Sunday, May 20, 2018
2015

626
Carlo-De-Micheli
Carlo De Micheli

autor: Carlo De Micheli

În anii ’80 a fost depus primul patent pentru comunicare radio NFC. În anul 2004, Philips, Nokia, și Sony au creat primul forum NFC (Near Field Communication). De atunci, NFC a devenit un standard adoptat de companii mari ca Apple și Samsung care îl introduc în cele mai noi tipuri de smartphone-uri și este prezent în întreaga lume în milioane de badge-uri și carduri fără contact. Companiile de transport au început să folosească carduri radio pentru sistemele folosite la metrou și autobuze. Este foarte confortabil pentru călători, aceștia trebuind doar să apropie cardul lor de un cititor pentru a-și plăti călătoria cu mijlocul de transport.

Această inovaţie a venit însă și cu toate problemele de securitate pe care o autentificare de la distanţă (chiar și din apropiere) le-ar putea implica. Un exemplu în acest sens este sistemul Oyster pentru metrou, din Marea Britanie, care a fost subiectul unei slabe autentificări în operaţiunile de scriere sau citire a cardurilor. Doua din cele mai mari companii de credit carduri, Visa și Mastercard, au venit cu propriile sisteme NFC, respectiv PayWave și PayPass.

Când industria de carduri de credit şi de debit a început să adopte NFC, au fost adoptate de asemenea și unele reguli de bază de securitate. În majoritatea ţărilor există o limită de plăţi de aproximativ 25 de euro per tranzacţie NFC. Acest lucru limitează sumele tranzacţionate cu autorizare fără PIN sau cip sau citire magnetică sau semnătura, pentru o accelerare a plăţilor. Companii mari precum McDonalds au devenit promotoare şi au adoptat această tehnologie, lansând o serie de oferte cum ar fi o cafea gratuită la o comandă plătită prin intermediul NFC.

În anul 2012, am început testarea de carduri NFC în laboratorul nostru de la Security Brokers. O bună perioadă de timp au fost realizate o mulţime de studii despre cum se citesc aceste tipuri de carduri, la ce distanţă pot fi citite şi cum pot fi extrase datele din ele. Există comenzi specifice, care pot fi trimise „low level” direct cardurilor prin frecvenţe radio, la care cardurile răspund direct cu datele conţinute în ele. În prezent, găsim cititoare hardware în cele mai multe smartphone-uri de ultimă generaţie iar software-ul aferent poate fi descărcat de pe app store.

Ce date pot fi extrase de pe cardurile NFC?

Ne-am aştepta ca numerele de card de credit şi de debit să fie diferite la un card cu limitare de plată la 25 euro pe tranzacţie NFC, faţă de un card tradiţional. La toate cardurile am testat PAN (Primary Account Number), și numărul cardului pe care îl găsiţi scris în relief pe faţa cardului a fost exact același cu numărul folosit pentru tranzacţiile NFC.

Acest număr poate fi citit folosind un cititor NFC standard şi un mic software scris pentru un anumit tip de card, de exemplu, Mastercard şi Visa au comenzi diferite pentru a citi date de pe carduri.

De altfel, datele accesibile NFC, care sunt uşor de citit fără sa fie necesar vreun tip de autentificare, includ de asemenea data de expirare a cardului şi prenumele proprietarului!

Acest lucru dă unui atacator informaţii suficiente pentru a procesa o tranzacţie. Retailerii care adoptă această tehnologie şi clienţii lor cu siguranţă economisesc timp în efectuarea plăţilor, dar asta cu preţul unui mare risc de acces la date confidenţiale şi de fraudă tangibilă pentru clienţi, bănci şi companiile de asigurare aferente.

Care sunt diferitele scenarii de fraudă?

Focus-Trends-No-4Scenariul de bază de fraudă prin NFC are ca principiu scanarea unui card şi folosirea PAN şi a datei de expirare a cardului pentru a efectua o tranzacţie online sau off-line.

Cardurile NFC pot fi scanate de la o distanţă foarte mică, de la câţiva milimetri la câţiva centimetri. Am descoperit în urma testelor noastre că folosind o antenă 12x10cm, un card poate fi citit de la până la 10 centimetri distanţă. Credem că acest interval poate fi încă îmbunătăţit în continuare prin utilizarea unui sistem mai puternic de antene şi circuite.

Exploatând diferite metode de tranzacţionare utilizate în Europa versus alte ţări precum Statele Unite, se pare că scanarea unui card într-o ţară şi efectuarea tranzacţiei în altă ţară este, probabil, cea mai uşoară cale de extragere de cash.

Focus-Img-2-Trends-No-4Există moduri diferite de a efectua o plată cu cardul, prima și cea mai utilizată fiind plata online. Informaţiile minime cerute de bancă pentru a permite o tranzacţie sunt PAN şi data de expirare a cardului. Pentru securitatea clienţilor lor, unele companii cer o parolă suplimentară (de exemplu Verified by Visa), sau un one time token trimis prin SMS sau prezent pe un device, sau adresa proprietarului, sau CVV/CVV2 (codul de verificare de 3 cifre scris pe spatele cardului). Cu alte cuvinte, există multe căi de de limitare a unei tranzacţii cerând informaţii care nu sunt prezente în datele publice ce ar putea fi citite prin NFC. Există site-uri de comerţ electronic care încă nu cer CVV sau alte detalii pentru a efectua o tranzacţie, ceea ce înseamnă o cale dechisa de extragere de cash pentru atacatori.

În tranzacţiile «card prezent», în care clientul oferă cardul, acesta este autentificat fie prin intermediul CIP și PIN, sau este citit magnetic şi semnat. Trucul din spatele încasării se bazează pe metodele de rezervă ale acestor tipuri de tranzacţii. Dacă CIP-ul nu reuşeşte, se bazează pe banda magnetică. Dacă banda magnetică nu reuşeşte, va trebui să fie introdus manual în sistem PAN şi data de expirare.

În timp ce în Europa CIP și PIN sunt dominante, în Statele Unite tranzacţia cu bandă magnetică este încă un standard folosit pe scară largă. O simplă propoziţie «the stripe isn’t working, please type the code» (banda magnetică nu funcţionează, vă rog să tastaţi codul) face posibil pentru un atacator să determine casierul la un supermarket, chelnerul dintr-un restaurant, angajatul unei cabine de taxare de autostradă să tasteze direct PAN-ul şi data expirării fără a încerca măcar să treacă cardul prin cititorul magnetic.

Adesea se cere să se arate fizic cardul unui angajat pentru a fi copiate numerele. Acest lucru înseamnă că cu o simplă imprimantă de carduri şi cu o staţie de scanare NFC, care să se afle undeva pe un alt continent, se poate avea la dispoziţie un set întreg pentru o operaţiune de carding la nivel global.

Ce riscăm noi din postura de clienţi?

O staţie de scanare poate fi imaginată ca un mini-PC, cu o baterie de lungă durată, ascuns lângă un terminal de plată NFC, de exemplu într-un restaurant fast-food sau la un automat de bilete în gară. Mini-PC-ul poate stoca local sau poate trimite prin Internet detaliile cardurilor scanate de la oamenii aflaţi în apropierea antenei ascunse. Este ca un skimmer de ATM-uri, dar cardul nu trebuie nici macar sa fie introdus în mod voluntar în maşină.

Care sunt soluţiile?

Din postura de clienţi putem să ne plângem emitenţilor de carduri şi să cerem băncilor să ne emită carduri fără NFC (cardurile cu NFC au un simbol unic pe ele similar cu pictograma WiFi), sau să folosim portofele speciale care au ecranare împotriva undelor radio.

Băncile trebuie să acţioneze imediat pentru a-și actualiza sistemele şi pentru a evita carding în masă, implementând o soluţie care include autentificare înainte de a avea acces la detaliile cardului. În acelaşi timp este cu siguranţă necesară o monitorizare sporită a tuturor tranzacţiilor cu cardul și a notificărilor care vin de la clienţi prin intermediul mesajelor text sau al smartphone-urilor. 

562

autor: Laurent Chrzanovski

  1. Instalează un antivirus cu firewall nu numai pe PC, dar si pe toate dispozitivele mobile (telefon, tableta etc.)
  2. Update-ază permanent toate soft-urile pentru a asigura o protecţie maximă din partea antivirus-ului.
  3. Atenţie maximă la descărcarea unor aplicaţii nesigure, mai ales pe mobil. Alege doar apps-uri propuse în «store»-ul oficial al sistemului de operare
  4. Citește cu mare atenţie adresa unui link propus de terţi, mai ales dacă vine pe email și este vorba de reînnoirea parolei la conturile de social media, la cardul de credit etc.
  5. Ajustează la maxim setările de securitate și privacy de la smartphone, browser-e și social media.
  6. Dezactivează geolocalizarea și automatizarea de data exchange pe mobil: activează data exchange numai când vrei să folosești o anumită app(licaţie) și numai pentru ea (browser, starea vremii, facebook, whatsapp etc)
  7. În browser-ul de internet, elimină optiunile de «save history» și «save cookies», setează «erase all data» dupa fiecare sesiune; intră în personal settings (preferences) ale browser-ului cât mai des posibil și verifică ștergerea memoriei cache și a eventualelor plug-in-uri inutile. Cookies se vor reseta la următoarea deschidere a unui website, dar este mai bine să nu rămână în memorie.
  8. Asigură-ţi datele făcând un backup pe un HD extern, zilnic sau măcar săptămânal și scanează acest HD cu antivirus-ul.
  9. Folosește parole foarte lungi cu cifre (în genul unei strofe de o poezie, începută cu o secvenţă de numere și terminată cu parenteze sau puncte de exclamaţie etc.)
  10. Setează propriile tale întrebări și răspunsuri pentru password recovery mai ales pe serviciile de email gratis și pe reţelele sociale
  11. De-cuplează obligatoriu aplicaţiile între ele: înregistrează-te în fiecare reţea sau serviciu dorit cu propria parolă, nu cu «using my yahoo, gmail, facebook, etc. account»
  12. Verfică întotdeauna că modul în care introduci date confidenţiale este «HTTPS», mai ales în cazul plăţilor online
  13. Descarcă și activează în browser AD-block și Anti-pop-up (numeroase variante)
  14. Refuză orice plug-in necunoscut, mai ales de video/multimedia, propus de un site în care nu ai 100% încredere
  15. Refuză memorarea parolelor și înregistrarea automată la acces din browser-ul PC-ului dar și în setările smartphone-ului și tabletei. În cazul în care ţi-e frică să nu pierzi parole, folosește un keychain recomandat (centralizator criptat de user/parole).
  16. Elimină cât mai rapid mesajele de pe whatsapp sau webmail după salvarea lor pe PC.
  17. Pentru tot ceea ce este confidenţial, evită folosirea de servicii gratuite de email (gmail. yahoo etc.) sau de free cloud /data sharing. (Aproape) tot ceea ce este gratuit se plătește. Mai bine abonează-te la un serviciu de mail: securitatea și viaţa ta privată merită 3 EUR pe lună!
  18. Nu publica informaţii personale sau private pe reţelele sociale (adresa, starea civila, etc.)
  19. Nu te conecta la contul bancar și evită să te conectezi la orice spaţiu virtual privat cu parolă (mail, reţele sociale, site-uri de cumpărături) din reţele wireless publice (bar, restaurant, aeroport).
  20. Dacă vrei mai multă securitate, folosește mail-uri cu semnătură PGP sau Apps de mesaje și convorbiri criptate precum Signal/Surespot, pe care numai cele mai puternice agenţii de Stat pot să le decripteze, nu și primul venit.

20-sfaturi-Trends-No-4

Un mesaj tipic de phishing «la grămadă»: autorii nici nu au folosit o adresă de email apropiată de cea originală. Sfat: chiar dacă ai un antispam bun, verifică întotdeauna adresa email de la care vin cereri de reintroducere/reiniţiere/adăugare date pe site-urile pe care le folosești (bancă, card de credit, email, reţele sociale, site-uri de cumpărătu ri etc.): 90% dintre ele sunt tentative de escrocherii. 

662

autor: Redacția cu sprijinul lui Eduard Bisceanu,
expert, fost director adjunct CERT-RO

Evoluțiile tehnologice înregistrate în ultimii ani au adus în atenția publicului, dar și a specialiștilor, noi provocări privind asigurarea securității utilizatorilor de echipamente informatice.

Aceste preocupări au produs și continuă să producă din ce în ce mai multă informaţie referitoare la metode de protecţie online, conducând și la înregistrarea unor endinţe de creștere exponenţială a pieţei produselor de securitate cibernetică, precum și a pieţei de training specializat și readaptarea curiculelor școlare pe toate nivelurile. Totodată, schimbările de paradigmă privind impactul utilizării tehnologiei informaţiei în cadrul administraţiei publice, în business, precum și în viaţa de zi cu zi a majorităţii cetăţenilor, determină o nevoie tot mai pregnantă pentru societate de a asigura o pregătire de bază a fiecărui utilizator în raport cu riscurile generate de această realitate.

Deși există o serie de preocupări în domeniul creșterii culturii de securitate, derulate atât de instituţii publice cu competenţe în acest domeniu, precum și de entităţi private care au diverse obiective în acest domeniu sau complementare, indicatorii descriptivi ai fenomenului criminalităţii informatice, precum și statisticile publicate de organismele de tip CERT sau companiile de securitate arată o continuă creștere cantitativă și evoluţie în complexitate și materializare a riscurilor de securitate cibernetică îndreptate împotriva utilizatorului final – cetăţeanul și/sau a afacerilor mici și mijlocii. Acestea din urmă nu își permit, sau nu investesc, de regulă, în sisteme de securitate cibernetică corelate în raport cu riscurile asociate domeniilor în care-și desfășoară activitatea.

Materialele educative în domeniu, din ce în ce mai consistente din punct de vedere al utilităţii/aplicabilităţii, nu își ating întotdeauna scopul, de multe ori și datorită caracterului opţional al nevoii de cunoaștere a acestora, dar, de multe ori și datorită faptului că sunt realizate într-un limbaj mult prea tehnic pentru a fi înţelese de utilizatorii obișnuiţi, care nu au o educaţie tehnologică avansată sau la care această educaţie lipsește cu desăvârșire.

Mesajul pe care vrem să-l transmitem este că educaţia de securitate a devenit o responsabilitate socială individuală, iar prin conţinutul acestui articol încercăm să ne adresăm, într-un limbaj cât mai comun, oricărui cetăţean care deţine astăzi un mijloc de comunicare prin intermediul căruia se conectează la Internet, încercând să acoperim cu sfaturi simple riscurile de bază cu care se poate confrunta online, cu efecte directe offline.

Dezvoltarea industriei IT generează sisteme de calcul din ce în ce mai performante și de dimensiuni din ce în ce mai reduse, coroborat cu disponibilitatea pe scară largă a conexiunilor de date pe suport radio generează o mobilitate din ce în ce mai mare a echipamentelor de calcul (smartphone, laptop/notebook, tablete), precum și similitudini din ce în ce mai accentuate din punct de vedere funcţional – ce se putea face acum câţiva ani exclusiv pe un desktop PC acum este disponibil inclusiv pe un telefon mobil inteligent, noile sisteme de operare lansate pe piaţă dispunând de facilităţi evident asemănătoare, indiferent de producător.

1. Securitatea conexiunii la Internet

1.1 Aveţi încredere în conexiunea la Internet de acasă? Dacă da, de ce? Aţi citit vreodată contractul semnat cu furnizorul de servicii? Are clauze care vă protejează conexiunea? Cablul sau fibra optică care se conectează la consola operatorului în scara blocului sau în afara locuinţei sunt protejate cu un minim de măsuri de securitate fizică?

Spaţiul public este plin de temeri privind accesul serviciilor secrete la comunicaţiile individuale, dar puţini își pun problema încrederii în furnizorul de servicii. De ce? Pentru că, de regulă, pe angajaţii furnizorilor de servicii Internet nu-i verifică nimeni la angajare, iar accesul la conţinutul comunicaţiilor dumneavoastră este la un click distanţă de aceștia.

Marii furnizori de servicii de comunicaţii sunt conștienţi de această preocupare pentru confidenţialitate, în special cei care au experienţe acumulate din operarea pe spaţiile unor state cu tradiţie în protejarea drepturilor individuale.

Solicitaţi furnizorului de servicii Internet informaţii despre modul în care vă protejează comunicaţiile, de preferat înaintea semnării contractului de servicii !

1.2 Conexiunea la Internet prin WiFi de acasă – conectarea la Internet pe suport radio, de regulă cunoscut sub denumirea de WiFi, se poate realiza prin intermediul dispozitivelor (acces point) pe care vi le furnizează operatorul dumneavoastră de servicii sau pe care vi le achiziţionaţi singur. Configurarea acestor echipamente de comunicaţii a devenit destul de accesibilă utilizatorilor obișnuiţi, care nu posedă un nivel avansat de cunoștinţe, însă configurarea corectă din punct de vedere al securităţii prin utilizarea funcţiilor native cu care este prevăzut echipamentul se poate dovedi dificilă. Puteţi apela la un specialist de încredere pentru achiziţionarea și/sau configurarea unui astfel de echipament.

În afara preţului convenabil, dimensiunilor și capacităţilor de comunicaţii pe care vi de doriţi, trebuie să aveţi în vedere ca echipamentul să permită comunicaţia criptată prin utilizarea standardului WPA2 (selectabil ca atare din meniul de configurare al echipamentului), cel mai sigur standard de criptare comercial pentru conexiuni wireless în prezent. Desigur, există echipamente wireless cu funcţii de securitate complexe, însă utilizarea unui mecanism de criptare comercial de tip WPA 2 și al unei parole complexe (cifre, litere mari, litere mici, semne de punctuatie – combinate), poate fi suficientă pentru asigurarea securităţii conexiunii unui utilizator obișnuit.

De câţiva ani, echipamentele instalate la domiciliu sau la sediul firmei de furnizorii de servicii Internet sunt prevăzute cu criptare WPA 2, iar echipamentul vine cu această opţiune activă și cu parola deja activată. Schimbaţi parola imediat – parola iniţială este fie scrisă pe echipament, fie pe contractul de furnizare a serviciilor și poate fi deja compromisă.

Riscurile aferente utilizării fără parolă a unui punct de acces radio la domiciliu, ar putea fi:

  • accesarea neautorizată din proximitatea locuinţei a echipamentului și a comunicaţiilor derulate prin el
  • accesarea de către orice persoană a echipamentului, conectarea la Internet și derularea de activităţi ilegale online, astfel făptuitorul aparent ce va fi identificat la o investigaţie oficială locuiește la domiciliul dumneavoastră și vă puteţi aștepta oricând cel puţin la o vizită a organelor de aplicare a legii.

2. Securitatea financiară online

Utilizarea instrumentelor de plată electronice și a facilităţilor de plată din ce în ce mai accesibile în mediul virtual reprezintă fără dubiu vectori de îmbunătăţire a vieţii individului și un factor de progres. De la plata online a utilităţilor, a taxelor și impozitelor și până la utilizarea magazinelor virtuale pentru cumpărături de orice fel – toate contribuie la confortul individului sau la eficienţa unei afaceri, iar creșterea ponderii bankingului online și comerţului online trebuie încurajate. Este necesar însă ca toate persoanele care utilizează instrumente electronice de plată să aibă cunoștinţe de bază privind securitatea tranzacţiilor financiare online, pentru că disponibilitatea banilor online este și va fi în continuare privită și ca o oportunitate pentru o serie de infractori.

Având în vedere multitudinea tehnologiilor și mecanismelor utilizate pentru realizarea unui magazin online sau pentru un serviciu de internet banking/mobile banking, este destul de dificil să se elaboreze sfaturi detaliate universal valabile pentru asigurarea securităţii financiare online.

Există însă o serie de sfaturi de bază care pot micșora drastic șansa utilizatorul de a deveni victima unei fraude online, astfel:

  • informaţi-vă la banca emitentă a cardului dumneavoastră de credit/debit în raport cu elementele de siguranţă de care acesta dispune, precum și la condiţiile de siguranţă privind utilizarea acestui instrument
  • informaţi-vă cu atenţie asupra elementelor de siguranţă pe care banca dumneavoastră le pune la dispoziţie pentru utilizatorii serviciilor de mobile banking/internet banking
  • nu faceţi cumpărături online de la magazine virtuale necunoscute sau care nu oferă suficiente informaţii pentru identificarea vânzătorului (numele firmei, sediul social, prezentarea unor elemente de siguranţă a tranzacţiilor) sau care nu permit conectarea prin intermediul unei conexiuni de tip https (protocol care securizeaza conexiunea între terminalul dumneavoastră și serverul pe care este găzduit magazinul virtual – conexiunea de tip https poate fi verificată vizual în câmpul de adrese web din browserul dumneavoastră)
  • nu folosiţi pentru operaţiuni financiare terminale pe care aveţi instalat software piratat – software-ul piratat este un vector eficient de distribuţie a virușilor informatici destinaţi furtului de informaţii bancare
  • instalaţi-vă un antivirus cu licenţă și aveţi în vedere actualizarea permanentă a acestuia. Există aplicaţii antivirus care verifică și validează securitatea unei conexiuni online sau care dispun de baze de date privind reputaţia unei pagini web – acestea scad semnificativ șansele să vă conectaţi la un site web fals – inclusiv pe terminale de tip smartphone
  • evitaţi instalarea de aplicaţii ale căror funcţii nu le cunoașteţi în totalitate pe terminalul mobil utilizat la plăţi electronice – acestea pot avea funcţii ascunse destinate furtului de date financiare
  • nu folosiţi aplicaţii de mobile banking pe terminale mobile modificate neautorizat (ex: jailbreaking) și pe care aţi instalat aplicaţii din magazine virtuale neoficiale
  • nu deschideţi atașamente trimise prin mail de la persoane necunoscute și în niciun caz nu introduceţi în formulare primite prin email datele financiare – băncile nu solicită așa ceva
  • nu vă conectaţi la magazine virtuale sau la site-ul băncii dumneavoastră utilizând link-uri primite prin email sau mesaje electronice de orice fel
  • introduceţi manual adresele web ale site-urilor pe care vă conectaţi în vederea derulării de operaţiuni financiare
  • nu utilizaţi parole unice și nu le stocaţi în fișiere neprotejate pe telefonul sau computerul dumneavoastră
  • deși este un sfat greu de pus în practică – nu este indicat să efectuaţi plăţi online prin utilizarea acelorași terminale electronice pe care le utilizaţi pentru entertainment (gaming, vizionare de conţinut multimedia online etc.)

3. Securitatea social media

Deși majoritatea utilizatorilor de Internet utilizează platforme sociale – Facebook, Twitter, Linkedin, Instagram etc. – foarte puţini dintre utilizatori sunt conștienţi în raport cu riscurile cu care se pot confrunta pe aceste platforme.

Pentru cei care sunt interesaţi de securitatea personală, este necesară conștientizarea a cel puţin două categorii de riscuri:

  • riscul expunerii involuntare de date cu caracter personal sau de astfel de informaţii despre propria persoană, familie, patrimoniul personal – care pot fi folosite împotriva dumneavoastră în diferite scheme infracţionale de către infractori (nu numai de către cei cibernetici)
  • riscul utilizării platformelor de social media pentru distribuţia de aplicaţii de tip malware destinate extragerii neautorizate de date de pe terminalele dumneavoastră sau chiar distrugerii/afectării disponibilităţii acestora

Având în vedere aceste categorii mari de riscuri, ţineţi cont de următoarele sfaturi:

  • informaţi-vă cu atenţie care sunt setările cele mai potrivite pentru profilul creat în cadrul unei reţele sociale, asfel încât să cunoașteţi cu exactitate ce date pot fi vizualizate despre dumneavoastră online de către oricine și de către prietenii/conexiunile dumneavoastră virtuale
  • nu postaţi conţinut care vă poate afecta intimitatea sau informaţii detaliate despre patrimoniul dumneavoastră și activităţile/locaţiile la care sunteţi prezenţi fizic – pot fi utlizate de infractori ca instrumente eficiente pentru planificarea unor jafuri asupra locuinţei dumneavoastră
  • nu deschideţi linkuri primite prin intermediul reţelelor sociale sau conţinut venit de la persoane necunoscute – pot fi vectori de distribuţie a unor viruși periculoși
  • nu introduceţi datele de conectare la reţelele sociale pe care le utilizaţi pe formulare primite prin mail sau alte tipuri de mesagerie online – introduceţi adresele web și parolele manual
  • nu folosiţi aceeași parolă pentru mai multe platforme sociale, mail, plăţi online etc. – compromiterea unei astfel de resurse poate duce la compromiterea întregii dumneavoastră vieţi virtuale
  • nu vă conectaţi online cu necunoscuţi, dacă nu doriţi ca aceștia să acceseze secţiunea privată a profilului dumneavoastră
  • educaţi-vă și controlaţi copiii la utilizarea reţelelor sociale pentru a nu vă expune involuntar la fraude și pentru a evita expunerea psihologică a acestuia în faţa conţinutului periculos și inclusiv protejarea fizică a acestuia
  • evitarea întâlnirilor cu necunoscuţi în lumea reală.

4. Securitatea terminalelor mobile

În ultima perioadă sunt disponibile online o serie de date despre riscuri privind utilizare telefoanelor mobile inteligente, insă de multe ori acestea sunt prea tehnice și nu oferă o imagine simplă, necesară utilizatorului normal. Cu riscul de a plictisi utilizatorii experimentaţi o să încercăm să descriem problema în limbaj cât mai comun.

În primul rând terminalele mobile inteligente nu mai sunt doar telefoane mobile, ci sunt sisteme de calcul complexe, cu componente similare oricărui sistem informatic de tip desktop PC sau laptop/notebook, sens în care, din punct de vedere al securităţii, ar trebui tratate similar. Mai mult, componenta de mobilitate și conectivitate permanentă vine cu riscuri suplimentare la adresa securităţii individului sau a afacerilor. Spre exemplificare, dacă ne imaginăm lumea spionajului clasic cu 10-15 ani în urmă, pentru a putea urmări o persoană permanent, a putea asculta convorbirile ambientale la orice moment, a putea vedea imagini din locul în care se află la orice oră, a știi ce și cu cine comunică permanent – erau activităţi care presupuneau eforturi logistice semnificative și resurse tehnologice și umane importante. Astăzi, un terminal mobil oferă toate aceste facilităţi în timp real pe scară largă, evident nu numai serviciilor de informaţii despre care presupunem că ar trebui să aibă un scop legitim să ne urmărească, ci oricăror persoane care dispun de resurse și cunoștinţe minimale, precum și de un motiv să ne invadeze viaţa personală.

Trebuie să fiţi conștienţi că terminalul mobil inteligent pe care il deţineţi dispune de o cameră video performantă și un microfon de calitate, un dispozitiv GPS destul de precis – precum și de conectivitate permanentă la Internet – făcând din acesta mijlocul perfect de spionaj.

Ce trebuie să faceţi pentru a vă proteja cât mai bine viaţa intimă, finanţele, familia sau afacerea? Iată câteva sfaturi simple care vă pot ţine departe de o mare parte din necazurile pe care vi le-ar putea provoca utilizarea tehnologiei fără limite:

  • nu folosiţi telefoane mobile modificate pentru a putea instala aplicaţii din magazine virtuale neoficiale (ex prin procedeul numit jailbreak)
  • citiţi condiţiile legale de utilizare a aplicaţiilor pe care le instalaţi care rulează pe ecran înainte de a da acceptul pentru instalare – o mare parte a aplicaţiilor solicită acces la date de trafic, agenda telefonică, date de localizare, microfon, camera video, pozele stocate local etc. – apreciaţi singuri dacă aplicaţia pe care o instalaţi necesită acces la aceste date pentru a funcţiona pe terminalul dumneavoastră
  • nu instalaţi aplicaţii ale căror funcţii nu sunt descrise în totalitate și informaţi-vă online cu privire la acestea – despre majoritatea aplicaţiilor populare există o multitudine de date online
  • instalaţi un antivirus performant pe terminal – recomandăm aplicaţiile antivirus care verifică și aplicaţiile mobile și dispun inclusiv de „liste negre” cu aplicaţii nelegitime
  • protejaţi terminalul cu parole puternice (cât mai multe caractere de mai multe tipuri – cifre, litere, simboluri)
  • nu stocaţi parolele neprotejat în memoria terminalului
  • anumite tipuri de telefoane mobile dispun de facilităţi de criptare a datelor stocate – această facilitate asigură un grad ridicat de securitate în caz de pierdere sau accesare neautorizată a terminalului
  • nu lăsaţi telefonul nesupravegheat în locuri în care acesta poate fi accesat de persoane străine – în mai puţin de un minut pe telefonul dumneavoastră poate fi instalată o aplicaţie cu funcţii spion, ascunse total utilizatorului legitim
  • nu deschideţi linkuri primite pe sms sau prin alte metode de mesagerie (WhatsApp, WeChat, Telegram, Facebook Messenger, Hangouts etc.) sau fișiere primite prin aceleași mijloace de la persoane necunoscute și verificaţi-le și pe cele primite de la cei din agenda telefonică
  • nu accesaţi pagini web cu șanse mari de distribuţie de malware de pe terminalul mobil
  • nu menţineţi conectivitatea WiFi sau Bluetooth deschise dacă nu le utilizaţi
  • nu folosiţi aplicaţii de tip mobile banking pe telefoane utilizate de regula pentru entertainment (instalarea/dezinstalarea frecventă de jocuri online fără a verifica sursele de instalare)
  • verificaţi periodic prin intermediul facilităţilor de cost control dacă aveţi de plată sume mai mari decât pentru serviciile utilizate – se pot datora unei aplicaţii instalate ilegitim care accesează netransparent servicii cu suprataxă
  • nu duceţi telefonul la service-uri neautorizate
  • stabiliţi politici clare de utilizare a terminalelor mobile personale în reţeaua firmei – fără prezenţa unor măsuri de securitate suplimentare în cadrul instrastructurii informatice a firmei introducerea necontrolată de către angajaţi a terminalelor personale în reţeaua firmei poate genera riscuri majore la adresa securităţii acesteia
  • când situaţia vă permite și dacă nu aveţi nevoie de conectivitate permanentă – întrerupeţi conexiunea la Internet când aceasta nu este necesară – sau folosiţi setările care permit accesul permanent la Internet numai anumitor aplicaţii, în funcţie de nevoile dumneavoastră de comunicare
  • mergeţi cu terminalul la service în condiţiile în care acumulatorii încep să se consume mai repede decât de obicei – dacă acumulatorul este în stare bună, este posibil ca terminalul să fie infectat cu o aplicaţie malware periculoasă pentru intimitatea dumneavoastră. 

602
raoul
Raoul Chiesa, Fondator și președinte, Security Brokers SCpA rc@security-brokers.com
De ce sunt importante codările de securitate împreună cu soluţiile Cyber Intelligence și sursele corecte de informare

autor: Raoul „Nobody” Chiesa

În septembrie 2015 Security Brokers (SB) a definitivat o amplă analiză cu tema „Targeted Threats Team”, demarată în ianuarie 2013, bazată pe o cercetare de peste 24 de luni și corelarea datelor. Studiul a analizat cele mai importante incidente de Securitate și breșe de date identificate în ultimii 10 ani, cu începere din anul 2004. Lecţia învăţată a fost deosebit de impresionantă și a afectat întrucâtva tiparele de gândire și de operare de până acum. În prezentul articol ne propunem să trecem în revistă elementele cheie rezultate în urma acestui proiect de cercetare și noile elemente logice pe care nu le putem încă aplica intern în organizaţiile noastre în lunile următoare și în viitorul apropiat.

În prima parte a acestui articol vor fi prezentate cele mai importante tendinţe legate de ameninţările informatice, breșe, scurgeri de date și atacuri de pagini Web, precum și impactul acestora asupra organizaţiilor.

A doua parte a articolului oferă o vedere generală asupra importanţei conceptului «Secure Programming» și a greșelilor specifice care pot să apară în timpul rulării testelor de securitate sau activităţilor de tip Advanced Penetration Testing specific aplicaţiilor Web.

Introducere

Ideea unui articol dedicat a apărut în ultimele luni ale anului 2014, când au fost analizate datele studiului „World’s biggest data breach” (Ref. a) ce conţineau analiza a zece ani de evenimente de securitate, breșe, scurgeri, ameninţări, lansate împotriva tuturor sectoarelor de piaţă posibile, enume rate în Tabelul 1.

Tabel-1-Trends-No-4

Lista în sine ar trebui să fie suficientă pentru a realiza dimensiunile și mărimea problemei. Autorii raportului au organizat metodologia de scurgeri de date după următoarele criterii: Incidente publicate de hackeri, interne, laptopuri pierdute sau furate, dispozitive digital media pierdute sau furate și condiţii slabe de securitate.

În timp ce parcurgeam raportul toţi eram deosebit de uimiţi; ne aminteam de luna februarie 2014, când analizam excelenta lucrare „Strategies to mitigate cyber intrusions” publicată de Australian Signals Directorate (ASD), din cadrul Departamentului de Apărare din Australia: da, discutam despre acea deosebit de bine educată echipă folosită la investigarea și rezolvarea incidentelor de securitate din anii ‘90 (Ref. b).

Parcurgând ghidurile publicate de ASD, am rămas surprinși de faptul că nici un fel de recomandări sau reguli explicite nu au fost adoptate în privinţa unor domenii precum Secure Coding sau Secure Programming. Am găsit „Reguli de configurare a aplicaţiilor de utilizator” menite să adreseze intruziunile ce exploatează vulnerabilităţile Java sau macro codurile maliţioase din fișierele Microsoft Office, precum și Application whitelisting (#1 pe lista ASD), dar încă nu un item specific legat de exemplu de S-SLDC (Secure Software Life Development Cycle), OWASP Top-Ten, sau atenţionări generale despre nivelele de securitate ale programelor. Și după cum poate fi ușor de verificat, niciun fel de menţiuni legate de mediile Cybercrime Intelligence. Tocmai de aceea în cadrul echipei SB s-a decis rularea unei analize diferite care să evidenţieze aceste macro-erori, atât procedural cât și tehnologic, pe baza acestui volum impresionant de date, ajutând astfel audienţa și cititorii să înţeleagă cât de mult pot contribui cele două concepte Cyber Intelligence și Secure Coding la mai buna prevenire a unor scenarii atât de
neplăcute.

Prima concluzie evidentă ce a reieșit este oarecum înfricoșătoare: nici una dintre organizaţiile victimă nu știe „Cine sau Ce” i-a afectat, în ciuda unor bugete importante alocate pentru o „mai bună” Securitate IT, produse, software și consultanţi de vârf. Ceea ce este semnificativ și ne poate conduce către o paradigmă, ce va crește în importanţă în anii următori. La fel cum astăzi suntem conștienţi de faptul că informaţiile despre breșele din companiile noastre, precum și acele semnale și indicatori despre următoarele posibile atacuri trebuie găsite în afara mediilor noastre. Trebuie deci să vorbim despre Cyber Intelligence, unde Intelligence („information & data”) se aplică contextului și spaţiului unde acţionăm în fiecare zi.

Cyber Intelligence (Bazate Pe Open Sources)

Cyber Intelligence reprezintă un serviciu ce poate fi aplicat oricăror tipuri de afaceri, de la companiile private (Finanţe Energie, Apă, Modă, Jocuri. etc…) la organizaţiile guvernamentale și militare. Acest serviciu este obligatoriu, fiind în permanenţă actualizat cu ceea ce se întâmplă, pentru a înţelege mai bine ce s-ar putea și cu siguranţă se va întâmpla.

Aceste servicii sunt bazate pe două diferite modalităţi de abordare: bazate pe Open-Source și pe Closed-Source Intelligence. În primul caz, companii specializate culeg din mediile Web (IPv4, IPv6, siteuri Web, Portaluri de știri, etc.) toate informaţiile disponibile și le organizează pe sectoare, topologii și cuvinte cheie. Un exemplu este prezentat mai sus (în „Figura 1”), printr-o captură de ecran de pe portalul Web „BRICA” (Ref. c).

BRICA-Cover-Story-No-4

Așa cum se poate vedea, informaţiile și datele sunt corelate cu profilul clienţilor, fiind bazate în special pe sectoarele de business și infrastructura IT a acestora.

Risk-Intelligence-No-4În această abordare specifică, BRICA nu doar administrează și organizează acele alerte tehnice de securitate, ci și colectează, analizează și clasifică conţinutul alertelor incipiente („Early Warning type”) selectate cu atenţie și asociate diferitelor tipuri de riscuri și ameninţări cibernetice, din diferite Risk-Intelligence2-No-4zone de business. Informaţii corecte despre noile ameninţări globale, ameninţări malware și campanii Cybercrime, fraude și farse, ameninţări de mediu, activităţi infracţionale, precum și acţiuni de terorism sau ameninţări legate de sănătatea umană.

În fine, BRICA include ca trăsătură nativă un sistem pentru Online Risk Alerting & Management Portal, integrat cu interfeţele Web disponibile pentru abonaţii săi, de unde este administrat și modulul de Risk Intelligence; așa cum per total următoarele categorii sunt acoperite de diferite echipe de analiză:

Considerând natura acestui articol, e lesne de menţionat importanţa ce trebuie acordată categoriei „Aplicaţii” din zona ICT Technology Risks.

Pornind de la resursa dată ca exemplu (s-a ales BRICA pentru că asta se folosește) credem că fiecare organizaţie trebuie să aibă disponibilă o singură resursă de date, integrată cu elemente de analiză a riscului și securitatea informaţiei, ce poate contribui la prevenirea atacurilor IT.

Cyber Intelligence (Bazat Pe Closed Sources)

După această primă trecere în revistă a instrumentelor Cyber Intelligence bazate pe OpenSources, haideţi să le discutăm pe cele bazate pe Closed Sources. Trebuie să fie evident cât de importantă este corelaţia dintre conceptul de Cyber Intelligence și problemele legate de programarea nesigură și codurile afectate: multe organizaţii afectate au realizat că breșele de securitate au apărut când era prea târziu. De aceea este important ca informaţiile trebuie obţinute pe cât posibil înainte de producerea unui incident: este exact obiectivul pe care se bazează metodele Closed Sources din conceptul Cyber Intelligence.

Este vorba despre o abordare total diferită faţă de primele metode analizate, bazată în mod curent pe un abonament anual, ce poate fi rezumat ca:

  • AML (Anti Money-Laundering) Intelligence & Consulting:
    3C (Compromised Credit Cards), conturi bancare, etc.
  • BOTNETs Intelligence
  • E-CRIME Intelligence
  • MALWARE Intelligence (sau sisteme „POS”)
  • THREAT Intelligence
  • TARGETED THREAT Intelligence

În timpul diferitelor noastre activităţi am întâlnit informaţii ce proveneau din sectorul militar, în special despre date secrete furate din diferite calculatoare compromise („zombies”), cu parole de identificare și logare provenite din diferite secţii ale Ministerului Apărării.

În limbaj tehnic aceste informaţii sunt numite „feeds” și provin din atacuri ţintă plănuite special pentru organizaţiile vizate; furnizorul care se aseamănă cu o agenţie privată ce operează în spaţiul cibernetic, obţine aceste feeds din diferite medii precum „Cyber” (Cyber Intelligence), Human (HumInt – Human Intelligence, precum operaţiunile sub acoperire) și Signal ( SigInt, Signal Intelligence, de exemplu interceptarea traficului C&C din gâtuiri). Suma tuturor acestor informaţii este alocată centrelor Intelligence Data, analizate de către Intelligence Analysts, ce alocă un anumit număr de ore pe lună pentru fiecare organizaţie client.

Este clar că discutăm despre servicii speciale de securitate, cu o importantă valoare adăugată, pentru care costurile de subscripţie sunt ceva mai ridicate decât informaţiile provenite din Open sources.

Important este că în timp, am putut observa cum unele investiţii aprobate de diferite organizaţii pot returna valoarea, prin campanii targetate împotriva pericolelor interne, precum campaniile de hacking, atacurile de phishing, breșele de date, pagube legate de reputaţie și imagine, pierderea continuităţii în business.

Secure Coding (Sau Secure Programming)

După ce în precedentele capitole am putut vedea o imagine de ansamblu, putem realiza că este o mare greșeală să ne concentrăm doar pe siguranţa codării, fără a explica în ce măsură datele furate pot fi recuperate în exteriorul organizaţiei.

În ciuda tuturor atacurilor ce apar non-stop, 24 de ore pe zi, pe durata celor 20 de ani de experienţa ai companiei SB am observat că foarte puţine organizaţii apelează la soluţii de tipul Secure SLDC (Software Life Development Cycle).

Un alt semnal clar că „ceva este putred aici” este legat de numărul de organizaţii care aplică programe de instruire Secure Coding. Ca exemplu, SB oferă peste 80 de programe de instruire pentru securitatea informaţiei, dintre care circa 20 de cursuri din gama Secure Coding se află permanent în catalogul de training. Din păcate, doar 2% dintre clienţii SB investesc în programe de instruire specializate, un procent extrem de redus ce se explică parţial prin lipsa de investiţii în resurse umane și prin externalizarea scrierii de coduri către terţe companii, ce nu acorda atenţia cuvenită pericolelor de securitate.

De aceea am decis ca ultima secţiune a articolului să se bazeze pe informaţii provenite din propria noastră experienţă, bazată pe un număr de peste 1000 de teste de penetrare, prin diferite aplicaţii Web, comerciale sau Open source.

Chiar dacă suntem în anul 2015, încă întâlnim o sumedenie de probleme legate de penetrarea SQL, ceea ce arată că programatorii nu au învăţat încă lecţia. E dramatic faptul că echipele de securitate mai identifică încă acest gen de greșeli de programare – indiferent de limbajul folosit, de la PHP la .ASP – ce permite oricărui atacator extern să exploateze bug-urile aplicaţiei și să câștige accesul direct (citire, scriere, ștergere) la peste 10.000 de tabele din baza de date de back-end.

Aceasta conduce la vulnerabilitatea următoare, legată în principal de administrarea sistemului, de tipul „Excessive database user grants” ce permite atacatorilor să obţină sute de mii de parole de utilizator; această vulnerabilitate e asociată adesea cu „Weak password hashing algorithm”, ce permite atacatorilor să spargă mult mai rapid parolele utilizatorilor.

Destul de des am întâlnit vulnerabilităţi ce pot fi identificate numai prin metode „Privileged Testing”: chiar după testarea tipică de penetrare „black-box” în care echipa nu dispune de nicio informaţie de tipul UserIDs/Passwords, am cerut clienţilor să ne dea alte 3 seturi de identificare pentru fiecare profil pe care îl rulează în aplicaţie, precum „User”, „Special User” și „Administrator”. Vulnerabilitatea este numită „Cross-User Interaction” și am identificat-o aproape de fiecare dată în care am rulat un test de penetrare, probabil pentru că companiile de testare a standardelor de securitate nu furnizează clienţilor aceste tipuri de teste.

Acum putem vorbi despre atacurile de tip DoS, ce apar ca buguri în aplicaţii, ca de exemplu Slow Loris DoS (Ref d.) vulnerabilitate care spre deosebire de o sesiune HTTP nu expiră: cele mai expuse categorii de clienţi sunt cei din gama SME (Small and Medium size Enterprise), care în marea lor majoritate rulează servicii Internet pe linii ADSL standard.

Deoarece din experienţa de teren și diferitele scenarii întâlnite la client am acumulat peste 1000 de proiecte de testare a securităţii, vom rezuma principalele vulnerabilităţi în formă tabelară. Pentru fiecare vulnerabilitate redată în Tabelul 3 se detaliază impactul și se face o scurtă descriere.

Concluzii

Această lucrare s-a focalizat pe diferitele greșeli făcute de organizaţiile din întreaga lume, indiferent de mărime și maturitate în domeniul Securităţii Informatice.

Deși diferitele modalităţi de abordare și folosirea de diferite soluţii depind în mod categoric de resursele disponibile (buget, personal IT, experienţa și pregătirea administratorilor de sistem și programatorilor), credem că orice trebuie să înceapă cu măsurile care sunt foarte ușor de dezvoltat în interiorul oricărei organizaţii: popularizarea internă și instruirea tuturor angajaţilor.

Este un proces care ajută nu numai specialiștii IT, din Securitatea Informatică sau management, dar și colegii din alte departamente la buna îndeplinire a obiectivului comun: securitatea informaţiei din propria organizaţie. Un obiectiv ce trebuie să reprezinte o prioritate absolută pentru organizaţiile orientate către sectoarele critice de securitate a datelor.

Referințe

  • „World’s biggest data breach”: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  • Australian Signals Directorate „Strategies to Mitigate Targeted Cyber Intrusions”: http://www.asd.gov.au/infosec/top-mitigations/mitigations-2014-table.htm
  • Cyber open source Intelligence portal: https://brica.de/
  • Slow loris DoS: http://it.wikipedia.org/wiki/Slowloris

569
Stefan-Harsar-Faar
Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)
Principiul separării zonelor de comunicare în vederea asigurării securităţii informaţionale

autor: Ștefan Hărșan Fárr

În lumea noastră din ce în ce mai conectată informaţia are valoare foarte mare, însă secretul informaţional este un subiect neglijat sau chiar descurajat deoarece jucătorii cheie în domeniul comunicaţiei electronice au interes direct în a avea acces la cât mai multă informaţie. Acest fenomen creează un amestec foarte periculos în care technologicul, economicul, politicul, legalul și nu în ultimul rând factorul uman interferează în așa fel încât este din ce în ce mai greu să păstrăm secret informaţia noastră personală sau al companiei de care aparţinem. Statele vor să știe totul despre noi, ei spun că este pentru protecţia noarstră dar de fapt este vorba despre influenţă și control; furnizorii de servicii ne spun că vor să știe mai mult pentru a îmbunătăţi calitatea serviciilor, dar de fapt vor metode mai eficiente de a-și plasa produsele. Nu a trebuit mult până când au intrat în joc și criminalii cu un scop mai puţin ambiţios: să fure informaţie și să o vândă la cine dă mai mult. Și în mijlocul acestei frenezii, ne aflăm noi și informaţia noastră.

De bine de rău, oamenii înţeleg valoarea informaţiei, înţeleg beneficiul de a avea mai multă informaţie decât concurenţa, înţeleg importanţa de a păstra secret acest avantaj, de a avea informţie în comun cu alţii, informaţie ce trebuie protejată pentru binele grupului sau necesitatea de a proteja informaţia altora plasată in custodie. Problema este că tot acest peisaj informaţional este așa de complex, de întortochiat, plin de interese, de neadevăruri și neînţelegeri că mulţi vor eșua în aceste îndatoriri fără să-și dea seama. Acest lucru este foarte grav, pentru că toate aceste informaţii sunt conectate, iar un intrus va fi capabil să extragă informaţie din aproape în aproape, până când ajunge la ceea ce este valoros. Și de multe ori ceea ce este valoros pentru un intrus, este dezastruos pentru victimă.

Cea mai vulnerabilă verigă în acest lanţ informaţional este procesul de comunicare, dar ca să înţelegem de ce, este nevoi de un pic de context. Când principiile reţelelor au fost elaborate la început, nimeni nu s-a gândit că va prinde așa magnitudine. Reţeaua a fost menită să existe pe linii private, departe de răufăcători. Nici când reţeaua a luat amploare odată cu nașterea internetului, creatorii acestuia nu au avut securitatea pe primele planuri, până la urmă internetul a fost creat să ne unească, nu să ne despartă. În consecinţă nu avem nici un protocol de nivel jos care să asigure securitatea informaţiei în timpul comunicării. Să ne închipuim internetul ca o mulţime de oameni, unde dacă cineva dorește să transmită un mesaj la altcineva va pune mesajul într-un plic nesigilat, și-l va da din mână în mână până la destinaţie. Evident că în această schemă, nu există nici o certitudine cu privire la originea mesajului, dacă acesta a ajuns într-adevăr la destinaţie, dacă a fost adăugat sau șters ceva din mesaj în tranzit, sau câţi în afară de destinatar au mai citit mesajul.

Emailul simplu, care este construit direct peste aceste protocoale, fără nici un adaos de securitate, în consecinţă suferă de toate deficienţele enumerate: autorul poate fi falsificat, livrarea poate fi deturnată, conţinutul poate fi interceptat și / sau alterat în tranzit. Și pentru că oamenii în general nu sunt conștienţi de aceste vulnerabilităţi, sau le ignoră „doar de data aceasta”, emailul devine un instrument de temut în mâna unui criminal cibernetic. Factorul uman joacă un rol important aici: structura noastră socială este construită pe încredere, de aceea, încrederea este starea de-facto al tuturor, într-atât încât considerăm starea opusă, cea de neîncredere constantă, ca fiind o stare anormală, o boală mintală. Dar dacă ţinem cont de faptul că între 70% și 90% (în funcţie de sezon) din totalitatea de emailuri care circulă pe net sunt de fapt nesolicitate sau maliţioase, paranoia ar trebui sa fie starea de fapt. Să ne închipuim comparativ grupul menţionat anterior ca o mulţime distopică în care știm că șapte din zece indivizi sunt acolo pentru că vor ceva de la ceilalţi: unii care vând parfumuri contrafăcute, alţii o pereche de ghete furate din fabrică, altu-i hoţ de buzunare, etc. Problema e că oricât de logic pare că trebuie să ne ferim, nici un om normal nu poate trăi cu o așa teamă constantă așa că vrând nevrând ne lăsăm garda jos și atunci inevitabilul se întâmplă. Devenim victimele unui atac prin email: troian, extracţie de informaţie denumit phishing, etc.

Problema cu serviciile de comunicare asincrone nu se termină aici. Foarte mulţi folosim emailuri publice, sau alte servicii de comunicare cum sunt reţelele sociale, și așa mai departe. Conexiunea dintre browser și server se întâmplă de obicei printr-un canal securizat; vedem https:// în bara de adresă, un protocol de criptare construit peste protocoalele de bază menită să securizeze comunicarea. Deși asta înseamnă că transferul de informaţie între client și server e sigur, serverul, serviciul, rămâne un punct de vulnerabilitate. Majoritatea serviciilor de comunicare de genul acesta online (chat, email, reţele sociale) au în business-modelul lor extragerea de informaţii din comunicarea oamenilor și chiar dacă nu ascund acest fapt, există o tăcere generalizată în legătură cu acest subiect. Însă poarta pe care aceștia o introduc în mijlocul transferului de informaţie poate deveni un vector important în pierderea de informaţii. Trebuie să înţelegem că de câte ori comunicăm prin aceste metode, ne ţinem informaţia noastră într-un punct de tranzit care stă 24/7 liber la atac și tot ceea ce ţine răufăcătorii departe este o parolă. Gravitatea problemei este exacerbată de faptul că factorul uman joacă și aici un rol important. Deși noi avem impresia că informaţia noastră stă în siguranţă în spatele unor sisteme conduse de profesioniști ai domeniului sunt și ei din păcate susceptibili la aceleași inginerii sociale ca toţi ceilalţi, doar că atunci când ei pierd informaţii, pierd și informaţiile tuturor clienţilor stocate în bazele lor de date.

În 2011, stafful intern al RSA, compania care a inventat mecanismul de criptare asincron cu acelasi nume și cel mai puternic pe piaţă la ora actuală, a fost manipulat prin mecanisme de “social engineering” în urma căreia intrușii au pus mâna pe cheile „master” ale produsului lor principal RSA SecureID (tokenuri hard de securitate). În urma acestuia, intrușii au intrat în serverele celui mai mare contractor de servicii de apărare al Statelor Unite, Lockheed. Este foarte interesant de văzut cum se conectează lucrurile. Spargerea de la Lockheed nu s-a datorat nici structurii slabe de siguranţă a Lockheed, nici personalului Lockheed, nici structurii de siguranţă a dispozitivului și nici al sistemului în sine. Ea s-a datorat neglijenţei personalului care a căzut în capcana unei campanii de phishing. Aceasta nu este singurul exemplu de acest fel. Sunt nenumărate situaţii în care compania a pierdut date importante și a încasat pierderi enorme din cauza acestui fenomen de phishing: în 2013, criminali chinezi și-au asigurat acces la serverele a peste o sută de corporaţii americane și au furat tot ce le-a stat la îndemână, proprietate intelectuală, arhivele comunicării cu clienţii lor. Tot în 2013, o mare companie americană, Target, a fost atacată prin această metodă și intrușii au furat datele personale ale 110 milioane de oameni, incluzând datele despre cărţile lor de credit. 2014 Home Depot, tot în Statele Unite, 100 milioane de înregistrări cu date personale pierdute. 2015, Pentagonul și tot în 2015 firma britanică de telecomunicaţii TalkTalk a avut o pierdere de 35 milioane de Lire Sterline datorită aceluiași fenomen.

Toate aceste exemple au în comun un singur lucru, factorul uman și mediile de comunicare asincron: email, reţele sociale, chat, sms, etc. Sunt exemple din sectoare cu securitate ultra-avansată, cu oameni pregătiţi să nu cadă pradă acestor inginerii, și totuși, se întâmplă. Se întâmplă pentru că oamenii nu pot fi vigilenţi tot timpul. Paranoia nu este o stare normală. Asta nu înseamnă că trebuie să păţim ca în povestea cu drobul de sare, trebuie doar să recunoaștem lipsurile cu care am fost „dotaţi” și să găsim soluţi să ne apărăm de ele. Este crucial de important să înţelegem că lipsa secretului informaţional în timpul comunicării poate avea efecte dezastruoase nu numai asupra persoanei noastre sau al companiei de care aparţinem dar și al altor persoane de ale căror date răspundem. Și acest lucru nu numai prin pierderea de informaţie directă în momentul comunicării, ci și prin efecte colaterale, legate de aceste pierderi. Deoarece un intrus va merge din aproape în aproape, de la datele personale cele mai nesemnificative, până când ajunge le cele care ne doboară toată securitatea. Acesta este mecanismul de „social engineering”. Deasemenea este important să înţelegem că trebuie să ne ferim datele nu numai de greșelile la care suntem noi predispuși dar și de greșelile la care furnizorii de servicii pe care le folosim sunt predispuși.

Un foarte important aspect care trebuie observat în toate aceste atacuri este că ele sunt amestecate cu comunicarea de zi cu zi, ceea ce ne face să lăsăm garda jos mai mult decât e cazul și din cauza asta mai devreme sau mai târziu vom da clickul fatal. Dar dacă nu putem noi filtra comunicarea care ajunge amestecat pe o singură cale, cel dorit, cu cel nedorit sau chiar maliţios, am putea separa cele două medii de comunicare. Putem crea un mediu de comunicare securizat, intern în cercul strâns în care avem încredere și unde putem să ne lăsăm garda jos pentru că avem o oarecare certitudine că nu vom fi manevraţi. Tot restul comunicării, care se petrece pe canale deschise, nesecurizate, putem să le privim ca și spaţii compromise implicit, și putem avea o vigilenţă sporită. Este un procedeu foarte simplu, dar care poate deveni deosebit de eficient în prevenirea acestor tipuri de atacuri ale căror vectori este comunicarea de acest gen. Având două spaţii, unul sigur și unul nesigur, nu trebuie să ne apese tot timpul sentimentul de nesiguranţă, ci doar atunci când ne aflăm în mediul nesigur. Ca să revenim la exemplul cu mulţimea, prin separarea acestor două medii am transformat mulţimea distopică dintr-un mediu de lucru permanent, într-unul trecător. Putem vedea cum o stare de vigilenţă tranzitorie devine absolut normală în cazul acesta, și nu numai că majoritatea comunicării o petrec în mediu sigur, în care nu voi fi atacat, dar pentru că-mi permit o vigilenţă sporită în acel scurt timp cât îl petrec în mediul nesigur, voi fi și aici mai puţin predispus să devin victimă.

Acum că am decis să separăm comunicarea în două medii, sigură și vulnerabilă, și am hotărât că cea standard, cea pe care o folosim în marea majoritate a oamenilor este cea vulnerabilă, atunci trebuie să vedem ce o fi însemnând și o comunicare sigură. Principiul este cât se poate de simplu, comunicarea sigură este cea care nu este susceptibilă la vulnerabilităţile enumerate anterior adică:

  • Garantează autorul mesajului;
  • Garantează că mesajul poate fi citit doar de destinatar, chiar dacă mesajul este interceptat;
  • Asigură că mesajul nu poate fi alterat în tranzit.

Tehnologia care ne asigură aceste aspecte în timpul comunicării există, se numește criptare și este implementată în nenumărate platforme. Însă este foarte important să nu cădem în capcana marketingului și să fim conștienţi ce fel de criptare se folosește, care etape ale transferului le garantează, când și cum îl folosim.

De exemplu, am enumerat anterior la slăbiciunile reţelelor publice faptul că mesajul este vulnerabil în tranzit deși transferul de informaţie se petrece tot timplul criptat prin SSL sau TLS, în funcţie de client. Este un caz clasic de neînţelegere al
sistemului de criptare de care marketingul se folosește pentru a deruta consumatorul. Când folosim un email public de exemplu ne logăm în contul de email prin HTTPS, astfel comunicarea noastră cu serverul garantează toate etapele enumerate mai sus. Destinatarul se conectează la rândul său prin canal securizat, deci și comunicarea sa cu serverul beneficiază de aceleași garanţii. Însă deși două etape ale comunicării sunt garantate, mesajul în punctul de tranzit este nesecurizat, vulnerabil, oricine care are acces în aceste puncte intermediare, fie furnizorul de serviciu, fie un intrus care și-a asigurat acces la serverele unuia dintre furnizorii de servicii prin care comunicarea tranzitează poate vedea conţinutul, sau poate altera conţinutul mesajului fără ca destinatarul sau autorul să fie în cunoștinţă de cauză. Deci în ciuda faptului că procesul de comunicare are etape securizate în final realizăm că aceasta este de fapt nesigură.

Când vorbim de criptare în comunicare trebuie să ne asigurăm că aceasta este completă: de la autor la destinatar, de la capăt la capăt, în engleză end-to-end. Nu există etape în care mesajul devine decriptat și acest lucru se poate garanta numai în cazul în care cifrul de criptare este cunoscut numai și numai de către autor și destinatar, ceea ce înseamnă că nici măcar furnizorul de servicii nu are acces la această cheie.

Trebuie să fim atenţi deoarece puţine servicii oferă cu adevărat criptare end-to-end, unele pentru că legislaţia în domeniu este oarecum neclară (în cazul unei criptări adevărate, nici serviciile secrete nu au acces la datele din corespondenţă), altele pentru că modelul lor de business este în defavoarea criptării sau altele pur și simplu pentru că mecanismul de criptare este slab sau deficitar. Înainte de folosirea sau implementarea oricărei soluţii sau grupuri de soluţii și pentru ca sunt șanse sa nu existe o singură soluţie care să satisfacă toate nevoile trebuie să se facă p analiza completă a nevoilor, a soluţiilor, respectiv a vulnerabilităţilor ascune ale acestor soluţii.

Spre exemplu soluţii precum SnapChat sau WhatsApp, deși se pretind a fi canale sigure de comunicare, au fost demonstrate ca fiind nesigure în repetate rânduri, deci trebuie evitată folosirea lor pe post de metode sigure. Reţele sociale publice de orice fel trebuie considerate implicit nesigure unele din ele sunt chiar publice. Serviciile de email public sunt toate complet nesigure, la fel sunt și cele private dacă nu se folosește criptare (vom vedea în cele ce urmează). Serviciile de mesagerie scurtă SMS, serviciile de transfer de fișiere publice sunt deasemenea nesigure. Toate acestea nu înseamnă că nu putem să le folosim doar că le folosim în cunoștinţă de cauză. Stim că sunt nesigure și nu transferăm documente senzitive prin aceste canale: date cu caracter personal, parole la servere, orice altă informaţie ce poate duce accesul unui răufăcător la serverele noastre, document secrete de corporaţie, date ale clienţilor, mai ales în cazul medicilor și al avocaţilor, sau orice alt secret care poate direct sau indirect periclita securitatea, persoanei noastre, a firmei / organizaţiei (fie el și stat) de care persoana noastră aparţine, fie a oricărei alter persoane terţe.

Cu alte cuvinte nu transferăm pe căi nesigure nimic ce nu vedem ca informaţie de interes public.

Dar să vedem acum câteva soluţii de transfer de informaţie care asigură un grad ridicat de siguranţă și la ce le putem folosi și în ce condiţii:

Soluții VPN

Soluţiile Virtual Private Network pe scurt VPN sunt o metodă sigură pentru crearea de canale de comunicare criptate pentru aplicaţii de orice fel. Ele funcţionează ca o reţea normală internă doar că sunt capabile să transfere pachete prin reţeaua publică, în mod securizat, folosind criptare.

Aceste reţele pot fi folosite la orice pentru care se poate folosi o reţea internă: se pot instala soluţii de acces la aplicaţii locale (care nu sunt accesibile dinspre reţeaua publică), schimb de fișiere, acces la servere, etc. Ele sunt de mai multe tipuri: hardware, software sau „as a service” și sunt numeroși furnizori pentru fiecare categorie. În general sistemele hardware sunt cele mai sigure, dar și cele mai puţin flexibile (este nevoie de câte un dispozitiv, de cele mai multe ori ne-portabil, la fiecare capăt al reţelei, punctul de trecere de la reţeaua privată la reţeaua publică).

Acestea sunt o soluţie excelentă pentru schimb de informaţii private, și sunt foarte versatile, în sensul că acestea pot transforma un sistem de comunicare nesigur, într-unul sigur, atâta timp cât comunicarea nu depășește limitele reţelei VPN. Pe de altă parte, cea mai mare deficienţă a acestor reţele este lipsa de flexibilitate. Nimic din ceea ce rulează pe reţea nu poate părăsi reţeaua în siguranţă și oricine are acces la reţea are acces la tot din reţea. Este de nedorit ca terţe persoane să fie introduse în reţea deoarece excluderea lor este foarte laborioasă. Astfel comunicarea cu clienţi sau alte persoane din afara reţelei este aproape imposibilă.

Soluții De Transfer Fișiere

În general, este bine să considerăm soluţiile de transfer de fișiere ca fiind nesigure, indiferent dacă ele se fac prin SSL pentru motivele enumerate anterior. Acest lucru nu înseamnă că nu pot fi folosite. Cu un adaos de siguranţă prin metode de criptare off-line, se poate realiza un transfer de fișiere remarcabil de sigur.

7-Zip, (http://www.7-zip.org/) este o soluţie de comprimare care permite parolare. Deși este o metodă slabă de criptare cu siguranţă va descuraja un atac orb (atacul care nu vizează concret informaţia din acel transfer). În cazul unor informaţii cu grad mare de confidenţialitate se recomandă totuși o criptare mai avansată.

GnuPG(https://www.gnupg.org/),VeraCrypt(https://veracrypt.codeplex.com/) sunt doar două din multitudinea de soluţii care sunt libere și chiar gratuite, și care permit, printre altele, criptarea de grad ridicat pentru fișiere individuale. Soluţiile de mai sus funcţionează pe multiple sisteme de operare, iar metoda este relativ simplă. Se generează o cheie de criptare cu care se criptează fișierul înainte de transmitere.

După transmiterea fișierului criptat pe orice cale nesigură, se va transfera parola, respectiv cheia de criptare, printr-un mediu sigur, și deci doar destinatarul va putea deschide fișierul fiind garantată astfel confidenţialitatea informaţiei.

Această metodă funcţionează cu orice mediu de transfer, email, chat, servicii de transfer de fișiere mari. Inconvenienţa majoră fiind etapele care trebuie parcurse care sunt multe și deci costisitoare în ceea ce privește timpul.

Soluții de Chat

Sunt puţine soluţiile de chat care sunt cu adevărat sigure, însă există și pot fi folosite cu încredere la transferul unor parole sau discuţii scurte care se doresc a fi departe de ochii lumii. Whispernet (https://whispersystems.org/), Wickr (https://www.wickr.com/) și Telegram (https://telegram.org/) sunt trei care la ora actuală pot fi recomandate pentru servicii de mesaje scurte gen chat. Telegram este un serviciu care are versatilitate mai mare, însă doar secţiunea de Secure Chat are criptare capăt-la-capăt, celelalte servicii care permit transferul de fișiere, etc. sunt criptate client – server.

Beneficiul acestor soluţii este că funcţionează pe multiple platforme, inclusiv mobile, dar marele dezavantaj este că transferul de informaţie este limitat.

Soluții de email criptate

Emailul este un caz special, este probabil cel mai răspândit mod de comunicare dar și unul din cele mai vulnerabile. Însă, cu un adaos de criptare putem transforma emailul într-un mediu sigur și cu recomandarea adăugată să folosim aplicaţii client și conturi de email separate pentru cel sigur și cel nesigur, poate deveni o soluţie pentru prezenta problemă.

EnigMail (https://www.enigmail.net/home/index.php) este un plug-in de criptare gratuit care folosește tehnica de cripatare PGP. Acesta se poate folosi la transferul de informaţii prin email complet criptate, nu numai ca și atașament criptat precum am prezentat în secţiunea de transfer de fișiere criptate. Există foarte multe soluţii în acest domeniu, pentru toate aplicaţiile client de mail, multe dintre ele contra cost. Se recomandă folosirea numai a soluţiilor care sunt adaptate clienţilor de email ce vin în formă de aplicaţie, și nu a celor care rulează în browsere. Acestea din urmă pot fi ele sigure, însă vin cu încărcătura de vulnerabilităţi ale browserelor (cele mai mari și mai numeroase dintre toate vulnerabilităţile de aplicaţie).

Avantajul acestor soluţii este că funcţionează ca și adaos peste un sistem cunoscut deja, deci știm la ce să ne așteptăm dincolo de securitate. Dezavantajul este că implementarea este greoaie, sincronizarea cu toate sistemele și cunoștinţele precum și transferul de fișiere sunt limitate la mărimea permisă de furnizor. Latenţa este și ea foarte mare, la fel ca și emailul clasic, deci dacă se dorește ceva mai dinamic, gen chat sau reţea socială, această soluţie nu este adecvată.

Soluții de spectru mai larg

Soluţiile de tipul „Social Network Behind Firewall” (Reţea Socială în Privat) sunt reţele de socializare implementate special pentru mediul business. Ele sunt în general limitate la cercul de business de unde si cea mai mare deficienţă a lor. Din punct de vedere al dinamicii, se comportă la fel ca o reţea socială, au funcţii de co-working, cooperare, schimb de fișiere, chat, conţinut, discuţii, unele au și desktop sharing. Din punct de vedere al securităţii se comportă la fel ca orice aplicaţie servită ca și serviciu. Plasată pe internet (public) este susceptibil la phishing și odată compromisă, se vor pierde toate datele stocate în baza ei de date. Plasată în spatele unui VPN, poate fi un instrument excelent în separarea comunicării sigure de cea nesigură, dar va moșteni neajunsurile VPN-ului: va fi limitat la oamenii din companie. Sunt multe soluţii de acest fel cele mai multe contra cost dar sunt și gratuite. Dintre cele gratuite cel mai notabil este Diaspora (https://joindiaspora.com/).

O soluţie interesantă de menţionat aici este reţeaua Earless Network (https://www.earless.net). Este o soluţie de colaborare hibridă de tip asincron. Este printre puţinele soluţii ce oferă criptare totală (de la capăt-la-capăt) garantată prin tehnologia folosită și mecanismul de schimb de chei. Ca avantaj, e ușor de folosit, funcţionează ca și dinamică în mod similar unei reţele sociale însă cu un adaos consistent de control și vizibilitate asupra accesului la informaţie și cu toate avantajele ce vin din criptarea capăt-la-capăt: garantează autenticitatea autorului, securitatea informaţiei în tranzit, și funcţionează în mediu ostil, ceea ce înseamnă că utilizatorii nu sunt limitaţi la membrii organizaţiei.

Ca deficienţe, aplicaţia e încă tânără, permite transferul de documente numai sub 32MB și nu are deocamdată clienţi pentru mobil.

Concluzii

Este clar că secretul informaţional nu este un lucru ușor de obţinut în zilele noastre. Din păcate cererea pieţei și / sau lăcomia „samsarilor” au împins lucrurile în așa fel încât securitatea informaţiei a ajuns pe un loc auxiliar. Cum se întâmplă în astfel de situaţii, răufăcătorii au profitat imediat de aceste lipsuri și am ajuns astfel în situaţia paradoxală de a avea sute sau poate mii de soluţii de comunicare pe piaţă dar nici una care să garanteze pentru informaţia noastră. Sunt nenumărate soluţii de tip „Cloud” care deși poate ar fi bune din punct de vedere al di namicii, ele pică testul securităţii informaţionale pentru că însuși „Cloud”-ul nu este pregătit din punct de vedere tehnologic pentru asta. Poate părea șocant, dar după cum am văzut din exemplele prezentate, care sunt de altfel doar o mică parte din exemplele de care internetul este plin, soluţiile cloud cad una după alta nu pentru că nu ar avea tehnologii sigure în spate ci pentru că sunt susceptibile la acel „factor uman” care nu a fost calculat în designul lor.

De aceea, noi, pentru că numai noi vom fi în final trași la răspundere pentru pierderea informaţiilor noastre, ale organismului pentru care răspundem sau ale clienţilor noștri, trebuie să alegem calea cea grea și să construim această barieră între comunicaţia sigură și nesigură, prin tehnologii care există și proceduri interne care să le adapteze specificului businessului nostru. Pentru că însăși sănătatea sau chiar existenţa ei depinde de asta. 

1504
Pierre-Louis-Girard
Pierre-Louis Girard
Interviu cu Ambasador em. Pierre-Louis Girard

autor: Laurent Chrzanovski

Laurent Chrzanovski: OMC (Organizația Mondială a Comerțului) este o instituție despre care toată lumea vorbește, dar puțini știu cu ce se ocupă în realitate. Ați fost președinte al numeroase grupuri de lucru, în particular al celui care a privit aderarea Chinei la Organizație. Explicați-ne rolul OMC, acum și în raport cu «predecesorul» său GATT.

Pierre-Louis Girard: Organizaţia Mondială a Comerţului are trei funcţii principale. Prima este de a oferi un cadru constituit de reguli stabile și previzibile actorilor comerţului internaţional al bunurilor și serviciilor. A doua este, graţie negocierilor comerciale (sub formă de cicluri de negocieri, cum a fost Uruguay Round sau cum este acum Doha Round, sau în cadrul negocierilor speciale asupra unui subiect sau unui sector specific) de a lărgi liberalizarea schimburilor de bunuri și servicii sau de a dezvolta noile norme care se vor aplica acestor schimburi. A treia este de a pune la dispoziţie membrilor săi un sistem de rezolvare a diferendelor, sistem la care o ţară poate să apeleze de fiecare dată când estimează că un partener al ei a încălcat regulile sistemului sau a cauzat un prejudiciu intereselor sale.

În multe privinţe, OMC este o dezvoltare și o realizare parţială a obiectivelor care au fost fixate de către negociatorii Acordului General asupra Tarifelor Vamale și Comerţului (GATT) în 1947. Așadar, unul dintre scopuri care a fost imposibil de atins la vremea respectivă, acoperirea sectorului de servicii, a fost parţial realizat în cadrul Uruguay Round și a negocierii asupra serviciilor financiare, care s-a ţinut imediat după această rundă. De asemenea, un acord asupra protecţiei proprietăţii intelectuale, aplicată la bunuri și servicii, a lărgit câmpul acoperit de către regulile comerţului internaţional.

Laurent Chrzanovski: Care sunt principalele direcții de lucru ale OMC, sau cel puțin categoriile de produse și comerț de care se ocupă cu prioritate?

Pierre-Louis Girard: Principale axele de lucru nu s-au schimbat fundamental, pentru că tot ceea ce privește condiţiile de schimburi constituie un «work in progress», cum spun anglo-saxonii. Eforturile de liberalizare a comerţului produselor agricole și produselor manufacturate rămân o componentă centrală a activităţii OMC. Mai mult, de când organizaţia a fost înfiinţată disciplina in materie de achiziţii guvernamentale dar și aspectele eco-ambientale ale comerţului au căpătat o nouă dimensiune în cadrul activităţilor sale. În sfârșit, de câţiva ani OMC și membrii săi se concentrează pe dezvoltarea, cu prioritate în ceea ce privește ţările în curs de dezvoltare și în beneficiul acestora, de proceduri și programe de sprijin în tot ceea ce privește facilitarea comerţului și ușurarea procedurilor vamale și de mobilitate a bunurilor.

Laurent Chrzanovski: Summit-ul de la Cancún a marcat începutul unor ostilități deschise din partea mai multor mișcări anti-globalizare, în cadrul cărora OMC a fost unul dintre principalii țapi ispășitori, dar și ținta unor critici din partea mai multor guverne. De ce?

Pierre-Louis Girard: GATT, ca și OMC, au fost întotdeauna obiect al contestaţiilor. Acestea au fost uneori foarte violente, cum au fost în timpul Uruguay Round, de pildă, protestele agricultorilor europeni (și în particular elveţieni), japonezi și coreeni. Mai mult, toate negocierile au fost însoţite de manifestaţii, în anumite momente și de dimensiuni diferite, începând de la sfârșitul anilor 80, organizate de către ONG-uri din ţările dezvoltate și în curs de dezvoltare, din dorinţa de a-i sprjini pe aceștia din urmă, sau cel puţin pentru ceea ce ONG-urile credeau că ar reprezenta interesele acestora.

Unul din punctele culminante ale acţiunilor «anti-globalizare» a fost atins în mod clar la conferinţa ministerială de la Seattle din 1999, când o alianţă de ONG-uri în favoarea ţărilor în curs de dezvoltare, a mișcărilor de apărare a mediului, broaștelor ţestoase și focilor, precum și reprezentanţi ai centralelor sindicale americane AFL-CIO care denunţau «dumping-ul salarial» din partea ţărilor în curs de dezvoltare au reușit să blocheze orice activitate timp de două zile în Seattle. Cauza reală a eșecului conferinţei din Seattle a constat în faptul că ţările membre ale OMC, inclusiv ţările industrializate importante, nu au ajuns la un acord, chiar minim, pe baza căruia să înceapă o negociere.

În ceea ce privește Cancun, același fenomen de divergenţe între membrii industrializaţi importanţi, în special între Uniunea Europeană și Statele Unite ale Americii privind agricultura, a permis diverșilor membri, ţări în curs de dezvoltare, să profite de promisiunile care le-au fost făcute în urmă cu doi ani la Doha de aceleași SUA și Uniunea Europeană, în special că runda de la Doha este o «rundă de dezvoltare».

Laurent Chrzanovski: În timp ce multe state favorizează acum re uniuni și grupuri bazate pe o regiune, o alianță între state sau un produs specific, cum vă explicați faptul că OMC rămâne în centrul dezbaterilor și că puteri macroregionale, cum ar fi Rusia, și-au negociat cu înverșunare aderarea, care a avut loc abia în 2012 (9 ani după Cancun)?

Pierre-Louis Girard: Foarte simplu, pentru că baza juridică care reprezintă acordurile OMC este baza multilaterală cea mai dezvoltată, mai stabilă și mai eficace pe care se pot sprijini ţările ca să-și dezvolte comerţul/schimburile și pentru a se proteja împotriva acţiunilor de pradă ale partenerilor lor comerciali. În plus, prin aderarea ca membri OMC a unor state precum China, Rusia și fostele republici ale URSS, în special, s-a dat o nouă dimensiune statutului lor ca subiect independent din punct de vedere al dreptului internaţional și ca jucător activ în dezvoltarea acestuia.

Laurent Chrzanovski: Astăzi, cu excepția materiilor prime, produsele finite sunt din ce în ce mai hibride, iar procentul de produse având o funcție de recepție/transmisie de informații este în creștere exponențială. Aceste date nu pun în pericol negocierile realizate pe «servicii» și «produse », așa cum erau acestea înainte de «internetul obiectelor»?

Pierre-Louis Girard: Acest fenomen nu este nou. Cele mai multe exporturi de bunuri au fost însoţite în trecut de elemente de servicii. Luaţi în considerare instalarea unei turbine, serviciile post-vânzare ale mașinilor textile, etc. Faptul că serviciile ar putea apărea ca un export paralel cu cel al bunului nu schimbă cu nimic faptul că ele formează un întreg. De asemenea, dacă vă cumpăraţi o mașină astăzi, probabil, aţi cumpărat posibilitatea de a utiliza simultan două servicii care sunt integrate în achiziţie: GPS și Bluetooth!

Laurent Chrzanovski: Puține țări, dar dintre cele importante (inclusiv SUA și China), apeleaza la OMC pentru a elimina barierele cu care se confruntă aceste produse, atunci când țările refuză în temeiul excepției de securitate națională – așa cum a fost definită în articolul XXIb GATT (din 30 octombrie 1948!) apoi reprodusă în 1994 (TRIPS articolul 73) și în curs de reproducere, aproape neschimbată în GATS (articolul 14bis.). Credeți că OMC se va pronunța legat de «produse», care includ atât servicii multiple cât și produsul fizic în sine?

Pierre-Louis Girard: Articolul privind securitatea naţională este un articol fundamental, dar este ușor de utilizat și de abuzat (gandiţi-vă la măsurile luate de administraţia Reagan împotriva Nicaragua). Invocarea lui implică, de obicei, consideraţii a căror valabilitate nu este ușor de evaluat. Nu văd, prin urmare, nici pe membrii OMC, nici pe Organismulul de reglementare a litigiilor să fie dispuși să arate îndrăzneală în materie.

Laurent Chrzanovski: Cum explicați lipsa de adaptare a OMC la «era digitală» în care trăim acum? Credeți că este înțelept să rămână pe conceptul de «bunuri», «servicii», «produse agricole și industriale» și «produse» și «drepturi de proprietate intelectuală care afectează comerțul» fără a deschide o fereastră specială pentru produsele sau serviciile cu valoare adaugată automatizată/digitală/trans-statală?

Pierre-Louis Girard: Bazele juridice actuale sunt clare și puternice. Pentru o posibilă dezvoltare a unei ferestre specială pentru «produsele sau serviciile cu valoare adăugată automatizată/digitală/trans-statală» ar fi nevoie ca membrii să se puna de acord în prealabil asupra a ceea ce sunt de fapt aceste produse și asupra faptului că dispoziţiile legale în vigoare, atât internaţionale (inclusiv cele ale OMC, în special) cât și naţionale (legea privind protecţia datelor, legea privind respectul pentru viaţa privată, etc.) sunt în mod clar insuficiente.

Laurent Chrzanovski: O anecdotă marcantă din timpul discuțiilor maraton pe care le-ați moderat?

Pierre-Louis Girard: Primul lucru care îmi vine în minte este o vizită la sfârșitul anilor ’90 la doamna Ministru a Comerţului Exterior Chinez. Când am intrat în biroul ei, m-a întrebat: «Așadar, domnule Ambasador Girard, ce părere aveţi despre China de azi?». La auzul acesteia, nu m-am putut abţine să nu exclam, forţând nota: «Este în plin capitalism sălbatic!». Și ea nu s-a putut abţine să nu râdă cu poftă, recunoscând astfel drumul care a fost făcut în privinţa reformelor din 1988, anul înfiinţării Grupului de lucru privind aderarea Chinei la GATT.

541
Natalia-Spinu-Trends-No-4
Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

autor: Natalia Spinu

Domeniul securităţii cibernetice a început să capete noi dimensiuni odată cu creşterea gradului de automatizare a nivelului tehnologic şi extinderea şi amplificarea ameninţărilor cibernetice. În acelaşi timp, evoluţia contextului geopolitic a impus o nouă paradigmă a culturii securităţii naţionale, în care dimensiunea cibernetică capătă o importanţă crescândă alături de celelalte domenii care vizează securitatea naţională. Spaţiul cibernetic se caracterizează prin lipsa frontierelor, dinamism şi anonimat, generând deopotrivă atât oportunităţi de dezvoltare a societăţii informaţionale bazate pe cunoaştere, cât şi riscuri la adresa funcţionării acesteia.

Alături de beneficiile incontestabile pe care informatizarea le induce la nivelul societăţii moderne, ea introduce şi vulnerabilităţi, astfel că asigurarea securităţii spaţiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor implicaţi, mai ales la nivel instituţional, unde se concentrează responsabilitatea elaborării şi implementării unor politici aplicate domeniului de referinţă. Se resimte necesitatea dezvoltării culturii de securitate cibernetică a utilizatorilor sistemelor informatice şi de comunicaţii, adesea insuficient informaţi în legătură cu potenţialele riscuri, dar şi cu soluţiile de contracarare a acestora. Nivelul culturii de securitate cibernetică trebuie adaptat la nivelul ameninţării cibernetice şi în acelaşi timp, cu o mobilizare generală în identificarea valorilor naţionale care vizează resursa umană care trebuie specializată şi implicată în acest domeniu.

Evoluţia recentă a atacurilor cibernetice din RM situează ameninţarea cibernetică printre cele mai dinamice ameninţări actuale la adresa securităţii naţionale. Consider ca domeniul securităţii cibernetice este o dimensiune importantă a securităţii naţionale, asumându-şi angajamentul de a asigura cadrul normativ în domeniu pentru a face faţă cerinţelor internaţionale şi care să faciliteze, cooperarea bilaterală şi schimbul prompt şi eficient de informaţii între autorităţile competente pentru combaterea utilizării tehnologiei informaţiei în scopuri teroriste sau criminale.

Pe parcursul ultimilor ani, am fost cu toţii martori cum companiile mari, avansate tehnologic, au devenit victime ale atacurilor cibernetice. Marele corporaţii investesc milioane în dezvoltarea tehnologiilor și au drept angajaţi cei mai calificaţi specialiști în domeniul securităţii, dar totuși acest fapt nu le protejează de infractorii cibernetici și suportă pierderi colosale în urma atacurilor din spaţiul virtual.

Adesea, investiţiile în tehnologii se egalează cu zero, atîta timp cît, investind în infrastructura de securitate IT, nu se atrage atenţie la educarea și informarea utilizatorilor simpli din cadrul companiilor. De regulă, angajaţii sunt instruiţi în domeniile lor de specialitate, cum ar fi tehnologie, contabilitate, vînzări, etc., dar mai puţin în domeniul protecţiei datelor companiei de potenţialii infractori din exterior.

Nu ar fi corect să ne bazăm pe faptul că angajaţii ar ști intuitiv regulile de comportament și pericolele spaţiului cibernetic, ca să poată proteja informaţia de serviciu. Din acest motiv, se impune necesitatea întocmirii și implementării unui program eficient de securitate în cadrul companiei, aplicarea căruia va asigura angajaţii cu pregătirea necesară de cunoștinţe, care ar include regulile de comportament în cazul unor atacuri cibernetice manifestate sub orice formă e-mailuri, mijloace de program maliţioase, etc.

Lipsa unui program eficient de securitate cibernetică a afectat și Republica Moldova. Astfel, în luna ianuarie curent, mai multe institutii din Moldova au fost afectate de un atac cibernetic masiv, care s-a efectuat prin intermediul diseminării, de către atacatorii cibernetici, a mesajelor spamphishing. Atașamentul din aceste mesaje conţinea un program maliţios de tip ransomware – «CTB Locker». Profitînd de credulitatea recipienţilor, acest program maliţios a criptat fișierele victimelor, care ulterior au fost șantajate cu o răscumpărare în moneda electronică „Bitcoin”, pentru recuperarea informaţiilor criptate.

Aceste experienţe ne vorbesc încă o dată despre faptul că indiferent de cît de bine este proiectat un sistem de protecţie a informaţiei, aceasta nu va fi eficient, atîta timp cît angajaţii nu vor conștientiza responsabilitatea pe care o poartă și nu se vor informa referitor la normele de comportament, necesare pentru protejarea datelor și resurselor informationale care apartin institutiei.

Pierderile cauzate de atacurile cibernetice au demonstrat necesitatea întreprinderii unor măsuri speciale pentru asigurarea conștientizării în domeniu securităţii cibernetice la nivel naţional. Prin urmare, măsurile de soluţionare a problemei date, alături de alte probleme din domeniul securităţii cibernetice, au fost incluse în „Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”, aprobat de către Guvern pe data de 29 octombrie 2015. Programul are drept scop crearea unui sistem de management calitativ pentru asigurarea securităţii cibernetice și include măsuri de sporire a conștientizării importanţei securităţii cibernetice, precum și informarea cetăţenilor și angajaţilor despre potenţialele pericole de utilizare a Internetului și a poștei electronice. La fel, acesta are drept scop asigurarea întreprinderii unor pași concreţi pentru protejarea întreprinderilor și guvernului de atacuri cibernetice, fraudă, furt de identitate și alte activităţi maliţioase.

O altă măsură întreprinsă pentru sporirea gradului de conștientizare în domeniul securităţii cibernetice este organizarea anuală a Conferinţei internaţionale în domeniul securităţii cibernetice, începînd cu anul 2013. Acest eveniment este parte a Lunii Securităţii Ciberne tice care este octombrie, și are drept scop consolidarea cooperării dintre sectorul public și privat, precum și intensificarea colaborării internaţionale pentru o mai bună rezistenţă a securităţii informaţionale în Republica Moldova în faţa pericolelor din spaţiul cibernetic.

Totuși, constatăm cu regret că, în pofida tuturor eforturilor, societatea moldovenească continuă să subestimeze pericolele din spaţiul cibernetic. Din păcate, în cadrul instituţiilor de stat și a companiilor private încă nu este o cultură elementară de utilizare a tehnologiilor informaţionale. Pentru a redresa situaţia, CERT-GOV-MD organizează sistematic instruiri, care au drept scop sporirea conștientizării pericolelor din spaţiul cibernetic. Astfel, în lunile octombrie – noiembrie al anului curent, s-a desfășurat o nouă rundă de instruiri în domeniul securităţii cibernetice, pentru colaboratorii unor instituţii guvernamentale. Ca urmare a estimărilor rezultatelor obţinute, s-a constatat că în jur de 57% din angajaţi instruiţi deţin cunoștinţe generale în domeniul securităţii informaţionale, 24% deţin cunoștinţe bune, iar la 19% din angajaţi deţin un nivel foarte scăzut de cunoștinţe care trebuie îmbunătăţit considerabil.

Conștientizarea în domeniul securităţii cibernetice este o componentă critică în protejarea celui mai important activ al unei organizaţii – a datelor sale, iar instruirea utilizatorilor care are drept scop identificareaameninţărilor și evitarea riscurilor. Aceste elemente vor asigura securitatea cibernetica, care este un proces continuu și sistematic si trebuie sa devină o parte indispensabilă a culturii de securitate în cadrul oricărei organizaţii.

766
virgil_spiridon
 Adjunct al inspectorului general al Poliţiei Române  Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliţia Română  Coordonator în cadrul proiectului european EMPACT/ EUROPOL, pe linia criminalității informatice (Fraude cu cărți de credit) http://www.politiaromana.ro; www.efrauda.ro

autor: Virgil Spiridon

Comerţul electronic si tranzactiile online au cunoscut o evoluţie fulminantă, vânzările la nivel global fiind estimate la 1,6 trilioane USD în anul 2015, cu aproape 21% mai mult decât anul trecut, conform studiului realizat de eMarketer (2014). În acest context, fraudele privind mijloacele de plată electronică reprezintă un nou orizont pentru crima organizată, care de-a lungul timpului a reușit să rafineze modurile de operare, crescând în mod exponenţial oportunităţile de fraudă în acest domeniu.

Activităţile infracţionale din domeniul fraudelor cu carduri bancare reprezintă un complex de activităţi care vizează în primul rând compromiterea și obţinerea, în mod fraudulos, a datelor informatice confidenţiale înscrise pe banda magnetică a cardurilor, iar în cele din urmă utilizarea acestor date la contrafacerea de cărţi de credit și retragerea frauduloasă de sume de bani din bancomate sau achiziţionarea de bunuri sau servicii în mediul online.

Fraudele privind mijloacele de plată electronică se pot realiza prin mai multe metode, și anume:

Skimming-ul – montarea de echipamente electronice artizanale (guri de bancomat/skimmer și sisteme miniaturale video) la bancomate (ATM-uri – Automatic Teller Machines), pompe de benzină, staţii de plată a taxelor de autostradă (Europa de vest), sau POS–uri (Point of Sales), cu scopul de a copia datele de pe banda magnetică a cardurilor și înregistrarea video a codurilor PIN;

Skimmerele sunt dispozitive de mici dimensiuni care sunt utilizate în scopul de a copia și a stoca sau a transmite datele de pe banda magnetică a cardului. O dată ce cardul este trecut prin dispozitivul de skimming, datele sunt copiate, iar codul PIN este înregistrat de regulă prin intermediul unor camere video instalate la ATM-uri sau POS-uri. Aceste date sunt ulterior utilizate pentru clonarea cardurilor bancare sau sunt vândute altor grupări organizate care le vor utiliza pentru retragerea de numerar sau achiziţionarea de bunuri, de regulă din străinătate.

Furtul cardului original și utilizare după caz (daca este cunoscut codul PIN) la retragerea de bani sau plăţi frauduloase online sau accesul fizic și copierea prin fotografiere sau înregistrare video a celor doua feţe ale cardului pe care se află datele acestuia;

Utilizare de echipamente electronice aparent legale (cititoare de carduri bancare /skimmere/”pisicuţe”) de către angajaţii unor companii/magazine unde plata produselor sau a serviciilor se face la POS.

De cele mai multe ori, deţinătorul cardului nu este conștient că datele au fost compromise până în momentul în care sesizează în extrasul de cont tranzacţiile neautorizate sau este informat de către un angajat al instituţiei bancare.

Introducerea tehnologiei EMV (cardurile cu CIP), în special în Europa, a determinat importante mutaţii în domeniul acestui gen de fraude deoarece acest tip de card nu poate fi contrafăcut.

Din motive comerciale, majoritatea instituţiilor bancare menţin în continuare cardurile cu bandă magnetică, astfel că în prezent există pe piaţă atât carduri cu CIP cât și cu bandă magnetică, fapt care permite în continuare copierea datelor existente pe bandă magnetică, contrafacerea cardurilor și efectuarea de tranzacţii frauduloase, însă acestea sunt posibile în zone din afara Europei, respectiv S.U.A., America de Sud, Asia de Sud-Est.

O alta metodă de fraudă cu carduri bancare, deși din punct de vedere al încadrării juridice nu se supune prevederilor legale referitoare la infracţiunile cu instrumente de plată eletronică, fiind practic un caz de furt, este metoda denumită generic „furculiţa” (reversal transaction). Astfel că prin utilizarea unui dispozitiv metalic, în urma efectuării unei tranzacţii la bancomat, se putea bloca suma în cauză în fanta unde se eliberează banii din ATM, după care era sustrasă, fără ca respectivul cont, atașat cardului, să fie debitat.

Prezenţa sumelor mari de bani în ATM-uri a atras dintotdeauna atenţia infractorilor care, dacă la început se orientau spre furtul fizic al bancomatului și apoi spre sustragerea banilor din interior, în prezent au reușit, prin utilizarea unor softuri dedicate de tip malware, să manipuleze sistemul informatic al bancomatului și să îl determine să elibereze sume de bani fără a se folosi instrumente de plată electronică.

Atacurile de tip phishing/spear-phishing, care în decursul timpului au cunoscut diverse forme de manifestare, de la atacurile ce imitau paginile web ale unor instituţii bancare/financiare, la atacuri ce imitau paginile unor branduri online renumite, toate având același scop, respectiv solicitarea de date personale ale posesorului de card (date de identitate, adrese de email, telefon, alte informaţii) dar și datele înscrise pe cele doua feţe ale cardurilor bancare, respectiv: numărul cardului, numele/prenumele posesorului, codul CVV și data expirării cardului. Important de menţionat este faptul că datele obţinute prin această metodă pot fi folosite în special la tranzacţiile online.

Phishing-ul este o activitate infracţională ce constă în obţinerea în mod neautorizat a unor date confidenţiale, folosind de regulă însemnele personale ale unei instituţii.

Spear-phishing-ul este o activitate de phishing ce vizează doar anumite persoane sau grupuri dintr-o organizaţie.

Astfel, prin mesaje email de tip spam, utilizatorul este îndrumat să acceseze un site care imită site-ul unei instituţii cunoscute și i se solicită sub diferite pretexte date de autentificare sau informaţiile cardurilor bancare. Odată ajunse în posesia infractorilor cibernetici, aceste date sunt utilizate în mod neautorizat pentru achiziţionarea online de bunuri și servicii (Card not present fraud).

Atacurile de tip malware – utilizarea de produse software de tipul malware, viruși, sau alte tipuri de softuri maliţioase, care duc la compromiterea sistemelor informatice sau a bazelor de date ce stochează sau manipulează datele cardurilor în procesul de acceptare/autorizare a plăţilor online.

Începând cu anul 2013, în străinătate au fost identificate primele ATM-uri infectate cu programe de tip malware în vederea efectuării de retrageri frauduloase. Trebuie menţionat că în acest caz nu se targetează contul unei persoane care utilizează ATM-ul, ci chiar ATM-ul în sine. Pentru infectarea cu malware a ATM-ului este necesar accesul fizic la portul USB al ATM-ului sau la sistemul de citire al mediilor optice (CD sau DVD). Malware-ul odată instalat va transmite un cod ce va accesa interfaţa utilizată pentru retragerile de numerar. Ca măsuri de prevenire, trebuie menţionat în primul rând că instituţiile financiare vor trebui să se asigure că software-ul ATM-ului beneficiază de toate update-urile și patch-urile necesare. De asemenea, trebuie impiedicat accesul fizic al persoanelor neautorizate la porturile USB și la sistemul de citire al mediilor optice precum și existenţa unor alarme și a unor parole de acces la sistemul de operare care să împiedice un eventual acces neautorizat.

Forumurile de carding/hacking reprezintă un spaţiu cibernetic care permite relaţionarea şi schimbul de informaţii, servicii şi produse, în mod anonim, între numeroși criminali cibernetici la nivel global. Această piaţă neagră permite accesul la o serie impresionantă de servicii destinate activităţii de hacking. Comunităţile online de acest tip au reguli foarte bine stabilite, accesul făcându-se de regulă pe bază de invitaţie din partea unui membru existent. Utilizatorii forumului sunt notificaţi în mod regulat să schimbe regulat parola de acces pe forum, pentru a împiedica astfel accesul unor persoane din afara comunităţii, iar în caz de nerespectare a acestei reguli, conturile vor fi în mod automat dezactivate. Plăţile pentru serviciile achiziţionate (servicii de tip VPN – Virtual Private Network, credenţialele unor carduri compromise, programe de tip malware, servicii de bulletproofhosting) se fac prin intermediul unei monede electronice, de regulă fiind vorba de Bitcoin sau de PerfectMoney.

Astfel, prin intermediul acestor comunităţi online având membri din toate colţurile lumii, chiar și persoanele fără cunoștinţe aprofundate în activităţi de hacking, pot intra în posesia know-how-ului și a unor date și servicii necesare în activităţi de phishing/ skimming/infectare cu malware a ATM-urilor sau a sistemelor informatice aparţinând instituţiilor financiare.

591
Cătălin PĂTRAȘCU Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice
Cătălin PĂTRAȘCU
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice

Analizând datele procesate de CERT-RO în ultimii ani cu privire la diferite variante de malware, dar și informaţiile publicate în această perioadă de diferite organizaţii ce activează în domeniul securităţii cibernetice, rezultă o tendinţă evidentă de diversificare, specializare și creștere a complexităţii aplicaţiilor maliţioase, fie că vorbim despre APT (Advanced Persistent Threats), botnet, malware financiar (banking botnets) sau Ransomware. Softwareul maliţios reprezintă una dintre cele mai răspândite și periculoase tipuri de ameninţări cibernetice și asta datorită, în primul rând, impactului negativ pe care-l poate avea asupra unui sistem informatic infectat cu un astfel de software.

În prezent există o varietate de tehnici și tehnologii destinate combaterii acestui tip de ameninţare, precum bine-cunoscutele soluţii de tip antivirus, firewall, IDS, IPS etc., încă destul de eficiente, însă rândurile următoare sunt dedicate conceptului de „Application whitelisting”, a cărui implementare îndrăznesc s-o consider de o importanţă deosebită pentru combaterea ameninţării malware.

„Application whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai softwareul autorizat/cunoscut. La prima vedere pare un obiectiv idealist și poate că acesta este unul dintre principalele motive pentru care un astfel de mecanism nu are o rată de implementare ridicată, mai ales în rândul organizaţiilor mici și utilizatorilor casnici. Conceptul în sine nu este ceva nou, reprezentând practic o extindere la nivelul aplicaţie din stiva TCP/IP a abordării de tip „default deny” (nu permite în mod implicit) utilizată de mult timp de tehnologiile firewall.

Implementările corecte de „application whitelisting” presupun:

  • Unelte care să faciliteze identificarea executabilelor și librăriilor software (precum DLL în Windows) și care să permită sau să blocheze rularea acestora;
  • Metodele de identificare a executabilelor și librăriilor software nu trebuie să se bazeze pe reguli slabe, precum numele fișierului sau locaţia acestuia în structura de directoare. Cea mai eficientă metodă constă în identificarea acestora pe baza certificatelor digitale cu care sunt semnate sau, în cazul în care nu sunt semnate, pe baza amprentelor digitale de tip „hash”;
  • Mecanisme de tip ACL (Access Control Lists) care să prevină modificarea de către utilizatori a listei programelor software permise.

În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţărilor de tip malware și există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare:

  • SRP (Software Restriction Policies) – o facilitate conţinută de unealta Group Policy, începând cu Windows XP;
  • AppLocker – unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy.

În cazul sistemelor de operare Linux/Unix, implementarea „application whitelisting” este ceva mai dificilă, în sensul că nu este încă nativ suportată de kernel și nici nu există în distribuţiile de Linux importante o unealtă dedicată acestui lucru. Totuși, există câteva soluţii comerciale care facilitează implementarea, însă acestea depind de versiunea de kernel utilizată și pot apărea probleme în cazul actualizărilor. Alte variante ar fi utilizarea uneltelor SELinux sau AppArmor, deși acestea nu au fost proiectate în acest sens și ar presupune resurse consistente de implementare și testare.

În anumite cazuri implementarea „application whitelisting” se poate dovedi greoaie și consumatoare de resurse, însă beneficiile din punct de vedere al prevenirii infecţiilor cu malware sunt considerabile. Mai mult, se obţine un nivel ridicat de vizibilitate în ceea ce privește fișierele executabile și librăriile software introduse într-un sistem informatic, un aspect extrem de util în procesul de investigare a incidentelor de securitate cibernetică.

În încheiere aș îndrăzni să concluzionez că, deși nicio soluţie de securitate nu poate fi considerată un panaceu, probabil că „application whitelisting” este cea mai eficientă metodă de reducere a impactului generat de malware în cadrul sistemelor informatice utilizate în prezent.

625

cyberint

autor: Oana Maria IORDAN,
Analist, Centrul Național CYBERINT

Evoluţiile tehnologice şi dependenţa din ce în ce mai mare a societăţii de tehnologie oferă oportunităţi de dezvoltare, dar pot cauza deopotrivă vulnerabilităţi, riscuri şi ameninţări atât pentru entităţile publice sau private, cât şi pentru utilizatorii finali. Sistemele informatice sunt în permanenţă ameninţate sau chiar atacate, iar nivelul crescând al accesului la Internet oferă agresorilor cibernetici noi oportunităţi pentru a-şi manifesta intenţiile şi derula activităţile

Aflată în strânsă legătură cu aceste evoluţii tehnologice, ameninţarea cibernetică reprezintă una dintre cele mai dinamice ameninţări actuale şi poate veni din partea unei diversităţi de agresori cibernetici.

Una dintre principalele forme de manifestare a ameninţărilor cibernetice o reprezintă agresiunile cibernetice derulate de către grupările hacktiviste.

Hacktivismul reprezintă manifestarea activismului în spaţiul cibernetic. Format prin combinarea cuvintelor „hack” şi „activism”, hacktivismul presupune derularea de atacuri cibernetice asupra unor sisteme informatice şi pagini web cu scopul de a transmite un mesaj de protest, motivat politic sau social.

Principalul exponent la nivel internaţional al hacktivismului este reprezentat de gruparea Anonymous, şi celulele sale create la nivel naţional. Anonymous este o grupare meritocratică, fără conducere centralizată, specializată atât în activităţi de tip anarhist (proteste, demonstraţii, manifestări) cât şi în derularea de agresiuni cibernetice, cu caracter infracţional.

În ultimii ani, gruparea Anonymous a evoluat către o mişcare politică şi socială globală, al cărei principiu de bază este susţinerea libertăţii de exprimare şi informare. Indiferent de mijloacele de acţiune folosite, de cele mai multe ori ilegale (derularea de agresiuni cibernetice), membrii Anonymous declară că „apără libertăţile fundamentale ale oamenilor”.

Originile grupării Anonymous se regăsesc în anul 2003, atunci când Christopher Poole, un tânăr din New York, a lansat site-ul 4chan.org, un forum anonim de discuţii unde se puteau posta fotografii şi comentarii. Tematica de discuţii s-a diversificat în timp, site-ul devenind locul de întâlnire al multor hackeri anonimi, cunoscuţi sub denumirea de „anons”, care au început să facă schimb de cunoştinţe tehnice şi să discute pe subiecte din domenii diverse.

În anul 2004, din această comunitate de hackeri anonimi a luat naştere gruparea care s-a autointitulat Anonymous, în care oricine putea deveni membru, fără taxe sau proceduri specifice, şi care derula în mediul virtual acţiuni colective sub forma unor farse fără a avea încă obiective motivate de activism.

Abia în anul 2008 gruparea Anonymous a fost pentru prima dată asociată cu activismul şi hacktivismul, odată cu Proiectul Chanology, prin lansarea de acţiuni împotriva Bisericii Scientologice şi a cenzurii pe Internet, ca urmare a încercării acestui cult de a scoate de pe Internet un material video cu Tom Cruise.

Pe 15 martie 2008 au avut loc proteste simultane în mai multe oraşe din lume la care au participat membri ai Anonymous, care au purtat măşti precum cea a personajului Guy Fawkes din filmul „V for Vendetta”. Acţiunile de protest stradal au fost susţinute prin atacuri cibernetice derulate de către hackerii din cadrul grupării asupra site-ului Bisericii Scientologice.

După această reuşită, gruparea Anonymous a devenit cunoscută şi a obţinut atenţia media. Gruparea a adoptat sloganul „Knowledge is free. We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us” şi a început să folosească drept simbol al grupării masca Guy Fawkes.

Promovarea grupării în media a crescut vizibilitatea şi simpatia de care se bucură şi i-a adus un număr din ce în ce mai mare de membri şi simpatizanţi, devenind un grup divers şi amestecat de persoane. Ceea ce îi aduce împreună este motivaţia, apartenenţa la ideologie prin susţinerea aceloraşi obiective, precum şi unele caracteristici comune: de regulă sunt persoane nemulţumite de condiţiile sociale existente, apărători ai drepturilor omului.

Anonymous consideră că „cenzura, îngrădirea liberei exprimări şi lăcomia necontrolată a marilor corporaţii şi a guvernelor ne ameninţă cultura şi însăşi existenţa”. Prin acţiunile sale, gruparea îşi exprimă susţinerea pentru o lume mai liberă, unde „guvernele nu îşi oprimă proprii cetăţeni şi Internetul este menţinut liber pentru oricine doreşte să îl utilizeze” şi îşi propune să apere aceste principii cu orice preţ.

Din 2003 şi până în prezent, gruparea s-a implicat atât în derularea de acţiuni de stradă, cât şi în activităţi infracţionale, prin derularea unor campanii de atacuri cibernetice (operaţiuni), cu scopul de a atrage atenţia asupra unor cauze considerate de grupare legitime şi de a-şi exprima dezaprobarea faţă de decizii şi evenimente importante din viaţa socială, politică, economică, religioasă, etc.

Atacurile cibernetice derulate de către membrii grupării vizează de regulă pagini web şi sisteme informatice aparţinând unei diversităţi de ţinte din întreaga lume: de la instituţii şi agenţii guvernamentale, la entităţi private şi persoane publice, precum şi site-uri de socializare, precum Facebook şi Twitter.

Principalele metode de atac folosite, în vederea afectării integrităţii şi disponibilităţii sistemelor informatice vizate, precum şi accesării/exfiltrării datelor gestionate, rămân cele de tip Defacement4, Denial of Service (DoS)5 şi SQL Injection (SQLi)6. Deşi nu au un grad ridicat de complexitate şi nu necesită cunoştinţe avansate de hacking, aceste tipuri de atac pot fi destul de eficiente.

Pentru a facilita derularea atacurilor, sunt puse la dispoziţia membrilor grupării aplicaţii gata create, precum LOIC (Low Orbit Ion Cannon) sau HOIC (High Orbit Ion Cannon), disponibile gratuit, precum şi tutoriale care explică modul în care pot fi derulate atacurile cibernetice.

De-a lungul timpului, gruparea Anonymous a derulat o serie de operaţiuni cibernetice majore la nivel internaţional, de susţinere a anumitor cauze.

Operaţiunea Payback, primul protest de masă din istoria Internetului, a debutat în septembrie 2010, când gruparea a lansat o serie de atacuri cibernetice asupra Recording Industry Association of America (RIAA) şi Motion Picture Association of America (MPAA), ca răspuns la măsurile întreprinse de aceste instituţii împotriva reţelelor de file sharing pentru a proteja drepturile de distribuţie şi proprietatea intelectuală. Ulterior la sfârşitul anului 2010, Operaţiunea Payback a vizat site-urile celor mai mari companii de plăţi cu cardul (Visa, MasterCard şi PayPal) după ce acestea au decis sistarea plăţilor spre conturile organizaţiei Wikileaks.

Această operaţiune a fost urmată de o serie de operaţiuni având cauze politice. Activitatea grupării a fost marcată de evenimente importante, în care protestele globale au avut un rol major, reuşind spre exemplu să atragă atenţia asupra mişcării Occupy Wall Street, exceselor din sectorul financiar sau chiar să susţină lupta împotriva unor regimuri autoritare (Primăvara Arabă).

În ianuarie 2011 a fost lansată Operaţiunea Tunisia, în sprijinul acţiunilor de protest din cadrul Primăverii Arabe. În cadrul acestei Operaţiuni, membrii grupării au atacat o serie de site-uri guvernamentale şi au creat şi pus la dispoziţie un script ce putea fi folosit pentru protejarea browserelor web împotriva supravegherii guvernamentale.

Pe măsura extinderii protestelor şi în alte state arabe au fost create şi alte operaţiuni afiliate, precum operaţiunea Libia, Operaţiunea Maroc sau Operaţiunea Egipt.

Tot în 2011 a fost lansată Operaţiunea Darknet împotriva site-urilor care promovau pornografia infantilă.

În ceea ce priveşte atacurile cibernetice asupra companiei Sony, care au dus la furtul datelor personale a peste 100 de milioane de utilizatori, gruparea a negat că s-ar afla în spatele acestor atacuri, declarând că „Anonymous nu se află în spatele atacurilor, însă este evident că cei care au spart serverele Sony au vrut să pară aşa”.

În iunie 2012, membri ai grupărilor Anonymous şi LulzSec au lansat Operaţiunea AntiSec împotriva instituţiilor guvernamentale, cu scopul de a protesta împotriva cenzurii şi monitorizării Internetului.

Ca răspuns la operaţiunile militare ale Israelului în Fâşia Gaza, în noiembrie 2012 Anonymous a lansat Operaţiunea Israel, reluată în aprilie 2013 şi în august 2014, derulând atacuri cibernetice asupra mai multor site-uri aparţinând unor entităţi publice şi private israeliene, inclusiv asupra site-ului Primului Ministru, Forţelor Militare Israeliene, Ministerului de Finanţe, dar şi asupra unei bănci importante din Israel.

Printre cele mai recente operaţiuni lansate de către Anonymous se numără Operaţiunea Charlie Hebdo, Operaţiunea ISIS şi Operaţiunea Paris. După atacurile teroriste de la Paris, din ianuarie 2015, şi după ce Daesh a devenit cunoscută şi pentru atacuri cibernetice derulate de membri sau simpatizanţi ai grupării, precum cel asupra TV5Monde, membrii Anonymous au lansat două operaţiuni conexe, Charlie Hebdo şi ISIS, prin care condamnau acţiunile teroriste şi anunţau că „Noi, Anonymous din întreaga lume, am decis să vă declarăm război vouă, teroriştilor, şi să răzbunăm uciderile prin blocarea conturilor voastre de pe toate reţelele sociale”.

În consecinţă, gruparea Anonymous, alături de alte grupări precum GhostSec, o grupare de elită formată din foşti şi actuali membri Anonymous, au început o campanie de atacuri cibernetice împotriva unor siteuri afiliate Daesh, conturi de social media şi disruperea unor activităţi de finanţare online.

Gruparea a atacat şi indisponibilizat mai multe site-uri conexe Daesh, precum site-ul jihadist ansar-alhaqq.net. De asemenea, au identificat şi au raportat Twitter şi YouTube mai multe conturi folosite pentru propagandă sau afiliate Daesh, reuşind să le închidă.

Într-o înregistrare video realizată de către Anonymous pentru a-şi revendica succesul, o persoană purtând masca Anonymous afirma: „Teroriştii care se autointitulează Statul Islamic (ISIS) nu sunt musulmani. ISIS, te vom vâna, îţi vom închide site-urile, conturile, e-mail-urile şi te vom expune. De acum înainte nu mai există loc sigur online pentru tine. Vei fi tratat ca un virus, iar noi suntem leacul. Noi deţinem Internetul”.

De asemenea, conform unui raport al Radware, în februarie 2015, Anonymous a publicat o listă cu o baza de date conţinând datele personale a 2000 de presupuşi membri Daesh. După atacurile recente de la Paris, din 13 noiembrie 2015, Anonymous a declarat război Daesh, având ca ţintă simpatizanţi şi susţinători ai acestor atacuri. Această operaţiune cibernetică agresivă a Anonymous este cunoscută sub numele de #OpParis (@opparisofficial/https://twitter.com/opparisofficial), informaţii fiind disponibile pe un canal de comunicaţii dedicat, de tip IRC (irc.anonops.com SSL 6697).

Operaţiunea Paris are trei faze: obţinerea de informaţii pentru identificarea suporterilor şi susţinătorilor atacu rilor, faza a doua constă în derularea de atacuri pentru a obţine informaţii suplimentare despre cât mai multe ţinte, iar cea de-a treia fază constă în publicarea informaţiilor obţinute pe site-ul Ghostbin pentru derularea altor atacuri.

Pentru derularea Operaţiunii, a fost creat şi pus la dispoziţia membrilor Anonymous un instrument automat, Anonymous Takedown Bot, folosit pentru a suspenda conturile de Twitter asociate Daesh sau membrilor şi simpatizanţilor grupării.

Putem spune aşadar că de aproape un an se desfăşoară în mediul online un adevărat război între simpatizanţii terorismului, fie ei membri sau susţinători ai Daesh ori Al Qaeda, şi membrii grupărilor hacktiviste. În această luptă, ne putem întreba, gruparea se află în faţa unei potenţiale crize existenţiale? Dacă Anonymous apără folosirea liberă a Internetului, acest concept nu se aplică tuturor, inclusiv militanţilor Daesh? De asemenea, ce se întâmplă atunci când o grupare formată pentru a se opune autorităţii se află în situaţia de a împărtăşi aceleaşi obiective ca şi cele ale guvernelor occidentale (cel puţin)?

Pentru cei implicaţi în astfel de operaţiuni cibernetice, răspunsul nu este atât de complicat, aşa cum rezultă din poziţia exprimată de unul dintre membrii pe un forum Anonymous: „Taking away the free speech from a group that is advocating the end of free speech is delicious fun. Telling someone who’d happily chop off your head and mine on national TV to get lost is delicious fun too.”

EDITIE SPECIALA – INTERNET OF THINGS

1422
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1179
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2070
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1249
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1204
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1207
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...