Víceprezident a technický ředitel české technologické společnosti Avast Ondřej Vlček, se ve svém článku ohlíží za největším ransomware útokem v historii: WannaCry, hodnotí jeho aktuální stav a také to, zdá dokážeme dnes podobnému útoku vůbec předejít.

Tento víkend to byl od doposud největšího útoku ransomware v dějinách WannaCry. Může se historie opakovat? Data ukazují, že bohužel ano.

Začalo to 12. května 2017. WannaCry – největší ransomwarový útok v historii – přišel jako blesk z čistého nebe a šířil se neuvěřitelnou rychlostí mezi počítači běžných uživatelů i nadnárodních firem, od státních úřadů přes nemocnice až po telekomunikační giganty. Uplynul rok a WannaCry stále útočí, nedávno například v proslulé americké firmě Boeing.

Od jeho vypuknutí jsme v Avastu úspěšně zablokovali více než 176 milionů pokusů o nakažení tímto virem, a to celkem v 217 zemích. V ČR jde o číslo výrazně menší, ale přesto významné – přes 56 tisíc útoků.

Mapa s přehledem útoků WannaCry, které Avast zablokoval v období od 12. května 2017 do 1. dubna 2018

Úspěch WannaCry lze připsat třem faktorům: Za prvé, využíval velmi vážnou zranitelnost v operačním systému. Za druhé, ve velké většině byly napadeny starší počítače, které jejich výrobci přestali podporovat, a které tudíž byly ponechány bez možnosti aktualizace. A za třetí, šlo o malware typu Internet worm (internetový červ), což znamená, že byl schopen se šířit zcela sám, bez jakékoli součinnosti uživatele.

Zranitelnost EternalBlue, kterou WannaCry zneužíval, využívá kritické chyby v kódu Microsoft Windows, konkrétně v síťovém protokolu pro sdílení souborů a tiskáren zvaném SMB, a je stará přinejmenším stejně jako Windows XP samotné. Tuto slabinu zřejmě původně objevila americká bezpečnostní agentura NSA, které se ji podařilo držet v tajnosti až do okamžiku, kdy se k informacím dostala hackerská skupina ShadowBrokers.

Ta pak veškeré informace (včetně zdrojových kódů příslušného exploitu) zveřejnila v dubnu 2017, zhruba měsíc před vypuknutím aféry WannaCry. Microsoft sice vydal na tuto zranitelnost záplatu už v březnu, tedy ještě před tím než hackeři příslušné informace zveřejnili, ale ransomware i tak úspěšně napadl stovky milionů uživatelů, kteří neměli záplatu instalovanou, nebo pro ně byla z nějakého důvodu nedostupná.

Nejpikantnější na celé věci je ale fakt, že přestože se o útoku hodně psalo, naše data ukazují, že zranitelnost EternalBlue je i dnes přítomna v téměř jedné třetině všech počítačů globálně připojených k Internetu (konkrétně 29 %). V Česku pak v 19 % zařízení.

Mapa rozmístění počítačů, které stále obsahují zranitelnost EternalBlue (data z března 2018)

Mapa rozmístění počítačů, které stále obsahují zranitelnost EternalBlue (data z března 2018)

Za WannaCry přitom patrně nestojí běžní, ziskuchtiví (kyber)zločinci, ale obecně se má za to, že šlo spíše o státem řízený útok, možná i provokaci. Americká vláda vloni oficiálně označila za původce viru WannaCry Severní Koreu, ale z naší zkušenosti je jakékoli hledání původu kybernetických útoků vždy velmi obtížné. Zajímavé je, že útočníci za dobu existence WannaCry vyúčtovali jen cca 140 000 dolarů a dva bitcoiny k tomu. Tato částka je vzhledem k masivnímu množství infikovaných počítačů
a ostatním problémům směšně malá.

Reálný dopad WannaCry mohl být ještě menší, kdyby si více uživatelů stáhlo záplatu hned, jak ji Microsoft zpřístupnil. Což vede ke zřejmé otázce – proč ani dnes nemají všichni aktualizované systémy? Je několik možností. Uživatelé buďto nerozumí důležitosti záplat, nebo jsou už alergičtí na neustálé přerušování své činnosti – záplatování trvá dlouho, a navíc vyžaduje restartování počítače, což je nepohodlné, a zvláště když člověk zapíná počítač po delší době, může to trvat až desítky minut.

A nakonec, slyšel jsem i názor, že lidé neaktualizují proto, že prostě nemají rádi změny – nechtějí si zvykat na případné nové změny uživatelského prostředí či rozhraní. Některé systémy byly navíc v době útoku nezáplatované prostě proto, že výrobce už přestal příslušný systém podporovat a záplaty vydávat; to byl konkrétně případ Windows XP.

Technologické firmy nemohou od uživatelů očekávat, že budou chápat a dodržovat všechny kroky nutné k online bezpečnosti. Lidé si zpravidla uvědomují důležitost bezpečnosti, ale jen do okamžiku, kdy se dostává do konfliktu s jejich vlastním pohodlím. Jinými slovy, jen málo lidí je v online světě ochotno vyměnit pohodlí a jednoduchost za bezpečnost. Netvrdím, že je všechno špatně. Softwaroví vývojáři berou uživatelské preference v potaz víc než v minulosti a data mluví jasně. Klíčové ovšem je, aby výrobci operačních systémů, aplikací a bezpečnostních řešení lépe svou práci koordinovali a společně přicházeli s řešeními, která minimalizují výslednou zátěž na uživatele. Jen tak můžeme vytvořit opravdu silný obranný val proti kyberútokům nové generace.