“Imagjinoni sikur kriminelët kanë hyrë në shtëpinë tuaj gjatë kohës që nuk jeni në shtëpi dhe e kanë ndërruar bravën. Ju nuk mund të hyni pa çelësin e ri, ndërsa kriminelët ju shantazhojnë dhe ju kërkojnë para që t’ua japin çelësin. Dhe ju, para se të paguani dhe para se të tentoni të hyni në shtëpi, nuk e dini nëse ato i kanë vjedhur gjësendet tuaja me vlerë“, thotë Bozhidar Spirovski në intervistën për Meta.mk, njofton Portalb.
Sulmi i hakerëve ndaj sistemit të Fondit të Sigurimit Shëndetësor, i cili ishte vetëm një nga të shumtët këto kohëve të fundit, ka ngritur shumë pikëpyetje në opinion në lidhje me atë se kush qëndron pas këtyre sulmeve, sa të sigurta janë sistemet e institucioneve shtetërore dhe publike dhe si në fakt funksionojnë softuerët malicioz (keqdashës) të cilët shkaktojnë dëme të mëdha për shoqërinë dhe qytetarët.
Për të gjitha këto, por edhe për tema të tjera për atë se sa të vjetra janë këto sulme, cilat janë motivet, sa para kërkojnë hakerët për t’ua kthyer të dhënat institucioneve/organizatave, biseduam me Bozhidar Spirovskin, drejtor i sigurisë kibernetike në kompaninë Blue Dot, e cila fokusohet në krijimin e një ekipi të suksesshëm dhe të integruar të sigurisë kibernetike që i ndihmon organizatës të menaxhojë me sigurinë e informacioneve.
Si do e kishit shpjeguar më thjeshtë sulmin haker me ransomware? Çfarë përmban dhe si funksionon ky softuer malicioz?
Spirovski: Bëhet fjalë për kidnapim të të dhënave tuaja për kthimin e të cilave krimineli pastaj kërkon para. Imagjinoni sikur kriminelët kanë hyrë në shtëpinë tuaj gjatë kohës që nuk jeni në shtëpi dhe e kanë ndërruar bravën. Ju nuk mund të hyni pa çelësin e ri, ndërsa kriminelët ju shantazojnë dhe ju kërkojnë para që t’ua japin çelësin.
Sulmi me “ransomware” funksionon në të njëjtin parim – në kompjuterin tuaj kriminelët fusin një virus i cili i kodon të gjitha të dhënat. Pastaj kriminelët ju shantazhojnë dhe ju kërkojnë para që t’ua japin çelësin për deshifrimin e të dhënave. Ky çelës është shumë kompleks dhe është shumë e vështirë që ai të dekodohet. Më e keqja është se edhe sikur tu jepni para kriminelëve, ju nuk mund të jeni të sigurt nëse çelësi që do e merrni do i deshifrojë apo jo të dhënat.
Pagesa e shantazhit kërkohet që të bëhet në kriptomonedhë – në të shumtën e rasteve në kriptomonedhë bitcoin. Kriptomonedhat janë para digjitale që ekzistojnë vetëm në kompjuterë të lidhur mes veti nëpërmjet internetit. Kriptomonedhat janë plotësisht të pavarura nga sistemet tradicionale financiare dhe bankare dhe janë plotësisht anonime. Një llogari anonime me kriptomonedha mund të krijojë çdokush dhe të pranojë dhe të dërgojë para në llogari të tjera të tilla njësoj sikur të dërgonte një mesazh me email. Përveç kësaj tek sulmet ransomware nuk jeni të sigurt nëse kriminelët vetëm i kanë koduar të dhënat, apo paraprakisht edhe i kanë kopjuar dhe do i keqpërdorin ato (shesin, publikojnë, përdorin për vjedhje të identitetit). Në analogjinë me shtëpinë e mbyllur, ju, para se të paguani dhe para se të tentoni të hyni në shtëpi, nuk e dini nëse ato i kanë vjedhur gjësendet tuaja me vlerë.
A ka indicie për atë se kush qëndron pas këtyre sulmeve hakere? Sa mundësi ka që të zbulohen, apo se ndonjëherë edhe janë zbuluar?
Spirovski: Virusi Ransomware është një mekanizëm shumë i shpeshtë sulmi dhe përdoret si mjet nga një numër i madh grupesh kriminale në mbarë botën. Kur analizohet kodi i programit të virusit, ndonjëherë është e mundur të dihet se nga cili grup hakerash është shkruar virusi. Duhet të kemi parasysh se ekziston një treg ilegal ku shiten edhe viruse, ndaj ka shumë mundësi që një grup ta ketë blerë kodin e programit, të ketë bërë ndryshime të vogla në të dhe ta përdorë atë për sulmin e tij, pavarësisht nga autorët origjinalë. Në këtë mënyrë, analiza e kodit të programit mund të çojë edhe në një përfundim të gabuar.
Një nga mënyrat për ta zbuluar se kush qëndron pas sulmit është gjurmimi i rrugës së parave të shantazhit. Kjo deri diku është e mundur të bëhet edhe kur përdoren kriptomonedha, të cilat edhe pse janë anonime janë plotësisht transparente gjatë transferimit të parave. Transferimi i kriptomonedhave nga një llogari anonime në një llogari tjetër anonime në internet është plotësisht i dukshëm. Nëse autoritetet hetimore tregohen mjaft të durueshëm, ndërsa krimineli bën një gabim dhe në një farë mënyre “i shpëton” që llogaria anonime është e tij, ai mund të gjendet.
A mund të na tregoni pak historinë e këtij lloji të sulmeve hakere, kur kanë filluar të përdoren? A ka dhënë përgjegjësi dikush deri më tani për akte të tilla?
Spirovski: Virusi i parë ransomware është krijuar në vitin 1989 me një trojan (lloj virusi) të quajtur “AIDS Trojan”, i cili ka koduar vetëm emrat e dosjeve. Më pas këto lloj virusesh kanë përjetuar disa evolucione, kryesisht në mekanizmin e kodimit të të dhënave.
Shpërthimi i viruseve ransomware vjen me popullarizimin e kriptomonedhave, kah fundi i vitit 2013 me virusin “CryptoLocker”, me të cilin për herë të parë u kërkua shpërblim në kriptomonedhë – bitcoin dhe u morën mbi 27 milionë dollarë shpërblim. Anonimiteti i kriptomonedhave e bën shumë të vështirë ndjekjen e kriminelëve, gjë që i bën sulmet me shantazhim shumë të famshme.
A ka arritur dikush t’i kthejë të dhënat e vjedhura pa paguar? Cilat janë shumat më të kërkuara?
Spirovski: Mënyra e vetme e sigurt për t’i kthyer të dhënat pa paguar shpërblimin është duke bërë një kopje të të dhënave (backup) në një vend të paarritshëm që virusi ransomware të mos mund t’i kodojë ato.
Disa viruse ransomware kanë një mekanizëm kodimi jo aq të fuqishëm, kështu që çelësi i enkriptimit mund të thyhet, por ky është një rast relativisht i rrallë dhe kërkon përfshirjen e ekipeve të specializuara forenzike dhe përpjekje të afatgjata për deshifrim.
Rasti më interesant i kthimit të të dhënave ka ndodhur në fillim të vitit 2023 kur një virus ransomware që i përkiste grupit të hakerëve LockBit kodoi sistemin e një spitali fëmijësh në Kanada – një incident ky që nuk ka qenë planifikuar aspak nga hakerët. Grupi i hakerëve kërkoi falje dhe publikoi çelësin për dekodimin e të dhënave, pa asnjë kompensim. Të gjitha viktimat e të njëjtit virus i dekoduan të dhënat e tyre.
Shumat mesatare të kërkuara përmes shantazhimit gjatë viteve të fundit janë rritur në mënyrë dramatike. Në fillim të vitit 2018 shuma mesatare e kërkuar ishte 6.000 dollarë, që në fund të vitit 2021 të arrijë në 220.000 dollarë.
Në opinion shpesh është folur se sulmet e këtij lloji ndaj sistemeve shtetërore dhe institucioneve publike janë pasojë e “luftës hibride” në Evropë dhe në kontekstin e pushtimit real ushtarak të Rusisë në Ukrainë. Cila do të ishte lidhshmëria, nëse ka një të tillë?
Spirovski: Viruset ransomware janë një lloj sulmi shumë i shpeshtë në të gjithë botën. Vetëm në janar të vitit 2023 kishte njëmbëdhjetë sulme të tilla ndaj organizatave shumë të mëdha në mbarë botën, si dhe edhe disa dhjetëra herë më shumë sulme të tilla për të cilat mediat nuk ishin të interesuara të raportojnë. Një sulm i tillë zakonisht është plotësisht i automatizuar dhe nuk duhet lidhur me interesat e shteteve apo blloqeve ushtarake.
Kam ndjekur disa deklarata të FBI-së në të cilat një sulm i veçantë ransomware është lidhur me një shtet, por ato deklarata janë të shoqëruara me përfundime të një natyre teknike që sqarojnë korrelacionin midis sulmit, kodit të programit, teknikave specifike të përdorura nga ekipet e vendeve.
Nëse ndonjë institucion ka vënë re një lidhje të tillë në shembullin tonë të sulmit ransomware, do të isha mirënjohës që informacionet në lidhje me përfundimet teknike që mundësuan një korrelacion të tillë t’i ndante me publikun.
Sipas mendimit tuaj, pse sulmet e hakerëve dhe rëniet e sistemeve në institucionet publike në Maqedoni janë bërë më të shpeshta pikërisht tani?
Spirovski: Kemi pasur disa lloje të ndryshme incidentesh. Disa prej tyre – lajmërimet për bomba, hakimi i faqeve të institucioneve, bllokimi i ueb-faqeve të bankave – kishin për qëllim aktivizmin politik ose defokusimin e shtetit. Pjesa tjetër – sulmet me ransomware viruse ngjasojnë më tepër si sulme kriminale.
Unë mendoj se tregu i hakerave është zgjeruar shumë dhe se shumëkush mund të arrijë në shërbime të tilla për interesin e tyre. Rritje të sulmeve të hakerëve nuk ka vetëm në Maqedoni. Digjitalizimi dhe rritja e aktiviteteve të biznesit në sferën digjitale me vete i solli edhe kriminelët.
Ekipet e hakerëve që fillimisht janë organizata kriminale i organizojnë dhe i zgjerojnë gjithnjë e më shumë operacionet e tyre për përfitime. Në të njëjtën kohë, gjithnjë e më shumë shërbimet e tyre përdoren nga grupe me interesa të ndryshme, disa prej tyre për interesa kriminale, disa për interesa konkurruese, disa madje edhe për interesa politike. Por anonimiteti pothuajse i përsosur i këtyre sulmeve më pamundëson të vlerësoj nëse ka një korrelacion të drejtpërdrejtë me ndonjë kontekst politik.
A investohen në vendin tonë fonde dhe burime të mjaftueshme për t’u mbrojtur nga ky lloj sulmesh softuerike?
Spirovski: Kompanitë me të cilat kam bashkëpunuar – të gjitha nga sektori privat – kanë një numër të madh të mekanizmave për mbrojte dhe parandalim kundër sulmeve të tilla. Por në rastin e sulmit ransomware ndaj Fondit për Sigurim Shëndetësor ne nuk kemi asnjë informacion për vetë incidentin, cilat sisteme janë sulmuar dhe cilat mekanizma për mbrojtje kanë ekzistuar.
Këtu do të doja të theksoja që sulmet e hakerëve sot janë një realitet me të cilin jetojmë. Asnjë organizatë nuk është e përgatitur në mënyrë të përkryer për t’i parandaluar të gjitha sulmet. Sot, gatishmëria e një organizate vlerësohet jo në padepërtueshmërinë absolute, por në shpejtësinë dhe lehtësinë me të cilën do të rikuperohet pas incidentit.
Për ta përmirësuar pozitën sa i përket sigurisë, organizatat dhe shteti duhet të praktikojnë informim transparent dhe përfundime të qarta dhe transparente për atë që ka ndodhur, ku ka ndodhur gabimi, si mund të ishte parandaluar ose korrigjuar dhe çfarë duhet bërë për ta përmirësuar gjendjen . Vetëm me një qasje të këtillë të gjitha institucionet mund ta përmirësojnë pozicionimin e tyre për një rezistencë më të mirë ndaj sulmeve të hakerëve.
Për fat të keq gjatë incidentit të fundit ne marrim vetëm deklarata gjysmake, të papërfunduara, copë-copë. Publiku ende nuk e di se çfarë ka ndodhur saktësisht, pse dhe me çfarë mekanizmash konfirmimi është arritur në përfundimin se të dhënat nuk janë vjedhur, por se janë koduar.
Për çfarë duhet të kenë kujdes qytetarët, kompanitë dhe institucionet në aspektin e mbrojtjes të të dhënave të tyre? A mund të jepni, për shembull, pesë rekomandime kryesore për ta?
Që të mund të mbrohemi ne fillimisht duhet ta kuptojmë mekanizmin e shpërndarjes.
Mënyra më e zakonshme për ta shpërndarë një virus ransomware është përmes mesazheve në e-mail që janë dizajnuar në atë mënyrë që tek pranuesi të ngjallin një reagim emocional (kuriozitet, zili, zemërim, frikë) dhe ta bëjnë atë që ta shkarkojë dhe ekzekutojë një program në të cilin fshihet virusi ransomware.
Mënyra e dytë më e zakonshme e shpërndarjes është gjatë shkarkimit të kopjeve piraterike të programeve në të cilat shpesh fshihet ky virus ransomware.
Mënyra e tretë më e zakonshme e shpërndarjes është përmes vullnerabilitetit të softuerit në kompjuter i cili është i dukshëm në internet e kështu virusi të depërtojë duke e shfrytëzuar atë vullnerabilitet. Kjo për momentin është aktuale me një produkt të njohur – “VMware ESXi” i cili është sulmuar nga një virus ransomware i quajtur “ESXiArgs”.
Mbrojtja kundër viruseve ransomware varet nga higjiena e mirë digjitale, parandalimi dhe backup-i.
1. Bëni rregullisht kopje rezervë të të dhënave tuaja, në një medium që e mbani të shkëputur nga kompjuteri kur nuk jeni duke i kopjuar të dhënat (duke bërë backup).
2. Kini kujdes me mesazhet që i pranoni në e-mail. Nëse një mesazh është i papritur dhe tepër i mirë për të qenë i vërtetë ose që ngjall një reagim emocional, mos i hapni bashkëngjitjet ose linqet në mesazh.
3. Mos shkarkoni kopje piraterike të programeve dhe mos i instaloni ato.
4. Përditësoni rregullisht sistemin tuaj operativ dhe programet në kompjuterin tuaj.
5. Instaloni një softuer funksional dhe të përditësuat në kompjuterin tuaj.
Përndryshe, sistemi i FSSh-së është i padisponueshëm që nga 7 shkurti i këtij viti. FSSh më pas raportoi se ata kishin një problem teknik dhe mosfunksionim të një pjese të serverëve dhe se po punojnë për diagnostikimin dhe mënjanimin e problemit.
Sistemi shërben për qytetarët që të mund të kontrollojnë sigurimin e tyre shëndetësor, zgjedhjen e mjekut amë, ndërsa vetë të punonjësit shëndetësor mund të kontrollojnë informacionet për pacientët e tyre dhe shërbimet tjera.
