Epidemie ransomwaru WannaCry vyvolala samozřejmě velké množství komentářů. Tentokrát se hned několik z nich shodlo zhruba na následujícím: nestačí mít aktualizovaný antivirus ani nasazovat aktualizace operačního systému. Důležité je mít i moderní systém, a to i když ten starší je ještě podporovaný. V Microsoftu musí mít z těchto komentářů radost.
Sumir Karayi ze společnosti 1E v této souvislosti zmiňuje velmi pomalou adopci Windows 10; z jejich průzkumu vyplynulo, že i mezi společnostmi nad 50 000 zaměstnanců migraci na Windows 10 dokončilo pouze 6 %. Přitom nový OS nabízí určité ochranné funkce, které pak zvyšují zabezpečení bez ohledu na vydávání a nasazování bezpečnostních záplat. Karayi uznává, že Windows 7 jsou oblíbené a do migrace na Windows 10 se podniky nehrnou, jenže funkce jako Device Guard, Credential Guard a Secure Boot ve Windows 7 (a samozřejmě už vůbec ne ve Windows XP) nejsou. 64 % respondentů pak tvrdí, že migraci na Windows 10 dokončí za více než rok; během té doby budou jejich systémy zranitelné, uvádí alespoň Karayi na HelpNet Security. Karayi dokonce radí šéfům IT, aby migraci nechápali jako náklad nebo překážku, ale jako příležitost, nasazovali nové verze hned, jak je to možné, a ne, „až když se tomu už nelze vyhnout“.
Dalo by se samozřejmě oponovat a může to být i tak, že masová migrace na Windows 10 přijde až s nějakou jejich další verzí; Microsoft oblíbené a neoblíbené systémy obvykle střídal, u Windows 10 se to ale nějak kouslo – nebo jinak řečeno, Windows7 zeřejmě zákazníkům vyhovují velmi, podobně jako předtím XP.
Viz také: Windows Vista – konec systému, který nikdo nechtěl).
Odložit upgrade nemá znamenat nechat vše být
Limor Kessemová z IBM prohlásila v této souvislosti, že na útoku WannaCry je pozoruhodná vlastně jen jediná věc, a to použití ransomwaru. Jinak podobných ničivých epidemií už byla spousta. Nemá smysl lamentovat nad tím, že se nenasazují záplaty a už vůbec ne dumat o nějakých změnách paradigmatu. Základem problému je prosté řízení rizik, na jedné straně rovnice náklady změny, na druhé straně pravděpodobnost, že se něco semele, krát očekávaná výše škod. Liší se v tomto ohledu ransomware nějak od útoků, které mají za cíl pouze ničit, zaměřují se na odmítnutí služby nebo na krádeže dat? Kessemová tvrdí, že když v letech 2013-2014 končila podpora Windows XP, ransomware teprve vystrkoval růžky.
Riziko se zdálo být relativně nízké a ponechat Windows XP bylo logické. Chyba byla, že se to bralo jako řešení (málem) jednou provždy. V letech 2015-2016 se měla otázka znovu otevřít a tentokrát už vyhodnotit tak, že upgrade je nutný. Navíc s každým úspěšným a medializovaným útokem roste riziko i do budoucna, protože situace láká další skupiny podvodníků.
Proč zdravotnictví a ne banky?
To, že útokem WannaCry bylo zasaženo britské zdravotnictví, je částí komentátorů interpretováno jako doklad nepružnosti státních institucí. Zastaralé vestavěné systémy se stejně tak používají v platebních terminálech, bankomatech a průmyslových zařízeních. Poučení zní, že i když migrace v tomto případě může být nákladná (specializovaný software běží pouze na starším OS), nelze se jí vyhnout. Čistě z hlediska funkčnosti by třeba některá vestavěná zařízení vystačila i s DOSem, jenže funkčnost nepředstavuje jediné kritérium. Proč ale útok zasáhl zdravotnická zařízení a ne banky? Prostě proto, že ve zdravotnictví se dosud investice do IT/zabezpečení do IT nepokládaly za prioritu – na rozdíl od finančních institucí, v nichž také najdeme Windows XP.
Andrew Stuart ze společnosti Datto rovněž na HelpNet Security uvádí, že podobně jako zdravotnické organizace jsou ransomwarem ohroženi všichni, kdo mají omezené prostředky na bezpečnost – takže prakticky všechny malé a střední firmy. Zmiňuje i další průzkumy, podle nichž je ransomware dnes jasně nejpopulárnější formou internetové kriminality. Útočníci do ransomwaru přidávají se sofistikované techniky, kdy malware dokáže odhadnout, kde se uchytil, a podle toho upravit částku požadovanou za dešifrování dat.
Navíc, protože obvykle se požaduje platba v měnách typu bitcoinu, ransomware často obsahuje skutečně uživatelský vstřícný (poněkud ironické, že) popis, jak takovou platbu techniky provést (podvodníkům jinak reálně hrozí, že oběti by třeba i zkusily zaplatit, ale nevědí jak). Stuart každopádně shrnuje, že setrvalá hrozba ransomwaru působí mnohem větší škody než jeden globální a medializovaný incident.
Zálohování nemusí stačit
Dave Cartwright na The Register vzpomíná na to, jak se stal administrátorem systémů Solaris po epidemii červa Morris v roce 1988. Už tehdy odpovídal na otázky, co se má dělat, aby se podobná věc neopakovala. Ve světle dalšího vývoje se přímo nabízí odpověď, že se opakovat prostě bude (což ale neznamená, že je jen náhoda, kdo zrovna dostane do rukou Černého Petra). Cartwright se přimlouvá také za upgrady na nové verze Windows, a to kvůli tomu, že považuje za neefektivní řídit infrastrukturu a udržovat aktuálních více operačních systémů vedle sebe. Což by se dalo chápat třeba i tak, že určité verze se přeskočí, ale když se přejde, tak se přejde všude; migrace není třeba rychle zahajovat, ale rychle je provést.
Cartwright podobně jako Kessemová (viz výše) považuje při boji s ransomwarem i jinými typy útoků za rozhodující faktor řízení rizik. Známá rizika lze vyřešit, zmírňovat nebo se s nimi smířit a možné škody zahrnout do ekonomických rozvah. Možná na řadě míst bylo opravdu třeba ponechat systémy s Windows XP, ale určitě šlo spolu s tím provést opatření, která by rizika zmírnila. Navíc si administrátoři jistě ulehčili práci a mnohde ponechávali staré verze OS plošně („když už to prošlo někde, tak si usnadníme práci i jinde“). Nakonec Cartwright dodává, že malware stále častěji infikuje vše, servery, úložiště i zálohovací agenty. Takže samotné zálohování bude pomáhat stále méně a při pokusu o obnovu navíc stále více firem zjistí, že přišly i o zálohy.
