Cybersecurity Trends 4/2015 RO

Page 1

Cybersecurity Nr. 4 / 2015

Trends

Interviu

. PAG15 4 1

VIP

E.S. Pierre-Louis Girard

OMC și lumea digitală

. PAG24 6 1

Cover Story

Soluţii end-user



ends Editorial - Cybersecurity Tr

autor: Laurent Chrzanovski

Dragi cititori, Cu numărul 4, împreună cu cele mai călduroase urări de an nou fericit, dorim să vă oferim cel mai util cadou de Crăciun. Prin urmare am hotărât să dedicăm dosarul central soluţiilor tehnice și mai ales umane care există pentru a vă asigura un minim indispensabil de securitate în viaţa dvs. personală cât și în cea profesională și mai ales în afacerile dvs. Cum bine subliniază mai multe rapoarte în privinţa «Emerging and Persistent Threats» (cf. bibliografie), tendinţele pentru anul 2016 nu prezintă mari noutăţi, dar sunt extrem de îngrijorătoare prin violenţa cantitativă și calitativă care afectează domeniul datelor

Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

personale vitale (sănătate, finanţe, dezvoltarea afacerilor etc). Din ce în ce mai mult, datele devin cea mai căutată valută din lume, fie pentru marile firme, fie pentru state. De la Big Data la Personal Data, sunt mii de agenţii, firme și evident grupări criminale care își consacră toată activitatea lor pentru a găsi aceste date, în mod legal, în zonele «gri» sau în mod chiar ilegal. În mod paradoxal, fiecare dintre noi este, împotriva propriei voinţe, un ajutor preţios pentru acești «culegători de date», pentru că niciodată în istoria omenirii informaţiile confidenţiale nu au fost atât de ușor de găsit, de reunit și de exploatat. Naivitatea majorităţii utilizatorilor IT este, evident, cea care permite această posibilitate de a aduna date ale unei persoane sau ale unei firme. Dar din ce în ce mai mult, proliferarea periculoasă a dispozitivelor interconectate se revelează a fi catastrofală pentru siguranţa utilizatorilor. Asocierea a tot fel de obiecte «smart», folosirea nediscriminată a acelorași cloud-uri, telefoane mobile, laptop-uri și tablete, pentru viaţa personală și pentru viaţa profesională, nu fac decât să adauge în mod exponenţial uși de intrare în intimitatea dvs. Intenţia revistei, ca de obicei, nu este de a vă speria, ci din contră, de a vă pune la dispoziţie un set de măsuri, unele deosebit de simple, pentru a vă ajuta să aliniaţi securitatea dvs. digitală cu reflexe pe care deja le aveţi în ceea ce privește securitatea dvs. fizică, aceleași cu care aveţi grijă de dvs. și de cei dragi când închideţi ușa casei, a mașinii sau când conduceţi, utilizaţi un aragaz, sau învăţaţi copiii dvs. să nu aibă încredere în persoane necunoscute de pe stradă. Suplimentar, am decis să consacrăm o parte semnificativă a bibliografiei pentru cei interesaţi de ceea ce media vehiculează masiv în ultimele luni sub denumirea de «război cibernetic». De ce? Pentru că cei care doresc să afle mai multe vor vedea foarte clar că aproape toate tehnicile de război, inclusiv cele mai sofisticate, au la bază slăbiciuni umane interne ale ţintei, apoi numai (și numai dacă este nevoie) faimosul «insider» și în ultimul rând capacitatea tehnologică a atacatorului de a sparge sau a distruge. Căutarea emotivă și de auto-apărare a celor 2 companii (Sony Entertainments și TV5 monde) în faţa presei după atacurile care au marcat ultimele 14 luni au indus în opinia publică două concepte absolut greșite, sau cel puţin nedovedite, din punctul nostru de vedere. Primul este că numai un stat (Coreea de Nord în primul caz, Rusia în al doilea) ar avea capacităţi și

1


ds Editorial - Cybersecurity Tren voinţa de a comite atacuri atât de sofisticate. Al doilea concept, care de fapt este bine ascuns în primul, este că ambele companii aveau un grad tehnologic foarte ridicat de siguranţă și de formare a responsabililor ITsec din interior. După ce a trecut valul de «propagandă emotivă», nu a rămas nicio dovadă de implicare a unui stat în aceste atacuri, și, mai mult, s-au pus în evidenţă slabiciunile interne foarte grave ale acestor companii. Pe scurt, Sony, care deja fusese ţinta unui atac devastator, gestiona cu tehnologie avansată și oameni ultracalificaţi securitatea sa, dar nu ca pe o prioritate, ci cu un mecanism intern tipic unei multinaţionale, adică prin «bifarea» de către consiliul director în căsuţa «securitate» în funcţie de rapoartele interne, fără pregătirea angajaţilor, fără o disciplină clară în interiorul companiei, furnizând astfel slăbiciunile necesare atacatorului, care în cazul de faţă avea efectiv competenţe foarte ridicate în tehnologii de hacking. Cazul TV5 Monde, dacă îl analizăm împreună cu scandalul «Hacking Team», arată o faţă mult mai îngrijorătoare. O companie foarte neglijentă, în care parolele erau afișate pe post-it-uri în redacţie, lovită aproape mortal de un «kit» de programe distructive constituind un atac cibernetic foarte puternic. Poblema care se pune este că toate mijloacele și tehnicile folosite erau deja cunoscute de către companiile de ITSec și de serviciile de stat, fiind cunoscute ca o creaţie a grupării criminale rusești «APT28», alias «Pawn Storm», și fiind un troian relativ simplu de identificat și de combătut. Problema este că ancheta ziariștilor francezi specializaţi în IT și a analiștilor externi a scos la iveală elemente care contrazic total varianta oficială, un ziar de specialitate titrând chiar «Cyberattaque contre TV5 Monde, ou le b.a.-ba du hacker débutant» și arătând că la pregătirea atacului au stat - exact ceea ce poate să

ITU continuă sprijinul său pentru a vă aduce cele mai recente publicaţii în limba română. 2

ne lovească pe toţi - inginerie socială și phishing ţintind ziariști, angajaţi și directori ai companiei. De ce spuneam că TV5 trebuie analizat împreună cu cazul Hacking Team? Pentru că în pofida afirmaţiilor redactorilor simpliști de «breaking-news» din media - mai ales din România - nespecializaţi, nu mai este nevoie deloc să fi un stat ultra avansat în IT (cum sunt Rusia, SUA, Israel, China) pentru a lovi. Doriţi să spionaţi pe cineva? Sunt zeci de firme perfect legale ca și Hacking Team care vor face acest lucru pentru dumneavoastră, și care au drept clienţi inclusiv state care nu au tehnologie, sau care nu vor ca serviciile lor să treacă de «linia roșie». Doriţi să faceţi un rău imens unei companii? Trebuie doar să aveţi bani. Azi, ca și un Kalashnikov, un troian bun dar deja folosit se cumpără de pe piaţa neagră. Unii, cei mai cunoscuţi, sunt accesibili chiar gratuit pe net. Ce trebuie să învăţăm din asta? Că nu există «un» Big Brother. Există zeci de mii de Big Brother și de grupări criminale și companii, inclusiv legale, înregistrate în afara Europei, care oferă servicii de atac. Totul depinde de cât de ridicată este siguranţa firmei dvs., care va determina suma pe care dușmanul va trebui să o cheltuie pentru a vă urmări sau a vă face rău, exact ca în negocierea preţului unui delator sau unui asasin din faimoasele romane ale lui Leonardo Sciascia. După cum aţi văzut, dacă ar fi existat un program de conștientizare, de educare a personalului cu privire la riscuri și la prevenţie, Sony nu ar fi fost atacată atât de «letal» - ca număr și valoare a datelor furate - iar atacul asupra TV5 nu ar fi fost posibil. Securitatea nu este un vis. Există, măcar la același nivel care face ca locuinţa dumneavoastră să nu fie spartă ușor. Trebuie doar să revenim cu toţii la instinctele primare. Atunci și numai atunci vom fi bine protejaţi. Și va rămâne doar pericolul cumpărării moralei angajaţilor sau apropriaţilor noștri. Tehnica preistorică, de a mitui un informatician de rang înalt care lucrează în interior, este singura care face încă posibile scurgeri de date (de pildă despre evazioniști fiscali) din interiorul marilor bănci din Elveţia și UE, aceste companii, ca și fabricanţii de ceasuri de lux, fiind (aproape) imposibil de atacat frontal prin mijloace externe. Vă dorim să deveniţi cu toţii, în 2016, un ceasornic de lux în viaţa dumneavoastră privată, familială, profesională și managerială.


Trends Authorities - Cybersecurity

Mesajul oficial al International Telecommunication Union

Marco Obiso, Cybersecurity Coordonator, International Telecommunication Union, Geneva

Acum, înainte de vacanţa de iarnă, această ediţie le este dedicată celor care doresc să înceapă noul an sub auspiciile unei mai bune securităţi cibernetice. Sub titlul generos «Soluţii end-user», aceasta reflectă pur și simplu realitatea oricăruia dintre noi, fie că este un simplu cetăţean, sau un antreprenor, fie un angajat sau un factor de decizie, fie chiar și un profesionist în IT, deoarece suntem cu toţii de fapt «end-user-i». Aceasta combină produsele de securitate necesare pentru protecţia noastră digitală cu noile comportamentale dobândite prin educaţie pentru a evita greșelile pe care chiar și cele mai bune tehnologii nu le vor împiedica să provoace vulnerabilităţi suplimentare care să faciliteze accesul exterior în «vieţile noastre virtuale» profesionale şi private. În această perioadă de simţăminte și felicitări de sfârșit de an, ne face plăcere să trimitem la tipar și să postăm online cel de-al 4-lea număr al revistei Cybersecurity Trends, care reprezintă împlinirea unui prim an editorial complet, prin îndeplinirea cu succes, de către o echipă editorială mică şi entuziastă, a provocării lansate în luna martie 2015. Dorim să mulţumim instituţiilor româneşti, care, prin contribuţia lor permanentă la conţinutul acestei reviste, i-au dat menirea ei de a fi precum și caracterul său unic de platformă de opinii public-privată destinată publicului larg cu rol de sensibilizare a acestuia faţă de pericolele din mediul cibernetic, precum şi de prezentare de soluţii pentru a le preveni. Mai mult de atât, deoarece CERT-GOV din Republica Moldova a decis să se alăture revistei Cybersecurity

Trends cu o secţiune permanentă, aceasta va reprezenta de acum punctele de vedere ale instituţiilor ambelor ţări vorbitoare de limba română. Secţiunile oficiale română şi moldovenească, numărul de contribuţii private sau publice din regiune, flancate de articole scrise de analiști cheie din peste 10 ţări, au făcut ca Cybersecurity Trends să fie capabilă să ofere cititorilor săi o adevarată perspectivă internaţională, focusată macro-regional, a problemelor și experienţelor privind ameninţările cibernetice, reflectată în mai mult de 50 de articole publicate în acest an și care au acoperit câteva dintre cele mai importante domenii ale lumii digitale. Nu uităm de asemenea să mulţumim companiilor ale căror contribuţii au permis să existe și o versiune printată a revistei, și care, mai mult de atât, au arătat maturitate în modul în care au ajutat și s-au alăturat acestei reviste de conștientizare. Într-un cuvânt, credem că revista a atins acum o „altitudinea de croazieră” şi ne exprimăm sincer speranţa că ne vor rămâne alături atât vechii colaboratori cât și că ni se vor alătura noi colaboratori care să ajute la menţinerea revistei şi chiar perfecţionarea ei pe termen mediu și lung, desigur, împreună cu Congresul care i-a dat naştere şi ale cărui idealuri sunt aceleasi, aducând publicul larg în legătură directă cu actorii statali şi cei privati din domeniul siguranţei IT&C. În acest scop ITU a decis să ajute în continuare la consolidarea diseminării de conştientizare şi să promoveze unele din cele mai noi materiale privind protecţia în prima linie în lumea digitală, dedicate atât cetăţenilor cât și antreprenorilor. Acestor materiale li se vor alătura publicaţiile destinate copiilor, adolescenţilor și părinţilor traduse în limba română în acest an şi postate pe site-ul securitate-online.ro. Încurajând schimbul de bune practici şi instrumente, făcându-le uşor accesibile pentru cititori prin traducerea lor în limba română, a fost creat de fapt un mecanism eficient care să ajute la generarea de rezultate în creșterea conștientizării publicului. ITU susţine aceste eforturi inclusiv în ţările cu competenţe IT remarcabile, și pentru care conștientizarea legată de securitatea IT trebuie să fie întărită. În acest scop, primele 3 volume care vor fi disponibile în limba română sunt cele mai recente publicaţii ale ITU: „The Quest for Cyberpeace”, „The Quest for Cyberconfidence” și publicaţia fundamentală „Understanding Cybercrime”, care a fost editată doar cu câteva luni în urmă. La fel ca și «Compendium for schools, teachers and parents for children safety», capodopera SaferInternet Polonia. Profit de această oportunitate pentru a transmite tuturor cititorilor revistei cele mai sincere urări ale ITU pentru un an nou fericit și sigur. Marco Obiso, Cybersecurity Coordinator, International Telecommunication Union, Geneva

3


ends Authorities - Cybersecurity Tr

Anonymous: trecut, prezent și viitor autor: Oana Maria IORDAN,

Analist, Centrul Național CYBERINT

Evoluţiile tehnologice şi dependenţa din ce în ce mai mare a societăţii de tehnologie oferă oportunităţi de dezvoltare, dar pot cauza deopotrivă vulnerabilităţi, riscuri şi ameninţări atât pentru entităţile publice sau private, cât şi pentru utilizatorii finali. Sistemele informatice sunt în permanenţă ameninţate sau chiar atacate, iar nivelul crescând al accesului la Internet oferă agresorilor cibernetici noi oportunităţi pentru a-şi manifesta intenţiile şi derula activităţile.

Aflată în strânsă legătură cu aceste evoluţii tehnologice, ameninţarea cibernetică reprezintă una dintre cele mai dinamice ameninţări actuale şi poate veni din partea unei diversităţi de agresori cibernetici. Una dintre principalele forme de manifestare a ameninţărilor cibernetice o reprezintă agresiunile cibernetice derulate de către grupările hacktiviste. Hacktivismul reprezintă manifestarea activismului în spaţiul cibernetic. Format prin combinarea cuvintelor „hack” şi „activism”, hacktivismul presupune derularea de atacuri cibernetice asupra unor sisteme informatice şi pagini web cu scopul de a transmite un mesaj de protest, motivat politic sau social.1 Principalul exponent la nivel internaţional al hacktivismului este reprezentat de gruparea Anonymous, şi celulele sale create la nivel naţional. Anonymous este o grupare meritocratică, fără conducere centralizată, specializată atât în activităţi de tip anarhist (proteste, demonstraţii, manifestări) cât şi în derularea de agresiuni cibernetice, cu caracter infracţional. În ultimii ani, gruparea Anonymous a evoluat către o mişcare politică şi socială globală, al cărei principiu de bază este susţinerea libertăţii de exprimare şi informare. Indiferent de mijloacele de acţiune folosite, de cele mai multe ori ilegale (derularea de agresiuni cibernetice), membrii Anonymous declară că „apără libertăţile fundamentale ale oamenilor”.

4

Originile grupării Anonymous se regăsesc în anul 2003, atunci când Christopher Poole, un tânăr din New York, a lansat site-ul 4chan.org, un forum anonim de discuţii unde se puteau posta fotografii şi comentarii. Tematica de discuţii s-a diversificat în timp, site-ul devenind locul de întâlnire al multor hackeri anonimi, cunoscuţi sub denumirea de „anons”2, care au început să facă schimb de cunoştinţe tehnice şi să discute pe subiecte din domenii diverse. În anul 2004, din această comunitate de hackeri anonimi a luat naştere gruparea care s-a autointitulat Anonymous, în care oricine putea deveni membru, fără taxe sau proceduri specifice, şi care derula în mediul virtual acţiuni colective sub forma unor farse fără a avea încă obiective motivate de activism. Abia în anul 2008 gruparea Anonymous a fost pentru prima dată asociată cu activismul şi hacktivismul, odată cu Proiectul Chanology, prin lansarea de acţiuni împotriva Bisericii Scientologice şi a cenzurii pe Internet, ca urmare a încercării acestui cult de a scoate de pe Internet un material video cu Tom Cruise. Pe 15 martie 2008 au avut loc proteste simultane în mai multe oraşe din lume la care au participat membri ai Anonymous, care au purtat măşti precum cea a personajului Guy Fawkes din filmul „V for Vendetta”. Acţiunile de protest stradal au fost susţinute prin atacuri cibernetice derulate de către hackerii din cadrul grupării asupra site-ului Bisericii Scientologice. După această reuşită, gruparea Anonymous a devenit cunoscută şi a obţinut atenţia media. Gruparea a adoptat sloganul „Knowledge is free. We


are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us” şi a început să folosească drept simbol al grupării masca Guy Fawkes. Promovarea grupării în media a crescut vizibilitatea şi simpatia de care se bucură şi i-a adus un număr din ce în ce mai mare de membri şi simpatizanţi, devenind un grup divers şi amestecat de persoane. Ceea ce îi aduce împreună este motivaţia, apartenenţa la ideologie prin susţinerea aceloraşi obiective, precum şi unele caracteristici comune: de regulă sunt persoane nemulţumite de condiţiile sociale existente, apărători ai drepturilor omului. Anonymous consideră că „cenzura, îngrădirea liberei exprimări şi lăcomia necontrolată a marilor corporaţii şi a guvernelor ne ameninţă cultura şi însăşi existenţa”. Prin acţiunile sale, gruparea îşi exprimă susţinerea pentru o lume mai liberă, unde „guvernele nu îşi oprimă proprii cetăţeni şi Internetul este menţinut liber pentru oricine doreşte să îl utilizeze” şi îşi propune să apere aceste principii cu orice preţ.3 Din 2003 şi până în prezent, gruparea s-a implicat atât în derularea de acţiuni de stradă, cât şi în activităţi infracţionale, prin derularea unor campanii de atacuri cibernetice (operaţiuni), cu scopul de a atrage atenţia asupra unor cauze considerate de grupare legitime şi de a-şi exprima dezaprobarea faţă de decizii şi evenimente importante din viaţa socială, politică, economică, religioasă, etc. Atacurile cibernetice derulate de către membrii grupării vizează de regulă pagini web şi sisteme informatice aparţinând unei diversităţi de ţinte din întreaga lume: de la instituţii şi agenţii guvernamentale, la entităţi private şi persoane publice, precum şi site-uri de socializare, precum Facebook şi Twitter. Principalele metode de atac folosite, în vederea afectării integrităţii şi disponibilităţii sistemelor informatice vizate, precum şi accesării/exfiltrării datelor gestionate, rămân cele de tip Defacement4, Denial of Service (DoS)5 şi SQL Injection (SQLi)6. Deşi nu au un grad ridicat de complexitate şi nu necesită cunoştinţe avansate de hacking, aceste tipuri de atac pot fi destul de eficiente. Pentru a facilita derularea atacurilor, sunt puse la dispoziţia membrilor grupării aplicaţii gata create, precum LOIC (Low Orbit Ion Cannon) sau HOIC (High Orbit Ion Cannon), disponibile gratuit, precum şi tutoriale care explică modul în care pot fi derulate atacurile cibernetice. De-a lungul timpului, gruparea Anonymous a derulat o serie de operaţiuni cibernetice majore la nivel internaţional, de susţinere a anumitor cauze. Operaţiunea Payback, primul protest de masă din istoria Internetului, a debutat în septembrie 2010, când gruparea a lansat o serie de atacuri cibernetice asupra Recording Industry Association of America (RIAA) şi Motion Picture Association of America (MPAA), ca răspuns la măsurile întreprinse de aceste instituţii împotriva reţelelor de file sharing pentru a proteja drepturile de distribuţie şi proprietatea intelectuală. Ulterior la sfârşitul anului 2010, Operaţiunea Payback a vizat site-urile celor mai mari companii de plăţi cu cardul (Visa, MasterCard şi PayPal) după ce acestea au decis sistarea plăţilor spre conturile organizaţiei Wikileaks. Această operaţiune a fost urmată de o serie de operaţiuni având cauze politice. Activitatea grupării a fost marcată de evenimente importante, în

care protestele globale au avut un rol major, reuşind spre exemplu să atragă atenţia asupra mişcării Occupy Wall Street, exceselor din sectorul financiar sau chiar să susţină lupta împotriva unor regimuri autoritare (Primăvara Arabă). În ianuarie 2011 a fost lansată Operaţiunea Tunisia, în sprijinul acţiunilor de protest din cadrul Primăverii Arabe. În cadrul acestei Operaţiuni, membrii grupării au atacat o serie de site-uri guvernamentale şi au creat şi pus la dispoziţie un script ce putea fi folosit pentru protejarea browserelor web împotriva supravegherii guvernamentale. Pe măsura extinderii protestelor şi în alte state arabe au fost create şi alte operaţiuni afiliate, precum operaţiunea Libia, Operaţiunea Maroc sau Operaţiunea Egipt. Tot în 2011 a fost lansată Operaţiunea Darknet împotriva site-urilor care promovau pornografia infantilă. În ceea ce priveşte atacurile cibernetice asupra companiei Sony, care au dus la furtul datelor personale a peste 100 de milioane de utilizatori, gruparea a negat că s-ar afla în spatele acestor atacuri, declarând că „Anonymous nu se află în spatele atacurilor, însă este evident că cei care au spart serverele Sony au vrut să pară aşa”.7 În iunie 2012, membri ai grupărilor Anonymous şi LulzSec au lansat Operaţiunea AntiSec împotriva instituţiilor guvernamentale, cu scopul de a protesta împotriva cenzurii şi monitorizării Internetului. Ca răspuns la operaţiunile militare ale Israelului în Fâşia Gaza, în noiembrie 2012 Anonymous a lansat Operaţiunea Israel, reluată în aprilie 2013 şi în august 2014, derulând atacuri cibernetice asupra mai multor site-uri aparţinând unor entităţi publice şi private israeliene, inclusiv asupra site-ului Primului Ministru, Forţelor Militare Israeliene, Ministerului de Finanţe, dar şi asupra unei bănci importante din Israel. Printre cele mai recente operaţiuni lansate de către Anonymous se numără Operaţiunea Charlie Hebdo, Operaţiunea ISIS şi Operaţiunea Paris. După atacurile teroriste de la Paris, din ianuarie 2015, şi după ce Daesh8 a devenit cunoscută şi pentru atacuri cibernetice derulate de membri sau simpatizanţi ai grupării, precum cel asupra TV5Monde, membrii Anonymous au lansat două operaţiuni conexe, Charlie Hebdo şi ISIS, prin care condamnau acţiunile teroriste şi anunţau că „Noi, Anonymous din întreaga lume, am decis să vă declarăm război vouă, teroriştilor, şi să răzbunăm uciderile prin blocarea conturilor voastre de pe toate reţelele sociale”. În consecinţă, gruparea Anonymous, alături de alte grupări precum GhostSec, o grupare de elită formată

5


ends Authorities - Cybersecurity Tr din foşti şi actuali membri Anonymous, au început o campanie de atacuri cibernetice împotriva unor siteuri afiliate Daesh, conturi de social media şi disruperea unor activităţi de finanţare online. Gruparea a atacat şi indisponibilizat mai multe site-uri conexe Daesh, precum site-ul jihadist ansar-alhaqq. net.9 De asemenea, au identificat şi au raportat Twitter şi YouTube mai multe conturi folosite pentru propagandă sau afiliate Daesh, reuşind să le închidă. Într-o înregistrare video realizată de către Anonymous pentru a-şi revendica succesul, o persoană purtând masca Anonymous afirma: „Teroriştii care se autointitulează Statul Islamic (ISIS) nu sunt musulmani. ISIS, te vom vâna, îţi vom închide site-urile, conturile, e-mail-urile şi te vom expune. De acum înainte nu mai există loc sigur online pentru tine. Vei fi tratat ca un virus, iar noi suntem leacul. Noi deţinem Internetul”.10 De asemenea, conform unui raport al Radware11, în februarie 2015, Anonymous a publicat o listă cu o baza de date conţinând datele personale a 2000 de presupuşi membri Daesh. După atacurile recente de la Paris, din 13 noiembrie 2015, Anonymous a declarat război Daesh, având ca ţintă simpatizanţi şi susţinători ai acestor atacuri. Această operaţiune cibernetică agresivă

a Anonymous este cunoscută sub numele de #OpParis (@opparisofficial/ https://twitter.com/opparisofficial), informaţii fiind disponibile pe un canal de comunicaţii dedicat, de tip IRC (irc.anonops.com SSL 6697). Operaţiunea Paris are trei faze: obţinerea de informaţii pentru identificarea suporterilor şi susţinătorilor atacurilor, faza a doua constă în derularea de atacuri pentru a obţine informaţii suplimentare despre cât mai multe ţinte, iar cea de-a treia fază constă în publicarea informaţiilor obţinute pe site-ul Ghostbin pentru derularea altor atacuri. Pentru derularea Operaţiunii, a fost creat şi pus la dispoziţia membrilor Anonymous un instrument automat, Anonymous Takedown Bot, folosit pentru a suspenda conturile de Twitter asociate Daesh sau membrilor şi simpatizanţilor grupării. Putem spune aşadar că de aproape un an se desfăşoară în mediul online un adevărat război între simpatizanţii terorismului, fie ei membri sau susţinători ai Daesh ori Al Qaeda, şi membrii grupărilor hacktiviste. În această luptă, ne putem întreba, gruparea se află în faţa unei potenţiale crize existenţiale? Dacă Anonymous apără folosirea liberă a Internetului, acest concept nu se aplică tuturor, inclusiv militanţilor Daesh? De asemenea, ce se întâmplă atunci când o grupare formată pentru a se opune autorităţii se află în situaţia de a împărtăşi aceleaşi obiective ca şi cele ale guvernelor occidentale (cel puţin)?12 Pentru cei implicaţi în astfel de operaţiuni cibernetice, răspunsul nu este atât de complicat, aşa cum rezultă din poziţia exprimată de unul dintre membrii pe un forum Anonymous: „Taking away the free speech from a group that is advocating the end of free speech is delicious fun. Telling someone who’d happily chop off your head and mine on national TV to get lost is delicious fun too.”13

Note: 1 2

3

4

5

6

http://www.webopedia.com/TERM/H/hacktivism.html După numele de utilizator (user) Anonymous pe care îl primeau automat când intrau pe site cei care nu aveau deja un nume de utilizator stabilit http://dailycaller.com/2011/02/26/who-isanonymous-a-look-at-the-hacktivists-aidingrevolution-in-the-middle-east/2/ Atac asupra unui website, care constă în înlocuirea neautorizată a unei pagini web aparţinând acestuia, prin exploatarea unor vulnerabilităţi ale serverului ce îl găzduieşte. Pagina web introdusă conţine un mesaj prin care, în general, se motivează atacul şi se precizează autorul sau gruparea care l-a efectuat sau alte date (precum conturi de utilizator sau eventuale link-uri). În urma unui atac defacement, forma legitimă a website-ului este inaccesibilă utilizatorilor obişnuiţi, fiind necesară restaurarea lui, precum şi verificarea breşelor de securitate care au permis agresiunea. Atac prin care se urmăreşte indisponibilizarea sau blocarea resurselor unui calculator. Cea mai frecventă metodă constă în „saturarea” calculatorului ţintă cu solicitări de comunicare externe, astfel încât să nu mai poată reacţiona eficient la traficul internet sau chiar să devină indisponibil. Reprezintă un tip de agresiune prin care se urmăreşte blocarea accesului la un sistem sau la un serviciu oferit de acesta, prin epuizarea unei

6

7

8

9 10

11

12

13

resurse alocate sistemului sau serviciului respectiv. Eficienţa unui astfel de atac sporeşte considerabil în momentul în care sunt folosite mai multe calculatoare ce „asaltează” simultan cu cereri sistemul ţintă (Distributed Denial of Service-DDoS). Atac informatic prin care date nevalidate ajung să facă parte dintr-o comandă sau interogare. Majoritatea proiectelor web folosesc baze de date pentru a-şi stoca datele. Limbajul SQL este un standard internaţional ce stabileşte regulile şi sintaxa comenzilor ce pot fi transmise unui sistem de gestiune a bazelor de date, pentru manipularea datelor stocate. http://www.realitatea.net/hackerii-anonymous-despre-atacul-informaticde-la-sony-nu-am-fost-noi_832278.html Daesh este acronimul pentru denumirea în arabă a Statului Islamic al Irakului şi Siriei (Al-Dawlah Al-Islamyah fe Al-Iraq wa Al-Sham). Dorind recunoaşterea statutului de entitate statală suverană şi independentă, adeptă a principiilor islamice, gruparea teroristă insistă pentru utilizarea acronimului IS/ISIS. Prin folosirea, însă, a denumirii Daesh se evită recunoaşterea acestei organizaţii teroriste ca fiind o entitate statală islamică. http://mashable.com/2015/01/10/anonymous-operation-charlie-hebdo/ http://www.antena3.ro/externe/anonymous-sustine-ca-a-preluatcontrolul-unor-conturi-de-twitter-afiliate-gruparii-stat-islamic-282847. html http://security.radware.com/uploadedFiles/Resources_and_Content/ Case_Summaries/ERTAlert-OpParis.pdf Anonymous vs Islamic State - http://foreignpolicy.com/2015/11/13/ anonymous-hackers-islamic-state-isis-chan-online-war/ Ibid.


Authorities

„Application Whitelisting” – Cea mai eficientă strategie antimalware autor: Cătălin Pătrașcu

Analizând datele procesate de CERT-RO în ultimii ani cu privire la diferite variante de malware, dar și informaţiile publicate în această perioadă de diferite organizaţii ce activează în domeniul securităţii cibernetice, rezultă o tendinţă evidentă de diversificare, specializare și creștere a complexităţii aplicaţiilor maliţioase, fie că vorbim despre APT (Advanced Persistent Threats), botnet, malware financiar (banking botnets) sau Ransomware. Softwareul maliţios reprezintă una dintre cele mai răspândite și periculoase tipuri de ameninţări cibernetice și asta datorită, în primul rând, impactului negativ pe care-l poate avea asupra unui sistem informatic infectat cu un astfel de software. În prezent există o varietate de tehnici și tehnologii destinate combaterii acestui tip de ameninţare, precum bine-cunoscutele soluţii de tip antivirus, firewall, IDS, IPS etc., încă destul de eficiente, însă rândurile următoare sunt dedicate conceptului de „Application whitelisting”, a cărui implementare îndrăznesc s-o consider de o importanţă deosebită pentru combaterea ameninţării malware. „Application whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai softwareul autorizat/cunoscut. La prima vedere pare un obiectiv idealist și poate că acesta este unul dintre principalele motive pentru care un astfel de mecanism nu are o rată de implementare ridicată, mai ales în rândul organizaţiilor mici și utilizatorilor casnici. Conceptul în sine nu este ceva nou, reprezentând practic o

C`t`lin P~TRA{CU Șef Serviciu Securitate Informatică și Monitorizare

extindere la nivelul aplicaţie din stiva TCP/IP a abordării de tip „default deny” (nu permite în mod implicit) utilizată de mult timp de tehnologiile firewall. Implementările corecte de „application whitelisting” presupun: Unelte care să faciliteze identificarea executabilelor și librăriilor software (precum DLL în Windows) și care să permită sau să blocheze rularea acestora; Metodele de identificare a executabilelor și librăriilor software nu trebuie să se bazeze pe reguli slabe, precum numele fișierului sau locaţia acestuia în structura de directoare. Cea mai eficientă metodă constă în identificarea acestora pe baza certificatelor digitale cu care sunt semnate sau, în cazul în care nu sunt semnate, pe baza amprentelor digitale de tip „hash”; Mecanisme de tip ACL (Access Control Lists) care să prevină modificarea de către utilizatori a listei programelor software permise. În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţărilor de tip malware și există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare: SRP (Software Restriction Policies) – o facilitate conţinută de unealta Group Policy, începând cu Windows XP; AppLocker – unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy. În cazul sistemelor de operare Linux/Unix, implementarea „application whitelisting” este ceva mai dificilă, în sensul că nu este încă nativ suportată de kernel și nici nu există în distribuţiile de Linux importante o unealtă dedicată acestui lucru. Totuși, există câteva soluţii comerciale care facilitează implementarea, însă acestea depind de versiunea de kernel utilizată și pot apărea probleme în cazul actualizărilor. Alte variante ar fi utilizarea uneltelor SELinux sau AppArmor, deși acestea nu au fost proiectate în acest sens și ar presupune resurse consistente de implementare și testare. În anumite cazuri implementarea „application whitelisting” se poate dovedi greoaie și consumatoare de resurse, însă beneficiile din punct de vedere al prevenirii infecţiilor cu malware sunt considerabile. Mai mult, se obţine un nivel ridicat de vizibilitate în ceea ce privește fișierele executabile și librăriile software introduse într-un sistem informatic, un aspect extrem de util în procesul de investigare a incidentelor de securitate cibernetică. În încheiere aș îndrăzni să concluzionez că, deși nicio soluţie de securitate nu poate fi considerată un panaceu, probabil că „application whitelisting” este cea mai eficientă metodă de reducere a impactului generat de malware în cadrul sistemelor informatice utilizate în prezent.

7


ends Authorities - Cybersecurity Tr

Fraude cu carduri bancare autor: Virgil Spiridon

Comerţul electronic si tranzactiile online au cunoscut o evoluţie fulminantă, vânzările la nivel global fiind estimate la 1,6 trilioane USD în anul 2015, cu aproape 21% mai mult decât anul trecut, conform studiului realizat de eMarketer (2014). În acest context, fraudele privind mijloacele de plată electronică reprezintă un nou orizont pentru crima organizată, care de-a lungul timpului a reușit să rafineze modurile de operare, crescând în mod exponenţial oportunităţile de fraudă în acest domeniu. Activităţile infracţionale din domeniul fraudelor cu carduri bancare reprezintă un complex de activităţi care vizează în primul rând compromiterea și obţinerea, în mod fraudulos, a datelor informatice confidenţiale înscrise pe banda magnetică a cardurilor, iar în cele din urmă utilizarea acestor date la contrafacerea de cărţi de credit și retragerea frauduloasă de sume de bani din bancomate sau achiziţionarea de bunuri sau servicii în mediul online.

Virgil Spiridon Adjunct al inspectorului general al Poliţiei Române Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliţia Română Coordonator în cadrul proiectului european EMPACT/ EUROPOL, pe linia criminalității informatice (Fraude cu cărți de credit) http://www.politiaromana.ro; www.efrauda.ro

8

Fraudele privind mijloacele de plată electronică se pot realiza prin mai multe metode, și anume: Skimming-ul - montarea de echipamente electronice artizanale (guri de bancomat/skimmer și sisteme miniaturale video) la bancomate (ATM-uri – Automatic Teller Machines), pompe de benzină, staţii de plată a taxelor de autostradă (Europa de vest), sau POS–uri (Point of Sales), cu scopul de a copia datele de pe banda magnetică a cardurilor și înregistrarea video a codurilor PIN; Skimmerele sunt dispozitive de mici dimensiuni care sunt utilizate în scopul de a copia și a stoca sau a transmite datele de pe banda magnetică a cardului. O dată ce cardul este trecut prin dispozitivul de skimming, datele sunt copiate, iar codul PIN este înregistrat de regulă prin intermediul unor camere video instalate la ATM-uri sau POS-uri. Aceste date sunt ulterior utilizate pentru clonarea cardurilor bancare sau sunt vândute altor grupări organizate care le vor utiliza pentru retragerea de numerar sau achiziţionarea de bunuri, de regulă din străinătate. Furtul cardului original și utilizare după caz (daca este cunoscut codul PIN) la retragerea de bani sau plăţi frauduloase online sau accesul fizic și copierea prin fotografiere sau înregistrare video a celor doua feţe ale cardului pe care se află datele acestuia; Utilizare de echipamente electronice aparent legale (cititoare de carduri bancare /skimmere/”pisicuţe”) de către angajaţii unor companii/ magazine unde plata produselor sau a serviciilor se face la POS. De cele mai multe ori, deţinătorul cardului nu este conștient că datele au fost compromise până în momentul în care sesizează în extrasul de cont tranzacţiile neautorizate sau este informat de către un angajat al instituţiei bancare. Introducerea tehnologiei EMV (cardurile cu CIP), în special în Europa, a determinat importante mutaţii în domeniul acestui gen de fraude deoarece acest tip de card nu poate fi contrafăcut. Din motive comerciale, majoritatea instituţiilor bancare menţin în continuare cardurile cu bandă magnetică, astfel că în prezent există pe piaţă atât carduri cu CIP cât și cu bandă magnetică, fapt care permite în continuare copierea datelor existente pe bandă magnetică, contra-


facerea cardurilor și efectuarea de tranzacţii frauduloase, însă acestea sunt posibile în zone din afara Europei, respectiv S.U.A., America de Sud, Asia de Sud-Est. O alta metodă de fraudă cu carduri bancare, deși din punct de vedere al încadrării juridice nu se supune prevederilor legale referitoare la infracţiunile cu instrumente de plată eletronică, fiind practic un caz de furt, este metoda denumită generic „furculiţa” (reversal transaction). Astfel că prin utilizarea unui dispozitiv metalic, în urma efectuării unei tranzacţii la bancomat, se putea bloca suma în cauză în fanta unde se eliberează banii din ATM, după care era sustrasă, fără ca respectivul cont, atașat cardului, să fie debitat. Prezenţa sumelor mari de bani în ATM-uri a atras dintotdeauna atenţia infractorilor care, dacă la început se orientau spre furtul fizic al bancomatului și apoi spre sustragerea banilor din interior, în prezent au reușit, prin utilizarea unor softuri dedicate de tip malware, să manipuleze sistemul informatic al bancomatului și să îl determine să elibereze sume de bani fără a se folosi instrumente de plată electronică. Atacurile de tip phishing/spear-phishing, care în decursul timpului au cunoscut diverse forme de manifestare, de la atacurile ce imitau paginile web ale unor instituţii bancare/financiare, la atacuri ce imitau paginile unor branduri online renumite, toate având același scop, respectiv solicitarea de date personale ale posesorului de card (date de identitate, adrese de email, telefon, alte informaţii) dar și datele înscrise pe cele doua feţe ale cardurilor bancare, respectiv: numărul cardului, numele/ prenumele posesorului, codul CVV și data expirării cardului. Important de menţionat este faptul că datele obţinute prin această metodă pot fi folosite în special la tranzacţiile online. Phishing-ul este o activitate infracţională ce constă în obţinerea în mod neautorizat a unor date confidenţiale, folosind de regulă însemnele personale ale unei instituţii. Spear-phishing-ul este o activitate de phishing ce vizează doar anumite persoane sau grupuri dintr-o organizaţie. Astfel, prin mesaje email de tip spam, utilizatorul este îndrumat să acceseze un site care imită site-ul unei instituţii cunoscute și i se solicită sub diferite pretexte date de autentificare sau informaţiile cardurilor bancare. Odată ajunse în posesia infractorilor cibernetici, aceste date sunt utilizate în mod neautorizat pentru achiziţionarea online de bunuri și servicii (Card not present fraud). Atacurile de tip malware - utilizarea de produse software de tipul malware, viruși, sau alte tipuri de softuri maliţioase, care duc la compromiterea sistemelor informatice sau a bazelor de date ce stochează sau manipulează datele cardurilor în procesul de acceptare/autorizare a plăţilor online. Începând cu anul 2013, în străinătate au fost identificate primele ATM-uri infectate cu programe de tip malware în vederea efectuării de retrageri frauduloase. Trebuie menţionat că în acest caz nu se targetează contul unei persoane care utilizează ATM-ul, ci chiar ATM-ul în sine. Pentru infectarea cu malware a ATM-ului este necesar accesul fizic la portul USB al ATM-ului sau la sistemul de citire al mediilor optice (CD sau DVD). Malware-ul odată instalat va transmite un cod ce va accesa interfaţa utilizată pentru retragerile de numerar. Ca măsuri de prevenire, trebuie menţionat în primul rând că instituţiile financiare vor trebui să se asigure că software-ul ATM-ului beneficiază de toate update-urile și

Vânzările online fiind estimate la 1,6 trilioane USD în anul 2015 au crescut în mod exponenţial oportunităţile de fraudă în acest domeniu. patch-urile necesare. De asemenea, trebuie impiedicat accesul fizic al persoanelor neautorizate la porturile USB și la sistemul de citire al mediilor optice precum și existenţa unor alarme și a unor parole de acces la sistemul de operare care să împiedice un eventual acces neautorizat. Forumurile de carding/hacking reprezintă un spaţiu cibernetic care permite relaţionarea şi schimbul de informaţii, servicii şi produse, în mod anonim, între numeroși criminali cibernetici la nivel global. Această piaţă neagră permite accesul la o serie impresionantă de servicii destinate activităţii de hacking. Comunităţile online de acest tip au reguli foarte bine stabilite, accesul făcându-se de regulă pe bază de invitaţie din partea unui membru existent. Utilizatorii forumului sunt notificaţi în mod regulat să schimbe regulat parola de acces pe forum, pentru a împiedica astfel accesul unor persoane din afara comunităţii, iar în caz de nerespectare a acestei reguli, conturile vor fi în mod automat dezactivate. Plăţile pentru serviciile achiziţionate (servicii de tip VPN - Virtual Private Network, credenţialele unor carduri compromise, programe de tip malware, servicii de bulletproofhosting) se fac prin intermediul unei monede electronice, de regulă fiind vorba de Bitcoin sau de PerfectMoney. Astfel, prin intermediul acestor comunităţi online având membri din toate colţurile lumii, chiar și persoanele fără cunoștinţe aprofundate în activităţi de hacking, pot intra în posesia know-how-ului și a unor date și servicii necesare în activităţi de phishing/skimming/ infectare cu malware a ATM-urilor sau a sistemelor informatice aparţinând instituţiilor financiare.

9


ends Authorities - Cybersecurity Tr

Rolul conștientizării în domeniul securităţii cibernetice în Republica Moldova autor: Natalia Spinu

Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

Domeniul securităţii cibernetice a început să capete noi dimensiuni odată cu creşterea gradului de automatizare a nivelului tehnologic şi extinderea şi amplificarea ameninţărilor cibernetice. În acelaşi timp, evoluţia contextului geopolitic a impus o nouă paradigmă a culturii securităţii naţionale, în care dimensiunea

Natalia Spinu Natalia Spinu este conducătorul Cyber Security Center CERT-GOV-MD, S.E. Center for Special Telecommunications, Cancelaria de Stat a Republicii Moldova. Ea a fost șefa departamentului Centrului de Telecomunicații Speciale a Moldovei și coordonator de proiect al Centrului de Informare și Documentare al NATO. Ea a absolvit în 2012 programul Marshall Center de Advanced Security Studies, a absolvit European Training Course in Security Policy la Geneva Centre for Security Policy, și deține un masterat de la European Institute of the University din Geneva.

10

cibernetică capătă o importanţă crescândă alături de celelalte domenii care vizează securitatea naţională. Spaţiul cibernetic se caracterizează prin lipsa frontierelor, dinamism şi anonimat, generând deopotrivă atât oportunităţi de dezvoltare a societăţii informaţionale bazate pe cunoaştere, cât şi riscuri la adresa funcţionării acesteia. Alături de beneficiile incontestabile pe care informatizarea le induce la nivelul societăţii moderne, ea introduce şi vulnerabilităţi, astfel că asigurarea securităţii spaţiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor implicaţi, mai ales la nivel instituţional, unde se concentrează responsabilitatea elaborării şi implementării unor politici aplicate domeniului de referinţă. Se resimte necesitatea dezvoltării culturii de securitate cibernetică a utilizatorilor sistemelor informatice şi de comunicaţii, adesea insuficient informaţi în legătură cu potenţialele riscuri, dar şi cu soluţiile de contracarare a acestora. Nivelul culturii de securitate cibernetică trebuie adaptat la nivelul ameninţării cibernetice şi în acelaşi timp, cu o mobilizare generală în identificarea valorilor naţionale care vizează resursa umană care trebuie specializată şi implicată în aceast domeniu. Evoluţia recentă a atacurilor cibernetice din RM situează ameninţarea cibernetică printre cele mai dinamice ameninţări actuale la adresa securităţii naţionale. Consider ca domeniul securităţii cibernetice este o dimensiune importantă a securităţii naţionale, asumându-şi angajamentul de a asigura cadrul normativ în domeniu pentru a face faţă cerinţelor internaţionale şi care să faciliteze, cooperarea bilaterală şi schimbul prompt şi eficient de informaţii între autorităţile competente pentru combaterea utilizării tehnologiei informaţiei în scopuri teroriste sau criminale. Pe parcursul ultimilor ani, am fost cu toţii martori cum companiile mari, avansate tehnologic, au devenit victime ale atacurilor cibernetice. Marele corporaţii investesc milioane în dezvoltarea tehnologiilor și au drept angajaţi cei mai calificaţi specialiști în domeniul securităţii, dar totuși acest fapt nu le protejează de infractorii cibernetici și suportă pierderi colosale în urma atacurilor din spaţiul virtual.


Adesea, investiţiile în tehnologii se egalează cu zero, atîta timp cît, investind în infrastructura de securitate IT, nu se atrage atenţie la educarea și informarea utilizatorilor simpli din cadrul companiilor. De regulă, angajaţii sunt instruiţi în domeniile lor de specialitate, cum ar fi tehnologie, contabilitate, vînzări, etc., dar mai puţin în domeniul protecţiei datelor companiei de potenţialii infractori din exterior. Nu ar fi corect să ne bazăm pe faptul că angajaţii ar ști intuitiv regulile de comportament și pericolele spaţiului cibernetic, ca să poată proteja informaţia de serviciu. Din acest motiv, se impune necesitatea întocmirii și implementării unui program eficient de securitate în cadrul companiei, aplicarea căruia va asigura angajaţii cu pregătirea necesară de cunoștinţe, care ar include regulile de comportament în cazul unor atacuri cibernetice manifestate sub orice formă e-mailuri, mijloace de program maliţioase, etc. Lipsa unui program eficient de securitate cibernetică a afectat și Republica Moldova. Astfel, în luna ianuarie curent, mai multe institutii din Moldova au fost afectate de un atac cibernetic masiv, care s-a efectuat prin intermediul diseminării, de către atacatorii cibernetici, a mesajelor spamphishing. Atașamentul din aceste mesaje conţinea un program maliţios de tip ransomware - «CTB Locker». Profitînd de credulitatea recipienţilor, acest program maliţios a criptat fișierele victimelor, care ulterior au fost șantajate cu o răscumpărare în moneda electronică „Bitcoin”, pentru recuperarea informaţiilor criptate. Aceste experienţe ne vorbesc încă o dată despre faptul că indiferent de cît de bine este proiectat un sistem de protecţie a informaţiei, aceasta nu va fi eficient, atîta timp cît angajaţii nu vor conștientiza responsabilitatea pe care o poartă și nu se vor informa referitor la normele de comportament, necesare pentru protejarea datelor și resurselor informationale care apartin institutiei. Pierderile cauzate de atacurile cibernetice au demonstrat necesitatea întreprinderii unor măsuri speciale pentru asigurarea conștientizării în domeniu securităţii cibernetice la nivel naţional. Prin urmare, măsurile de soluţionare a problemei date, alături de alte probleme din domeniul securităţii cibernetice, au fost incluse în „Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”, aprobat de către Guvern pe data de 29 octombrie 2015. Programul are drept scop crearea unui sistem de management calitativ pentru asigurarea securităţii cibernetice și include măsuri de sporire a conștientizării importanţei securităţii cibernetice, precum și informarea cetăţenilor și angajaţilor despre potenţialele pericole de utilizare a Internetului și a poștei electronice. La fel, acesta are drept scop asigurarea întreprinderii unor pași concreţi pentru protejarea întreprinderilor și guvernului de atacuri cibernetice, fraudă, furt de identitate și alte activităţi maliţioase. O altă măsură întreprinsă pentru sporirea gradului de conștientizare în domeniul securităţii cibernetice este organizarea anuală a Conferinţei internaţionale în domeniul securităţii cibernetice, începînd cu anul 2013. Acest eveniment este parte a Lunii Securităţii Cibernetice care este octombrie, și are drept scop consolidarea cooperării dintre sectorul public și privat, precum și intensificarea colaborării internaţionale pentru o mai bună rezistenţă a securităţii informaţionale în Republica Moldova în faţa pericolelor din spaţiul cibernetic. Totuși, constatăm cu regret că, în pofida tuturor eforturilor, societatea moldovenească continuă să subestimeze pericolele din spaţiul cibernetic.

Din păcate, în cadrul instituţiilor de stat și a companiilor private încă nu este o cultură elementară de utilizare a tehnologiilor informaţionale. Pentru a redresa situaţia, CERT-GOV-MD organizează sistematic instruiri, care au drept scop sporirea conștientizării pericolelor din spaţiul cibernetic. Astfel, în lunile octombrie – noiembrie al anului curent, s-a desfășurat o nouă rundă de instruiri în domeniul securităţii cibernetice, pentru colaboratorii unor instituţii guvernamentale. Ca urmare a estimărilor rezultatelor obţinute, s-a constatat că în jur de 57% din angajaţi instruiţi deţin cunoștinţe generale în domeniul securităţii informaţionale, 24% deţin cunoștinţe bune, iar la 19% din angajaţi deţin un nivel foarte scăzut de cunoștinţe care trebuie îmbunătăţit considerabil. Conștientizarea în domeniul securităţii cibernetice este o componentă critică în protejarea celui mai important activ al unei organizaţii – a datelor sale, iar instruirea utilizatorilor care are drept scop identificarea ameninţărilor și evitarea riscurilor. Aceste elemente vor asigura securitatea cibernetica, care este un proces continuu și sistematic si trebuie sa devină o parte indispensabilă a culturii de securitate în cadrul oricărei organizaţii.

A apărut ediţia cu numărul 4 Catalog Cloud Computing România 11


ends Advertorial - Cybersecurity Tr

Camera de Comerţ și Industrie România-Israel sărbătorește 25 de ani pe piaţa din România Camera de Comerț și Industrie România Israel (CCIRI) și-a sărbătorit cei 25 de ani de existență în România în cel mai înalt punct al Bucureștiului – SkyTower. Evenimentul „25 and sky is the limit” a reunit personalități de seamă atât din România, cât și din Israel. Printre cei aproximativ 150 de invitaţi, s-au numărat Excelenţa Sa, Ambasadorul Statului Israel în România, doamna Tamar Samash, șeful misiunii economice al Ambasadei Israelului în România, domnul Matan Safran, președintele Federaţiei Comunităţilor Evreiești și, în prezent, deputat în Parlamentul României, domnul Aurel Vainer și președintele fondator al CCIRI, domnul Jose Iacobescu. Evenimentul a marcat sărbătorirea a 25 de ani de relaţii bilaterale între România și Israel. Obiectivul principal al CCIRI în toţi acești 25 de ani a rămas neschimbat: creșterea schimburilor bilaterale între cele două ţări. Fie că este vorba de importuri sau de exporturi, Camera de Comerţ România - Israel lucrează pentru atingerea acestui obiectiv atât cu Ambasada Israelului în România, cât și cu Ambasada României în Israel. „Ne bucurăm și ne onorează să avem lângă noi, cu această ocazie specială, astfel de prieteni. Sărbătorim un sfert de secol în care am colaborat cu oameni excepționali, cărora le mulțumim pentru implicarea susținută în toate proiectele Camerei. Am oferit fiecăruia câte o medalie ediție limitată, în semn de mulțumire pentru sprijinul acordat.” Călin Coșar, Președinte Camera de Comerţ și Industrie România Israel Pentru a susţine cererile de import-export dintre România și Israel, CCIRI caută producători, distribuitori sau parteneri pentru diverse companii din cele două ţări. Totodată,

12

pentru a spori creșterea schimburilor bilaterale, Camera urmărește să atragă cât mai mulţi membri prin organizarea de evenimente de networking dedicate atât companiilor deja membre, celor simpatizante, cât și partenerilor și potenţialilor parteneri. O altă direcţie de acţiune o reprezintă crearea unor grupuri de lucru care să susţină, cu o anumită regularitate, dezbateri axate pe câteva sectoare de activitate. Aceste dezbateri neutre au rolul de a oferi o vedere de ansamblu din perspectiva comunităţii de afaceri. Primul astfel de grup de lucru, în sectorul „financial services”, este constituit din reprezentanţii a cinci bănci și deja și-a început activitatea. Printre sponsorii principali ai evenimentului se numără: Firon Bar Nir, Leumi Bank, New Kopel, Tuborg și SkyTower. Fondată în 1990, Camera Bilaterală de Comerţ și Industrie România Israel este o organizaţie non-profit care numără printre membri săi companii de renume atât în România, cât și în Israel, din diverse sectoare de activitate. Relaţiile comerciale sunt vitale pentru ambele ţări și în multe privinţe se dezvoltă în ciuda condiţiilor economice dificile. Pornind de la acest aspect, activitatea Camerei caută să valorifice potenţialul de comerţ și afaceri bilaterale în toate sectoarele de activitate. Printre serviciile cu care Camera vine în întâmpinarea membrilor se numără: listarea în cataloage de business, buletine legislative, reprezentare atât în relaţia cu administraţiile locale, cât și de stat, oportunităţi de marketing.


13


ds Interview - Cybersecurity Tren

OMC și lumea digitală Interviu cu Ambasador em. Pierre-Louis Girard autor: Laurent Chrzanovski

Pierre-Louis Girard

Laurent Chrzanovski: OMC (Organizația Mondială a Comerțului) este o instituție despre care toată lumea vorbește, dar puțini știu cu ce se ocupă în realitate. Ați fost președinte al numeroase grupuri de lucru, în particular al celui care a privit aderarea Chinei la Organizație. Explicați-ne rolul OMC, acum și în raport cu «predecesorul» său GATT. Pierre-Louis Girard: Organizaţia Mondială a Comerţului are trei funcţii principale. Prima este de a oferi un cadru constituit de reguli stabile și previzibile actorilor comerţului internaţional al bunurilor și serviciilor. A doua este, graţie negocierilor comerciale (sub formă de cicluri de negocieri, cum a fost Uruguay Round sau cum este acum Doha Round, sau în cadrul negocierilor speciale asupra unui subiect sau unui sector specific) de a lărgi liberalizarea schimburilor de bunuri și servicii sau de a

Pierre-Louis Girard Ambasador, Reprezentant permanent al Elveției pe lângă GATT (1984-1988) Negociator-șef al Elveției pentru GATT și OMC (1991-2000) Ambasador, Reprezentant permanent al Elveției pe lângă OMC (2000-2007) Președinte al Grupului de lucru pentru aderarea Chinei la OMC (1988-2001)

14

dezvolta noile norme care se vor aplica acestor schimburi. A treia este de a pune la dispoziţie membrilor săi un sistem de rezolvare a diferendelor, sistem la care o ţară poate să apeleze de fiecare dată când estimează că un partener al ei a încălcat regulile sistemului sau a cauzat un prejudiciu intereselor sale. În multe privinţe, OMC este o dezvoltare și o realizare parţială a obiectivelor care au fost fixate de către negociatorii Acordului General asupra Tarifelor Vamale și Comerţului (GATT) în 1947. Așadar, unul dintre scopuri care a fost imposibil de atins la vremea respectivă, acoperirea sectorului de servicii, a fost parţial realizat în cadrul Uruguay Round și a negocierii asupra serviciilor financiare, care s-a ţinut imediat după această rundă. De asemenea, un acord asupra protecţiei proprietăţii intelectuale, aplicată la bunuri și servicii, a lărgit câmpul acoperit de către regulile comerţului internaţional. Laurent Chrzanovski: Care sunt principalele direcții de lucru ale OMC, sau cel puțin categoriile de produse și comerț de care se ocupă cu prioritate? Pierre-Louis Girard: Principale axele de lucru nu s-au schimbat fundamental, pentru că tot ceea ce privește condiţiile de schimburi constituie un «work in progress», cum spun anglo-saxonii. Eforturile de liberalizare a comerţului produselor agricole și produselor manufacturate rămân o componentă centrală a activităţii OMC. Mai mult, de când organizaţia a fost înfiinţată disciplina in materie de achiziţii guvernamentale dar și aspectele eco-ambientale ale comerţului au căpătat o nouă dimensiune în cadrul activităţilor sale. În sfârșit, de câţiva ani OMC și membrii săi se concentrează pe dezvoltarea, cu prioritate în ceea ce privește ţările în curs de dezvoltare și în beneficiul acestora, de proceduri și programe de sprijin în tot ceea ce privește facilitarea comerţului și ușurarea procedurilor vamale și de mobilitate a bunurilor. Laurent Chrzanovski: Summit-ul de la Cancún a marcat începutul unor ostilități deschise din partea mai multor mișcări anti-globalizare, în cadrul cărora OMC a fost unul dintre principalii țapi ispășitori, dar și ținta unor critici din partea mai multor guverne. De ce? Pierre-Louis Girard: GATT, ca și OMC, au fost întotdeauna obiect al contestaţiilor. Acestea au fost uneori foarte violente, cum au fost în timpul Uruguay Round, de pildă, protestele agricultorilor europeni (și în particular elveţieni), japonezi și coreeni. Mai mult, toate negocierile au fost însoţite de manifestaţii, în anumite momente și de dimensiuni diferite, începând de la sfârșitul anilor 80, organizate de către ONG-uri din ţările dezvoltate și în curs


de dezvoltare, din dorinţa de a-i sprjini pe aceștia din urmă, sau cel puţin pentru ceea ce ONG-urile credeau că ar reprezenta interesele acestora. Unul din punctele culminante ale acţiunilor «anti-globalizare» a fost atins în mod clar la conferinţa ministerială de la Seattle din 1999, când o alianţă de ONG-uri în favoarea ţărilor în curs de dezvoltare, a mișcărilor de apărare a mediului, broaștelor ţestoase și focilor, precum și reprezentanţi ai centralelor sindicale americane AFL-CIO care denunţau «dumping-ul salarial» din partea ţărilor în curs de dezvoltare au reușit să blocheze orice activitate timp de două zile în Seattle. Cauza reală a eșecului conferinţei din Seattle a constat în faptul că ţările membre ale OMC, inclusiv ţările industrializate importante, nu au ajuns la un acord, chiar minim, pe baza căruia să înceapă o negociere. În ceea ce privește Cancun, același fenomen de divergenţe între membrii industrializaţi importanţi, în special între Uniunea Europeană și Statele Unite ale Americii privind agricultura, a permis diverșilor membri, ţări în curs de dezvoltare, să profite de promisiunile care le-au fost făcute în urmă cu doi ani la Doha de aceleași SUA și Uniunea Europeană, în special că runda de la Doha este o «rundă de dezvoltare». Laurent Chrzanovski: În timp ce multe state favorizează acum reuniuni și grupuri bazate pe o regiune, o alianță între state sau un produs specific, cum vă explicați faptul că OMC rămâne în centrul dezbaterilor și că puteri macroregionale, cum ar fi Rusia, și-au negociat cu înverșunare aderarea, care a avut loc abia în 2012 (9 ani după Cancun)? Pierre-Louis Girard: Foarte simplu, pentru că baza juridică care reprezintă acordurile OMC este baza multilaterală cea mai dezvoltată, mai stabilă și mai eficace pe care se pot sprijini ţările ca să-și dezvolte comerţul/schimburile și pentru a se proteja împotriva acţiunilor de pradă ale partenerilor lor comerciali. În plus, prin aderarea ca membri OMC a unor state precum China, Rusia și fostele republici ale URSS, în special, s-a dat o nouă dimensiune statutului lor ca subiect independent din punct de vedere al dreptului internaţional și ca jucător activ în dezvoltarea acestuia. Laurent Chrzanovski: Astăzi, cu excepția materiilor prime, produsele finite sunt din ce în ce mai hibride, iar procentul de produse având o funcție de recepție/transmisie de informații este în creștere exponențială. Aceste date nu pun în pericol negocierile realizate pe «servicii» și «produse», așa cum erau acestea înainte de «internetul obiectelor»? Pierre-Louis Girard: Acest fenomen nu este nou. Cele mai multe exporturi de bunuri au fost însoţite în trecut de elemente de servicii. Luaţi în considerare instalarea unei turbine, serviciile post-vânzare ale mașinilor textile, etc. Faptul că serviciile ar putea apărea ca un export paralel cu cel al bunului nu schimbă cu nimic faptul că ele formează un întreg. De asemenea, dacă vă cumpăraţi o mașină astăzi, probabil, aţi cumpărat posibilitatea de a utiliza simultan două servicii care sunt integrate în achiziţie: GPS și Bluetooth! Laurent Chrzanovski: Puține țări, dar dintre cele importante (inclusiv SUA și China), apeleaza la OMC pentru a elimina barierele cu care se confruntă aceste produse, atunci când țările refuză în temeiul excepției de securitate națională – așa cum a fost definită în articolul XXIb GATT (din 30 octombrie 1948!) apoi reprodusă în 1994 (TRIPS articolul 73) și în curs de reproducere, aproape neschimbată în GATS (articolul 14bis.). Credeți că OMC se va pronunța legat de «produse», care includ atât servicii multiple cât și produsul fizic în sine? Pierre-Louis Girard: Articolul privind securitatea naţională este un articol fundamental, dar este ușor de utilizat și de abuzat (gandiţi-vă la măsurile

În ceea ce privește comerțul de servicii digitale, dispozițiile legale în vigoare, atât internaționale cât și naționale, sunt în mod clar insuficiente.

luate de administraţia Reagan împotriva Nicaragua). Invocarea lui implică, de obicei, consideraţii a căror valabilitate nu este ușor de evaluat. Nu văd, prin urmare, nici pe membrii OMC, nici pe Organismulul de reglementare a litigiilor să fie dispuși să arate îndrăzneală în materie. Laurent Chrzanovski: Cum explicați lipsa de adaptare a OMC la «era digitală» în care trăim acum? Credeți că este înțelept să rămână pe conceptul de «bunuri», «servicii», «produse agricole și industriale» și «produse» și «drepturi de proprietate intelectuală care afectează comerțul» fără a deschide o fereastră specială pentru produsele sau serviciile cu valoare adaugată automatizată/digitală/trans-statală? Pierre-Louis Girard: Bazele juridice actuale sunt clare și puternice. Pentru o posibilă dezvoltare a unei ferestre specială pentru «produsele sau serviciile cu valoare adăugată automatizată/digitală/trans-statală» ar fi nevoie ca membrii să se puna de acord în prealabil asupra a ceea ce sunt de fapt aceste produse și asupra faptului că dispoziţiile legale în vigoare, atât internaţionale (inclusiv cele ale OMC, în special) cât și naţionale (legea privind protecţia datelor, legea privind respectul pentru viaţa privată, etc.) sunt în mod clar insuficiente. Laurent Chrzanovski: O anecdotă marcantă din timpul discuțiilor maraton pe care le-ați moderat? Pierre-Louis Girard: Primul lucru care îmi vine în minte este o vizită la sfârșitul anilor ’90 la doamna Ministru a Comerţului Exterior Chinez. Când am intrat în biroul ei, m-a întrebat: «Așadar, domnule Ambasador Girard, ce părere aveţi despre China de azi?». La auzul acesteia, nu m-am putut abţine să nu exclam, forţând nota: «Este în plin capitalism sălbatic!». Și ea nu s-a putut abţine să nu râdă cu poftă, recunoscând astfel drumul care a fost făcut în privinţa reformelor din 1988, anul înfiinţării Grupului de lucru privind aderarea Chinei la GATT.

15


ends Cover Story - Cybersecurity Tr

Zona Privată Principiul separării zonelor de comunicare în vederea asigurării securităţii informaţionale autor: Ștefan Hărșan Fárr

Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)

{tefan H`r[an Fárr Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de aplicații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, proiectarea limbajelor și semantica calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale. email: stefan@earless.net

16

În lumea noastră din ce în ce mai conectată informaţia are valoare foarte mare, însă secretul informaţional este un subiect neglijat sau chiar descurajat deoarece jucătorii cheie în domeniul comunicaţiei electronice au interes direct în a avea acces la cât mai multă informaţie. Acest fenomen creează un amestec foarte periculos în care technologicul, economicul, politicul, legalul și nu în ultimul rând factorul uman interferează în așa fel încât este din ce în ce mai greu să păstrăm secret informaţia noastră personală sau al companiei de care aparţinem. Statele vor să știe totul despre noi, ei spun că este pentru protecţia noarstră dar de fapt este vorba despre influenţă și control; furnizorii de servicii ne spun că vor să știe mai mult pentru a îmbunătăţi calitatea serviciilor, dar de fapt vor metode mai eficiente de a-și plasa produsele. Nu a trebuit mult până când au intrat în joc și criminalii cu un scop mai puţin ambiţios: să fure informaţie și să o vândă la cine dă mai mult. Și în mijlocul acestei frenezii, ne aflăm noi și informaţia noastră. De bine de rău, oamenii înţeleg valoarea informaţiei, înţeleg beneficiul de a avea mai multă informaţie decât concurenţa, înţeleg importanţa de a păstra secret acest avantaj, de a avea informţie în comun cu alţii, informaţie ce trebuie protejată pentru binele grupului sau necesitatea de a proteja informaţia altora plasată in custodie. Problema este că tot acest peisaj informaţional este așa de complex, de întortochiat, plin de interese, de neadevăruri și neînţelegeri că mulţi vor eșua în aceste îndatoriri fără să-și dea seama. Acest lucru este foarte grav, pentru că toate aceste informaţii sunt conectate, iar un intrus va fi capabil să extragă informaţie din aproape în aproape, până când ajunge la ceea ce este valoros. Și de multe ori ceea ce este valoros pentru un intrus, este dezastruos pentru victimă. Cea mai vulnerabilă verigă în acest lanţ informaţional este procesul de comunicare, dar ca să înţelegem de ce, este nevoi de un pic de context. Când principiile reţelelor au fost elaborate la început, nimeni nu s-a gândit că va prinde așa magnitudine. Reţeaua a fost menită să existe pe linii private, departe de răufăcători. Nici când reţeaua a luat amploare odată cu nașterea internetului, creatorii acestuia nu au avut securitatea pe primele planuri, până la urmă internetul a fost creat să ne unească, nu să ne despartă. În consecinţă nu avem nici un protocol de nivel jos care să asigure securitatea informaţiei în timpul comunicării. Să ne închipuim internetul ca o mulţime de oameni, unde dacă cineva dorește să transmită un mesaj la altcineva va pune mesajul într-un plic nesigilat, și-l va da din mână în mână până la destinaţie. Evident că în această schemă, nu există nici o certitudine cu privire la originea mesajului, dacă acesta a ajuns într-adevăr la destinaţie, dacă a fost adăugat sau șters ceva din mesaj în tranzit, sau câţi în afară de destinatar au mai citit mesajul.


Emailul simplu, care este construit direct peste aceste protocoale, fără nici un adaos de securitate, în consecinţă suferă de toate deficienţele enumerate: autorul poate fi falsificat, livrarea poate fi deturnată, conţinutul poate fi interceptat și / sau alterat în tranzit. Și pentru că oamenii în general nu sunt conștienţi de aceste vulnerabilităţi, sau le ignoră „doar de data aceasta”, emailul devine un instrument de temut în mâna unui criminal cibernetic. Factorul uman joacă un rol important aici: structura noastră socială este construită pe încredere, de aceea, încrederea este starea de-facto al tuturor, într-atât încât considerăm starea opusă, cea de neîncredere constantă, ca fiind o stare anormală, o boală mintală. Dar dacă ţinem cont de faptul că între 70% și 90% (în funcţie de sezon) din totalitatea de emailuri care circulă pe net sunt de fapt nesolicitate sau maliţioase, paranoia ar trebui sa fie starea de fapt. Să ne închipuim comparativ grupul menţionat anterior ca o mulţime distopică în care știm că șapte din zece indivizi sunt acolo pentru că vor ceva de la ceilalţi: unii care vând parfumuri contrafăcute, alţii o pereche de ghete furate din fabrică, altu-i hoţ de buzunare, etc. Problema e că oricât de logic pare că trebuie să ne ferim, nici un om normal nu poate trăi cu o așa teamă constantă așa că vrând nevrând ne lăsăm garda jos și atunci inevitabilul se întâmplă. Devenim victimele unui atac prin email: troian, extracţie de informaţie denumit phishing, etc. Problema cu serviciile de comunicare asincrone nu se termină aici. Foarte mulţi folosim emailuri publice, sau alte servicii de comunicare cum sunt reţelele sociale, și așa mai departe. Conexiunea dintre browser și server se întâmplă de obicei printr-un canal securizat; vedem https:// în bara de adresă, un protocol de criptare construit peste protocoalele de bază menită să securizeze comunicarea. Deși asta înseamnă că transferul de informaţie între client și server e sigur, serverul, serviciul, rămâne un punct de vulnerabilitate. Majoritatea serviciilor de comunicare de genul acesta online (chat, email, reţele sociale) au în business-modelul lor extragerea de informaţii din comunicarea oamenilor și chiar dacă nu ascund acest fapt, există o tăcere generalizată în legătură cu acest subiect. Însă poarta pe care aceștia o introduc în mijlocul transferului de informaţie poate deveni un vector important în pierderea de informaţii. Trebuie să înţelegem că de câte ori comunicăm prin aceste metode, ne ţinem informaţia noastră într-un punct de tranzit care stă 24/7 liber la atac și tot ceea ce ţine răufăcătorii departe este o parolă. Gravitatea problemei este exacerbată de faptul că factorul uman joacă și aici un rol important. Deși noi avem impresia că informaţia noastră stă în siguranţă în spatele unor sisteme conduse de profesioniști ai domeniului sunt și ei din păcate susceptibili la aceleași inginerii sociale ca toţi ceilalţi, doar că atunci când ei pierd informaţii, pierd și informaţiile tuturor clienţilor stocate în bazele lor de date. În 2011, stafful intern al RSA, compania care a inventat mecanismul de criptare asincron cu acelasi nume și cel mai puternic pe piaţă la ora actuală, a fost manipulat prin mecanisme de “social engineering” în urma căreia intrușii au pus mâna pe cheile „master” ale produsului lor principal RSA SecureID (tokenuri hard de securitate). În urma acestuia, intrușii au intrat în serverele celui mai mare contractor de servicii de apărare al Statelor Unite, Lockheed. Este foarte interesant de văzut cum se conectează lucrurile. Spargerea de la Lockheed nu s-a datorat nici structurii slabe de siguranţă a Lockheed, nici personalului Lockheed, nici structurii de siguranţă a dispozitivului și nici al sistemului în sine. Ea s-a datorat neglijenţei personalului care a căzut în capcana unei campanii de phishing. Aceasta nu este singurul exemplu de acest fel. Sunt nenumărate situaţii în care compania a pierdut date importante și a încasat pierderi enorme din cauza acestui fenomen de phishing: în 2013, criminali chinezi și-au asigurat acces la serverele a peste o sută de corporaţii americane și au furat tot ce le-a stat la îndemână, proprietate intelectuală, arhivele comunicării cu clienţii lor. Tot în 2013, o mare companie americană, Target, a fost atacată prin această metodă și intrușii au furat datele personale ale 110 milioane de oameni, incluzând datele despre cărţile lor

de credit. 2014 Home Depot, tot în Statele Unite, 100 milioane de înregistrări cu date personale pierdute. 2015, Pentagonul și tot în 2015 firma britanică de telecomunicaţii TalkTalk a avut o pierdere de 35 milioane de Lire Sterline datorită aceluiași fenomen. Toate aceste exemple au în comun un singur lucru, factorul uman și mediile de comunicare asincron: email, reţele sociale, chat, sms, etc. Sunt exemple din sectoare cu securitate ultra-avansată, cu oameni pregătiţi să nu cadă pradă acestor inginerii, și totuși, se întâmplă. Se întâmplă pentru că oamenii nu pot fi vigilenţi tot timpul. Paranoia nu este o stare normală. Asta nu înseamnă că trebuie să păţim ca în povestea cu drobul de sare, trebuie doar să recunoaștem lipsurile cu care am fost „dotaţi” și să găsim soluţi să ne apărăm de ele. Este crucial de important să înţelegem că lipsa secretului informaţional în timpul comunicării poate avea efecte dezastruoase nu numai asupra persoanei noastre sau al companiei de care aparţinem dar și al altor persoane de ale căror date răspundem. Și acest lucru nu numai prin pierderea de informaţie directă în momentul comunicării, ci și prin efecte colaterale, legate de aceste pierderi. Deoarece un intrus va merge din aproape în aproape, de la datele personale cele mai nesemnificative, până când ajunge le cele care ne doboară toată securitatea. Acesta este mecanismul de „social engineering”. Deasemenea este important să înţelegem că trebuie să ne ferim datele nu numai de greșelile la care suntem noi predispuși dar și de greșelile la care furnizorii de servicii pe care le folosim sunt predispuși. Un foarte important aspect care trebuie observat în toate aceste atacuri este că ele sunt amestecate cu comunicarea de zi cu zi, ceea ce ne face să lăsăm garda jos mai mult decât e cazul și din cauza asta mai devreme sau mai târziu vom da clickul fatal. Dar dacă nu putem noi filtra comunicarea care ajunge amestecat pe o singură cale, cel dorit, cu cel nedorit sau chiar maliţios, am putea separa cele două medii de comunicare. Putem crea un mediu de comunicare securizat, intern în cercul strâns în care avem încredere și unde putem să ne lăsăm garda jos pentru că avem o oarecare certitudine că nu vom fi manevraţi. Tot restul comunicării, care se petrece pe canale deschise, nesecurizate, putem să le privim ca și spaţii compromise implicit, și putem avea o vigilenţă sporită. Este un procedeu foarte simplu, dar care poate deveni deosebit de eficient în prevenirea acestor tipuri de atacuri ale căror vectori este comunicarea de acest gen. Având două spaţii, unul sigur și unul nesigur, nu trebuie să ne apese tot timpul sentimentul de nesiguranţă, ci doar atunci când ne aflăm în mediul nesigur. Ca să revenim la exemplul cu mulţimea, prin separarea acestor două medii am transformat mulţimea distopică dintr-un mediu de lucru permanent, într-unul trecător. Putem vedea cum o stare de vigilenţă tranzitorie devine absolut normală în cazul acesta, și nu numai că majoritatea comunicării o petrec în mediu sigur, în care nu voi fi atacat, dar pentru că-mi permit o vigilenţă sporită în acel scurt timp cât îl petrec în mediul nesigur, voi fi și aici mai puţin predispus să devin victimă.

17


ends Cover Story - Cybersecurity Tr Acum că am decis să separăm comunicarea în două medii, sigură și vulnerabilă, și am hotărât că cea standard, cea pe care o folosim în marea majoritate a oamenilor este cea vulnerabilă, atunci trebuie să vedem ce o fi însemnând și o comunicare sigură. Principiul este cât se poate de simplu, comunicarea sigură este cea care nu este susceptibilă la vulnerabilităţile enumerate anterior adică: Garantează autorul mesajului; Garantează că mesajul poate fi citit doar de destinatar, chiar dacă mesajul este interceptat; Asigură că mesajul nu poate fi alterat în tranzit. Tehnologia care ne asigură aceste aspecte în timpul comunicării există, se numește criptare și este implementată în nenumărate platforme. Însă este foarte important să nu cădem în capcana marketingului și să fim conștienţi ce fel de criptare se folosește, care etape ale transferului le garantează, când și cum îl folosim. De exemplu, am enumerat anterior la slăbiciunile reţelelor publice faptul că mesajul este vulnerabil în tranzit deși transferul de informaţie se petrece tot timplul criptat prin SSL sau TLS, în funcţie de client. Este un caz clasic de neînţelegere al sistemului de criptare de care marketingul se folosește pentru a deruta consumatorul. Când folosim un email public de exemplu ne logăm în contul de email prin HTTPS, astfel comunicarea noastră cu serverul garantează toate etapele enumerate mai sus. Destinatarul se conectează la rândul său prin canal securizat, deci și comunicarea sa cu serverul beneficiază de aceleași garanţii. Însă deși două etape ale comunicării sunt garantate, mesajul în punctul de tranzit este nesecurizat, vulnerabil, oricine care are acces în aceste puncte intermediare, fie furnizorul de serviciu, fie un intrus care și-a asigurat acces la serverele unuia dintre furnizorii de servicii prin care comunicarea tranzitează poate vedea conţinutul, sau poate altera conţinutul mesajului fără ca destinatarul sau autorul să fie în cunoștinţă de cauză. Deci în ciuda faptului că procesul de comunicare are etape securizate în final realizăm că aceasta este de fapt nesigură. Când vorbim de criptare în comunicare trebuie să ne asigurăm că aceasta este completă: de la autor la destinatar, de la capăt la capăt, în engleză end-to-end. Nu există etape în care mesajul devine decriptat și acest lucru se poate garanta numai în cazul în care cifrul de criptare este cunoscut numai și numai de către autor și destinatar, ceea ce înseamnă că nici măcar furnizorul de servicii nu are acces la această cheie. Trebuie să fim atenţi deoarece puţine servicii oferă cu adevărat criptare end-to-end, unele pentru că legislaţia în domeniu este oarecum neclară (în cazul unei criptări adevărate, nici serviciile secrete nu au acces la datele din corespondenţă), altele pentru că modelul lor de business este în defavoarea criptării sau altele pur și simplu pentru că mecanismul de criptare este slab sau deficitar. Înainte de folosirea sau implementarea oricărei soluţii sau grupuri de soluţii și pentru ca sunt șanse sa nu existe o singură soluţie care să satisfacă

18

toate nevoile trebuie să se facă p analiza completă a nevoilor, a soluţiilor, respectiv a vulnerabilităţilor ascune ale acestor soluţii Spre exemplu soluţii precum SnapChat sau WhatsApp, deși se pretind a fi canale sigure de comunicare, au fost demonstrate ca fiind nesigure în repetate rânduri, deci trebuie evitată folosirea lor pe post de metode sigure. Reţele sociale publice de orice fel trebuie considerate implicit nesigure unele din ele sunt chiar publice. Serviciile de email public sunt toate complet nesigure, la fel sunt și cele private dacă nu se folosește criptare (vom vedea în cele ce urmează). Serviciile de mesagerie scurtă SMS, serviciile de transfer de fișiere publice sunt deasemenea nesigure. Toate acestea nu înseamnă că nu putem să le folosim doar că le folosim în cunoștinţă de cauză. Stim că sunt nesigure și nu transferăm documente senzitive prin aceste canale: date cu caracter personal, parole la servere, orice altă informaţie ce poate duce accesul unui răufăcător la serverele noastre, document secrete de corporaţie, date ale clienţilor, mai ales în cazul medicilor și al avocaţilor, sau orice alt secret care poate direct sau indirect periclita securitatea, persoanei noastre, a firmei / organizaţiei (fie el și stat) de care persoana noastră aparţine, fie a oricărei alter persoane terţe. Cu alte cuvinte nu transferăm pe căi nesigure nimic ce nu vedem ca informaţie de interes public. Dar să vedem acum câteva soluţii de transfer de informaţie care asigură un grad ridicat de siguranţă și la ce le putem folosi și în ce condiţii:

Soluții VPN Soluţiile Virtual Private Network pe scurt VPN sunt o metodă sigură pentru crearea de canale de comunicare criptate pentru aplicaţii de orice fel. Ele funcţionează ca o reţea normală internă doar că sunt capabile să transfere pachete prin reţeaua publică, în mod securizat, folosind criptare. Aceste reţele pot fi folosite la orice pentru care se poate folosi o reţea internă: se pot instala soluţii de acces la aplicaţii locale (care nu sunt accesibile dinspre reţeaua publică), schimb de fișiere, acces la servere, etc. Ele sunt de mai multe tipuri: hardware, software sau „as a service” și sunt numeroși furnizori pentru fiecare categorie. În general sistemele hardware sunt cele mai sigure, dar și cele mai puţin flexibile (este nevoie de câte un dispozitiv, de cele mai multe ori ne-portabil, la fiecare capăt al reţelei, punctul de trecere de la reţeaua privată la reţeaua publică). Acestea sunt o soluţie excelentă pentru schimb de informaţii private, și sunt foarte versatile, în sensul că acestea pot transforma un sistem de comunicare nesigur, într-unul sigur, atâta timp cât comunicarea nu depășește limitele reţelei VPN. Pe de altă parte, cea mai mare deficienţă a acestor reţele este lipsa de flexibilitate. Nimic din ceea ce rulează pe reţea nu poate părăsi reţeaua în siguranţă și oricine are acces la reţea are acces la tot din reţea. Este de nedorit ca terţe persoane să fie introduse în reţea deoarece excluderea lor este foarte laborioasă. Astfel comunicarea cu clienţi sau alte persoane din afara reţelei este aproape imposibilă.

Soluții De Transfer Fișiere În general, este bine să considerăm soluţiile de transfer de fișiere ca fiind nesigure, indiferent dacă ele se fac prin SSL pentru motivele enumerate anterior. Acest lucru nu înseamnă că nu pot fi folosite. Cu un adaos de siguranţă prin metode de criptare off-line, se poate realiza un transfer de fișiere remarcabil de sigur. 7-Zip, (http://www.7-zip.org/) este o soluţie de comprimare care permite parolare. Deși este o metodă slabă de criptare cu siguranţă va descuraja un atac orb (atacul care nu vizează concret informaţia din acel transfer). În cazul unor informaţii cu grad mare de confidenţialitate se recomandă totuși o criptare mai avansată.


GnuPG (https://www.gnupg.org/), VeraCrypt (https://veracrypt.codeplex.com/) sunt doar două din multitudinea de soluţii care sunt libere și chiar gratuite, și care permit, printre altele, criptarea de grad ridicat pentru fișiere individuale. Soluţiile de mai sus funcţionează pe multiple sisteme de operare, iar metoda este relativ simplă. Se generează o cheie de criptare cu care se criptează fișierul înainte de transmitere. După transmiterea fișierului criptat pe orice cale nesigură, se va transfera parola, respectiv cheia de criptare, printr-un mediu sigur, și deci doar destinatarul va putea deschide fișierul fiind garantată astfel confidenţialitatea informaţiei. Această metodă funcţionează cu orice mediu de transfer, email, chat, servicii de transfer de fișiere mari. Inconvenienţa majoră fiind etapele care trebuie parcurse care sunt multe și deci costisitoare în ceea ce privește timpul.

Soluții de Chat Sunt puţine soluţiile de chat care sunt cu adevărat sigure, însă există și pot fi folosite cu încredere la transferul unor parole sau discuţii scurte care se doresc a fi departe de ochii lumii. Whispernet (https://whispersystems.org/), Wickr (https://www.wickr. com/) și Telegram (https://telegram.org/) sunt trei care la ora actuală pot fi recomandate pentru servicii de mesaje scurte gen chat. Telegram este un serviciu care are versatilitate mai mare, însă doar secţiunea de Secure Chat are criptare capăt-la-capăt, celelalte servicii care permit transferul de fișiere, etc. sunt criptate client – server. Beneficiul acestor soluţii este că funcţionează pe multiple platforme, inclusiv mobile, dar marele dezavantaj este că transferul de informaţie este limitat.

Soluții de email criptate Emailul este un caz special, este probabil cel mai răspândit mod de comunicare dar și unul din cele mai vulnerabile. Însă, cu un adaos de criptare putem transforma emailul într-un mediu sigur și cu recomandarea adăugată să folosim aplicaţii client și conturi de email separate pentru cel sigur și cel nesigur, poate deveni o soluţie pentru prezenta problemă. EnigMail (https://www.enigmail.net/home/index.php) este un plug-in de criptare gratuit care folosește tehnica de cripatare PGP. Acesta se poate folosi la transferul de informaţii prin email complet criptate, nu numai ca și atașament criptat precum am prezentat în secţiunea de transfer de fișiere criptate. Există foarte multe soluţii în acest domeniu, pentru toate aplicaţiile client de mail, multe dintre ele contra cost. Se recomandă folosirea numai a soluţiilor care sunt adaptate clienţilor de email ce vin în formă de aplicaţie, și nu a celor care rulează în browsere. Acestea din urmă pot fi ele sigure, însă vin cu încărcătura de vulnerabilităţi ale browserelor (cele mai mari și mai numeroase dintre toate vulnerabilităţile de aplicaţie). Avantajul acestor soluţii este că funcţionează ca și adaos peste un sistem cunoscut deja, deci știm la ce să ne așteptăm dincolo de securitate. Dezavantajul este că implementarea este greoaie, sincronizarea cu toate sistemele și cunoștinţele precum și transferul de fișiere sunt limitate la mărimea permisă de furnizor. Latenţa este și ea foarte mare, la fel ca și emailul clasic, deci dacă se dorește ceva mai dinamic, gen chat sau reţea socială, această soluţie nu este adecvată.

Soluții de spectru mai larg Soluţiile de tipul „Social Network Behind Firewall” (Reţea Socială în Privat) sunt reţele de socializare implementate special pentru mediul business. Ele sunt în general limitate la cercul de business de unde si cea mai mare deficienţă a lor. Din punct de vedere al dinamicii, se comportă la fel ca o reţea socială, au funcţii de co-working,

cooperare, schimb de fișiere, chat, conţinut, discuţii, unele au și desktop sharing. Din punct de vedere al securităţii se comportă la fel ca orice aplicaţie servită ca și serviciu. Plasată pe internet (public) este susceptibil la phishing și odată compromisă, se vor pierde toate datele stocate în baza ei de date. Plasată în spatele unui VPN, poate fi un instrument excelent în separarea comunicării sigure de cea nesigură, dar va moșteni neajunsurile VPN-ului: va fi limitat la oamenii din companie. Sunt multe soluţii de acest fel cele mai multe contra cost dar sunt și gratuite. Dintre cele gratuite cel mai notabil este Diaspora (https://joindiaspora.com/). O soluţie interesantă de menţionat aici este reţeaua Earless Network (https://www.earless.net). Este o soluţie de colaborare hibridă de tip asincron. Este printre puţinele soluţii ce oferă criptare totală (de la capăt-la-capăt) garantată prin tehnologia folosită și mecanismul de schimb de chei. Ca avantaj, e ușor de folosit, funcţionează ca și dinamică în mod similar unei reţele sociale însă cu un adaos consistent de control și vizibilitate asupra accesului la informaţie și cu toate avantajele ce vin din criptarea capăt-la-capăt: garantează autenticitatea autorului, securitatea informaţiei în tranzit, și funcţionează în mediu ostil, ceea ce înseamnă că utilizatorii nu sunt limitaţi la membrii organizaţiei. Ca deficienţe, aplicaţia e încă tânără, permite transferul de documente numai sub 32MB și nu are deocamdată clienţi pentru mobil.

Concluzii Este clar că secretul informaţional nu este un lucru ușor de obţinut în zilele noastre. Din păcate cererea pieţei și / sau lăcomia „samsarilor” au împins lucrurile în așa fel încât securitatea informaţiei a ajuns pe un loc auxiliar. Cum se întâmplă în astfel de situaţii, răufăcătorii au profitat imediat de aceste lipsuri și am ajuns astfel în situaţia paradoxală de a avea sute sau poate mii de soluţii de comunicare pe piaţă dar nici una care să garanteze pentru informaţia noastră. Sunt nenumărate soluţii de tip „Cloud” care deși poate ar fi bune din punct de vedere al dinamicii, ele pică testul securităţii informaţionale pentru că însuși „Cloud”-ul nu este pregătit din punct de vedere tehnologic pentru asta. Poate părea șocant, dar după cum am văzut din exemplele prezentate, care sunt de altfel doar o mică parte din exemplele de care internetul este plin, soluţiile cloud cad una după alta nu pentru că nu ar avea tehnologii sigure în spate ci pentru că sunt susceptibile la acel „factor uman” care nu a fost calculat în designul lor. De aceea, noi, pentru că numai noi vom fi în final trași la răspundere pentru pierderea informaţiilor noastre, ale organismului pentru care răspundem sau ale clienţilor noștri, trebuie să alegem calea cea grea și să construim această barieră între comunicaţia sigură și nesigură, prin tehnologii care există și proceduri interne care să le adapteze specificului businessului nostru. Pentru că însăși sănătatea sau chiar existenţa ei depinde de asta.

19


ds Cover Story - Cybersecurity Tren

Breșe, scurgeri de date, atacuri de pagini Web De ce sunt importante codările de securitate împreună cu soluţiile Cyber Intelligence și sursele corecte de informare autor: Raoul „Nobody” Chiesa

Raoul Chiesa, Fondator și președinte, Security Brokers SCpA rc@security-brokers.com

Raoul „Nobody” Chiesa Președinte, Fundator, Security Brokers ScpA Membrul al Permanent Stakeholders Group de pe lângă ENISA (European Union Network & Information Security Agency) Asociat Fundator al CLUSIT, Asociație Italiană pentru Siguranță informatică Membru, Board of Directors, ISECOM, Institute for Security and Open Methodologies Cultural Attachè și Responsabil Italian în cadrul APWG, Anti-Phishing Working Group, European Chapter Senior Advisor în Cybercrime și Hacker’s Profiling la l’UNICRI, United Nations Interregional Crime & Justice Research Institute Membrul al Comitetului Științific al OPSI, Observator Privacy & Securitate Italiană de pe lângă AIP (Asociație Informaticieni Profesioniști)

20

În septembrie 2015 Security Brokers (SB) a definitivat o amplă analiză cu tema „Targeted Threats Team”, demarată în ianuarie 2013, bazată pe o cercetare de peste 24 de luni și corelarea datelor. Studiul a analizat cele mai importante incidente de Securitate și breșe de date identificate în ultimii 10 ani, cu începere din anul 2004. Lecţia învăţată a fost deosebit de impresionantă și a afectat întrucâtva tiparele de gândire și de operare de până acum. În prezentul articol ne propunem să trecem în revistă elementele cheie rezultate în urma acestui proiect de cercetare și noile elemente logice pe care nu le putem încă aplica intern în organizaţiile noastre în lunile următoare și în viitorul apropiat. În prima parte a acestui articol vor fi prezentate cele mai importante tendinţe legate de ameninţările informatice, breșe, scurgeri de date și atacuri de pagini Web, precum și impactul acestora asupra organizaţiilor. A doua parte a articolului oferă o vedere generală asupra importanţei conceptului «Secure Programming» și a greșelilor specifice care pot să apară în timpul rulării testelor de securitate sau activităţilor de tip Advanced Penetration Testing specific aplicaţiilor Web.

Introducere Ideea unui articol dedicat a apărut în ultimele luni ale anului 2014, când au fost analizate datele studiului „World’s biggest data breach” (Ref. a) ce conţineau analiza a zece ani de evenimente de securitate, breșe, scurgeri, ameninţări, lansate împotriva tuturor sectoarelor de piaţă posibile, enumerate în Tabelul 1. Tabelul 1. Sectoare de piață în care pot apărea posibile breșe de date

Academic Energie Financiar Jocuri Guvernamental Sănătate Media

Militar Retail Tehnic Telecom Transport Companii Web


Lista în sine ar trebui să fie suficientă pentru a realiza Figura 1. Foldere BRICA dimensiunile și mărimea problemei. Autorii raportului au organizat metodologia de scurgeri de date după următoarele criterii: Incidente publicate de hackeri, interne, laptopuri pierdute sau furate, dispozitive digital media pierdute sau furate și condiţii slabe de securitate. În timp ce parcurgeam raportul toţi eram deosebit de uimiţi; ne aminteam de luna februarie 2014, când analizam excelenta lucrare „Strategies to mitigate cyber intrusions” publicată de Australian Signals Directorate (ASD), din cadrul Departamentului de Apărare din Australia: da, discutam despre acea deosebit de bine educată echipă folosită la investigarea și rezolvarea incidentelor de securitate din anii ‘90 (Ref. b). Parcurgând ghidurile publicate de ASD, am rămas surprinși de faptul că nici un fel de recomandări sau reguli explicite nu au fost adoptate în privinţa unor domenii precum Secure Coding sau Secure Programming. Am găsit și cuvinte cheie. Un exemplu este prezentat mai sus (în „Reguli de configurare a aplicaţiilor de utilizator” menite să adreseze intru„Figura 1”), printr-o captură de ecran de pe portalul Web ziunile ce exploatează vulnerabilităţile Java sau macro codurile maliţioase „BRICA” (Ref. c). din fișierele Microsoft Office, precum și Application whitelisting (#1 pe lista Așa cum se poate vedea, informaţiile și datele sunt ASD), dar încă nu un item specific legat de exemplu de S-SLDC (Secure Softcorelate cu profilul clienţilor, fiind bazate în special pe ware Life Development Cycle), OWASP Top-Ten, sau atenţionări generale sectoarele de business și infrastructura IT a acestora. despre nivelele de securitate ale programelor. Și după cum poate fi ușor de În această abordare specifică, BRICA nu doar verificat, niciun fel de menţiuni legate de mediile Cybercrime Intelligence. administrează și organizează acele alerte tehnice Tocmai de aceea în cadrul echipei SB s-a decis rularea unei analize difede securitate, ci și colectează, analizează și clasifică rite care să evidenţieze aceste macro-erori, atât procedural cât și tehnoloconţinutul alertelor incipiente („Early Warning type”) gic, pe baza acestui volum impresionant de date, ajutând astfel audienţa selectate cu atenţie și asociate diferitelor tipuri de riscuri și cititorii să înţeleagă cât de mult pot contribui cele două concepte Cyber și ameninţări cibernetice, din diferite zone de business. Intelligence și Secure Coding la mai buna prevenire a unor scenarii atât de Informaţii corecte despre noile ameninţări globale, neplăcute. ameninţări malware și campanii Cybercrime, fraude Prima concluzie evidentă ce a reieșit este oarecum înfricoșătoare: nici una și farse, ameninţări de mediu, activităţi infracţionale, dintre organizaţiile victimă nu știe „Cine sau Ce” i-a afectat, în ciuda unor precum și acţiuni de terorism sau ameninţări legate de bugete importante alocate pentru o „mai bună” Securitate IT, produse, softsănătatea umană. ware și consultanţi de vârf. Ceea ce este semnificativ și ne poate conduce În fine, BRICA include ca trăsătură nativă un sistem către o paradigmă, ce va crește în importanţă în anii următori. La fel cum pentru Online Risk Alerting & Management Portal, inteastăzi suntem conștienţi de faptul că informaţiile despre breșele din compagrat cu interfeţele Web disponibile pentru abonaţii săi, niile noastre, precum și acele semnale și indicatori despre următoarele pode unde este administrat și modulul de Risk Intelligence; sibile atacuri trebuie găsite în afara mediilor noastre. Trebuie deci să vorbim așa cum per total următoarele categorii sunt acoperite despre Cyber Intelligence, unde Intelligence („information & data”) se aplică de diferite echipe de analiză: contextului și spaţiului unde acţionăm în fiecare zi.

Cyber Intelligence (Bazate Pe Open Sources) Cyber Intelligence reprezintă un serviciu ce poate fi aplicat oricăror tipuri de afaceri, de la companiile private (Finanţe Energie, Apă, Modă, Jocuri. etc…) la organizaţiile guvernamentale și militare. Acest serviciu este obligatoriu, fiind în permanenţă actualizat cu ceea ce se întâmplă, pentru a înţelege mai bine ce s-ar putea și cu siguranţă se va întâmpla. Aceste servicii sunt bazate pe două diferite modalităţi de abordare: bazate pe Open-Source și pe Closed-Source Intelligence. În primul caz, companii specializate culeg din mediile Web (IPv4, IPv6, siteuri Web, Portaluri de știri, etc.) toate informaţiile disponibile și le organizează pe sectoare, topologii

Tabelul 3. Exemple de subiecte Risk Intelligence • Aplicații • Date • Rețele ICT- Riscuri Tehnologice

• Sisteme de operare • Furnizori • Securitate • Sisteme

21


ds Cover Story - Cybersecurity Tren Tabelul 3. Exemple de subiecte Risk Intelligence • Banking / Finanțe • Cazinouri /Jocuri • Chimică • Energie • Guvernamental • Industria sănătății Industry-Specific Intelligence

• ICT / Telecom / IXPs / Media • Industrial Control Systems (ICS) • Lege / Legal • Militar / Apărare • Minerit • Retail / Furnizori • Transport • Utilități • Amenințări cibernetice globale, noi Malware • Creșterea riscurilor cibernetice • Războaie cibernetice • Amenințări de mediu • Inițiative guvernamentale globale de securitate • Hackeri / Grupuri de infractori

Probleme Globale

• Amenințări privind sănătatea umană • Spionajul industrial • Breșe de securitate siteuri - Infractori / Atacuri DDoS • Phishing • Securitate fizică • Retrageri Produse • Scamuri, fraude și farse.

Considerând natura acestui articol, e lesne de menţionat importanţa ce trebuie acordată categoriei „Aplicaţii” din zona ICT Technology Risks. Pornind de la resursa dată ca exemplu (s-a ales BRICA pentru că asta se folosește) credem că fiecare organizaţie trebuie să aibă disponibilă o singură resursă de date, integrată cu elemente de analiză a riscului și securitatea informaţiei, ce poate contribui la prevenirea atacurilor IT.

22

Cyber Intelligence (Bazat Pe Closed Sources) După această primă trecere în revistă a instrumentelor Cyber Intelligence bazate pe OpenSources, haideţi să le discutăm pe cele bazate pe Closed Sources. Trebuie să fie evident cât de importantă este corelaţia dintre conceptul de Cyber Intelligence și problemele legate de programarea nesigură și codurile afectate: multe organizaţii afectate au realizat că breșele de securitate au apărut când era prea târziu. De aceea este important ca informaţiile trebuie obţinute pe cât posibil înainte de producerea unui incident: este exact obiectivul pe care se bazează metodele Closed Sources din conceptul Cyber Intelligence. Este vorba despre o abordare total diferită faţă de primele metode analizate, bazată în mod curent pe un abonament anual, ce poate fi rezumat ca: AML (Anti Money-Laundering) Intelligence & Consulting:

3C (Compromised Credit Cards), conturi bancare, etc. BOTNETs Intelligence E-CRIME Intelligence MALWARE Intelligence (sau sisteme „POS”) THREAT Intelligence TARGETED THREAT Intelligence

În timpul diferitelor noastre activităţi am întâlnit informaţii ce proveneau din sectorul militar, în special despre date secrete furate din diferite calculatoare compromise („zombies”), cu parole de identificare și logare provenite din diferite secţii ale Ministerului Apărării. În limbaj tehnic aceste informaţii sunt numite „feeds” și provin din atacuri ţintă plănuite special pentru organizaţiile vizate; furnizorul care se aseamănă cu o agenţie privată ce operează în spaţiul cibernetic, obţine aceste feeds din diferite medii precum „Cyber” (Cyber Intelligence), Human (HumInt – Human Intelligence, precum operaţiunile sub acoperire) și Signal ( SigInt, Signal Intelligence, de exemplu interceptarea traficului C&C din gâtuiri). Suma tuturor acestor informaţii este alocată centrelor Intelligence Data, analizate de către Intelligence Analysts, ce alocă un anumit număr de ore pe lună pentru fiecare organizaţie client. Este clar că discutăm despre servicii speciale de securitate, cu o importantă valoare adăugată, pentru care costurile de subscripţie sunt ceva mai ridicate decât informaţiile provenite din Open sources. Important este că în timp, am putut observa cum unele investiţii aprobate de diferite organizaţii pot returna valoarea, prin campanii targetate împotriva pericolelor interne, precum campaniile de hacking, atacurile de phishing, breșele de date, pagube legate de reputaţie și imagine, pierderea continuităţii în business.

Secure Coding (Sau Secure Programming) După ce în precedentele capitole am putut vedea o imagine de ansamblu, putem realiza că este o mare greșeală să ne concentrăm doar pe siguranţa codării, fără a explica în ce măsură datele furate pot fi recuperate în exteriorul organizaţiei. În ciuda tuturor atacurilor ce apar non-stop, 24 de ore pe zi, pe durata celor 20 de ani de experienţa ai companiei SB am observat că foarte


puţine organizaţii apelează la soluţii de tipul Secure SLDC (Software Life Development Cycle). Un alt semnal clar că „ceva este putred aici” este legat de numărul de organizaţii care aplică programe de instruire Secure Coding. Ca exemplu, SB oferă peste 80 de programe de instruire pentru securitatea informaţiei, dintre care circa 20 de cursuri din gama Secure Coding se află permanent în catalogul de training. Din păcate, doar 2% dintre clienţii SB investesc în programe de instruire specializate, un procent extrem de redus ce se explică parţial prin lipsa de investiţii în resurse umane și prin externalizarea scrierii de coduri către terţe companii, ce nu acorda atenţia cuvenită pericolelor de securitate. De aceea am decis ca ultima secţiune a articolului să se bazeze pe informaţii provenite din propria noastră experienţă, bazată pe un număr de peste 1000 de teste de penetrare, prin diferite aplicaţii Web, comerciale sau Open source. Chiar dacă suntem în anul 2015, încă întâlnim o sumedenie de probleme legate de penetrarea SQL, ceea ce arată că programatorii nu au învăţat încă lecţia. E dramatic faptul că echipele de securitate mai identifică încă acest gen de greșeli de programare – indiferent de limbajul folosit, de la PHP la .ASP – ce permite oricărui atacator extern să exploateze bug-urile aplicaţiei și să câștige accesul direct (citire, scriere, ștergere) la peste 10.000 de tabele din baza de date de back-end. Aceasta conduce la vulnerabilitatea următoare, legată în principal de administrarea sistemului, de tipul „Excessive database user grants” ce permite atacatorilor să obţină sute de mii de parole de utilizator; această vulnerabilitate e asociată adesea cu „Weak password hashing algorithm”, ce

permite atacatorilor să spargă mult mai rapid parolele utilizatorilor. Destul de des am întâlnit vulnerabilităţi ce pot fi identificate numai prin metode „Privileged Testing”: chiar după testarea tipică de penetrare „black-box” în care echipa nu dispune de nicio informaţie de tipul UserIDs/ Passwords, am cerut clienţilor să ne dea alte 3 seturi de identificare pentru fiecare profil pe care îl rulează în aplicaţie, precum „User”, „Special User” și „Administrator”. Vulnerabilitatea este numită „Cross-User Interaction” și am identificat-o aproape de fiecare dată în care am rulat un test de penetrare, probabil pentru că companiile de testare a standardelor de securitate nu furnizează clienţilor aceste tipuri de teste. Acum putem vorbi despre atacurile de tip DoS, ce apar ca buguri în aplicaţii, ca de exemplu Slow Loris DoS (Ref d.) vulnerabilitate care spre deosebire de o sesiune HTTP nu expiră: cele mai expuse categorii de clienţi sunt cei din gama SME (Small and Medium size Enterprise), care în marea lor majoritate rulează servicii Internet pe linii ADSL standard. Deoarece din experienţa de teren și diferitele scenarii întâlnite la client am acumulat peste 1000 de proiecte de testare a securităţii, vom rezuma principalele vulnerabilităţi în formă tabelară. Pentru fiecare vulnerabilitate redată în Tabelul 3 se detaliază impactul și se face o scurtă descriere.

Tabelul 3. Tabelul vulnerabilităților Vulnerabilitate

Impact

Descriere

V-001 SQL Injection

Atacatorul poate rula interogări arbitrarii în aplicația bazei de date pe care o poate compromite. .

Inputul User nu este securizat corect și este inserat într-o interogare SQL.

V-002 Weak password hashing algorithm

Atacatorul care a obținut deja valoarea hash a parolei poate obține rapid textul clar al parolei.

Parolele sunt stocate cu algoritmi ușor de decriptat .

V-003 Weak Oracle passwords

Utilizatorii Oracle sunt activați cu parole slabe, precum numele de utilizator

Parolele nu au fost schimbat chiar daca sunt ușor de ghicit și de decriptat.

V-004 Excessive database user grants

În scenariul în care un atacator poate executa comenzi în DB dintr-o aplicație Web, privilegiul utilizatorului asignat este prea înalt, permițând atacatorului să provoace daune majore.

Utilizatorul ce accesează DB are privilegii prea înalte față de instrucțiunile standard SELECT, INSERT, DELETE și UPDATE, care sunt cerute chiar de aplicație.

V-005 Multiple Cross Site Scripting

Atacatorul poate fura o sesiune Web legitimă a aplicației, după care poate modifica comportamentul aplicației în sine.

Acțiunea utilizatorului care conține seturi speciale de caractere nu e securizată corect, intrusul putând scrie direct în paginile aplicației

V-006 Missing HTTP Only cookie protection

Într-un scenariu XSS, atacatorul poate obține acces la sesiunea de cookie.

Cookie nu are doar steag HTTP, permițând acces la cookie prin Javascript.

V-007 Missing Secure cookie protection

În scenariul Man in the Middle și protocol downgrade sesiunea de cookie poate fi interceptată în text clar.

Steagul de siguranță al unei cookie, ce previne accesul prin canale necriptate, nu este activat.

V-008 Unsafe sensitive page Caching

Un atacator poate penetra pagini Web private, salvate in cash-eul browserului folosit de utilizator.

Headerele de dialog pentru browser, și proxy ce nu salvează parolele în cash nu sunt specificate.

V-009 Autocomplete not disabled on password field

Parolele din câmpul “password” din aplicație putând fi scrise în clar

Chiar dacă atributul „autocomplete” nu e prezent, de cele mai multe ori e setat “off”, parolele pot fi salvate în clar text

V-010 Missing X-Content-TypeOptions header protection

Prin adăugarea de coduri malicious în fișiere not-malicious, anumite browserepot executa automat funcții nedorite

Prin nesetarea headerelor „Missing X-Content-Type-Options” pe „nosniff”, anumite browsere pot procesa coduri malicious fără a verifica formatul real al fișierelor.

V-011 Missing X-Frame-Options header protection

Pagina poate fi folosită de un atacator pentru a lansa atacuri de tip clickjacking.

Fără headerele adecvate, pagina poate fi inserată în IFRAME în domenii diferite de cele legal autorizate.

23


ds Cover Story - Cybersecurity Tren Tabelul 3. Tabelul vulnerabilităților Vulnerabilitate

Impact

Descriere

V-012 OPTIONS method enabled

Un atacator poate învăța toate metodele HTTPdisponibile

Comanda OPTIONS de pe Web Server returnează toate comenzile HTTP ce pot fi folosite.

V-013 TRACE method enabled

Un atacator poate folosi metoda în diferite tipuri de atacuri, precum bypassing HTTPOnly flag.

Metoda de debug TRACE permite accesul la texte arbitrare de pe Web Server

V-014 Cross-User Interaction

O platformă utilizator poate da acces sau modifica date care aparțin diferiților utilizatori

În anumite cazuri vizualizarea datelor și modificarea paginilor nu verifică corect dacă utilizatorul este cel autorizat

V-azSSL/TLS Renegotiation

Chiar daca un atac de tip „Man in the Middle” se întâmplă, atacatorul poate renegocia protocolul obținând date care pot fi decriptate.

Renegocierea protocolului permite comutarea comunicării de la un protocol sigur la unul slab. Rularea de atacuri tip Reflectione astfel posibilă.

V-016 Weak SSL/TLS Ciphers

Un atacator ce a obținut un traffic dump, poate decripta cu ușurință în diferite tehnici de dezvoltare

În timpul conexiunii de securitate SSL/TLS pot fi selectate cifruri ușor de decriptat.

V-017 Slow Loris DOS vulnerability

Un utilizator malițios poate supraîncărca serverul Web cu cereri, limitându-i disponibilitatea

Serverul Web acceptă conexiuni foarte lungi și headere ne-existente permițând unui utilizator malițios să aloce o mulțime de resurse de pe server, pe termen extrem de lung.

V-018 HTTP Session not expire

Un utilizator malițios poate supraîncărca serverul Web cu cereri, limitându-i disponibilitatea

Serverul Web acceptă conexiuni foarte lungi și headere ne-existente permițând unui utilizator malițios să aloce o mulțime de resurse de pe server, pe termen extrem de lung.

V-019 Cross Site Request Forgery

Un atacator poate deschide un link pe o sesiune de validare a victimei, având posibilitatea să execute operațiuni neașteptate și nedorite

Aplicația nu implementează orice token anti-CSRF, astfel încât serverul Web nu poate verifica dacă cererile sunt legitime sau nu, chiar dacă sunt făcute de un atacator.

V-020 Potential denial of service using Mail service

Un utilizator malițios poate trimite un volum uriaș de mesaje email către un recipient arbitrar, prin serverul care găzduiește aplicația

Nu există control asupra mesajelor trimise de un sistem de expediere automată care verifică confirmarea conturilor

V-021 Change domain on change password mail

Un atacator poate insera linkuri diferite de cele ale proprietarilor unui site Web in mesajele e-mail de confirmare adresate victimei, generând astfel atacuri de phishing

Aplicația permite alegerea arbitrară a domeniului care generează linkurile de confirmare pentru e-mail asociate unui cont.

V-022 Improper error handling

Aplicația arată în clar texte cu explicația erorilor, permițând atacatorului Explicațiile erorilor sunt active dacă anumiți parametri lipsesc. să înțeleagă cum funcționează

V-023 User disclosure

Este posibilă rularea unui atac în forță către ID-ul intern al aplicației (de exemplu numărul personal de identificare al unui angajat sau student), pentru descoperirea celui ce există prin pagina de logare

V-024 Improper CAPTCHA implementation

Înregistrarea CAPTCHA nu e dezvoltată corect, permițând unui atacator CAPTCHA este ușor de depășit, dacă nu este dezvoltată corect. să supraîncarce DB utilizatorului, penetrând controlul anti-automatizare

V-025 Concurrent Session Access

Chiar dacă un atacator e conectat cu același cont cu cel al victimei, utilizatorul autorizat nu poate realiza că există două sesiuni concurențiale

Pentru anumite aplicații nu există un control asupra sesiunilor concurente deschise pentru un utilizator autentificat.

V-026 Information disclosure

Un atacator poate afla informații utile în legătură cu aplicația Web Server și versiunile sale.

Serverul Web returnează în răspunsurile sale toate informațiile referitoare la numele și versiunea aplicației.

Concluzii Această lucrare s-a focalizat pe diferitele greșeli făcute de organizaţiile din întreaga lume, indiferent de mărime și maturitate în domeniul Securităţii Informatice. Deși diferitele modalităţi de abordare și folosirea de diferite soluţii depind în mod categoric de resursele disponibile (buget, personal IT, experienţa și pregătirea administratorilor de sistem și programatorilor), credem că orice trebuie să înceapă cu măsurile care sunt foarte ușor de dezvoltat în interiorul oricărei organizaţii: popularizarea internă și instruirea tuturor angajaţilor. Este un proces care ajută nu numai specialiștii IT, din Securitatea Informatică sau management, dar și colegii

24

Mesaje de eroare precum „User does not exist” și „Password incorrect” pot fi afișate în diferite mesaje de răspuns de la utilizatori neautentificați.

din alte departamente la buna îndeplinire a obiectivului comun: securitatea informaţiei din propria organizaţie. Un obiectiv ce trebuie să reprezinte o prioritate absolută pentru organizaţiile orientate către sectoarele critice de securitate a datelor.

Referințe „World’s biggest data breach”: http://www.informationisbeautiful.net/ visualizations/worlds-biggest-data-breaches-hacks/ Australian Signals Directorate „Strategies to Mitigate Targeted Cyber Intrusions”: http://www.asd.gov.au/infosec/top-mitigations/mitigations2014-table.htm Cyber open source Intelligence portal: https://brica.de/ Slow loris DoS: http://it.wikipedia.org/wiki/Slowloris


Trends

2o

de sfaturi

autor: Laurent Chrzanovski

1 2 3 4

Instalează un antivirus cu firewall nu numai pe PC, dar si pe toate dispozitivele mobile (telefon, tableta etc.) Update-ază permanent toate soft-urile pentru a asigura o protecţie maximă din partea antivirus-ului. Atenţie maximă la descărcarea unor aplicaţii nesigure, mai ales pe mobil. Alege doar apps-uri propuse în «store»-ul oficial al sistemului de operare Citește cu mare atenţie adresa unui link propus de terţi, mai ales dacă vine pe email și este vorba de reînnoirea parolei la conturile de social media, la cardul de credit etc. Ajustează la maxim setările de securitate și privacy de la smartphone, browser-e și social media. Dezactivează geolocalizarea și automatizarea de data exchange pe mobil: activează data exchange numai când vrei să folosești o anumită app(licaţie) și numai pentru ea (browser, starea vremii, facebook, whatsapp etc) În browser-ul de internet, elimină optiunile de «save history» și «save cookies», setează «erase all data» dupa fiecare sesiune; intră în personal settings (preferences) ale browser-ului cât mai des posibil și verifică ștergerea memoriei cache și a eventualelor plug-in-uri inutile. Cookies se vor reseta la următoarea deschidere a unui website, dar este mai bine să nu rămână în memorie. Asigură-ţi datele făcând un backup pe un HD extern, zilnic sau măcar săptămânal și scanează acest HD cu antivirus-ul. Folosește parole foarte lungi cu cifre (în genul unei strofe de o poezie, începută cu o secvenţă de numere și terminată cu parenteze sau puncte de exclamaţie etc.) Setează propriile tale întrebări și răspunsuri pentru password recovery mai ales pe serviciile de email gratis și pe reţelele sociale De-cuplează obligatoriu aplicaţiile între ele: înregistrează-te în fiecare reţea sau serviciu dorit cu propria parolă, nu cu «using my yahoo, gmail, facebook, etc. account»

5 6

12 13 14 15

Verfică întotdeauna că modul în care introduci date confidenţiale este «HTTPS», mai ales în cazul plăţilor online Descarcă și activează în browser AD-block și Anti-pop-up (numeroase variante) Refuză orice plug-in necunoscut, mai ales de video/multimedia, propus de un site în care nu ai 100% încredere Refuză memorarea parolelor și înregistrarea automată la acces din browser-ul PC-ului dar și în setările smartphone-ului și tabletei. În cazul în care ţi-e frică să nu pierzi parole, folosește un keychain recomandat (centralizator criptat de user/parole). Elimină cât mai rapid mesajele de pe whatsapp sau webmail după salvarea lor pe PC. Pentru tot ceea ce este confidenţial, evită folosirea de servicii gratuite de email (gmail. yahoo etc.) sau de free cloud /data sharing. (Aproape) tot ceea ce este gratuit se plătește. Mai bine abonează-te la un serviciu de mail: securitatea și viaţa ta privată merită 3 EUR pe lună! Nu publica informaţii personale sau private pe reţelele sociale (adresa, starea civila, etc.) Nu te conecta la contul bancar și evită să te conectezi la orice spaţiu virtual privat cu parolă (mail, reţele sociale, site-uri de cumpărături) din reţele wireless publice (bar, restaurant, aeroport). Dacă vrei mai multă securitate, folosește mail-uri cu semnătură PGP sau Apps de mesaje și convorbiri criptate precum Signal/Surespot, pe care numai cele mai puternice agenţii de Stat pot să le decripteze, nu și primul venit.

16 17 18 19 20

7

8 9 10 11

Un mesaj tipic de phishing «la grămadă»: autorii nici nu au folosit o adresă de email apropiată de cea originală. Sfat: chiar dacă ai un antispam bun, verifică întotdeauna adresa email de la care vin cereri de reintroducere/ reiniţiere/adăugare date pe site-urile pe care le folosești (bancă, card de credit, email, reţele sociale, site-uri de cumpărături etc.): 90% dintre ele sunt tentative de escrocherii.

25


Trends - Cybersecurity Trends

Cum să vă protejaţi în lumea digitală autor: Redacția cu sprijinul lui Eduard Bisceanu,

expert, fost director adjunct CERT-RO Evoluțiile tehnologice înregistrate în ultimii ani au adus în atenția publicului, dar și a specialiștilor, noi provocări privind asigurarea securității utilizatorilor de echipamente informatice. Aceste preocupări au produs și continuă să producă din ce în ce mai multă informaţie referitoare la metode de protecţie online, conducând și la înregistrarea unor tendinţe de creștere exponenţială a pieţei produselor de securitate cibernetică, precum și a pieţei de training specializat și readaptarea curiculelor școlare pe toate nivelurile. Totodată, schimbările de paradigmă privind impactul utilizării tehnologiei informaţiei în cadrul administraţiei publice, în business, precum și în viaţa de zi cu zi a majorităţii cetăţenilor, determină o nevoie tot mai pregnantă pentru societate de a asigura o pregătire de bază a fiecărui utilizator în raport cu riscurile generate de această realitate. Deși există o serie de preocupări în domeniul creșterii culturii de securitate, derulate atât de instituţii publice cu competenţe în acest domeniu, precum și de entităţi private care au diverse obiective în acest domeniu sau complementare, indicatorii descriptivi ai fenomenului criminalităţii informatice, precum și statisticile publicate de organismele de tip CERT sau companiile de securitate arată o continuă creștere cantitativă și evoluţie în complexitate și materializare a riscurilor de securitate cibernetică îndreptate împotriva utilizatorului final – cetăţeanul și/sau a afacerilor mici și mijlocii. Acestea din urmă nu își permit, sau nu investesc, de regulă, în sisteme de securitate cibernetică corelate în raport cu riscurile asociate domeniilor în care-și desfășoară activitatea. Materialele educative în domeniu, din ce în ce mai consistente din punct de vedere al utilităţii/aplicabilităţii, nu își ating întotdeauna scopul, de multe ori și datorită caracterului opţional al nevoii de cunoaștere a acestora, dar, de multe ori și datorită faptului că sunt realizate într-un limbaj mult prea tehnic pentru a fi înţelese de utilizatorii obișnuiţi, care nu au o educaţie tehnologică avansată sau la care această educaţie lipsește cu desăvârșire.

26

Mesajul pe care vrem să-l transmitem este că educaţia de securitate a devenit o responsabilitate socială individuală, iar prin conţinutul acestui articol încercăm să ne adresăm, într-un limbaj cât mai comun, oricărui cetăţean care deţine astăzi un mijloc de comunicare prin intermediul căruia se conectează la Internet, încercând să acoperim cu sfaturi simple riscurile de bază cu care se poate confrunta online, cu efecte directe offline. Dezvoltarea industriei IT generează sisteme de calcul din ce în ce mai performante și de dimensiuni din ce în ce mai reduse, coroborat cu disponibilitatea pe scară largă a conexiunilor de date pe suport radio generează o mobilitate din ce în ce mai mare a echipamentelor de calcul (smartphone, laptop/notebook, tablete), precum și similitudini din ce în ce mai accentuate din punct de vedere funcţional – ce se putea face acum câţiva ani exclusiv pe un desktop PC acum este disponibil inclusiv pe un telefon mobil inteligent, noile sisteme de operare lansate pe piaţă dispunând de facilităţi evident asemănătoare, indiferent de producător.

1 Securitatea conexiunii la Internet 1.1 Aveţi încredere în conexiunea la Internet de acasă? Dacă da, de ce? Aţi citit vreodată contractul semnat cu furnizorul de servicii? Are clauze care vă protejează conexiunea? Cablul sau fibra optică care se conectează la consola operatorului în scara blocului sau în afara locuinţei sunt protejate cu un minim de măsuri de securitate fizică? Spaţiul public este plin de temeri privind accesul serviciilor secrete la comunicaţiile individuale, dar puţini își pun problema încrederii în furnizorul de servicii. De ce? Pentru că, de regulă, pe angajaţii furnizorilor de servicii Internet nu-i verifică nimeni la angajare, iar accesul la conţinutul comunicaţiilor dumneavoastră este la un click distanţă de aceștia.


Marii furnizori de servicii de comunicaţii sunt conștienţi de această preocupare pentru confidenţialitate, în special cei care au experienţe acumulate din operarea pe spaţiile unor state cu tradiţie în protejarea drepturilor individuale. Solicitaţi furnizorului de servicii Internet informaţii despre modul în care vă protejează comunicaţiile, de preferat înaintea semnării contractului de servicii ! 1.2 Conexiunea la Internet prin WiFi de acasă – conectarea la Internet pe suport radio, de regulă cunoscut sub denumirea de WiFi, se poate realiza prin intermediul dispozitivelor (acces point) pe care vi le furnizează operatorul dumneavoastră de servicii sau pe care vi le achiziţionaţi singur. Configurarea acestor echipamente de comunicaţii a devenit destul de accesibilă utilizatorilor obișnuiţi, care nu posedă un nivel avansat de cunoștinţe, însă configurarea corectă din punct de vedere al securităţii prin utilizarea funcţiilor native cu care este prevăzut echipamentul se poate dovedi dificilă. Puteţi apela la un specialist de încredere pentru achiziţionarea și/sau configurarea unui astfel de echipament. În afara preţului convenabil, dimensiunilor și capacităţilor de comunicaţii pe care vi de doriţi, trebuie să aveţi în vedere ca echipamentul să permită comunicaţia criptată prin utilizarea standardului WPA2 (selectabil ca atare din meniul de configurare al echipamentului), cel mai sigur standard de criptare comercial pentru conexiuni wireless în prezent. Desigur, există echipamente wireless cu funcţii de securitate complexe, însă utilizarea unui mecanism de criptare comercial de tip WPA 2 și al unei parole complexe (cifre, litere mari, litere mici, semne de punctuatie - combinate), poate fi suficientă pentru asigurarea securităţii conexiunii unui utilizator obișnuit. De câţiva ani, echipamentele instalate la domiciliu sau la sediul firmei de furnizorii de servicii Internet sunt prevăzute cu criptare WPA 2, iar echipamentul vine cu această opţiune activă și cu parola deja activată. Schimbaţi parola imediat – parola iniţială este fie scrisă pe echipament, fie pe contractul de furnizare a serviciilor și poate fi deja compromisă. Riscurile aferente utilizării fără parolă a unui punct de acces radio la domiciliu, ar putea fi: accesarea neautorizată din proximitatea locuinţei a echipamentului și a comunicaţiilor derulate prin el accesarea de către orice persoană a echipamentului, conectarea la Internet și derularea de activităţi ilegale online, astfel făptuitorul aparent ce va fi identificat la o investigaţie oficială locuiește la domiciliul dumneavoastră și vă puteţi aștepta oricând cel puţin la o vizită a organelor de aplicare a legii.

2 Securitatea financiară online Utilizarea instrumentelor de plată electronice și a facilităţilor de plată din ce în ce mai accesibile în mediul virtual reprezintă fără dubiu vectori de îmbunătăţire a vieţii individului și un factor de progres. De la plata online a utilităţilor, a taxelor și impozitelor și până la utilizarea magazinelor virtuale pentru cumpărături de orice fel – toate contribuie la confortul individului sau la eficienţa unei afaceri, iar creșterea ponderii bankingului online și comerţului online trebuie încurajate. Este necesar însă ca toate

persoanele care utilizează instrumente electronice de plată să aibă cunoștinţe de bază privind securitatea tranzacţiilor financiare online, pentru că disponibilitatea banilor online este și va fi în continuare privită și ca o oportunitate pentru o serie de infractori. Având în vedere multitudinea tehnologiilor și mecanismelor utilizate pentru realizarea unui magazin online sau pentru un serviciu de internet banking/mobile banking, este destul de dificil să se elaboreze sfaturi detaliate universal valabile pentru asigurarea securităţii financiare online. Există însă o serie de sfaturi de bază care pot micșora drastic șansa utilizatorul de a deveni victima unei fraude online, astfel: informaţi-vă la banca emitentă a cardului dumneavoastră de credit/debit în raport cu elementele de siguranţă de care acesta dispune, precum și la condiţiile de siguranţă privind utilizarea acestui instrument informaţi-vă cu atenţie asupra elementelor de siguranţă pe care banca dumneavoastră le pune la dispoziţie pentru utilizatorii serviciilor de mobile banking/internet banking nu faceţi cumpărături online de la magazine virtuale necunoscute sau care nu oferă suficiente informaţii pentru identificarea vânzătorului (numele firmei, sediul social, prezentarea unor elemente de siguranţă a tranzacţiilor) sau care nu permit conectarea prin intermediul unei conexiuni de tip https (protocol care securizeaza conexiunea între terminalul dumneavoastră și serverul pe care este găzduit magazinul virtual – conexiunea de tip https poate fi verificată vizual în câmpul de adrese web din browserul dumneavoastră) nu folosiţi pentru operaţiuni financiare terminale pe care aveţi instalat software piratat – software-ul piratat este un vector eficient de distribuţie a virușilor informatici destinaţi furtului de informaţii bancare instalaţi-vă un antivirus cu licenţă și aveţi în vedere actualizarea permanentă a acestuia. Există aplicaţii antivirus care verifică și validează securitatea unei conexiuni online sau care dispun de baze de date privind reputaţia unei pagini web – acestea scad semnificativ șansele să vă conectaţi la un site web fals – inclusiv pe terminale de tip smartphone evitaţi instalarea de aplicaţii ale căror funcţii nu le cunoașteţi în totalitate pe terminalul mobil utilizat la plăţi electronice – acestea pot avea funcţii ascunse destinate furtului de date financiare

27


Trends - Cybersecurity Trends nu folosiţi aplicaţii de mobile banking pe terminale mobile modificate neautorizat (ex: jailbreaking) și pe care aţi instalat aplicaţii din magazine virtuale neoficiale nu deschideţi atașamente trimise prin mail de la persoane necunoscute și în niciun caz nu introduceţi în formulare primite prin email datele financiare – băncile nu solicită așa ceva nu vă conectaţi la magazine virtuale sau la site-ul băncii dumneavoastră utilizând link-uri primite prin email sau mesaje electronice de orice fel introduceţi manual adresele web ale site-urilor pe care vă conectaţi în vederea derulării de operaţiuni financiare nu utilizaţi parole unice și nu le stocaţi în fișiere neprotejate pe telefonul sau computerul dumneavoastră deși este un sfat greu de pus în practică – nu este indicat să efectuaţi plăţi online prin utilizarea acelorași terminale electronice pe care le utilizaţi pentru entertainment (gaming, vizionare de conţinut multimedia online etc.)

3 Securitatea social media Deși majoritatea utilizatorilor de Internet utilizează platforme sociale – Facebook, Twitter, Linkedin, Instagram etc. – foarte puţini dintre utilizatori sunt conștienţi în raport cu riscurile cu care se pot confrunta pe aceste platforme. Pentru cei care sunt interesaţi de securitatea personală, este necesară conștientizarea a cel puţin două categorii de riscuri: riscul expunerii involuntare de date cu caracter personal sau de astfel de informaţii despre propria persoană, familie, patrimoniul personal – care pot fi folosite împotriva dumneavoastră în diferite scheme infracţionale de către infractori (nu numai de către cei cibernetici) riscul utilizării platformelor de social media pentru distribuţia de aplicaţii de tip malware destinate extragerii neautorizate de date de pe terminalele dumneavoastră sau chiar distrugerii/afectării disponibilităţii acestora Având în vedere aceste categorii mari de riscuri, ţineţi cont de următoarele sfaturi: informaţi-vă cu atenţie care sunt setările cele mai potrivite pentru profilul creat în cadrul unei reţele sociale, asfel încât să cunoașteţi cu exactitate ce date pot fi vizualizate despre dumneavoastră online de către oricine și de către prietenii/conexiunile dumneavoastră virtuale nu postaţi conţinut care vă poate afecta intimitatea sau informaţii detaliate despre patrimoniul

28

dumneavoastră și activităţile/locaţiile la care sunteţi prezenţi fizic – pot fi utlizate de infractori ca instrumente eficiente pentru planificarea unor jafuri asupra locuinţei dumneavoastră nu deschideţi linkuri primite prin intermediul reţelelor sociale sau conţinut venit de la persoane necunoscute – pot fi vectori de distribuţie a unor viruși periculoși nu introduceţi datele de conectare la reţelele sociale pe care le utilizaţi pe formulare primite prin mail sau alte tipuri de mesagerie online – introduceţi adresele web și parolele manual nu folosiţi aceeași parolă pentru mai multe platforme sociale, mail, plăţi online etc. - compromiterea unei astfel de resurse poate duce la compromiterea întregii dumneavoastră vieţi virtuale nu vă conectaţi online cu necunoscuţi, dacă nu doriţi ca aceștia să acceseze secţiunea privată a profilului dumneavoastră educaţi-vă și controlaţi copiii la utilizarea reţelelor sociale pentru a nu vă expune involuntar la fraude și pentru a evita expunerea psihologică a acestuia în faţa conţinutului periculos și inclusiv protejarea fizică a acestuia evitarea întâlnirilor cu necunoscuţi în lumea reală.

4 Securitatea terminalelor mobile În ultima perioadă sunt disponibile online o serie de date despre riscuri privind utilizare telefoanelor mobile inteligente, insă de multe ori acestea sunt prea tehnice și nu oferă o imagine simplă, necesară utilizatorului normal. Cu riscul de a plictisi utilizatorii experimentaţi o să încercăm să descriem problema în limbaj cât mai comun. În primul rând terminalele mobile inteligente nu mai sunt doar telefoane mobile, ci sunt sisteme de calcul complexe, cu componente similare oricărui sistem informatic de tip desktop PC sau laptop/notebook, sens în care, din punct de vedere al securităţii, ar trebui tratate similar. Mai mult, componen-


instalaţi un antivirus performant pe terminal – recomandăm aplicaţiile antivirus care verifică și aplicaţiile mobile și dispun inclusiv de „liste negre” cu aplicaţii nelegitime protejaţi terminalul cu parole puternice (cât mai multe caractere de mai multe tipuri – cifre, litere, simboluri) nu stocaţi parolele neprotejat în memoria terminalului anumite tipuri de telefoane mobile dispun de facilităţi de criptare a datelor stocate – această facilitate asigură un grad ridicat de securitate în caz de pierdere sau accesare neautorizată a terminalului nu lăsaţi telefonul nesupravegheat în locuri în care acesta poate fi accesat de persoane străine – în mai puţin de un minut pe telefonul dumneavoastră poate fi instalată o aplicaţie cu funcţii spion, ascunse total utilizatorului legitim nu deschideţi linkuri primite pe sms sau prin alte metode de mesagerie (WhatsApp, WeChat, Telegram, Facebook Messenger, Hangouts etc.) sau fișiere primite prin aceleași mijloace de la persoane necunoscute și verificaţi-le și pe cele primite de la cei din agenda telefonică nu accesaţi pagini web cu șanse mari de distribuţie de malware de pe terminalul mobil nu menţineţi conectivitatea WiFi sau Bluetooth deschise dacă nu le utilizaţi nu folosiţi aplicaţii de tip mobile banking pe telefoane utilizate de regula pentru entertainment (instalarea/dezinstalarea frecventă de jocuri online fără a verifica sursele de instalare) verificaţi periodic prin intermediul facilităţilor de cost control dacă aveţi de plată sume mai mari decât pentru serviciile utilizate – se pot datora unei aplicaţii instalate ilegitim care accesează netransparent servicii cu suprataxă nu duceţi telefonul la service-uri neautorizate stabiliţi politici clare de utilizare a terminalelor mobile personale în reţeaua firmei – fără prezenţa unor măsuri de securitate suplimentare în cadrul instrastructurii informatice a firmei introducerea necontrolată de către angajaţi a terminalelor personale în reţeaua firmei poate genera riscuri majore la adresa securităţii acesteia când situaţia vă permite și dacă nu aveţi nevoie de conectivitate permanentă – întrerupeţi conexiunea la Internet când aceasta nu este necesară – sau folosiţi setările care permit accesul permanent la Internet numai anumitor aplicaţii, în funcţie de nevoile dumneavoastră de comunicare mergeţi cu terminalul la service în condiţiile în care acumulatorii încep să se consume mai repede decât de obicei – dacă acumulatorul este în stare bună, este posibil ca terminalul să fie infectat cu o aplicaţie malware periculoasă pentru intimitatea dumneavoastră.

ta de mobilitate și conectivitate permanentă vine cu riscuri suplimentare la adresa securităţii individului sau a afacerilor. Spre exemplificare, dacă ne imaginăm lumea spionajului clasic cu 10-15 ani în urmă, pentru a putea urmări o persoană permanent, a putea asculta convorbirile ambientale la orice moment, a putea vedea imagini din locul în care se află la orice oră, a știi ce și cu cine comunică permanent – erau activităţi care presupuneau eforturi logistice semnificative și resurse tehnologice și umane importante. Astăzi, un terminal mobil oferă toate aceste facilităţi în timp real pe scară largă, evident nu numai serviciilor de informaţii despre care presupunem că ar trebui să aibă un scop legitim să ne urmărească, ci oricăror persoane care dispun de resurse și cunoștinţe minimale, precum și de un motiv să ne invadeze viaţa personală. Trebuie să fiţi conștienţi că terminalul mobil inteligent pe care il deţineţi dispune de o cameră video performantă și un microfon de calitate, un dispozitiv GPS destul de precis – precum și de conectivitate permanentă la Internet – făcând din acesta mijlocul perfect de spionaj. Ce trebuie să faceţi pentru a vă proteja cât mai bine viaţa intimă, finanţele, familia sau afacerea? Iată câteva sfaturi simple care vă pot ţine departe de o mare parte din necazurile pe care vi le-ar putea provoca utilizarea tehnologiei fără limite: nu folosiţi telefoane mobile modificate pentru a putea instala aplicaţii din magazine virtuale neoficiale (ex prin procedeul numit jailbreak) citiţi condiţiile legale de utilizare a aplicaţiilor pe care le instalaţi care rulează pe ecran înainte de a da acceptul pentru instalare – o mare parte a aplicaţiilor solicită acces la date de trafic, agenda telefonică, date de localizare, microfon, camera video, pozele stocate local etc. - apreciaţi singuri dacă aplicaţia pe care o instalaţi necesită acces la aceste date pentru a funcţiona pe terminalul dumneavoastră nu instalaţi aplicaţii ale căror funcţii nu sunt descrise în totalitate și informaţi-vă online cu privire la acestea – despre majoritatea aplicaţiilor populare există o multitudine de date online

29


Trends - Cybersecurity Trends

Visma is the leading provider of business software and services for accounting and administration. The group comprises five business areas which are Visma Software, Visma BPO, Visma Commerce Solutions, Visma Retail and Visma Projects & Consulting. As one of few suppliers yet to combine software and BPO, Visma has been a Nordic and European consolidator as the products and services have become increasingly popular among the company’s more than 340 000 customers. Today, Visma is known for developing leading software solutions and high-quality services for satisfied customers in combination with financial strength and solid growth. The objective is to make the customers more efficient and competitive through freedom of choice between software solutions and outsourcing services. Total group revenues for 2012 were NOK 5 749 million. Visma Software offers a wide range of specialized business software solutions within Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Human Resource Management (HRM) and payroll. The solutions can be delivered as a service (SaaS) and enable businesses to streamline their operations, work smarter and more efficiently.

Additionally, Visma offers a range of tailor-made and industry specific solutions covering enterprise software for the public sector and health care, small enterprises and accounting agencies. As a local software developer with nearly 25 years of experience in Northern Europe, Visma’s aim has always been to combine the best of Nordic design and culture with state of the art performance by utilizing Nordic colors and style when developing simplistic, user-friendly and interaction based business applications. Visma Software has more than 1620 developers located in Europe. Visma Software International R&D creates products that address the increasing demands for reliability, ease of use, seamless integration, and security. We believe that excellent software is the result of highly skilled and motivated employees collaborating in teams applying modern methods and best practice in the software industry. A large part of our products are built using the Microsoft development platform. We also take advantage of frameworks and tools outside the Microsoft platform, such as Java, Ajax, Db2, and Oracle. Visit our web page www.visma.ro for more information about Visma.

Unul dintre cele mai mari evenimente de conștientizare din Europa Centrală Realizat de Swiss Webacademy, împreună cu Inspectoratul General a Poliţiei Române, Silensec si Bitdefender evenimentul din 23 septembrie a adunat 560 de copii și adolescenţi, însoţiţi de profesorii lor. Șeful Departamentului de preventie al Poliţiei Române s-a adresat copiilor, urmat de o prezentare «taylor made» susţinută de către specialiști Bitdefender și de diferite activităţi, dintre care merită menţionat quiz-ul «Stop.Think. Connect» dotat cu premii. De asemenea, o videoconferinţă a permis adolescenţilor să aibă un dialog în direct cu Dr. Szymon Vojcik, președinte Safer Internet Polonia și gazdele sale din World Child Online Protection Congress, care a avut loc la Varșovia în aceeași zi. În cadrul aceluiași eveniment, mai multi adulţi au participat la seara de conștientizare dedicată publicului larg, unde specialiști ITU, SRI, IGPR și analiști internaţionali au vorbit despre soluţiile de bază necesare pentru a se proteja mai ales la folosirea smartphone-ului sau la utilizarea reţelelor de internet wireless publice.

30

În total, 980 de elevi și 110 adulţi au învăţat care sunt cele mai periculoase capcane ale mediului digital și, mai ales, cum să se apere în mod simplu și imediat…


31


Focus - Cybersecurity Trends

Carduri de debit și credit bazate pe NFC: analiză de securitate și scenarii de fraudă autor: Carlo De Micheli

În anii ’80 a fost depus primul patent pentru comunicare radio NFC. În anul 2004, Philips, Nokia, și Sony au creat primul forum NFC (Near Field Communication). De atunci, NFC a devenit un standard adoptat de companii mari ca Apple și Samsung care îl introduc în cele mai noi tipuri de smartphone-uri și este prezent în întreaga lume în milioane de badge-uri și carduri fără contact. Companiile de transport au început să folosească carduri radio pentru sistemele folosite la metrou și autobuze. Este foarte confortabil pentru călători,

Carlo De Micheli Security Consultant at Security-Brokers Carlo a lucrat ca web şi back-end developer din 2005, după ce a obținut o licență în inginerie aerospațială şi a dobândit expertiză în securitatea web şi sectorul wireless. El a câştigat mai multe concursuri de hacking. A fondat un proiect de angajament civic, care a fost premiat de către Preşedintele Republicii Italiene ca fiind cea mai bună iniţiativă cetăţenească. El s-a alăturat apoi echipei Security-Brokers ca ethical hacker. Din 2013 publică studii despre pieţele underground din social media, care au făcut furori în New York Times, The Guardian, CNN, Bloomberg TV şi în multe alte publicații. cdm@security-brokers.com

32

aceștia trebuind doar să apropie cardul lor de un cititor pentru a-și plăti călătoria cu mijlocul de transport. Această inovaţie a venit însă și cu toate problemele de securitate pe care o autentificare de la distanţă (chiar și din apropiere) le-ar putea implica. Un exemplu în acest sens este sistemul Oyster pentru metrou, din Marea Britanie, care a fost subiectul unei slabe autentificări în operaţiunile de scriere sau citire a cardurilor. Doua din cele mai mari companii de credit carduri, Visa și Mastercard, au venit cu propriile sisteme NFC, respectiv PayWave și PayPass. Când industria de carduri de credit şi de debit a început să adopte NFC, au fost adoptate de asemenea și unele reguli de bază de securitate. În majoritatea ţărilor există o limită de plăţi de aproximativ 25 de euro per tranzacţie NFC. Acest lucru limitează sumele tranzacţionate cu autorizare fără PIN sau cip sau citire magnetică sau semnătura, pentru o accelerare a plăţilor. Companii mari precum McDonalds au devenit promotoare şi au adoptat această tehnologie, lansând o serie de oferte cum ar fi o cafea gratuită la o comandă plătită prin intermediul NFC. În anul 2012, am început testarea de carduri NFC în laboratorul nostru de la Security Brokers. O bună perioadă de timp au fost realizate o mulţime de studii despre cum se citesc aceste tipuri de carduri, la ce distanţă pot fi citite şi cum pot fi extrase datele din ele. Există comenzi specifice, care pot fi trimise „low level” direct cardurilor prin frecvenţe radio, la care cardurile răspund direct cu datele conţinute în ele. În prezent, găsim cititoare hardware în cele mai multe smartphone-uri de ultimă generaţie iar software-ul aferent poate fi descărcat de pe app store.

Ce date pot fi extrase de pe cardurile NFC? Ne-am aştepta ca numerele de card de credit şi de debit să fie diferite la un card cu limitare de plată la 25 euro pe tranzacţie NFC, faţă de un card tradiţional. La toate cardurile am testat PAN (Primary Account Number), și numărul cardului pe care îl găsiţi scris în relief pe faţa cardului a fost exact același cu numărul folosit pentru tranzacţiile NFC. Acest număr poate fi citit folosind un cititor NFC standard şi un mic software scris pentru un anumit tip de card, de exemplu, Mastercard şi Visa au comenzi diferite pentru a citi date de pe carduri. De altfel, datele accesibile NFC, care sunt uşor de citit fără sa fie necesar vreun tip de autentificare, includ de asemenea data de expirare a cardului şi prenumele proprietarului!


Acest lucru dă unui atacator informaţii suficiente pentru a procesa o tranzacţie. Retailerii care adoptă această tehnologie şi clienţii lor cu siguranţă economisesc timp în efectuarea plăţilor, dar asta cu preţul unui mare risc de acces la date confidenţiale şi de fraudă tangibilă pentru clienţi, bănci şi companiile de asigurare aferente.

Care sunt diferitele scenarii de fraudă? Scenariul de bază de fraudă prin NFC are ca principiu scanarea unui card şi folosirea PAN şi a datei de expirare a cardului pentru a efectua o tranzacţie online sau off-line. Cardurile NFC pot fi scanate de la o distanţă foarte mică, de la câţiva milimetri la câţiva centimetri. Am descoperit în urma testelor noastre că folosind o antenă 12x10cm, un card poate fi citit de la până la 10 centimetri distanţă. Credem că acest interval poate fi încă îmbunătăţit în continuare prin utilizarea unui sistem mai puternic de antene şi circuite. Exploatând diferite metode de tranzacţionare utilizate în Europa versus alte ţări precum Statele Unite, se pare că scanarea unui card într-o ţară şi efectuarea tranzacţiei în altă ţară este, probabil, cea mai uşoară cale de extragere de cash. Există moduri diferite de a efectua o plată cu cardul, prima și cea mai utilizată fiind plata online. Informaţiile minime cerute de bancă pentru a permite o tranzacţie sunt PAN şi data de expirare a cardului. Pentru securitatea clienţilor lor, unele companii cer o parolă suplimentară (de exemplu Verified by Visa), sau un one time token trimis prin SMS sau prezent pe un device, sau adresa proprietarului, sau CVV/CVV2 (codul de verificare de 3 cifre scris pe spatele cardului). Cu alte cuvinte, există multe căi de de limitare a unei tranzacţii cerând informaţii care nu sunt prezente în datele publice ce ar putea fi citite prin NFC. Există site-uri de comerţ electronic care încă nu cer CVV sau alte detalii pentru a efectua o tranzacţie, ceea ce înseamnă o cale dechisa de extragere de cash pentru atacatori. În tranzacţiile «card prezent», în care clientul oferă cardul, acesta este autentificat fie prin intermediul CIP și PIN, sau este citit magnetic şi semnat. Trucul din spatele încasării se bazează pe metodele de rezervă ale acestor tipuri de tranzacţii. Dacă CIP-ul nu reuşeşte, se bazează pe banda magnetică. Dacă banda magnetică nu reuşeşte, va trebui să fie introdus manual în sistem PAN şi data de expirare. În timp ce în Europa CIP și PIN sunt dominante, în Statele Unite tranzacţia cu bandă magnetică este încă un standard folosit pe scară largă. O simplă propoziţie «the stripe isn’t working, please type the code» (banda magnetică nu funcţionează, vă rog să tastaţi codul) face posibil pentru un atacator să determine casierul la un supermarket, chelnerul dintr-un restaurant, angajatul unei cabine de taxare de autostradă să tasteze direct PAN-ul şi data expirării fără a încerca măcar să treacă cardul prin cititorul magnetic. Adesea se cere să se arate fizic cardul unui angajat pentru a fi copiate numerele. Acest lucru înseamnă că cu o simplă imprimantă de carduri şi cu o staţie de scanare NFC, care să se afle undeva pe un alt continent, se poate avea la dispoziţie un set întreg pentru o operaţiune de carding la nivel global.

Ce riscăm noi din postura de clienţi? O staţie de scanare poate fi imaginată ca un mini-PC, cu o baterie de lungă durată, ascuns lângă un terminal de plată NFC, de exemplu într-un restaurant fast-food sau la un automat de bilete în gară. Mini-PC-ul poate stoca local sau poate trimite prin Internet detaliile cardurilor scanate de la oamenii aflaţi în apropierea antenei ascunse. Este ca un skimmer de ATM-uri, dar cardul nu trebuie nici macar sa fie introdus în mod voluntar în maşină.

Care sunt soluţiile? Din postura de clienţi putem să ne plângem emitenţilor de carduri şi să cerem băncilor să ne emită carduri fără NFC (cardurile cu NFC au un simbol unic pe ele similar cu

pictograma WiFi), sau să folosim portofele speciale care au ecranare împotriva undelor radio. Băncile trebuie să acţioneze imediat pentru a-și actualiza sistemele şi pentru a evita carding în masă, implementând o soluţie care include autentificare înainte de a avea acces la detaliile cardului. În acelaşi timp este cu siguranţă necesară o monitorizare sporită a tuturor tranzacţiilor cu cardul și a notificărilor care vin de la clienţi prin intermediul mesajelor text sau al smartphone-urilor.

33


ds Interview - Cybersecurity Tren

De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale autor: Radu Crahmaliuc

Cu ocazia lansării unor noi produse și soluții din cadrul strategiei „Security Everywhere”, am avut ocazia să discutăm cu Dorin Pena, director general Cisco Romania, despre poziționarea companiei în procesul de transformare digitală, precum și despre strategia Cisco de a oferi soluții de securitate pentru orice punct al rețelei. Dorin Pena, director general Cisco Romania

Cybersecurity: Recent Cisco a anunțat noi soluții în cadrul strategiei „Security Eveywhere”. Ce detalii ne puteți furniza despre conceptul acestei strategii? Dorin Pena: Suntem într-o perioadă dinamică pentru piaţa de produse de securitate; ameninţările informatice devin tot mai sofisticate, iar aria de dispozitive și platforme afectate se extinde, pe fondul utilizării unui număr tot mai mare de dispozitive mobile, conectate în Cloud, precum și IoT (Internet of Things). În același timp, companiile folosesc o gamă complexă de soluţii punctuale, care, din design, nu sunt interoperabile. Din acest motiv, echipele de securitate au vizibilitate redusă asupra potenţialelor ameninţări și compromisuri la nivelul reţelelor lor. Cisco abordează piaţa de soluţii pentru asigurarea securităţii de reţea ca orice altă arhitectură, prin integrarea soluţiilor de securitate la nivelul întregii infrastructuri de reţea – inclusiv routere, switch-uri și centre de date – evitând eventuale vulnerabilităţi în faţa unui atac și reducând

34

semnificativ timpul de detecţie și de remediere. Strategia noastră Security Everywhere se dezvoltă continuu și oferă cele mai inovative soluţii, inclusiv pentru Cloud, reţea și endpoints, precum și un serviciu de înţelegere a ameninţărilor. Cybersecurity: Care sunt soluțiile disponibile în acest moment și roadmap-ul lansărilor viitoare? Dorin Pena: Soluţiile de securitate de la Cisco includ produse și servicii concepute să asigure securitatea la nivelul întregii infrastructuri de reţea: înainte ca atacul cibernetic să aibă loc, în timp ce acesta se întâmplă, precum și ulterior. Portofoliul de servicii de securitate de la Cisco include: Servicii de consultanță privind securitatea - Evaluarea potenţialelor ameninţări la adresa clienţilor noștri, proiectarea și dezvoltarea strategiei de securitate pentru aceștia Servicii integrate – Cu ajutorul cărora clienţii sunt sprijiniţi să integreze produsele lor de securitate, migrarea de la alte soluţii, inclusiv soluţiile existente, și optimizarea tehnologiilor de securitate existente pentru a maximiza eficienţa de securitate Managed Services – Clienţilor le sunt oferite cele mai bune soluţii de suport, găzduire și gestionare a politicii de securitate. Portofoliul nostru de tehnologii de securitate include firewall-uri, reţele virtuale private (VPN), Unified Threat Management, servicii de acces securizat și de identitate, soluţii de securitate Web și E-mail, sisteme de prevenire a atacurilor, protecţie anti-malware avansată, analiză


a comportamentului în reţea, și multe altele. De asemenea, recent am adăugat câteva achiziţii, incluzând Sourcefire, openDNS, Lancope și multe altele. Cybersecurity: Sistemele cu extindere regională pot utiliza soluții de analiză sau procesare la capetele rețelei, folosind sisteme FOG Computing, un concept pentru care Cisco a dezvoltat un pachet dedicat de soluții. Care sunt cele mai noi componente ale soluțiilor de tip FOG din portofoliul Cisco? Dorin Pena: Cu interfeţe de programare a aplicaţiilor (API-uri) deschise, servicii de bază și o interfaţă cadru, pentru a proiecta, dezvolta și implementa propriile aplicaţii, Cisco oferă suport pentru aplicaţii IoT din Cloud până în FOG. Componentele cheie în infrastructura Cisco FOG: Conectivitate în reţea Securitate cibernetică și fizică pentru a crește protecţia bunurilor fizice și digitale Dezvoltare și hosting pentru aplicaţii de la marginea reţelei și până în cloud Analiză de date Management și automatizare Cybersecurity: Tranziția către economia digitală a produs o serie de mutații la nivelul structurilor organizaționale și a modelelor de

business. În ce stadiu se află Cisco în procesul intern de transformare digitală a companiei? Dorin Pena: Transformarea digitală nu se rezumă la automatizarea fluxurilor de lucru existente sau la introducerea unor instrumente noi și tehnologii care să înlocuiască procesele tradiţionale. Companiile digitale lideri de piaţă conectează toate aspectele afacerilor lor – de la software, la servicii, și toate procesele incluse – într-un mod sincronizat și agil. Astfel, transformarea digitală presupune crearea unui ciclu continuu de soluţii inovative în portofoliul de produse și în modul de operare. Clienţii noștri ne întreabă tot timpul despre transformare în business și reinventare pe o scară complet diferită decât chiar în epoca Internetului. Discuţiile sunt despre provocări și oportunităţi în business, iar tehnologia este elementul cheie. Pentru companiile care văd potenţialul, dar și riscurile unei lumi tehnologizate, modul în care se întâlnesc strategiile lor de afaceri și tehnologia dintr-o industrie este acum punctul cheie. La Cisco, încearcăm să avansăm cât de repede pentru ca mai întâi noi să beneficiem de transformarea digitală în interiorul companiei. În anii 90, Cisco era pionier în e-business; acum, ne asumăm o provocare similară, alături de partenerii și clienţii noștri.

Asociaţia Naţională pentru Securitatea Sistemelor Informatice (ANSSI) Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înfiinţată în anul 2012 pentru a coordona eforturile şi a împărtăşi experienţele relevante în sensul promovării standardelor şi bunelor practici în domeniul securităţii informaţiilor. Este constituită ca persoană juridică română, fiind o organizaţie de drept privat, nonprofit, fără scop patrimonial, fără scop lucrativ, neguvernamentală, profesională, independentă.

w w w. a n s s i. ro 35


Trends - Cybersecurity Trends Excellence in software distribution www.romsym.ro

Ghidul Cyber Crime pentru afaceri mici și mijlocii Aflaţi cum hackerii pot face ravagii și învăţaţi ce puteţi face pentru a vă proteja Afacerile locale sau agenţiile guvernamentale sunt o parte importantă a comunităţii. Oamenii se simt în siguranţă aici. Viaţa e bună. Dar, acestea au de asemenea o parte întunecată. Atacurile cibernetice sofisticate sunt orientate de regulă către aceste organizaţii, fie că vorbim despre întreprinderile mici și mijlocii (IMM-uri) fie despre agenţiile guvernamentale. Aceste infracţiuni nu fac întotdeauna valuri în presă, cum fac cele privind atacurile care au lovit state naţionale sau entităţi mari precum Sony, dar sunt mult mai extinse. Vestea bună? Vă puteţi proteja afacerea dumneavoastră de aceste atacuri cibernetice. Vă vom arăta cum. Ameninţările cibernetice sunt mult mai sofisticate astăzi decât oricând, ceea ce face ca infractorii să vizeze întreprinderile mici din comunitate. Infractorii cibernetici pot fi „hacktiviști” cu agende sociale care doresc să perturbe afacerea dumneavoastră de zi cu zi sau grupări infracţionale organizate care folosesc datele financiare sau personale ale clienţilor dumneavoastră în scopuri ilicite. În 2014, firmele mici cu venituri anuale de mai puţin de 100 milioane $ au redus cu 20% cheltuielile de securitate, în timp ce companiile mari au crescut investiţiile în securitate cu 5%.

Cyber Crime în afacerile curente IMM-urile investesc de obicei mai puţin timp și bani în securitatea reţelei decât companiile mari. Aceasta înseamnă că sunt ţinte ușoare pentru infractorii cibernetici. Dar chiar dacă întreprinderile mici nu sunt ţintite în

36

Wicked Awesome

MALWARE

smb

Destruction Kit

vertical market

attack kit

In k HYouarcmikserey isrzour,business” “

mod specific, atacurile automatizate scanează în mod constant în căutarea de date vulnerabile și computere neprotejate care pot fi folosite ca o resursă. Încălcări ale securităţii la companii mari au costat în 2013, în medie, între £ 450.000 ($ 697.000) și £ 850.000 (1,3 milioane $). Pentru o afacere mică, o încălcare ar putea costa între £ 35.000 și 65.000 £. Deturnarea companiilor mai mici mai degrabă decât a entităţilor individuale mari păstrează atacatorii în anonimat, departe de mass-media și de guvern, permiţându-le să facă profituri mari de la mai multe companii compromise. În unele cazuri, întreprinderile mici nu sunt nici măcar ţinta finală. Sunt de multe ori cea mai slabă verigă într-un atac, lanţ de încredere, în care atacatorii vizeză parteneri de afaceri mai mari. Vânzarea cu amănuntul este una dintre primele cinci industrii în ceea ce privește volumul de atacuri și tentativele de intruziuni. Chiar și organizaţiile mici și mijlocii pot stoca date valoroase, care înseamnă bani pentru băieţii răi. Și infractorii cibernetici pot viza segmente de piaţă, verticale care le permit să profite de vulnerabilităţi comune și profituri ridicate de la mai multe victime.


Application Control

Gateway AntiVirus (AV)

User Identity-aware Controls

UTM/NGFW Easily deploy, maintain, and manage network security with a single cost-effective device.

Data Loss Prevention (DLP)

Email Security

Advanced Threat Protection Content Filtering

Actualizați-vă măsurile de protecție În ciuda ameninţărilor care evoluează rapid, multe IMM-uri și agenţii locale sunt încă axate pe strategiile de apărare moștenite, cum ar fi un firewall simplu. Primul pas este un upgrade la firewall de ultimă generaţie NGFW sau united threat (UTM), dispozitiv care combină toate metodele de apărare existente astăzi într-un unic device, ușor de administrat și rentabil. PRIMUL PAS Platforma WatchGuard oferă cele mai performante metode de apărare din industrie în fiecare categorie și lucrează la viteză redusă, astfel încât să nu utilizeze la maxim performanţa reţelei chiar și cu toate motoarele de securitate pornite. WatchGuard Firebox® M200 și M300 sunt firewall-uri cu până la 218% mai rapide decât concurenţa, cu performanţă de neegalat și până la 385% mai rapide pentru inspecţia traficului criptat. PASUL DOI Dispozitivele de securitate sofisticate de astăzi au controale pentru a detecta diferite părţi ale unui atac, dar atacatorii pot găsi încă modalităţi de a se sustrage mecanismelor de apărare. Apărarea în profunzime umple golurile. Teoria din spate este că trebuie să creaţi mai multe straturi (sau link-uri) de apărare pentru a preveni diferite tipuri de atacuri, cu atât mai multe pentru a maximiza protecţia dumneavoastră. Cu cât un sistem de securitate are mai multe nivele cu atât complică sarcina unui atacator și reduce șansele unei breșe. PASUL TREI Ameninţările trebuie să fie mai întâi identificate, pentru ca apoi să fie blocate. Organizaţiile mici sunt atacate și compromise în fiecare zi, dar o treime din acestea nu își pot da seama dacă au fost atacate sau nu. În mod normal unei organizaţii mici îi ia aproape 80 de zile ca să își dea seama dacă a fost penetrată. Până realizează această problemă pagubele deja au fost produse. Aceste breșe sunt nedetectate deoarece aceste organizaţii au prea multe date de analizat și nu pot face faţă. Deoarece nu există o apărare perfectă, o metoda bună pentru creșterea securităţii este implementarea de unelte pentru identificarea ameninţărilor și blocarea acestora.Organizaţiile

au nevoie de o unealtă care furnizează date despre celelalte unelte de securitate și corelează toate aceste date într-un singur incident care ajuta la detectarea și blocarea ameninţărilor complexe.

Protejarea organizațiilor mici și mijlocii Firmele și agenţiile guvernamentale de mărime mică sau mijlocie sunt vizate de atacatori care folosesc medote sofisticate și complexe. WatchGuard furnizează apărare de nivel enterprise proiectată pentru nevoile organizaţiilor mici și mijlocii.

Despre WatchGuard WatchGuard® Technologies Inc. este lider în tehnologii avansate și soluții de securitate a rețelei, oferind securitate pentru sute de mii de companii din întreaga lume. Familia de produse WatchGuard de dispozitive UTM cu fir și fără fir și soluția de acces de la distanță WatchGuard SSL VPN aduc rețelei securitate extensibilă, o vizibilitate a rețelei extraordinară, management și control. Produsele WatchGuard dispun de WatchGuard LiveSecurity® Service, un serviciu inovator de suport, mentenanță și program educațional. WatchGuard are sediul în Seattle și are birouri în America de Nord, Europa, Asia Pacific și America Latină. Pentru a afla mai multe, vizitați www.watchguard. com. Produsele WatchGuard sunt distribuite în România prin intermediul distribuitorului autorizat Romsym Data (www.romsym.ro)

37


ds Biblio - Cybersecurity Tren

Informaţi-vă

Bibliografie în limba română

în limba română! SRI a pus recent la dispoziţia cetăţenilor un „Ghid de autoprotecţie”, care, în 5 capitole detaliează măsuri minimale și de bun simţ pe care fiecare dintre noi le poate lua pentru a fi protejat. În ceea ce privește securitatea cibernetică, recomandăm citirea capitolului 2 „Sfaturi şi bune practici pentru o navigare sigură pe Internet”, un scurt breviar de bune maniere în mediul virtual. https://www.sri.ro/ghid-de-autoprotectie.html

Pe portalul SRI găsiţi informaţii de actualitate, dar mai ales câteva unelte foarte utile pentru cybersecurity: Biblioteca virtuală, unde sunt arhivate multe articole de top, ca de pildă: OSINT - la graniţa dintre secret şi public (http:// www.sri.ro/fisiere/studii/OSINT_SECRET_ SI_PUBLIC.pdf ) Varianta de download-at dar și aplicaţia mobilă pentru citirea revistei «Intelligence» Studii Rapoarte de activitate

www.sri.ro

SRI: Serviciul Român de Informații

Scurt și bine redactat, remarcăm articolul lui Bogdan Cristea „Nouă lucruri pe care oricine ar trebui să le știe despre securitatea online” publicat în revista online Playtech. http://playtech.ro/2015/noua-lucruri-pe-care-oricine-ar-trebui-sale-stie-despre-securitatea-online/

38

www.cert-ro.eu

CERT-RO: Centrul Național de Răspuns la Incidente de Securitate Cibernetică Pe portalul CERT-RO găsiţi informaţii de ultimă oră, raportul anual detaliat (.pdf ) și, cel mai important, ghiduri simple pentru cetăţeni și oameni de afaceri, bine scrise și de citit neapărat! Ghid: Cum să te ferești de viruși, viermi și troieni 14-11-2013 Ghid: Ameninţări generice la adresa securităţii cibernetice 14-11-2013 Ghid: Securitatea in reţelele sociale şi controlul parental in mediul online 14-11-2013 Ghid: Ameninţări cibernetice la adresa utilizatorilor din Romania 14-11-2013 Ghid: Securitatea serviciilor Internet Banking și Online Shopping 14-112013 Ghid: Securitatea utilizatorului final 14-11-2013 Ghid: Rolul structurilor de tip CERT și utilitatea CERT-urilor private 14-11-2013 Ghid: Securitatea terminalelor mobile 14-11-2013 Ghid: Securitatea in Cloud 14-11-2013

CERT-RO, la sfârșitul lunii octombrie, a publicat un „Ghid de securitate informatică pentru funcționarii publici”. Acest document de 36 de pagini conţine elemente foarte utile pentru angajaţii administraţiei centrale sau locale, cu condiţia să fie bine mediatizat și mai ales explicat în interiorul fiecărei instituţii publice. Materialul nu este scris omogen, pe lângă secţiuni foarte bine scrise într-un mod accesibil „profanilor” în domeniul securităţii, găsim și limbaj tehnic specializat, adresat cunoscătorilor în domeniul IT. https://www.cert-ro.eu/articol.php?idarticol=987

Pe site-ul Bitdefender (http://www.bitdefender.ro/news) găsiţi multe știri utile (inclusiv pe pagina de Facebook, permanent actualizată: https://www.facebook.com/BitDefenderRO), precum Sfatul săptămânii în materie de securitate, dar și ghiduri (ghidurile PDF sunt în engleză, dar rezumatul lor se regăsește în comunicate) precum: - Sfaturi și trucuri despre cum să vă păstrați blog-ul și identitatea dumneavoastră în siguranță - Sfaturi și trucuri despre cum să vă protejați rețeaua dumneavoastră de acasă de intruși Foarte interesant de citit, fiind și singura predicţie a evoluţiei riscurilor pentru 2016 redactată în limba română, este articolul: «Cinci amenințări cibernetice care vor exploda în 2016» http://www.bitdefender.ro/news/cinci-amenintari-ciberneticecare-vor-exploda-in-2016-3088.html


Previziuni pentru 2016

În mod evident, neglijenţa în folosirea «wearables» (IoT și smartphone-uri) fără dezactivarea sistemelor de monitorizare integrate în aplicaţii este unul dintre marile avantaje pe care pot să se bazeze «data collectors», numărul uriaș de utilizatori de aplicaţii (în special prin intermediul terminalelor de tip smartphone) oferind benevol sau prin simpla instalare/utilizare a acestora acces la o serie de date referitoare la activităţile pe care le desfășoară online sau la aspecte ce vizează viaţa privată a acestora. Spionajul informatic, prin combinarea mijloacelor tehnologice cu ingineria socială se află pe un trend ascendent, atât din punct de vedere cantitativ, cât și calitativ. Aceeași tendinţă o vor înregistra și atacurile de tip ransomware – ce vizează instalarea pe sistemele informatice a unor aplicaţii care criptează datele stocate local, în scopul șantajării ulterioare a utilizatorilor pentru plata unei sume de bani în schimbul decriptării datelor. De asemenea, asemenea tipuri de atacuri au evidenţiat tendinţe de extindere și pe terminale prevăzute cu sisteme de operare Apple – iOS și Android. Furtul/uzurparea identităţii electronice se află de asemenea pe o tendinţă de creștere, având ca ţinte datele stocate în Cloud, precum și accesarea de la distanţă a unor resurse informatice care permit utilizarea identităţii electronice (i.e. controlul de la distanţă al terminalelor mobile). Noutăţile anului 2016 ar putea fi (deși erau deja anunţate pentru 2015) atacurile de tip machine-to-machine (privind IoT în mod special) și evoluţii spectaculoase privind atacurile complexe/sofisticate având ca ţintă sisteme de tip SCADA. Bitdefender și Kaspersky estimează abandonarea tehnicilor cunoscute în prezent în atacuri de tip APT (Advanced Persistent Threats), ce vor fi înlocuite de către actorii cei mai relevanţi cu noi abordări tehnice și operaţionale, mai brutale, de tip Advanced Penetration Threats realizate personalizat în funcţie de ţintă, prin exploatarea de vulnerabilităţi de tip «0-days», fiind «de unică folosinţă» și având ca efect compromiterea totală a ţintei – cu efect imediat și devastator – asimilate de către specialiști cu un atac clasic de tip «Biltzkrieg». Pentru a ne asigura că vom avea un nou an fără surprize neplăcute, singurele soluţii disponibile sunt informarea permanentă și educaţia de specialitate. Încheiem prin a repeta, fără comentarii, unul dintre cele mai importante titluri ale raportului Norton: «We overshare our most vulnerable information». McAfee: http://www.mcafee.com/sg/resources/reports/rpthreats-predictions-2016.pdf Kaspersky: https://securelist.com/analysis/kaspersky-securitybulletin/72771/kaspersky-security-bulletin-2016-predictions/ Fortinet: http://www.fortinet.com/sites/default/files/whitepapers/WP-Fortinet-Threat-Predictions.pdf Price Waterhouse Coopers: http://www.pwc.com/gx/en/issues/ cyber-security/information-security-survey/download.html Symantec: https://us.norton.com/cyber-security-insights (de citit impreuna cu text sintetic publicat pe blogul : http://www.symantec. com/connect/blogs/symantec-predictions-2016-looking-ahead) GeorgiaTech: http://www.iisp.gatech.edu/2016-emerging-cyberthreats-report

4

5

Previziunile realizate de mai multe companii de profil relevante prognozează pentru anul 2016 o creștere cantitativă și în complexitate a atacurilor cibernetice. Totuși, deși tendinţele de acest gen par sumbre, acestea nu ţin întotdeauna cont de toate evoluţiile ce vor fi înregistrate în domeniul tehnologic, precum și de numărul în creștere al persoanelor și obiectelor conectate la Internet. De exemplu, sfârșitul lui 2015 marchează depășirea pragului de 4 miliarde de utilizatori de Internet. Concluziile cele mai importante pe care le regăsim în majoritatea rapoartelor analizate, inclusiv în cel al lui Bitdefender, menţionat mai sus, sunt următoarele: Explozia atacurilor orientate către exploatarea vulnerabilităţilor generate de parole slabe sau vulnerabilităţi ale soluţiilor de autentificare utilizate. Având în vedere această tendinţă, industria de securitate se orientează către soluţii avansate de autentificare, «advanced authentication». Vulnerabilitatea si fragilitatea unor game largi de produse IoT, care sunt cumparate masiv de către cetăţeni și companii, și care la rândul lor vor crește exponenţial riscul de atacuri reușite asupra sistemelor la care se conectează (smartphone-uri, tablete, laptop-uri), foarte puţine fiind companiile europene care investesc masiv în securitatea IoT. Pentru cetăţeni, devine îngrijorătoare creșterea riscurilor de a le fi sustrase cu ușurinţă diverse obiecte fizice (precum mașini), sau de a le fi afectată viaţa privată prin accesarea neautorizată a elementelor de reţea integrate în IoT aflate la domiciliu sau la sediile companiilor. Creșterea capacităţilor de care dispun în prezent colectorii de date - «data collectors», în special prin utilizarea capabilităţilor de corelare a elementelor extrase din multitudinea de date accesibile online - «big data», astfel de activităţi urmând să devină probabil cel mai mare inamic al vieţii private sau al confidenţialităţii în mediul de afaceri.

1 2

3

6

39


ds Biblio - Cybersecurity Tren Pentru cine dorește să aprofundeze preocupările privind cercetarea în domeniul securităţii cibernetice, este disponibil de scurt timp, volumul: Hamid Jahankhani, Alex Carlile, Babak Akhgar, Amie Taal,Ali G. Hessami, Amin Hosseinian-Far (Eds.), Global Security, Safety and Sustainability. Tomorrow’s Challenges of Cyber Security. 10th International Conference, ICGS3 2015 (London, UK, September 15–17, 2015) Springer Proceedings 123, Cham 2015, 366 pp.

End-user Fiindcă în ediţiile anterioare ale bibliografiei am abordat deja mai multe ghiduri utile pentru «end user», vă rugăm să accesaţi website-ul revistei pentru a le revedea, concentrându-ne aici pe cele mai recente publicaţii utile în acest domeniu. Remarcăm printre multe articole editate în anul 2015, cercetarea lui Noam Ben-Asher și Cleotilde Gonzalez, «Effects of cyber security knowledge on attack detection», în Computers in Human Behavior 48, 2015 (pp. 51–61). În acest text, este subliniată importanţa asigurării unui nivel de securitate ridicat al companiilor, mari și mici deopotrivă, prin creșterea continuă a nivelului de cunoaștere și pregătire a personalului, și se arată cât de vulnerabilă poate deveni orice organizaţie care investește foarte mult în tehnologie performantă, însă personalul propriu nu este educat în domeniul securităţii cibernetice. Acest text se completează foarte bine cu articolul în curs de publicare de către colaboratori ai Swedish Defence Research Agency, care arată la rândul lor cum o firmă care a cumpărat un sistem de Intrusion Detection, dar al cărui manager, nepregătit în domeniul analizei informaţiilor colectate de această tehnologie, poate să interpreteze complet greșit gradul de ameninţare a unei informaţii colectată de acest sistem, neavând capacitatea de a distinge între datele care relevă un potenţial atac cu grad de risc semnificativ și datele care relevă ameninţări minore, fără să genereze un risc real la adresa companiei, ansamblul tehnologie-manager de securitate ineficient devenind cea mai mare ameninţare pentru companie: Patrik Lif, Teodor Sommestad, «Human Factors Related to the Performance of Intrusion Detection Operators». In Human Aspects of Information Security, Privacy, and Trust. Lesvos, Greece, 2015, in print; gratis online pe : http://www.sommestad.com/teodor/index.htm Problema protecţiei vieţii private a utilizatorului de tehnologie este analizată foarte bine în: George Saridakis, Vladlena Benson, Jean-Noel Ezingeard, Hemamali Tennakoon, «Individual information security, user behaviour and cyber victimisation: An empirical study of social networking users» (în print) în Techno-

40

logical Forecasting & Social Change 2016 (11 p.). Sunt evidenţiate situaţii în care lipsa de educaţie specifică sau naivitatea conduc la acţiuni care pun persoanele vulnerabile în pericol pe Internet și cât de mare este impactul posturii de victimă asupra capacităţii de intervenţie a instituţiilor de aplicare a legii, cu efecte devastatoare asupra psihicului persoanei afectate, familiei sau celor apropiaţi. Aducem în atenţia publicului următoarea lucrare de cercetare: Kevin Quigley, Calvin Burns, Kristen Stallard, «„Cyber Gurus”: A rhetorical analysis of the language of cybersecurity specialists and the implications for security policy and critical infrastructure protection», în Government Information Quarterly 32, 2015 (pp. 108-117). Este un excelent breviar care explică cum, prin folosirea unui vocabular adaptat și uneori emoţional, «guru», sau «evangheliști» cum sunt numiţi în SUA, pot influenţa catastrofal fie decidenţi politici, fie decidenţi din domeniul economic și, implicit, presa nespecializată care apoi influenţează publicul larg.

La finalul acestui capitol bibliografic dedicat securităţii utilizatorului, trebuie subliniată excelenţa demonstrată a congreselor Human Aspects of Information Security, Privacy, and Trust, lansate în 2013 de către HumanComputer Interaction Conference, o structură multi-stakeholder înfiinţată încă din 1984. Documentele generate după aceste congrese, cuprind, în detaliu, demonstraţii și explicaţii asupra efectelor generate asupra vieţii private dar și a întregului ecosistem informatic, oricât de securizat, atitudinea greșită a unuia sau mai multor utilizatori. Ultimul volum este acuma disponibil: Tryfonas, Theo, Askoxylakis, Ioannis (Eds.), «Human Aspects of Information Security, Privacy, and Trust Third International Conference, HAS 2015 (Held as Part of HCI International 2015, Los Angeles, CA, USA, August 2-7, 2015», Los Angeles 2015, 719 pp.

În final, nu puteam să nu cităm noul volum de colocvii anuale Cyber Security and Privacy, Aceste întâlniri sunt cruciale pentru a înţelege ce înseamnă și ce va reprezenta în viitor conceptul de privacy într-o lumea din ce în ce mai digitală, și în ce moment acesta are un impact negativ asupra stării de securitate. Dilema nu este numai de natură deontologică, morală sau filozofică, este una cât se


Centrul pentru Securitatea Cibernetică CERT-GOV-MD

(http://cert.gov.md)

Statistica incidentelor pentru poșta electronică (actualizare zilnică) Texte extrem de clare și pertinente despre: • Practici bune de securitate • Politica de securitate • Copii de rezervă • Identitatea online • Reţele de socializare • Reţele wireless • Escrocheria online • Telefonul mobil

poate de reală, mai ales când, prin neglijenţă, de pildă, un angajat dezvăluie elemente vitale ale muncii sale și ale companiei unde lucrează prin intermediul reţelelor sociale: Frances Cleary, Massimo Felici (Eds.), «Cyber Security and Privacy. 4th Cyber Security and Privacy Innovation Forum, CSP Innovation Forum 2015 (Brussels, Belgium, April 28–29, 2015). Revised Selected Papers, Springer Communications în Computer and Information Science 530, Cham 2015, 164 pp.

Reviste De 22 de ani, NSA publică jurnalul trimestrial «The Next Wave». Pe website-ul agenţiei sunt disponibile integral toate volumele începând cu 2008. Ultimul număr disponibil (n. 21) este deosebit de interesant întrucât pune accent pe latura educaţională prezentă în toate statele dezvoltate: academii, universităţi, instituţii publice - toate încearcă să predea și să studieze domeniul de referinţă, dar sunt foarte puţine cele care au ajuns la un nivel de maturitate permiţând cercetătorilor și studenţilor să interacţioneze în mod transdisciplinar, singura modalitate care permite să fie înţeles cadrul real global în care se desfășoară activităţile îndreptate împotriva securităţii cibernetice. Cu articole foarte diferite între ele ca și teme abordate, agenţia arată cât de vast este câmpul de investigaţii și propune de altfel și multe link-uri către organisme specializate în domenii specifice: https://www.nsa.gov/ research/tnw/

• • • • • • • •

Parole puternice Shopping on-line Furtul de date Soluţii de securitate Actualizarea automată Actualizarea produselor soft Accesul de la distanţă Securitatea echipamentelor

Special Cyberwar Pentru a înţelege mai bine dilemele majore cu care se confruntă în prezent specialiștii, nu publicaţiile media generaliste, în încercarea de a descrie și defini termenul de război cibernetic, recomandăm două volume estenţiale: Hamadoun. I. Touré (ed.) «The Quest for Cyber Peace», ITU Publication, January 2011 (constantly updated in e-version), 132 pp., cost: 72 CHF (format tipărit) free complete pdf & docx. versions online http://w w w.itu.int/opb/publications.aspx?media =elec tronic&parent=S-GEN-WFS.01-1-2011 Acest mic volum, foarte inteligent gândit de către editor și co-autor, fost Secretar-General al ITU, Dr. Hamadoun. I. Touré, merită să fie citit fie și numai pentru cunoaștere și plăcere. Este foarte clar, omogen și bine scris, chiar dacă adună texte de la mai mult de 20 dintre cei mai renumiţi specialiști din toată lumea, fiind redactat în cooperare cu Federaţia Mondială a Oamenilor de Știinţă și constant actualizat, în format electronic, de către echipa ITU. Este de altfel complementar cu volumul publicat de către ITU și cu același coordonator, «The Quest for Cyber Confidence», despre care am relatat în numărul 1 a revistei noastre.

P.W. Singer, Allan Friedman, «Cybersecurity and Cyberwar. What Everyone Needs to Know», Oxford University Press, January 2014, 320 pp. Poate fi citit parţial pe GoogleBooks, sau cumpărat în

41


ds Biblio - Cybersecurity Tren

Informaţi-vă în limba română! Pe portalul ARASEC.RO găsiţi singura revistă știinţifică internaţională despre tematică publicată în România, IJISC (International Journal of Information Security and Cybercrime) dar și 4 portaluri cu toate noutăţile importante în domeniul securităţii informaţiilor și cibernetică, reţele cibernetice și criminalitate informatică. În plus găsiţi și toate cursurile și evenimentele care au loc în România pe tematică cybersecurity.

www.arasec.ro

ARASEC

varianta paperback sau ebook. Acest manual este de departe unul dintre cele mai bune volume pentru publicul larg despre securitate cibernetică și aspectele esenţiale care fac diferenţa între atacurile «convenţionale» derulate, de regulă, cu obiective financiare, și ce intră deja în categoria de «război cibernetic». Diferenţa, uneori, este foarte subţire pentru că o parte dintre tehnici sunt identice, dar obiectivele nu. Arătând în mod sintetic strategiile marilor puteri, dar și ale grupărilor de criminalitate organizată, autorii ne introduc cu măiestrie într-o lume unde oricând se poate întâmpla, dacă nu chiar un razboi, mai multe bătălii pe frontul digital, prin raportare cu alter-egoul lor fizic, în lumea reală. Al treilea volum este un breviar valoros, precum și o pledoarie extrem de bine argumentată pentru a începe să ne apărăm fiecare identităţile și datele noastre virtuale.

Martin C. Libicki, Cyberdeterrence and cyberwar, RAND Corp. Publications, Santa Monica 2009, 240 pp., gratuit online: www. rand.org/content/dam/rand/pubs/monographs/2009/RAND_MG877.pdf Chiar dacă datează din 2009, acest volum redactat de marele specialist Martin Libicki pentru U.S. Air Force, are avantajul, ca și multe manuale ale armatei americane, de a fi «crystal clear». Din lectura lui veţi învăţa despre terminologia specifică fiecărui instrument utilizat pentru dezinformare sau război cibernetic, precum și despre limitele războiului cibernetic – unde începe și ce include acest nou tip de conflict. Pentru a completa volumul lui Libicki cu terminologii, riscuri și framework-uri din 2015, recomandăm breviarul scris de Catherine A. Theohary, John W. Rollins, «Cyberwarfare and Cyberterrorism: In Brief», Congressional Research Service, March 27, 2015 (12 pp.), disponibil gratuit online: https://www.fas.org/sgp/crs/natsec/R43955.pdf De ce este atât de dificil pentru specialiști să se înţeleagă asupra a ceea ce este exact un război cibernetic, ce face parte din el și ce nu? De fapt, totul ţine de ancorarea fiecăruia în modelul cultural-educativ în care a crescut. Așadar, dacă principiile generale ale unui război cibernetic total, la fel ca și mijloacele speciale folosite ar fi la fel de clare și identice pentru un rus, un american, un israelian sau un chinez, toate bătăliile care au început sau vor începe sunt la graniţa dintre civil și militar, sau la frontiera dintre spionajul statal și cel economic/comercial.

Recomandăm articolul remarcabil scris de Marco Cepik, Diego Rafael Canabarro, Thiago Borne Ferreira «Cyberwar: Clausewitzian Encounters», în Space and Defense Journal 8:1 (Spring 2015), pp. 19-33, gratuit online:

42


http://www.usafa.edu/df/dfe/dfer/centers/ecsds/defense_journal.cfm În acest articol, se subliniază că folosirea terminologiilor noi în contextul conceptelor vechi de razboi, mai ales de către ne-specialiști, duce la o neînţelegere totală a fenomenului: «As Clausewitz’s masterpiece suggests language matters for how states conceptualize and plan for war. „Cyberwar” now on the lips of nearly every national security policymaker may turn out to be a misnomer.» Această tematică este preluată și de Michael Robinson, Kevin Jones, Helge Janicke, în «Cyber warfare: Issues and challenges», în Computers and Security 49, 2015 (pp. 70-94), dar și cu măiestrie istorică, de către J. Rodden, «Warfare, from Cold to Cyber», în Society 52:5 (2015) (pp. 405-9)

Acest text ne introduce într-o altă mare dilemă. Este războiul cibernetic o noutate sau numai o prelungire a războiului convenţional pe fondul dezvoltării noilor tehnologii? Din punct de vedere analitic, două școli se opun, uneori vehement, argumentele fiind expuse în volumul Philosophy & Technology, Volume 28:3, September 2015, care este integral dedicat dezbaterii «Cyber Conflicts: Addressing the Regulatory Gap». Pentru adepţii unei regândiri totale a conceptului de război, este disponibil articolul lui Selmer Bringsjord, John Licato «By Disanalogy Cyberwarfare Is Utterly New» (pp. 339-359), iar pentru cei care care văd o simplă evoluţie, recomandăm eseul magistral al lui Edward T. Barrett, «Reliable Old Wineskins: The Applicability of the Just War Tradition to Military Cyber Operations» (pp. 387-405). Astfel, există războaie cibernetice, unde actorii nu sunt reprezentaţi de state, ci de companii sau grupări criminale. Astfel de entităţi pot sprijini statele într-un conflict care poate degenera într-un

război, sau chiar într-un război, un alt element care complică mult o discuţie echilibrată asupra limitelor care în mod normal vor trebui stabilite, în cadrul ONU, pentru a evita pierderi civile masive în cazul războaielor viitoare. Tot în același volum sunt disponibile rezultatele cercetărilor lui Phillip Mc Reynolds «How to Think About Cyber Conflicts Involving Non-state Actors» (pp. 427-448), completat de textul lui Ugo Pagallo, «Cyber Force and the Role of Sovereign States in Informational Warfare» (pp. 407-425). Numai primul articol citat (Bringsjord, Licato) este disponibil online gratis : http://kryten.mm.rpi.edu/SB_JL_cyberwarfare_disanalogy_112113IT.pdf

Iar pentru a vedea diferenţa semantică și nu numai, profunda diferenţă de gândire strategică între SUA și Rusia asupra aceluiași subiect, textele de mai sus trebuie citite în paralel cu A.S. Kapto, «Cyberwarfare: Genesis and Doctrinal Outlines», în Herald Of The Russian Academy Of Sciences Vol. 83:4 2013 (pp. 357-474), a se completa cu A.A. Kolkoshin, «Strategic Nuclear and Nonnuclear Deterrence: Priorities», în Herald Of The Russian Academy Of Sciences Vol. 84:2 2014 (pp. 69-68). Acum, revenind asupra exemplelor reale de conflicte cibernetice care au avut loc, recomandăm Robert Kaiser, «The birth of cyberwar», în Political Geography 46, 2015 (pp. 11-20), disponibil gratuit pe : http://www.geography.wisc.edu/docs/papers/the_birth_of_cyberwar_reprint.pdf Cele mai recente mijloace definite de către experţi ca fiind arme destinate războiului, sunt analizate de către Amit K. Maitra, «Offensive cyber-weapons: technical, legal, and strategic aspects», în Environment Systems and Decisions 35:1 (2015) (pp. 169-182). Despre același subiect scrie și Lucas Kello, «The Virtual Weapon: Dilemmas and Future Scenarios», în Politique Etrangère 2014:4 (pp. 239-150).

www.agora.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR CAŢIILOR 43


ds Biblio - Cybersecurity Tren Exemple clare, prin analiza anumitor state și ale capabilităţilor de care acestea dispun în acest domeniu, sunt: Frédérick Douzet, «Chine, États-Unis: la course aux cyberarmes a commencé», în Sécurité globale 23:1, 2013 (pp. 43-51) sau Nir Kshetri, «Cyberwarfare in the Korean Peninsula: Asymmetries and Strategic Responses», în East Asia 31, 2014 (pp. 183-201). Un alt element specific major al războiului cibernetic, similar fenomenului criminalităţii cibernetice, este că, într-o anumită măsură și prin raportare la mijloacele necesare conflictelor clasice, este relativ ieftin. Chiar dacă instrumente specifice infracţionalităţii cibernetice pot fi folosite cu succes în scopuri asociate cu războiul cibernetic, acestea nu pot fi denumite «arme cibernetice». De asemenea spionajul, propaganda, contrapropaganda, recrutarea, dezinformarea, terorismul sau aspecte asociate unor fapte de terorism sunt prezente, cu evoluţii semnficative în mediul virtual. Așadar, este previzibil ca, pe termen scurt și mediu, multe puteri macro- sau micro-regionale să investească masiv în toate aceste domenii până la ultima fază, aceea a arsenalul militar digital, așa cum rezultă și din cercetarea publicată de Yong-Soo Eun, Judith Sita Assmann, «Cyberwar: Taking Stock of Security and Warfare in the Digital Age», în International Studies Perspectives, 2015 (p. 1-18) sau preocupantul text a lui Michael Kenney, «Cyber-Terrorism in a Post-Stuxnet World», în Orbis 59:1, 2015 (pp. 111-128) În final, dorinţa noastră este să încheiem acest «kit» de recenzii cu răspunsul la întrebarea: de ce suntem și noi victime potenţiale în cazul unui război? Apreciem că cel mai elocvent articol asupra acestui subiect este textul, pe cât de scurt, pe atât de convingator al lui David P. Fidler, «Tinker, Tailor, Soldier, Duqu: Why cyberespionage is more dangerous than you think», în International Journal of Critical Infrastructure Protection 5:1, 2012 (pp. 28-9)

Nu puteam să închidem acest capitol dedicat conceptului de război cibernetic decât prin a indica exemplul unei ţări (aproape) invulnerabile. Care sunt conceptele strategice, mecanismele, instituţiile, legile, departamentele care se ocupă de securitatea cibernetică în Israel? Cum interacţionează între ei, cum lucrează cu companiile private, cu mediul academic și cu societatea civilă? Aceste aspecte sunt prezentate și explicate în micul breviar al lui Lior Tabansky, Isaac Ben Israel. «Cybersecurity in Israel», Springer Briefs in Cybersecurity, Berlin 2015 (98 pp.). În aceeași serie de publicaţii a fost publicat, în anul 2014, volumul lui Myriam Dunn Cavelty, «Cybersecurity in Switzerland», Springer Briefs in Cybersecurity, Berlin 2014 (76 pp.). Citind în paralel ambele volume, putem aprecia eficienţa sistemului de securitate cibernetică atinsă de un sistem federal, fără competenţele tehnologice avansate ale Israelului, însă utilizând la maxim beneficiile cooperării extinse cu toţi actorii relevanţi în domeniu – instituţii publice, companii private, mediul academic, inclusiv prin intermediul unor organisme de reacţie rapidă multi-stakeholders precum MELANI. Mulţumită autorului, profesor la ETH Zürich (Politehnica), volumul despre Elveţia este integral disponibil online pe pagina autoarei de pe site-ul academia.edu.

NB: Toate articolele și volumele fără link URL menționat sunt gratuite online prin intermediul bibliotecilor universitare care au acces integral la Springerlink, Cairn și la Elsevier ScienceDirect. Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

O publicație

şi get to know!

Notă copyright: Copyright © 2015 Pear Media SRL și Swiss WebAcademy. Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparţine Pear Media SRL și Swiss WebAcademy. Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Tel.: 021-3309282; Fax 021-3309285

44

ISSN 2393 – 4778 ISSN-L 2393 – 4778

http://www.agora.ro http://cybersecuritytrends.ro


Securitee* Controlează securitatea datelor

Control deplin pentru blocarea sau limitarea transferurilor de date

Politici clare de acces la datele confidențiale pentru utilizatori

Monitorizare continuă și notificări asupra transferurilor efectuate

Rapoarte complete privind activitățile de transfer din companie

*Obține un Free Trial de 30 de zile pentru compania ta Intră pe www.securitee.net/ro



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.