Cybersecurity Trends 2/2015 RO

Page 1

Cybersecurity Trends

PA G 8 .

Nr. 2 / 2015

CONFIDENȚIALITATE:

PA G 2 .

„privacy by design” și „privacy by default”

PA 26 G.

Pornografia infantilă prin sisteme informatice

CTF365

P 12 AG -2 . 5

platformă de training în securitatea informatică

y r o t S r e v Co

Internet of Things (IoT)



Editorial

Ameninţările IoT aproape de punctul de inflexiune autor: Laurent Chrzanovski

A

nul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către marile multinaţionale din domeniu. De fapt, intensitatea și creșterea aproape exponenţială, începută în 2014, a atacurilor pe plan global au dus la investiţii masive, mai ales în SUA, Europa Occidentală, dar și în Ţările din Golf sau în Asia. Tendinţele tipologice, însă, nu par să corespundă (deocamdată?) cu noutăţile prevăzute de către marile think-tank-uri pentru anul 2015. Nici urmă de valuri de acţiuni criminale exclusiv bazate pe vulnerabilităţi IoT și, pentru binele planetei, nici de vreun atac SCADA serios și reușit. Dar desigur aceste 2 tipuri de atacuri sunt deja pregătite, primul pus în sertare de grupări criminale în așteparea dezvoltării complete a IoT pe plan mondial (de ce ar lovi acum când o lovitură peste un an poate să aibă un efect de 200 de ori mai mare?), al doilea fiind desigur în arsenalurile celor mai puternici, fie că vorbim de superputeri, fie că vorbim de cele mai avansate structuri criminale, pentru a fi folosit, ca și bombă atomică, în ultimă instanţă. Acest topic, azi realist, este și subiectul filmului mediocru al lui Michael Mann, „Hacker”, abia lansat în cinematografe. Revenind în actualitate, în ultimele săptămâni, publicaţiile de specialitate din SUA au pus în topul atacurilor din primul semestru pe 2015 atacurile de tipul Bad Ads, DDos și Zero-Days, metode „străvechi”, și continuarea exploatării în adâncime, inclusiv găsirea de noi fisuri în

browsere și în plug-in-urile aferente, în softuri de redactare, soft-uri de vizualizare video, dar și în cele mai noi sisteme de operare. Mai mult, experţii subliniază căutarea prin orice metode a parolelor de acces ale persoanelor vulnerabile («Bad Ads» și phishing) și scandalul care a rezultat după întreruperea TV5 Monde de către hackerii de la Isis - un tablou al redacţiei TV5 cu post-it-uri pe care erau scrise toate parolele de acces ale website-ului principal dar și ale paginilor din reţelele sociale ale grupului de televiziune - nu au făcut decât să întărească constatarea că patronii și angajaţii din ţările latine, poate cu excepţia Spaniei, nu conștientizează pericolele. Pentru acest motiv, dosarul central al acestui număr este dedicat Internet of Things, sau mai bine zis în jargonul specialiștilor, Internet of Everything, întrucât împreună cu (ab)uzul masiv al Internetului mobil și pătrunderea aplicaţiilor mobile în toate aspectele vieţii private și de business - creșterea exponenţială a numărului de dispozitive și de aplicaţii care sunt online odată cu menţinerea vulnerabilităţilor tehnologice vor duce automat la creșterea numărului de evenimente care sunt asociate unor atacuri cibernetice. În acest sens, cel mai dur avertisment în legătură cu obligaţia statelor de a formula reglementări imediate pentru aceste device-uri a fost făcută public recent de către National Security Telecommunications Advisory Committee a Președintelui SUA: „There is a small—and rapidly closing—window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations”. Așadar, dragi cititori, vă îndemnăm încă o dată ca protejarea datele dvs. private și profesionale să devină un reflex instinctiv, pentru că fragilitatea cetăţenilor și firmelor aduce nu numai necazuri pentru imprudenţi, dar pune în pericol întregul ecosistem IT&C al unei ţări. Contribuţia noastră este de a vă propune în continuare cele mai recente recomandări ale instituţiilor statului român, ale analiștilor din ţară, dar și de a vă aduce, număr de număr, în exclusivitate pentru România, texte ale unor personalităţi din străinătate. Avem prilejul de a găzdui în acest număr articole ale lui Vassilios Manoussos (UK), Mika Lauhde (FI), Pierluigi Paganini (IT) și Jean-Christophe Schwaab (Parlamentul Elveţian). Vă dorim o lectură plăcută și vă așteptăm și pe website-ul nostru!

1


Trends - Cybersecurity Trends

Pornografia infantilă prin sisteme informatice autor: Virgil Spiridon

Considerente generale – Odată cu apariţia sa, internetul s-a constituit într-o adevărată „cutie a Pandorei” pentru societate, aducând, pe lângă nenumărate beneficii, şi o mulţime de posibilităţi de încălcare a normelor. Pornografia infantilă reprezintă un domeniu care a „explodat” prin globalizarea utilizării internetului. O provocare extrem de importantă în cazul pornografiei infantile pe internet este reprezentată de factorul anonimitate. Abuzatorul beneficiază, atâta timp cât doreşte, de caracterul anonim al abordării sale. Acest aspect îi conferă încredere, având în vedere riscul mic de a fi identificat încă de la început ca potenţial abuzator. În acelaşi timp, acest factor poate să fi contribuit şi la creşterea foarte mare a numărului de consumatori de pornografie infantilă, care, în condiţiile anterioare apariţiei internetului, nu ar fi căutat astfel de materiale. În acelaşi context, inducerea în eroare iniţială cu privire la sexul ori vârsta abuzatorului este un element important al abordării pe internet. Multitudinea de reţele

Virgil Spiridon Adjunct al inspectorului general al Poliţiei Române Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliţia Română Coordonator în cadrul proiectului european EMPACT/ EUROPOL, pe linia criminalității informatice (Fraude cu cărți de credit) http://www.politiaromana.ro; www.efrauda.ro

2

de socializare, coroborată cu posibilităţile aproape nelimitate de creare de false identităţi virtuale, inclusiv folosirea de fotografii nereale fac foarte uşoară abordarea pe internet a potenţialelor victime. Capacitatea site-urilor de socializare de a produce corelaţii automate oferă pedofililor o mulţime de informaţii iniţiale şi, prin acestea, posibilităţi crescute de creştere a ratei succesului racolării minorilor. Un alt factor important este creşterea progresivă a ratei de utilizare a internetului de către copii, odată cu scăderea vârstei de la care aceştia încep să o facă. Pe lângă aceşti factori apăruţi odată cu internetul, foarte importanţi sunt aceia oferiţi de caracteristicile victimelor – cunoştinţe reduse sau chiar lipsa acestora în ceea ce priveşte utilizarea în siguranţă a internetului, experienţa de viaţă redusă, naivitatea, inocenţa, capacitatea scăzută de a diferenţia ce e bine de ce este rău etc. Modalităţi de abordare – din cazuistica instrumentată de Poliţia Română în domeniul pornografiei infantile prin sisteme informatice rezultă două forme generale de abordare a victimelor de către agresori: Abordarea directă – în majoritatea acestor cazuri autorii urmăresc victimele şi le acostează pe stradă, sub diferite pretexte, promiţându-le diferite categorii de avantaje tentante (sume de bani, bunuri, servicii) pentru a le induce în eroare şi a le convinge să îi însoţească în locuri special amenajate. Aici, fie în urma promisiunii anterioare, fie sub ameninţări, victimele devin obiectul fotografierii/filmării în poziţii sexuale, mimând sau chiar executând diferite categorii de acte sexuale sau, mai grav, fiind abuzate sexual de către aceştia. Caracteristic acestui mod de abordare este faptul că victimele provin din medii sociale defavorizate – fie sunt copii instituţionalizaţi sau provin din familii dezorganizate, fie provin din zone sărace (de obicei rurale); Abordarea pe internet – în aceste cazuri, de obicei folosind identităţi false pe reţelele de socializare, pe site-uri de jocuri etc., autorii abordează victimele şi, profitând de naivitatea lor şi de uşurinţa cu care transmit


RECOMANDĂRI PENTRU PĂRINŢI ŞI PERSOANELE CARE AU ATRIBUŢII DE EDUCARE A MINORILOR (cadre didactice din unităţi de stat şi particulare, personalul din instituţiile de îngrijire a minorilor – plasament sau alte similare) Recomandările adresate acestora trebuie să vizeze: Elemente generale privind fenomenul: Să conştientizeze existenţa riscului; Să nu posteze pe internet fotografii nud cu proprii copii; Să comunice deschis cu copiii lor despre Internet, despre beneficiile şi pericolele existente în lumea virtuală. Copilul trebuie să ştie că poate discuta cu părinţii despre orice aspect întâlnit în lumea virtuală; Să stabilească împreună cu copiii reguli de utilizare a internetului şi să urmărească respectarea lor de către aceştia; Să nu restricţioneze excesiv şi nejustificat accesul copiilor la internet; Să le prezinte copiilor riscurile la care se pot expune în mediul online; Să se asigure că ştiu parola/parolele de acces ale copiilor la contul de email, reţele de socializare etc. şi să fie atenţi la „prieteniile” online pe care ei le întreţin. informaţii personale către persoane necunoscute, le câştigă încrederea; ulterior, pentru reducerea inhibiţiilor minorilor, le transmit acestora imagini cu alţi copii în ipostaze similare, prezentându-le ca forme inedite de distracţie, determinându-i să se lase fotografiaţi/filmaţi în posturi similare cu camerele telefonului sau ale laptop-ului. În ultimă instanţă, abuzatorii recurg la şantajarea minorilor şi, sub ameninţarea cu distribuirea acestor fotografii/filme în spaţiul public, îi determină să se întâlnească, continuând şi chiar accentuând formele abuzului.

Soluţii tehnice de control parental al posibilităţilor de navigare a copilului pe internet: Programe de filtrare care pot bloca automat accesul copiilor către anumite categorii de site-uri; Motoare de căutare pentru copii (ex. Google Search Engine for Kids) – acestea filtrează automat rezultatele căutărilor de pe internet, excluzând paginile inadecvate minorilor.

Prevenire şi conştientizare Aşa cum rezultă din cele prezentate, pornografia infantilă prin sisteme informatice reprezintă o provocare specială, nu doar pentru reprezentanţii autorităţilor care luptă împotriva fenomenului, ci pentru întreaga societate. Pentru a contribui eficient la diminuarea acestuia, reprezentanţii poliţiei trebuie să colaboreze cu membrii societăţii, atât pentru identificarea şi tragerea la răspundere penală a autorilor, dar şi în iniţierea de activităţi de informare şi conştientizare a cetăţenilor cu privire la riscuri şi măsuri eficiente de prevenire. Pentru a maximiza efectul activităţilor de prevenire, poliţiştii trebuie: Să deţină şi să îşi îmbunătăţească în permanenţă cunoştinţele tehnice şi practice referitoare la pornografia infantilă pe internet; Să colaboreze cu celelalte autorităţi şi organizaţii cu interes în domeniu; Să-şi concentreze eficient eforturile în cadrul activităţilor derulate prin corelarea informaţiilor transmise cu publicul ţintă destinatar. În realizarea demersului informativ preventiv împotriva victimizării, poliţiştii vizează două categorii sociale ca public ţintă: copiii şi părinţii.

Semne de recunoaştere a posibilei expuneri la risc în mediul online a copilului – acest subiect este unul extrem de sensibil, mulţi părinţi având tendinţa de a-şi „apăra” copiii, refuzând nejustificat (necunoaştere a fenomenului, pudoare excesivă etc.) discuţiile sau acceptarea existenţei unora din aceste semne: Copilul petrece perioade foarte mari de timp singur pe internet, în special noaptea; Părinţii găsesc materiale pornografice în calculatorul/laptop-ul/tableta/telefonul copilului; Copilul primeşte telefoane de la persoane necunoscute ori sună astfel de persoane şi se fereşte de părinţi când vorbeşte; Are tendinţe de izolare faţă de familie şi prietenii apropiaţi; Foloseşte conturi de internet (mail, reţele de socializare) care nu îi aparţin sau altele decât cele pe care le cunosc părinţii.

3


Trends - Cybersecurity Trends Posibilităţi de raportare a posibilelor abuzuri – Sesizarea directă a organelor de poliţie competente; Solicitarea de sprijin ONG-urilor care gestionează website-uri în domeniu. Ex. www.safernet.ro sau www.sigur.info. RECOMANDĂRI PENTRU COPII – o problemă în abordarea copiilor cu privire la fenomenul pornografiei infantile este aceea a lipsei de experienţă, coroborată cu gradul foarte redus de conştientizare a pericolelor ce-i pot ameninţa în mediul online. Sintagma „mie nu mi se poate întâmpla” este foarte prezentă în modul lor de a gândi şi acţiona. Printre recomandările ce pot fi adresate copiilor pe această temă putem menţiona: Nu oferi persoanelor cunoscute pe Internet informaţii personale despre tine sau familia ta, cum ar fi: numele, vârsta, numărul de telefon, fotografii personale, adresa, şcoala la care înveţi; dacă anumite persoane insistă să afle aceste detalii, anunţă-ţi imediat părinţi, căci este foarte probabil că au intenţii necurate; Nu spune parola de la e-mail-ul tău altor persoane în afara părinţilor; dacă le comunici această parolă prietenilor sau altor persoane, acestea pot trimite mesaje jignitoare în numele tău sau pot intra pe site-uri interzise; Nu accepta niciodată să te întâlneşti în mod real cu o persoană pe care ai cunoscut-o pe Internet; oamenii pot fi foarte diferiţi de ceea ce au pretins că sunt pe Internet şi astfel poţi deveni victima traficului de persoane şi a altor întâmplări tragice. Nu folosi telefonul personal pentru a suna pe cineva întâlnit pe Internet; Evită să postezi pe Internet fotografii cu tine sau cu familia ta; acestea sunt personale şi nu trebuie să ajungă la cunoştinţa oricui navighează pe Internet; ele pot fi folosite pentru a vă face rău, ţie sau celor apropiaţi; În cazul în care primeşti prin intermediul internetului o fotografie/un film cu conţinut sexual cu un minor, chiar şi de la o persoană cunoscută care se prezintă pe sine, nu o transmite mai departe altor persoane! Poţi intra sub incidenţa legilor referitoare la prevenirea şi combaterea pornografiei infantile; Nu uita că nu tot ceea ce citeşti sau vezi pe Internet este adevărat! Informaţiile aflate pe o pagină web pot fi postate de oricine, adult sau copil, multe din ele fiind neverificate sau eronate; de asemenea, fotografiile sau filmele pot fi modificate pe calculator şi pot înfăţişa situaţii care nu s-au petrecut niciodată;

4

Dacă cineva te face să te simţi inconfortabil pe Internet, poţi oricând

să renunţi la comunicarea cu acea persoană. Nu eşti obligat să stai pe Internet mai mult decât consideri tu şi nici să suporţi ceea ce îţi provoacă neplăcere sau teamă; poţi oricând să îi scoţi de pe lista de contacte pe cei cu care nu vrei să mai comunici! În cazul în care o persoană cu care comunici pe internet te jigneşte, te ameninţă, îţi transmite mesaje cu tentă sexuală, îţi cere să îi trimiţi poze nud cu tine sau îţi trimite poze cu conţinut pornografic, te îndeamnă să consumi alcool ori droguri, anunţă-ţi părinţii sau fă o sesizare pe unul din site-urile specializate; Cere ajutorul, în orice situaţie, persoanelor în care ai încredere, părinţi, profesori sau prieteni apropiaţi. O problemă aparte în cazurile de investigare a pornografiei infantile pe internet o reprezintă aşa numita „autoproducere”, care presupune producerea de materiale pornografice chiar de către minorii care apar în materialele respective şi stocarea/transmiterea acestora prin sisteme informatice, faptele fiind de regulă săvârşite de către persoane cu vârsta mai mare de 13 ani. Minorii respectivi realizează fotografii sau înregistrări videoaudio în care fie apar singuri, în ipostaze pornografice, fie întreţinând relaţii sexuale cu alte persoane, după care stochează materialele respective în sisteme informatice iar în unele cazuri procedează la transmiterea acestora pe Internet, către persoane din anturaj. Aceste situaţii apar de cele mai multe ori pe fondul teribilismului specific vârstei adolescenţei, coroborat cu lipsa conştientizării consecinţelor pe care astfel de acte le pot avea asupra dezvoltării psihosociale ale minorului. În astfel de cazuri, este prioritară acordarea de sprijin de specialitate minorilor respectivi, din partea entităţilor abilitate prin lege în acest sens, pentru a preveni repetarea unor acte similare.


Advertorial

Securitatea în centrele de date fizice și virtuale precum și în mediile cloud publice și private

E

ste organizaţia dumneavoastră dornică să integreze sisteme de securitate în mediul de business și în procesele IT? Sunteţi interesat să oferiţi servicii de securitate în ritmul afacerii și al mediului IT? Dacă răspunsul la aceste întrebări este “da” atunci aveţi nevoie de o soluţie care să vă ajute să: Îmbunătăţiţi securitatea în centrele de date și să optimizaţi resursele Securizaţi platforme vechi sau nesuportate permiţând în același timp migrarea eficientă către noi platforme și arhitecturi ale centrelor de date Simplificaţi monitorizarea continuă și raportarea conformităţii în infrastructura de servere fizice și virtuale și în cadrul platformelor cloud private (OpenStack), hibride și publice (AWS) Identificaţi eficient încălcările politicilor și activităţile suspecte la nivel de aplicaţie sau instanţă în timp real în infrastructura de servere fizice și virtuale și în cadrul platformelor cloud OpenStack și AWS Livraţi soluţii antimalware dinamice și protecţie IPS fără a consuma resurse de reţea și a afecta performanţa aplicaţiilor Securizaţi implementările OpenStack Keystone Securizaţi infrastructura server critică împotriva ameninţărilor zero-day și a noilor vulnerabilităţi Symantec Data Center Security 6.5 monitorizează continuu securitatea și respectarea reglementărilor; protejează infrastructura de ameninţări zeroday și noi vulnerabilităţi. Familia de produse Symantec Data Center Security, este îmbunătăţită periodic pentru a avea cele mai sigure și bune produse. Symantec Data Center Security: Server 6.5 introduce Operations Director, o nouă funcţionalitate ce permite clienţilor să automatizeze servicii de securitate anti-malware și network IPS la nivel de aplicaţii în mediile VMware NSX. Symantec Data Center Security: Monitor Edition 6.5, un produs standard ce combină protecţia disponibilă în Data Center Security: Server 6.5 cu monitorizarea serverelor fizice și virtuale, Amazon Web Services (AWS) și toate modulele OpenStack. Symantec Data Center Security: Server Advanced 6.5 combină toate funcţionalităţile de protecţie și securitate disponibile în Data Center Security: Server 6.5 și Monitoring Edition 6.5 cu securizarea serverlor fizice și virtuale și OpenStack Keystone. Romsym Data este unul dintre liderii în distribuţia de soluţii IT din România şi nu numai, ce oferă tehnologie de ultimă oră, produsă de lideri mondiali în: soluţii de securitate (Symantec, GFI, Spector, Nuix), managementul reţelelor (Alt-N Technologies, Infoblox, Zoho, Vector, Tobit Software, Blue Coat), DTP şi web design (Adobe, Xara, Strata), managementul afacerilor (Abbyy, SAP Business Objects, IBM SPSS, Enfocus, Minitab, SumTotal, Telelogic, CRAMM, Workshare), soft-uri utilitare (ACD Systems, Realnetworks, WinZip, Install Shield Software, Realnetworks, Roxio, Total Commander), dezvoltare şi soft ştiintific (MathSoft, MathWorks, YesSoftware, Micro Focus), sisteme Open Source (Red Hat), virtualizare (Citrix, Red Hat).

De asemenea, Romsym Data oferă consultanţă şi training în domeniul IT prin intermediul unuia dintre cele mai moderne centre de profil din România - centrul ITtraining. Cursurile sunt predate de specialişti cu înalta calificare, certificaţi internaţional. Pentru mai multe detalii http://www.romsym.ro şi http://www.ittraining.ro.

5


Trends - Cybersecurity Trends

Starea civilă cibernetică autor: Daniela Luca

Parte a lumii de azi, și poate chiar lumea de mâine, spațiul cibernetic a devenit o preocupare esențială la nivel mondial. Explozia informațională, evoluția fulminantă a domeniului IT&C, tranziția vieții private către mediul on-line duc la necesitatea apariției unui „contract social” care să normeze o nouă formă de existență a indivizilor – „starea civilă cibernetică”1.

Ca orice formă de existenţă în cadrul unei comunităţi, „starea civilă cibernetică” impune existenţa unui cadru legislativ și instituţional care să-i asigure o bună funcţionare și care să garanteze drepturile și libertăţile pierdute ca urmare a integrării în spaţiu. Pentru statele lumii occidentale (ex. Franţa, Marea Britanie), domeniul cibernetic a devenit una dintre dimensiunile conceptului de apărare cibernetică. Alianţa Nord-Atlantică regândește conceptul de apărare cibernetică, în sensul definirii și operaţionalizării apărării cibernetice active. Reconceptualizarea și regândirea dimensiunii cibernetice reprezintă o preocupare nu numai a organizaţiilor internaţionale și a instituţiilor guvernamentale, dar și a mediului academic și a societăţii civile. Parte integrantă a iniţierii „stării civile cibernetice”, România este în plin proces de dezvoltare și consolidare a capabilităţilor cibernetice. Recunoașterea internaţională a profesionalismului resursei umane specializată în domeniul IT&C a constituit un imbold pentru instituţiile guvernamentale. Eforturile de menţinere a capabilităţilor cibernetice ale ţării la nivelul dezvoltării domeniului, de adaptare

Daniela Luca Analist în cadrul Centrului Naţional CYBERINT. http://www.sri.ro

6

a acestora la noile necesităţi, de creștere a competenţelor și chiar de a contribui la organizarea „stării civile cibernetice” sunt vizibile în plan intern și internaţional. În prezent, la nivel naţional, principalul document care reglementează „starea civilă cibernetică” este Strategia de Securitate Cibernetică a României. Având ca obiectiv principal definirea și menţinerea unui mediu virtual sigur, cu un înalt grad de rezilienţă și de încredere, Strategia a instituit Sistemul Naţional de Securitate Cibernetică (SNSC). SNSC reprezintă cadrul general de cooperare pentru asigurarea securităţii cibernetice și reunește autorităţi și instituţii publice cu responsabilităţi și capabilităţi în domeniu. SNSC este coordonat de Consiliul Operativ de Securitate Cibernetică (COSC)2. COSC este coordonat tehnic de Serviciul Român de Informaţii, instituţie desemnată, încă din 2008, drept autoritate naţională în domeniul cyberintelligence. Din punct de vedere organizatoric, în cadrul fiecărei instituţii reprezentată în COSC funcţionează structuri specializate care au ca misiune menţinerea securităţii cibernetice. În cadrul SRI, a fost operaţionalizat Centrul Naţional Cyberint al cărui scop este să prevină, să anticipeze și să cunoască ameninţările cibernetice la adresa Infrastructurilor Cibernetice de Interes Naţional (ICIN), dar și să identifice, să neutralizeze și să limiteze consecinţele atacurilor cibernetice împotriva ICIN. La nivelul Ministerului pentru Societatea Informaţională, a fost înfiinţat (2011) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) care are ca principală misiune analizarea disfuncţionalităţilor procedurale și tehnice la nivelul infrastructurilor cibernetice. De asemenea, MAN dispune de o entitate de tip CERT care face parte din Centrul Tehnic Principal pentru Operaţiuni Informatice - CERT-MIL. O altă structură de tip CERT funcţionează și în cadrul Ministerului Afacerilor Interne - CERT-INT.


Securizarea și eficientizarea sistemelor TIC ale instituţiilor statului a fost posibilă ca urmare a accesării de fonduri europene, în cadrul Programului Operaţional Sectorial Creșterea Competitivităţii Economice, prin Proiectul „Sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic”. În plan extern, cooperarea în domeniul cibernetic are efecte benefice atât din punct de vedere al expertizei acumulate, cât și al creșterii vizibilităţii. Participarea la exerciţii cibernetice în format NATO sau UE – Cyber Coalition sau Cyber Europe - implicarea în proiecte destinate consolidării capabilităţilor cibernetice – proiectul smart defence de Dezvoltare a Capabilităţilor în Domeniul Cibernetic – organizarea și găzduirea unor evenimente de profil – Conferinţa Cybersecurity sau Summit-ul Regional de Securitate Cibernetică sunt parte a unui proces de instituire a „stării civile cibernetice”, reglementată printr-un „contract social” menit a asigura securitatea. Componentă a securităţii naţionale, securitatea cibernetică poate fi instaurată în condiţiile existenţei unui „contract social” care să aibă în vedere: 1. politica și strategia aferente domeniului securităţii cibernetice; 2. cultura cibernetică și societatea; 3. educaţia și instruirea în domeniul securităţii cibernetice; 4. cadrul legal; 5. organizaţii, tehnologii și standarde.

1

Elaborate la nivel strategic, politica și strategia în domeniul securităţii cibernetice asigură un cadru unitar de coordonare a activităţilor în domeniul cibernetic identificând roluri și responsabilităţi pentru fiecare actor, reglementează activitatea centrelor de răspuns la incidente cibernetice într-un mod unitar astfel încât ameninţările cibernetice să fie abordate eficient, identifică infrastructurile cibernetice de interes naţional, realizează planuri de management al crizelor, evaluează și atribuie acţiuni în domeniul apărării cibernetice, planifică reacţii de răspuns în cazul indisponibilizării mijloacelor electronice și de comunicaţii.

2

Cultura cibernetică se referă la acel set de valori, atitudini, practici și chiar obiceiuri ale actorilor „stării civile cibernetice” (simpli utilizatori ai sistemelor IT&C sau experţi din mediul public sau privat). Conștientizarea securităţii cibernetice se realizează prin programe care să evidenţieze impactul ameninţărilor și riscurilor provenite din spaţiul cibernetic. Încrederea în utilizarea serviciilor on-line (publice sau private) este determinată de măsura în care utilizatorii sunt dispuși să furnizeze informaţii personale în mediul on-line. Dreptul la viaţă privată și la liberă exprimare în mediul on-line constituie elemente definitorii pentru existenţa unei „stări civile cibernetice” democratice.

3 4

Educaţia și instruirea în domeniul securităţii cibernetice se realizează coordonat, la nivel naţional, în funcţie de necesităţile „stării civile cibernetice” pe termen lung, dar și în parteneriate public-private.

Un cadru legal coerent pentru asigurarea securităţii sistemelor TIC, a dreptului la viaţă privată în mediul on-line, a drepturilor omului și a protecţiei datelor, dar și existenţa unui drept material și procedural în domeniul criminalităţii informatice sunt parte a „contractului social.” Reglementarea investigării infracţionalităţii din cadrul „stării civile

La nivel național, principalul document care reglementează „starea civilă cibernetică” este Strategia de Securitate Cibernetică a României. cibernetice” prin instituirea de mecanisme și proceduri specifice, organisme de aplicare a legii, curţi judecătorești și desemnarea unor specialiști în drept care să gestioneze problematica criminalităţii cibernetice sunt doar câteva aspecte de luat în considerare.

5

Stabilirea unor standarde și practici pentru achiziţionarea și dezvoltarea de software-uri general acceptate de mediul public și privat, coordonarea unitară a organizaţiilor de tip CERT, reglementarea disponibilităţii reţelelor și a tehnologiilor de securitate cibernetică, stabilirea unor proceduri de evaluare a pierderilor în cazul criminalităţii cibernetice și asigurarea recuperării acesteia de către victimă sunt considerente pe care se bazează instaurarea unei „stări civile cibernetice” solide. Agrearea la nivel naţional și internaţional a unui „contract social” în domeniul securităţii cibernetice, stabilirea cadrului în care toate elementele sale definitorii să funcţioneze coerent și democratic, reglementarea „stării civile cibernetice” se traduc în eforturile naţionale și internaţionale de dezvoltare și consolidare a capabilităţilor cibernetice.

Note: 1 Conform teoriei filozofului francez Jean Jacques Rousseau, prin „contractul social”, fiecare individ, aflat în starea de natură, cedează comunităţii drepturile sale, devenind, în schimb, membru al acelei comunităţi (starea civiă). În această calitate, el primește drepturile tuturor membrilor, legaţi de întreg, fiind privit atât ca particular, cât și ca parte a comunităţii. Astfel, oricine refuză să se supună voinţei generale va fi constrâns de corpul întreg. 2

Din care fac parte, în calitate de membri permanenţi, reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul pentru Societatea Informaţională, Serviciul Român de Informaţii, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie și Pază, Oficiul registrului Naţional pentru Informaţii secrete de Stat, secretarul Consiliului Suprem de Apărare al Ţării.

7


ds Interview - Cybersecurity Tren

Confidenţialitate: „privacy by design” și „privacy by default” autor: Laurent Chrzanovski

Jean Christophe Schwaab

BIO Jean Christophe Schwaab Născut în 1979, doctor în drept economic, consilier național socialist (Deputat în Camera Poporului Parlementul Federal al Elveției), vice-președinte al Comisiei Afacerilor Juridice a Consiliului Național, membru al direcței și președinte romand al „Asociation Suisse des Employés de Banque” (ASEB), președinte al „Oeuvre Suisse d’Entraide Ouvrière” (OSEO), fost secretar central al USS (Uniunea Națională a Sindicatelor, n.d.r), fost secretar al sindicatului „Unia jeunesse”, fost deputat al Parlamentului cantonal din Vaud, fost membru al comitetului „Union des Etudiant-e-s de Suisse” (UNES) și al „Conseil Suisse des Activités de Jeunesse” (CSAJ). Numeroase articole publicate despre dreptul muncii (lista: schwaab.ch/publications-scientifiques/). Locuiește la Riex (Canton de Vaud), căsătorit, doi copii. Twitter: @jcschwaab Site web: schwaab.ch

8

Redactor: La 36 de ani sunteți deja doctor în drept, cu o diplomă de studii avansate la IDHEAP, sunteți Președinte romand al „Association des employés de banque” și Președinte al rețelei de asociații „Oeuvre Suisse d’Entraide Ouvrière”. Cel mai important însă este faptul că sunteți din 2011 Consilier National și vice-președinte al Comisiei de afaceri juridice, din Parlamentul federal al Elveției. Domnule Deputat, palmaresul dumneavoastră profesional și politic atât de strălucitor nu pare să vă fi predestinat a fi autorul atâtor postulate, interpelări și moțiuni privind protecția datelor digitale și a problemelor legate de utilizarea Internet of Things (IoT). De unde vine o așa mare pasiune și cum ați dobândit atâtea cunoștințe în acest domeniu? Jean Christophe Schwaab: Protecţia datelor, după părerea mea, este una din provocările majore ale societăţii noastre hiperconectate. Statele și întreprinderile private care prelucrează date au făcut progrese tehnologice fulgurante în ultimii ani, care însă în acest moment se află pe punctul de a ameninţa chiar însăși existenţa sferei private. De aceea vorbim azi de necesitatea unei mobilizări urgente pentru a apăra acest drept fundamental al omului. Eu cred că există un interes public major pentru asta și că acest lucru este în interesul populaţiei care m-a ales. Din păcate sunt foarte puţini aleși care sunt conștienţi de asta. Și nu e neapărat o chestiune de generaţie, spunând asta chiar dacă cei câţiva colegi ai mei care îmi împărtăşesc părerea sunt majoritatea tineri, obișnuiţi să folosească cele mai noi tehnologii și Social Media. Cum nu am la bază o formare tehnică sau legată de noile tehnologii, am învăţat totul „din mers”. Am citit mult, mai ales informaţie de pe site-urile specializate, am întâlnit experţi și sunt în continuare în contact cu numeroși specialiști, mai ales graţie reţelelor sociale (ex. Twitter). Fiind de natură foarte curios, conserv un număr mare de articole pe acest subiect. Cei apropiaţi mie precum și militanţii din partidul meu știu asta și îmi transmit foarte adesea informaţii sau sugestii. Redactor: În 2013, ați formulat și înaintat două postulate (13.3806 și 13.3807) pentru întărirea protecției datelor, referitoare la „privacy by design” și „privacy by default”. Consiliul federal propune adoptarea lor. În ce vor consta aceste măsuri odată ce ele vor fi puse în aplicare? Jean Christophe Schwaab: Aceste propuneri vizează inversarea logicii actuale în materie de protecţia datelor. De exemplu acum utilizatorul este


responsabil să vegheze ca datele sale să nu fie utilizate complet aiurea și, foarte adesea, cei care tratează datele au „o hârtie semnată în alb”, o autorizaţie generală de a trata, modifica, reutiliza și revinde datele personale. Prin aplicarea acestor două concepte, utilizatorul ar fi gestionarul propriilor sale date tot timpul, iar cel care ar dori să le utilizeze, ar trebui ca, la fiecare utilizare a lor, să ceară o autorizare expresă. De altfel, toate noile tehnologii, toate bunurile noi și serviciile care permit tratarea datelor personale ar trebui să fie concepute de o asemenea manieră, încât să garanteze protecţia acestor date. De asemenea, va trebui să evităm ca datele colectate cu acordul utilizatorului într-un scop precis, să nu fie reutilizate mai târziu fără să știe și de o manieră mai invazivă faţă de ceea ce s-a imaginat la început. Odată cu avântul pe care l-a luat „big data”, este de fapt posibil de a contura profile precise și intime ale personalităţii oamenilor, graţie datelor anodine (de exemplu statistici de vânzări). În momentul în care aceste date au început să fie colectate, nimeni nu putea bănui posibilităţile pe care ele le vor oferi câţiva ani mai târziu. De aceea este în mod capital necesar să fie prevăzute reguli specifice, astfel încât utilizarea ulterioară a acestor date să respecte sfera privată. Red: Este vorba doar de a da un puternic semnal de alarmă sau vă gândiți că asemenea măsuri să poată fi puse în practică într-o lume în care nicio rețea socială, motor de căutare sau sistem de arhivă video nu are un domiciliu legal în Elveția, sau poate nici chiar în Europa (cf. victoria UE în ceea ce privește „dreptul de a fi uitat”)? Jean Christophe Schwaab: Google s-a pliat pe legislaţia elveţiană, respectând hotărârea Tribunalului Federal „Google Street View”. Deci este posibilă impunerea legislaţiei naţionale inclusiv firmelor internaţionale, rămânând însă o chestiune de voinţă politică. Sunt convins că deciziile tribunalelor elveţiene și amenzile usturătoare care se vor aplica în cazul încălcării lor vor avea efect chiar dacă e vorba de multinaţionale care nu au nici sediu, nici sucursale în Elveţia. Red: Ceea ce ne frapează cel mai mult în activitatea recentă, este fără îndoială postulatul dumneavoastră (14.3739) care cere introducerea conceptului de „control by design”* și mai ales faptul că el a fost acceptat. Pragmatismul și inteligența demersului pe care l-ați făcut sunt din toate punctele de vedere în afara oricăror norme, în fața pericolelor gigantice și a beneficiilor în aceeași proporție, generate de IoT (Internet of Things). *(http://www.schwaab.ch/archives/2014/09/17/control-by-design/). Din partea unui Doctor în drept, ne-am fi așteptat la o propunere de genul unui lung text normativ, în locul tuturor acestor reglementări (dezbătute în acest moment chiar în majoritatea țărilor europene), esențial legate de problemele din ce în ce mai recurente privind falii de securitate sau absența unei trasabilități a datelor emise de „obiecte” conectate. Dumneavoastră ați abordat problema sub un unghi neașteptat, și anume cel al proprietății intelectuale și al dreptului inalienabil al proprietarilor de a putea deconecta „obiectele” care le aparțin sau, în cazul în care ei acceptă conexiunea, să poată să decidă care date pot fi transmise terților. În mod paradoxal, discuția devine mult mai simplă și evită să se împotmolească în termeni pe care nicio instituție nu i-a consacrat încă, întrucât aceștia nu pot defini un conținut precis (identitate virtuală, internetul obiectelor, cyber-securitate). De unde v-a venit această idee și cum ați reușit să elaborați acest postulat?

Jean Christophe Schwaab: În timp ce urmăream scandalul „ascultărilor” de la NSA, am descoperit un text despre afacerea Snowden care descria conceptul de „control încă din momentul concepţiei” (control by design). Cum mă interesasem îndeaproape despre obiectele conectate, ideea mi s-a părut imediat foarte interesantă. Cum sunt jurist, primul lucru care mi-a venit în minte a fost să propun un text de lege complet redactat sub forma unei iniţiative parlamentare (care să permită Parlementului să îl legifereze el însuși). Însă după o discuţie cu administraţia federală, am ales până la urmă o formă mai puţin „constrângătoare” a postulatului (care nu face decât să ceară un raport Consiliului Federal), pe de o parte în scopul de a crește șansele ca propunerea mea să fie acceptată și pe de altă parte pentru a lasa administraţia să aprofundeze chestiunea ridicată, deoarece este mult mai potrivită decât un parlamentar cu resurse foarte limitate. Acest demers a avut succes, propunerea fiind acceptată cu acordul Guvernului. O anecdotă mi-a întărit convingerile: recent, mi-am pierdut cardul de credit și deci a trebuit să îl înlocuiesc. În momentul în care mi-am comandat noul card, am cerut ca acesta să nu fie dotat cu un sistem de plăţi contactless de tip „NFC” (near field communication). Această tehnologie nu este deloc sigură, deoarece ea lasă posibilitatea piratării unui card de la distanţă. Iată însă că, cel care trebuia să îmi emită cardul meu de credit mi-a comunicat că este imposibil să beneficiez de un card care să nu dispună de o astfel de tehnologie. Deci furnizorul dotează din start cardurile cu tehnologii care deschid breșe în securitatea datelor, în timp ce doar consumatorul este cel care preia riscul și și-l asumă. De aceea consider că se impune un control încă din faza de concepţie care trebuie să remedieze acest lucru, dând posesorului unui obiect, dreptul la a-l deconecta dacă el așa consideră. Red: Cum anume și în cât timp vedeți dumneavoastră aplicarea acestui postulat și care vor fi rezultatele sale pe termen scurt și mediu? Jean Christophe Schwaab: Fabricanţii de obiecte ce pot fi potenţial conectate la orice reţea (cu sau fără posibilitatea de schimb de date) vor trebui să le doteze cu o funcţie care să permită oricând oprirea oricărei conexiuni a acestora. Un simplu buton „ON/OFF” ar fi suficient. Red: Dacă am considera că întreprinderile de IT care dezvoltă IoT ar fi făcut pe acest segment un profit de peste 87% în 2014, v-ați aștepta ca acest text să poată fi „alterat” astfel încât să nu poată să împiedice dezvoltarea unui comerț atât de înfloritor și să fie supus în acest scop unui referendum? Jean Christophe Schwaab: Nu cred, deoarece aplicarea conceptului ar trebui să fie foarte simplă. De

9


ds Interview - Cybersecurity Tren altfel, fabricanţii au interes să joace cartea transparenţei, deoarece sensibilitatea publicului crește din ce în ce mai mult. Red: Să privim câteva exemple: acum trei luni au fost descoperite la Rotterdam 20.000 frigidere WI FI cu malware integrat, sau Dick Cheney care a dezactivat pentru motive de securitate WI FI de la defibrilatorul conectat la pacemaker-ul său, sau ethical hackers care au dovedit deja acum patru ani cât de ușor poate fi asasinat oricare purtător al unei centuri de insulină cu bluetooth. Cu toate că demersul dumneavoastră este unul dintre cele mai rare și probabil cele mai percutante, el face parte dintr-un domeniu pe care politicul are tendința să îl ignore. Cum explicați ușurința totală cu care „obiectele conectate” sunt admise pe piață, atât în Elveția cât și în Europa, de la brățările de jogging până la obiecte vitale, cum ar fi inimile artificiale? Jean Christophe Schwaab: Asta arată că legiuitorii sunt depășiţi de evoluţiile tehnologice și că trebuie să reacţioneze imediat legat de acest aspect. Asta mai arată de asemenea pertinenţa propunerii mele de a introduce „controlul încă din momentul concepţiei”, care ar evita foarte bine multe din problemele pe care le-aţi evocat. Red: Demersul dumneavoastră, difuzat de cele mai mari ziare din Elveția, a avut deja un succes de

10

imagine, contrastând cu lipsa de campanii periodice de sensibilizare a publicului și a persoanelor de decizie, în ceea ce privește protejarea vieții lor private, personale și profesionale pe Internet. Și cu toate că Elveția are exemplul cel mai reușit de organism de dialog public-privat în materie, MELANI, cum de nu vedem încă inițierea unor campanii periodice de prevenție în școli, în întreprinderi sau universități? Credeți că însăși lipsa conștientizării politicienilor, chiar în ceea ce privește propria lor viață, este de fapt cauza? Jean Christophe Schwaab: Lipsa conștientizării este din păcate generalizată în sânul populaţiei, chiar dacă lucrurile încep încet să se amelioreze (adesea în urma unor scandaluri, cum a fost de exemplu cel de la NSA). Aleșii nu sunt decât o reflectare a populaţiei care i-a ales. Majoritatea nu au înţeles încă faptul că de acum înainte se pot obţine date foarte sensibile despre o persoană, nu numai pentru că își povestește viaţa sa pe reţele sociale, cât mai ales prin analiza datelor anodine în număr foarte mare (big data). Educaţia în sfera protecţiei private trebuie să fie dezvoltată, mai ales în școli. Red: Aveți doi copii. Cum vă imaginați Internetul (cel al „ființelor” sau al „obiectelor”) pe care ei îl vor cunoaște atunci când vor deveni adulți? Mai reglementat, mai sigur? Sau dimpotrivă, o junglă în care doar persoanele informate vor ști să facă alegerile potrivite pentru a nu deveni victime „by design”? Jean Christophe Schwaab: Din păcate, ambele opţiuni sunt posibile. Trăim o perioadă crucială în care fie deciziile menite să protejeze și să menţină sfera privată sunt luate acum, fie acest drept fundamental riscă să dispară. Orice se va întâmpla, lumea în care vor trăi copiii mei va fi încă și mai mult conectată decât cea pe care o cunoaștem, iar protecţia și gestionarea datelor personale vor avea încă și mai multă importanţă.


Focus

Control by design: un exemplu concret de obiect conectat, nedeconectabil autor: Jean Christophe Schwaab

R

ecent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu fie dotat cu niciun sistem de plată fără contact de tipul „NFC” (Near Field Communication). Pe de o parte deoarece nu mă interesează o astfel de tehnologie (care poate favoriza achiziţii spontane şi necontrolate, generând astfel datorii, în special în rândul tinerilor). Dar mai ales, deoarece această tehnologie nu este sigură deloc, este ușor de piratat de la distanţă şi, în funcţie de condiţiile generale ale furnizorilor de carduri de credit, până la 120 de Franci plătiţi abuziv cu această tehnologie pot să fie ceruţi titularului cardului, chiar dacă acesta ar putea să demonstreze că a acţionat cu toate precauţiile necesare. Legalitatea unei astfel de practici este foarte îndoielnică după opinia mea, dar cine o să intenteze un proces pentru 120 de Franci?* Așadar, titularul unui astfel de card de credit este blocat de o tehnologie care poate să permită hacking-ul datelor sale, cu consecinţe care pot să fie costisitoare pentru el. Nimic nu ar fi mai legitim ca faptul ca titularul să poată sa renunţe să folosească această tehnologie dacă nu este interesat să o folosească. Dar problema este, din cauza emitentului cardului meu de credit (Viseca, în legătură cu Banca Cantonală din Vaud) este imposibil de a beneficia de un card care nu are această tehnică deja instalată. Emitentul de carduri a ales astfel să le echipeze cu tehnologii care deschid o breșă de securitate, dar asumarea riscurilor îi aparţine exclusiv consumatorului. Acesta nu este însă punctul cel mai înspăimântător al poveștii: pentru a evita fraudele, Viseca mi-a recomandat să învelesc cardul mea de credit cu o folie de aluminiu, ca dovadă că societatea însăși nu prea are încredere în tehnologia pe care o impune.

Am bricolat astfel o mică husă securizată anti-hacking cu ceea ce aveam la îndemână (cf. foto). Sunt liniştit, chiar dacă bricolajul meu nu arată foarte solid şi va trebui să îl refac în mod regulat... Astfel suntem obligaţi, pentru a ne proteja de riscurile generate de o tehnologie de ultimă generaţie, să folosim un produs care se află în sertarul fiecări bucătării de multe decenii! Această istorie de neînchipuit prezintă interes în conceptul de «Control by design» - control începând încă de la concepere (design) -, care conferă proprietarului unui obiect conectat dreptul inalienabil de a-l debranşa din orice reţea. În acest caz concret, proprietarul unui card de credit ar trebui să aibă dreptul de a-l deconecta din sistem NFC de câte ori și oricând dorește. Dacă în schimb se dovedeşte că proprietarul consideră aceasta metodă de plată ca fiind avantajoasă şi este pregătit să-și asume riscul de hacking, este hotărârea sa şi poate să decidă liber. Dar dacă proprietarul nu dorește să își asume niciun risc, trebuie să aibă de asemenea posibilitatea de a decide liber. Responsabilitatea securităţii datelor ar deveni atunci de competenţa exclusivă a emitentului de carduri, care ar trebui să ofere clienţilor posibilitatea de a renunţa la tehnologia NFC. Sper astfel că guvernul elveţian va pune rapid în aplicare moţiunea mea de «Control prin design»(1), care a fost acceptată de către Consiliul Naţional în decembrie anul trecut. http://www.schwaab.ch/archives/2015/03/20/control-by-design-unexemple-concret-dobjet-connecte-indeconnectable/ *Nota traducătorului: în Elveţia, cheltuielile procesuale sunt foarte mari. (1) http://www.parlament.ch/e/suche/Pages/geschaefte.aspx?gesch_id=20143739

11


ends Cover Story - Cybersecurity Tr

Internet of Things – cât suntem de expuși la ameninţări cibernetice? autor: Pierluigi Paganini

Introducere

BIO Pierluigi Paganini este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information Security) Threat Landscape Stakeholder Group, el este de asemenea Security Evangelist, Security Analyst și Freelance Writer. Editor-in-Chief la „Cyber Defense Magazine”, Pierluigi este un expert în securitate cibernetică cu peste 20 de ani de experiență în domeniu, este Certified Ethical Hacker la EC Council în Londra. Pasiunea pentru scris și credința fermă că securitatea se bazează pe împărtășirea de cunoștințe și pe conștientizare l-au determinat pe Pierluigi să înființeze blog-ul de securitate „Security Affairs” nominalizat recent ca Top National Security Resource pentru SUA. Pierluigi este membru al echipei „The Hacker News” și scrie pentru mai multe publicații importante din domeniu, cum ar fi Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine și pentru multe alte reviste de securitate. Autor al cărților „The Deep Dark Web” și „Digital Virtual Currency and Bitcoin”.

12

Termenul„Internet of Things”este folosit pentru a desemna orice obiect care poate fi interconectat și identificat în mod unic prin utilizarea unor tehnologii diferite, cum ar fi: NFC, digital watermarking (filigran digital) și cod QR. Nu este greu să ne imaginăm faptul că în viitorul apropiat fiecare individ va fi echipat cu o serie de dispozitive inteligente care vor schimba informaţii între ele și care vor colecta informaţii din mediul înconjurător. Oamenii ar putea fi conceptual asimilaţi unor clustere de date care trebuie protejate împotriva atacurilor cibernetice și împotriva incidentelor accidentale. În 2020 numărul de dispozitive IoT va fi de peste două ori mai mare decât numărul total de smartphone-uri, PC-uri, tablete, mașini interconectate și purtabile (wearable), așa cum se poate vedea și din imaginea alăturată.

Figura 1 Proliferarea Internet of Things Numărul de dispozitive interconectate crește rapid, experţii IT estimează că în 2020 vor exista aproape 50 de miliarde de obiecte inteligente online și că fiecare individ va utiliza în medie mai mult de 6 dispozitive. Paradigma Internet of Things va genera în 2019 o valoare adăugată economiei mondiale de $1,7 trillioane. Tehnologiile și serviciile care ţin de Internet of Things au generat venituri globale de $4,8 trillioane în 2012 și vor ajunge la $8,9 trillioane în 2020, crescând cu o rată anuală (CAGR) de 7,9%.


Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafaţa de atac. Dispozitivele IoT sunt deja peste tot și din acest motiv industria IT trebuie să ţină cont de problemele de securitate și confidenţialitate. Un studiu recent efectuat de către firma de securitate Veracode a scos în evidenţă faptul că dispozitivele IoT casnice expun utilizatorii la o gamă variată de ameninţări, incluzând furtul de date și sabotaje, iar proliferarea dispozitivelor IoT va avea o influenţă majoră asupra comportamentului uman. Dispozitivele IoT vor influenţa deplasările indivizilor în zonele urbane pe baza parametrilor atmosferici sau pe baza gradului de congestie de trafic din anumite zone specifice. Din păcate, în majoritatea cazurilor dispozitivelor IoT au o protecţie de securitate deficitară încă din faza de design, cea mai mare problemă fiind percepţia scăzută asupra ameninţărilor cibernetice. Infractorii cibernetici, hackerii susţinuţi de state, hack-tiviștii și teroriștii cibernetici pot exploata defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește rapid în anii care vor urma.

Dușmanii IoT - mijloace și motivații Pentru a proteja dispozitivele IoT este important să identificăm principalii actori ai ameninţărilor și motivaţiile lor. Să începem cu analiza categoriilor atacurilor care ameninţă arhitecturile IoT. Din păcate există o mulţime de „băieţi răi” care ameninţă implementarea paradigmei, incluzând infractori cibernetici, entităţi guvernamentale și hackeri motivaţi politic. Toţi acești actori sunt interesaţi în primul rând de cantităţile uriașe de date pe care le administrează dispozitivele IoT, dar nu putem subestima riscurile unor atacuri cibernetice pentru sabotaje. Erorile de design în privinţa principiilor fundamentale a securizării IoT pot expune utilizatorii la sabotaje, atacuri ale hackerilor (de ex. atacuri man-in-the-middle (MITM), preluarea controlului asupra reţelei), furt de date și deturnarea funcţionalităţii produselor. Infractorii cibernetici pot fi interesaţi să fure informaţii sensibile administrate de platformele IoT sau pot fi interesaţi să compromită obiectele inteligente și să le utilizeze în activităţi ilegale, cum ar fi derularea unor atacuri asupra unor terţe entităţi sau mineritul Bitcoin. Firmele de securitate au depistat deja grupuri de infractori cibernetici care utilizează botneţi alcătuiţi din milioane de dispozitive IoT infectate care derulează atacuri cibernetice împotriva unor firme private. În mod uzual, „băieţii răi” infectează sau compromit obiecte inteligente configurate necorespunzător, cum ar fi routere, dispozitive SOHO, SmartTV-uri și alte dispozitive IoT. În mod similar agenţiile de Intelligence sunt interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă, care utilizează routere, console de jocuri și smartphone-uri pentru a spiona persoanele vizate. Teroriștii cibernetici și hack-tiviștii pot fi de asemenea interesaţi să compromită dispozitivele IoT pentru a fura informaţii sensibile sau pentru a provoca daune extinse.

Care sunt principalele ameninţări cibernetice pentru dispozitivele IoT? Anul trecut specialiștii de la Symantec au publicat un studiu interesant despre principalele ameninţări cibernetice pentru IoT, grupându-le în următoarele categorii: Denial of service - atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând probleme serioase în reţeaua dispozitivelor inteligente și paralizând serviciul pe care acestea îl furnizează. Ţineţi cont că elementele aparţinând unei reţele IoT sunt ţinta atacurilor care interferează cu modul de operare și de comunicare între dispozitive. Botneți și atacuri malware – Probabil că acesta este scenariul cel mai comun și mai periculos, dispozitivele IoT sunt compromise de atacatori care abuzează de resursele lor. În mod uzual atacatorii utilizează cod specializat care să compromită software-ul care rulează pe dispozitivele IoT. Codul maliţios poate fi utilizat pentru a infecta calculatoarele utilizate pentru controlul reţelei de dispozitive inteligente sau să compromită software-ul care rulează pe acestea. În cel de-al doilea scenariu atacatorii pot exploata prezenţa unor defecte în firmware-ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să deturneze componentele IoT spre o funcţionare neplanificată. În noiembrie 2013, experţii Symantec au descoperit un nou vierme Linux, Linux.Darlloz, proiectat în mod special să atace dispozitive IoT Intel x86 care rulează Linux. Atacatorii au compromis dispozitivele IoT pentru a construi un botnet care a fost utilizat pentru activităţi ilegale, incluzând trimiterea de Spam, generarea de mesaje SMS costisitoare sau derularea unor atacuri DDoS. O altă posibilitate pentru atacatori este exploatarea dispozitivelor configurate necorespunzător, de exemplu dacă știi setările de fabrică ale unui router este posibil să ai acces la consola sa de administrare și să modifici parametrii care îi controlează comportamentul. Breșe de date – breșele de date reprezintă un alt risc serios în privinţa adoptării dispozitivelor IoT. Organizaţiile trebuie să conștientizeze potenţialul consecinţelor neplanificate ale situaţiilor de utilizare a IoT. Atacatorii pot spiona comunicaţiile dintre dispozitivele IoT și să colecteze informaţii despre serviciile pe care acestea le implementează. Datele accesate prin intermediul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibernetic sau de către o agenţie de Intelligence sau de către o companie privată în scopuri comerciale. Breșele de date reprezintă o ameninţare serioasă pentru organizaţiile sau persoanele care utilizează dispozitive inteligente. Breșe accidentale – Managementul datelor într-o arhitecutură care include dispozitive IoT este un aspect critic. Informaţiile sensibile pot fi expuse nu numai într-un atac cibernetic, ci pot fi expuse sau pierdute și în

13


ends Cover Story - Cybersecurity Tr Mai mulți clienți Akamai au fost ținta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiți pe secundă și 150 millioane pachete pe secundă.

mod accidental. Symantec dă ca exemplu transmiterea coordonatelor autoturismului unui CEO, dar realitatea este că din mediul de business se pot scurge informaţii mult mai sensibile. Perimetre slăbite – lipsa măsurilor de siguranţă încă din faza de design poate cauza o slăbire a perimetrelor. Prin exploatarea unui defect în SmartTV-ul nostru atacatorul poate avea acces la reţeaua domestică și să dezactiveze orice sistem antifurt implementat pentru securitatea fizică. OWASP Top 10 probleme de securitate pentru IoT Open Web Application Security Project (OWASP) are ca scop primar diseminarea celor mai bune practici care să ducă la îmbunătăţirea securităţii software-ului. Este firesc să analizeze și cele mai importante 10 probleme de securitate pentru această paradigmă populară. 1. Interfeţe web nesigure 2. Autentificări/autorizări insuficiente 3. Servicii de reţea nesigure 4. Lipsa criptării la transportul de date 5. Probleme de confidenţialitate 6. Interfaţă cloud nesigură 7. Interfaţă mobile nesigură 8. Configurabilitate de securitate insuficientă 9. Software/firmware nesigur 10. Securitate fizică scăzută I1 – Interfață web nesigură: Aproape orice dispozitiv are implementat un web server în scopuri de mentenanţă, dar în majoritatea

14

cazurilor interfeţele serverului intern nu sunt securizate. Mecanismele slabe de autentificare, CSRF, XSS și injecţiile SQL sunt vulnerabilităţile cele mai comune care afectează serverele web. I2 – Autentificări/autorizări insuficiente: Experţii în securitate trebuie să verifice cu atenţie adoptarea unor parole puternice și să evite credenţialele codate hard. Un alt aspect îl reprezintă verificarea vulnerabilităţilor comune (de ex. sqli) pentru procesele de autentificare/autorizare. I3 – Servicii de rețea nesigure: SSH, SFTP și alte servicii trebuie implementate în mod corespunzător. O eroare obișnuită în aceste situaţii o reprezintă codarea hard a credenţialelor serviciilor. I4 – Lipsa criptării la transportul de date: Credenţialele și datele trebuie criptate. Adoptarea PKI ar trebui să ajute administratorii să implementeze procese eficiente de securizare a informaţiei. I5 – Probleme de confidențialitate: Este important să fie analizate toate aspectele arhitecturii IoT care ar putea expune date sensibile necriptate. I6 – Interfață cloud nesigură: Dispozitivele IoT pot fi integrate cu servicii cloud pentru partajarea de date. Interfaţa cu serviciile cloud trebuie implementată în mod corespunzător și proiectată să evite prezenţa vulnerabilităţilor critice. I7 – Interfață mobile nesigură: Multe dispozitive inteligente furnizează o funcţionalitate „Wireless Access Point”, ca de exemplu smartTV-urile, și este necesară adoptarea unui algoritm de criptare puternic și a celor mai bune practici de securitate (de ex. dezactivarea transmisiei SSID). I8 – Configurabilitate de securitate insuficientă: Dispozitivele IoT trebuie să ofere posibilitatea de configurare a principalelor facilităţi de securizare cerute de conformitatea cu politicile de securitate. I9 – Software/Firmware nesigur: Asiguraţi-vă că firmware-ul și software-ul care rulează pe dispozitive poate fi actualizat și că upgrade-urile se efectuează prin procese securizate care evită modificarea/înlocuirea. Evitaţi software-ul/firmware-ul care are credenţiale codate hard și o bună practică este validarea software-ului prin semnarea digitală a codului sursă. I10 – Securitate fizică scăzută: Verificaţi securitatea fizică a dispozitivelor inteligente prin protejarea accesului la toate porturile expuse. De obicei producătorii dau acces extern în scopuri de mentenanţă. Un atacator poate exploata unul dintre aceste puncte de acces pentru a injecta cod maliţios, pentru filtrarea de date sau pentru sabotarea obiectului inteligent. Se sugerează criptarea datelor stocate în memoria dispozitivului și protejarea fizică a porturilor USB și a oricărui alt port, prin dezactivarea acceselor ne-necesare.

Scenarii de atac Firmele de securitate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la scară globală. Cel mai întâlnit scenariu este utilizarea de botneţi alcătuiţi din mii de dispozitive din domeniul IoT, cunoscute și sub denumirea de thingboţi, care sunt utilizaţi pentru a trimite


mesaje de spam sau pentru coordonarea unor atacuri DDoS. Rezumând un thingbot poate fi utilizat pentru: a trimite spam. a coordona un atac împotriva unei infrastructuri critice. a furniza un malware. a funcţiona ca punct de intrare în reţeaua unei companii. Principalele firme de securitate confirmă o creștere a numărului de atacuri împotriva unor obiecte inteligente, incluzând routere, SmartTV-uri, dispozitive NAS (network-attached storage), console de jocuri și diferite tipuri de set-top box-uri. Unul dintre primele atacuri la scară largă a fost semnalat de cercetătorii de la Symantec în noiembrie 2013, când un vierme numit Linux.Darlloz a infectat numeroase dispozitive Intel x86 care rulau Linux prin exploatarea diverselor vulnerabilităţi din PHP. Viermele a reușit să compromită kit-uri internet pentru acasă, echipate cu cipuri x86, să le exploateze și să extindă infecţia. Codul maliţios a compromis echipamente de reţea la scară globală, după cum a fost descris de către Symantec într-un raport detaliat. „Viermele Linux.Darlloz exploatează vulnerabilităţi PHP și se autopropagă. Viermele utilizează vulnerabilitatea cunoscută ca PHP «php-cgi» Information Disclosure Vulnerability (CVE-2012-1823), care este o vulnerabilitate veche pentru care există un patch din mai 2012. Atacatorii au creat recent un vierme bazat pe codul Proof of Concept (PoC) disponibil de la sfârșitul lui octombrie 2013”, se afirmă într-o postare de pe blogul Symantec. Cu toate că viermele a fost conceput pentru a compromite dispozitivele Intel x86 echipate cu Linux, experţii Symantec au descoperit că există și o variantă Darlloz compilată să ruleze pe dispozitive ARM și MIPS. Darlloz a reușit să se răspândească în liniște și să șteargă parţial fișiere stocate pe dispozitivele IoT. Tehnica de atac a fost simplă și eficientă, codul maliţios genera adrese IP aleatorii și încerca să utilizeze credenţiale utilizate în mod curent pentru a se loga la mașinile ţintă. Dacă malware-ul identifica un dispozitiv vulnerabil îl accesa și downloada viermele de pe un server. Odată infectat dispozitivul IoT, malware-ul începea să caute alte ţinte rulând un server web și PHP. Darlloz utilizează cereri HTTP POST concepute în mod special pentru exploatarea dispozitivelor vulnerabile. În momentul în care malware-ul identifică un dispozitiv ne-patch-uit și preia controlul, download-ează viermele de pe un server și începe să caute alte ţinte prin rularea unui server web și PHP. Pentru a preveni recuperarea dispozitivului, viermele oprește serviciile Telnet care rulează pe componenta inteligentă, făcând astfel imposibilă o conectare de la distanţă cu acesta pentru a-l readuce într-o situaţie normală de funcţionare. Câteva luni mai târziu, în ianuarie 2014, cercetătorii de la Proofpoint au descoperit o altă utilizare abuzivă a dispozitivelor IoT, peste 100.000 de frigidere, Smart TV-uri și alte dispozitive casnice inteligente fiind hack-uite pentru trimiterea a 750.000 de e-mail-uri de spam maliţioase. „Atacul observat și profilat de Proofpoint s-a derulat între 23 decembrie 2013 și 6 ianuarie 2014, și a constat în trimiterea de valuri de e-mail-uri maliţioase, în serii de câte 100.000, de 3 ori pe zi, către companii și persoane fizice la nivel global. Mai mult de 25% din acest volum a fost trimis prin intermediul unor obiecte care nu erau laptop-uri convenţionale, calculatoare desktop sau dispozitive mobile; e-mail-urile fiind expediate de gadget-uri de consum cum ar

fi routere pentru reţele casnice, centre multimedia conectate, televizoare și cel puţin un frigider.” Între timp atacurile continuă, recent experţii de la Akamai Prolexic Security Engineering & Response Team (PLXsert) au semnalat un nou kit de malware denumit Spike, care este utilizat pentru lansarea de atacuri DDoS prin intermediul desktop-urilor și al dispozitivelor IoT. Thingbot-ul Spike este capabil să lanseze diferite tipuri de atacuri DDoS, incluzând SYN, UDP, cereri Domain Name System, și flood-uri GET împotriva unor mașini Linux, Windows, sau al unor host-uri ARM cu Linux. Thingbot-ul a fost compus din routere casnice, uscătoare inteligente, termostate inteligente și alte dispozitive inteligente. Akamai a observat că numărul dispozitivelor care au alcătuit botnet-ul Spike s-a situat între 12.000 și 15.000, cercetătorii subliniind abilitatea atacatorilor de a customiza malware-ul și pentru arhitecturi ARM utilizate pe scară largă de dispozitivele IoT. „Abilitatea toolkit-ului Spike de a genera atacuri și asupra arhitecturilor ARM sugerează că autorii acestor instrumente ţintesc dispozitive cum ar fi router-ele și dispozitivele IoT pentru a-și extinde botneţii pentru o eră post-PC de propagare a botneţilor” se afirmă în documentul Akamai. Botnetul Spike a fost utilizat pentru mai multe atacuri DDoS de tipul „lovește și fugi” în care au fost implicate atât mașini Windows cât și Linux, dispozitive IoT și Raspberry Pi. Experţii au observat ca noul aflux de malware Spike s-a bazat pe un update a limbajului de malware Spike chinezesc care ţintește dispozitive Internet-of-Things slab configurate. Akamai a publicat un raport interesant despre botnetul Spike care include detalii despre atacurile DDoS care au avut loc. Experţii au observat că unul dintre atacuri a inclus pachete tactate la 215 gigabiţi pe secundă (Gbps) și 150 millioane de pachete pe secundă (Mpps). Documentul confirmă faptul că și dacă majoritatea atacurilor DDoS sunt lansate de pe dispozitive de putere mică, și ar putea părea nesemnificative, dispozitivele IoT pot reprezenta o armă puternică în mâinile atacatorilor. „Mai mulţi clienţi Akamai au fost ţinta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiţi pe secundă și 150 millioane pachete pe secundă,” se afirmă în documentul companiei. Lista atacurilor cibernetice asupra dispozitivelor IoT este foarte lungă, unul dintre cele mai puternice atacuri întâmplându-se de Crăciun, atunci când popularele platforme de jocuri Sony PSN și Xbox Live au fost blocate de un atac al unui grup de hackeri cunoscut sub numele de Lizard Squad. Grupul a utilizat în cadrul atacului un instrument DDoS denumit Lizard Stresser, conform expertului în securitate

15


ends Cover Story - Cybersecurity Tr Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de țări din toată lumea.

Brian Krebs, acesta fiind alcătuit din mii de routere de internet domestice hack-uite.

Atacatorii adoptă tehnici diferite, incluzând inginerie socială și site-uri web maliţioase, pentru a schimba setările DNS ale routerelor domestice. Atacurile prin modificarea setărilor DNS permit atacatorilor să redirecteze victimele către site-uri web false pentru a fura credenţialele bancare ale clienţilor băncilor braziliene. În martie 2014, cercetătorii de la Team Cymru au publicat un raport detaliat despre un atac de tip fermă SOHO la scară largă care a afectat peste 300.000 de dispozitive la scară globală. Din păcate grupările infracţionale privesc cu tot mai mult interes la reţelele de dispozitive IoT cu scopul de a le compromite și a lansa atacuri de tipul DDoS. În majoritatea situaţiilor dispozitivelor IoT le lipsesc măsurile defensive iar soft-ul lor nu este actualizat la zi, circumstanţe care fac ca aceste obiecte puternice să fie expuse unor atacuri cibernetice. În urmă cu câteva săptămâni experţii de la compania de securitate Imperva Incapsula au descoperit un botnet DDoS alcătuit din zeci de mii de routere SOHO, infectate cu malware, angajate într-un atac de tip flood la nivel de aplicaţie HTTP. Routerele SOHO erau infectate cu o versiune de troian Linux Spike (Trojan. Linux.Spike.A) și MrBlack, care este un agent Linux semnalat pentru prima dată de cercetători de la Dr. Web în mai 2014. Atacatorii au facilitat accesul de la distanţă asupra routerelor SOHO prin HTTP și SSH pe porturile lor implicite, pentru a le compromite. După cum se explică în raportul publicat de Incapsula, routerele SOHO erau slab configurate, atacatorii utilizând credenţiale implicite (de ex. admin/admin) pentru a le accesa și a le injecta cod maliţios. Malware-ul a reușit să se autopropage prin scanarea reţelei pentru a localiza și infecta și alte routere. Conform cercetătorilor, routerele SOHO deturnate erau dispozitive pe arhitecturi ARM de la producătorul de echipamente de reţea wireless Ubiquiti Networks. Compania a descoperit o serie de atacuri împotriva clienţilor săi la sfârșitul lui decembrie 2014, într-o perioadă de 121 de zile în care aceștia au monitorizat arhitectura maliţioasă utilizată de infractori. Au fost identificate IP-urile a 60 de servere de comandă și control (C&C) iar traficul maliţios a fost lansat de la peste 40.000 de adrese IP aparţinând la aproape 1.600 de ISP-iști din 109 de ţări, de pe toate continentele. Este interesant de menţionat că peste 85% dintre routerele SOHO infectate au fost localizate în Thailanda și Brazilia. „Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de ţări din toată lumea”, se afirmă în raport.

Figura 2 -Instrumentul Lizard Stesser DDoS Lizard Squad a elaborat recent și o ofertă comercială pentru Lizard Stresser, care propune spre vânzare un model de tipul attack-as-a-service și hacking-ul dispozitivelor IoT permite infractorilor să gestioneze ușor astfel de oferte. Instrumentul Lizard Stresser este un instrument DDoS puternic care se folosește de lăţimea de internet a routerelor domestice de Internet hack-uite global. În septembrie 2014, experţii de la Kaspersky Lab au descoperit o campanie de hacking condusă de atacatori din Brazilia care vizau routerele domestice prin intermediul unui atac web.

16

Figura 3 - Mrblack Thingbot - Topul țărilor atacatoare Incapsula Report


Conform celor de la Incapsula, routerele SOHO compromise au fost exploatate de către mai multe grupări, inclusiv de către popularul grup Anonymous. Incapsula speculează că sute de mii sau chiar milioane de routere SOHO au fost compromise datorită unei configurări slabe.

viziteze un server maliţios SSL/TLS sau prin deturnarea conexiunii printr-o slăbiciune necorelată. În ambele situaţii atacurile sunt mai greu de efectuat de către infractori.

Bash Bug, Heartbleed și Internet of Things Bash Bug (CVE-2014-6271) este un defect critic care poate fi exploatat de la distanţă și care afectează mașini Linux, Unix și Apple Mac OS X. Bash Bug există de câteva decade și este legat de modul în care bash tratează variabilele de mediu formatate special, și anume de funcţiile shell exportate. Pentru a rula un cod arbitrar pe un sistem afectat este necesară asignarea unei funcţii la o variabilă, codul ascuns în definiţia funcţiei urmând a fi executat. Defectul Bash Bug are impact asupra a miliarde de dispozitive din lumea întreagă, care rulează pe arhitecturi Linux/Unix, inclusiv dispozitive IoT. Companiile de securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către infractori pentru afectarea dispozitivelor din diferite industrii. Principala problemă în adresarea dispozitivelor IoT este că în multe scenarii mentenanţa unor astfel de obiecte este foarte dificilă și că uneori producătorii nu furnizează update-uri de securitate pentru eliminarea problemelor, lăsându-le accesibile atacurilor cibernetice.

Concluzie

Figura 4 - Atac Heartbleed asupra unei mașini client (Symantec) O altă vulnerabilitate care ameninţă IoT este popularul Heartbleed, care poate afecta routere, PBX-uri (business phone systems) și multe alte obiecte inteligente. Prin exploatarea defectului Heartbleed un atacator poate citi de la distanţă memoria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL. Un dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj maliţios Heartbeat către acesta. Dispozitivul IoT îi va răspunde trimiţând date suplimentare din memoria sa, putând expune credenţailele și alte date sensibile. Vestea bună, după cum explică cercetătorii de la Symantec, este că deși atacurile Heartbleed asupra unui server nu sunt complicat de efectuat, o ofensivă la scară largă asupra unor clienţi este greu de rulat într-un scenariu din lumea reală. Principalii doi vectori de atac pentru exploatarea defectului Heartbleed în dispozitivele IoT sunt determinarea obiectului inteligent să

IoT este o paradigmă care ne va influenţa vieţile în anii care vor urma. din acest motiv este esenţial ca problemele de securitate și de confidenţialitate să fie tratate în mod corespunzător. Experţii în securitate solicită producătorilor și vânzătorilor să ia în considerare ameninţările cibernetice și nivelul de expunere al oricărui dispozitiv IoT. IoT oferă oportunităţi de business fiecărei industrii, dar poate deveni un coșmar în cazul în care componentele de securitate sunt subestimate.

Referin]e http://securityaffairs.co/wordpress/31062/cybercrime/internet-of-things.html http://resources.infosecinstitute.com/internet-thingsmuch-exposed-cyber-threats/ http://securityaffairs.co/wordpress/18343/hacking/ internet-of-things-hacking.html http://securityaffairs.co/wordpress/21189/hacking/ internet-of-things-cyber-threats.html http://securityaffairs.co/wordpress/21397/cybercrime/iot-cyberattack-large-scale.html https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project http://www.symantec.com/connect/blogs/securinginternet-things-wheres-risk?sf21585364=1 http://securityaffairs.co/wordpress/20084/malware/ internet-of-things-worm.html http://www.prolexic.com/kcresources/prolexic-threatadvisories/prolexic-threat-advisory-spike-ddos-toolkit-botnet/index.html http://securityaffairs.co/wordpress/28008/cybercrime/brazil-attacks-home-routers.html http://securityaffairs.co/wordpress/30641/cybercrime/symantec-cybercriminals-targets-iot.html http://www.symantec.com/connect/blogs/linuxworm-targeting-hidden-devices http://investors.proofpoint.com/releasedetail. cfm?ReleaseID=819799 http://www.symantec.com/connect/blogs/heartbleed-poses-risk-clients-and-internet-things http://securityaffairs.co/wordpress/32022/cybercrime/lizard-stresser-hacking-tool.html

17


ends Cover Story - Cybersecurity Tr

IoT (Internet of Things) autor: Mika Lauhde

Mika Lauhde, VP, Government Relations and Business Development, SSH Communications Security

O să-i dezamăgesc pe cei care așteaptă marile fenomene legate de securitatea cibernetică în domeniul IoT (Internet of Things) spunându-le că trenul a plecat deja. Problemele de securitate în domeniul IoT se află deja printre noi și ceea ce rămâne de stabilit este cine va administra securitatea acestora, și din acest punct de vedere adevăratul subiect este controlul următoarelor generații de ecosisteme de supraveghere și de business.

Tehnologiile din domeniul securităţii cibernetice, chiar dacă sunt importante, nu pot fi comparate cu informaţiile vitale: ce anume ne propunem să apărăm și ce ne este frică să pierdem? Asupra acestor aspecte va trebui să ne concentrăm în construirea capacităţilor de apărare. Înţelegem cu toţii faptul că tehnologiile cibernetice se vor îmbunătăţi odată cu trecerea anilor și putem fi siguri că și atacurile asupra acestora se vor îmbunătăţi. Confruntarea dintre aceste două aspecte ne va ţine ocupaţi în domeniul securităţii cibernetice. Prin urmare, cum să fim suficient de prevăzători și să nu așteptăm pasivi ivirea unor breșe de securitate? Pentru aceasta trebuie să înţelegem ecosistemul și rolurile din cadrul acestuia! Următoarele exemple sunt luate din industria auto și din scenariile cu automobilele care se pot conduce singure. După cum știţi, în SUA există deja mașini care se conduc singure și au fost făcute deja teste în acest sens și în Europa. Aceste tipuri de mașini au nevoie de un volum mare de informaţii de la senzori din mediul înconjurător, dar și informaţii de la alte sisteme de back-end. Când vorbim despre sisteme de back-end nu ne referim la sistemul de divertisment, care este componenta cea mai interesantă pentru cei care stau pe scaunele din spate ale mașinii, ci la informaţii care controlează mișcarea mașinii și siguranţa acesteia. Prin urmare devine o necesitate naturală să protejăm sistemele mașinii. Dar împotriva a ce?

18

Să luăm în considerare următoarele aspecte legate de acest tip de ecosistem. 1. Avem mașini care sunt programate să se conducă singure. Deci există o companie răspunzătoare de programarea navigaţiei, a controlului, ca și a celorlalte funcţionalităţi ale mașinii.

2. Există drumuri alunecoase care nu pot fi prezise nici cu cele mai inteligente soluţii software.

3. Există un preţ (valoare) pentru fiecare om care se află în mașină, dar preţul este diferit de la individ la individ.


Concluzie 4. Prin urmare în momentul în care ciocnirea a două mașini pe un drum alunecos devine inevitabilă, și unii pasageri trebuie sacrificaţi pentru minimizarea daunelor totale, ce factori trebuie luaţi în considerare? Pentru a înţelege fiecare stakeholder și scopurile acestora atunci când vine vorba despre securitatea cibernetică, trebuie să înţelegem ce anume îi motivează pe acești stakeholderi: Șoferul și proprietarul mașinii: înafara dorinţei de a controla pe deplin sistemul de divertisment (hack-uirea sistemului DRM și a protecţiei la copiere), există o motivaţie clară de a supravieţui. Cum să interferezi cu sistemele în așa fel încât nu numai să îţi controlezi mașina atunci când este necesar, dar să și trimiţi informaţii celorlalte mașini din trafic astfel încât să eviţi o coliziune. Compania de asigurări: Din moment ce știm că nu se acordă compensaţii egale pentru vieţile pierdute sau pentru dizabilităţi, de ce nu ar avea companiile de asigurări o motivaţie clară de a avea un impact asupra programării și a sistemului de coliziune astfel încât să cheltuie cât mai puţin în cazul unui accident? Până la urmă și ei trebuie să plătească dividende acţionarilor.. Interesul guvernului: Toate guvernele trebuie să își protejeze cetăţenii. De obicei guvernele promit cetăţenilor securitate și siguranţă, mai ales atunci când este necesară limitarea anumitor drepturi. Dacă un guvern nu realizează aceste deziderate cum ar mai putea rămâne la putere? Există motive să credem că este în interesul tuturor guvernelor să influenţeze comportamentul mașinilor. Investigația poliției: În majoritatea ţărilor atunci când se produce un accident, urmează și o investigaţie a poliţiei. De obicei aceasta are ca scop nu doar de a găsi un vinovat dar și de a duce la îmbunătăţiri ale siguranţei care să ducă la evitarea unor accidente similare în viitor. Accesul la toate datele din sistemul mașinii dar și la cele de back-end este vital. Deci, cum să fie accesate ambele sisteme? Hacker: În acest caz am putea găsi mai multe motivaţii de a avea un impact asupra sistemului mașinii. De la a deveni faimos și până la a face rău. Dar pentru a dobândi “15 minute de glorie”, trebuie mai întâi să pătrunzi în sistemul mașinii și să preiei controlul. Producătorul mașinii: Producătorul s-ar putea să nu fie localizat într-o singură ţară, dar deciziile de management sunt de regulă ghidate de normele regulatorii din ţara de origine a companiei. Producătorii se confruntă cu faptul că retragerea unor modele de pe piaţă, datorită unor sisteme tot mai complicate, devine din ce în ce mai scumpă. De asemenea ameninţările externe la adresa sistemelor mașinilor sunt tot mai mari. Toate celelalte părţi se află în conflict de interese cu producătorii mașinilor. Realitatea, din păcate, este că producătorul are cea mai strânsă legătură cu mașina ceea ce implică și cel mai mare risc privind răspunderea. Sistemul din mașină este doar un sistem client, dar serverul este localizat undeva în cloud-ul producătorului. În ce ţară și sub ce jurisdicţie se află acest cloud?

Aici în Europa suntem mai degrabă în siguranţă din aceste perspective. Până la urmă, am renunţat la o componentă fundamentală denumită modem, care stă la baza IoT wireless, cu câţiva ani în urmă. În prezent Europa se concentrează pe implementarea eCall și nici măcar nu am îndrăznit să întrebăm de unde se fac update-urile de software ale modemurilor acestor mașini europene și dacă există canale paralele de comunicare. Canale paralele despre a căror existenţă s-ar putea să aflăm abia peste câţiva ani, în cazul apariţiei unui nou caz „Snowden”. Atunci când vom ajunge atât de departe încât eCall să fie funcţional, probabil că vom afla că toate celelalte probleme au fost deja rezolvate. Fără nici o implicare europeană. Deci, vă rog să nu spuneţi că vine IoT…. toate deciziile vitale se implementează deja…

Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communications Security, Mika a condus divizia Business Security and Continuity la Nokia Corporation unde a răspuns de relațiile guvernamentale în zona securității IT ca și în zonele managementului de criză, complianță infracțională, prevenirea fraudelor și soluții de criptare a terminalelor. Mika are o exepriență bogată în zona subiectelor de securitate și a instituțiilor guvernamentale atât în Europa cât și în SUA. În prezent este membru în ENISA (European Network and Information Security Agency) Permanent Stakeholder Group, în European Cyber Security Research Center, și în grupul de lucru în domeniul Cyber Security al Guvernului Finlandez. Membru al ENISA (European Network and Information Security Agency) PSG (2009 - ) Membru în managementul grupului de lucru al Leuven University European Crypto Task Force (2014 - ) Grupul de lucru Europol (2014 - ) Membru în managementul European Cyber Security Research Center (2011 - ) Membru în grupul de lucru Finnish Government Cyber Security (2013 - ) Founding Member și Board Member TDL (Trust in Digital Life) (2010 - 2013) Membru al EU government security advisory board RISEPTIS (2007-2009) Membru al Finnish government ICT security advisory board (2007 – 2010) Membru al UK government critical infrastructure protection group CPNI (2005 – 2009)

19


ends Cover Story - Cybersecurity Tr

IoT = Iad (sau Paradis?) autor: Laurent Chrzanovski

Metodologie de lucru Internet of Things (IoT) este astăzi cel mai vag definit termen folosit de către specialiști și cetăţeni. Ca și comparaţie, putem spune, de exemplu, că este mult mai vag decât Digital Identity. De fapt, IoT a apărut ca și concept din momentul în care la Internet au început să fie conectate și altceva decât calculatoare - deși PC-urile clasice și ulterior laptop-urile puteau fi considerate de asemenea „things”. Astfel, nevoia de identificare unică a unui dispozitiv lucru care exista online a apărut de la începutul reţelelor de orice fel.

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

20

La început, deoarece producătorii erau puţini, câteva brand-uri, standardele industriale regionale, internaţionale (ITU, ETSI, NIST etc.) au fost respectate, astfel încât, indiferent de mediul fizic de conectare (fir de cupru, LAN, toate standardele wireless, fibră optică etc.), cam toate device-urile au fost produse cu identificatori unici, dificil de replicat sau, în orice caz, rata de erori/fraude/riscuri nu impunea măsuri suplimentare decât în reţele cu grad ridicat de sensibilitate unde erau implementate și alte măsuri. Ulterior, o dată cu explozia conectivităţii la nivel global, a creșterii exponenţiale a puterii de calcul mobile și a uriașului număr de aplicaţii, lucrurile au evoluat în ultimii ani și astfel au apărut din ce în ce mai mulţi producători de elemente de reţelistică - mulţi dintre ei care nu respectă niciun standard comun recunoscut -, iar preţurile de producţie au făcut ca acestea să pătrundă extrem de rapid pe toate pieţele, inclusiv cele emergente. Aceste elemente de reţelistică, menţionate mai sus, au fost înglobate și în alte „lucruri” (despre orice obiect vorbim, are o interfaţă de reţea) - rata de penetrare fiind proporţională cu creșterea consumului pe piaţa gadgeturilor, dar și cu dinamica consumului pe diverse alte pieţe complementare În aceste condiţii trebuie definit în primul rând „despre ce vorbim”, deoarece avem în faţă o întreagă galaxie de obiecte și software-uri. Pe de o parte se află cele circa 25 de miliarde de aparate conectate la internet, doar că marea lor majoritate nu pot fi considerate ca fiind aparate 100% IoT: este vorba de tablete sau smartphone-uri și alte artefacte care oricum pot fi „setate” de către utilizator. Sunt totuși considerate în categoria sus menţionată pentru că sunt primii receptori/utilizatori de software-uri destinate IoT în momentul în care sunt acţionate de proprietarul lor (GPS, aplicaţii de tip moderator/activator la distanţă pentru iluminatul sau încălzitul casei, frigiderul, mașina de spălat, dar și - aici ajungem la faza încă mai periculoasă - alarma și videocamerele de apărare, acţionarea deschiderii autoturismului sau a sistemului său multimedia etc.). Pe de altă parte, există aparate 100% IoT (moderatorul de lumină, moderatorul de temperatură etc.) care se activează în mod autonom, în funcţie de presetări și/sau la comanda proprietarului prin Wi-Fi, bluetooth sau reţeaua 4G. Aici încă nu pomenim de aparatura de vârf folosită în domenii precum sănătate electronică (pacemakere, centuri de insulină, etc), armată (sisteme de deminare, drone etc.). Aparatele IoT complet autonome există deja, dar cele „critice” fie nu sunt încă foarte răspândite, fie se află abia în etapa de testare (mașina fără conducător auto etc.). Dar aici intrăm deja în câmpul de artificial intelligence și robotics, care privește mai puţin cetăţeanul și mai mult firmele mari cu infrastructuri puternice. Doar că asta e valabil doar azi, deoarece problema va exploda în următorii ani. Azi, în schimb, sunt deja foarte răspândite micile aparate de tip wearable, cum ar fi „brăţara pentru jogging” (care trimite către


laptop sau smartphone informaţii despre câţi km aţi parcurs în fugă, pulsul, temperatura, caloriile consumate etc.), sau GPS-uri din noua generaţie legate cu aplicaţii PC și mobile etc. Pentru toate motivele menţionate mai sus, nu sunt deloc departe de adevăr previziunile de tipul celor de la World Economic Forum, care au socotit că există deja azi de trei ori mai multe „IoT” operative decât oameni pe pământ

și care mizează pe cca. 50 de miliarde de aparate IoT în anul 2020 (viziunea IoT „all devices inclusive”) sau previziunile celor de la Verizon, de pildă, care anunţă pentru același termen, „numai” 5,4 milarde de aparate (viziunea IoT „stricto sensu”). Last but not least, pentru o abordare completă, trebuie amintită tendinţa de a lansa pe piaţă aparate mici care se încarcă prin USB (un fel de IoT varianta „neolitică”) și care s-au dovedit a fi livrate, în mai multe ocazii, cu malware inclus (amintim aici încărcătoarele de ţigări electronice, mici aparate de iluminat, baterii de rezervă pentru telefoane etc.). Pericolul major în ceea ce privește aceste device-uri este că utilizatorul, pentru mai multă comoditate, în loc să folosească un încărcător USB legat la priza electrică, își va încărca bateria direct din priza USB a laptop-ului său.

Haosul și consecințele sale IoT este una dintre cele mai mari mize financiare de azi în sectorul IT: pentru 2014, beneficiul suplimentar generat de către IoT este estimat la 1,9 trilioane de dolari. Miza este de a lansa la nesfârșit produse noi și, mai ales, servicii (cu plată) aferente, prezentate cumpărătorilor ca o îmbunătăţire semnificativă pentru viaţa lor și afacerile lor. De aceea, un leitmotiv pe care îl întâlnim des în articolele scrise de comercianţi este acela că pericolele legate de IoT sunt complet exagerate și că sunt noul front de atac în strategia de vânzări a firmelor de securitate IT. Primul motiv al haosului: anonimitatea și netrasabilitatea „obiectului IoT”. Semnalul de alarmă tras de către NATO la summit-ul din Tallin în 2013 (merită citită analiza

21


ends Cover Story - Cybersecurity Tr de situaţie descrisă în amănunt de către Michael J. Covington și Rush Carskadden, Threat Implications of the Internet of Things) a fost preluat și amplificat într-o analiză foarte detaliată a Trustware Global Security Report 2014. Paul Simmonds, CEO al Global Identity Foundation este încă și mai clar în afirmaţiile sale: dacă nu se ajunge rapid la o standardizare globală și la atribuirea unei identităţi IT fiecărui device, aparatele IoT nu vor fi niciodată sigure pentru a fi inserate fără grijă în diverse locuri din mediul înconjurător – acasa, la firmă sau într-o infrastructură critică. Această analiză culminează cu afirmaţia „a plethora of cloud-based solutions unique to each manufacturer, supplier or even device will lead to chaos and insecurity”.

De ce? După ultimele sondaje ale Atomik Research, comandate de către compania Tripwire, mai mult de un sfert din angajaţii din firme/instituţii din domeniul „infrastructurilor critice” din USA și UK au deja conectat un IoT (pe lângă laptop-uri, tablete și smartphone-uri!) la reţeaua centrală de la locul lor de muncă. Și încă mai grav: pentru a înţelege impactul asupra companiilor mai „convenţionale”, în care mult prea mult BYOD se amestecă cu IoT, se estimează că în SUA un angajat folosește în medie 12 aplicaţii pe device-uri IoT, care în același timp sunt conectate și la reţeaua firmei.

Câteva exemple Compania de securitate Pwnie Express a demonstrat recent că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de con-

22

figurare a software-ului nativ. HP a remediat foarte rapid problema, angajând masiv specialiști pentru IoT, schimbând algoritmi, apoi propunând clienţilor săi noile configuraţii. Mai grav însă, în 2014, aceeași firmă, HP, a făcut un test aleator asupra celor mai populare 10 device-uri IT și a găsit... 250 de fisuri, adică o medie de 25 de fisuri pe device.

Ce riscăm sau „nimic nou sub soare” [errata corrige: „nimic nou” la exponențial, sub nori de furtună]. Doar că IoT este un accelerator exponenţial pentru cybercriminali, în activitatea lor obișnuită. Deoarece face ca furtul de date să devină încă și mai ușor și pentru că oferă sute de uși în plus pentru a penetra într-un sistem. În plus, pentru consumator, mărește în mod semnificativ (se estimează la cca. 33%) pierderea de date confidenţiale sau personale, fie datorită incompatibilităţii aplicaţiilor descărcate, fie chiar și prin utilizarea și ștergerea datelor în mod automat de către un software IoT prost configurat. Dacă adăugăm exemplul recentei „capturi” a vamei olandeze în portul Rotterdam, când au fost descoperite 20.000 de frigidere Wi-Fi cu malware deja integrat, ne dăm seama cât de interesant este IoT pentru criminali, mai ales că această operaţiune de poliţie și vamă aruncă deja în categoria „anecdote din trecutul istoric” investigaţiile FBI amintite la București acum 2 ani de către directorul adjunct al CIA, asupra unui frigider care emitea 6.000 de SPAM-uri pe minut. Viaţa privată este și ea supusă masiv riscului. Potrivit Forbes, un atacator a reușit să exploateze vulnerabilităţile unui sistem de monitorizare a bebelușului de către părinţi, să acceseze live webcam-urile și să observe după voie activitatea unui copil de 2 ani. În sănătatea electronică, este foarte bine cunoscut cazul fostului vicepreședinte SUA, Dick Cheney, care a cerut deconectarea defibrilatorului din pacemaker-ul său, o operaţiune „tailor-made” pentru el, care se pare că a costat proprietarul o sumă consistentă de bani. În domeniul marilor companii și instituţii ale statelor, IoT duplică riscul unui atac convenţional de tip „Disruption & Denial of Service”. Imaginaţi-vă


milioane de obiecte, hack-uite care se conectează simultan la un website. Atacurile faimoase cum ar fi cel împotriva Estoniei din 2007 vor părea o mică undiţă în faţa tsunami-ului potenţial al noilor tipuri de atacuri. În domeniul transporturilor, și mai ales în aeronautică, IoT devine în schimb poate cea mai mare ameninţare pentru securitate. Experţii avertizează demult că acumulările de sisteme „on board” sporesc mult riscul terorist sau riscul, simplu de disfuncţiune prin conflict de aplicaţii (fie telefoane mobile și Wi-Fi, fie entertainment systems pentru pasageri, geolocalizatori și mai ales dispozitive pentru piloţi și echipaj). În ceea ce privește atacurile, încă nu s-a ajuns la primul „cybercrash” sau „cyberdeturnare” revendicat de către o grupare teroristă, însă dispariţia avionului companiei Malaysian Airlines nu poate să nu ridice decât o lungă serie de întrebări, mai ales într-o epocă unde fiecare om poate să urmărescă pe radarul de zbor poziţia/altitudinea/ viteza/ruta exactă și în timp real pentru oricare avion civil aflat în zbor (avioanele fiind dotate cu transponderi noi). Un exemplu bun ne este dat de către varianta militară (cea fără pilot) a aparatelor de zbor, unde sistemele USA au fost puse într-o poziţie foarte dificilă atunci când au fost descoperite vulnerabilităţi Wi-Fi vitale ale dronelor de ultimă generaţie, cu consecinţe foarte grave. Armata Iraniana, în 2014, și cea a Federaţiei Ruse, tot în același an, au reușit să inducă aterizarea forţată a cel puţin 3 aparate, în Vestul Iranului, în Ucraina de Est și în Crimeea. În ceea ce privește disfuncţiunile, cel mai important caz a avut loc chiar acum recent, în 29 aprilie 2015, când American Airlines a anulat aproape toate cursele către destinaţii de medie și mare distanţă, datorită unei disfuncţiuni majore a unei aplicaţii iPad (sic!) de bord. În acest caz, nu trebuie decât să rămânem consternaţi să observăm faptul că faimoasa geantă neagră „Pilot›s trolley” cu cele cca. 10 manuale guideline atotcuprinzătoare destinate cazurilor de urgenţă sau situaţiilor neobișnuite, au fost înlocuite cu o tabletă „civilă” (Apple iPad pentru American Airlines și alte companii și echivalentul Microsoft pentru Delta Airlines și alte companii) cu motivul cvasi-copilăresc de a reduce volumul de bagaj de cărat de către pilot și de a „facilita” rapiditatea accesului la aceleași informaţii atunci când situaţia se impune! Aici este vorba de IoT în sens larg, iPad-ul neavând (oficial) nici o legătură cu sistemul de bord. Dar dacă totuși vorbim de IoT în sensul larg, nu pot decât să fiu îngrijorat de sistemele cu touchless screen (verificarea închiderii

ușii, temperatura, lumina destinată utilizării de către șeful de echipaj) care sunt livrate în varianta de bază cu panelul de jos deschis (cf. photo). L-am observat în aproape toate companiile low-cost, pe când în companiile naţionale, acest panel nu există (i.e. este ascuns într-un dulap închis). În plus, în colţul aceluiași panel se află o tastatură numerică destinată pentru a deschide ușa cabinei de pilotaj... Ori ce credeţi că vedem jos, în dreapta? Un port USB...!!! Este cutremurător de mare inconștienţa! Mai ales că exemplul Stuxnet, indiferent de variantele oficiale sau neoficiale care se vehiculează despre ce stat/organizaţie l-a creat, a dovedit că un atac de tip SCADA bine gândit are ca ultim (și cel mai important element) insider-ul care pune o simplă cheie USB în inima sistemului...

Concluzii Pentru cetățeni sau firmele mici și medii „bunul simț” rezolvă 80% dintre problemele potențiale de securitate. A alege electrocasnice fără Wi-Fi, a alege o telecomandă pentru televizor, jaluzele, iluminat sau încălzirea casei, ușa mașinii sau a garajului, a nu cumpăra device-uri ieftine și a utiliza la minimul indispensabil smartphone-ul ca și comandă de la distanță, reprezintă o axiomă fundamentală pentru a-ți asigura liniștea în viața privată și în business-ul tău. Pentru ultimul domeniu, însă, trebuie să existe regulamente clare în fiecare firmă, care să interzică angajaților să folosească IoT și software-uri cu PCuri din rețeaua companiei. Pentru state și infrastructurile lor critice, revin la tot ceea ce am expus în introducere: odată depășită faza de vrăjeală politicoadministrativă (aflată încă în curs) asupra „îmbunătățirii / simplificării serviciilor” prin IoT, există o nevoie vitală de a defini cine va valida și autoriza/refuza IoT în funcție de securizarea lor. În absența totală a unei definiții clare a „IoT”, desigur vor trece decenii până când se vor inventa nomenclaturi clare și până când, în consecință, se vor putea legifera cu adevărat aceste aspecte. Dar, mai mult decât probabil, se va ajunge într-un viitor nu foarte îndepărtat la o atribuire de adrese (adresă MAC, tot felul de Serial Numbers sau Factory numbers) pentru fiecare device, începând de la cele mai răspândite și cele mai strategice, prin presiunea comună a „dușmanilor” actuali (SUA/ UK/ Rusia/ China/ India), care în ceea ce privește acest subiect au exact aceleași preocupări și aceleași voințe. Rămâne ca fără educație și conștientizare a populației, fără strong security policy (pe mai multe niveluri) în organizații, instituții și firme, și fără o dorință nativă de controla tehnologia pe care o cumpără un individ sau o firmă, IoT-uri nesigure vor continua să prolifereze și să devină cea mai ușoară calea de acces pentru cybercrime.

23


ends Cover Story - Cybersecurity Tr

Internetul lucrurilor – vis frumos sau coșmar? autor: Ioan-Cosmin MIHAI

Ioan-Cosmin MIHAI, Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei

Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things (IoT). Ce reprezintă această tehnologie, cât de mult ne-ar influența viețile în următorii ani, care sunt riscurile la care ne-am expune, sunt întrebări la care voi încerca să vă răspund.

Cu toţii cunoaștem Internetul așa cum este la momentul actual, un Internet al oamenilor – Internet of People (IoP), cu toate datele, imaginile, înregistrările video, jocurile, cărţile și produsele on-line, pe care le putem accesa oricând și de aproape oriunde. Internetul, una din cele mai importante tehnologii ce a reușit să ne influenţeze stilul de viaţă, a fost creat de oameni pentru oameni. Dinamica schimbărilor duce însă Internetul la un nou nivel, noul Internet nerezumându-se doar în a conecta oamenii, ci și lucrurile. Acest Internet al lucrurilor – Internet of Things (IoT) este capabil să conecteze toate dispozitivele inteligente cu scopul de a fi monitorizate și controlate de la distanţă. Vom ajunge, nu peste mult timp, să avem un Internet al tuturor lucrurilor – Internet of Everything (IoE) – care să conecteze oameni, dispozitive și locuri într-un tot unitar, pentru a ne asista viaţa de zi cu zi. Acest lucru este posibil prin implementarea de senzori și abilităţi de comunicare tuturor dispozitivelor ce ne înconjoară. Fig. 1: Ierarhia informaţiei în Internetul lucrurilor (IoT)

BIO Cu un doctorat și un postdoctorat în domeniul securității cibernetice, Ioan-Cosmin MIHAI este lector universitar în cadrul Academiei de Poliție „Alexandru Ioan Cuza” și profesor asociat în cadrul Universității Politehnica din București. Este redactor șef al revistei științifice IJISC – International Journal of Information SecurityandCybercrime, revistă indexată în baze de date internaționale. În calitate de vicepreședinte al ARASEC – Asociația Română pentru Asigurarea Securității Informației, a coordonat proiecte de cercetare în domeniul securității și criminalității informatice: www.securitatea-informatiilor.ro, www.securitatea-cibernetica.ro, www. criminalitatea-informatica.ro. Este autor/coautor al unui număr de 15 cărți și a scris peste 50 de articole științifice.

24

Prin senzorii implementaţi, dispozitivele vor culege date din mediul înconjurător, se vor conecta între ele, vor schimba datele obţinute, iar informaţiile astfel coroborate vor ajunge la utilizator, acesta putând lua decizii și controla activitatea dispozitivelor.

Dar să vorbim mai întâi de avantajele aduse de această tehnologie Din punct de vedere al utilizatorului, gândiţi-vă cum ar fi ca dimineaţa, în momentul în care vă sună alarma, lumina să se aprindă automat treptat, televizorul să pornească pe canalul preferat, espresorul să vă pregătească


cafeaua, toasterul să vă prăjească pâinea, mașina să fie pregătită în momentul în care doriţi să plecaţi și pe drum să vă indice calea optimă pentru a ajunge la serviciu cât mai repede și să informeze în legătură cu principalele știri din domeniul preferat. Odată ajuns în parcare, aerul condiţionat și calculatorul din birou să pornească automat. Toate aceste lucruri sunt aproape posibile, făcându-ne viaţa mai ușoară și mai interactivă. Locuințele inteligente, dotate cu astfel de dispozitive, pot ajuta foarte mult la economisirea energiei prin reducerea consumurilor inutile, asigurând încălzirea și iluminarea optimă în funcţie de activităţile locatarilor și de condiţiile meteo-climatice. Senzorii amplasaţi aceste locuinţe pot avertiza în timp real despre diverse avarii sau incidente precum inundaţie, incendiu sau intrarea unui străin prin efracţie. Mașinile inteligente vor fi conectate la sistemele de monitorizare al traficului și vor ști să evite ambuteiajele și să găsească cele mai apropiate locuri de parcare disponibile. În cazul apariţiei unor defecţiuni tehnice, acestea vor fi detectate de senzori și vor fi raportate în timp real proprietarului. Orașele inteligente vor pune la dispoziţia cetăţenilor servicii ce pot contribui major la protejarea mediului înconjurător. Resursele importante (apa, gazele, energia electrică sau termică) vor putea fi monitorizate și controlate prin automatizare și vor fi distribuite mai eficient, în conformitate cu necesităţile reale, iar companiile de distribuţie pot fi alertate imediat dacă apar probleme de infrastructură.

Fig. 2: Multitudinea de senzori dintr-un oraș inteligent Sistemul medical va putea beneficia de asemenea de avantajele tehnologiei IoT. Monitorizarea continuă a semnelor vitale ale organismului pacienţilor poate contribui la siguranţa acestora și la informarea la timp a doctorilor atunci când apar probleme de sănătate. Senzorii pot ajuta la administrarea medicamentelor prescrise, aducând un aport enorm în spitale, cămine sau aziluri de bătrâni, acolo unde monitorizarea atentă a persoanelor îngrijite este cel puţin la fel de importantă ca și intervenţiile efectuate la timp.

Fig. 3: Securitatea dispozitivelor inteligente Multe companii au analizat sistemele inteligente disponibile în acest moment pe piaţă și au ajuns la concluzia îngrijorătoare că securitatea acestora este complet nesatisfăcătoare. Mai mult, câteva dintre aceste sisteme sunt promovate drept soluţii inteligente de securitate, ceea ce face ca situaţia să fie cu atât mai ironică și mai gravă. Pe lângă vulnerabilităţile detectate, aceste dispozitive nu deţin rutine software pentru actualizare automată și folosesc canale de comunicaţie necriptate sau prost criptate. Probleme de confidențialitate a datelor stocate. Cele mai multe dintre aceste sisteme sunt vulnerabile la atacurile informatice, neavând aplicaţii de protecţie necesare sau politici de securitate care să impună parole cu o complexitate satisfăcătoare și nu protejează cum trebuie datele stocate. Concepute prost, aceste sisteme pot permite unor eventuali intruși să arunce o privire la datele înregistrate fără ca aceștia să poată fi depistaţi. Risipă de energie. Într-un studiu publicat de Agenţia Internaţională a Energiei se arată că cele aproximativ 14 miliarde de dispozitive conectate la Internet, existente în prezent la nivel mondial, risipesc o cantitate enormă de energie electrică din cauza unor tehnologii ineficiente, iar această problemă se va agrava până în 2020, când electricitatea risipită de aceste dispozitive va crește cu 50%. Risipa de energie se datorează faptului că dispozitivele utilizează mai multe electricitate decât ar trebui pentru a menţine conexiunea și a comunica cu reţeaua.

Și acum, să aducem vorba și despre dezavantajele și riscurile prezente Probleme de conectivitate. Tehnologia IoT presupune dispozitive interconectate și dependente unele de altele. În momentul în care un dispozitiv este compromis, cedează sau livrează date eronate, efectul se va propaga tuturor sistemelor care depind de el direct sau indirect. Efectul poate fi relativ minor (atunci când aplicaţia de planificare nu mai transmite ceasului o alarmă privind o întâlnire) sau major (când un senzor ce monitorizează funcţiile vitale ale unui pacient nu informează doctorul privind un incident medical). Probleme de securitate. Dornici de a lansa cât mai repede un produs nou pe piaţă, proiectanţii echipamentelor IoT neglijează de cele mai multe ori aspectele de securitate. Din acest motiv tot mai multe dispozitive inteligente (telefoane, televizoare, camere de supraveghere sau frigidere) sunt implicate în atacuri cibernetice de amploare.

Concluzii În concluzie, putem spune că orice evoluție a tehnologiei este benefică, dar trebuie să conștientizăm și riscurile aferente. Atât timp cât securitatea Internetului lucrurilor(IoT) este prezentă mai mult la nivel declarativ, riscul de compromitere al tuturor sistemelor inteligente interconectateși expunerii datelor înregistrate este destul de mare. Vor fi însă și momente în care viața noastră ar putea depinde de un dispozitiv inteligent ce ne monitorizează funcțiile vitale și poate da alarma într-un moment de criză, făcând posibilă o intervenție de urgență.

25


ds Interview - Cybersecurity Tren

CTF365 - platformă de training în securitatea informatică autor: Laurent Chrzanovski

Marius Corîci, CEO, CTF365

Marius Corîci „Dacă vrei să nu muncești toată viața, fă ceea ce iubești cel mai mult” – Confucius . Aceste cuvinte îl descriu cel mai bine pe Marius Corici. În 2003 a început o afacere în offline înființând compania ITS Group ca și franciză pentru Romstal, cel mai mare retailer pentru instalații termo-hidro-sanitare din Sud-Est-ul Europei, iar în 2007 a trecut la inteligență artificială și a înființat Intelligentics, un grup de de specialiști pentru procesarea limbajului natural (NLP – Natural Language Processing). Pasionat de securitatea informatică, în 2011 a început proiectul „HackaServer” care reprezintă o platformă de tip crowd-source pentru testele de securitate informatică (pentesting) iar în 2012 a pus bazele proiectului CTF365 (Capture The Flag), o platformă de training în securitate informatică pentru industria IT cu focus pe profesioniștii în securitate informatică, administratorii de sistem și web developeri. Cele mai importante proiecte legate de securitate la care lucrează, sau este implicat, sunt: Hack a Server, CTF365 și Hackademy.

26

Rep.: Domnule Corîci, sunteți antreprenor. De câțiva ani v-ați lansat cu succes în domeniul „etical hacking”, ajungând să puneți la punct una dintre cele mai performante platforme din piața globală. De unde vă vine această pasiune pentru securitate IT? Marius Corîci: Prima „întâlnire” cu securitatea IT am avut-o la începuturile internetului în România. A doua jumătate a anilor ‘90. Atunci am testat aplicaţia Nmap și m-a cucerit. Am cochetat o vreme cu securitatea informatică după care am lăsat-o deoparte. Fast forward, prietenul și asociatul meu Marius Chiș a vrut să facem un proiect de online (startup) și așa a apărut Hackaserver în 2011. O platformă de crowdsourcing pentru pentesting la aplicaţiile web. Prima din lume la acea dată. Așa mi-a revenit apetitul pentru securitatea informatică. După care am continuat cu proiectul CTF365. Rep.: Spuneți-ne mai multe despre CTF365. Marius Corîci: CTF365 reprezintă o platformă de training în securitate informatică pentru industria de IT. Platforma implementează concepte CTF (Capture The Flag) și folosește mecanisme de gamificare pentru a îmbunătăţi rata de retenţie și a accelera curba de învăţare. Datorită flexibilităţii, platforma poate fi conectată la structurile de training existente ca și un add on layer, sau poate fi folosită separat ca și soluţie independentă. Ca și utilizatori, platforma se adresează în special profesioniștilor în securitate informatică, administratorilor de sistem și web developerilor. Ca și clienţi, vizăm companii de training în securitate, producători de software/ hardware pe securitate (Rapid7, McAfee, Juniper, Cisco), organizaţii specializate pe securitate informatică (OWASP, SANS, ISECOM, ENISA, etc), companii de management al securităţii, echipe Red/Blue CERT CSIRT inclusiv agenţii guvernamentale. CTF365 nu este un „alt laborator de securitate informatică” așa cum majoritatea clienţilor enumeraţi mai sus au în dotarea lor. Spre deosebire de laboratoarele tradiţionale unde găsești servere „vulnerable by design”, CTF365 este un mediu viu, extrem de dinamic, cu useri reali și servere reale. Dacă omenirea are Google, Amazon, Yahoo, Twitter, CTF365 are Googu, Amazoom, Yoohoo și Crow. Practic construim un internet în Internetul real unde poţi face tot ceea ce este interzis.


Rep.: Cum v-a venit ideea să faceți și o interfață ludică și o serie de abonamente pentru studenți, inclusiv unele gratis? Este un exemplul rar de „social responsibility” pentru România. Marius Corîci: Interfaţa ludică este o componentă vitală atunci când implementezi concepte de gamificare. Până la CTF365, existau 3 canale prin care puteai să înveţi/îmbunătăţești securitatea informatică: Cursuri de facultate – care te învaţă bazele securităţii; companii de training pe securitate – tehnici avansate; și studiul individual (Google, Forumuri, bloguri etc). CTF365 a adăugat dimensiunea de gamificare și a transformat studiul securităţii informatice într-un proces continuu, distractiv, provocator. Toate aceastea în jurul comunităţii pasionaţilor de securitate informatică. Într-adevăr am lansat un program numit „Student Security Training Program” care se adresează strict studenţilor. Practic orice student care dorește să folosească platforma CTF365 are un discount de 67% faţă de preţul de bază. Exemplu: un student plătește doar 15$/lună comparativ cu 46$. Obiectivul noastru vis-a-vis de facultăţi este acela de a încheia parteneriate și de a reduce și mai mult acest preţ pentru studenţi. Undeva în jurul a 7-10$/student/lună acolo unde universităţile/facultăţile ar încheia un parteneriat cu noi. Cât despre „social responsibility”, nu știu alţii, dar noi considerăm că este de datoria noastră atât ca oameni cât și ca firmă să dăm ceva înapoi societăţii. Numai așa reușim să evoluăm. Atât ca societate cât și ca oameni. Spre exemplu așa cum aţi menţionat, avem și conturi gratuite unde orice user are acces gratuit la servere „vulnerable by design” pe care pot exersa tehnici de securitate ofensivă. Totul gratuit iar planurile noastre de „social responsibility” nu se opresc aici. Avem proiectul

Hackademy care va fi o academie gratuită de etical hacking ce va folosi platforma CTF365 ca și laborator de training hands on. Calitatea video tutorialelor va fi una exemplară și speram să o putem integra cu programa marilor facultăţi internaţionale. Ca și mostră a video-tutorialelor puteţi urmări câteva pe canalul Hackademy de pe YouTube. Rep.: Sunteți bazat la Cluj, și totuși tot ceea ce am citit despre platforma dvs., într-adevăr impresionant ca termeni laudativi, este integral pe site-uri și reviste online din Franța, SUA, UK. De ce această nepăsare în media românească? Marius Corîci: Nu am un răspuns la „nepăsarea din media românească”. Aș putea doar să speculez și nu-mi stă în fire. În schimb, vă pot spune de ce și cum au ajuns să scrie site-uri si reviste online din SUA, UK, Franţa Italia. Au aflat de produs, l-au testat, le-a placut foarte mult conceptul, au văzut potenţialul foarte mare al platformei și au vrut să afle mai multe despre CTF365. Occidentul și ţările dezovltate au o cultură a securităţii cibernetice și cunosc foarte bine valoarea ei. România, nu. Asta ca să nu intru în speculaţii. Rep.: Multe firme din România, Italia, Franța, mai ales start-up-uri de succes, se mută din ce în ce mai des inclusiv în țări foarte scumpe ca și Elveția, pentru că nu mai pot suporta nivelul de taxare la care sunt supuse. De ce ați ales să rămâneți totuși la Cluj? Veți rămâne în continuare? Marius Corîci: Sunt câteva aspecte de luat în calcul atunci când îţi faci planul de afaceri: mediul de afaceri (ţara) și piaţa căreia i te adresezi. În cazul nostru, piaţa noastră este globală, cu focus pe America de Nord și EU. Ca mediu de afaceri, dupa 26 de ani, România este corigentă (încă) la taxe, legislaţie și corupţie. Nu, nu cred că o să rămânem în România cu operaţiunile. Dar este foarte probabil să menţinem în Cluj partea de dezvoltare a platformei. Cluj Napoca este perfect când ești focusat pe IT. Rep.: Din punct de vedere al obiectivelor, unde sunteți acum și ce planuri aveți în viitorul apropiat? Marius Corîci: Ca și companie, suntem un start-up autofinanţat și căutăm o finanţare de tip angel investor pentru early stage. Ca și execuţie, acum suntem în Beta Public cu un MVP (Minimum Viable Product) funcţional și clienţi din SUA, EU și Asia. Ca și planuri pentru viitorul apropiat, deja suntem în teste cu un nou produs „Security Training Labs on Demand”. Acest produs este B2B și urmărește externalizarea laboratoarelor de training atât ca infrastructură cât și ca mentenanţă, pentru cei care folosesc astfel de laboratoare. Ideea ne-a venit după ce Rapid7 ne-a

27


ds Interview - Cybersecurity Tren

cerut să le proiectăm viitoarea generaţie de laboratoare pentru training de Metasploit și Nexpose. Suntem încă în evaluare din partea lor (Rapid7) dar e clar că au văzut ceva interesant la noi dacă au cerut, iar noi am văzut o piaţă pe această componentă. Avantajul pentru companii și organizaţii este acela că ar plăti doar cât ar folosi fără să fie nevoiţi să le mai dezvolte dar să le și întreţină in-house. Faptul că avem o experienţă de ~4 ani strict pe dezvoltarea de astfel de laboratoare cibernetice ne-a creat un avantaj faţă de potenţialii competitori. Rep.: Cu o interfață prietenoasă, accesibilă, tutorials foarte bine gândite, nu ați reușit să cuceriți piața educațională din România. De fapt, aproape nimeni nu a reușit ceea ce s-a ratificat în strategia națională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare). În opinia dvs., de unde vine acest blocaj? Marius Corîci: Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii

28

care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet. Și vă detaliez: Mediul corupt: Fără a da nume, există trei mari companii din domeniul IT care sunt abonate să facă afaceri cu statul. Toţi le cunoaștem, știm cine sunt, s-a scris foarte mult despre afacerile lor oneroase cu statul și nimeni nu a luat nicio măsură până la această oră să îndrepte sau să schimbe această percepţie. Ignoranța: Am contactat trei universităţi, prin intermediul profesorilor de specialitate care predau reţelistică, iar răspunsul lor, deși năucitor pentru cineva din EU sau America de Nord, a fost atât de banal și normal pentru o ţară precum România: „Nu avem fonduri alocate” (deși nu s-a ajuns la discuţia de costuri). „Conducerea preferă să cheltuie pe hardware.” „Nu avem catedră de securitate informatică” sau „Nici nu se pune problema de cursuri de securitate.” Orgoliu: CTF365 are un program de sponsorizare a conferinţelor de securitate cibernetică. Până la această oră, CTF365 a sponsorizat patru conferinţe internaţionale printre care Nuit du Hack și HackMiami. Singura conferinţă de securitate cibernetică cu componentă hands-on din România nu ne-a cerut suportul. Nu că nu ar ști despre CTF365. Aţi menţionat„strategia naţională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare).”


În 2014 s-a dezbătut în CSAT ca guvernul să introducă pregătirea obligatorie privind securitatea cibernetică în școli. Platforma CTF365 este unică în lume la această ora și se mulează perfect pe cerinţele CSAT ca suport tehnic de pregătire și antrenament. Nimeni nu ne-a contactat. Nici presa și nici reprezentanţi ai guvernului. Concluzia? Puse cap la cap, consider că efortul nostru pentru piaţa din România nu se justifică atunci când trebuie să te lupţi cu corupţia și ignoranţa dar nu cu competenţa, calitatea și inovaţia. S-ar justifica într-o piaţă normală, ceea ce nu există încă. Așteptăm să apară. Rep.: Legea Big Brother este deja parte din trecut. Dar nu s-au rezolvat problemele esențiale. Cum vedeți o lege simplă, aplicabilă și care să respecte libertățile cetățenești? Marius Corîci: Legea Big Brother trebuie să facă parte din prezent. Este imperativ. Susţin cu tărie crearea legii Big Brother la fel de mult cum susţin, în egală măsură, și drepturile omului. S-a pornit greșit și s-a pierdut esenţa acestei legi. Pe de o parte iniţiatorii legii au ignorat total drepturile omului considerând că pot pune în lege orice le trece prin cap, pe de altă parte societatea civilă s-a simţit ameninţată (pe bună dreptate) și a blocat prin orice mijloace această lege. Din ce trebuia să fie un dialog „umăr la umăr” între guvern (sau legislativ) care apără suveranitatea ţării și cetăţenii și organizaţiile specializate în drepturile omului și libertăţii, s-a ajuns pe poziţii de forţă și contre iar dialogul a dispărut complet ca și proiectul de lege. Cum văd eu o lege Big Brother? Nu sunt specialist nici în securitate naţională, nici în drepturile omului. Dar pot să vă spun pe ce fundaţie trebuie construită o astfel de lege. Fundaţia legii trebuie să fie: dialogul, drepturile omului, bunul simţ și logica elementară. Unde este nevoie, pe compromisuri, dar fără să ne compromitem. Asta ar fi o regulă general valabilă pentru orice proiect de lege. Părţile implicate trebuie să cadă de comun acord de necesitatea unei astfel de legi. Dacă una dintre părţi nu este convinsă de această necesitate, atunci nu va exista dialog ci doar contre. Ar trebui luate în considerare top 10 dintre ţările care respectă cel mai mult drepturile omului, au o astfel de lege și fac parte din UE. Analizate legile lor și adaptate și/sau îmbunătăţite la noi. Am un deosebit respect pentru Bogdan Manolea și munca sa și sunt convins că pot fi găsite căi legale care să respecte drepturile omului dar în același timp să ne protejeze mai bine de ameninţările cibernetice. Mai ales în situaţia geopolitică actuală cu Rusia ameninţând dinspre Est. Rep.: Ce credeți că s-ar mai putea face în domeniul securității cibernetice? Marius Corîci: Aș face o lege a hacking-ului. Nu ne dăm seama, dar este extrem de importantă o astfel de lege și vă argumentez. Cunosc mulţi cercetători independenţi în domeniul securităţii cibernetice care mi-au prezentat cazuri de vulnerabilităţi critice în diferite domenii. Vulnerabilităţi critice în sistemele bancare, sănătate și altele, din România. În contextul actual, acești cercetători nu au nici o bază legală prin care să anunţe proprietarii sistemelor respective de aceste vulnerabilităţi critice. Dacă ar face-o în prezent, cel mai probabil, ar putea fi acuzaţi de acces neautorizat și închiși ani buni. Este un cerc vicios: ei știu de o vulnerabilitate critică pe care nu o pot raporta de teamă să nu fie închiși,

Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet.

în timp ce alţi hackeri cu intenţii rele ar putea să o descopere și ei și să profite, fie vânzând pe piaţa neagră fie prin exploatarea acelei vulnerabilităţi iar banca sau instituţia respectivă ar avea cel mai mult de suferit. O lege a hacking-ului i-ar proteja atât pe cercetătorii din domeniul securităţii cibernetice dar și pe instituţiile respective – proprietarii sistemelor vulnerabile. Cum ar funcţiona o astfel de lege în cel mai simplist mod posibil? Dacă un hacker etic ar găsi o vulnerabilitate într-un sistem informatic, ar raporta acea vulnerabilitate (cu PoC inclus – Proof of Concept) către CERT Romania, invocând legea hacking-ului. CERT România ar inspecta și verifica acea vulnerabilitate iar în cazul unui rezultat pozitiv, CERT ar anunţa reprezentanţii instituţiei/companiei respective de respectiva vulnerabilitate. Instituţia ar fixa vulnerabilitatea, în timp ce CERT România ar recunoaște meritele cercetătorului într-un Hall of Fame. Acest Hall of Fame ar putea fi folosit de către cercetător ca și achievement în CV-ul său când ar dori să se angajeze. Am explicat cât mai simplist, dar urmările pozitive ar fi mult mai mari. Fixarea mai rapidă a unor vulnerabilităţi, premierea chiar și cu bani a hackerilor etici pentru vulnerabilităţile găsite, creșterea numărului de hackeri etici care ar „supraveghea” securitatea cibernetică.

29


Focus - Cybersecurity Trends

Cum să hack-uiești conturile prietenilor și ale celor din familie! Lacunele ingineriei sociale. autor: Vassilios Manoussos

strada pe care au locuit. Răspunsurile simple la aceste întrebări devin un instrument în mâna experţilor în inginerie socială. Vassilios Manoussos, MSc., PGC, BSc, AAS Digital Forensics & E-Crime Consultant Vice Chairman, Digital Forensics Society

Introducere Serviciile web cum sunt webmail și site-urile de social media (ca Facebook) funcţionează cu autentificare într-un singur pas. Tastezi numele de utilizator sau adresa de e-mail și parola și intri în cont. Tuturor ni s-a întâmplat ca la un moment dat să uităm parola și să încercăm să o resetăm. Resetarea se face fie după ce răspundem la niște întrebări de securitate, fie prin trimiterea unui link pentru resetare, sau a unui cod la o altă adresă de e-mail sau pe telefonul mobil. Parolele și întrebările de securitate sunt menite să îi ţină pe străini departe de contul vostru. Cu toate că în prezent avem tot mai multe opţiuni pentru formularea unor întrebări de securitate, majoritatea le aleg pe cele mai simple, cum ar fi: numele de fată al mamei, numele primului animal de companie, numele primei școli,

30

Inginerie socială Ingineria socială este un set de abilităţi și de procese prin care cineva vă convinge să îi furnizaţi din proprie iniţiativă credenţialele de logare sau alte informaţii importante. Majoritatea atacurilor de hacking se realizează prin procese de genul phishing prin care lumea este păcălită să își divulge parolele. Hacking-ul tehnic este mai complicat și necesită mai mult timp și nu întotdeauna merită timpul pierdut pentru a fura parola cuiva. Cred că Houdini a afirmat că lacătele sunt proiectate să oprească oamenii să intre și nu să iasă. După același principiu parolele și întrebările de securitate sunt gândite să îi ţină pe străini departe de datele voastre, dar sunt ele eficiente și în cazul prietenilor sau a familiei?

Hack-uirea unui prieten sau a unui văr Să presupunem că vrei să hack-uiești contul unui prieten sau al cuiva din familie. Acest lucru poate fi mult mai simplu decât v-aţi putea imagina. Și aceasta pentru că s-ar putea să știi deja răspunsurile la unele dintre întrebările de securitate. Primul pas din procedură este să decizi care cont să-l hack-uiești mai întâi și de ce. Să presupunem că persoana care te interesează are următoarele conturi: Hotmail Facebook


Paypal Skype Pe care l-aţi alege să îl hack-uiţi primul?

Pasul 1: Contul de email Există o opţiune evidentă care prezintă avantaje competitive faţă de celelalte trei, contul de Hotmail. Bineînţeles că acesta ar putea fi un cont de e-mail de Yahoo sau Gmail sau oricare alt cont de e-mail. Motivul pentru care am ales mai întâi contul de e-mail nu este pentru că ar fi mai ușor, ci pentru că este destul de probabil ca acesta să fi fost folosit pentru setarea tuturor celorlalte 3 conturi, și din momentul în care obţinem controlul asupra acestuia vom putea reseta parolele și pentru toate celelalte.

Tot ceea ce avem de făcut este să spunem că am uitat parola, să tastăm adresa de e-mail pe care dorim să o hack-uim și să ajungem la acest meniu. În mod evident nu avem acces la un cont secundar de e-mail sau la mobil, așa că vom selecta ultima opţiune. Următorul pas este să tastăm o adresă de e-mail la care să fim contactaţi pentru a ni se pune niște întrebări. În funcţie de setările contului ţintă, se poate întâmpla să răspundeţi la câteva întrebări și să primiţi acces instant, sau este posibil să trebuiască să mai răspundeţi și la alte întrebări suplimentare. Dacă aţi avut deja schimburi de e-mailuri cu victima veţi putea răspunde cu ușurinţă la întrebări de genul „adrese de e-mail către care s-au trimis mesaje” sau „subiectul mesajelor trimise”. Celelalte întrebări sunt legate de nume, cod poștal, oraș, numele de fată al mamei, data nașterii etc. Dacă totul merge bine și răspundeţi corect la un anumit procent din aceste întrebări, veţi primi un e-mail de resetare a contului pe care l-aţi vizat. Este suficient să daţi click pe link-ul din acel e-mail și să schimbaţi parola și întrebările de securitate.

BIO Vassilios Manoussos, MSc.,PGC,BSc,AAS Digital Forensics & E-Crime Consultant Vice Chairman, Digital Forensics Society Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene. Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția). CERTIFICĂRI: Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London). Mr Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.

Pasul 2: Contul de Facebook După ce aţi primit acces la adresa de e-mail care a fost utilizată pentru setarea contului de Facebook, accesaţi contul de Facebook, daţi click pe link-ul „Aţi uitat parola?” și introduceţi adresa de e-mail. Veţi obţine un ecran ca cel din imagine: Tot ceea ce aveţi de făcut este să daţi click pe prima opţiune și să primiţi link-ul de reset. După care nu vă rămâne decât să schimbaţi parola și întrebările de securitate ale Facebook. Nu uitaţi să schimbaţi e-mailul

31


Focus - Cybersecurity Trends și numerele de mobil. Aceasta ar putea să dureze ceva și ar putea permite proprietarului să încerce (și poate chiar să reușească) să primească acces la contul lui. În trecut, dacă Facebook observa încercări repetate de reset, cerea să identificaţi oameni tag-uiţi din pozele stocate în profil. Dacă îi cunoașteţi pe acei oameni veţi reuși să alegeţi numele corecte (este un test cu opţiuni multiple!).

schimbaţi parolele la toate site-urile web asociate cu acea adresă de e-mail. Începeţi cu cele mai importante, cum ar fi Paypal. Apoi faceţi același lucru și la conturile de social media și la site-urile pe care v-aţi abonat la reviste online etc. Prioritizați și faceţi-vă un plan despre modul în care să reacţionaţi dacă v-a fost spart un cont. Apelați la un expert. Dacă în pericol se află informaţii mai sensibile decât doar pozele din vacanţă, apelaţi la un expert cât mai curând posibil. Cu cât pierdeţi mai mult timp cu atât scad șansele de a mai recupera ceva.

Pasul 3: Celelalte conturi Din momentul în care aveţi acces și la Facebook, folosind aceeași procedură, puteţi încerca să resetaţi și conturile de Skype și Paypal. Din contul de e-mail, parcurgând mesajele, puteţi vedea și pe ce alte site-uri web mai are conturi ţinta aleasă. Și puteţi aplica aceeași procedură și pentru acestea. Partea cea mai sensibilă este dată de faptul că din acest moment aţi putea avea acces pentru a reseta conturile de la administraţia financiară, alte instituţii guvernamentale, iar în unele ţări chiar conturile bancare și de credit. În UK doar prin accesarea e-mail-ului nu aveţi acces și la conturile bancare. Ce putem învăța? Scopul acestui articol nu este să vă transforme în hacker și nici de a facilita infracţiunile. Din contră. Ne-am propus doar să vă arătăm cât de ușor puteţi pierde controlul asupra conturilor digitale pe care le aveţi. Și dacă v-ar putea fi frică de un hacker rus sau chinez, ar trebui să fiţi la fel de precaut și faţă de fosta prietenă, faţă de un văr sau faţă de un partener gelos. Există multe concepţii greșite despre hacking și securitate și acest articol își propune doar să evidenţieze faptul că dușmanul ar putea fi mai aproape decât vă imaginaţi, și că măsurile de securitate pe care le-aţi luat s-ar putea să nu fie așa de sigure pe cât v-aţi imagina. Ce trebuie să faceți dacă vi se întâmplă așa ceva? Dacă consideraţi că adresa de e-mail v-a fost hack-uită, primul lucru pe care trebuie să-l faceţi este să încercaţi să

Ce puteți face pentru a preveni așa ceva? Nici o soluţie de securitate nu este perfectă. Și dacă sunteţi inteligent, întotdeauna se va găsi cineva și mai inteligent. Totuși puteţi minimiza riscurile de a pierde totul prin simpla pierdere a accesului la adresa de e-mail: Nu utilizaţi aceeași adresă de e-mail pentru toate conturile de social media Nu folosiţi aceeași adresă de e-mail și la conturi de social media și la conturi gen Paypal și Ebay. Setaţi seturi diferite de întrebări de securitate. Dacă doriţi puteţi seta răspunsuri greșite, dar notaţi-le și păstraţi-le într-un loc sigur acasă. Setaţi alerte de securitate cu notificare prin SMS acolo unde este posibil și înregistraţi-vă telefonul mobil ca opţiune de resetare a parolei. Nu utilizaţi întrebări de securitate cum ar fi numele animalelor de companie sau numele de fată. Dacă aveţi posibilitatea stabiliţi propriile întrebări de securitate. Nu uitaţi: dacă cineva vă sparge contul de e-mail va avea acces la întrebările de securitate și la răspunsuri și le va putea folosi pentru a vă accesa și alte conturi chiar dacă sunt setate cu alte adrese de e-mail.. Și nu în cele din urmă, un aspect pe care îl subliniez de fiecare dată: folosiţi-vă bunul simţ!

1 2 3 4 5 6 7

Și ... Atenționare! Acest articol este un proof-of-concept. Nu vă sugerăm să spargeți conturile altor persoane, pentru că poate fi ilegal. Cât de ilegal, depinde de pașaportul pe care îl aveţi și de jurisdicţia în care vă aflaţi. Cu siguranţă este ilegal în UK dar și în România! Pe bune, NU HACK-UIȚI CONTURILE DE E-MAIL ALE ALTOR PERSOANE. Toate informațiile din acest articol sunt în zona public domain.

www.agora.ro CAŢIILOR PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR

32


ISIS - implicarea în cyberterorism autor: Gabriel Ţuţu

Arestarea, în 25 martie 2015, a membrilor celulei italiene ISIS angajați în procese de recrutare de luptători din state europene, precum și arestările recente realizate de poliția din Republica Moldova aduc în centrul atenției publice problema Islamului și amenințările la adresa țării noastre.

România, în calitatea asumată de frontieră estică a Uniunii Europene, se regăsește în ingrata postură de a face faţă unui val tot mai mare de transfugi proveniţi din diverse zone de conflict, sau din ţări cu un grad ridicat de sărăcie, ceea ce poate permite inclusiv migrarea pe teritoriul ţării noastre a unor recrutori de martiri sau potenţiali teroriști. De asemenea, Internetul pare a fi un punct forte pentru extremiștii foarte pricepuţi în utilizarea acestui instrument și care au găsit un teren fertil printre emigranţii care trăiesc în Occident, chiar de mai multe generaţii și care, în realitate, nu s-au integrat în societate niciodată. Conștienţi fiind de faptul că Jihad-ul celui de-al treilea mileniu nu se desfășoară numai prin lupte la sol, sau cu atentate la integritatea fizică, ci tot mai mult prin intermediul reţelelor virtuale, putem considera că acţiunile întreprinse de către „statul islamic” pot constitui un adevărat „Cyber Jihad”.

Gabriel }u]u Administrator al firmei AL FAYOUM BUISNESS SRL specializată în activități de Business Intelligence și Consultanță de securitate - NATO Cod NCAGE - 1GGFL. Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contraspionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia ANESPP, licență nr. 0269/14 - analiză de informații și antiterorism cibernetic.

Prezenţa ISIS în rețelele sociale Cât este de importantă comunicarea web pentru ISIS? Pentru luptătorii ISIS Internetul a devenit un vector fundamental pentru a transmite teroarea în lume, comunicarea digitală având drept scop creșterea gradului de conștientizare a cauzei, promovarea propagandei și mediatizarea succeselor jihadiste. De asemenea, prin intermediul reţelelor de socializare sunt furnizate informaţii cu privire la modul prin care te poti alătura grupurilor și cum poţi să ajungi în statul islamic. Dar atenţie, nu este vorba numai de capacitatea de a utiliza mass-media, ci și de utilizarea unei strategii bine structurată, compusă din diverse produse multimedia (video, fotografii, mesaje, promovare pe Twitter, pe Facebook, etc.) target-ate către diferiţi destinatari și folosind tehnici de propagare diferite. Se acordă atenţie producţiei de film cu acurateţea produselor televizive consacrate, folosind tehnici de capturare a unui anumit tip de public, încercând să înţeleagă efectiv ce interesează segmentul social ţintă și apoi să creeze produsul potrivit. Să ne întrebăm pentru o clipă de ce se proclamă și se impune numele statului islamic, de ce ne anunţă că emit monedă și încasează taxe? Totul face parte din strategia lor de comunicare. Ne impun o marcă comercială, și anume cea a Statului islamic, care intră în viaţa noastră de zi cu zi, prin Internet și televiziune, acestea fiind recunoscute ca adevărate instrumente de amplificare globală.

Cine sunt cei care aspiră să devină jihadist ISIS? În cele mai multe cazuri, aspiranţii jihadiști sunt tinerii care decid să părăsească Occidentul și să se alăture armatei ISIS, în cele mai multe cazuri

33


Focus - Cybersecurity Trends Ce fel de sisteme multimedia adoptă?

fiind copiii imigranţilor musulmani care au emigrat în Occident de ani de zile și care locuiesc permanent în diferite ţări europene. De asemenea, regăsim tineri occidentali nemusulmani sau atei care nu au nici un fel de contact cu religia islamică, și, contextual, cu ocazia recrutării lor sunt convertiţi la credinţa musulmană. Pentru aceștia din urmă, desigur, recruiter-ii au nevoie de o abordare persuasivă mult mai complexă și articulată. Tinerii care se alătură jihad-ului nu fac parte din categoria celor care cresc în ignoranţă și sărăcie, ci sunt educaţi și cu condiţie economică bună. Totodată, aceștia deţin o bună expertiză în utilizarea Internetului, au capacitatea de a realiza alegeri ideologice personale, uneori conduși de status-uri psihologice dificile și de conflicte familiale. Drept exemplu, media internaţională prezintă un posibil hacker ISIS ce a fost identificat ca fiind Junaid Hussain, considerat a fi un jucător cheie sau lider al „Cyber Califatului” și în conexiune directă cu atacurile ISIS. Hussain a fost arestat în Marea Britanie, în 2012, pentru spargerea contului de email al fostului premier Tony Blair. Potrivit relatărilor, Hussain a părăsit Marea Britanie plecând în Siria și unde s-a alăturat ISIS. Conform informaţiilor publice, Junaid Hussain a fost parte a „teamp0ison”, grupare de hacking activă în 2012. Ulterior acesta a mai fost cunoscut cu apelativele online: Abu Hussain al-Britani, TriCk, iar cel mai recent cont al său de Twitter, suspendat între timp, - UmmHussain103.

Care sunt locurile și metodele de recrutare? Putem afirma că Internetul, și, în special reţelele sociale, reprezintă nucleul central de recrutare pentru aspiranţii jihadiști, pregătiţi să treacă de la tastatura computerului la teatrele de război sirian și irakian sau să comită atentate în Occident. Sunt utilizate metode de abordare virtuală pe Twitter, Facebook sau bloguri, unde se încearcă să se înţeleagă interesul aspirantului prin răspândirea de mesaje culturale „înșelătoare”, cu difuzare aleatorie, dar care pot identifica totuși mulţi destinatari în rândul tinerilor aflaţi „în așteptare de ceva” ce le poate oferi o nouă identitate sau un ideal în viaţă. Este metoda asa numită „pânza de paianjen”, în cadrul căreia mesajele lansate sunt atractive și populare pentru cineva psihologic vulnerabil și care va fi captivat de astfel de mesaje. În faza imediat următoare se procedează la contact direct, faţă în faţă, în cadrul căruia vom regăsi asa numiţii „recrutori” care operează și în locașele de cult musulmane precum și în suburbiile marilor orașe occidentale și care sunt pregătiţi să furnizeze recomandări cu privire la modul de a obţine vize și cum se poate ajunge la ISIS sau în tabere de instruire, iar în ultima vreme se observă că acești recrutori au ajuns să organizeze inclusiv călătoria, prin furnizarea de bilete de avion, e-mailuri și numere de telefon pentru a contacta grupurile de combatanţi.

34

Statul islamic deţine o echipă de cameramani combatanţi care urmărește luptătorii în zonele de conflict, și mai mult decât atât, fiecare luptător, cu propriul telefon mobil realizează înregistrări video ale acţiunilor și apoi le postează pe reţelele sociale, astfel încât, fiecare adept să ia cunoștinţă în timp real de ceea ce se întâmplă: o avalanșă de informaţii. Sistemele de comunicare utilizate sunt: site-uri web oficiale care difuzeaza viziunea Islamului prin mesaje video; o revistă - Dabiq, în format atât printat cât și digital, în care există referiri la câștiguri teritoriale, eroi care au murit în luptă, interpretarea tezelor sacre, pe scurt, un adevărat ghid al Califatului; „Agenţia Islamică Nouă”, organizată exact ca orice agenţie de știri multimedia, care transmitea (până la momentul blocării sale în Internet), prin video și comunicate de presă ale purtătorilor de cuvânt ai grupurilor afiliate la statul islamic. Agenţiile de presă sunt un nod strategic al acestui tip de război cibernetic realizat prin informare și dezinformare; Hayat Media Center (casa de productie audiovizuală) unde se produc adevărate videoclip-uri bine structurate, demne de un film cinematografic. Instrumentul preferat pentru diseminarea informaţiilor provenite de la ISIS este reprezentat de canalele audiovizuale, precum YouTube, ușor de înţeles, fără a fi necesar să cunoști limba vorbită și cu impact emoţional puternic. De asemenea, există reţele sociale precum Facebook și Twitter, care în ultimii ani au constituit cel mai rapid mod de difuzare al informatiilor, acţiunilor și evenimentelor referitoare la combatanţii aflaţi la mii de kilometri distanţă și toate acestea realizate într-un mod aproape anonim. Suntem martorii unui război în care Internetul și spaţiul virtual în general joacă cu siguranţă un rol-determinant în ceea ce privește recrutarea, organizarea și comunicarea. Anonimatul on-line permite instruirea și diseminarea idelor teologice și militare în condiţii de siguranţă și la mare distanţă. Utilizarea unor arhive „draft” în cadrul unor simple adrese de e-mail comune pentru membrii organizaţiei asigură schimbul de mesaje fără ca e-mailul să fie expediat. Combatanţii statului islamic, fie ei virtuali sau reali, deţin conturi protejate direct de mediul virtual, astfel încât nimeni să nu știe dacă aceștia există și cine sunt în realitate, iar în cazul în care autorităţile blochează aceste conturi, acestea sunt redeschise a doua zi cu o altă identitate de user; de exemplu prin trecerea de la „#Abdul2” la „#Abdul3”. Sarcina adeptului jihadist care utilizează Internetul este de a posta în conturile de social media (Facebook, Twitter), puse la dispoziţie gratuit, materiale video, fotografii, fișiere audio, etc. Ulterior, casele de producţie prelevează materialele din aceste „containere” video și le prelucrează în timp real,


iar apoi le postează din nou pe YouTube sau pe un alt canal video gratuit, care poate fi utilizat de către toţi suporterii din lume, și care, la rândul lor, vor posta din nou și așa mai departe într-un lanţ nesfârșit.

Ce știm despre alte grupări responsabile de atacuri cibernetice? Analizând prudent întotdeauna atribuirile și revendicările atacurilor realizate, știm că aceste grupuri pro-Jihad sub denumiri de „Fallaga” și „Cyber Califat” au fost responsabile pentru atacurile asupra conturilor de Twitter și YouTube ale Comandamentului Central american. Cu toate că atacul s-a rezumat la vandalism și terorism psihologic, nu ne putem permite să stăm impasibili. ISIS s-ar părea să aibă la dispoziţie cel puţin câteva unităţi cu experienţă în inginerie socială și hacking. Știri recente menţionează o așa autointitulată Divizie de Hacking a ISIS care a postat pe un site online numele, fotografiile și adrese a 100 de soldaţi americani care au luat parte la operaţiunile din Irak și Siria, îndemnând membrii și simpatizanţi ai ISIS din Statele Unite să-i omoare. Toate acestea sunt rezultatul informaţiilor furate dintr-un server al Departamentului Apararii sau a activităţilor meticuloase de culegere de date din mediul Internet și în special din site-urile de social media? Este probabil ca al-Baghdadi (liderul ISIS) să fi urmat modelul similar al Armatei electronice siriene, grupare considerată drept prima armată de hackeri ce a apărut în Orientul Mijlociu și care sprijină guvernul sirian al președintelui Assad, demonstrând că deţine capabilităţi și formarea de tip militar. „Califatul virtual” constituie in mod deosebit un impuls puternic pentru recrutare și pentru construirea unor spaţii online care să reflecte extremismul din realitatea cotidiană în teritoriile ocupate din Irak, Siria, precum și din alte cîmpuri de luptă. În mod specific, suporterii proISIS au fost activi într-o serie de acţiuni punctuale, de la recrutarea de adepţi in principalele reţele de socializare, cum ar fi Twitter, pînă la construirea de site-uri de socializare proprietare, unde adepţii pro-ISIS se presupune că ar fi mai protejaţi. Înregistrat pentru prima dată la 9 martie 2014, „5elefabook.com” a fost construit ca o clona a site-ului „Facebook” dedicat adepţilor ISIS, unde aceștia să se alăture în condiţii de siguranţă, ca urmare a interzicerii unui număr semnificativ de conturi pro-ISIS în platformele Instagram, Twitter, și altele de acest gen. Site-ul „Cartea khelafa”, numit după termenul arab pentru „califat”, a fost activ doar pentru o scurtă perioadă înainte de a fi deconectat și înlocuit cu un preaviz de închidere. Traducerea engleză a numelui site-ului, precum

și anunţul de notificare în limba engleză, prezentat mai jos, sunt reprezentative pentru a evidenţia tendinţa poliglotă a site-urilor mass-media teroriste, cu un accent pe limbile Occidentale, în scopul de a atrage recruţi și atenţia mass-media occidentală. Informaţiile Whois înregistrate în portalul GoDaddy, citate mai jos, trimit clar către „Statul Islamic - Mossul”, însă codul poștal și numărul de telefon sunt evident false.

Care sunt obiectivele ISIS? În mediul Internet circulă o varietate de ipoteze, printre care o multitudine de hărţi care prezintă proiecte de extindere a ISIS în întreg Orientul Mijlociu, Europa de Est și în întreaga Africa central-nordică. Se pare că una dintre aceste ipoteze este aceea de a recrea un Califat islamic, cu singura intenţie de a rupe graniţele statelor din Orientul Mijlociu trasate prin intermediul acordului „confidenţial” din 1916 de către Franţa și Marea Britanie, care a divizat teritoriul după prăbușirea „Imperiul Otoman”. Cu toate acestea, există voci care declară că ofensiva ISIS reprezintă în principal, un atu important pentru producătorii de armament, care speră să vândă o cantitate mai mare de arme monarhiilor din Golf. Și oricum, fiecare război trebuie să aibă și un câștigător!!! Analiza în mediul online a ISIS și capacităţilor sale cibernetice prezintă un potenţial „Cyber Califat” care este probabil încă în fază incipientă și nu are rafinament, antrenamentul și coeziunea necesară pentru a genera o ameninţare majoră la adresa infrastructurilor cibernetice majore. Cu toate acestea, unde există dorinţă va exista și o cale și pentru grupul terorist cel mai tehnologizat și prezent în zona de social media, pentru realizarea acestui deziderat și atingerea capabilităţilor necesare este probabil că ISIS va să continua să depună eforturi majore.

35


Trends - Cybersecurity Trends

Vulnerabilităţi ale dispozitivelor IoT și recomandări de securizare autor: Cătălin Pătrașcu

Tendinţele ultimilor ani în ceea ce privește expansiunea reţelei globale Internet, dar și studiile efectuate în acest sens arată un ritm impresionant de creștere a numărului de dispozitive conectate, aproximativ 5 miliarde în prezent, însă predicţiile pentru anul 2020 avansează o cifră de ordinul zecilor de miliarde. Numărul și mai ales diversitatea terminalelor conectate la Internet generează oportunităţi economice semnificative, însă aduce și provocări fără precedent pentru securitatea cibernetică, precum securizarea „obiectelor” conectate la Internet, a căror arhitectură și destinaţie diferă multe de clasicele computere, de unde și apariţia noţiunii de Internet of Things (IoT). Practic ne referim la obiecte ce înglobează componente hardware și software dedicate și optimizate rolului acestora, precum obiectele de uz casnic și cele personale, dar și sisteme industriale. Tot mai multe dispozitive IoT populare precum televizoarele inteligente, camerele web, termostatele casnice, alarmele din locuinţe și sistemele de control acces sunt comandate de la distanţă, prin Internet, cu ajutorul unor servicii de tip cloud sau aplicaţii de telefon mobil. Un studiu efectuat de HP în anul 2014 asupra celor mai populare dispozitive IoT arată că peste 70% dintre acestea prezintă vulnerabilităţi ce pot fi exploatate de atacatori. Și mai grav, marea majoritate a acestora rămân vulnerabile

C`t`lin P~TRA{CU Șef Serviciu Securitate Informatică și Monitorizare

36

o perioadă mare de timp, rata de rezolvare a vulnerabilităţilor fiind mult mai mică decât în cazul sistemelor și aplicaţiilor informatice clasice. Recent cineva mi-a adresat întrebarea „Ce pot face pentru a securiza noul meu Smart TV pe care l-am conectat la Internet?”. Altcineva a intervenit imediat și mi-a acordat răgaz de gândire răspunzând în locul meu că „Nu aveţi nicio șansă! Pur și simplu ar trebui să-l deconectaţi de la Internet” și a continuat argumentându-și punctul de vedere. Nu am putut fi de acord cu această soluţie radicală și am argumentat că nu putem renunţa așa de ușor la o facilitate a televizorului pe care majoritatea o consideră utilă și care este până la urmă rezultatul unei evoluţii tehnologice. În cele ce urmează mi-am propus să prezint o abordare holistică a problemei securizării dispozitivelor IoT, pornind de la cele mai importante categorii de vulnerabilităţi ale acestor dispozitive, pe baza informaţiilor prezentate de proiectul OWASP Internet of Things Top 10 și conform datelor deţinute de CERTRO în calitate de punct naţional de contact pentru raportarea vulnerabilităţilor și incidentelor de securitate cibernetică. Astfel, cele mai frecvente categorii de vulnerabilităţi ale dispozitivelor IoT sunt: Interfaţă web nesigură; Mecanism de autentificare/autorizare insuficient; Servicii de reţea nesigure; Lipsa criptării la nivelul transportului de date; Probleme de confidenţialitate a datelor; Interfaţă cloud nesigură; Interfaţă mobilă nesigură; Configurabilitate a securităţii insuficientă; Software/Firmware nesigur; Securitate fizică scăzută. Abordarea vulnerabilităţilor enumerate anterior se poate realiza din perspectiva utilizatorilor, a producătorilor, dar și a celor care realizează testarea acestora. Cu promisiunea că în perioada imediat următoare veţi regăsi un ghid complet al securizării dispozitivelor IoT, realizat de echipa CERT-RO și care va fi postat pe portalul web al instituţiei, dar și din considerente de spaţiu alocat acestui articol, prezint în rândurile de mai jos doar o serie de recomandări adresate utilizatorilor de dispozitive IoT: Verificaţi dacă dispozitivul dispune de opţiunea HTTPS pentru criptarea traficului de date și în caz afirmativ asiguraţi-vă că este activă;


Dacă dispozitivul dispune de opţiuni de criptare, asiguraţi-vă că utilizaţi standarde acceptabile precum AES-256; Verificaţi dacă dispozitivul suportă autentificare în doi pași (two factor) și în caz afirmativ activaţi această opţiune; Verificaţi dacă dispozitivul dispune de un firewall web și în caz afirmativ activaţi-l; Dacă dispozitivul dispune de un firewall, activaţi-l și configuraţi-l astfel încât dispozitivul să fie accesibil numai de la sistemele dvs.; Dacă dispozitivul dispune de o aplicaţie web locală sau în cloud, schimbaţi parola implicită cu una cât mai puternică și schimbaţi numele de utilizator implicit dacă este posibil; Dacă dispozitivul dispune de opţiunea de a solicita schimbarea parolei după un anumit număr de zile (90 de zile spre exemplu), asiguraţi-vă că acesta este activă; Verificaţi dacă dispozitivul dispune de funcţionalitatea de blocare a contului de utilizator în cazul unor încercări repetate de autentificare nereușite și în caz afirmativ activaţi-o; Implementaţi o tehnologie de segmentare a reţelei, prin utilizarea unui firewall spre exemplu, astfel încât să realizaţi o izolare a dispozitivelor IoT de restul sistemelor informatice; Dacă dispozitivul permite setarea privilegiilor la nivel de utilizator, setaţi-le pe principiul minimului necesar operării; Nu introduceţi informaţii confidenţiale în cadrul dispozitivelor dacă nu este absolut necesar;

În cazul în care aveţi de ales și nu este neapărat necesar pentru funcţionarea dispozitivului, nu activaţi opţiunile de colectarea de date din dispozitiv; În cazul în care dispozitivul permite, activaţi funcţionalităţile de jurnalizare (logging) a evenimentelor de securitate; În cazul în care dispozitivul permite, activaţi funcţionalităţile de alertare/notificarea a evenimentele de securitate; Activaţi opţiunea de actualizare automată și regulată a dispozitivului, în cazul în care dispune de o astfel de opţiune; Activaţi orice facilităţi de limitare a accesului fizic neautorizat la sistem (anti-furt, localizare GPS, ștergere a informaţiilor stocate de la distanţă etc.); Dezactivaţi porturile fizice neutilizate prin intermediul interfeţei de administrare. Și pentru a nu încheia fără a răspunde la întrebarea legată de securizarea televizoarelor inteligente (Smart TV), vă încurajez să încercaţi aplicarea tuturor recomandărilor menţionate anterior, în măsura în care dispozitivul permite, în special cea referitoare la segmentarea reţelei utilizând un firewall, un router WiFi care oferă această opţiune sau chiar dispozitive (hub, appliance) dedicate securizării dispozitivelor IoT.

Provocările IoT trebuie conștientizate autor: Romulus Maier

U

tilizăm tot mai multe gadget-uri și într-o proporţie din ce în ce mai mare acestea sunt „smart”. Optimiștii imaginează tot mai multe scenarii în care aceste dispozitive ne fac viaţa „mai ușoară”. S-ar putea ca în anumite situaţii să aibă dreptate, după cum este posibil și ca în multe cazuri acestea să nu facă altceva decât să ne stimuleze lenea, să ne îndemne la o stare vegetativă, lipsită de reflecţie, să ne depersonalizeze determinându-ne să devenim doar un număr dintr-o masă amorfă. Să încercăm să privim cum ar putea arăta câteva secvenţe dintr-o zi din viaţa noastră într-o astfel de utopie smart-gadget-erească. Ești într-o mașină care se conduce singură. Atunci când ajungi suficient de aproape de casă mașina comunică cu casa inteligentă, termostatul smart ajustează automat temperatura la valoarea preferată iar luminile sunt aprinse în concordanţă cu starea ta de spirit din acel moment iar în fundal este pornită o muzică adecvată. Evident starea ta de spirit este detectată de ceasul sau brăţara smart pe care le porţi sau de alţi senzori pe care îi porţi în haine sau în încălţăminte. Ah, și parcă ţi-ar prinde bine o baie relaxantă. Fără să miști un deget cada se umple cu apă la temperatura ta preferată. Scenariile pot continua la nesfârșit, imaginaţia este bogată, iar tehnologia necesară pentru ca aceste povești să fie posibile există deja și se cheamă

Internet of Things. Senzorii proliferează și vor fi peste tot, văzuţi sau nevăzuţi, obiectele echipate cu astfel de senzori devin „smart”, primesc o identitate (adresă IP) și pot fi accesate și urmărite prin Internet. Obiecte, senzori, firmware, interfeţe, protocoale, comunicaţii cu și fără fir... într-un cuvânt tehnologie. Care poate fi sigură sau poate fi poarta de acces către noi și viaţa noastră privată și care, în anumite situaţii, poate ajunge pe mâna unor neaveniţi, a unor persoane pe care nu le-am dori în niciun fel aproape și pe care nu le-am investi în niciun caz cu încrederea necesară pentru a ne accesa datele. Despre astfel de provocări și situaţii vorbim în acest număr al revistei, dedicat securităţii în domeniul IoT. Subiectele vor fi abordate și în cadrul conferinţei „Cybersecurity in Romania” care va avea loc la Sibiu în perioada 24-25 septembrie. Și tot cu acel prilej, în 23 septembrie vom organiza un curs de conștientizare pentru persoanele de decizie ne-tehnice la hotelul Golden Tulip din Sibiu (90 locuri gratuite, cu condiţia ca participanţii să participe și la conferinţă). Be there and be aware!

37


Focus - Cybersecurity Trends

Cryptolocker și noul val de malware Cryptolocker este un malware de tip ransomware care criptează anumite tipuri de fișiere din calculator. În momentul în care sistemul a fost compromis, acesta afișează o notificare pe calculatorul victimei și cere plata unei răscumpărări în schimbul unei chei unice care poate decripta fișierele. Scurtă istorie Acest tip de malware a apărut prima oară în anii 2006 sub forme ce nu erau foarte avansate, însă au fost implementate și distribuite cu success (Krotten, Reveto, PGPCoder). Odată cu progresul reţelelor și al algoritmilor de criptare, autorii acestor periculoase arme cibernetice s-au văzut câștigând sume importante de bani și au investit mai mult timp pentru creaţia unor programe mai sofisticate. Părintele Cryptolocker este rusul Evgheni Bogacev, (de altfel, autorul celei mai sofisticate reţele de tip botnet de până astăzi este Gameover Zeus în opinia specialiștilor de la FBI), actualmente pe lista celor mai căutaţi criminali cibernetici din lume. Cryptolocker a luat cu asalt internetul în anul 2013 și până la sfârșitul anului 2014 deja pagubele produse se ridicau la aproximativ 100 milioane de dolari după o analiză a Departamentului de Justiţie SUA. Odată cu operaţiunea Tovar 2014 (operaţiune internaţională de colaborare a agenţiilor de fraudă cibernetică din toata lumea printre care Europol, FBI, National Crime Agency UK și multe companii de securitate Sophos, Dell, Symantec și instituţii de cercetare) a fost oprită reţeaua ransomware CryptoLocker, cât și reţeaua de botnet GameOverZeus. În operaţiune, firma de securitate Fox-IT a putut să preia baza de date unde erau ţinute cheile private folosite de Cryptolocker, astfel în colaborare cu firma de securitate FireEye oferă, prin website-ul www.decryptcryptolocker. com, chei gratuite pentru decriptarea fișierelor infectate cu CryptoLocker.

Cum funcționează Propagarea Crypto-ransomware este puţin diferit faţă de celelalte tipuri de malware tradiţionale : - nu fură informaţiile victimei, ci dimpotrivă, le face inaccesibile - nu încearcă să rămână ascuns după ce fișierele sunt criptate fiindcă detecţia nu va restaura fișierele - este destul de ușor de produs, sunt multe coduri sursă valabile pe internet care pot fi modificate relativ ușor:

38

Scan Data Important - New Outlook Settings FW: Check copy My resume USBANK Important - attached form scanned from Xerox FW: Last Month Remit Payroll Invoice USPS - Missed package delivery past due invoices New Voicemail Message

De asemenea, anumite atașamente pot conţine detalii: Facto.zip; firefly.zip; headband.zip . Înainte ca botnetul GOZ să fie eliminat, Cryptolocker era distribuit prin reţeaua de tip botnet, de asemenea controlul se asigura prin serverul Command and Control. Criptarea Cryptolocker este destul de efectiv datorită metodei de criptare, în particular acesta folosind algoritmul de criptare AES-256 simetric și RSA-2048 asimetric. Cryptolocker generează multe chei AES 256 care sunt folosite pentru criptarea tuturor fișierelor, fiecare fișier fiind criptat cu o cheie specifică AES. Aceste chei sunt de asemenea criptate, fiind folosită o cheie publică RSA-2048 unică generată care este trimisă de la serverul autorului. Cheia este cunoscută doar de autorul malware-ului și nu este transmisă în reţea ori păstrată pe staţia infectată. Această dublă criptare face practic imposibilă decriptarea fișierelor, se estimează că, pentru a decripta o cheie RSA-2048 este nevoie de mai mult de 15 milioane de calculatoare echipate cu procesoare de ultimă generaţie, timpul necesar fiind de peste 1 an. În momentul în care se execută, acesta se copiază în locaţiile %AppData% sau %LocalAppData%. După aceasta, va genera în regiștrii intrări de autopornire. De asemenea, extensia .exe va fi infectată pentru a șterge Shadow Volume Copies. Lista fișierelor criptate de către Cryptolocker se va afla în regiștri: HKEY_CURRENT_USER\Software\CryptoLocker\Files


Fișierele criptate De obicei se criptează peste 100 de extensii de fișiere printre care: Db- baze de date Src- coduri sursă Cad- fișiere de design Doc- toate felurile de documente Img- toate imaginile Av- audio și video Fin- toate felurile de software financiare folosite de client .orf .pfx .odc .xlk .wpd .bay .raf .mdf .dcr .ptx .cdr.docx .pptm .dbf .kdc .pef .jpg .docm .mdb .psd .erf .srw .jpe .wps .accdb .pdd .dng .nef .crt .odp .xlsm .dxf .arw .nrw .pem .odm .xlsb .dxg .srf .eps .odb .ppt .rtf .crw .raw .indd .doc .pptx _.jpg .mrf .cer.mef .der xls .pst img .ods .xlsx .dwg Comunicarea C&C Dacă versiunile timpurii foloseau DGA (domain generate algorithm), acum protocoalele de comunicare au evoluat de la HTTP la ceva mai avansat și sigur (TOR și HTTPS). Versiunile de Cryptolocker mai noi pot să fure contactele locale de mail pentru a trimite mailuri de tip spam. Money Autorii de malware primesc banii de răscumpărare de la utilizatori prin mai multe metode de plată, însă de facto sunt: Bitcoin, Moneypack, Cash, Ukash. Preţul variază de la 300 USD până la 1000 USD . Cryptolocker are abilitatea de a cripta fișierele partajate și mapate în reţea, hard disk-uri externe, unităţi USB, unităţi de stocare cloud. Dacă un calculator din reţea se infectează, toate unităţile de reţea mapate pot fi infectate.

Măsuri de prevenţie Prevenirea unei astfel de ameninţări este posibilă numai în stadiile incipiente ale infecţiei, înainte ca fişierele să fie criptate. Am identificat câţiva paşi care pot să blocheze în mod eficient infecţia cu malware de tip ransomware: - să se efectueze în mod regulat backup-uri de sistem şi acestea să fie salvate offline pe hard-uri externe - permisiuni de fişiere şi execuţie (dacă aveţi un domeniu de Windows, este posibil să setaţi o politică de grup sau pentru instalaţii locale folosind doar politică de securitate locală). Pentru setarea manuală Local Security Settings>Software Restriction Policies>Additional Rules Numele regulii

Nivelul de securitate Descrierea căii A se bloca executabilul ce pornește din arhiva %Temp%\Rar*\*.exe nepermis unui atașament ce se deschide cu WinRar A se bloca executabilul ce pornește din arhiva %Temp%\7z*\*.exe nepermis unui atașament ce se deschide cu 7zip %AppData%\*\*.exe nepermis Nu permite executabilul din AppData Nu permite executabilul să se deschidă din %LocalAppData%\*.exe nepermis subfolderele %AppData% %AppData%\*.exe nepermis Nu permite executabilul din AppData A se bloca executabilul din arhiva atașamentului %Temp%\*.zip\*.exe nepermis atunci când se deschide folosind windows zip

Evident, nu este o listă completă. - detectarea unui malware ransomware este imposibilă, din cauza faptului că antivirusurile şi soluţiile anti-malware sunt bazate pe semnături - un sistem de antivirus cu management care să se updateze periodic

- un sistem de filtrare şi de blocare care să cuprindă – blocarea ataşamentelor exe, com, bat, zip, rar, scr - să se folosească pop-up blocker - utilizatorii să fie instruiţi de către departamentul IT prin politici care să prevină infecţia de malware ransomware - instalarea unor softuri special concepute pentru prevenirea instalării cu Cryptolocker (softul CryptoPrevent realizate de către compania FoolishIT), acesta blocând automat toate politicile de restricţionare de software.

Notă pentru comunitate Deşi pe capul lui Lucky 12345 (Bogacev) a fost pusă o recompensă de 3 milioane de dolari de către FBI, şansele să fie prins sunt destul de mici acesta fiind protejat de către anumite entităţi de pe teritoriul rusesc având în vedere că este creatorul celor mai sofisticate tool-uri de fraudă online din toate timpurile (Cryptolocker şi Gameover Zeus). Se estimează că varianta realizată de Bogacev a Cryptolocker a infectat între 250-400 de mii de calculatoare, câştigurile depăşind 30 milioane de euro. Varianta CryptoWall a demonstrat cât de eficiente sunt softurile derivate din CryptoLocker, acesta dovedindu-se mult mai devastator decât malware-ul Cryptolocker. O funcţionalitate a acestuia face ca acesta să se încorporeze în anunţuri de pe site-urile utilizate în mod obișnuit de către utilizatori match.com, aol sau yahoo. Cryptowall a infectat peste 1 milion de useri şi a criptat peste 7 milioane de fişiere până în acest moment. Cryptowall este deja la a 3 versiune şi foloseşte TOR pentru serverele de C&C şi este puţin probabil ca acest ransomware să fie eliminat ca în cazul operaţiunii Tovar, din cauza faptului că nu mai există o mişcare globală ca în anul 2014, instabilitatea geopolitică fiind principala cauză. Noile versiuni şi mutaţiile Cryptoloker sunt mult mai periculoase, de exemplu TorrentLocker are capabilităţi de multiplicare în reţea şi caracteristici polimorfice făcând din acesta o armă extrem de periculoasă. De asemenea, numărul de fişiere pe care le criptează este dublu faţă de Cryptolocker, fiind mult mai avansat în acest sens. Firmele de securitate încearcă să fie cu un pas înainte, însă efortul lor nu dă roade de cele mai multe ori. Softurile realizate special pentru malware de tip ransomware sunt CryptoPrevent şi CryptoGuard, acestea venind în varianta freeware, situl www.decryptcryptolocker.com/ oferă decriptarea fişierelor cu versiunea CryptoLocker. O abordare globală de către instituţiile ce luptă împotriva fraudei cibernetice este primordială în acest sens din cauza riscului pentru user, dar și pentru organizaţii. O contribuţie importantă în organizaţii o pot avea şi departamentele de IT, acolo unde prin proceduri specifice se poate schimba comportamentul utilizatorilor.

39


Biblio - Cybersecurity Trends

Informaţi-vă

Bibliografie generală în limba română

în limba română! Toolkit gratuit în limba română! http://www.botfree.ro/ CERT-RO - Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, împreună cu ACDC, a lansat un serviciu de informare despre reţele de tip botnet, dotat cu cele mai bune unelte gratuite pentru a vă proteja împotriva acestora.

Pe portalul SRI găsiţi informaţii de actualitate, dar mai ales câteva unelte foarte utile pentru cybersecurity: Biblioteca virtuală, unde sunt arhivate multe articole de top, ca de pildă: OSINT - la graniţa dintre secret şi public (http:// www.sri.ro/fisiere/studii/OSINT_SECRET_ SI_PUBLIC.pdf ) Varianta de download-at dar și aplicaţia mobilă pentru citirea revistei «Intelligence» Studii Rapoarte de activitate

www.sri.ro

SRI: Serviciul Român de Informații

Articol foarte important (IPv4 vs. IPv6): Ministerul Tehnologiei Informaţiei şi Comunicaţiilor, Republica Moldova, Recomandarea privind tranziţia de la Protocolul Ipv4 la Protocolul Ipv6, 05.03.2014 http://www.mtic.gov.md/sites/default/files/legi/regltehn_mtic-recomandarea_ipv6_03-2014.pdf Acest scurt document, foarte bine redactat, expune avantajele și pericolele legate de trecerea de la IPv4 la IPv6. Urmează o serie de recomandări simple, pentru folosul tuturor cetăţenilor și companiilor.

Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat! Ghid: Cum să te ferești de viruși, viermi și troieni 14-11-2013 Ghid: Ameninţări generice la adresa securităţii cibernetice 14-11-2013 Ghid: Securitatea in reţelele sociale şi controlul parental in mediul online 14-11-2013 Ghid: Ameninţări cibernetice la adresa utilizatorilor din Romania 14-11-2013 Ghid: Securitatea serviciilor Internet Banking și Online Shopping 14-112013 Ghid: Securitatea utilizatorului final 14-11-2013 Ghid: Rolul structurilor de tip CERT și utilitatea CERT-urilor private 14-11-2013 Ghid: Securitatea terminalelor mobile 14-11-2013 Ghid: Securitatea in Cloud 14-11-2013

40

www.cert-ro.eu

CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică

CERT-RO, Raport cu privire la alertele de securitate cibernetică procesate de CERTRO în anul 2014, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, 2015 http://www.cert-ro.eu/files/doc/915_2015 0325000331012990800_X.pdf Mai sintetic decât documentul precedent (2014, despre 2013), raportul CERT-RO rămâne cea mai bună sursă de informaţii disponibilă pentru toţi cetăţenii, privind starea securităţii cibernetice în România. De remarcat sunt trei aspecte esenţiale: 1. atacurile sunt în creștere, nu exponenţială dar sigură și constantă; 2,54% dintre atacurile reușite sunt datorate sistemelor informatice configurate necorespunzător, i.e. parc informatic vechi, software-uri fără licenţă, lipsă de update-uri la software-uri și la sistemele de operare, lipsă antivirus sau folosirea inadecvată a acestuia. 3. Desigur faptul cel mai ingrijorător este nu numai că ameninţările continuă să se diversifice, ci că în plus România a început să devină o ţintă, dovada fiind că mai multe entităţi din România au fost ţinta unor atacuri informatice direcţionate și complexe.


Bibliografie generală / internaţională World Economic Forum, Insight Report, Global Risks 2015 (10th Ed.), January 2015 www.weforum.org/risks Ca în fiecare an din ultimul deceniu, documentul asupra riscurilor globale ale anului curent emis de către experţi transdisciplinari ai WEF este „biblia” de referinţă pentru analiști și geo-strategi care se ocupă de problemele globale. În ceea ce privește problemele legate de securitatea informatică, documentul exprimă o mare îngrijorare asupra evoluţiei lor din ce în ce mai rapide și nefaste la nivel planetar, depășind de mult pragurile de „under control” și fiind plasate în al 4-lea cadran din 4, cel rezervat riscurilor avansate, persistente, și cu impact necuantificabil (unde găsim razboaiele inter-statale, criza apei, somajul și neadaptarea la schimbările climatice). Mai mult, raportul avertizează asupra lipsei la nivel global a unor mecanisme unificate și standardizate de către State pentru a menţine un nivel de rezistenţă la atacuri cât mai ridicat, mai ales în ceea ce privește e-Governance (Box 1.7, p.22)

Didier Danet et Amaël Catteruzza (éds), La Cyberdéfense Quel territoire quel droit?, 288 p., Economica, Paris, 2014 nu există în format digital; parte din articole sau din filmări ale celor 2 congrese pot fi accesate pe http://www.chaire-cyber.fr/-lespublicationsAcest volum, care pune de fapt împreună lucrările a două congrese organizate de către catedra „Cyber-sécurité” din cadrul Înaltei Școli Militare a Republicii Franceze (Saint-Cyr). În primul din cele 2 mari secţiuni ale volumului, articolele continuă o reflecţie, din ce în ce mai actuale, despre necesitatea de încadrare a unui război cibernetic total într-o convenţie internaţională, ca și cele care reglementează armele atomice sau armele bacteriologice. În a doua secţiune, se analizează comportamentele pe care le poate folosi un stat în faţa unui fenomen global fără graniţe și fără drept. Acolo, printre celelalte articole, remarcăm textul lui Yannick Harrel „La Cybérie russe”, care face o sinteză a specializării sale de vârf, i.e. viziunea Federaţiei Ruse în materie de spaţiu virtual și de

securitate (internă și externă) într-un framework mult mai larg decât cel considerat măcar în doumentele neconfidenţiale din Occident.

National Security Strategy, The White House, februarie 2015 https://www.whitehouse.gov/sites/default/files/docs/2015_ national_security_strategy.pdf Toate declaraţiile recente ale administraţiei Obama se regăsesc în acest compendiu care stabilește fără echivoc strategia SUA în ceea ce privește securitatea naţională. Cybersecurity ocupă un loc important în această strategie, unde mica introducere despre acest domeniu începe, fără surprize, cu: „As the birthplace of the Internet, the United States has a special responsibility to lead a networked world”. În documentul de 25 de pagini, cuvântul cyber reapare de aproape 100 de ori, cu un mesaj foarte clar: „shared space” (adică toate componentele extra-teritoriale de pe planetă) este divizat în 4 categorii unde SUA trebuie să își păstreze și să își consolideze supremaţia pentru a își proteja interesele naţionale, ţara și cetăţenii: „cyber, space, air and oceans”. Această clasificare a „cyber” printre elementele dictate de natură, chiar dacă există de mai mult de 10 ani, este pentru prima dată folosită explicit ca fiind de fapt, ca și oceanele, un spaţiu „neutru” în care SUA își păstrează dreptul de a interveni oriunde și oricând.

Czech Republic Act on Cyber Security (adoptat, 23 iulie 2014) Act No. 181, on Cyber Security and Change of Related Acts https://www.govcert.cz/en/legislation/legislation/ Acest document este în sine o premieră europeană, i.e. o ţară care a trecut de la strategia de securitate cibernetică la legi depre securitate cibernetică. Într-un moment în care în România se caută soluţii după neconstituţionalitatea proiectului de lege „Big Brother”, trebuie subliniat pragmatismul cehilor, care au integrat strategia într-un cadru normativ simplu. Acesta stabilește exact care sunt atribuţiile fiecărei instituţii a Statului și care este regimul de colaborare, într-un singur centru de apărare cibernetică naţională, a cele 2 entităţi care vor fi piloni ai acestei legi: CERT-ul naţional și Serviciul Naţional de Intelligence. De remarcat și conţinutul textului, scurt si la obiect (19 pagini, din care primele 4 definesc strict fiecare termen folosit în text iar ultimele 3 implică și explică schimbările necesare în legile deja existente din corpusul juridic al Republicii Cehe).

41


Biblio - Cybersecurity Trends

Informaţi-vă

Bibliografie tematică IoT

în limba română! Craig Smith and Daniel Miessler, Internet of Things HP Security Research Study, HP Fortify, June 2014 http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-4759ENW.pdf

Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.

www.arasec.ro

ARASEC

Reacţionând foarte pozitiv atunci când a fost pusă în dificultate, după dezvăluirile firmei Pwnie care a arătat că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ, HP a lansat divizia sa de securitate, HP Fortify, într-o anchetă nu numai asupra produselor proprii, dar și asupra celor mai populare zece device-uri IoT de pe piaţa SUA. Rezultatul acestui test este catastrofal: peste 250 de fisuri în total, cam 25 pentru fiecare obiect, și 70% din produse declarate total nesigure. Așadar, această scurtă sinteză redactată de către HP trebuie considerată un document istoric. Ea a acţionat ca o adevarată bombă, adică exact acel „breaking news” care lipsea pentru a da startul, peste tot în lume, unor grupuri de cercetare publice și private focalizate asupra problemei de insecuritate „by design” a majorităţii obiectelor conectate și a consecinţelor lor exponenţiale într-o lume virtuală deja destul de problematică în sine.

Information Security, Insider Edition, Securing the Internet of Things (august 2014): http://searchsecurity.techtarget.com/ezine/Information-Securitymagazine/A-comprehensive-guide-to-securing-the-Internet-of-Things Foarte bine scris și structurat, ca și toate ediţiile acestui e-magazine, volumul de faţă se distinge prin pedagogia excelentă cu care sunt explicate cele 7 riscuri majore introduse de către obiectele IoT într-un ecosistem, adresează întrebări antreprenorilor despre cât este serviciul lor de IT security pregătit sau nu să facă faţă la aceste riscuri iminente suplimentare, și în sfârșit subliniază („who’s in charge”) că fără o mobilizare și conștientizare colectivă a tuturor angajaţilor unei firme sub îndrumarea Security Officer-ului, introducerea unor noi unelte IoT este un gest pe cât de iresponsabil pe atât de extrem de periculos.

42


The President’s National Security Telecommunications Advisory Committee, NSTAC Report to the President on the Internet of Things, draft versiune finală, noiembrie 2014 http://www.dhs.gov/sites/default/files/publications/IoT%20 Final%20Draft%20Report%2011-2014.pdf Îngrijorător? Nu. Apocaliptic. Acest raport exemplar, vendor-neutral, nu iartă nimic și privește IoT și securizarea sa strict din punctul de vedere al reglementărilor legale. Concluzia din prima pagină a „final draft” este fără apel: „There is a small—and rapidly closing— window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations” (p.3). Sunt disecate doate domeniile unde IoT s-a dovedit că poate să facă ravagii dezastruoase, de neconceput până în ultimii ani: furt de date, uzurparea de identitate, atac asupra infrastructurilor critice, valuri necontrolabile de malware și viruși, adică tot ceea ce deja cunoaștem, dar la nivel pandemic. Rămâne de văzut în ce măsură toate recomandările și evidenţele expuse în acest document fără apel vor fi folosite de către instituţii de forţă și de către juriști și autorităţi de reglementare din SUA.

UK Government office for Science, The Internet of Things: making the most of the Second Digital Revolution, A report by the UK Government Chief Scientific Adviser, 30.12.2014 https://www.gov.uk/government/uploads/system/uploads/ attachment_data/file/409774/14-1230-internet-of-thingsreview.pdf So typically British, acest raport contrastează cu cel pomenit anterior (NSTAC), prin neutralitatea și flegmatismul său. Este o expunere foarte bună, ca un fel de balanţă, despre tot ce este pro și contra în IoT în forma sa actuală. Problemele de securitate sunt punctate eficient, dar fiind un document adresat politicienilor (este prefaţat de Premierul David Cameron) și Parlamentului, acest document nu poate decât să dea naștere la un sentiment amestecat care oscilează între a nu renunţa la profiturile imense aduse de aceste tehnologii și imperativitatea de a reduce drastic riscurile inerente.

TrapX Labs, Research report, Anatomy of an attack: The Internet of Things (IoT) - The Hidden Danger Exposed, martie 2015 http://trapx.com/wp-content/uploads/2015/02/Anatomy-ofAttack__Internet-of-Things.pdf Pentru pasionaţi și nu numai, un mic manual care arată formele și metodele de atac asupra unui IoT tool și răspândirea acestui atac asupra altor obiecte conectate. Este și bine scris, și bine ilustrat, și arată cu mare talent nașterea/creșterea firmelor (ca și cea care a publicat raportul de faţă) care se specializează din ce în ce mai mult asupra securizării excluzive a IoT.

U.S. Federal Trade Commission, Staff report. Internet of Things. Privacy and Security in a Connected World (ianuarie 2015) https://www.ftc.gov/system/files/documents/reports/federaltrade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf 55 de pagini care explică (aproape) toate aspectele IoT. Interesant faptul că raportul, destul de neutru, tratează bine situaţia: faţă de 3 pagini de „benefits” găsim 9 pagine de „risks” despre înfrângerea în sfera privată a cetăţeanului și a companiei, urmate de 30 de pagini de sfaturi de „good practices” și de propuneri de reglementări/ legiferări.

Information Security vol 17:3 Defending against the Digital Invasion (aprilie 2015): http://searchsecurity.techtarget.com/ezine/InformationSecurity-magazine/ Defending-againstthe-digital-invasion Nici nu au trecut opt luni de la apariţia ediţiei dedicate problematicilor de securitate a IoT, și iată că revista

43


Biblio - Cybersecurity Trends Information Security revine, cu greutate, asupra aceleiași tematici. Cu interviuri și articole de clasa întâia, volumul pune chiar cititorul în faţa unei crize majore: IoT, daca este în plus dublat de BYOD, duce o firmă la o catastrofă sigură și rapidă. Sunt date nu numai soluţii tehnice, dar și posibilităţi de „formule” de aplicat imediat pentru a ieși nevătămaţi dintr-un labirint din ce în ce mai complex.

Mobile Working Group, Security Guidance for Early Adopters of the Internet of Things, Cloud Security Alliance peer-reviewed material, aprilie 2015 https://downloads.cloudsecurityalliance.org/whitepapers/ Security_Guidance_for_Early_Adopters_of_the_Internet_of_ Things.pdf Pentru toţi cetăţenii și mai ales companiile care vor să cumpere / să implementeze unelte IoT acasă și la sediu dar încă (spre norocul lor!) nu au făcut-o încă. Acest ghid este exact ceea ce ar trebui difuzat urgent de către fiecare guvern din ţările avansate. Este simplu (55 de pagini), foarte bine explicat și agreabil (culmea!) de citit. Pune pe masă toate riscurile în funcţie de tipul de aparat (TV, smartphone, automate NFC și IoT pentru firme), tipul deţinătorului (cetăţean, firmă mică, firmă mare). Iar faţă de toate rapoartele recenzate mai sus, dă și soluţii pentru fiecare risc, multe dintre ele fiind strict legate de adptarea la un comportament uman, personal și colectiv de prudenţă. Apoi urmează soluţii tehnice, non-vendor, care explică firmelor cum și în ce condiţii merită implementate device-uri IoT. La sfârșit, cititorul găsește o pagină de referinţe de bază selecate cu grijă, i.e. numai cele indispensabile, pentru a deschide ușa universului de publicaţii/soluţii vendors/rapoarte

O publicație

Articole de referință Michael J. Covington, Rush Carskadden, Threat Implications of the Internet of Things, in Proceedings of the 5th International Conference on Cyber Conflict, K. Podins, J. Stinissen, M. Maybaum (Eds.), NATO CCD COE Publications Tallinn, 2013 https://ccdcoe.org/cycon/2013/proceedings/d1r1s6_covington.pdf Acest articol merită menţionat, întrucât a fost prima avertizare serioasă, urmată de dezbateri confidenţiale, în cadrul conferinţei NATO, asupra riscurilor IoT inclusiv asupra infrastructurilor critice militare, un an înainte de «bomba» lansată de HP.

Colonel Philippe Davadie, Centre d’Enseignement Supérieur de la Gendarmerie, Objets connectés: quels enjeux pour la sécurité et la sûreté ?, Colloque Internet des Objets, Saint-Cyr, Chaire de Cyber-sécurité, septembrie 2014 http://www.chaire-cyber.fr/IMG/pdf/chaire_-_colloque_internet_des_objets_-_article_ph_davadie.pdf Un text foarte scurt care pune Statul în faţa responsabilităţii sale. Colonelul Davadie anticipează de fapt propagarea a ceea ce este deja posibil, i.e. falsificarea «live» a probelor digitale (CCTV, GPS, snapshots etc) prin, de pildă, crearea unei prezenţe-alibi a unui criminal la o anumită dată și oră într-un loc unde nu a fost și consecinţele asupra unui număr de specialiști din cadrul Instituţiilor Statului de a readuce la lumină, pentru Procuratură și Magistratură, faptele reale, și nu intoxicarea digitală făcută cu măiestrie de către cybercriminali prin IoT. Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

şi get to know!

Notă copyright: Copyright © 2015 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285

44

ISSN 2393 – 4778 ISSN-L 2393 – 4778

http://www.agora.ro http://cybersecuritytrends.ro


Securitee* Controlează securitatea datelor

Control deplin pentru blocarea sau limitarea transferurilor de date

Politici clare de acces la datele confidențiale pentru utilizatori

Monitorizare continuă și notificări asupra transferurilor efectuate

Rapoarte complete privind activitățile de transfer din companie

*Obține un Free Trial de 30 de zile pentru compania ta Intră pe www.securitee.net/ro



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.