DSC_1151

Dan Tofan

Technical Director of the Romanian National Computer Security Incident Response Team (CERT-RO)
He is a technical expert, with an extensive experience, in the field of cyber security, gathered from the governmental, academic and private sector as well.
He holds a PhD in computer sciences – cyber security, and has multiple cyber security and project management related certifications.
In present he coordinates all technical projects developed by CERT-RO, being also part in several European workgroups related to cyber security policy making and standardization.


cert

Centrul Național de Răspuns la Incidente de Securitate Cibernetică

(CERT-RO)

Inspirat de titlul acestei reviste nou-lansate, m-am gândit să denumesc prezentul articol “Tendințe de securitate cibernetică în România”. Un alt titlu, pe care îl folosesc adesea când prezint acest gen pe informație, ar putea fi “Situaţia  securităţii cibernetice în România”. De ce un astfel de titlu? Deoarece acest articol se bazează pe date reale privind incidentele cibernetice de securitate la nivel naţional, colectate în ultimii ani de CERT-RO, o structură guvernamentală care are cunoștințele, capacitatea și accesul la informații corecte, în scopul de a publica astfel de rapoarte.

Câte ceva despre CERT-RO, suntem o structură independentă, cu experiență în domeniul securității cibernetice, cu capacitatea de a preveni, analiza, identifica și răspunde la incidente de securitate cibernetică ce amenință spațiul nostru cibernetic național. CERT-RO este coordonat de către Ministerul pentru Societatea Informațională și este finanțat integral de la bugetul de stat.

Ca un punct național de contact în ceea ce privește relațiile cu alte centre CERT, primim zilnic peste 200.000 de alerte care conțin IP-uri și adrese URL într-un fel implicate în cel puțin un incident de securitate cibernetică, și / sau creează probleme altor sisteme conectate la Internet din întreaga lume. Noi colectăm aceste date, le păstrăm într-o bază de date, le interpretăm (identificarea proprietarului sau a furnizorilor de servicii Internet (ISP), validarea în cazul unor incidente, anchetarea suplimentară, analiza malware, îmbogățirea datelor etc.), şi le transmitem, sub formă de alertă profesională de securitate cibernetică, pe e-mail în cele mai multe cazuri, părților afectate, fie furnizori de servicii Internet, companii private, instituţii publice sau persoane fizice.

Anul trecut, am colectat cca. 78 milioane de alerte, referitoare la 2,4 milioane de IP-uri unice, ce reprezintă aproape 24% din numărul total de IP-uri alocate României, adica ceea ce putem numi “spațiul cibernetic național românesc”.

Acum, revenind la tendințe, cel puțin două dintre ele au fost observate de noi când am studiat semnalările colectate în 2014.

Prima se bazează pe observația că 54% din alertele primite se referă la sisteme configurate greșit, care sunt vulnerabile și pot fi utilizate de către atacatori pentru alte obiective în Internet. “Configurat greșit” se poate referi la diferite tipuri de sisteme care au fost instalate cu setările implicite, sau nu au nici o măsură de securitate cibernetică instalată de către administrator, sau pur și simplu sunt prea vechi și depreciate pentru a fi securizate în mod corespunzător. În această categorie putem include open DNS resolvers, servere deschise NTP, dispozitive utilizate acasă configurate greșit (routere wireless, camere web, televizoare inteligente, smartphone-uri), care pot fi exploatate cu succes de către atacatori doar pentru că, în cele mai multe cazuri, acestea sunt deschise, și nu trebuie să fie sparte. De ce este nevoie de utilizarea acestor resurse deschise vulnerabile? Ei bine, ele sunt o țintă ușoară pentru atacatori, și pot fi folosite pentru a lansa mai departe atacuri pe Internet. Deci, ca o primă concluzie pentru această primă tendință putem spune că multe dintre dispozitivele și serviciile instalate în România nu sunt configurate și securizate corespunzător.

A doua tendință pe care o voi sublinia se bazează pe observația că 46% din alertele primite se referă la sisteme infectate care au fost atacate, compromise și fac parte dintr-un botnet. Este important de menționat faptul că, în cele mai multe cazuri, infecţia este persistentă, sau durează o perioadă de timp, din acest motiv este raportată la CERT-RO, eveniment care se poate întâmpla cu mult timp după infecția inițială. Am putea concluziona aici că sistemele afectate duc lipsă de soluţii antivirus, sau că soluțiile antivirus au fost păcălite de malware  modern mai inteligent, sau pur și simplu că sistemele nu sunt actualizate cu ultimele patch-uri de securitate. Deci, ca o concluzie la cea de-a doua tendință am putea spune că unora dintre români le lipsesc cultura şi cunoştinţele de securitate corespunzătoare, pentru a fi în măsură să se protejeze împotriva amenințărilor cibernetice (instalarea unui antivirus, actualizarea zilnică a software-ului, securizarea sistemelor de operare, securizarea dispozitivelor utilizate acasă etc.).

Ca o concluzie generală, am putea spune că domeniul amenințărilor cibernetice care vizează spațiul nostru cibernetic național a evoluat, atât în termeni de volum cât și de complexitate. Cetățenii români sunt puşi în pericol de amenințările cibernetice sus-menţionate, precum și restul Internetului, în timp ce lipsa unei culturi adecvate privind securitatea cibernetică asigură succesul unor astfel de amenințări cibernetice. După ce au fost compromise, sistemele sunt folosite în general ca proxy-uri, astfel încât atacatorii reali să îşi poată ascunde identitatea și să poata lansa alte atacuri pe Internet.