Cybersecurity Nr. 3 / 2018
Trends
In memoriam Romulus Maier (1960-2018) Când companiile sunt atacate prin angajaţii lor: tipologii de atacuri şi mijloace de apărare
ends Editorial - Cybersecurity Tr
Sit tibi terra levis amice! - un ultim omagiu lui Romulus Maier Autori: Laurent Chrzanovski şi
Mihaela Gorodcov
România, cu comoara sa de expresii luate din diferite civilizaţii, este singura ţară latinofonă unde cea mai folosită expresie de doliu găsită în epigrafia funerară română a supravieţuit intactă, «să-i fie ţărâna uşoară». Lumea, companiile şi Romulus Maier presa din domeniul IT nu au realizat, încă, dar a plecat dintre noi Romulus «Romi» Maier. Cu curaj, perseverenţă, smerenie şi modestie care erau «marca sa de fabrică», Romulus a creat, iniţiat, realizat foarte multe pentru piaţa de IT fără ca numele său să fie, vreodată, în lumina reflectoarelor, întrucât a plecat de asemenea manieră, stingând lumina fără zgomot. Curajul a fost cel care l-a împins pe Romulus Maier, în cel mai sumbru an pentru economia românească postdecembristă – 1992 – să înfiinţeze grupul de presă AGORA. Prin grupul său, a fost iniţiator şi apoi director nu numai a numeroase reviste şi publicaţii, dar şi organizator de conferinţe şi evenimente de profil. Într-o listă non exaustivă putem menţiona revistele «If», «PC Report», «Open – Tehnologia Informaţiei», «Byte România», «Net Report», «Gazeta de informatică», «PC Magazine România», «eWeek România», «IT Trends», sau «Digital Trends». Împreună cu Romulus, am înfiinţat în 2013 singurul congres anual de dialog internaţional din Europa Centrală care este strict non-profit, apolitic, neutru, non-marketing şi non-tehnic, «Cybersecurity-România», susţinut de la prima sa ediţie de către Uniunea Internaţională a Telecomunicaţiilor (ITU-ONU, Geneva). Remarcând talentul Grupului Agora şi al Swiss Webacademy de a genera acest dialog, nu puţini au fost partenerii instituţionali, din România şi din străinătate, care ne-au cerut să îl perenizăm sub forma unei reviste trimestriale. Îmi amintesc ca parcă fusese ieri. Am discutat la Bucureşti, la cafenea, cu Romi, care flegmatic a spus
direct «hai să-l facem», fără ezitări. Aşa s-a născut, în martie 2015, revista «Cybersecurity Trends», disponibilă tuturor cititorilor români, în mod gratuit, pe net. În acelaşi an, congresul şi revista au devenit singurele din continent premiate cu cea mai mare distincţie a Uniunii Internaţionale a Telecomunicaţiilor, aceea de «Best practice example for the European Continent». Azi, revista există în 5 limbi şi congresul se desfăşoară anual, nu numai la Sibiu, dar şi în Elveţia şi în Italia. Aprecierea peste hotare, trebuie să mărturisim, a fost mult mai mare decât în ţară: în România, am văzut nu puţine zâmbete cu subînţelesuri – desigur îi finanţează cineva prin spate – când lumea afla că revista, ca şi congresul, erau făcute pe bază de voluntariat, publicaţii – prezente numai în ediţie din România – permiţând de a susţine costurile de tipar a celor 2000 de exemplare destinate instituţiilor şi partenerilor. «Cybersecurity Trends» este o creaţie care poartă, în toate variantele sale lingvistice, de la Roma la Paris, de la Londra la Berlin, spiritul lui Romulus Maier: toată lumea colaborează, fără plată, pentru generarea unei culturi de securitate. Pe lângă instituţii naţionale sau supra-naţionale, revista construindu-se în jurul unui principiu de bază care a permis publicarea gratuită în limba română a textelor multor specialişti de rang mondial care nu au avut niciodată pretenţii să primească drepturi de autor. Şi aşa, revista a adus materiale de mare calitate către cititorii săi. Curaj şi altruism pentru a permite unei societăţi să nu fie pradă nici hackerilor, nici vendorilor inconştienţi (inconsecvenţi) care schimbă
1
ds Editorial - Cybersecurity Tren compania în fiecare an. Prin revistele sale, prin numeroasele evenimente anuale, Romulus Maier a adus României spiritul care în mod normal se alătura unei societăţi de piaţă mature, ceea ce nu este cazul deloc. Romulus a fost un pionier, un vizionar, un avangardist în două domenii – presă şi evenimente, mai ales în zona de IT – unde lumea vede numai banul, apoi, în mod foarte secundar, calitatea. «Cybersecurity Trends» 2018, nr. 2, a ieşit câteva zile înainte ca Romi să ne părăsească. Simţeam că era ultimul număr, simţeam că undeva nu mai era – de obicei la închiderea revistei venea cu tot felul de propuneri de poze pentru copertă, unele mai serioase, unele mai haioase: era momentul nostru de relax ştiind că ediţia era complet paginată şi corectată. De data asta nu a fost aşa. De data asta, în sufletele noastre, Romulus este pe copertă. Dar pentru a descrie până la capăt ce mare om a fost Romulus şi ce gol lasă în piaţa de IT, cuvintele doamnei Mihaela Gorodcov vor fi, desigur, mai oportune decât ale noastre: «Am aflat cu mare tristeţe ştirea despre «plecarea» lui Romi! Chiar dacă ştiam că este bolnav (de multă vreme) vestea în sine este greu de crezut! Ne-am întâlnit acum ceva vreme, am stat de vorbă şi la acel moment încă părea hotărât să lupte mai departe... Apoi
2
ne-am revăzut la o conferinţă organizată în parteneriat când a venit foarte puţin şi era vizibil marcat de boală. A fost ultima dată când ne-am văzut. Am fost – încă de la începutul anilor ’90 – competitori! Da, aşa este! Fiecare cu drumul său, fiecare cu strategia proprie, dar, amândoi, cronicari împătimiţi ai pieţei de IT din România. Şi, sunt convinsă, ne respectam reciproc pentru că ştiam amândoi că este greu, că este provocator, că este în permanenţă un pariu zilnic pe care trebuia să îl câştigăm. Un pariu care însemna o adevărată echilibristică pe care o făceam între responsabilităţile pe care le aveam (faţă de oamenii noştri, faţă de partenerii noştri etc.) şi dorinţa de a construi ceva durabil, de a pune câte o cărămidă la această piaţă de IT, de a fi oneşti şi de a vedea doar lucrurile bune! Acum câţiva ani am devenit parteneri! Da, am devenit parteneri! Ne cunoşteam bine, aveam aceleaşi valori, piaţa de IT începuse contracţia şi era nevoie să stăm umăr la umăr şi să ne continuăm misiunea şi menirea în ultimă instanţă! Şi am făcut-o! Şi a fost bine. Vorbeam puţin, dar ne înţelegeam instant. Vorbeam aceeaşi limbă, ştiam aceleaşi lucruri, aveam «şcoala» a ceea ce englezii numesc «resilience»! Şi mai ales, ne respectam pentru că încă de la începuturi am avut aceleaşi repere. Ce ar mai fi de spus? Ca niciodată, am cam rămas fără cuvinte... Încă nu procesez bine plecarea lui Romi! Dar, o vom realiza, cel puţin aşa sper, toţi cei din industrie (şi mă refer aici inclusiv la companiile de IT, la agenţii, la colegii de breaslă etc.) când la conferinţele de presă (atâtea câte vor mai fi) va fi un scaun gol! Şi cred cu tărie că aşa ar trebui să rămână... Rămas bun, Romi! Chapeau!» (Mihaela Veronica Gorodcov)
Focus
GDPR - o adevărată oportunitate pentru o nouă revoluţie digitală la nivel de conformitate și nevoile care au apărut ulterior termenului limită. Unele dintre cele mai importante concluzii sunt: !Doar 20% dintre companii au finalizat complet implementarea GDPR; !Companiile sunt conforme cu politicile și procedurile de actualizare și cu managementul consimţământului pentru cookie-uri, și mai puţin conforme cu managementul riscului furnizorilor și transferul internaţional de date; !50% dintre companii vor solicita validarea conformităţii cu GDPR de către o firmă independentă.1” Faptul că o companie poate respecta mai mult politicile și procedurile de actualizare, dar mai puţin managementul riscului furnizorilor și transferul internaţional de date nu este tocmai în regulă. Da, politicile fac parte din modul
Autor: Marjola Begaj
Mulţimea de rapoarte, cercetări și informaţii legate de respectarea Regulamentului de Protecţie a Datelor cu Caracter Personal (GDPR) înainte și după termenul limită din luna mai, pare încă insuficientă pentru a face faţă eforturilor de conformitate cu acest regulament. Unul dintre cele mai recente rapoarte care mi-a fost trimit pe email cu doar câteva săptămâni în urmă sună astfel: Un nou raport de cercetare realizat de TrustArc centralizează nivelul de conformitate GDPR, după data de 25 mai, pentru 600 de companii din SUA, Marea Britanie si alte companii din UE. „ ...Oferă, printre altele, informaţii despre abordările lor cu privire la conformitatea GDPR, principalele provocări
BIO Studii de drept și experiență în cadrul internațional și european de reglementare, programe și politici. Marjola a trăit și a lucrat în Marea Britanie, Italia, Albania și are o experiență de mai mulți ani în sprijinirea IMM-urilor și a start-up-urilor în abordarea lină, inovatoare și profitabilă a problemelor de conformitate și afaceri. De asemenea, este interesată de etica, afacerile și impactul social al tehnologiei în era tehnologiei informației. Marjola este membru asociat al Asociației internaționale de conformitate (ICA) din Marea Britanie și deține o diplomă în International Financial Crime Prevention și un certificat în Understanding Cyber Security.
de respectare a criteriilor de parcurs ale GDPR, dar ar trebui, în cel mai bun mod, să reflecte, printre altele, cum este gestionat riscul vânzătorului prin transferul internaţional de date. Și totuși, companiile au avut la dispoziţie doi ani de perioadă de tranziţie pentru a implementa GDPR în cadrul proceselor lor. Dar nu a fost o chestiune de timp și nici măcar o chestiune de a nu fi deloc familiarizat cu legile privind protecţia datelor. Problema reală a acestei reglementări este că, pentru prima dată, ne confruntăm pe o scară largă cu lipsa culturii din cadrul companiilor și din sectorul public cu privire la modul în care tratează și protejează datele cu caracter personal. Și cât de importantă este securitatea informaţiilor din lumea digitală. Și toate acestea ies la iveală în mijlocul unui nou val de transformări digitale cum ar fi AI, IoT, Blockchain și criptomonede. Tehnologii care se hrănesc cu datele noastre, printre altele. Cu toţii știm, și cu GDPR trebuie să știm, că identitatea noastră, bazată pe datele noastre personale, este direct legată de tot ceea ce folosim și facem, de la: !Servicii financiare !Sănătate !Vot !Proprietăţi (fizice dar intelectuale) !Comunicare !Divertisment !Călătorii, și până la !Caracteristicile și măsurile de securitate utilizate - unele dintre ele deja bazate pe date personale (în special date biometrice, cum ar fi amprentele
3
Focus - Cybersecurity Trends digitale, recunoașterea feţei și a vocii, bătăile inimii pentru a menţiona câteva). Astfel, modul în care sunt utilizate aceste elemente de date și serviciile pe care toate aceste tehnologii le promit să le ofere sunt foarte importante pentru economie și pentru bunăstarea societăţii noastre. Și aici se localizează însuși GDPR. S-ar putea să existe diferite modalităţi de a vedea și interpreta GDPR, în ceea ce privește aplicaţiile și implicaţiile reale. Dar există câteva considerente de bază, care nu se vor schimba în următorii ani: În primul rând, în afară de simplul sens juridic al Regulamentului2 General3, principalul subiectul al GDPR îl reprezintă datele personale și protecţia acestora, iar în articolele sale găsim mai detaliat cine, cum, ce, unde și când. Principalele domenii sunt: !Drepturile persoanelor vizate !Responsabilitate !Securitate !Procesori, terţe părţi și transfer internaţional de date. !Sancţiuni mai mari - considerate a fi o modalitate mai eficientă de a reduce abuzul de acest drept! În al doilea rând, motivul central al punerii sale în aplicare este integrarea drepturilor fundamentale în procesul legislativ al UE. În mod specific, dreptul de protecţie a datelor cu caracter personal menţionat în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene4. GDPR este departe de a fi perfect și, în ceea ce privește eficienţa, necesită o practică de zece ani pentru a se dovedi astfel. Poate fi supus unor schimbări și, așa cum se întâmplă deseori cu orice act juridic, este deschis la interpretare. Cu toate acestea, un lucru nu se va schimba, cel puţin pentru o lungă perioadă de timp, iar acesta este dreptul fundamental de protecţie a datelor cu caracter personal. În al treilea rând, își propune să restabilească încrederea în sectorul digital și în afaceri, să promoveze inovarea, să sporească securitatea cibernetică și să orienteze atât cultura, cât și modalităţile practice de evoluţie a vieţii digitale și a securităţii acesteia. Securitatea informatică nu poate fi îmbunătăţită fără o înţelegere corectă a relaţiei dintre securitate și alte imperative naţionale (și internaţionale), cum ar fi intimitatea, transparenţa și tehnologia. Având în vedere modelul Cyber 2025 propus de Windows, se poate spune că GDPR se situează în scenariul Peak, care are ca una dintre principalele caracteristici faptul ca politicile și standarde guvernamentale să fie clare și eficiente5. În cele din urmă, GDPR devine un standard de facto în întreaga lume. Acesta trebuie respectat de toate companiile de tehnologie care lucrează cu datele clienţilor din UE, respectiv de orice companie multinaţională care operează în Europa. Și nu este vorba doar de acest aspect. Regulamentul are influenţe și asupra altor ţări din afara UE. Spre exemplu, statul California (SUA) a adoptat recent o lege extinsă privind
4
confidenţialitatea consumatorilor, care ar putea duce la schimbări semnificative asupra companiilor care se ocupă de datele cu caracter personal - și mai ales cele care operează în spaţiul digital. Această lege, prevăzută să intre în vigoare la începutul anului 2020, se aplică din punct de vedere tehnic numai locuitorilor din California, însă ea va avea, cel mai probabil, implicaţii mult mai largi. Majoritatea companiilor importante care se ocupă de datele consumatorilor, de la comercianţii cu amănuntul la furnizorii de reţele mobile până companiile de internet, toate au clienţi californieni. Aceste companii vor avea două opţiuni principale: fie să-și modifice infrastructurile globale de protecţie pentru respecta legea din California, fie să instituie un sistem regional separat în care californienii sunt trataţi într-un fel și toţi ceilalţi altfel. Această ultimă opţiune poate fi mai costisitoare pentru companii și ar putea deranja clienţii non-californieni în cazul în care furnizorul de servicii le va oferi mai puţine opţiuni de confidenţialitate a datelor. Într-adevăr, întrebări similare cu privire la drepturile datelor americanilor au apărut în timpul mărturiei lui Mark Zuckerberg din cadrul Congresului American, legată de respectarea de către Facebook a GDPR-ului UE. Dar, ce este mai important, având în vedere că datele personale și securitatea cibernetică dar și dezvoltarea de noi tehnologii sunt principalele subiecte de discuţie din ziua de astazi? Conformitatea în general este o povară și implică costuri reale pentru întreaga societate. Și GDPR nu te scutește de acest lucru. De fapt, orice respectare aplicată a GDPR-ului în cadrul unei organizaţii necesită trei lucruri esenţiale: !Cultura de conformitate !Monitorizarea continuă !Efortul în echipă Cultura de conformitate: O știre actuală menţionează: „The Information Commissioner’s Office (ICO) din Marea Britanie a amendat company Lifecycle Marketing (Mother and Baby) Ltd, cunoscută și ca Emma’s Diary, cu 140.000 de lire sterline pentru colectarea și vânzarea ilegală de informaţii personale aparţinând a mai mult de un milion de persoane6.” Nu se poate vorbi despre o cultură conformităţii în acest caz. Și totuși, au fost aduse în discuţie comportamentele controversate atât la nivelul companiei cât și la nivelul clienţilor săi. And yet, controversial behaviours from both companies and customers are part of the today debate. Iată ce a spus Chris Rouland, fondator și CEO al Bastille - „Aș dori să am oportunitatea de a plăti o sumă mai mare pentru păstrarea propriilor mele date sau, cel puţin, pentru garantarea faptului că datele mele sunt înstrăinate de către mine,”, completând că este dispus să îi plătească în plus 1.99 dolari pe lună companiei de la care are dispozitivul său mobil de fitness pentru a nu îi vinde mai departe datele7. Așa cum Geoff Mulgan - CEO Nesta menţionează într-una dintre prelegerile sale de la Colegiul Universitar „Majoritatea oamenilor devine destul de îngrijorată atunci când descoperă cât de multă informaţie lasă în urmă, totuși această colectare a datelor are și un avantaj uriaș, partajarea datelor, transbordarea datelor poate duce la oferirea de
servicii mai bune, sau chiar la reducerea criminalităţii, și așa mai departe. Cred că în următorii 10 ani vom avea nevoie de un nou contract social, în jurul acestor date”. Pentru moment avem doar baza legală a acestui contract – GDPR-ul. Monitorizarea continuă: - „Un hacker a spart câteva dintre sistemele Reddit și a reușit să acceseze anumite date despre utilizatori, inclusiv unele adrese de e-mail curente și bază de date de rezervă din 2007 care conţinea parole vechi. De atunci efectuăm o anchetă minuţioasă pentru a afla exact ceea ce a fost accesat și pentru a îmbunătăţi sistemele și procesele noastre pentru a împiedica revenirea acestei situaţii.” se menţionează într-o notificare oficială a companiei respective8. Oare ce s-ar fi întâmplăt dacă s-ar fi efectuat înainte o evaluare a impactului protecţiei datelor (DPIA)? Cum ar fi fost ca investigaţia datelor existente să fie deja făcută și acest lucru să ajute atât la efectuarea investigaţiei curente dar și la derularea unui plan de răspuns mai puţin dureros, mai rentabil, mai fiabil și receptiv? Monitorizarea continuă a sistemelor și proceselor, ca o practică obișnuită a rezilienţei cibernetice, nu mai este o opţiune în cadrul GDPR. Este obligatorie. Actorii implicaţi încă subestimează importanţa securităţii cibernetice și a datelor personale. Mai devreme sau mai târziu valurile de reglementări vor face ca securitatea cibernetică - care până acum este privită ca o modalitate de a proteja averile și se bazează pe niște principii – să devină un drept și un bun în sine. Sau, cel puţin, în viitorul apropiat, ne putem aștepta la o strategie de securitate cibernetică mai detaliată și bazată pe reguli. Efortul în echipă: - chiar și cei puternici greșesc. Google recent a retras 145 aplicaţii din Google Play deoarece s-a descoperit că acestea conţineau niște fișiere executabile Windows maliţioase. Acest tip de infecţie „reprezintă o ameninţare la adresa lanţului de software suply, deoarece dezvoltatorii de software maliţios sunt utilizaţi în mod eficient pentru atacuri la scală largă”9. Până în prezent, datele cu caracter personal ca activ digital și securitatea cibernetică nu sunt complementare. Este normal să te întrebi de ce la nivelul Biroul Comisarului pentru Informaţii nu s-a stabilit încă o alianţă cu o instituţie de importanţă majoră în strategia de securitate cibernetică din Regatul Unit10? Astfel, deși s-au trimis invitaţii pentru a se alătura unei alianţe mai multor instituţii, faptul că Autoritatea pentru Protecţia Datelor lipsea la prima strigare demonstrează foarte multe. Adevărul este că importanţa legăturii dintre datele personale, ca un activ digital și nu doar ca o o povară legată de conformitatea GDPR (sau legile naţionale privind confidenţialitatea), și securitatea cibernetică ca mijloc de a proteja aceste active nu este percepută la nivelul necesar nici măcar la nivelurile superioare. În concluzie, GDPR se referă la noi toţi. Provocările creează oportunităţi. GDPR reprezintă prilejul dezvoltării unor modalităţi creative de a echilibra problemele conflictuale și de a garanta protecţia datelor personale ca drept al omului. Dacă este adevărat, aceasta este valoarea extraordinară a aplicării tehnologiei digitale în noile servicii personalizate și mai mult în general în viaţa noastră. Este, de asemenea, adevărat că, odată cu tehnologiile emergente de acum, apar și probleme etice serioase legate de tehnologii cum ar fi inteligenţa artificială sau genomica. Dacă am petrecut ultimele câteva decenii învăţând cum să ne
mișcăm rapid, în decursul următoarelor decenii va trebui să ne reamintim cum încetinim. Sau poate că singura modalitate de a avansa este de a restabili simplitatea și eficienţa. Și nu putem gândi nici în silozuri. Totul este interconectat, la fel sunt și interesele implicate, jucătorii, reglementările, datele și securitatea. Nu ne putem permite să ne întoarcem în trecut, dar avem responsabilitatea de a face acum alegeri corecte și responsabile, pentru a crea un viitor mai bun al vieţii noastre digitale. Conformitatea se referă la mult mai multe aspecte și nu este un mod de luare a deciziilor care necesită doar o analiză cost-beneficiu. Se adresează celor care nu au văzut până acum că datele personale sunt un bun digital real care trebuie protejat sau celor care au abuzat de acest bun digital, iar acum este momentul ca această situaţie să fie îndreptată. Așadar, gândiţi-vă la GDPR nu ca la o povară de conformitate, ci ca la un element de schimbare a jocului, care trebuie utilizat pentru progresul mai coerent și mai etic al construirii noilor tehnologii dar și pentru realizarea de noi afaceri, luând în considerare principiile sale: !securitatea datelor cu caracter personal, !responsabilitate și răspunderea atât a companiilor, cât și a indivizilor !relaţia sa cu alte principii fundamentale ale societăţii noastre și evoluţia continua a noilor tehnologii. !
1 https://info.trustarc.com/CS-2018-07-25-SC-Mag-UK-Q3-GDPRPost25_ ResearchReport_LP.html. 2 Regulament înseamnă că se aplică direct tuturor membrilor UE fără a fi nevoie să fie implementată în legislaţia naţională. 3 General înseamnă că acoperă în mare măsură tot ce are legătură cu subiectul său. Dar, de asemenea, aceasta înseamnă că este supusă regulii de interpretare cunoscuta în latină ca generalia specialibus non derogant - dispoziţiile unui statut general trebuie să se conformeze unor dispoziţii speciale. Pur și simplu, în caz de conflict, prevalează cel special. 4 http://fra.europa.eu/en/charterpedia/article/8-protection-personal-data. Călătoria spre drepturile omului nu este una ușoară și chiar și astăzi drepturile omului au o viaţă dificilă. Printre altele, vă recomand o lectură semnificativă pentru cine este interesat să afle despre drepturile omului: Lynn Hunt, Inventing human rights. A history., W. W. Norton & Company, New York-London 2007 5 Cyberspace 2025: Today’s decisions, Tomorrow’s Terrain. Navigating the Future of Cybersecurity Policy, iunie 2014, disponibil la https://query.prod.cms.rt.microsoft. com/cms/api/am/binary/REXXtS 6 Emma’s Diary a fost amendată cu 140,000 lire sterline pentru vânzarea de informaţii personale pentru campanii politice, disponibil la https://ico.org.uk/about-the-ico/ news-and-events/news-and-blogs/2018/08/emma-s-diary-fined-140-000-for-sellingpersonal-information-for-political-campaigning/. A se vede: ICO a pus dispus verificarea practicile de partajare a datelor în cursul acestui an pentru cele 11 principale partide politice din Marea Britanie, adresându-se inclusiv brokerilor de date, precum Experian, ca parte a anchetei sale privind analiza datelor. Mai multe informaţii: https://ico.org.uk/media/action-weve-taken/2259369/ democracy-disrupted-110718.pdf ; O altă perspectivă: http://www.ewdn.com/2018/08/09/supreme-court-rejectstelegrams-appeal-over-fsbs-demands-to-access-users-messages/ 7 Danny Bradbury. How can privacy survive in the era of the internet of things? http:// www.theguardian.com/technology/2015/apr/07/how-can-privacy-survive-theinternet-of-things 8 Reddit discloses a data breach, a hacker accessed user data, available at https:// securityaffairs.co/wordpress/74982/data-breach/reddit-data-breach.html 9 https://securityaffairs.co/wordpress/74952/malware/play-store-malicious-apps.html 10 A grand Alliance of 17 leading UK organisations impacting cyber-security has been formed in response to a call by the UK government’s Department of Digital, Culture, Media and Sport (DCMS) to develop a national professional body for cyber-security. https://www.scmagazineuk.com/national-professionalbody-cyber-sec-established-combines-17-orgs-just-gov-criticised-inaction/ article/1488356?bulletin=sc-newswire
5
Focus - Cybersecurity Trends
Noua generaţie: Centre de Operaţiuni Cyber Multistrat/ Multifuncţionale - o abordare unică cu capabilităţi multiple Autor: Virgilius Stanciulescu,
Director IT, ANCOM
În ultimii ani, breșele de securitate în diferite sectoare, au dovedit necesitatea unei capacități mai bune de răspuns la incidente (IR) pentru a detecta, a restrânge și a remedia amenințările. Aceste breșe sunt dovezi că prevenirea nu mai este o abordare suficientă. Cu toate acestea, multe organizații nu au o capacitate IR matură și odată ce incidentul este remediat, organizațiile încă se întreabă cum să se asigure în mod eficient.
Prevenirea rămâne o componentă critică a unui program de securitate eficient și organizaţiile investesc din ce în ce mai mult în capacităţile de detectare și reacţie nativă, încercând să construiască Centrele de Operațiuni de Securitate (COS). O nouă abordare este aceea că oamenii, procesele și tehnologiile care sunt coloana vertebrală a COS trebuie să fie integrate într-un singur centru multistrat Cyber (CMC) care combină funcţiile: !Centrul de operaţiuni de securitate !Cyber Threat Intelligence (CTI), !Red Teaming, !Reducerea suprafeţei atacurilor (ASR) Centrul multistratificat/multifuncțional Cyber !este o abordare cuprinzătoare și integrată a securităţii. !misiunea CMC este de a proteja afacerea: bunurile sale, oamenii, clienţii și reputaţia. !se asigură că toate eforturile de securitate sunt coordonate eficient, prin valorificarea beneficiilor proximităţii (fizice sau logice) și comunicării ușoare între echipele de securitate.
6
!este conceput pentru a integra funcţiile cheie de securitate într-o singură unitate.
Componentele, scurtă descriere 1. Centrul de Operațiuni de Securitate (COS): inima CMC și prima linie a apărării unei organizaţii responsabile de detectarea, reacţia și remedierea ameninţărilor, precum și identificarea proactivă a activităţii rău intenţionate. În COS se află, de asemenea, cadrul pentru operaţiunile de apărare împotriva ameninţărilor, care este braţul înarmat cu arme cyber operaţionale și operative pentru operaţiunile de securitate și de intelligence, ajungând până la efectuarea unei analize detaliate a malwareului și construirea și îmbunătăţirea continuă a metodelor de prevenire și detectare. 2. Intelligence privitor la ameninţările cyber: primii „observatori” responsabili pentru identificarea ameninţărilor la adresa organizaţiei și pentru difuzarea rapoartelor la timp, relevante și acţionabile către COS, CxO și a altor părţi interesate. 3. Echipa Roșie:„atacatorii” care simulează tacticile, tehnicile și procedurile (TTP) specifice ameninţărilor relevante pentru organizaţie. Echipa Roșie va efectua teste continue, determinând îmbunătăţiri în detecţie, răspuns și în înţelegerea cu privire la ameninţări ale analistului COS.
4. Reducerea suprafeței de atac (RSA): grupul proactiv de apărare responsabil pentru identificarea și atenuarea/mitigarea vulnerabilităţilor, identificarea bunurilor critice/ necritice și a serviciilor ne/esenţiale, pentru reducerea posibilităţilor de atac. Mai mult decat managementul patch-urilor, echipele RSA se concentrează pe îmbunăţătirea continuă a procedurilor organizaţiilor pentru a elimina vulnerabilităţile înainte ca sistemele să devină live. Prin integrarea acestor funcții, CMC urmărește: !eliminarea barierelor de comunicare; !centralizarea cunoștinţelor despre ameninţări și a analizelor; !să unifice strategia de securitate a organizaţiei, !să maximizeze valoarea investiţiilor în securitatea informatică. Abordarea CMC reprezintă o interacţiune complexă între echipele de securitate cu mai multe puncte de acţiune comună, fluxuri de lucru paralele și mecanisme de feedback constante, deși funcţiile de securitate care alcătuiesc CMC nu sunt noi. Având în vedere aspectele de proiectare și implementare potrivite, organizaţiile pot: !creșterea eficacităţii operaţionale prin orchestrarea funcţiilor de securitate și a fluxului de informaţii de inteligence, prin operaţiuni de securitate și IT. !îmbunătăţirea pregătirii în materie de securitate, permiţând mecanisme mai puternice de detectare și conștientizarea ameninţărilor !accelerarea maturării securităţii prin reducerea costurilor, asigurand coordonarea unor funcţii complexe de securitate în mai multe echipe. CMC: !nu se distinge prin părţile sale individuale !se distinge prin integrarea și interdependenţele în toate funcţiile sale. !este mai mult decât o abordare de securitate, !este o abordare de securitate pe care organizaţiile o pot implementa pentru a se securiza mai bine, pentru a-și proteja clienţii și pentru a reduce pierderile.
Componentele, în detaliu
1
Un COS robust va recunoaște amenințările și va reacționa la acestea Organizaţiile recunosc rapid necesitatea de a detecta și de a răspunde la o varietate de ameninţări; blocarea ameninţărilor nu este suficientă. Centrul de Operaţiuni de Securitate (COS) este prima linie de apărare a organizaţiei împotriva tuturor formelor de ameninţări și este inima CMC. COS se va ocupa de orice activitate suspectă de malware și va lucra îndeaproape cu celelalte echipe din CMC. Un COS bine conceput și menţinut se va concentra pe obţinerea eficienţei prin instruirea continuă a analistului și mentorat și prin evaluarea constantă a tehnologiilor de securitate ale organizaţiei. 1.1 Arhitectură multistrat COS poate fi proiectat în jurul unui model simplu de detectare, identificare și atenuare a modelului. !Analiștii de nivel 1 sunt însărcinaţi să clasifice gravitatea evenimentului și să coreleze evenimentul cu orice istoric. !Dacă este necesar, analiștii de rangul 1 vor escalada incidentele la analiștii de nivel 2 și 3, care vor efectua investigaţii în profunzime și vor efectua analize pentru a determina ce sa întâmplat.
BIO Cu o experiență de 20 de ani IT&C, atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, conduce Direcția IT a ANCOM, Virgilius încerca cu spirit analitic și managerial să ducă ANCOM pe drumul transformării digitale. Viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure, o parte din sistemele de bază fiind operaționale și constituind bază de dezvoltare în continuare. Sistemul Integrat pentru Managementul Spectrului Radio, un sistem critic pentru managementul comunicațiilor în România este unul dintre ele, iar platforma eControl i-a urmat. Deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, expert în securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare in vederea respingerii atacurilor cyber.
1.2 Operațiuni de aparare impotriva amenințărilor !analiștii specializaţi sunt responsabili pentru crearea logicii de detectare sub formă de semnături, reguli și interogări personalizate, bazate pe informaţii despre ameninţări. Inginerii implementează logica de detectare la o serie de dispozitive, aparate, instrumente și senzori care alcătuiesc stiva de securitate a unei organizaţii. Regulile, semnăturile și interogările creează o reţea de senzori preventivi bazate pe ameninţări, care generează alerte de reţea/hosts la care analiștii de la Tier 1-3 din COS răspund. !Analiștii își vor regla apoi logica de detectare pe baza feedback-ului COS, creând un CMC eficient care nu va pierde timpul investigând alarmele false. !Echipa este, de asemenea, responsabilă pentru furnizarea de analize de malware în profunzime, care oferă informaţii tehnice valoroase (TECHINT) care pot fi folosite în logica de detectare. 1.3 Managementul alertelor Acest proces – de construire a soluţiilor de detectare și identificarea, atenuare a ameninţărilor – este problema cu care multe organizaţii se confruntă. Principalul punct
7
Focus - Cybersecurity Trends de reţinut este că mai multe tehnologii, unelte și feed-uri despre ameninţare nu aduc în mod obligatoriu și direct eficienţă. Fluxurile de lucru corecte sunt mai probabile a asigra reușită decât cele care prioritizează tehnologia. Organizaţiile ar trebui să se concentreze doar asupra tehnologiei care permite investigatorilor COS să petreacă mai puţin timp pentru colectarea datelor și mai mult timp pentru a investiga cauza principală a activităţii de care au fost alertaţi. 1.4 Operațiuni 24/7 și managementul investigațiilor Proiectarea și punerea în aplicare ar trebui să se concentreze asupra standardizării operaţiunilor zilnice, a managementului cazurilor și a metodelor de „măsurare a succesului”. Ameninţările moderne necesită ca COSurile să funcţioneze 24 de ore pe zi, 365 de zile pe an, necesitând programe de adaptare și roluri bine definite. Un sistem de gestionare a cazurilor bine integrat, care ajută în timpul investigaţiilor și care interacţionează fără probleme cu alte instrumente COS, este esenţial. Acest instrument oferă în mod ideal metrici cu privire la modul în care COS monitorizează, detectează și inregistrează cazuri în mod eficient și permite unei organizaţii să identifice vulnerabilităţi în oameni, procese și tehnologii. 1.5 Standardizarea operațiilor Implementarea cu succes necesită, de asemenea, o documentaţie precisă și actualizată. Acest lucru include documentaţia privind arhitectura reţelei, procedurile de operare standardizate (POS) și listele de puncte de contact. În cazul în care COS este considerat „inima” CMC, atunci POS acţionează ca „ritm”, îndrumând analiștii în situaţii variind de la colectarea dovezilor la stoparea exfiltraţiei datelor.
2
Integrarea funcțiilor de Intelligence Informaţiile despre ameninţări pot fi extrem de puternice: pot fi privite drept multiplicator de forţă pentru CMC, contribuind la îmbunătăţirea gradului de conștientizare și înţelegere a ameninţărilor și oferirea mijloacelor prin care aceste ameninţări ar putea fi prevenite sau detectate. Funcţiile de intelligence correct implementate vor avea următoarele caracteristici: 2.1. Intelligence în timp util Primirea informaţiilor înainte de realizarea ameninţării este crucială pentru organizaţie. Diseminarea informaţiilor strategice și tactice, inclusiv a indicatorilor de compromis, poate lua forma unor indicaţii și avertizări (avertizare asupra unei ameninţări iminente), rapoarte zilnice sau săptămânale (evidenţiază ameninţările relevante) probleme specifice cibernetice pentru părţile interesate).
8
2.2. Intelligence relevant Informaţia relevantă privind ameninţările produce informaţii valoroase privind nu numai problemele care apar în mediul de afaceri global, ci și aspecte specifice din cadrul industriei și legate de un mediu informatic specific. 2.3 Intelligence actionabil Creat și util atunci când analiștii filtrează prin volum mare de date și informaţii, analizează motivele pentru care anumite informaţii specifice sunt relevante pentru organizaţie. Relevă și modul în care aceste informaţii pot fi utilizate de diferite părţi interesate. Echipele au nevoie de informaţii tactice și tehnice pentru a susţine investigaţiile actuale, pentur a crea logica de detectare și a se pregăti pentru atacuri potenţiale. Inteligenţa tehnică va fi, de asemenea, utilizată pentru a determina dacă anumite acţiuni maliţioase sunt deja prezente în reţea. 2.4. Intelligence strategic și tactic Deși echipa COS este prima linie de apărare a organizaţiei, ea poate funcţiona mai eficient și mai eficient, cu sprijinul CTI. Echipa de securitate va gestiona o gamă largă de ameninţări potenţiale și va trebui să fie în măsură să trieze rapid evenimente, să determine nivelul de ameninţare și să atenueze incidentele. CTI poate ajuta analiștii COS să acorde prioritate acestor alerte, pot ajuta la investigaţii și pot ajuta analiștii COS să atribuie activitati maliţioase anumitor atacatori.
3
Echipa „roșie” O întrebare fundamentală pentru fiecare business este: Organizaţia va fi pregătită când va veni un atac? Un mijloc important de evaluare și „testare” a CMC este atacarea activă a acestuia. Prin exerciţiile coordonate ale Red Team, personalul CMC poate învăţa să detecteze și să răspundă la o varietate de ameninţări. 3.1. Simularea de amenințări Operaţiunile vor fi concepute în mod ideal pentru a simula tacticile, tehnicile și procedurile de ameninţări pe care echipa CTI le-a evaluat a fi un risc. Este responsabilitatea echipei Roșii de a testa aceste elemente și limitele COS și CMC. De exemplu, dacă se știe că COS întâlnește rareori shell-uri web - un tip de malware instalat pe servere web - Echipa Roșie poate alege să atace direct un server web. Un aspect important al operaţiunii Echipa Roșie este că numai liderii selectaţi stiu de operaţiuni (adesea denumite „echipa albă”), adăugând realismul evenimentului. Această abordare le permite celor care sunt conștienţi să observe evenimentul în curs de desfășurare, în special modul în care echipele interacţionează între ele, modul în care sunt transmise informaţiile, modul în care sunt implicaţi părţile interesate și modul în care echipele gestionează o varietate de scenarii de atac. Acești lideri pot contribui, de asemenea, la activităţile echipei roșii pentru a se asigura că nici un fel de date sau operaţiuni critice nu sunt compromise sau expuse. Prin urmare, implementarea operaţiunilor Echipei Roșii ar trebui să sublinieze interdependenţa dintre misiunea COS și aceasta. Echipa Roșie trebuie să asiste COS în timpul eforturilor de remediere pentru a se asigura că orice vulnerabilităţi descoperite nu mai sunt susceptibile de exploatare.
4
Reducerea suprafeței de atac Scopul reducerii suprafeţei de atac (RSA) este de a închide toate porţile de intrare nenecesare în infrastructura tehnică și de a limita accesul la aceste porţi prin monitorizare, evaluarea / diminuarea vulnerabilităţii și controlul accesului. Echipa RSA este dedicată identificării, reducerii și gestionării vulnerabilităţilor critice, a serviciilor și a activelor, concentrându-se în același timp pe prevenirea introducerii vulnerabilităţilor prin proceduri îmbunătăţite de întărire a securităţii din punct de vedere al accesului. 4.1 Înțelegerea și asumarea suprafeței de atac Implementarea RSA vizează identificarea și înţelegerea celor mai importante aplicaţii și servicii, inclusiv a funcţiilor acestora, care susţin infrastructura, domeniul de aplicare și vulnerabilităţile inerente. Echipa RSA ar trebui să acorde prioritate fiecărui activ, având în vedere valoarea critică a acestuia pentru operaţiuni și capacitatea celor mai relevanţi actori de a angrena aceste active într-o intruziune, de exemplu. În plus, impactul acestor atacuri trebuie luat în considerare. 4.2. Mai mult decât managementul actualizărilor Gestionarea patch-urilor pentru vulnerabilităţi este o funcţie principală RSA, dar realizarea unei organizaţii fără vulnerabilităţi nu este un obiectiv realist, este de dorit, dar greu de realizat dintr-o dată. Vulnerabilităţile trebuie să fie identificate și gestionate în mod corespunzător, punând accentul pe prevenirea și reacţia rapidă la cele mai critice. Îmbunătăţirea continuă a procedurilor, în special pentru serviciile care ar putea permite atacatorilor accesul la zonele confidenţiale, reprezintă un proces critic pentru RSA, impunând măsuri preventive și calendarului efectiv de atenuare. 4.3. O funcțiune tehnică ce necesită abilități și experiența personalului Menţinerea gradului de cunoaștere a activelor este din ce în ce mai dificilă în mediul de afaceri dinamic din prezent. Organizaţiile
implementează baze de date de gestionare a configuraţiei (CMDB) pentru a urmări și a asigura că suprafaţa de atac nu s-a extins dincolo de nivelul acceptabil al riscului organizaţiei. Iar noi expuneri apar adesea pe tot parcursul, pe măsură ce se introduc sau se actualizează noi sisteme informatice. Profesioniștii în domeniul RSA care posedă o înţelegere profundă a ingineriei de reţea, a conceptelor IT și a securităţii, pot sintetiza fragmente diferite de informaţii care pot indica un vector de atac nedetectat sau important din punct de vedere contextual.
Concluzii „Vom fi următorii?” sau chiar „Am fost deja atacaţi?” sunt întrebările pe care toate companiile ar trebui să le aibă în vedere. Prin dezvoltarea unui centru Cyber Multilstrat/multifuncţional, organizaţiile pot dezvolta viteza, colaborarea, coordonarea, asigurând și fluxurile de informaţii și conștientizarea conducerii executive, fluxuri necesare nu doar pentru a supravieţui, ci și pentru a performa. !
Bibliografie: 1. www.securityroundtable.org 2. Designing a Cyber Fusion Center: A unified approach with diverse capabilities, Navigating the Digital Age, Booz Allen Hamilton - Bill Stewart, Sedar LaBarre, Matt Doan, Denis Cosgrove
9
Focus - Cybersecurity Trends
Un dialog deschis și fără precedent despre securitate cibernetică în România Autor: Laurent Chrzanovski
Preambul Pentru evoluţia digitală, 2018 este un an deosebit de important în care, din păcate, în aproape toate ţările din Sudul Europei, din Portugalia până în România, nu se
BIO Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.
10
mai vorbește deloc despre pericole. Pe de o parte, suntem intoxicaţi zilnic de către mass-media generaliste cu așa-zisa „dezinformare”, un fenomen care are loc, în toate media, de la începutul presei democratice la sfârșitul secolul al XIX-lea, dar care prin prisma marilor vedete ale media românești se limitează la informaţie manipulată, deformată sau chiar inventată, pe scurt fake news. Nu se vorbește despre datele falsificate, care sunt majoritatea covârșitoare a acestui fenomen și partea într-adevăr nouă a lui, ţinta lor fiind să schimbe cursul unei acţiuni pe piaţa bursieră, să intoxice algoritmi ai mașinilor și software-ul din generaţia „Machine Learning” sau „Artificial Intelligence” și care, prin masa lor impresionantă, fac aproape imposibilă contracararea cantitativă cu date reale. Pe de altă parte, mai sunt numai între 12 și 16 luni, în funcţie de fiecare Stat, până la implementarea reţelei 5G, care va aduce o metamorfoză totală și completă a mijloacelor umane și tehnologice folosite în cadrul securităţii digitale. Deja acum cantitatea de informaţii accesate prin smartphone depășește de departe cantitatea celor preluate prin laptop, iar multiplicarea de 30 ori a vitezei de recepţie/ transmisie date (trecerea de la 4G la 5G) precum și uniunea celor mai slabe verigi de securitate (omul și smartphone, prin intermediul căruia se vor accesa în 2020 peste 80% din date) vor crea un cocktail exploziv pentru cei însărcinaţi cu apărarea fie a unei firmei, fie a unei infrastructuri sau a unui Stat. Ori, spre deosebire totală de ţări cu ecosisteme private mult mai mature îan domeniul securităţii, cum ar fi Elveţia, Anglia sau SUA, nemaivorbind de Rusia, China sau Israel, în zona geografică menţionată trăiesc regește pasivitatea firmelor cu beneficii mari, neimplicarea producătorilor de securitate în evenimente non-profit – sau unde marketing-ul „hard style”
nu este permis –, precum și discursurile guvernamentale care rămân vorbe fără fapte. Acest cumul de reacţii în sectoare atât de diferite dar și complementare a fost creat de trei elemente distinse: cele două valuri de malware (Wannacry și Non-Petya sau Goldeneye), intrarea in vigoare a GDPR și amalgamarea (cu încrederea/neîncrederea) între Statul ales și Instituţii stabile ale Statului care apară naţiunea și cetăţenii lor, mai ales în domeniul cyber. România nu este deloc o excepţie în peisajul european, dar poate ca este un exemplu unde daunele acestor trei elemente fac cele mai multe ravagii. Valurile de malware au determinat patronatul să spună că dacă multinaţionalele care au investit miliarde în securitate au fost lovite, atunci oricât pot ei să investească, tot nu vor fi protejaţi. GDPR, foarte prost explicat și interpretat, a antrenat costuri enorme în resetarea sistemului de securizare a datelor fără repunerea pe masa a întregului ecosistem de securitate a firmelor și, mai mult, a dus la angajarea a mii de specialiști în redactarea unei birocraţii kafkiene de „compliance”, cerută de Statele Membre UE și care au fost puși, în mod greșit, în aceeași categorie, a „securităţii”, în bugetul firmelor. Chiar de la patru CEO de firme cu cifre de afaceri de peste o sută de milioane de Euro pe an, dintr-o tară membră a G7, am auzit „să nu mai auzim de investiţii în securitate în următorii doi-trei ani pentru ca întâi trebuie să amortizăm costurile și cheltuieli susţinute ‹din vina› GDPR”. În sfârșit, neîncrederea în clasa politică, în majoritatea covârșitoare a Statelor Membre UE, are un impact devastator care se traduce în neîncredere în orice entitate statală, presupusă din start ca fiind o emanaţie sau o slugă a puterii alese. În acest context, în perioada 13-14 septembrie 2018, s-a desfășurat la Sibiu a 6-a ediție a «Cybersecurity-Romania», o platformă de dialog public-privat, neutră și non-profit sprijinită și pregătită de către Swiss Webacademy (o organizație non-guvernamentală) împreună cu Uniunea Internațională a Telecomunicațiilor (ITU - ONU/Geneva) și sub înaltul patronaj al Ambasadei Elveției în România. În seara zilei de miercuri, 12 septembrie, a avut loc tradiţionalul „Welcome dinner” oferit de către Poliţia de Stat din Geneva în onoarea Ambasadorului Elveţiei în România, E.S. Urs Herren, punctul de pornire al elementului de bază a congresului sibian, adică networking-ul și interacţiunea dintre participanţi din ţări, domenii și sectoare foarte diferite. De ce am îndrăznit să scriem „fără precedent” pentru a califica cele două zile de congres în comparaţie cu toate evenimente care au loc în România pe tematica „cyber”? Desigur nu dintr-un orgoliu deplasat, nici pentru a dispreţui ceea ce fac companiile private sau Statul în București dar și la Timișoara, Cluj-Napoca sau Iași, ci pentru a marca o diferenţă majoră: crearea unui moment de dialog și de interacţiune de 48 de ore în cadrul unui congres și încă mai mult în cadrul momentelor informale unde atmosfera și calitatea ei, dacă este reușită, întărește aceste relaţii. Congresul a fost organizat dintr-un motiv simplu: această ediţie a fost croită pentru două sectoare absolut vitale pentru buna funcţionare a întregii ţări și unde securitatea este întotdeauna la ordinea de zi: transporturile și infrastructurile critice. Prezenţa a înalți reprezentanți ai Instituțiilor naționale din domeniul cybersecurity – cu echipele lor – a fost prima cheie a unui dialog permanent de două zile, și este datoria noastră să le mulţumim următoarelor instituţii și persoane pentru disponibilitatea și încrederea acordată din start acestei noi variante a congresului nostru: Centrul Naţional Cyberint,
reprezentat de Directorul General Anton Rog; Serviciul de Telecomunicaţii Speciale, reprezentat de Directorul General, General-locotenent ing. Ionel Sorinel Vasilca și de General de brigadă Ionel-Sorin Bălan, Prim adjunct al Directorului; DCCO, reprezentat de Cătălin Zetu, Împuternicit Șef a Biroului de Atacuri Informatice; CERT-RO, reprezentat de Directorul General Cătălin Arama și de Director adjunct Iulian Alecu; ANCOM, reprezentat de Directorul IT Virgilius Stanciulescu. Datorită acestor personalităţi, care au făcut drumul până la Sibiu împreună cu mulţi specialiști din subordinea lor, dialogul cu participanţii a fost permanent, constant, uman și personalizat. Acest dialog a fost vital într-un moment extrem de confuz pentru sectorul privat, fiindcă pe de o parte legea care va defini competenţele, limitele și obligaţiile fiecărei Instituţii a Statului în domeniul cybersecurity încă zace neadoptată după ani de zile de dezbateri sterile și patru variante diferite – începând cu faimoasa lege stufoasă și neconstituţională denumită „Big Brother” – și fiindcă, pe de altă parte, ceea ce este mult mai grav, Curtea Constituţională a declarat neconstituţională varianta de lege propusă pentru adaptarea corpusul legislativ român în vigoare la normativa obligatorie a UE zisă «NIS» (Directive on security of network and information systems), plasând România, la momentul de faţă, printre cele 18 state ale U.E. ale căror aparat juridic și parlamentar este incapabil să transforme o directivă „crystal clear” într-o lege simplă și clară. În ceea ce îi privește pe participanţii la Congres, mulţi reprezentanţi ai industriei locale au venit cu mare interes, atrași de faptul deja cunoscut de ei că evenimentul reprezintă un „cuib pentru a dialoga în liniște cu actori majori ai Instituţiilor centrale”, dar și de prezenţa a unor invitaţi VIP din nouă ţări, precum și de prezenţa a aproape tuturor actorilor majori din domeniile de transporturi și energie. Ca reprezentanţi ai domeniului Transporturi, au venit personalităţii decizionale și specialiști IT din Tarom, Aeroporturi București, Aeroportul Sibiu, Romatsa, dar și CFR sau Metrorex, care au dialogat cu Consilierul pentru IT al Ministrului competent, cu reprezentanţii Autoritaţii
11
Focus - Cybersecurity Trends Naţionale Aeronautice Civile, cu cei mai înalţi specialiști ai Inspectoratului General pentru Situaţii de Urgenţă și ai Autorităţii Naţionale competente în materia de drumuri și vehicule. Din domeniul Energiei, pur și simplu nu a lipsit nicio companie care se ocupă cu producţia sau transportul gazelor și a electricităţii. Toţi acești actori nu doar că au schimbat puncte de vedere, într-o dezbaterea de tip «Davos» dar, ceea ce este mai important, ei au participat la un War-Game denumit «Scenario», creat special pentru transporturile la cerere ale IATA (International Air Transport Association), precum și la un War Game despre infrastructuri critice care se ţine în Israel pentru celula cyber a primului ministru. Ambele War-Games au fost inventate de către Dotan Sagi, fost director al El Al Security Academy și fondator al companiei BeST, care a fost prezent în premieră în România pentru îndrumarea participanţilor. În cadrul acestor exerciţii în timp real cu ecrane care proiectează incidente cu caractere multiple, fiecare participant poate să joace rolul pe care și-l dorește: CEO, CIO, CISO, CSO, etc. Deosebirea faţă de un exerciţiu făcut ăn interiorul unei firmei este majoră: trebuie ca fiecare să comunice cu toţi ceilalţi actori, privaţi sau statali, și să se pună capătul unei crizei cu consecinţe extraordinar de grave și repercusiuni internaţionale în mai puţin de 90 de minute. Scopul? Cum rezistă și cum interacţionează umanul și care este cultura de criză și de securitate. La fel de importantă este încredere în proprii colegi, care este perfect invizibilă în simulările conduse în interiorul companiei și îndrumate de către șefii direcţi. Iar când vine vorba de a interacţiona, atunci reiese la iveală ranchiuna, ura, neîncrederea, superioritatea unui departament faţă de celălalt, exact când toate autorităţile așteaptă un răspuns clar despre ce se întâmplă pentru a putea, la rândul lor, comunica cu omologii lor din alte state. „Cireșele de pe tort”, care au suscitat interes și chiar admiraţie din partea participanţilor cu funcţii decizionale, au fost două dezbaterii unice de tip Davos. Prima a avut tema „SUA, Elveţia, România: cine se ocupă de ce și cum colaborează cu celelalte instituţii ale statului și cu sectorul privat”, un dialog de peste o oră cu Special Agent Peter Traven, Assistant Legal Attaché ale Ambasadei SUA în România, Col. (= Gen.) Marc-André Ryter de la Statul Major ale Armatei Elveţiene, Căpitanul Patrick Ghion, Șeful secţiunii de Forensics al Poliţiei de Stat din Geneva și Anton Rog, Directorul General al Centrul National Cyberint (SRI). Astfel, în ciuda diferenţelor dintre statele federale (SUA și Elveţia) și un stat centralizat (România) și
12
fără a devoala conţinutul dialogului precum și faptul ca nicio întrebare nu a rămas fără răspuns, putem să spunem în rezumat că peste tot marea miză este încrederea între oameni și participarea colectivă la efortul de securitate. Ori încrederea este deja o problemă în interiorul unui aparat de stat, oricare este el, iar participarea colectivă, în afara de câteva exemple pilot derulate în Elveţia sau în unele, rare, state din SUA precum New Jersey, face faţă unui val de egoism din partea actorilor mari din sectorul privat – și de uneori și din partea statul – când vine vorba de schimbul de informaţii asupra vulnerabilităţilor. Al doilea «Davos» major, despre riscuri prezente și viitoare ale Inteligentei Artificiale, a fost lansat și moderat de către Col. (= Gen.) Marc-André Ryter, în prezenţa lui Nicola Sotira, CISO al grupului Poste Italiane și a lui Battista Cagnoni, specialist în Machine Learning & AI for security. Aici problematicile
puse în evidenţă au fost două: «Inteligenta» artificială de acum, adică accepţiunea anglo-saxonă a cuvântului, care înseamnă «culegere și triere de informaţii», este deja mult mai folosita și în mod mult mai avansat de către grupări criminale decât de către state sau companii pentru apărarea lor. În ceea ce privește inteligenţa artificială de mâine, cea care corespunde sensului cuvântului în limbile latine și a cărui prime produse sunt vehicule fără pilot, ea ridică o provocare imensă prin vulnerabilităţile sale potenţiale și eventuala sfidare a legii robotici unde mașina trebuie să fie stăpânită și să obădeze omului. Mai mult ca oricând, succesele sau eșecurile ecosistemelor noastre se vor baza pe mărirea accelerată a gradului de cultură digitală și mai ales pe întâlniri și încredere interpersonală fie la stat, fie la privat, și încă mai important, între stat și privat. Toate acestea s-au întâmplat la Sibiu nonstop, pe toata durata evenimentului. În acest context, cu peste 160 de participanţi, a 6-a ediţie a „Cybersecurity-Romania”, conform feedback-ului primit de la cei mai înalţi reprezentanţi ai sectoarele public și privat, a avut un impact neașteptat de pozitiv, cu un rol și consecinţe pe termen lung pentru ecosistemul românesc. !
Gradul de pregătire a României în domeniul securităţii cibernetice
Autor: Conf. dr. ing, Ioan-Cosmin MIHAI,
Vicepreședinte ARASEC
Numeroasele incidente de securitate cibernetică și evoluţia atacurilor informatice din ultima vreme au determinat necesitatea adoptării la nivel internaţional a unor politici și strategii în domeniul securităţii cibernetice. Aceste strategii subliniază necesitatea dezvoltării unor capabilităţi proprii fiecărei ţări pentru contracararea atacurilor cibernetice și stabilesc cadrul general de acţiune și cooperare pentru limitarea efectelor acestora. Este foarte importantă implementarea unor măsuri de securitate pentru protecţia infrastructurilor cibernetice, în special pentru cele ce susţin infrastructurile critice naţionale.
Cadrul național în domeniul securității cibernetice
BIO Ioan-Cosmin MIHAI este cercetător în domeniile securității și criminalității cibernetice, conferențiar, formator și speaker. Este conferențiar universitar în cadrul Academiei de Poliție „A.I. Cuza”, profesor asociat al Universității Politehnica din București și profesor onorific al Universității CT, India, unde predă discipline legate de tehnologia informației, securitate și criminalitate cibernetică. Este formator acreditat în cadrul Centrului Român de Excelență în Combaterea Criminalității Informatice, cercetător al laboratorului „Calitate, Fiabilitate și Tehnologii Informatice» și vicepreședinte al Asociației Române pentru Asigurarea Securității Informației. Cu un doctorat și un post-doctorat în domeniul securității cibernetice, a dezvoltat numeroase proiecte de cercetare, a publicat 15 cărți și a scris peste 50 de articole științifice. Din 2012 este redactor șef al revistei științifice IJISC International Journal of Information Security and Cybercrime, indexată în numeroase baze de date internaționale. Mai multe informații legate de activitatea sa: http://www.cosmin-mihai.com/
România se află într-un proces continuu de consolidare a securităţii cibernetice la nivel naţional, atât din punct de vedere legal, instituţional, cât și procedural, fiind întreprinse, în acest sens, eforturi susţinute de către autorităţile cu responsabilităţi în domeniu. Strategia de securitate cibernetică a României România a adoptat Strategia de securitate cibernetică în anul 2013, având o abordare comună la nivelul Uniunii Europene, pentru a putea oferi un răspuns prompt la atacurile din spaţiul cibernetic. Scopul Strategiei de securitate cibernetică a României este de a defini și menţine un spaţiu cibernetic sigur, cu un înalt grad de rezilienţă și de încredere. Această strategie prezintă principiile și direcţiile importante de acţiune pentru prevenirea și combaterea vulnerabilităţilor și ameninţărilor la adresa securităţii cibernetice a României. Principalele obiective stabilite de Strategia de securitate cibernetică a României sunt: !adaptarea cadrului normativ la noile ameninţări prezente în spaţiul cibernetic; !fundamentarea și aplicarea cerinţelor minime de securitate pentru protejarea infrastructurilor cibernetice naţionale; !asigurarea rezilienţei infrastructurilor cibernetice; !realizarea campaniilor de informare și conștientizare a populaţiei privind ameninţările și riscurile prezente în spaţiul cibernetic; !dezvoltarea cooperării dintre sectorul public și privat la nivel naţional și internaţional. Strategia de securitate cibernetică a României urmărește asigurarea securităţii cibernetice la nivel naţional, cu respectarea Strategiei naţionale de apărare și Strategiei naţionale de protecţie a infrastructurilor critice. "
13
Focus - Cybersecurity Trends Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice Ministerul Comunicaţiilor și Societăţii Informaţionale a lansat în dezbatere publică, în data de 3 octombrie 2017, Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice. Acest proiect de act propune adoptarea unui set de norme menite să instituie un cadru naţional unitar de asigurare a securităţii cibernetice și a răspunsului la incidentele de securitate survenite la nivelul reţelelor și sistemelor informatice ale operatorilor de servicii esenţiale și ale furnizorilor de servicii digitale în conformitate cu cerinţele Directivei NIS. Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice reglementează: !cadrul de cooperare la nivel naţional și de participare la nivel european și internaţional în domeniul asigurării securităţii reţelelor și sistemelor informatice; !autorităţile și entităţile de drept public și privat care deţin competenţe și responsabilităţi în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel naţional și a echipei naţionale de răspuns la incidente de securitate cibernetică; !cerinţele de securitate și de notificare pentru operatorii de servicii esenţiale și furnizorii de servicii digitale precum și instituirea mecanismelor de actualizare a acestora în funcţie de evoluţia ameninţărilor la adresa securităţii reţelelor și sistemelor informatice. Pentru definirea domeniului de aplicare, proiectul reglementează operatorii de servicii esenţiale și definirea acestor serviciilor esenţiale. Sectoarele vizate pentru identificarea serviciilor esenţiale și a operatorilor de servicii esenţiale cuprind: energia, transporturile, sectorul bancar, infrastructurile pieţei financiare, sectorul sănătăţii, furnizarea și distribuirea de apă potabilă, infrastructura digitală. Proiectul propune alcătuirea unui Registru al operatorilor de servicii esenţiale, care să fie actualizat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică la cel puţin doi ani. "
Proiectul de Lege privind securitatea și apărarea cibernetică a României Ministerul Apărării Naţionale a lansat în dezbatere publică, în data de 24 mai 2018, Proiectul de Lege privind securitatea și apărarea cibernetică a României. Proiectul de Lege stabilește cadrul juridic și instituţional privind organizarea și desfășurarea activităţilor din domeniile securitate cibernetică și apărare cibernetică a României. Obiectivele Proiectului de Lege privind securitatea și apărarea cibernetică a României sunt: !acoperirea nevoilor de securitate și apărare cibernetică prin asigurarea rezilienţei și protecţiei infrastructurilor ciber"
14
netice care susţin funcţiile de securitate, apărare și guvernare ale statului; !menţinerea sau restabilirea climatului de securitate cibernetică la nivel naţional prin cooperarea între autorităţile competente în vederea asigurării unei reacţii rapide și eficiente; !crearea și dezvoltarea unei culturi de securitate cibernetică în cadrul administraţiei publice, prin conștientizarea ameninţărilor și riscurilor și formarea unei conduite preventive adecvate.
Contribuția României în domeniul securității cibernetice România este implicată activ în numeroase proiecte și iniţiative, atât la nivel european cât și internaţional, pentru consolidarea securităţii cibernetice. Astfel, România este: !Stat-lider la Fondul de Sprijin (Trust Fund) pentru dezvoltarea capacităţii de apărare cibernetică a Ucrainei; !Driver prin Poliţia Română pentru prioritatea „Payment card fraud” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii; !Co-driver prin Poliţia Română pentru prioritatea„Attacks against information systems” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii; !Coordonator prin Centrul Naţional Cyberint al pachetului de lucru WP3 - Infrastructura pentru colectarea și corelarea datelor de la senzori multipli distribuiţi, în cadrul proiectului Multinational Cyber Defence Capability Development, realizat de Agenţia NATO pentru Comunicaţii și Informaţii; !Membru activ în cadrul Informal Working Group de la OSCE (Organization for Security and Cooperation in Europe) pentru promovarea măsurilor de creștere a încrederii în securitatea cibernetică – CBMs (Confidence Building Measures in Cyberspace); !Membru fondator prin Ministerul Afacerilor Externe, CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică) și Centrul Naţional Cyberint al Forumului Global de Expertiză Cibernetică – GFCE (Global Forum on Cyber Expertise). În cadrul acestui forum, CERT-RO reprezintă un exemplu de bune practici privind divulgarea coordonată a vulnerabilităţilor; !Partener asociat prin Poliţia Română și Bitdefender în proiectul NoMoreRansom, organizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii, ce contribuie cu instrumente de decriptare pentru infecţiile cu ransomware;
!Membru în reţeaua 2Centre prin Centrul Român de Excelenţă pentru Cybercrime (CYBEREX), realizat de Poliţia Română în parteneriat cu Academia de Poliţie „A.I. Cuza” și CERT-RO. Aceste activităţi atestă faptul că România poate fi juca un rol important la nivel european și mondial pentru asigurarea securităţii spaţiului cibernetic și combaterea fenomenului de criminalitate informatică.
Concluzii Reglementările legislative existente în prezent, precum și gradul de operaţionalizare al acestora la nivelul instituţiilor publice din România nu permit prevenirea și contracararea cu maximă eficienţă a unor ameninţări cibernetice de nivel ridicat. Din acest motiv, consolidarea cadrului legislativ în domeniul securităţii cibernetice trebuie să constituie o prioritate naţională, pentru a fi asigurate condiţii optime de reacţie rapidă la incidentele cibernetice. În contextul general al discuţiilor privind securitatea cibernetică, la nivel naţional este importantă separarea conceptuală a direcţiilor principale de acţiune: apărare cibernetică, criminalitate informatică, securitate naţională, infrastructuri critice și situaţii de urgenţă, diplomaţie cibernetică internaţională și guvernanţa Internetului. Separarea nu reprezintă situaţia ideală, dar este o realitate, datorită complexităţii și diversităţii securităţii cibernetice în ansamblu. Este nevoie să se stabilească foarte clar rolurile și responsabilităţile fiecărei instituţii naţionale responsabile în parte.
România va asuma în 2019, pentru o perioadă de șase luni, Președinţia Consiliului Uniunii Europene, ceea ce presupune consolidarea unei viziuni naţionale cu privire la viitorul Uniunii Europene. Piaţa Internă Digitală, cu importanta dimensiune a securităţii cibernetice, va reprezenta o prioritate a viitoarei Președinţii a României la Consiliul Uniunii Europene. Astfel, consolidarea cadrului legislativ în domeniul securităţii cibernetice constituie o prioritate naţională, pentru a putea fi asigurate condiţiile optime de reacţie rapidă la incidentele cibernetice. Concluzionând, adoptarea unei legislaţii comprehensive și actualizate în domeniul securităţii cibernetice, care să sprijine dezvoltarea capacităţilor de apărare ale statului, reprezintă o prioritate naţională. Asigurarea unui spaţiu cibernetic sigur și securizat este responsabilitatea atât a statului, cât și a autorităţilor competente, a sectorului privat și a societăţii civile. !
*** Acest articol conţine o sinteză a studiului „Provocări actuale în domeniul securităţii cibernetice – impact și contribuţia României în domeniu”, elaborat de Ioan-Cosmin MIHAI, Costel CIUCHI și Gabriel-Marius PETRICĂ, sub egida Institutului European din România (IER), în cadrul proiectului de studii de strategie și politici SPOS 2017. Acest studiu este disponibil pe site-ul IER: http://www.ier.ro/sites/default/files/pdf/SPOS%202017_Studiul_4_FINAL.pdf
ZERO-DAY:
CYBERSECURITY STRATEGY CONFERENCE Swiss Cybersecurity Conference, 2nd edition 15th of November, 2018, Geneva, Switzerland
CYBERSECURITY TREND’S TIP: ZERO-DAY CONFERENCE The 1st edition of the Zero-Day Conference will take place in Geneva, the 15th of November, 2018, within the frame of the Swiss Cybersecurity Conferences. The event is organized by PSYND and the highly appreciated NGO, Swiss CyberSecurity (https://swiss-cybersecurity.ch), established since 2013 in Geneva and gathering more than 700+ members attending to regular formal and informal events. Zero-Day.ch is a platform aiming to share knowledge to develop leadership skills to deepen the expertise in the cybersecurity field and to connect companies, universities, national and international institutions and cybersecurity professionals. The “Zero-Day Conference” aims to help in shaping the CyberSecurity Strategy for 2019. For this reason, we are inviting CTO’s, CISO’s and IT Managers to attend the event and we deliver practical knowledge that could be used to support their cybersecurity strategy. The AGENDA is structured in 4 sections: Network Security, Infrastructure, Security and Governance. We are encouraging continuous learning, and we are according 8 CPE’s for ISACA and (ISC)2 certified professionals. Registration, more info, agenda, generic question form: https://zero-day.ch Direct questions: Mária Bicsi, Event Manager, info@zero-day.ch
15
Focus - Cybersecurity Trends
Mobile Financial Malware 2017: raportul internaţional privind ameninţările malware Autor: Davide Fania, Președinte, XTN
Raportul internațional privind amenințările este destinat să descrie comportamentul tipic al malware-ului Android, în special în contextul financiar. Pentru a accesa documentul complet, scanați codul QR de mai jos.
Dezvoltatorii de programe de malware pentru mobile banking/plăţi sunt primii care folosesc noile tehnologii și caută mereu modalităţi de a ocoli mecanismele de securitate implementate în sistemele de operare pentru mobil.
BIO La început, am fost analist programator, specialist în aplicații și manager de proiect într-o gamă largă de aplicații de afaceri. Specializat cu predilecție în soluții de producție și planificare. În ultimii 15 ani, am creat și condus diferite organizații private care au inițiat progrese în domenii la fel de diverse precum software-ul pentru piețe textile, alimentare și biomedicale. Sunt unul dintre pionierii care au creat, instalat și îmbunătățit sistemul de automatizare pentru procesarea specimenelor numit WASP (www.copanitalia.com). Am creat LIS (Laboratory Information System), arhitectura de conectori de interfață (UIC ™ - Universal Interface Connector) necesară pentru actualizării și descărcării datelor pacienților și datelor specimen din / către un software pentru managementul spitalelor și laboratoarelor. Sunt inventatorul sistemului MALDItrace (acum Colony Picker pentru sistemul automatizat WASPLab), un echipament patentat creat pentru trasabilitatea specimenului și a organismului în spectrometrie de masă.
16
Raportul complet este alcătuit din patru secţiuni, după cum urmează: !Secțiunea 1 descrie contextul unui atac malware pe mobil. În ultimii ani s-a dezvoltat o cantitate uriașă de malware mobil. Acest lucru este cauzat de doi factori. În primul rând, contextul dezvoltării aplicaţiilor mobile este mai puţin matur din punct de vedere tehnologic, în special din perspectiva securitatăţi. În al doilea rând, utilizatorii au o mai mică înţelegere a implicaţiilor acţiunilor lor atunci când folosesc un dispozitiv mobil. Un citat foarte semnificativ, care descrie cel mai bine acest aspect în câteva cuvinte, este: «Pentru cei care vizează conturi bancare personale, malware-ul mobil este mai ieftin și mai sigur decât troianii bancari». În scopul abordării importanţei securităţii mobile, Figura 1 arată numărul tot mai mare de dispozitive mobile din întreaga lume, care, în 2016, a depășit chiar Desktop-urile în ceea ce privește conexiunile la Internet. Asigurarea securităţii pe dispozitivele mobile este esenţială: ceea ce am văzut până acum nu este decât începutul.
Figura 1: utilizare a internetului în toată lumea până în mai 2017 (sursa: StatCounter).
!Secțiunea 2 descrie modul în care atacatorii inflitrează aplicaţii sau coduri rău intenţionate în dispozitivele utilizatorilor. Obiectivul tipic al atacatorilor este obţinerea informaţiilor de plată, care ar putea fi utilizate mai târziu pentru a comite fraude sau pentru a accesa datele private de utilizator Rezumând, un atac mobil constă în trei faze principale: infiltrare, instalare Backdoor, extragerea datelor. " Faza de infiltrare a malware-ului vizează introducerea unei aplicaţii sau o bucată a unui cod rău intenţionat în mediul de execuţie în care va fi efectuat atacul. " Faza de instalare Backdoor are scopul de a deschide o conexiune bidirecţională sau unidirecţională către un backend deţinut de atacator. Scopul său este de a crea un canal de comunicare persistent între dispozitivul infectat și agentul rău intenţionat. " Scopul fazei de extragere este de a accesa informaţii sensibile și de a le transmite prin canalul de comunicare stabilit în faza anterioară. „Atacatorii urmăresc, de obicei, să compromită informațiile confidențiale ale utilizatorilor în scopul executării atacurilor finale asupra altor canale. Pentru a accesa datele confidențiale de utilizator, un atacator exploatează încrederea utilizatorilor în surse cunoscute și percepția eronată a riscurilor de către utilizatori în efectuarea de acțiuni sensibile pe dispozitive mobile”. Această abordare este utilizată în faza de infiltrare, de exemplu prin troieni și / sau în faza de extragere a datelor. Figura 2 prezintă un exemplu de eșantion malware de tip bankbot, Jewel Star Classic distribuit prin Google PlayStore. Acest troian, creat prin infiltrarea unei încărcături periculoase întrun cod legitim, vizează falsificarea identităţii Jewels Star, un joc destul de faimos, potrivit statisticilor, cu 50-100 de mii de instalări legitime. În acest fel, atacatorii au putut să determine utilizatorii sa le descărce și să le instaleze. În acest moment, faza de infiltrare este finalizată.
!Secțiunea 4 descrie soluţia împotriva ameninţării din ce în ce mai frecvente a malware-ului financiar, care este un mecanism de detectare bazat pe comportament numit motor de malware. Programele antivirus convenţionale care sunt disponibile pe piaţă deseori își bazează detectarea pe semnături, chiar dacă acestea sunt mai punctuale în detectare, acest tip de abordare prezintă multe dezavantaje și, în general, nu poate detecta programe malware necunoscute. În contextul mobil, care este extrem de dinamic, aceasta este o problemă enormă. Procesul de verificare dacă un fișier nou este rău intenţionat poate fi complex și consumator de timp. În multe cazuri, malware-ul a evoluat deja până atunci. Întârzierea în identificarea noilor forme de malware face corporaţiile și consumatorii vulnerabili la daune grave. Din acest motiv, motorul nostru bazat pe analiză comportamentală, implică mecanisme de învăţare a mașinilor și algoritmi avansaţi, modelaţi și implementaţi ca urmare a sarcinilor de business pe termen lung. Avantajele pentru analiștii care utilizează acest tip de soluţie pot fi explicate cu următorul citat: «Detecţia malware este doar primul pas. Oferă informaţii despre familia asociată împreună cu comportamentele detectate, permite unui analist să înţeleagă posibilele efecte asupra unui client final și apoi să declanșeze cea mai potrivită remediere». !
Figure 2: Versiunea cu Malware a Jewel Star din PlayStore. !Secțiunea 3 descrie modul în care funcţionează malware-ul financiar și oferă o imagine de ansamblu asupra peisajului malware actual. O analiză amplă a unei cantităţi relevante de eșantioane de malware financiar identifică cele șase comportamente tipice ale malware-ului, ale familiilor malware și ale distribuţiei lor geografice. Finanţatorii cibernetici financiari caută mereu noi modalităţi de a exploata utilizatorii și de a extrage bani de la ei. În ultimii ani, s-a dezvoltat o mare cantitate de malware financiar care a dus la o varietate de familii malware. Cu toate acestea, tendinţele cele mai răspândite sunt obţinerea de privilegii de administrare și păcalirea utilizatorilor prin suprapuneri. O familie foarte reprezentativă care arată un astfel de comportament și atacă în prezent o varietate de organizaţii este Red Alert24. Pe lângă comportamentul său, o altă parte interesantă a acesteia este mecanismul atacurilor suprapuse care diferă de familiile mai în vârstă atât în ceea ce privește implementarea, cât și în gestionarea ţintelor. De fapt, ţintele sunt stocate pe serverul atacatorului și nu sunt trimise înapoi la malwareul mobil, făcând viaţa unui analist mult mai greu. Cybercriminalii caută în mod constant modalităţi de a ocoli noile mecanisme de protecţie Android, adesea folosind tehnici de bază, dar valide.
Figura 3: Harta distribuţiei ţintelor la nivel mondial Descarcă raportul!
*Mulţumiri Global Cyber Security Centre pentru permisiunea de a reproduce acest articol, publicat în “GCSEC Newsletter» în aprilie 2018.
17
Focus - Cybersecurity Trends
De ce să îţi pierzi timpul piratând o companie pentru datele personale ale clienţilor săi, atunci când le poţi colecta direct din locuinţele inteligente ale acestora? Autor: Bruno Napoli
Din fericire lumea antreprenorilor poate conta pe o mulțime de experți și consultanți pentru asigurarea securității infrastructurii și a sistemelor sale împotriva unui atac cibernetic, care ar colecta, de exemplu, datele private ale clientului. Dar, o dată cu goană nebună a consumatorului individual după casa inteligentă, ar putea deveni mai ușoară colectarea datelor direct de la însuși clientul. În următorii 5 ani consumatorii vor fi cheltui miliarde de dolari în domeniul IoT. Studiile prevăd că, până în 2022, toate gospodăriile vor avea probabil mai mult de o sută de obiecte conectate. Producătorii și furnizorii de servicii au astfel de împărţit o prăjitură incredibilă. Credeţi-mă, industria produselor electronice de consum va deveni foarte creativă. Ca urmare a marketing-ului agresiv și al supremaţiei industriale a celor patru lideri: Google, Amazon, Facebook și Apple (pe scurt GAFA) acum oricie poate să își transforme locuinţa într-o casă inteligentă cu doar câteva sute de dolari. Acest buget este deja în descreștere de la lună la luna pe măsură ce diverse obiecte sunt produse în masă de companii precum Baidu, Alibaba, Tencent și Xiaomi (cunoscut în China ca BATX), devenind și mai ușor de distribuit. Ești prins în joc la început de asistentul vocal care costă doar 49 de dolari și îţi poate spune cum e vremea dar poate și comanda o pizza. Apoi, încet, încet adaugi în casă pe de o parte o cameră Wi-Fi, pe de altă parte un sistem intelligent de închidere a ușii și continui cu un bec conectat și cu o boxa wireless.
18
Fără să îţi dai seama și fără să cheltui o avere, casa ta a devenit una inteligentă, știe totul despre tine iar tu o poţi controla de la distanţă. După ce ai făcut cu succes acești primi pași simpli, vei dori în mod insistent să încerci toate produsele și serviciile inteligente care există în domeniu. În doar câteva luni casa ta va avea mai multe obiecte conectate decât o companie de mici dimensiuni! Această junglă neîmblânzită de IoT folosește toate protocoalele posibile, toate porturile TCPIP și API, toate semnalele și frecvenţele radio și este conectată la Wifi-ul familiei, iar parola universal valabilă este numărul de telefon mobil al soţiei. IoT și Casa Inteligentă sunt atât de la modă încât în următoarele luni niciun constructor sau dezvoltator imobiliar nu va mai fi credibil daca nu va fi capabil să pună la dispoziţie o casă sau un apartament cu un logo de tipul „Ceva Inteligent, cu acces WiFi, compatibil Amazon”, nemaicontând ce înseamnă acest lucru, ce înteleg oamenii că ar fi sau ce fel de produse vor fi instalate și, cel mai important CUM vor fi instalate și întreţinute. Când
BIO
vei completa un formular cu ce îţi dorești să aibă viitoarea casă, vei bifa opţiunile Google, Amazon sau Apple. Într-un final cuvântul „inteligent” nu va mai fi folosit și locuinţa va redeveni simplu doar acasă. Nu suntem aici să dezbatem dacă Smart Home este un concept bun sau rău. Acesta va ajunge în toate locuinţele așa cum a ajuns și electricitatea acum un secol. Este inevitabil și trebuie să ne obișnuim cu ideea. Consecinţa directă a acestei transformări digitale este aceeași pentru lumea consumatorilor ca și în lumea întreprinderilor. Cu cât suntem mai conectaţi, cu atât suntem mai vulnerabili. Locuim în case care se pot întoarce literalmente împotriva noastră, fie prin programarea defectuoasă a sistemului de automatizare a locuinţei, probleme de compatibilitate între dispozitive, fie pur și simplu pentru că a fost piratată. Și apoi, odată ce casa noastră va fi transformată într-o himeră inteligentă, cele mai sumbre scenarii vor deveni reale. Produse precum Fing sau competitori de ai săi există pentru a ajuta consumatorii să controleze și să-și protejeze reţeaua, dar, din nefericire, nu sunt încă suficient de bine dezvoltate. Consumatorii sunt deja o țintă mult mai ușoară decât orice companie pentru colectarea datelor sau pentru a face rău altor persoane, ei reprezintă cu siguranță călcâiul lui Ahile al securității lumii cibernetice. Toate eforturile și banii investiţi în securizarea infrastructurii unei companii pentru a proteja datele clientului ar putea fi distruse peste noapte, când următorul atac cibernetic masiv se va folosi ca de un cal troian de breșa de securitate pe care o reprezintă o jucărie conectată de tip spinner în valoare de 5 dolari dorită de fiecare copil din lume. Ultimul atac masiv digital DDOS utilizând o cameră IP ne dovedește că hackerii știu cum să exploateze produsele de consum. Aceasta a fost doar încălzirea. Consumatorii nu au o strategie reală de securitate, nu îl au pe tipul de la IT care să le spună ce să facă și n-au nici bune practici deja cunoscute. Ei doresc doar ca lucrurile să funcţioneze, să scape de parole și să se distreze. Și cum producătorii din zona de consumer doresc doar să-și vândă lucrurile și să nu creeze absolut nici un stres care ar putea opri procesul de cumpărare, ei nu vor pune accentul pe securitate și vor lăsa toate responsabilităţile pentru securitate fie pentru cel care instalează obiectele, fie pentru însuși utilizatorul final. Aș dori să subliniez aici faptul că multe obiecte IoT vor fi folosite în domeniul sănătaţii, ajutând oamenii să stea acasă în loc să meargă la spital. În acest caz, nivelul de securitate al reţelei de acasă ar trebui să fie critic. Cine îi va ajuta?
Bruno Napoli este un veteran și expert în domeniul Smart Home, antreprenor de meserie, blogger, vorbitor, provocator de idei, dar și influencer-ul cunoscut ca “The GAFA man”. Începând cu 1992 el a creat/a fost implicat în mai multe companii din industria de echipamente audio-vizuale și de automatizare a locuinței. Krika, cea mai recentă companie a lui Bruno, a creat un produs profesional care asigură supravegherea la distanță a echipamentele AV și de automatizare a locuinței. Utilizând toate API-urile și toate protocoalele posibile s-a reușit controlul complet al dispozitivelor IoT dintr-o locuință. Astfel, principala temă abordată pe blog de Bruno este vulnerabilitatea IoT-ului în industria caselor inteligente. Îl puteți urmări pe Twitter: @brunonapoli_FR, în Medium: @brunonapoli sau pe LinkdedIn.
Ca expert în domeniul Smart Home de 25 de ani, am văzut cum această industrie a apărut și a devenit în întregime dependentă de infrastructura reţelei locale și de Internet. De asemenea, am văzut instalatori profesioniști în domeniul automatizării locuinţei care se ocupă de gestionarea și securizarea unei reţele deoarece aceasta nu este o abilitate care se poate obţine vizionând un tutorial pe YouTube în timpul unei pauze de prânz. Urmăriţi ultimul podcast înregistrat pe 11 iulie 2018 de AV Nation TV (https://avnation.tv/podcast/resiweek127-cyber-security-rmr/) , unul dintre cei mai importanţi producători profesioniști de podcasturi pentru utilizatorii de produse electronice. Vă puteţi imagina că primele 10 minute ale podcast-ului sunt utilizate pentru a discuta despre „Schimbarea parolei implicite”?
19
Focus - Cybersecurity Trends
În ziua azi, instalatorii profesioniști de soluţii de automatizare a locuinţei sunt foștii tipi care instalau sisteme audio / video și de home cinema, instalatori de sisteme de tip CCTV /alarme sau electricieni, deci sunt departe de avea abilităţi tehnice de reţea. Și chiar dacă ar dori să colaboreze cu o companie locală de IT pentru a crea și menţine reţeaua clienţilor, preţurile sunt de obicei prea mari pentru piaţa rezidenţială, deoarece sunt adaptate nevoilor unei companii. Pe scurt, lumea companiilor a construit ziduri de protecţie doar pentru o jumătate din castel. Trecând peste furtul de date personale, hacking-ul unei case inteligente poate fi de-a dreptul mortal. Să încercăm să enumerăm riscurile introduse de o Smart Home, dacă cineva o piratează. Reţineţi că această listă se referă doar la dispozitivele inteligente de astăzi. Dar încercaţi să vă imaginaţi natura exponenţială a acestui concept, ce se va întâmpla în câteva luni... câţiva ani... cine știe ce alte dispozitive inteligente incredibile vor fi create. !Piratarea setărilor sistemului de încălzire, ventilaţie și aer condiţionat astfel încât să aibă posibilitatea de autodistrugere !Piratarea setărilor sistemul de irigare a grădinii cu posibilitatea de a suferi distrugeri din cauza apei !Dezactivarea sau schimbarea setărilor detectoarelor inteligente (alarma, fum, inundaţie) !Deblocarea tuturor ușilor, dezactivarea alarmei și închiderea sistemului CCTV. !Se poate comanda căzii de baie să inunde casa în timp ce proprietarul este în vacanţă. !Se poate dezactiva sistemul de securitate al boilerului astfel încât apa să fie fiartă până când boiler-ul explodează.
20
!Pornirea tuturor aparatelor casnice de încălzire a casei în timpul unei veri călduroase, inclusive a șemineului pe bază de etanol și închiderea întregului sistem de ventilaţie. !Odată ce poate fi accesată reţeaua locală, este posibil să fie înlocuit firmware-ul oricărui dispozitiv cu unul personalizat, cee ace poate duce la controlul complet al acelui dispozitiv și dezactivarea sistemului intern de protecţie. Există o mare provocare pentru industria de securitate cibernetică profesională din lumea companiilor pentru a ajuta consumatorii. Și acolo unde există provocări, există multe oportunităţi de afaceri de a inova la nivelul produselor și serviciilor. Este o chestiune de echilibru și de bun simţ, atât întreprinderile, cât și consumatorii ar trebui să aibă același nivel de securitate. Se poate începe prin crearea de lucrări și studii cu bune practici, crearea de certificări și mărci de calitate pentru instalatorii profesioniști din domeniu și, probabil, cea mai mare oportunitate a tuturor ar fi înfiinţarea de companii IT dedicate consumatorilor cu scopul de a crea, asigura, gestiona și menţine reţelele „smart” ale acestora. Practic un om obișnuit care dorește să își instaleze singur sistemul de Smart Home va trebui să îl și întreţină, exact la fel cum face un director IT într-o mica firmă, respectiv trebuie să: !verifice și actualizeze constant firmware-ul / sistemul de operare al sistemului de automatizare de acasă, al tuturor aplicaţiilor mobile și al obiectele conectate; !testeze toate caracteristicile noi, precum și să se asigure că toate aceste dispozitive frumoase continuă să funcţioneze bine după ce au fost actualizate. !auditeze și protejeze reţeaua locală și să modifice periodic parolele atât ale conexiunii Wi-Fi cât și ale aplicaţiilor și serviciilor. !și, în final, din moment ce durata de viaţă a unei case ar trebui să fie de câteva decenii, în orice caz mult mai lungă decât cea obișnuită a produselor tehnologice, va fi necesar să se asigure că toate componentele instalate sunt întotdeauna actualizate și menţinute de producători. Apropo, ce ar trebui să facă un om obișnuit atunci când va descoperi că un produs IoT nu mai există în oferta producătorului, ceea ce înseamnă că, chiar dacă într-o zi se va descoperi o breșă de securităte pe acest dispozitiv, nu va mai exista nicio
actualizare. Va trebui oare să schimbăm componentele IoT la fiecare 4 sau 5 ani pentru a beneficia de noi caracteristici și protecţii în domeniul securităţii cibernetice? După cum puteţi vedea, o mulţime de provocări pentru un utilizator final care ar dori de fapt doar să se uite la „Urzeala Tronurilor”! Nu sunt un expert în Cyber Security și sunt sigur că cititorii au o idee despre ce să facă pentru a securiza o casă inteligentă și pentru a propune un serviciu pentru lumea consumatorilor obișnuiţi. Reţineţi că este vorba însa de mediul rezidenţial, astfel că produsul / serviciul ar trebui să fie disponibil non-stop și foarte prietenos. Provocarea pentru instalatorii profesioniști din domeniul automatizării locuinţei va fi mai mult sau mai puţin aceeași cu cea a unui utilizator final cu mai multe responsabilităţi. !În primul rând, ca profesioniști, ei au datoria legală de a informa în mod clar utilizatorii finali cu privire la problemele descrise mai sus în ceea ce privește monitorizarea, actualizarea, modernizarea și întreţinerea unei case conectate. !În același timp, instalatorii profesioniști trebuie să aibă contracte prin care oferă toate aceste servicii. Astăzi, 99,99% din profesioniștii AV și Home Automation din lume nu propun niciun contract de service sau întreţinere utilizatorilor finali. Ei fac treaba, instalează o reţea locală și pleacă (atâta timp cât funcţionează...). !Deoarece vorbim de siguranţa oamenilor, este foarte probabil ca aceștia să aibă nevoie de noi certificări profesionale și de asigurare. !Provocarea finală este că vor avea nevoie de resurse umane pentru a executa aceste contracte de service și întreţinere. Nu există nici o îndoială că aceste contracte vor crea milioane de ore de lucru care vor deschide ochii unor antreprenori capabili să profite de oportunitatea de a crea companii dedicate de servicii. La nivelul dezvoltatorilor imobiliari va trebui înfiinţat un departament «Smart Home», acesta va trebui la rândul lui să aibă persoane competente pentru a alege produse care să poată fi integrate la scară foarte largă, precum și pentru a negocia parteneriate avantajoase și acorduri cu companiile de service pentru a menţine o colaborare bună între GAFA, partenerii industriali și administraţia locale. Se cere cam mult unui constructor care, de obicei, nu pune piciorul într-un șantier de construcţii decât după finalizare. Ultima provocare va fi pentru asiguratorii de locuinţe, care cu siguranţă nu ne vor permite să ne transformăm casele în niște himere inteligente fără să își expună poziţia. Acum suntem capabili să controlam de la distanţă deschiderea tuturor ușilor și ferestrelor, totodata controlăm de la distanţă însă și dizpositive care pot provoca daune grave, cum ar fi boilerele pe gaz, șeminele cu bioetanol, robinetul cu apă automată... Cum și detectoarele inteligente de fum, cele de scurgeri de apă dar și sistemele de alarmă sunt toate conectate în reţeaua noastră locală, și ele pot fi piratate și transformate în boţi. Mai jos sunt câteva provocări la care companiile de asigurări trebuie să răspundă cu privire la o locuinţă inteligentă în contextul întrebărilor pe care un asigurat le-ar putea pune: !Vreau să știu care sunt recomandările dvs. și ce exemple de bune practice aveţi, astfel încât să nu-mi poţi spune în viitor că nu îmi vei plăti asigurarea pentru că locuinţa mea inteligentă nu a fost suficient de securizată și pentru că nu am urmat cele mai bune practici utilizate în industrie sau pentru că sistemul nu a fost instalat și / sau nu a fost întreţinut de un specialist calificat. !Apropo, despre ce industrie, specialist, calificări și bune practici vorbim? Este vorba despre un specialist IT? Un electrician?
!Veţi semna un document pentru a confirma faptul că politica mea de asigurare actuală va avea acoperirea obișnuită, indiferent de modificările din locuinţă? !Veţi stabili într-o zi anumite limite cu privire la ceea ce putem face într-o locuinţă inteligentă? !Cât de complex ar trebui să fie parola mea pentru Wi-Fi, pe toate dispozitivele mele inteligente și de câte ori ar trebui să o schimb pe an? !Pot să utilizez în continuare dispozitive conectate care nu mai există la producător, ceea ce înseamnă că, chiar dacă au descoperit o breșă majoră de securitate, nu va exista niciodată o actualizare a firmware-ului? !Îmi puteţi da o listă de dispozitive conectate interzise pe care nu le pot folosi în casa mea pentru că sunt prea vulnerabile? !Dacă există disponibilă o nouă actualizare a firmwareului pentru rezolvarea unei probleme importantă de securitate a căzii mele sau a termostatului inteligent al boiler-ului, cât de repede trebuie să-l realizez actualizarea? Și dacă problema apare înainte de actualizare, mai sunt asigurat? !Ce se întâmplă dacă există o breșă de securitate la nivelul instalatorului profesionist? Acesta are toate informaţiile mele, datele de conectare și parolele. Asigurarea lui îl acoperă pentru asta? Pentru moment, niciuna dintre companiile de asigurări existente nu este gata să răspundă la aceste întrebări. De fapt, deoarece automobilele autonome vor avea nevoie de un tip complet nou de poliţe de asigurare concepute în colaborare cu industria auto, o casă inteligentă - va avea nevoie, de asemenea, de un tip complet nou de poliţă de asigurare. Asiguraţi-vă că într-o zi asigurătorii de locuinţe vor cere industriei AV și Smart Home să proiecteze anumite certificări Smart Home și contracte de întreţinere pentru a evita sau a reduce la minimum toate riscurile, deoarece în cele din urmă companiile de asigurări vor fi cele care vor plăti atunci când există daune. În concluzie, sunt multe de discutat și o mulţime de oportunităţi. Ţineţi-mă la curent cu părerile dvs cu privire la acest articol. Pentru a afla mai multe despre industria Smart Home mă găsiţi pe Medium, LinkedIn & Twitter. !
21
Focus - Cybersecurity Trends
Utilizări Blockchain în Cybersecurity Autor: Giannella Borg
Utilizările inovatoare ale tehnologiei Blockchain au depășit deja domeniul criptomonedelor, ele fiind deosebit de utile pentru sporirea securității informatice. În acest articol vom arunca o privire asupra modului în care aceste efecte au influențat industria noastră și vom încerca să înțelegem modul în care putem valorifica această tehnologie în domeniul securității cibernetice.
Viitorul este acum În 2008 am asistat la debutul Bitcoin. În urmă cu doar câţiva ani, mulţi au respins acest concept ca fiind o nebunie, ceva ce va depăși grupurile mici de nișă. Astăzi, la un deceniu de la începuturile sale umile, Bitcoin este pe cale să devină una dintre cele mai perturbatoare tehnologii ale acestei perioade, având o creștere exponenţială. Este rapid recunoscută ca o metodă de plată acceptată la nivel mondial. Utilizatorii, deţinătorii de portofele virtuale, comercianţii și investitorii continuă să sprijine și să susţină financiar criptomonedele pe când investiţiile în lansarea de criptomonede noi sunt zilnic în creștere.
BIO Giannella Borg este inginer de securitate informatică, fiind angajată a LeoVegas Gaming Group din Malta. Lucrează în domeniul tehnologiei informației de peste 10 ani, în special în industria iGaming, FinTech, servicii IT și Software și a obținut numeroase certificări și certificate pe tot parcursul carierei, inclusiv CISM, CRISC, CISA și COBIT5. Este membru activ al consiliului de administrație al ISACA Malta, unde ajută la organizarea seminarelor și atelierelor educaționale locale, se implică în proiecte de cercetare IT, desfășoară întâlniri regulate ale membrilor ISACA și ajută la promovarea și creșterea vizibilității auditului, controlului și securității IS în rândul profesioniștilor locali. Giannella este familiarizată cu diversele domenii ale Cybersecurity, dar este deosebit de pasionată de DevSecOps și de gamificarea conștientizării nevoii de Securitate.
22
Bitcoin, supranumit „aurul digital”, are la ca bază tehnologia de tip blockchain, și, deși această tehnologie nu are niciun supranume, totuși ea este adevăratul erou din spatele succesului criptomonedelor. Blockchain-ul a fost iniţial conceput ca o tehnologie de bază pentru moneda digitală, a continuat să crească și să se dezvolte deoarece comunitatea tehnologică găsește în mod continuu metode noi și inovatoare pentru utilizarea acestuia. Poate că, dacă se va menţine această dezvoltare, ea va deveni coloana vertebrală a unui nou tip de internet, un internet care poate fi distribuit, dar nu copiat. Blockchain-ul are multe utilizări în afara criptomonedelor iar Steve Morgan, fondatorul și redactorul șef al Cybersecurity Ventures, este de acord. „Blockchain-ul este un factor de bază pentru afaceri. Acesta va fi o sursă mare de câștig pentru multe organizaţii la nivel global. Tehnologia promite să șteargă graniţele geografice și monetare.” Ușurinţa utilizării reprezintă unul dintre factorii care au dus la povestea de succes a blockchain-ului. Tehnologia Blockchain în sine este complicată, adevărat, la fel ca și o mașina. Cu toate acestea, nu este nevoie să știţi ce este exact sub capota mașinii ca să o conduceţi, același concept poate fi aplicat și pentru Blockchain.
Impactul Blockchain asupra Cybersecurity Utilizările inovatoare ale tehnologiei Blockchain au depășit deja domeniul criptomonedelor, ele fiind deosebit de utile pentru sporirea securităţii informatice. În acest articol vom arunca o privire asupra modului în care aceste efecte au influenţat industria noastră și vom încerca să înţelegem modul în care putem valorifica această tehnologie în domeniul securităţii cibernetice.
Rol esențial în minimizarea distrugerii datelor Blockchain-ul ar putea juca un rol important în garantarea disponibilităţii datelor, deoarece, spre deosebire de ce se întâmplă într-un scenariu atipic, fiecare informaţie va fi distribuită pe întregul sistem. Prin urmare, dat fiind faptul că singură informaţie se află în mai multe locaţii, în cazul în care datele dintr-un nod sunt modificate sau șterse, fie accidental, fie intenţionat, se va declanșa un mecanism de verificare și se vor compara datele defectuoase cu pachetul de metadate. În cazul în care se constată că datele nu se potrivesc cu restul, acestea vor fi aruncate și înlocuite cu o copie validă. Aceasta înseamnă că singura modalitate prin care datele pot fi distruse accidental sau intenţionat este ca întreg blockchain-ul să fie șters și apoi să fie șters fiecare nod separat. Dacă un singur nod rămâne în sistem, datele ar putea fi restabilite complet.
Rol critic în distribuția de tip DNS și prevenția DDoS-urilor Atacurile de tip Distributed Denial of Service (DDoS) sunt în creștere la nivelul companiilor de mari dimensiuni. La începutul anului GitHub a fost lovit cu o viteză de 1.35Tbps, depășind recordul existent al celui mai mare atac DDoS. Piaţa instrumentelor de diminuare a DDoS continuă să crească și se accelerează găsirea unor tehnici inovatoare de stopare a unui atac. Cu toate acestea, după cum s-a dovedit în câteva dintre atacurile recente, DDoS nu are legătură doar cu volumul, rămîne încă un defect la nivelul Domain Name System (DNS). Serverele DNS sunt parţial descentralizate, ceea ce înseamnă că ar putea exista mai multe servere DNS, care sunt excelente pentru redundanţă, dar nu atât pentru rezilienţă, deoarece maparea este unu la unu, ceea ce face ca sistemul DNS să fie vulnerabil în faţa atacturilor DDoS. Acest lucru permite unui atacator să copleșească un server DNS sau servere DNA cu interogări și să îl facă indisponibil fără a trebui să recurgă într-un atac la cantităţi uriașe de gigabiţi. Utilizând blockchain, DNS-ul ar fi complet descentralizat, astfel încât fiecare DNS ar indica mai multe noduri. În acest scenariu, un atacator ar trebui să direcţioneze un atac de tip DDoS către toate nodurile din bloc, ceea ce face aproape imposibil ca un site web să fie pus offline. De curând se observă că unele companii implementează un DNS descentralizat, utilizând blockchain, pentru a preveni apariţia atacurilor de tip DDoS. De exemplu, Blockstack descentralizează complet DNS-ul, în timp ce MaidSafe, o companie din Marea Britanie, oferă un internet alternativ, descentralizat.
Transparent și incoruptibil Reţeaua blockchain trăiește într-o stare de consens, una care se verifică automat la fiecare zece minute. Un ecosistem cu auto-auditare a valorii digitale, reţeaua reconciliază fiecare tranzacţie care are loc în intervale de zece minute. Fiecare grup de tranzacţii este denumit «bloc». Rezultă două proprietăţi importante: !Transparenţa - datele sunt încorporate în reţea ca întreg, prin definiţie fiind publice.
!Nu poate fi corupt - modificarea oricărei unităţi de informaţii din blockchaing ar însemna utilizarea unei cantităţi imense de putere de calcul pentru a suprascrie întreaga reţea. Așa cum unii dintre noi deja au experimentat direct, multe vulnerabilităţi la nivelul software-ului pot duce la probleme de securitate, cum ar fi scurgeri de date sau reţele compromise. Investigarea unor astfel de incidente uneori relevă că problema care stă la baza acestor incidente poate fi în reţeaua de logistică sau în lanţul de aprovizionare. În timp ce blockchain-ul în sine nu poate distruge sau detecta astfel de atacuri, acesta oferă o totuși o infrastructură de transparenţă, precum și urmărirea evenimentelor, criptografie și șansa de a îmbunătăţi senzorul de securitate și partajarea datelor – elemente care nu există în cadrul unor soluţii de securitate și al unor implementări pe reţelele întreprinderilor.
Un nou standard: securitatea implicită (Security by Design) Deși iniţial proiectat pentru a facilita schimbul de monede virtuale, sistemul descentralizat al Blockchain-ului pare interesant și aplicabil în diferite subiecte privind securitatea informatică. Transparenţa și distribuirea sporită oferite de tehnologia Blockchain ajută la rezolvarea multor situaţii problematice de securitate cibernetică. De exemplu, tehnologia de tip blockchain nu oferă încă o infrastructură de încredere pentru furnizori pentru a păstra mai bine controlul asupra sistemelor și reţelelor. Aceasta nu poate fi utilizată pentru a efectua un audit cu încredere sporită și nici pentru a aborda punctele slabe din protocoalele de securitate. Este posibil ca un motiv pentru care blockchain-ul a rezonat bine și este ales pentru a rezolva problemele din cadrul securităţii cibernetice a fost faptul că oferă un model solid, care funcţionează„sigur prin design” din cauza importanţei acordate securităţii datelor, într-o epocă în care încrederea în sisteme este extrem de importantă. !
23
Focus - Cybersecurity Trends
Ingineria socială: niciodată nu eşti prea inteligent pentru a fi înșelat tendinţa foarte umană de a folosi „scurtături” mentale atunci când sunt luate decizii sub presiune sau de a efectua acţiuni de rutină, fără a gândi, din pură obișnuinţă. Aceste tactici de inginerie socială sunt utilizate pentru a păcăli oamenii să-și infecteze propriul dispozitiv cu programe malware sau să introduce într-un program informaţiile lor personale - în mod voluntar. Unii hacker-i aleg ingineria socială ca metodă de obţinere a accesului la informaţii privilegiate. Dacă ar alege metodele tradiţionale de hacking, el ar trebui să aibă acces mai întâi la o reţea securizată și apoi să caute informaţii, ceea ce poate dura mult timp și o mulţime de tehnologii. Alegând să
Autor: George Hannah
Nu este un secret faptul că utilizatorii de sisteme dintr-o organizaţie reprezintă o ameninţare majoră la adresa securităţii informatice, chiar și atunci când o organizaţie a investit în tehnologii avansate pentru a preveni încălcarea securităţii. Indiferent dacă sunt naivi sau pur și simplu distraţi, acești utilizatori pot - și de cele mai multe ori o fac compromite securitatea întregii organizaţii cu un singur clic. Desigur, utilizatorii înșiși nu poartă răspunderea exclusivă. Hackerii folosesc o multitudine de tehnici sofisticate, denumite în mod obișnuit „inginerie socială”, pentru a păcăli sau a manipula oamenii, profitând într-un mod intelligent de comportamentele umane obișnuite și de prejudecăţile cognitive. Înclinaţiile cognitive se referă la o abatere de la comportamentul raţional, cum ar fi
BIO George are peste 20 de ani de experiență în furnizarea de soluții informatice și de securitate digitală organizațiilor din sectorul educației, guvernului, sănătății și finanțelor. În prezent, este manager regional de vânzări pentru Europa de Nord și Marea Britanie al Ericom Software, lider mondial în conectarea în siguranță a locului de muncă digital și protejarea organizațiilor împotriva amenințărilor pe internet. Twitter: @GHannahEricomUK ; @Ericom_Software LinkedIn: https://www.linkedin.com/in/ghannah/; https://www.linkedin.com/company/ericom-software/
24
manipuleze utilizatorii să renunţe singuri la informaţii, hackerii pot să nu facă practic ceva și să se relaxeze în timp ce răspunsurile vin, oferindu-le informaţiile potrivite pentru a efectua un cyberattack. De fapt, conform unui recent raport al companiei Verizon privind investigaţiile despre încălcările datelor, aproape jumătate din toate încălcările de securitate raportate au implicat ingineria socială.
Păcălirea celui deștept S-ar putea să gândiţi: „Sigur, unii oameni ar putea cădea pradă acestor trucuri, dar eu sigur recunosc o înșelătorie când văd una.” Nu fiţi așa de siguri. Hackerii pot folosi ingineria socială pentru a viza cu succes chiar și pe cei mai tehnici din domeniu. În 2017, un adolescent britanic, Kane Gamble, a intrat în conturile de e-mail ale șefilor DNI și CIA folosind ingineria socială. Prin personificare, el a reușit să obţină suficiente informaţii personale despre acești oficiali americani pentru a convinge furnizorii de e-mailuri ale acestora să le reseteze parolele, oferindu-i astfel lui Gamble accesul deplin la conturile de e-mail.
Înșelătoriile prin e-mail-urile din zilele noastre sunt mai sofisticate decât oricând. Hackerii care vizează anumite organizaţii pot colecta o mare varietate de detalii despre utilizatorii vizaţi, pentru a face email-urile să pară cât mai convingătoare posibil. Ele pot, de asemenea, să creeze un sentiment de urgenţă, diminuând judecată de moment. E-mailul poate crea o poveste logică, cum ar fi o organizaţie care le solicită tuturor utilizatorilor să descarce o „actualizare software” falsă pentru a rezolva o problemă de securitate sau să descarce un document atașat e-mail-ului care conţine o situaţie (falsă) la nivel de companie și are nevoie de revizuire urgentă. Chiar și utilizatorii care sunt instruiţi în mod specific pentru a recunoaște încercările de phishing sau spoofing pot face greșeli. În timp ce training-ul este o tehnică esenţială și eficientă pentru a reduce încălcările securităţii, ea se bazează pe un singur lucru - capacitatea utilizatorului de a gândi încet și raţional. Chiar și cel mai atent utilizator poate face un clic neglijent atunci când este distrat, sub presiune, sau, chiar, pur și simplu obosit. În aceste cazuri, utilizatorul ar putea ignora semnele clare de phishing sau o adresă de e-mail falsificată, pentru că gândesc repede. Așa cum scrie Daniel Kahneman în cartea sa „Thinking, Fast and Slow”, chiar și aceia dintre noi care sunt instruiţi în logica avansată pot să nu reușească să evalueze riscurile simple și să facă erori de judecată atunci când gândesc rapid, ducând la decizii proaste – cum ar fi să apese pe un link maliţios. Niciun training nu poate împiedica apariţia unui astfel de comportament uman natural - cel puţin ocazional.
Soluții inteligente pentru escrocherii inteligente Pentru a diminua ameninţările interne generate de utilizatorii care cad pradă ingineriei sociale, majoritatea organizaţiilor se bazează pe soluţii hardware și software tradiţionale, cum ar fi software antivirus, firewall-uri și gateway-uri de e-mail, pentru a detecta și a bloca traficul sau fișierele suspecte din reţele sale sau din endpoint-uri. De fapt, cele mai bune practici dictează utilizarea mai multor niveluri de securitate în întreaga organizaţie pentru a se asigura că nu există un punct unic de eșec care să expună reţeaua la un atac la scară largă. Cu toate acestea, pentru ameninţările avansate care nu pot fi detectate, organizaţiile trebuie să aibă pe lângă soluţiile de detectare și blocare și mijloace de protecţie proactive, în special atunci când vine vorba de aplicaţii orientate spre exterior, cum ar fi programele de e-mail și browser-ele web.
Tehnologia avansată, cum ar fi izolarea browser-ului de la distanţă, poate, de exemplu, să protejeze în mod proactiv endpoint-urile împotriva ameninţărilor de la nivel de browser, nedetectate, împiedicând phiserii și alţi infractori cibernetici să obţină acces prin acest vector popular de ameninţare.
Atunci când se utilizează RBI, utilizatorii pot naviga pe Internet ca de obicei prin intermediul unui flux de conţinut interactiv. Cu toate acestea, în fundal, tot codul activ pentru sesiunea de browser este executat într-un container virtual din DMZ sau cloud. Containerul este distrus când sesiunea s-a terminat. Astfel, dacă un utilizator dă clic pe ceva maliţios, codul nu va intra niciodată în reţeaua organizaţiei. Aceasta este protejată de rezultatul potenţial catastrofal al unei simple erori de judecată. Nimic nu va elimina complet ameninţarea ingineriei sociale. Instruirea și educaţia cu siguranţă nu sunt suficiente. Atacatorii sunt mereu în căutarea unor noi modalităţi de a convinge și de a încălca, atât la nivel uman, cât și la nivel de mașină. Noi soluţii inteligente, cum ar fi RBI, ar trebui folosite pentru a oferi un nivel de protecţie preventiv, care să permită greșeli umane și prejudecăţi cognitive, fără a lăsa o organizaţie vulnerabilă la atacurile cibernetice. !
25
Trends - Cybersecurity Trends
Ţineţi sub control fraudele online, cu ajutorul F5 WebSafe și Datanet Numărul fraudelor online crește constant în România, hackerii diversificându-și rapid metodele de inginerie socială și arsenalul tehnic. Soluția furnizată de Datanet Systems pentru a ține sub control acest risc este F5 WebSafe, care vă ajută să garantați siguranța clienților finali. „Stimate client, Ești unul dintre cei 1.000 de câștigători ai premiilor de fidelitate acordate de compania noastră. Pentru a intra în posesia premiului, accesaţi link-ul de mai jos și completaţi datele necesare.” Cum reacţionaţi când primiţi un astfel de mesaj – vă asumaţi riscul de a fi „păcăliţi” sau evitaţi conștient „oportunitatea”? Pericolul este real, pentru că un astfel de mesaj poate proveni dintr-o campanie de marketing, dar la fel de bine și dintr-o tentativă de Phishing. Deși au trecut 20 de ani de la primele incidente, aceste atacuri nu s-au demodat. Succesul e garantat de atracţia „recompensei” și de „credinţa”, nejustificată, că organizaţiile au obligaţia să își protejeze clienţii împotriva ameninţărilor. Hackerii cunosc foarte bine aceste lucruri și își diversifică și dezvoltă continuu atât metodele de „Social engineering”, cât și arsenalul tehnic. Astăzi, în domeniul fraudelor online, nu mai vorbim doar de Phishing, Spear Phishing sau Pharming, ci și de Keyloggere, de atacuri de tipul Man-in-the-Browser (MITB) sau Man-in-the-Middle (MITM), de „injecţii” URL, de Remote Access Trojans (RATs) ș.a.m.d. Toate organizaţiile care interacţionează cu clienţii prin intermediul serviciilor Web sunt ţinte potenţiale pentru astfel de ameninţări. Instituţiile financiar-bancare sunt însă cele mai expuse, pentru că atacatorii urmăresc cu precădere câștiguri financiare. Problema este complicată de indiferenţa cu care clienţii primesc recomandarea legitimă a organizaţiilor de a utiliza soluţii de securitate. De exemplu, doar 5% acceptă
26
să instaleze un agent local al unei aplicaţii de protecţie pe dispozitivul de pe care își accesează serviciile bancare. Cu toate acestea, „credinţa” că responsabilitatea protecţiei revine organizaţiilor rămâne majoritară. Potrivit 2018 Global Fraud and Identity Report, 4 din 5 clienţi ai unei bănci consideră că este de datoria acesteia să le asigure protecţia datelor personale.
Cum să împaci și clientul și organizația Soluţia furnizată și implementată de către Datanet Systems – F5 WebSafe – asigură atât protecţia organizaţiilor, cât și a clienţilor lor și mai ales le menajează „susceptibilităţile”, WebSafe fiind o soluţie „clientless” care nu solicită utilizatorului final să descarce niciun agent. Tehnologia F5 de protecţie și detecţie a trentativelor de fraudă online se deosebește de cea a competitorilor în acest domeniu și prin faptul că inspectează în mod transparent echipamentele acestora, detectează ameninţările malware și furnizează protecţie împotriva lor, fără să afecteze performanţa device-urilor. În plus, poate proteja orice tip de dispozitiv, indiferent de sistemul de operare utilizat. WebSafe acţionează, practic, ca o barieră de protecţie poziţionată între utilizatorii finali și serverele care rulează aplicaţii Web. Soluţia inserează automat un cod JavaScript în fiecare pagină, de fiecare dată când un client o accesează. Codul este plasat în mai multe zone ale paginii, pentru a nu fi depistat de un potenţial atacator. Folosind această tehnologie, WebSafe asigură detectarea eficientă a ameninţărilor și activitătilor rău intenţionate care vizează furtul de date personale, dar și a echipamentelor compromise.
Protecție pe patru niveluri WebSafe furnizează patru funcţionalităţi principale, pe care specialiștii Datanet Systems le pot dezvolta separat, personalizând soluţia astfel
încât aceasta să răspundă cerinţelor de securitate specifice fiecărei companii: !Detecție malware: WebSafe utilizează o bază de date cu semnături predefinite de ameninţări malware. Soluţia identifică și ameninţări noi, necunoscute încă, beneficiind de suportul F5 Security Operations Center (SOC). Centrul F5 de expertiză în domeniul securităţii IT monitorizează și investighează la nivel global noile atacuri și ameninţări de tip „Zero day”, actualizând informaţia în timp real. Pentru detectarea unui utilizator infectat care iniţiază o solicitare legitimă către un server, WebSafe inserează în răspunsul primit de la serverul Web un cod JavaScript prin care verifică faptul că în pagina accesată nu sunt introduse elemente noi (butoane, formulare, scripturi, câmpuri etc.). Atunci când depistează elemente noi, soluţia emite automat o alertă, permiţând echipelor de securitate să reacţioneze rapid. !Protecție anti-Phisihing: WebSafe detectează automat apariţia paginilor false, create de hackeri pentru a induce în eroare clienţii și a-i face să își deconspire datele personale. Soluţia este concepută astfel încât să identifice acest tip de atacuri chiar înaintea lansării campaniilor de email, alertând echipele de securitate atunci când site-ul fals a fost încărcat online. În plus, WebSafe identifică atacatorul și furnizează organizaţiei afectate informaţii despre acesta, emiţând o alertă automată și către F5 Surveillance Center, serviciu accesibil tuturor utilizatorilor soluţiei. !Criptare la nivelul aplicațiilor: „Application Layer Encryption” permite definirea datelor care trebuie criptate la nivel de mesaj (parole, numere de cont bancar, coduri PIN etc.), pentru a asigura protecţia informaţiilor transferate între client și organizaţie. Astfel, chiar și atunci când un atacator reușește să intercepteze comunicaţiile dintre utilizator și aplicaţiile Web, datele obţinute nu pot fi utilizate. De exemplu, în momentul în care un utilizator se loghează, WebSafe înlocuiește caracterele parolei tastate cu o secvenţă criptată la nivel de aplicaţie, astfel încât hackerii nu pot captura parola reală. (Pentru protecţia împotriva Keylogger-erelor, există opţiunea de criptare în timp real, care face ca parola să nu fie vizibilă niciodată.) !Detecția automată a tranzacțiilor: La fiecare conectare și tranzacţie efectuate de către un client, WebSafe face o serie de verificări prin diferite metode de analiză comportamentală și de recunoaștere a tiparelor, cu ajutorul cărora detectează și blochează tentativele de completare automată a câmpurilor (respectiv plăţile și transferurile de bani iniţiate de bots). De exemplu, WebSafe recunoaște atunci când mișcările mouse-ului și utilizarea tastaturii sunt făcute de o persoană reală sau sunt simulate de
un cod malware automatizat. Funcţionalităţile avansate de analiză îi permit să facă deosebirea, în timp real, și între tranzacţiile legitime și cele iniţiate de un fraudator. WebSafe atribuie un scor de risc fiecărei tranzacţii, pe baza probabilităţii de a fi frauduloasă, și emite alerte de securitate împotriva celor cu risc ridicat. Nu în ultimul rând, un alt avantaj competitiv important al soluţiei WebSafe este acela că atât administrarea, cât și configurarea soluţiei – asigurată de către specialiștii Datanet – se face centralizat, spre deosebire de soluţiile similare care, fiind instalate pe fiecare server Web în parte, necesită operarea oricărei modificări la nivel local, generând un efort mai mare și un timp de reacţie mai lung.
Primul zid de apărare Utilizarea unei soluţii precum F5 WebSafe asigură organizaţiilor care furnizează servicii Web un prim element de protecţie împotriva ameninţărilor online. Necesar, dar nu și suficient, deoarece, pentru a beneficia de o protecţie extinsă, organizaţiile au nevoie ca toate aplicaţiile de securitate pe care le utilizează să fie integrate într-o arhitectură scalabilă. Avantajul competitiv al Datanet Systems rezidă în faptul că deţine atât competenţe certificate pe un portofoliu extins de tehnologii de securitate, cât și o experienţă solidă în acest domeniu, având numeroase proiecte în verticale cu cerinţe critice pe zona de securitate (sectorul financiar-bancar, telecom, utilităţi etc.) În plus, în 20 de ani de activitate pe piaţa locală, Datanet a dezvoltat o metodologie de abordare flexibilă, care permite adaptarea oricărui proiect la cerinţele, obiectivele și bugetele organizaţiilor, asigurând totodată rentabilizarea investiţiilor deja făcute. Dacă doriţi să aflaţi cum puteţi valorifica în cadrul organizaţiei dvs. avantajele soluţiei WebSafe, contactaţi-ne la office@datanets.ro
PARTENERUL TĂU SPECIALIZAT ÎN SISTEME DE SECURITATE
27
Focus - Cybersecurity Trends
Ransomware-as-a-Service (RaaS) Autor: Antonio Pirozzi opţiuni: să plătească răscumpărarea fără a avea garanţia de a i se returna fișierele originale sau de a formata PC-ul deconectându-l de la Internet.
Introducere În acești ani, Darknet a creat noi modele de afaceri ilegale. De fapt, peste conţinutul clasic ilegal, cum ar fi drogurile, armele și ucigașii, s-au născut alte servicii pentru specula și câștigul. În contextul securităţii informaţiilor, sunt disponibile servicii de hacking și dezvoltarea de software ilegal, cum ar fi software rău intenţionat. Noua tendinţă constă în utilizarea platformelor care permit chiar oamenilor fără experienţă să creeze ransomware la cerere. Un ransomware este un cod rău intenţionat care infectează mașinile victimelor și blochează sau criptează fișierele lor, pretinzând o răscumpărare. Când aplicaţia ransomware este instalată pe o mașină victimă, aceasta caută și vizează fișiere și date sensibile, cum ar fi date financiare importante, baze de date și fișiere personale. Acestea sunt concepute pentru a face inutilizabile mașinile victimelor. Apoi, malware-ul cere să se plătească o răscumpărare pentru datele de utilizator criptate prin apariţia unei fereastre sau crearea unor fișiere text care conţin instrucţiunile de plată. Utilizatorul are doar două
BIO Antonio este Principal Malware Scientist și cercetător Senior Threat pentru CSE CybSec Enterprise. De fapt, el deține mai mult de 10 certificări Infosec International, de la SANS, EC-Council până la Departmentul de Securitate Națională al SUA. Experiența sa depășește peisajul clasic al securității calculatoarelor, a lucrat la numeroase proiecte privind securitatea GSM, securitatea infrastructurilor critice, malware-ul Blockchain, malware-ul compoziției, evaziunea malware.
28
Istoria ransomware Primul ransomware s-a născut în 1989, când 20.000 de dischete au fost expediate ca „Dischete cu informaţii introductive despre SIDA”, iar după 90 de reporniri software-ul a ascuns directoarele și a criptat numele fișierelor pe computerul clientului, pretinzând o răscumpărare de 189 dolari. Plata trebuia făcută depunând suma solicitată la o cutie poștală din Panama. După mai mulţi ani, în mai 2005, GpCode, TROJ.RANSOM.A, Archiveus, Krotten și alţii au apărut și astfel s-a marcat începutul răspândirii maxime a acestui tip de malware. Odată cu apariţia noilor modalităţi de plată anonime la sfârșitul anului 2008, cum ar fi Bitcoin, răscumpărarea a schimbat abordarea cererii de plată de răscumpărare. Deși au existat mai multe familii de ransomware, cum ar fi CryptoLocker, TeslaCrypt, Locky și alţii, în 2017, WannaCry Ransomware Attack a terorizat cea mai mare parte a lumii din cauza comportamentului său vierme, cu ajutorul căruia malware-ul a reușit să se răspândească în mai mult de 230.000 de mașini care exploatează o vulnerabilitate din protocolul SMB. În ciuda comportamentului său neașteptat de vierme, WannaCry a continuat să cripteze fișierele utilizatorilor utilizând metodele clasice, însă a cerut o plată de 300 $ în Bitcoin care trebuia trimisă unei adrese Bitcoin furnizată.
2017 – Anul ransomware Anul trecut s-au petrecut cele mai grave atacuri de răscumpărare, răspândite în întreaga lume. Au existat cel puţin trei atacuri de răscumpărare care au provocat daune economice pentru milioane de dolari. Primul a fost WannaCry, care a lovit toate tipurile de infrastructură, începând de la companii de comunicaţii, cum ar fi Telefonica, FedEx și Deutsche Bahn,
până la agenţii spaniole din Anglia. S-a propagat prin EternalBlue, un exploit în sistemele Windows mai vechi, lansat de The Shadow Brokers cu câteva luni înainte de atac. Chiar dacă Microsoft lansare anterior un patch pentru a închide exploataţia, organizaţiile care nu le-au aplicat sau care foloseau sisteme mai vechi Windows au fost afectate
Figure 3 – Website-ul de plată Bad Rabbit
Caracteristici generale Ransomware
Al doilea este NotPetya, care este de fapt evoluţia unui alt ransomware infam, cunoscut sub numele de Petya, răspândit în sălbăticie în 2016. Acest ransomware se propagă cu același exploit ca și WannaCry, EternalBlue. Caracteristica acestui malware este că a fost proiectat să nu fie un ransomware, ci un wiper, deoarece criptează înregistrarea Master Boot a mașinii și din cauza unei erori algoritmice, nu mai este posibilă restabilirea situaţiei anterioare, iar datele sunt astfel pierdute
Tipurile de atacuri din ultimii zece ani ar putea fi clasificate astfel: !Ransomware de tip Locker: este un ransomware care nu mai permite accesul utilizatorilor la propriile dispozitive !Ransomware de tip Crypto: este un ransomware care cripteaza fișiere, directoare și hard disck-uri Primul tip a fost folosit între 2008 și 2011. A fost eliminat deoarece era destul de simplu să fie eliminată infecţia fără a fi plătită răscumpărarea. De fapt, ransomware-ul de tip Locker are vulnerabilitatea că arată o fereastră care neagă accesul la computer, fiind însă ușor apoi să se ocolească blocarea de către ransomware. Cel de-al doilea tip nu are această problemă, deoarece cripto-malware-ul afectează direct fișierele utilizatorilor, permiţând în paralel utilizarea sistemului de către victimă. Astfel, utilizatorul nu poate accesa informaţiile conţinute în fișierele criptate. Apoi, următorul tip de ransomware folosește aceeași abordare criptografică a celui de-al doilea, dar implică o combinaţie de eforturi avansate de distribuţie și tehnici de dezvoltare utilizate pentru a asigura evaziunea și antianaliza, așa cum atestă Locky și WannaCry. Evident, crearea unui ransomware necesită capabilităţi specifice și avansate, pe lângă efortul de dezvoltare. Acest lucru face ca ransomware-ul să fie un instrument pentru puţini oameni. Dar pentru a satisface nevoile oamenilor care doresc să se răzbune, să facă bani sau doar pentru distracţie, se nasc noi servicii, servicii care să faciliteze „cumpărarea și vânzarea” de software rău intenţionat. Și astfel a apărut conceptul de Ransomware-as-a-Service (RaaS).
Figure 2 – Biletul de răscumpărare NotPetya
Ransomware-as-a-Service
Ultima teroare a sistemelor informatice a fost Bad Rabbit. A reprezentat evoluţia sistemului de transferuri NotPetya și a vizat în special Turcia, Germania, Polonia, Japonia, Statele Unite și alte ţări. Dar daunele majore au avut loc la aeroportul Odesa din Ucraina. Este interesant de menţionat că programul malware nu implementează în mod explicit un comportament de wiper, sugerând că operatorii sunt motivaţi financiar. Cu toate acestea, site-ul de tip .onion folosit pentru plată nu mai este disponibil, ceea ce înseamnă că victimele nu pot plăti răscumpărarea pentru a decripta fișierul. Acest comportament ar putea fi intenţionat și folosit de atacatori ca o tactică de distragere a atenţiei, pentru a se ascunde.
Dezvoltarea modelului de distribuţie RaaS oferă infractorilor o modalitate extrem de simplă de a lansa o afacere de extorcare a informaţiilor cibernetice, fără a necesita practic nicio expertiză tehnică, inundând piaţa cu noi tulpini de răscumpărare în acest proces. Ransomware-as-a-Service creează un nou model de afaceri, deoarece permite câștiguri atât de partea vânzătorilor de programe malware, cât și de partea clienţilor. Vânzătorii de malware, folosind această abordare, pot achiziţiona noi
Figure 1 – Biletul de răscumpărare WannaCry
29
Focus - Cybersecurity Trends vectori de infecţie și noi victime pe care nu le pot atinge prin abordarea convenţională, de tipul spam-ului prin e-mail sau compromiterea unui website. Clienţii RaaS pot obţine cu ușurinţă o armă tehnologice prin accesarea portalului RaaS, unde configurează caracteristicile malware-ului și asigură distribuirea acestuia către victime neștiutoare. Obiectivele pot fi diferite și sunt legate fie de a face bani ușor și rapid, fie de a găsi o modalitate de răzbunare împotriva cuiva. Aceste platforme ilegale nu pot fi găsite pe Clearnet, așa că sunt în mod necesar ascunse în partea întunecată a Internetului, The Dark Web. Accesând zona întunecată a web-ului, prin intermediul motoarelor de căutare neconvenţionale, puteţi găsi mai multe site-uri care oferă RaaS. Fiecare dintre ele oferă caracteristici diferite ale creării de ransomware și plăţii
proprietarului platformei, permiţându-vă să selectaţi extensiile de fișiere pentru faza de criptare, precum și modalitatea de transmitere a răscumpărării către victime dar și alte funcţii tehnice pe care malware-ul le va implementa. În plus, dincolo de utilizarea platformelor RaaS, achiziţionarea de software rău intenţionat personalizat se poate face printr-un site web în care puteţi comunicare cu un hacker pentru crearea unui program malware personalizat. Din punct de vedere istoric, acest comerţ a existat întotdeauna, dar a fost specializat în atacuri cibernetice, cum ar fi spionajul, accesarea ilegală a unor conturi și modificarea interfeţelor paginilor web. Însă din momentul în care hackerii înţeleg că ar putea fi profitabili, ei încep să furnizeze acest serviciu specific. Astfel, furnizarea acestui tip de serviciu este realizată în mod substanţial în două moduri: primul este să angajeze pe cineva să scrie un program malware cu cerinţele definite de client, iar al doilea este să utilizeze o platformă Ransomware-as-a-Service. În tabelul următor sunt sintetizate principalele platforme de pe Darknet de Rent-a-Hacker și Ransomware-as-a-Service. !
X-Hacker
XHacker este o platformă clasică, asigură servicii de tipul rent-a-hacker service. Acest hacker stabilește un preţ minim de 200 de dolari pentru o acţiune. Pentru a fi contactat, el publică o adresă de email la care atașează o cheie de criptare publică de tipul PGP
Hacker for Hire
Asigură mai multe servicii de tip hacking: cyber-bullism, extorsiune cibernetica, atacul asupra conturilor de social media și multe alte lucruri. Există o listă cu preţuri pentru fiecare operaţiune.
HXT
HXT oferă servicii de elită, cum ar fi : atacuri de tipul DDoS, compromiterea unor conturi personale, botnet și nu în ultimul rând atacuri de tip Ransomware la cerere. Pentru fiecare serviciu hacker-ii au anumite preţuri, cel mai scump fiind bineînţeles RaaS
Pirate CRACKERS
Acest site oferă mai multe servicii, cum ar fi hacking e-mailului și al telefoanelor mobile, hacking al conturilor de social media, atacuri de tip DDoS și crearea de software rău intenţionat. Pentru fiecare serviciu există o listă de preţuri, și se menţionează explicit că plata trebuie făcută în Bitcoin.
Rent-a-Hacker
El poate realiza spionaj economic, poate compromite reţelele și site-urile, poate realiza atacuri de tip DDoS și diverse alte activităţi de hacking în general. Aici în loc să existe un preţ pentru fiecare tip de servicii de hacking, preţurile serviciilor sunt bazate pe dimensiunea acestora (mici, medii și mari). Platforme Ransomware-as-a-Service
Raasberry
În această platformă există o secţiune privată, în care puteţi vedea statistici despre campania dvs. de răscumpărare, urmărirea numărului de infecţii, a numărului de persoane plătitoare și a câștigurilor relative. Există un tablou de bord în care puteţi achiziţiona pachete noi care includ, pentru fiecare plan, același program de răscumpărare, dar un alt timp de abonament la comanda și control. Există mai multe planuri, de la Plastic la Platină. Odată ce v-aţi înregistrat pe platformă și aţi cumpărat un nou pachet, platforma vă atribuie o adresă personală de tip bitcoin și puteţi controla statisticile despre campania dvs. de răscumpărare dar puteţi și să verificaţi câștigul obţinut.
Ranion
Această platformă declară că centrul de comandă al ransomware-ului ei «complet nedetectabil» este stabilit în Darknet. În tabloul de bord, puteţi achiziţiona pachete noi care includ, pentru fiecare plan, același program de răscumpărare, dar un alt tip de abonament de acces temportizat la comanda și control. Există o secţiune denumită Ransomware Decrypter, în care victima inserează cheia, trimisă de infractor după ce a plătit răscumpărarea. După ce se apasă butonul de decriptare, se începe procesul de decriptare a fișierelor.
Spre deosebire de alte platforme RaaS anterior menţionate, aceasta oferă serviciul cu rată fixă la preţul de 0,3 BTC. Atunci când clientul plătește cotaţia la adresa indicată în corespondenţă, își obţine date de acces pentru a intra în secţiunea personală. În zona editorului, puteţi să vă creaţi răscumpărarea dvs. Earth Ransomware personală, în care puteţi seta numărul de bitcoins de care aveţi nevoie, adresa de e-mail, termenul limită de plată - ultimul termen de plată și adresa bitcoin. După infectare, nota de răscumpărare este arătată victimei, unde sunt indicate fișierele criptate, termenul limită de plată și, evident, adresa de tip bitcoin. Redfox
Noutatea lui Redfox este că este găzduită în Clearnet. RedFox criptează toate fișierele utilizatorilor și unităţile partajate utilizând algoritmul BlowFish. Pagina de web spune că Command and Control, care este găzduit de Tor, vă permite să alegeţi suma de răscumpărare, nota de răscumpărare, modul de plată, termenul de plată și alte caracteristici tehnice, cum ar fi utilizarea legăturilor, ambalajele și criptoarele pentru a garanta antianaliza din eșantion.
Create your ransomware
Este o platformă total gratuită. Din website-ul său puteţi descărca un ransomware de tipul ready-to-go completând doar 3 câmpuri ale unui formular: adresa Bitcoin în care doriţi să primiţi «partea dumneavoastră de bani», suma de răscumpărare și un cod de tip CAPTCHA. După cum se arată în site-ul web, «partea dumneavoastră de bani» reprezintă 90% din suma de răscumpărare, restul fiind taxa de serviciu. Se pot vizualiza și câteva statistici cu privire la campania de răscumpărare.
DataKeeper
Singura platformă care nu a fost confiscată încă este serviciul DataKeeper. Când vă înregistraţi pe site-ul web, aveţi acces la o pagină de configurare a programelor malware, unde puteţi alege capabilităţile malware și alte setări de configurare. Această platformă pare a fi una dintre cele mai complete, deoarece permite să se precizeze ce extensie a fișierelor să cripteze.
30
*Mulţumiri Global Cyber Security Centre pentru permisiunea de a reproduce acest articol, publicat în «GCSEC Newsletter” în aprilie 2018.
Servicii Rent-A-Hacker
Cuprins 1
Editorial: Sit tibi terra levis amice! - un ultim omagiu lui Romulus Maier Autori: Laurent Chrzanovski şi Mihaela Gorodcov
3
GDPR - o adevărată oportunitate pentru o nouă revoluţie digitală Autor: Marjola Begaj
6
Noua generaţie: Centre de Operaţiuni Cyber Multistrat/ Multifuncţionale - o abordare unică cu capabilităţi multiple Autor: Virgilius Stanciulescu
10
Un dialog deschis și fără precedent despre securitate cibernetică în România Autor: Laurent Chrzanovski
13
Gradul de pregătire a României în domeniul securităţii cibernetice Autor: Ioan-Cosmin Mihai
16
Mobile Financial Malware 2017: raportul internaţional privind ameninţările malware Autor: Davide Fania
18
De ce să îţi pierzi timpul piratând o companie pentru datele personale ale clienţilor săi, atunci când le poţi colecta direct din locuinţele inteligente ale acestora? Autor: Bruno Napoli
22
Utilizări Blockchain în Cybersecurity Autor: Giannella Borg
24
Ingineria socială: niciodată nu eşti prea inteligent pentru a fi înșelat Autor: George Hannah
26
(Trends) Ţineţi sub control fraudele online, cu ajutorul F5 WebSafe și Datanet Autor: Datanet Systems
28
Ransomware-as-a-Service (RaaS) Autor: Antonio Pirozzi
31
Focus - Cybersecurity Trends Cpt. Patrick Ghion (Poliţia de Stat, Geneva) se adresează elevilor sibieni la „Awareness day” pentru gimnazieni şi liceeni (12 septembrie).
O publicație get to know!
şi
Notă copyright: Copyright © 2018 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Editorii ţin să mulţumească D-rei Marina Enache pentru traduceri, corecturi și adaptarea terminologică a articolelor în limba engleză. ISSN 2393 – 4778 ISSN-L 2393 – 4778 Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-330.92.82 Fax 021-330.92.85 http://www.agora.ro http://cybersecuritytrends.ro
32
ABOUT THE CONFERENCE The Romanian Computer Incident Response Team (CERT-RO) is pleased to announce the VIIIth edition of the Annual International Conference „The New Global Challenges in Cyber Security” that will take place between16th – 17th of October in Bucharest, Romania. This year the event has a new flag ship partner: the International Telecommunication Union (ITU). As always, we will tap into the New Global Challenges in Cyber Security together with experts from European and International institutions and leading cyber security companies. We will have two full days of presentations, talks and networking opportunities on the 16th and 17th of October and a closed-door session dedicated exclusively to the CSIRT community on the 15th of October. The topics for this year range from policy developments at European and International level & capacity building tools and initiatives, to the implementation of new technologies in the cyber security field, as well as insights in the global threat landscape.
Register to CERTCON 8:
CERTCON7 (2017) full report: