Šiuo metu M. Sasnauskas dirba Informacinio saugumo tyrimų srityje – tiria kibernetinius įsibrovimus, o jo analizės pasitarnauja vengiant kibernetinių atakų ateityje. Vienas iš pastaruoju metu atliktų jo pasiekimų – jis atsekė feisbuke veikiančią sukčių grupuotę, kuri paveikė šimtus tūkstančių vartotojų pasaulyje.
M. Sasnauskas labai nemėgsta žodžio progamišius – laikytų save „hakeriu“, nes paprastai tai nėra kažkoks blogo norintis žmogus.
– Kas yra „hakeris“?
– „Hakeris“ pirmiausia yra mąstysena. Tai ne žmogus, ne kažkokios pareigos, o mąstysena žmogaus, kuris nori išsiaiškinti, kaip veikia dalykai iki smulkiausių dalių, bet kokia kaina. Jei reikia – sulaužys tą dalyką ir po to bandys surinkti.
Anksčiau pagrindinis motyvatorius tikrai buvo ne pelnas ir ne finansinis motyvas – daugiau tai būdavo gyvenimo būdas. Pradžioje nelabai ir buvo galimybių iš to užsidirbti, jos atsirado su interneto augimu.
Tačiau dabar, taip, vienas pagrindinių motyvatorių blogiems darbams yra finansinė nauda – tai virto didžiuliu verslu. Vien išpirkos reikalaujančios (ransomware) atakos yra vertos milijardų eurų per metus – žinoma, jos pridaro daug daugiau nuostolių, nei pajamų gauna atakas organizuojančios grupuotės. Joms atitinka labai mažas procentas.
– Na bet paprastas vartotojas internete dažnai yra įsitikinęs – manęs tai neliečia, kam aš čia galėčiau būti įdomus, kad rūpėtų pas mane laužtis?
– Įsibrovėliams iš tikrųjų niekam ir nerūpi, pas ką laužtis, nebent jau kažkas kažką labai stipriai supykdė. Dėl to tie įsilaužimai dažnai vyksta ten, kur lengviausia.
Pirmiausia, kalbant apie įsilaužimus į asmenų kompiuterius ar paskyras, būna masiniai duomenų nutekinimai – įsilaužia ar kažkokiu kitokiu būdu paima įmonės duomenis. Jei turi didelį kiek žmonių e. pašto adresų ir slaptažodžių, tada tu gali paleisti botus, kurie eis per įvairias paskyras ir bandys prisijungti, kažką nuveikti.
Dėl ko reikia turėti sudėtingą slaptažodį – dėl to, kad nutekėjus užšifruotiems duomenims, užšifruotą slaptažodį būtų kuo sudėtingiau iššifruoti. Galite net nebandyti „lopas123“ – pas mane tikrai tokio nėra, nors, gal kažkada ir buvo (juokiasi).
Antras dalykas kuris turėtų rūpėti žmonėms – tai socialinės inžinerijos atakos, kurios tikrai vyksta ir jų metu žmonės praranda didžiules pinigų sumas, tiesiog milžiniškas.
Yra realus pavyzdys – žmogus neteko 480 tūkstančių dolerių per vadinamuosius meilės investicijų į kriptovaliutas apgavystes (scam). Jam pasiūlė investuoti – ir kartais iš tikrųjų paprastam žmogui atrodo pagrįsta, jis mato žiniose, paskaito, kad kriptovaliutomis kiti uždirbo milijonus. Tada pabando, atrodo visai patikima kriptovaliutų prekybos platforma, o dar ir sekasi puikiai. Kartais žmogus tiesiog nepastebi tų raudonų vėliavų, kad įmonė neturi rekvizitų, o jei ir turi, kai patikrini - įmonė neegzistuoja. Arba, galbūt ji turi licenciją kokiam nors Vanuatu, kur gali daryt ką nori, bet negalios jokie Europos ar Amerikos reguliavimai. Kai reikės susigrąžinti pinigus – pinigų nebėra.
Ir žmonėms sugriūna gyvenimai. Ne tik užsieniečių, lygiai taip pat ir lietuviai netenka pinigų.
Jei pirmosios socialinės inžinerijos atakos atrodė primityvios, elektroninius laiškus buvo galima identifikuoti – jos tobulėja. Jau ne tik iš Rusijos skambinėja su rusišku akcentu, yra kas moka jas organizuoti.
– Prieš karą Ukrainoje Rusija buvo suvokiama, kaip kažkokia labai kibernetinių atakų prasme pažengusi valstybė, kuri gebėtų „nulaužti“ kone visus. Ar tai mitas?
– Tai mitas, kuris dužo į pačius mažiausius šipulius. Jie labai daug reiškėsi, esą turi landų JAV infrastruktūroje ar Europoje, kad jų galimybės yra didžiulės. Tačiau tas, kuris daug rėkia ir pučiasi, nebūtinai jis toks yra, ir nebūtinai jis vienas toks yra. Rusija greičiausiai nėra net arti tų galimybių, kurias turi Vakarų pasaulis, tik galbūt dar nepanaudojo. Kai prireikia, gal ir panaudoja – tik ne taip baisiai rėkia į viešumą.
Kitą tokį ginklą, kurį sukūrė JAV Nacionalinio saugumo agentūra (NSA), vadinamą „EternalBlue“, kuris išnaudojo SMB protokolo spragą, vadinamieji „Shadow brokers“ nutekino ir vėliau tai pateko į Šiaurės Korėjos rankas. Ji paleido „WannaCry“ ataką – „kirminą“ kuris paplito po pasaulį ir padarė labai daug žalos. Tik nedaug jie iš to uždirbo – gavo regis apie 200 tūkst. dolerių išpirkų iš viso, kas yra labai mažai, lyginant su atakos mastu.
Vėliau Rusija ar su ja susijusios grupuotes panaudojo panašią ataką prieš invaziją į Ukrainą, vadinamą „NotPetya“ ataką, kuri buvo nutaikyta ir į Ukrainos industrijas. Jos metu nustojo veikti ir Černobylio stebėjimo sistema. Nors ji žalos padarė, laimei, antro Černobylio nebuvo.
Rusijos kibernetinės galimybės yra labai neišbaigtos – kaip ir jų armija, kuri bando pasirodyti, esą galimybės didelės, o kai susiduria su realiu atveju, pasimato kitaip. Panašiai kaip jų lėktuvnešis Admirolas Kuznecovas – jis veikia, bet gali bet kada sugesti, yra senovinis ir atgyvenęs.
– Lietuvoje jau kurį laiką patiriame daug DDoS atakų, jų metu sutriko nemažai svetainių – kaip tau atrodo Lietuvos pasiruošimas kibernetiniams pavojams?
– Čia veikė „Killnet“ grupuotė, beje, irgi iš Rusijos. Visos Rusijos grupuotės vienaip ar kitaip susijusios su Vyriausiąja žvalgybos valdyba (GRU). Truputį apmaudu, kad DDoS atakos šiais laikais vis dar yra dalykas, dėl kurio reikia rūpintis, nes apsisaugojimo nuo tokių atakų būdų yra pilna. Tokie dalykai turėtų būti užlopyti, kadangi DDoS ataka yra grubi ta prasme, kad paleidžia labai daug užklausų, užpildo serverio atmintį, tuomet svetainė nulūžta, nes daugiau užklausų nebegali priimti. Tai viskas. Realios žalos ji nepadaro, nebent tai kažkokia prekyba, ar komunikacija – ji sutrikdo, yra nemaloni, bet griaunančios žalos nedaro. Tai, kad leido DDoS atakas, yra irgi vienas iš įrodymų, kad nelabai gali daugiau ką padaryt.
– Pati Rusija dabar nuolat patiria kibernetines atakas iš „Anonymous“ programišių. Kaip vertintum, ar jos gali turėti reikšmingą poveikį?
– Ne. Tik psichologinį tikriausiai, pačiai visuomenei, nes irgi griauna mitą, kad Rusija yra kažkokia ypatingai didelė kibernetinė galia. Ji didelė, bet ne tokia, kaip vaizdavo.
– Šiuo metu visi mūsų pinigai yra elektroniniai – atrodytų, jei užšifruotum banko sistemas, ar liktume be pinigų?
– Bankai kitaip veikia, kiekvienas bankas turi atsargines kopijas. Nėra taip, kad pinigai skaičiukais viename serveryje sėdi, ir jei serveris žlugs, kas nors užšifruos, viskas dings. Banke įrengiami „mainframe“ (angl. Centriniai kompiuteriai), turintys kitokį veikimo principą, daromos atsarginės kopijos, yra įdiegtos stiprios saugumo sistemos, stebėjimas, dirba visos komandos, kad užtikrintų paskyrų saugumą ir veikia stiprus reguliavimas.
– Minėjai, kad atsekei sukčių grupuotę feisbuke, kuri rinkdavo savo aukų duomenis ir iš to uždarbiavo? Kodėl ir kaip tą darei, ar tai buvo lengva?
– Visų pirma, tai nemažai pažįstamų buvo pakliuvę, ar gavę įvairias žinutes, per kurias ir plito ši apgavysčių schema. Buvo įdomu pamatyti, kaip ji plinta, iš ko uždirba, ir kas yra jos kūrėjai. Man apskritai buvo įdomu, kaip veikia tai iš vidaus. Viskas pavyko, ir būtų dar daugiau pavykę, jei nebūtų reikėję visko mesti dėl to, jog galiausiai atsimuši į ribas, kas leistina.
Apskritai kalbant, tarp piktavalių, kurie daro nusikaltimus elektroninėje erdvėje pasitikėjimas yra labai svarbus dalykas, ypač, kai žmonių tu nematai, vienas kito pavardžių nežinai, o darbai, kuriuos atlieki, yra vienintelis dalykas, ką gali parodyti. Jie dengia labai daug pasaulio šalių, veikia daug grupuotės padalinių. Nusikaltėlių ir įvairių grupių, kurios užsiima įvairia veikla ir bando išvilioti, išreikalauti, ar kitaip uždirbti pinigus yra daug ir įvairių, nuo išpirkas reikalaujančių milžiniškų ir sofistikuotų organizacijų, atskirų filialų, iki nedidelių pavienių ir dažnai tie veikėjai būna persipynę ir su skirtingomis grupėmis – keičia savo pavadinimus, dažnai ir metodus, kad mėtytų pėdas.
Reikia nepamiršti ir pinigų legitimizavimo, bei plovimo, kas yra taip pat svarbus aspektas.
– Vis dažniau mums sakoma, kad didžiosios technologijų kompanijos mus seka. Ar tu nuo to kaip nors saugaisi, imiesi kokių veiksmų?
– Kad mus stebi visą laiką – tai taip, absoliučiai visą laiką tai vyksta, tik nereikia būti dėl to paranojiku. Na, iš dalies, jei gyvenčiau Kinijoje, tikriausiai būčiau paranojikas.
Stebėjimas vyksta ne taip, kad kažkas sėdi ir per tavo kamerą žiūri iš kokio skambučių centro ar biuro – veikia robotukai, dirbtinis intelektas. Feisbukas, „Google“ stebi kiekvieną tavo pelės paspaudimą. 2018 metais „Cambridge Analytica“ skandalas parodė, kiek daug apie tave žino feisbukas. Ta prasme, 10-15 tūkstančių duomenų įrašų apie kiekvieną vartotoją vidutiniškai. Aš tiek faktų apie save nežinau, bet feisbukas žino. Vis daugiau nutekėjusių duomenų atskleidžia, kad net patys darbuotojai nežino, kur tiksliai tie duomenys panaudojami.
Aišku, pirmiausia tai yra tikslinei reklamai – esi vaikščiojantis vienetas ir kuo geriau algoritmai žinos, kur tu būsi kitą savaitę, prie kokios parduotuvės, kokioje gatvėje važiuosi, tuo tikslesnę reklamą pateiks, kad iššauktų didesnę tavo reakciją.
Bet tada yra „TikTok“, kuris seka, kur tavo dėmesys sutelktas, ką tu žiūri, ką darai, ir toks sekimas yra žymiai blogesnis, nei visi suvokia. „TikTok’e“ net nėra tiek daug reklamos, informacijos kiekiai, kuriuos surenka, yra milžiniški, ir ne paslaptis, kokios šalies tai produktas. Galbūt yra kitų tikslų.
Kinija turi savo socialinio kredito reitingo sistemą savo gyventojams, bet jie taip pat renka duomenis ir ne apie vietos gyventojus. Mes patys pasirenkame, ar norime paaukoti savo dėmesio koncentraciją ir kad būtų mūsų duomenys renkami dėl kažkokių tikslų, ar vis tik geriau gyventi išlaikant dėmesio koncentraciją ir būti nuo to atsiribojus.
Aišku, kad negali visko sukontroliuoti, kad tavęs niekas neseks. Gali neturėti feisbuko – bet vis tiek turės duomenis apie tave. Dauguma svetainių turi vadinamuosius „Facebook“ pikselius, įvairius įskiepius, „like“ mygtukus – per juos vis tiek mato, kas ateina, ir renka duomenis.
– Ar tu naudoji „TikTok“?
– Ne.
– O ar pats darai ką nors, kad tavęs nesektų? Gal po kiekvieno seanso trini slapukus?
– Aš tai asmeniškai nelabai noriu, kad mane kas nors per daug kontroliuotų, tad asmeniškai tikrai darau nemažai higienos. Kartais gal net per daug plačiai.
Tarkime – jei kažkur jungiuosi, kur nederėtų, tą darau per virtualias mašinas, kurias esu pasikūręs. Jei kažką darau darbui – irgi tą darau per kitas virtualias mašinas, taip pat naudoju virtualius privačius tinklus (VPN). Jei kažką paprasto darau, pakanka paprasto VPN, jei kažką reikia „įdomesnio“ daryti – susikuri kažką savo ant serverio kur nors.
Apskritai, tai žmonėms dabar reikėtų labai susirūpinti savo kibernetine higiena, slaptažodžių politika, dviejų faktorių autentifikavimo naudojimu, daug žmonių to nesusitvarkę.
Aš pats tikrai naudoju slaptažodžių tvarkykle, nes šimtų paskyrų joks žmogus nesugebėtų ir prisiminti. Ant lapuko rašyti – labai blogai, kompiuteryje turėti tekstinį failą su slaptažodžiais – dar blogiau.
(besikalbant M. Sasnauskui paskambino telefoniniai sukčiai)
– Kai pasigauna numerį, tai tampa tragedija.
– Naudoji turbūt kelis numerius?
– Naudoju kelis telefonus. Bet ir asmeninis kenčia.
– Kokių pats dabar tikslų turi, ką nori pasiekti, kuo užsiimi?
Dar turiu vieną hobį pastaruoju metu – tai vadinamosios šoninio kanalo atakos arba klaidų injekcijos. Tarkime, ateityje gali būti įmanoma lazeriu pašviesti į mikroschemą, įrangą, ir taip įterpti kenkėjišką programinę įrangą, kuri galėtų išvesti iš rikiuotės. Pirmą kartą tokios atakos buvo pamatytos dirbtiniuose žemės palydovuose – daug kas nesuprato, kodėl atsiranda klaidos elektrinėse schemose.
Pakanka vieną bitą pakeisti iš nulio į vienetą, ir atsiranda klaida. Ir tą gali padaryti net ir saulės radiacija – tai yra viena iš BSOD (mėlynas ekranas kompiuteriui pakibus) priežasčių.
Apskritai šiuo metu bandau atsigauti nuo įvykių, kurie buvo metų pradžioje Ukrainoje – tai buvo labai intensyvus darbas, kai daug žmonių susibūrė į įvairias grupeles ir bandė bent kažkaip prisidėti. Tai mano toks regeneracinis periodas – vėliau žiūrėsiu, kas po to bus.
– Pats jautiesi saugus?
– (juokiasi) Nemanau, kad esu toks labai kažkam baisiai naudingas, ar kažkam baisiai kažko pridaręs, kad galėtų pakenkti. Tad labai galvos neapsikraunu, nemanau, kad kam baisiai rūpėtų.
Nesu vienintelis žmogus, kuris tiria nusikaltimus kibernetinėje erdvėje – daug yra tokių, ir apskritai, tai yra darbas.
– Paskutinis klausimas – kas blogiausio gali atsitikti, jei tau atsiuntė e. laišką ar žinutę feisbuke, ir tu paspaudei ant nuorodos?
– Oi, daug kas gali atsitikti. Vien teoriškai pasvarstant, labai daug kas, paspaudimas yra blogai. Žinoma, jei tik atsidarai laišką, ir neatidarai jokio dokumento, greičiausiai nieko neatsitiks.
Bet jei atsidarai dokumentą, nesvarbu, per kur atsiųstas, ar paspaudi nuorodą ir nueini, kur ji nuveda, tada galimybės neribotos.
Tavo naršyklėje išsaugoti slaptažodžiai gali būti perimti. Priklausomai nuo to, kokią paskyrą esi atsidaręs - gali perimti ir sesijas, kadangi jų veikimas pagrįstas tam tikrais skaitmeniniais žetonais, turinčiais galiojimo laiką. Tai jei neseniai buvai prisijungęs prie banko – gali matyti ir tai, bet dažniau tai aktualu feisbuko ar „Gmail“ paskyroms.
Vien tik tavo el. pašto paskyros užtenka tau padaryti didžiulę žalą, tiek finansinę, tiek moralinę. Dabar „Gmail“ yra vienas pagrindinių dalykų, kuriais bandome autentifikuotis kitur. Jei nori pasikeisti slaptažodį – prašo e. pašto. Jį naudojame ir darbo, ir laisvalaikio dalykams. Tad pakenkti gali labai daug.
Jau nekalbant apie tai, kad gali užlėkti ant kokio psicho, kuris po to norės šantažuoti, ką nors privataus atradęs pas tave. Tai dažniausiai būna kokie nors paaugliai kitose valstybėse.
Yra visokiausių įrankių – gali iššokti langas, gali būti kenkėjiškas kodas, pažeidžiantis net ir „Mac“ kompiuterius.
Kenkėjiškas kodas ne visada aptinkamas – ji galima paslėpti, kol naujas, kurį laiką gali būti nematomas antivirusinėms programoms. Tad galimybės yra neribotos.
– Ačiū už pokalbį.