада су једино Банка Интеса и Комерцијална банка најавиле увођења система заштите те врсте.

МЛ: Која је разлика између hackera и crackera?
ДН: Разлика између Hackera и Crackera је фундаментална. Ако узмемо речник видећемо да "to hack" значи истранжирати, раставити нешто на делове док је "to crack" разбити нешто.

Дакле хакери анализирају системе, разлажу их на саставне делове и као такве их користе за своје потребе... да ли је у питању криминално дело или не зависи од случаја до случаја.

Крекери разбијају заштите софтвера ради копирања истих и по правилу је увек у питању криминално дело.

МЛ: Шта је сајбер криминал (компјутерски злочин)?
ДН: Компјутерски криминал није производ појединаца.
Мотиви су се знатно променили од времена када су тинејџери са жељом да се докажу упадали у поједине системе. Оно што смо раније сматрали хакером, који куца гомилу кода да би упао некоме у систем, данас више не мора да буде тако.

Истина је да данашњи клинци могу да “download-ују” са интернета алате са графичким корисничким интерфејсом који им омогућава све то. Информационе технологије и интернет се ту појављују углавном као средство. Интернет омогућава аутентично нова кривична дела и ту се подразумева и сајбер криминал у ужем смислу.

Данашњи напади су мотивисани неким религиозним или идеолошки обојеним намерама и то су напади за које се зна. Насупрот томе, оно што се никада не помиње у јавности, али је сигурно да постоји, су ситуације када хакери упадну у систем неке банке.

Хакер се не хвали тиме зато што му је циљ да нико не сазна да је он узео те податке које ће даље да прода или их искористи у неку другу сврху.
Банка која би објавила такву вест, ризиковала би огроман губитак поверења, подизање улога, панику, чак и ликвидацију. Њој се више исплати да сама плати ту штету ма колика она била.

Познато је да је данас и већ пар година вредност података на рачунару много већа од саме вредности рачунара. Представници различите врсте шпијунаже и криминала покушавају да уђу у те компјутере, да их скенирају и да поверљиве податке пребаце до неких удаљених сервера.

Тренутно су лап-топ рачунари најслабија карика у том безбедносном ланцу.
Иако се њихове крађе све чешће дешавају, на западу се скоро 1/4 таквих кривичних дела не приијављује!
То се може тумачити жељом корисника (неретко и представника војног, економског или неког другог значајног сектора) да прикрије информацију да су са његовог рачунара украдени занимљиви садржаји.

Подаци се даље користе у класичне сврхе организованог криминала: финансијски криминал, тероризам, социјална манипулација-инжењериг, прање новца, трговина људима, илегална трговина људским органима, трговина биоактивним, радиоактивним супстанцама.

МЛ: Да ли постоје неке основне групе земаља које представљају претњу целом свету у области вируса? Шта је најчешћи циљ њихових напада? Да ли постоји таква врста претње за нашу земљу?
ДН: Са једне стране ако кажемо да су нападачи они који су економски мотивисани, онда заиста капитал не познаје границе и не познаје никакву националност. Када говоримо о идеологији, такође не можемо да вучемо паралелу са одређеним земљама зато што се идеологије шире кроз више земаља.

Ипак, данас, већина напада, али и технолошких иновација које их подржавају, долази из Бразила, Русије и Кине.
Но, подсећам још једном, ретко кад је идеологија крајњи циљ. Циљ је противправно стицање имовине или манипулација.
Неко би могао рећи да је данас Microsoft главни на удару. Међутим, он више није мета зато што је светски монополиста већ зато што ћете у 95% случајева на систему који нападате наћи управо Microsoft ОС. Зато се њихове рањивости најбрже и експлоатишу од стране криминалаца.

МЛ: Да ли код нас постоји званична институција за борбу против сајбер криминала? Какво је стање по том питању у нашој земљи уколико правимо паралелу са иностранством?
ДН: Сајбер-компјутерски криминал је код нас регулисан пре свега кривичним законом који је пре мање од 6 месеци иновиран у овом погледу. За његово сузбијање су пре свега задужена посебна оделења министарства унутрашњих послова у окружном јавном тужилаштву и окружном суду, који поступају по свим тавким предметима.

Закон је у великој мери преписан на основу искустава западних земаља.
Добра вест је да већ има почетних успеха у сузбијању таквог криминала што је још један од доказа да наша земља није изолована од остатка света у овој области.

Ипак и сами тужиоци су у неколико наврата скретали пажњу на то да ни полиција ни правосуђе нису у адекватној мери опремљени и обучени за борбу против претњи ове врсте.

МЛ: Какво је стање по питању казни за кривично дело начињено у “сајбер” свету и какве су оне у поређењу са казнама за кривична дела настала у тзв. ”реалном” свету?
ДН: Што се казнене политике тиче, моје мишељење је да су казне прилично ригорозне али је потребно да протекне одређени период времена да видимо каква је пракса судских институција у вези са компјутерским криминалом и да ли ће се суд односити према овој грани са једнаком тежином као и према другим гранама криминала.

На крају крајева, није у питању само број година на које се окривљено лице осуди, већ и сам поступак, прикупљање доказа, могућност врбовања од стране специјалних служби и још много активности у "сивом" подручју извршне власти које постоје у развијеним земљама.

Ако смо прекопирали законе западних земаља не смемо оставити да процедуре спровођења истих остану у маниру уобичајеног код нас.

МЛ: Да ли постоји нека домаћа вирусна група која представља значајну претњу на коју треба обратити пажњу?
ДН: Домаће варијанте вируса су типа “proof of concept” или доказивање да је нешто могуће урадити.
Вируси се деле на “in the wild” (у дивљини тј. активни), "Zoo" (они од којих више не прете епидемије) и на “proof of concept” вирусе који се обично предају или антивирусним копанијама или самом творцу оперативног система како би му се указало на потенцијалну претњу.

Творцу те врсте вируса није циљ да се тај вирус шири већ да докаже да је нашао нови начин на који може да се направи вирус.
Барем је досадашње искуство било такво, што не значи да ће, и поред ригорозног и крутог члана Закона који то покрива, тако и остати.

МЛ: Да ли можете да ми кажете нешто о ХЕУРИСТИЦИ?
ДН: Хеуристика би сама по себи требала да служи за препознавање вируса који до сада није познат, на основу неких кључин карактеристика самог кода. Међутим, ту имамо проблем јер хеуристика није довољна, поготово не у данашње време.

Оно што творци вируса прво провере кад направе нови вирус је да ли ће неки од постојећих антивирус софтвера моћи да их открије.

Рачунарски вируси су већ толико усавршени да хеуристички "мотори" антивирусних софтвера никако нису сами довољни да би пружили ефикасну заштиту. Зато је проверена метода, која даје 99,9% успешности у заштити, комбинација хеуристике са базом дефиниција вируса.

МЛ: Које су то предности F-secure security антивирус система у односу на остале антивирусне заштите?
ДН: Наше решење је F-secure Internet Security за кућне кориснике и корпоративна решења за фирме. F-secure има једну уникатну ствар интегрисану у свој software а то је “Root kit” елиминатор који представља директну предност над свим осталим антивирус системима.

То је “black light” технологија која се појавила прошле године и уграђена је у новој верзији 2006. “Root kit” технологију сакривања од обичних АВ програма користи све више вируса и тројанаца. Идеја је да се сакрију системски процеси који не треба да буду пред очима корисника.

“Root kit-ови” су коришћени чак и на DVD-у компаније Sony за њихов производ Sony Playstation 2 али и security компанија Symantec. Првенствена намера јесте била добра, али су могућности злоупотребе огромне.

МЛ: Да ли F-secure сарађује са нашим универзитетом у вези са развојем заштите од вируса?
ДН: Планирамо једну серију предавања и разговора уколико наиђемо на плодно тле. Из првих контаката видимо да има места за такву иницијативу јер су погледи на ову област још увек негде из деведесетих. Или је у питању неинформисаност о новим трендовима у сајбер криминалу, или се чак показују и симпатије за неке од идеја из тог света.

Нисам до сада приметио неку самосталну иницијативу, док је у свету сасвим нормално да скоро све иницијативе полазе управо са Универзитета, чак и у комерцијалном смислу. На пример, највечи ауторитет у праћењу антивирусне индустрије је Otto von Goenicke институт са Универзитета у Магдебургу у Немачкој. Све АВ компаније са стрепњом очекују њихове извештаје и резултате тестова.

МЛ:Шта је хоакс (hoax) и зашто представља лошу појаву? Да ли можете да нам казете нешто више о тзв. “вирусу” Инвитатион и упозорењу које је недавно масовно прослеђивано?
ДН: Хоакс представља врсту веома суптилног социјалног инжењеринга који итекако има одзива у реалности и код нас. Људи врло уредно шаљу поруке таквог садржаја и уопште не размишљају о последицама.

То је одраз тешке опште и интернет необразованости нашег становништва услед које људи генерално наседају на такве ствари, ако ни због чега другог онда због филозофије “не може ништа да шкоди”. Мотиви hoax-а би могли бити - генерисање саобраћаја, загушење сервера, сакупљање података за касније спам кампање, ажурирање валидних адреса...

Када говоримо о тзв. вирусу INVITATION и нама је стигло упозорење. Одмах смо имали разговор са новинарима и деманти на тај маил. Потом смо пратили коментаре на интернету који су били поражавајући. Један од њих је био налог директора да сви у фирми искључе своје рачунаре. Посао се није обављао, целокупна продуктивност и ефикасност биле су драстично смањене.

Звали су нас и људи који су тврдили да ако се све не угаси последица ће бити експлозија рачунара. Јако битан коментар упркос нашем објашњењу о чему се ради је да сигурно има истине у томе јер се информација емитовала на Дневнику 2.

Међутим, ни једна од великих новинских кућа се није обратила ни једној од антивирус компанија и компанија које се баве безбедношћу да провери о чему се заиста ради. Медији су се консултовали са ИТ консултантом који је потрврдио тај маил и чак изнео једну врло тешку оптужбу која на жалост показује колико чак ни људи који су у ИТ сектору нису упознати са безбедношћу.

Наиме, како се у маилу спомиње да ће хард диск да се уништи и изгори, дотични ИТ консултант је изјавио да су тај вирус можда створиле компаније које се баве производњом хард дискова. Губици су били јако велики, али срећом, брзом реакцијом наше екипе и ипак спремношћу новинара да прихвате исправку и признају грешку, јавност је деконтаминирана у року од 24 сата. Ипак, израчунали смо да је и у тако кратком периоду настала штета у привреди од око 3 милиона евра.

МЛ:Која су то основна упутства и савети за неупућене. Како се заштити од вируса?
ДН: -Инсталирати искључиво легалан софтвер на компјутеру.

- Редовно ажурирати оперативни систем и интернет browser (то значи да је укључен аутоматски update и да се редовно “крпе” рупе које се открију).

- Инсталирати антивирусни софтвер који ће штитити не само од ових вируса већ и од свих тих комбинованих хибридних претњи са којима можемо да се сусретнемо данас.

- Обратити пажњу да се инсталира софтвер који је неопходан зато што постоји један велики проблем са шпијунским програмима односно spyware-ом. Постоји маса таквих програма који су мали, корисни за корисника али представљају реалну опасност. Зашто? Spyware се инсталира када се download-ује неки програм (узмимо за пример screen saver).

При инсталацији програма постоји “legal notice” у коме на дну пише да ће се инсталирати нека компонента. Корисник је не читајући рекао да, што значи да је спywаре на жалост легално инсталиран и антивирусне компаније немају право да га скидају са рачунара без знања корисника.
Тим потезом, корисник није знао да је то компонента која сама по себи није тројанац или spyware, али ће са интеренета скинути неког тројанца или вирус који ће се ту аутоматкси инсталирати.

МЛ: Где је најбоље да се информишемо о целој овој проблематици?
ДН: Постоје сајтови антивирус компанија које редовно извештавају. На нашем сајту www.f-secure.co.yu такође постоје вести на српском и линк ка блогу на енглеском језику. Тамо се појављују најновије вести и занимљивости из ове области.

МЛ: Које су то најновије вести и евентуалне занимљивости из области вируса?
ДН: Неке од новости из ове области су да већ постоје вируси за mp3 плејере и играчке конзоле. Појавио се и вирус који може да зарази рачунар преко мобилног телефона, када се та два уређаја повежу.

Велике машине које раде на даљинско управљање (нпр. велике машине за сечу дрва по Финској) функционишу са Windows оперативним системом. Очекујемо да се појаве први вируси који ће нападати аутомобиле.

F-secure је урадио специфичан и врло занимљив тест. Као што већ знамо, неки од новијих модела аутомобила имају у себи уграђен рачунар који комуницира преко bluetooth-а као и мобилни телефони.

Циљ теста је био да утврди да ли постоји могуцност да дође до контаминације 40 метара испод земље. Тест је био негативан - нису успели да преко мобилног телефона заразе тај аутомобил.

Замислите да идете ауто-путем 120 на сат и да Вам падне систем у колима, систем који све контролише. То је заиста велика и реална опасност. Могућност да се овако нешто убрзо појави је јако велика, а дан када ће тест бити позитиван јако близу.
Код нас још увек није тако, мада нисмо тако далеко од дана када ће и код нас кућни апарати да буду повезани на један централни систем.

Наш стандард још није такав да ми фрижидер можемо да прикључимо на рачунар, али држимо важне податке на мобилним телефонима и рачунарима. Пословна употреба рачунара је на високом нивоу, а то све је компромитовано и у опасности.

Преузето из часописа МонопоЛЛист