Friday, February 26, 2021
2015

autor: Virgil Spiridon

Considerente generale – Odată cu apariţia sa, internetul s-a constituit într-o adevărată „cutie a Pandorei” pentru societate, aducând, pe lângă nenumărate beneficii, şi o mulţime de posibilităţi de încălcare a normelor. Pornografia infantilă reprezintă un domeniu care a „explodat” prin globalizarea utilizării internetului.

O provocare extrem de importantă în cazul pornografiei infantile pe internet este reprezentată de factorul anonimitate. Abuzatorul beneficiază, atâta timp cât doreşte, de caracterul anonim al abordării sale. Acest aspect îi conferă încredere, având în vedere riscul mic de a fi identificat încă de la început ca potenţial abuzator. În acelaşi timp, acest factor poate să fi contribuit şi la creşterea foarte mare a numărului de consumatori de pornografie infantilă, care, în condiţiile anterioare apariţiei internetului, nu ar fi căutat astfel de materiale.

În acelaşi context, inducerea în eroare iniţială cu privire la sexul ori vârsta abuzatorului este un element important al abordării pe internet. Multitudinea de reţele de socializare, coroborată cu posibilităţile aproape nelimitate de creare de false identităţi virtuale, inclusiv folosirea de fotografii nereale fac foarte uşoară abordarea pe internet a potenţialelor victime. Capacitatea site-urilor de socializare de a produce corelaţii automate oferă pedofililor o mulţime de informaţii iniţiale şi, prin acestea, posibilităţi crescute de creştere a ratei succesului racolării minorilor.

Un alt factor important este creşterea progresivă a ratei de utilizare a internetului de către copii, odată cu scăderea vârstei de la care aceştia încep să o facă.

Pe lângă aceşti factori apăruţi odată cu internetul, foarte importanţi sunt aceia oferiţi de caracteristicile victimelor – cunoştinţe reduse sau chiar lipsa acestora în ceea ce priveşte utilizarea în siguranţă a internetului, experienţa de viaţă redusă, naivitatea, inocenţa, capacitatea scăzută de a diferenţia ce e bine de ce este rău etc.

Modalităţi de abordare – din cazuistica instrumentată de Poliţia Română în domeniul pornografiei infantile prin sisteme informatice rezultă două forme generale de abordare a victimelor de către agresori:

  • Abordarea directă – în majoritatea acestor cazuri autorii urmăresc victimele şi le acostează pe stradă, sub diferite pretexte, promiţându-le diferite categorii de avantaje tentante (sume de bani, bunuri, servicii) pentru a le induce în eroare şi a le convinge să îi însoţească în locuri special amenajate. Aici, fie în urma promisiunii anterioare, fie sub ameninţări, victimele devin obiectul fotografierii/filmării în poziţii sexuale, mimând sau chiar executând diferite categorii de acte sexuale sau, mai grav, fiind abuzate sexual de către aceştia. Caracteristic acestui mod de abordare este faptul că victimele provin din medii sociale defavorizate – fie sunt copii instituţionalizaţi sau provin din familii dezorganizate, fie provin din zone sărace (de obicei rurale);
  • Abordarea pe internet – în aceste cazuri, de obicei folosind identităţi false pe reţelele de socializare, pe site-uri de jocuri etc., autorii abordează victimele şi, profitând de naivitatea lor şi de uşurinţa cu care transmit informaţii personale către persoane necunoscute, le câştigă încrederea; ulterior, pentru reducerea inhibiţiilor minorilor, le transmit acestora imagini cu alţi copii în ipostaze similare, prezentându-le ca forme inedite de distracţie, determinându-i să se lase fotografiaţi/filmaţi în posturi similare cu camerele telefonului sau ale laptop-ului. În ultimă instanţă, abuzatorii recurg la şantajarea minorilor şi, sub ameninţarea cu distribuirea acestor fotografii/filme în spaţiul public, îi determină să se întâlnească, continuând şi chiar accentuând formele abuzului.

Prevenire şi conştientizare
Aşa cum rezultă din cele prezentate, pornografia infantilă prin sisteme informatice reprezintă o provocare specială, nu doar pentru reprezentanţii autorităţilor care luptă împotriva fenomenului, ci pentru întreaga societate. Pentru a contribui eficient la diminuarea acestuia, reprezentanţii poliţiei trebuie să colaboreze cu membrii societăţii, atât pentru identificarea şi tragerea la răspundere penală a autorilor, dar şi în iniţierea de activităţi de informare şi conştientizare a cetăţenilor cu privire la riscuri şi măsuri eficiente de prevenire.

Pentru a maximiza efectul activităţilor de prevenire, poliţiştii trebuie:

  • Să deţină şi să îşi îmbunătăţească în permanenţă cunoştinţele tehnice şi practice referitoare la pornografia infantilă pe internet;
  • Să colaboreze cu celelalte autorităţi şi organizaţii cu interes în domeniu;
  • Să-şi concentreze eficient eforturile în cadrul activităţilor derulate prin corelarea informaţiilor transmise cu publicul ţintă destinatar.

În realizarea demersului informativ preventiv împotriva victimizării, poliţiştii vizează două categorii sociale ca public ţintă: copiii şi părinţii.

RECOMANDĂRI PENTRU PĂRINŢI ŞI PERSOANELE CARE AU ATRIBUŢII DE EDUCARE A MINORILOR (cadre didactice din unităţi de stat şi particulare, personalul din instituţiile de îngrijire a minorilor – plasament sau alte similare)

Recomandările adresate acestora trebuie să vizeze:

Elemente generale privind fenomenul:

  • Să conştientizeze existenţa riscului;
  • Să nu posteze pe internet fotografii nud cu proprii copii;
  • Să comunice deschis cu copiii lor despre Internet, despre beneficiile şi pericolele existente în lumea virtuală. Copilul trebuie să ştie că poate discuta cu părinţii despre orice aspect întâlnit în lumea virtuală;
  • Să stabilească împreună cu copiii reguli de utilizare a internetului şi să urmărească respectarea lor de către aceştia;
  • Să nu restricţioneze excesiv şi nejustificat accesul copiilor la internet;
  • Să le prezinte copiilor riscurile la care se pot expune în mediul online;
  • Să se asigure că ştiu parola/parolele de acces ale copiilor la contul de email, reţele de socializare etc. şi să fie atenţi la „prieteniile” online pe care ei le întreţin.

Soluţii tehnice de control parental al posibilităţilor de navigare a copilului pe internet:

  • Programe de filtrare care pot bloca automat accesul copiilor către anumite categorii de site-uri;
  • Motoare de căutare pentru copii (ex. Google Search Engine for Kids) – acestea filtrează automat rezultatele căutărilor de pe internet, excluzând paginile inadecvate minorilor.

Semne de recunoaştere a posibilei expuneri la risc în mediul online a copilului – acest subiect este unul extrem de sensibil, mulţi părinţi având tendinţa de a-şi „apăra” copiii, refuzând nejustificat (necunoaştere a fenomenului, pudoare excesivă etc.) discuţiile sau acceptarea existenţei unora din aceste semne:

  • Copilul petrece perioade foarte mari de timp singur pe internet, în special noaptea;
  • Părinţii găsesc materiale pornografice în calculatorul/laptop-ul/tableta/telefonul copilului;
  • Copilul primeşte telefoane de la persoane necunoscute ori sună astfel de persoane şi se fereşte de părinţi când vorbeşte;
  • Are tendinţe de izolare faţă de familie şi prietenii apropiaţi;
  • Foloseşte conturi de internet (mail, reţele de socializare) care nu îi aparţin sau altele decât cele pe care le cunosc părinţii.

Posibilităţi de raportare a posibilelor abuzuri –

  • Sesizarea directă a organelor de poliţie competente;
  • Solicitarea de sprijin ONG-urilor care gestionează website-uri în domeniu. Ex. www.safernet.ro sau www.sigur.info.

RECOMANDĂRI PENTRU COPII – o problemă în abordarea copiilor cu privire la fenomenul pornografiei infantile este aceea a lipsei de experienţă, coroborată cu gradul foarte redus de conştientizare a pericolelor ce-i pot ameninţa în mediul online. Sintagma „mie nu mi se poate întâmpla” este foarte prezentă în modul lor de a gândi şi acţiona.

Printre recomandările ce pot fi adresate copiilor pe această temă putem menţiona:

  • Nu oferi persoanelor cunoscute pe Internet informaţii personale despre tine sau familia ta, cum ar fi: numele, vârsta, numărul de telefon, fotografii personale, adresa, şcoala la care înveţi; dacă anumite persoane insistă să afle aceste detalii, anunţă-ţi imediat părinţii, căci este foarte probabil că au intenţii necurate;
  • Nu spune parola de la e-mail-ul tău altor persoane în afara părinţilor; dacă le comunici această parolă prietenilor sau altor persoane, acestea pot trimite mesaje jignitoare în numele tău sau pot intra pe site-uri interzise;
  • Nu accepta niciodată să te întâlneşti în mod real cu o persoană pe care ai cunoscut-o pe Internet; oamenii pot fi foarte diferiţi de ceea ce au pretins că sunt pe Internet şi astfel poţi deveni victima traficului de persoane şi a altor întâmplări tragice. Nu folosi telefonul personal pentru a suna pe cineva întâlnit pe Internet;
  • Evită să postezi pe Internet fotografii cu tine sau cu familia ta; acestea sunt personale şi nu trebuie să ajungă la cunoştinţa oricui navighează pe Internet; ele pot fi folosite pentru a vă face rău, ţie sau celor apropiaţi;
  • În cazul în care primeşti prin intermediul internetului o fotografie/un film cu conţinut sexual cu un minor, chiar şi de la o persoană cunoscută care se prezintă pe sine, nu o transmite mai departe altor persoane! Poţi intra sub incidenţa legilor referitoare la prevenirea şi combaterea pornografiei infantile;
  • Nu uita că nu tot ceea ce citeşti sau vezi pe Internet este adevărat! Informaţiile aflate pe o pagină web pot fi postate de oricine, adult sau copil, multe din ele fiind neverificate sau eronate; de asemenea, fotografiile sau filmele pot fi modificate pe calculator şi pot înfăţişa situaţii care nu s-au petrecut niciodată;
  • Dacă cineva te face să te simţi inconfortabil pe Internet, poţi oricând să renunţi la comunicarea cu acea persoană. Nu eşti obligat să stai pe Internet mai mult decât consideri tu şi nici să suporţi ceea ce îţi provoacă neplăcere sau teamă; poţi oricând să îi scoţi de pe lista de contacte pe cei cu care nu vrei să mai comunici!
  • În cazul în care o persoană cu care comunici pe internet te jigneşte, te ameninţă, îţi transmite mesaje cu tentă sexuală, îţi cere să îi trimiţi poze nud cu tine sau îţi trimite poze cu conţinut pornografic, te îndeamnă să consumi alcool ori droguri, anunţă-ţi părinţii sau fă o sesizare pe unul din site-urile specializate;
  • Cere ajutorul, în orice situaţie, persoanelor în care ai încredere, părinţi, profesori sau prieteni apropiaţi.

O problemă aparte în cazurile de investigare a pornografiei infantile pe internet o reprezintă aşa numita „autoproducere”, care presupune producerea de materiale pornografice chiar de către minorii care apar în materialele respective şi stocarea/transmiterea acestora prin sisteme informatice, faptele fiind de regulă săvârşite de către persoane cu vârsta mai mare de 13 ani. Minorii respectivi realizează fotografii sau înregistrări video-audio în care fie apar singuri, în ipostaze pornografice, fie întreţinând relaţii sexuale cu alte persoane, după care stochează materialele respective în sisteme informatice iar în unele cazuri procedează la transmiterea acestora pe Internet, către persoane din anturaj.

Aceste situaţii apar de cele mai multe ori pe fondul teribilismului specific vârstei adolescenţei, coroborat cu lipsa conştientizării consecinţelor pe care astfel de acte le pot avea asupra dezvoltării psihosociale ale minorului.

În astfel de cazuri, este prioritară acordarea de sprijin de specialitate minorilor respectivi, din partea entităţilor abilitate prin lege în acest sens, pentru a preveni repetarea unor acte similare.

9760

manoussos

Vassilios Manoussos, MSc.,PGC,BSc,AAS
Digital Forensics & E-Crime Consultant
Vice Chairman, Digital Forensics Society

Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene. Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția).

CERTIFICĂRI:

Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London).

Mr Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.

Lacunele ingineriei sociale.

Introducere

Serviciile web cum sunt webmail și site-urile de social media (ca Facebook) funcţionează cu autentificare într-un singur pas. Tastezi numele de utilizator sau adresa de e-mail și parola și intri în cont.

Tuturor ni s-a întâmplat ca la un moment dat să uităm parola și să încercăm să o resetăm. Resetarea se face fie după ce răspundem la niște întrebări de securitate, fie prin trimiterea unui link pentru resetare, sau a unui cod la o altă adresă de e-mail sau pe telefonul mobil.

Parolele și întrebările de securitate sunt menite să îi ţină pe străini departe de contul vostru. Cu toate că în prezent avem tot mai multe opţiuni pentru formularea unor întrebări de securitate, majoritatea le aleg pe cele mai simple, cum ar fi: numele de fată al mamei, numele primului animal de companie, numele primei școli, strada pe care au locuit. Răspunsurile simple la aceste întrebări devin un instrument în mâna experţilor în inginerie socială.

Inginerie socială

Ingineria socială este un set de abilităţi și de procese prin care cineva vă convinge să îi furnizaţi din proprie iniţiativă credenţialele de logare sau alte informaţii importante. Majoritatea atacurilor de hacking se realizează prin procese de genul phishing prin care lumea este păcălită să își divulge parolele. Hacking-ul tehnic este mai complicat și necesită mai mult timp și nu întotdeauna merită timpul pierdut pentru a fura parola cuiva.

Cred că Houdini a afirmat că lacătele sunt proiectate să oprească oamenii să intre și nu să iasă. După același principiu parolele și întrebările de securitate sunt gândite să îi ţină pe străini departe de datele voastre, dar sunt ele eficiente și în cazul prietenilor sau a familiei?

Hack-uirea unui prieten sau a unui văr

Să presupunem că vrei să hack-uiești contul unui prieten sau al cuiva din familie. Acest lucru poate fi mult mai simplu decât v-aţi putea imagina. Și aceasta pentru că s-ar putea să știi deja răspunsurile la unele dintre întrebările de securitate.

Primul pas din procedură este să decizi care cont să-l hack-uiești mai întâi și de ce. Să presupunem că persoana care te interesează are următoarele conturi:

  • Hotmail
  • Facebook
  • Paypal
  • Skype

Pe care l-aţi alege să îl hack-uiţi primul?

Pasul 1: Contul de email

Există o opţiune evidentă care prezintă avantaje competitive faţă de celelalte trei, contul de Hotmail. Bineînţeles că acesta ar putea fi un cont de e-mail de Yahoo sau Gmail sau oricare alt cont de e-mail. Motivul pentru care am ales mai întâi contul de e-mail nu este pentru că ar fi mai ușor, ci pentru că este destul de probabil ca acesta să fi fost folosit pentru setarea tuturor celorlalte 3 conturi, și din momentul în care obţinem controlul asupra acestuia vom putea reseta parolele și pentru toate celelalte.cum01

Tot ceea ce avem de făcut este să spunem că am uitat parola, să tastăm adresa de e-mail pe care dorim să o hack-uim și să ajungem la acest meniu. În mod evident nu avem acces la un cont secundar de e-mail sau la mobil, așa că vom selecta ultima opţiune. Următorul pas este să tastăm o adresă de e-mail la care să fim contactaţi pentru a ni se pune niște întrebări.

În funcţie de setările contului ţintă, se poate întâmpla să răspundeţi la câteva întrebări și să primiţi acces instant, sau este posibil să trebuiască să mai răspundeţi și la alte întrebări suplimentare. Dacă aţi avut deja schimburi de e-mailuri cu victima veţi putea răspunde cu ușurinţă la întrebări de genul „adrese de e-mail către care s-au trimis mesaje” sau „subiectul mesajelor trimise”. Celelalte întrebări sunt legate de nume, cod poștal, oraș, numele de fată al mamei, data nașterii etc.

Dacă totul merge bine și răspundeţi corect la un anumit procent din aceste întrebări, veţi primi un e-mail de resetare a contului pe care l-aţi vizat. Este suficient să daţi click pe link-ul din acel e-mail și să schimbaţi parola și întrebările de securitate.

Pasul 2: Contul de Facebook

După ce aţi primit acces la adresa de e-mail care a fost utilizată pentru setarea contului de Facebook, accesaţi contul de Facebook, daţi click pe link-ul „Aţi uitat parola?” și introduceţi adresa de e-mail. Veţi obţine un ecran ca cel din imagine:cum02

Tot ceea ce aveţi de făcut este să daţi click pe prima opţiune și să primiţi link-ul de reset. După care nu vă rămâne decât să schimbaţi parola și întrebările de securitate ale Facebook. Nu uitaţi să schimbaţi e-mailul și numerele de mobil. Aceasta ar putea să dureze ceva și ar putea permite proprietarului să încerce (și poate chiar să reușească) să primească acces la contul lui.

În trecut, dacă Facebook observa încercări repetate de reset, cerea să identificaţi oameni tag-uiţi din pozele stocate în profil. Dacă îi cunoașteţi pe acei oameni veţi reuși să alegeţi numele corecte (este un test cu opţiuni multiple!) .

Pasul 3: Celelalte conturi

Din momentul în care aveţi acces și la Facebook, folosind aceeași procedură, puteţi încerca să resetaţi și conturile de Skype și Paypal. Din contul de e-mail, parcurgând mesajele, puteţi vedea și pe ce alte site-uri web mai are conturi ţinta aleasă. Și puteţi aplica aceeași procedură și pentru acestea.

Partea cea mai sensibilă este dată de faptul că din acest moment aţi putea avea acces pentru a reseta conturile de la administraţia financiară, alte instituţii guvernamentale, iar în unele ţări chiar conturile bancare și de credit. În UK doar prin accesarea e-mail-ului nu aveţi acces și la conturile bancare.

Ce putem învăța?

Scopul acestui articol nu este să vă transforme în hacker și nici de a facilita infracţiunile. Din contră. Ne-am propus doar să vă arătăm cât de ușor puteţi pierde controlul asupra conturilor digitale pe care le aveţi. Și dacă v-ar putea fi frică de un hacker rus sau chinez, ar trebui să fiţi la fel de precaut și faţă de fosta prietenă, faţă de un văr sau faţă de un partener gelos.

Există multe concepţii greșite despre hacking și securitate și acest articol își propune doar să evidenţieze faptul că dușmanul ar putea fi mai aproape decât vă imaginaţi, și că măsurile de securitate pe care le-aţi luat s-ar putea să nu fie așa de sigure pe cât v-aţi imagina.

Ce trebuie să faceți dacă vi se întâmplă așa ceva?

Dacă consideraţi că adresa de e-mail v-a fost hack-uită, primul lucru pe care trebuie să-l faceţi este să încercaţi să schimbaţi parolele la toate site-urile web asociate cu acea adresă de e-mail.

Începeţi cu cele mai importante, cum ar fi Paypal. Apoi faceţi același lucru și la conturile de social media și la site-urile pe care v-aţi abonat la reviste online etc.
Prioritizați
și faceţi-vă un plan despre modul în care să reacţionaţi dacă v-a fost spart un cont.

Apelați la un expert. Dacă în pericol se află informaţii mai sensibile decât doar pozele din vacanţă, apelaţi la un expert cât mai curând posibil. Cu cât pierdeţi mai mult timp cu atât scad șansele de a mai recupera ceva.

Ce puteți face pentru a preveni așa ceva?

Nici o soluţie de securitate nu este perfectă. Și dacă sunteţi inteligent, întotdeauna se va găsi cineva și mai inteligent. Totuși puteţi minimiza riscurile de a pierde totul prin simpla pierdere a accesului la adresa de e-mail:

  1. Nu utilizaţi aceeași adresă de e-mail pentru toate conturile de social media.
  2. Nu folosiţi aceeași adresă de e-mail și la conturi de social media și la conturi gen Paypal și Ebay.
  3. Setaţi seturi diferite de întrebări de securitate. Dacă doriţi puteţi seta răspunsuri greșite, dar notaţi-le și păstraţi-le într-un loc sigur acasă.
  4. Setaţi alerte de securitate cu notificare prin SMS acolo unde este posibil și înregistraţi-vă telefonul mobil ca opţiune de resetare a parolei.
  5. Nu utilizaţi întrebări de securitate cum ar fi numele animalelor de companie sau numele de fată. Dacă aveţi posibilitatea stabiliţi propriile întrebări de securitate.
  6. Nu uitaţi: dacă cineva vă sparge contul de e-mail va avea acces la întrebările de securitate și la răspunsuri și le va putea folosi pentru a vă accesa și alte conturi chiar dacă sunt setate cu alte adrese de e-mail.
  7. Și nu în cele din urmă, un aspect pe care îl subliniez de fiecare dată: folosiţi-vă bunul simţ!

Și … Atenționare!

Acest articol este un proof-of-concept. Nu vă sugerăm să spargeți
conturile altor persoane, pentru că poate fi ilegal. Cât de ilegal, depinde
de pașaportul pe care îl aveţi și de jurisdicţia în care vă aflaţi. Cu siguranţă
este ilegal în UK dar și în România! Pe bune, NU HACK-UIȚI CONTURILE DE
E-MAIL ALE ALTOR PERSOANE.

Toate informațiile din acest articol sunt în zona public domain.

1568

autor: Gabriel Ţuţu

Arestarea, în 25 martie 2015, a membrilor celulei italiene ISIS angajați în procese de recrutare de luptători din state europene, precum și arestările recente realizate de poliția din Republica Moldova aduc în centrul atenției publice problema Islamului și amenințările la adresa țării noastre.

România, în calitatea asumată de frontieră estică a Uniunii Europene, se regăsește în ingrata postură de a face faţă unui val tot mai mare de transfugi proveniţi din diverse zone de conflict, sau din ţări cu un grad ridicat de sărăcie, ceea ce poate permite inclusiv migrarea pe teritoriul ţării noastre a unor recrutori de martiri sau potenţiali teroriști.

De asemenea, Internetul pare a fi un punct forte pentru extremiștii foarte pricepuţi în utilizarea acestui instrument și care au găsit un teren fertil printre emigranţii care trăiesc în Occident, chiar de mai multe generaţii și care, în realitate, nu s-au integrat în societate niciodată.

Conștienţi fiind de faptul că Jihad-ul celui de-al treilea mileniu nu se desfășoară numai prin lupte la sol, sau cu atentate la integritatea fizică, ci tot mai mult prin intermediul reţelelor virtuale, putem considera că acţiunile întreprinse de către „statul islamic” pot constitui un adevărat „Cyber Jihad”.

Prezenţa ISIS în rețelele sociale

Cât este de importantă comunicarea web pentru ISIS?
Pentru luptătorii ISIS Internetul a devenit un vector fundamental pentru a transmite teroarea în lume, comunicarea digitală având drept scop creșterea gradului de conștientizare a cauzei, promovarea propagandei și mediatizarea succeselor jihadiste.

De asemenea, prin intermediul reţelelor de socializare sunt furnizate informaţii cu privire la modul prin care te poti alătura grupurilor și cum poţi să ajungi în statul islamic. Dar atenţie, nu este vorba numai de capacitatea de a utiliza mass-media, ci și de utilizarea unei strategii bine structurată, compusă din diverse produse multimedia (video, fotografii, mesaje, promovare pe Twitter, pe Facebook, etc.) target-ate către diferiţi destinatari și folosind tehnici de propagare diferite. Se acordă atenţie producţiei de film cu acurateţea produselor televizive consacrate, folosind tehnici de capturare a unui anumit tip de public, încercând să înţeleagă efectiv ce interesează segmentul social ţintă și apoi să creeze produsul potrivit. Să ne întrebăm pentru o clipă de ce se proclamă și se impune numele statului islamic, de ce ne anunţă că emit monedă și încasează taxe? Totul face parte din strategia lor de comunicare. Ne impun o marcă comercială, și anume cea a Statului islamic, care intră în viaţa noastră de zi cu zi, prin Internet și televiziune, acestea fiind recunoscute ca adevărate instrumente de amplificare globală.

Cine sunt cei care aspiră să devină jihadist ISIS?
În cele mai multe cazuri, aspiranţii jihadiști sunt tinerii care decid să părăsească Occidentul și să se alăture armatei ISIS, în cele mai multe cazuri fiind copiii imigranţilor musulmani care au emigrat în Occident de ani de zile și care locuiesc permanent în diferite ţări europene.

De asemenea, regăsim tineri occidentali nemusulmani sau atei care nu au nici un fel de contact cu religia islamică, și, contextual, cu ocazia recrutării lor sunt convertiţi la credinţa musulmană. Pentru aceștia din urmă, desigur, recruiter-ii au nevoie de o abordare persuasivă mult mai complexă și articulată. Tinerii care se alătură jihad-ului nu fac parte din categoria celor care cresc în ignoranţă și sărăcie, ci sunt educaţi și cu condiţie economică bună. Totodată, aceștia deţin o bună expertiză în utilizarea Internetului, au capacitatea de a realiza alegeri ideologice personale, uneori conduși de status-uri psihologice dificile și de conflicte familiale.

Drept exemplu, media internaţională prezintă un posibil hacker ISIS ce a fost identificat ca fiind Junaid Hussain, considerat a fi un jucător cheie sau lider al „Cyber Califatului” și în conexiune directă cu atacurile ISIS. Hussain a fost arestat în Marea Britanie, în 2012, pentru spargerea contului de email al fostului premier Tony Blair. Potrivit relatărilor, Hussain a părăsit Marea Britanie plecând în Siria și unde s-a alăturat ISIS. Conform informaţiilor pu blice, Junaid Hussain a fost parte a „teamp0ison”, grupare de hacking activă în 2012. Ulterior acesta a mai fost cunoscut cu apelativele online: Abu Hussain al-Britani, TriCk, iar cel mai recent cont al său de Twitter, suspendat între timp, – UmmHussain103.

Care sunt locurile și metodele de recrutare?
Putem afirma că Internetul, și, în special reţelele sociale, reprezintă nucleul central de recrutare pentru aspiranţii jihadiști, pregătiţi să treacă de la tastatura computerului la teatrele de război sirian și irakian sau să comită atentate în Occident. Sunt utilizate metode de abordare virtuală pe Twitter, Facebook sau bloguri, unde se încearcă să se înţeleagă interesul aspirantului prin răspândirea de mesaje culturale „înșelătoare”, cu difuzare aleatorie, ar care pot identifica totuși mulţi destinatari în rândul tinerilor aflaţi „în așteptare de ceva” ce le poate oferi o nouă identitate sau un ideal în viaţă. Este metoda asa numită „pânza de paianjen”, în cadrul căreia mesajele lansate sunt atractive și populare pentru cineva psihologic vulnerabil și care va fi captivat de astfel de mesaje. În faza imediat următoare se procedează la contact direct, faţă în faţă, în cadrul căruia vom regăsi asa numiţii „recrutori” care operează și în locașele de cult musulmane precum și în suburbiile marilor orașe occidentale și care sunt pregătiţi să furnizeze recomandări cu privire la modul de a obţine vize și cum se poate ajunge la ISIS sau în tabere de instruire, iar în ultima vreme se observă că acești recrutori au ajuns să organizeze inclusiv călătoria, prin furnizarea de bilete de avion, e-mailuri și numere de telefon pentru a contacta grupurile de combatanţi.

Ce fel de sisteme multimedia adoptă?
Statul islamic deţine o echipă de cameramani combatanţi care urmărește luptătorii în zonele de conflict, și mai mult decât atât, fiecare luptător, cu propriul telefon mobil realizează înregistrări video ale acţiunilor și apoi le postează pe reţelele sociale, astfel încât, fiecare adept să ia cunoștinţă în timp real de ceea ce se întâmplă: o avalanșă de informaţii. Sistemele de comunicare utilizate sunt: site-uri web oficiale care difuzeaza viziunea Islamului prin mesaje video; o revistă – Dabiq, în format atât printat cât și digital, în care există referiri la câștiguri teritoriale, eroi care au murit în luptă, interpretarea tezelor sacre, pe scurt, un adevărat ghid al Califatului; „Agenţia Islamică Nouă”, organizată exact ca orice agenţie de știri multimedia, care transmitea (până la momentul blocării sale în Internet), prin video și comunicate de presă ale purtătorilor de cuvânt ai grupurilor afiliate la statul islamic. Agenţiile de presă sunt un nod strategic al acestui tip de război cibernetic realizat prin informare și dezinformare; Hayat Media Center (casa de productie audiovizuală) unde se produc adevărate videoclip-uri bine structurate, demne de un film cinematografic. Instrumentul preferat pentru diseminarea informaţiilor provenite de la ISIS este reprezentat de canalele audiovizuale, precum YouTube, ușor de înţeles, fără a fi necesar să cunoști limba vorbită și cu impact emoţional puternic.

De asemenea, există reţele sociale precum Facebook și Twitter, care în ultimii ani au constituit cel mai rapid mod de difuzare al informatiilor, acţiunilor și evenimentelor referitoare la combatanţii aflaţi la mii de kilometri distanţă și toate acestea realizate într-un mod aproape anonim.

Suntem martorii unui război în care Internetul și spaţiul virtual în general joacă cu siguranţă un rol-determinant în ceea ce privește recrutarea, organizarea și comunicarea. Anonimatul on-line permite instruirea și diseminarea idelor teologice și militare în condiţii de siguranţă și la mare distanţă. Utilizarea unor arhive „draft” în cadrul unor simple adrese de e-mail comune pentru membrii organizaţiei asigură schimbul de mesaje fără ca e-mailul să fie expediat. Combatanţii statului islamic, fie ei virtuali sau reali, deţin conturi protejate direct de mediul virtual, astfel încât nimeni să nu știe dacă aceștia există și cine sunt în realitate, iar în cazul în care autorităţile blochează aceste conturi, acestea sunt redeschise a doua zi cu o altă identitate de user; de exemplu prin trecerea de la „#Abdul2” la „#Abdul3”.

Sarcina adeptului jihadist care utilizează Internetul este de a posta în conturile de social media (Facebook, Twitter), puse la dispoziţie gratuit, materiale video, fotografii, fișiere audio, etc.

Ulterior, casele de producţie prelevează materialele din aceste „containere” video și le prelucrează în timp real, iar apoi le postează din nou pe YouTube sau pe un alt canal video gratuit, care poate fi utilizat de către toţi suporterii din lume, și care, la rândul lor, vor posta din nou și așa mai departe într-un lanţ nesfârșit.

Ce știm despre alte grupări responsabile de atacuri cibernetice?
Analizând prudent întotdeauna atribuirile și revendicările atacurilor realizate, știm că aceste grupuri pro-Jihad sub denumiri de „Fallaga” și „Cyber Califat” au fost responsabile pentru atacurile asupra conturilor de Twitter și YouTube ale Comandamentului Central american. Cu toate că atacul s-a rezumat la vandalism și tero rism psihologic, nu ne putem permite să stăm impasibili. ISIS s-ar părea să aibă la dispoziţie cel puţin câteva unităţi cu experienţă în inginerie socială și hacking. Știri recente menţionează o așa autointitulată Divizie de Hacking a ISIS care a postat pe un site online numele, fotografiile și adrese a 100 de soldaţi americani care au luat parte la operaţiunile din Irak și Siria, îndemnând membrii și simpatizanţi ai ISIS din Statele Unite să-i omoare.

Toate acestea sunt rezultatul informaţiilor furate dintr-un server al Departamentului Apararii sau a activităţilor meticuloase de culegere de date din mediul Internet și în special din site-urile de social media?

Este probabil ca al-Baghdadi (liderul ISIS) să fi urmat modelul similar al Armatei electronice siriene, grupare considerată drept prima armată de hackeri ce a apărut în Orientul Mijlociu și care sprijină guvernul sirian al președintelui Assad, demonstrând că deţine capabilităţi și formarea de tip militar.

„Califatul virtual” constituie in mod deosebit un impuls puternic pentru recrutare și pentru construirea unor spaţii online care să reflecte extremismul din realitatea cotidiană în teritoriile ocupate din Irak, Siria, precum și din alte cîmpuri de luptă. În mod specific, suporterii pro-ISIS au fost activi într-o serie de acţiuni punctuale, de la recrutarea de adepţi in principalele reţele de socializare, cum ar fi Twitter, pînă la construirea de site-uri de socializare proprietare, unde adepţii pro-ISIS se presupune că ar fi mai protejaţi.

Înregistrat pentru prima dată la 9 martie 2014, „5elefabook.com” a fost construit ca o clona a site-ului „Facebook” dedicat adepţilor ISIS, unde aceștia să se alăture în condiţii de siguranţă, ca urmare a interzicerii unui număr semnificativ de conturi pro-ISIS în platformele Instagram, Twitter, și altele de acest gen.

Site-ul „Cartea khelafa”, numit după termenul arab pentru „califat”, a fost activ doar pentru o scurtă perioadă înainte de a fi deconectat și înlocuit cu un preaviz de închidere. Traducerea engleză a numelui site-ului, precum și anunţul de notificare în limba engleză, prezentat mai jos, sunt reprezentative pentru a evidenţia tendinţa poliglotă a site-urilor mass-media teroriste, cu un accent pe limbile Occidentale, în scopul de a atrage recruţi și atenţia mass-media occidentală.

Informaţiile Whois înregistrate în portalul GoDaddy, citate mai jos, trimit clar către „Statul Islamic – Mossul”, însă codul poștal și numărul de telefon sunt evident false.

Care sunt obiectivele ISIS?
În mediul Internet circulă o varietate de ipoteze, printre care o multitudine de hărţi care prezintă proiecte de extindere a ISIS în întreg Orientul Mijlociu, Europa de Est și în întreaga Africa central-nordică. Se pare că una dintre aceste ipoteze este aceea de a recrea un Califat islamic, cu singura intenţie de a rupe graniţele statelor din Orientul Mijlociu trasate prin intermediul acordului „confidenţial” din 1916 de către Franţa și Marea Britanie, care a divizat teritoriul după prăbușirea „Imperiul Otoman”.

Cu toate acestea, există voci care declară că ofensiva ISIS reprezintă în principal, un atu important pentru producătorii de armament, care speră să vândă o cantitate mai mare de arme monarhiilor din Golf.
Și oricum, fiecare război trebuie să aibă și un câștigător!!!

Analiza în mediul online a ISIS și capacităţilor sale cibernetice prezintă un potenţial „Cyber Califat” care este probabil încă în fază incipientă și nu are rafinament, antrenamentul și coeziunea necesară pentru a genera o ameninţare majoră la adresa infrastructurilor cibernetice majore. Cu toate acestea, unde există dorinţă va exista și o cale și pentru grupul terorist cel mai tehnologizat și prezent în zona de social media, pentru realizarea acestui deziderat și atingerea capabilităţilor necesare este probabil că ISIS va să continua să depună eforturi majore.

pierluigi

Pierluigi Paganini

Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information Security) Threat Land- scape Stakeholder Group, el este de asemenea Security Evangelist, Security Analyst și Freelance Writer.
Editor-in-Chief la „Cyber Defense Magazine”, Pierluigi este un expert în securitate cibernetică cu peste 20 de ani de experiență în domeniu, este Certified Ethi-
cal Hacker la EC Council în Londra. Pasiunea pentru scris și credința fermă că securitatea se bazează pe împărtășirea de cunoștințe și pe conștientizare l-au de- terminat pe Pierluigi să înființeze blog-ul de securitate „Security Affairs” nominalizat recent ca Top National Security Resource pentru SUA. Pierluigi este membru al echipei „The Hacker News” și scrie pentru mai multe publicații importante din do- meniu, cum ar fi Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine și pentru multe alte reviste de securitate. Autor al cărților „The Deep Dark Web” și „Digital Virtual Currency and Bitcoin”.

autor: Pierluigi Paganini

Introducere
Termenul „Internet of Things” este folosit pentru a desemna orice obiect care poate fi interconectat și identificat în mod unic prin utilizarea unor tehnologii diferite, cum ar fi: NFC, digital watermarking (filigran digital) și cod QR.

Nu este greu să ne imaginăm faptul că în viitorul apropiat fiecare individ va fi echipat cu o serie de dispozitive inteligente care vor schimba informaţii între ele și care vor colecta informaţii din mediul înconjurător. Oamenii ar putea fi conceptual asimilaţi unor clustere de date care trebuie protejate împotriva atacurilor cibernetice și împotriva incidentelor accidentale. În 2020 numărul de dispozitive IoT va fi de peste două ori mai mare decât numărul total de smartphone-uri, PC-uri, tablete, mașini interconectate și purtabile (wearable), așa cum se poate vedea și din imaginea alăturată.

Untitled
Figura 1 – Proliferarea Internet ofThings

Numărul de dispozitive interconectate crește rapid, experţii IT estimează că în 2020 vor exista aproape 50 de miliarde de obiecte inteligente online și că fiecare individ va utiliza în medie mai mult de 6 dispozitive. Paradigma Internet of Things va genera în 2019 o valoare adăugată economiei mondiale de $1,7 trillioane.
Tehnologiile și serviciile care ţin de Internet of Things au generat venituri globale de $4,8 trillioane în 2012 și vor ajunge la $8,9 trillioane în 2020, crescând cu o rată anuală (CAGR) de 7,9%.

Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafaţa de atac. Dispozitivele IoT sunt deja peste tot și din acest motiv industria IT trebuie să ţină cont de problemele de securitate și confidenţialitate. Un studiu recent efectuat de către firma de securitate Veracode a scos în evidenţă faptul că dispozitivele IoT casnice expun utilizatorii la o gamă variată de ameninţări, incluzând furtul de date și sabotaje, iar proliferarea dispozitivelor IoT va avea o influenţă majoră asupra comportamentului uman.

Dispozitivele IoT vor influenţa deplasările indivizilor în zonele urbane pe baza parametrilor atmosferici sau pe baza gradului de congestie de trafic din anumite zone specifice.

Din păcate, în majoritatea cazurilor dispozitivelor IoT au o protecţie de securitate deficitară încă din faza de design, cea mai mare problemă fiind percepţia scăzută asupra ameninţărilor cibernetice.
Infractorii cibernetici, hackerii susţinuţi de state, hack-tiviștii și teroriștii cibernetici pot exploata defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește rapid în anii care vor urma.

Dușmanii IoT – mijloace și motivații
Pentru a proteja dispozitivele IoT este important să identificăm principalii actori ai ameninţărilor și motivaţiile lor. Să începem cu analiza categoriilor atacurilor care ameninţă arhitecturile IoT. Din păcate există o mulţime de „băieţi răi” care ameninţă implementarea paradigmei, incluzând infractori cibernetici, entităţi guvernamentale și hackeri motivaţi politic.

Toţi acești actori sunt interesaţi în primul rând de cantităţile uriașe de date pe care le administrează dispozitivele IoT, dar nu putem subestima riscurile unor atacuri cibernetice pentru sabotaje.
Erorile de design în privinţa principiilor fundamentale a securizării IoT pot expune utilizatorii la sabotaje, atacuri ale hackerilor (de ex. atacuri man-in-the-middle (MITM), preluarea controlului asupra reţelei), furt de date și deturnarea funcţionalităţii produselor.

Infractorii cibernetici pot fi interesaţi să fure informaţii sensibile administrate de platformele IoT sau pot fi interesaţi să compromită obiectele inteligente și să le utilizeze în activităţi ilegale, cum ar fi derularea unor atacuri asupra unor terţe entităţi sau mineritul Bitcoin.

Firmele de securitate au depistat deja grupuri de infractori cibernetici care utilizează botneţi alcătuiţi din milioane de dispozitive IoT infectate care derulează atacuri cibernetice împotriva unor firme private.
În mod uzual, „băieţii răi” infectează sau compromit obiecte inteligente configurate necorespunzător, cum ar fi routere, dispozitive SOHO, SmartTV-uri și alte dispozitive IoT.

În mod similar agenţiile de Intelligence sunt interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă, care utilizează routere, console de jocuri și smartphone-uri pentru a spiona persoanele vizate. Teroriștii cibernetici și hack-tiviștii pot fi de asemenea interesaţi să compromită dispozitivele IoT pentru a fura informaţii sensibile sau pentru a provoca daune extinse.

Care sunt principalele ameninţări cibernetice pentru dispozitivele IoT?
Anul trecut specialiștii de la Symantec au publicat un studiu interesant despre principalele ameninţări cibernetice pentru IoT, grupându-le în următoarele categorii:

  • Denial of service – atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând probleme serioase în reţeaua dispozitivelor inteligente și paralizând serviciul pe care acestea îl furnizează. Ţineţi cont că elementele aparţinând unei reţele IoT sunt ţinta atacurilor care interferează cu modul de operare și de comunicare între dispozitive.
  • Botneți și atacuri malware – Probabil că acesta este scenariul cel mai comun și mai periculos, dispozitivele IoT sunt compromise de atacatori care abuzează de resursele lor. În mod uzual atacatorii utilizează cod specializat care să compromită software-ul care rulează pe dispozitivele IoT. Codul maliţios poate fi utilizat pentru a infecta calculatoarele utilizate pentru controlul reţelei de dispozitive inteligente sau să compromită software-ul care rulează pe acestea. În cel de-al doilea scenariu atacatorii pot exploata prezenţa unor defecte în firmware-ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să deturneze componentele IoT spre o funcţionare neplanificată. În noiembrie 2013, experţii Symantec au descoperit un nou vierme Linux, Linux.Darlloz, proiectat în mod special să atace dispozitive IoT Intel x86 care rulează Linux. Atacatorii au compromis dispozitivele IoT pentru a construi un botnet care a fost utilizat pentru activităţi ilegale, incluzând trimiterea de Spam, generarea de mesaje SMS costisitoare sau derularea unor atacuri DDoS. O altă posibilitate pentru atacatori este exploatarea dispozitivelor configurate necorespunzător, de exemplu dacă știi setările de fabrică ale unui router este posibil să ai acces la consola sa de administrare și să modifici parametrii care îi controlează comportamentul.
  • Breșe de date – breșele de date reprezintă un alt risc serios în privinţa adoptării dispozitivelor IoT. Organizaţiile trebuie să conștientizeze potenţialul consecinţelor neplanificate ale situaţiilor de utilizare a IoT. Atacatorii pot spiona comunicaţiile dintre dispozitivele IoT și să colec teze informaţii despre serviciile pe care acestea le implementează. Datele accesate prin intermediul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibernetic sau de către o agenţie de Intelligence sau de către o companie privată în scopuri comerciale. Breșele de date reprezintă o ameninţare serioasă pentru organizaţiile sau persoanele care utilizează dispozitive inteligente.
  • Breșe accidentale – Managementul datelor într-o arhitecutură care include dispozitive IoT este un aspect critic. Informaţiile sensibile pot fi expuse nu numai într-un atac cibernetic, ci pot fi expuse sau pierdute și în mod accidental. Symantec dă ca exemplu transmiterea coordonatelor autoturismului unui CEO, dar realitatea este că din mediul de business se pot scurge informaţii mult mai sensibile.
  • Perimetre slăbite – lipsa măsurilor de siguranţă încă din faza de design poate cauza o slăbire a perimetrelor. Prin exploatarea unui defect în SmartTV-ul nostru atacatorul poate avea acces la reţeaua domestică și să dezactiveze orice sistem antifurt implementat pentru securitatea fizică.

OWASP Top 10 probleme de securitate pentru IoT
Open Web Application Security Project (OWASP) are ca scop primar diseminarea celor mai bune practici care să ducă la îmbunătăţirea securităţii software-ului. Este firesc să analizeze și cele mai importante 10 probleme de securitate pentru această paradigmă populară.
1. Interfeţe web nesigure
2. Autentificări/autorizări insuficiente
3. Servicii de reţea nesigure
4. Lipsa criptării la transportul de date
5. Probleme de confidenţialitate
6. Interfaţă cloud nesigură
7. Interfaţă mobile nesigură
8. Configurabilitate de securitate insuficientă
9. Software/firmware nesigur
10. Securitate fizică scăzută

  1. Interfață web nesigură:
    Aproape orice dispozitiv are implementat un web ser ver în scopuri de mentenanţă, dar în majoritatea cazurilor interfeţele serverului intern nu sunt securizate. Meca nismele slabe de autentificare, CSRF, XSS și injecţiile SQL sunt vulnerabilităţile cele mai comune care afectează serverele web.
  2. Autentificări/autorizări insuficiente:
    Experţii în securitate trebuie să verifice cu atenţie adoptarea unor parole puternice și să evite credenţialele codate hard. Un alt aspect îl reprezintă verificarea vulnerabilităţilor comune (de ex. sqli) pentru procesele de autentificare/ autorizare.
  3. Servicii de rețea nesigure:
    SSH, SFTP și alte servicii trebuie implementate în mod corespunzător. O eroare obișnuită în aceste situaţii o reprezintă codarea hard a credenţialelor serviciilor.
  4. Lipsa criptării la transportul de date:
    Credenţialele și datele trebuie criptate. Adoptarea PKI ar trebui să ajute administratorii să implementeze procese eficiente de securizare a informaţiei.
  5. Probleme de confidențialitate:
    Este important să fie analizate toate aspectele arhitecturii IoT care ar putea expune date sensibile necriptate.
  6. Interfață cloud nesigură:
    Dispozitivele IoT pot fi integrate cu servicii cloud pentru partajarea de date. Interfaţa cu serviciile cloud trebuie implementată în mod corespunzător și proiectată să evite prezenţa vulnerabilităţilor critice.
  7. Interfață mobile nesigură:
    Multe dispozitive inteligente furnizează o funcţionalitate „Wireless Access Point”, ca de exemplu smartTV-urile, și este necesară adoptarea unui algoritm de criptare puternic și a celor mai bune practici de securitate (de ex. dezactivarea transmisiei SSID).
  8. Configurabilitate de securitate insuficientă:
    Dispozitivele IoT trebuie să ofere posibilitatea de configurare a principalelor facilităţi de securizare cerute de conformitatea cu politicile de securitate.
  9. Software/Firmware nesigur:
    Asiguraţi-vă că firmware-ul și software-ul care rulează pe dispozitive poate fi actualizat și că upgrade-urile se efectuează prin procese securizate care evită modificarea/înlocuirea. Evitaţi software-ul/firmware-ul care are credenţiale codate hard și o bună practică este validarea software-ului prin semnarea digitală a codului sursă.
  10. Securitate fizică scăzută:
    Verificaţi securitatea fizică a dispozitivelor inteligente prin protejarea accesului la toate porturile expuse. De obicei producătorii dau acces extern în scopuri de mentenanţă. Un atacator poate exploata unul dintre aceste puncte de acces pentru a injecta cod maliţios, pentru filtrarea de date sau pentru sabotarea obiectului inteligent. Se sugerează criptarea datelor stocate în memoria dispozitivului și protejarea fizică a porturilor USB și a oricărui alt port, prin dezactivarea acceselor ne-necesare.

Scenarii de atac
Firmele de securitate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la scară globală. Cel mai întâlnit scenariu este utilizarea de botneţi alcătuiţi din mii de dispozitive din domeniul IoT, cunoscute și sub denumirea de thingboţi, care sunt utilizaţi pentru a trimite mesaje de spam sau pentru coordonarea unor atacuri DDoS. Rezumând un thingbot poate fi utilizat pentru:

  • a trimite spam.
  • a coordona un atac împotriva unei infrastructuri critice.
  • a furniza un malware.
  • a funcţiona ca punct de intrare în reţeaua unei companii.

Principalele firme de securitate confirmă o creștere a numărului de atacuri împotriva unor obiecte inteligente, incluzând routere, SmartTV-uri, dispozitive

NAS (network-attached storage), console de jocuri și diferite tipuri de set-top box-uri.
Unul dintre primele atacuri la scară largă a fost semnalat de cercetătorii de la Symantec în noiembrie 2013, când un vierme numit Linux.Darlloz a infectat numeroase dispozitive Intel x86 care rulau Linux prin exploatarea diverselor vulnerabilităţi din PHP.

Viermele a reușit să compromită kit-uri internet pentru acasă, echipate cu cipuri x86, să le exploateze și să extindă infecţia. Codul maliţios a compromis echipamente de reţea la scară globală, după cum a fost descris de către Symantec într-un raport detaliat.

„Viermele Linux.Darlloz exploatează vulnerabilităţi PHP și se autopropagă. Viermele utilizează vulnerabilitatea cunoscută ca PHP «php-cgi» Information Disclosure Vulnerability (CVE-2012-1823), care este o vulnerabilitate veche pentru care există un patch din mai 2012. Atacatorii au creat recent un vierme bazat pe codul Proof of Concept (PoC) disponibil de la sfârșitul lui octombrie 2013”, se afirmă într-o postare de pe blogul Symantec.

Cu toate că viermele a fost conceput pentru a compromite dispozitivele Intel x86 echipate cu Linux, experţii Symantec au descoperit că există și o variantă Darlloz compilată să ruleze pe dispozitive ARM și MIPS. Darlloz a reușit să se răspândească în liniște și să șteargă parţial fișiere stocate pe dispozitivele IoT.
Tehnica de atac a fost simplă și eficientă, codul maliţios genera adrese IP aleatorii și încerca să utilizeze credenţiale utilizate în mod curent pentru a se loga la mașinile ţintă. Dacă malware-ul identifica un dispozitiv vulnerabil îl accesa și downloada viermele de pe un server. Odată infectat dispozitivul IoT, malware-ul începea să caute alte ţinte rulând un server web și PHP.

Darlloz utilizează cereri HTTP POST concepute în mod special pentru exploatarea dispozitivelor vulnerabile.

În momentul în care malware-ul identifică un dispozitiv ne-patch-uit și preia controlul, download-ează viermele de pe un server și începe să caute alte ţinte prin rularea unui server web și PHP.
Pentru a preveni recuperarea dispozitivului, viermele oprește serviciile Telnet care rulează pe componenta inteligentă, făcând astfel imposibilă o conectare de la distanţă cu acesta pentru a-l readuce într-o situaţie normală de funcţionare.

Câteva luni mai târziu, în ianuarie 2014, cercetătorii de la Proofpoint au descoperit o altă utilizare abuzivă a dispozitivelor IoT, peste 100.000 de frigidere, Smart TV-uri și alte dispozitive casnice inteligente fiind hack-uite pentru trimiterea a 750.000 de e-mail-uri de spam maliţioase.

„Atacul observat și profilat de Proofpoint s-a derulat între 23 decembrie 2013 și 6 ianuarie 2014, și a constat în trimiterea de valuri de e-mail-uri maliţioase, în serii de câte 100.000, de 3 ori pe zi, către companii și persoane fizice la nivel global. Mai mult de 25% din acest volum a fost trimis prin intermediul unor obiecte care nu erau laptop-uri convenţionale, calculatoare desktop sau dispozitive mobile; e-mail-urile fiind expediate de gadget-uri de consum cum ar fi routere pentru reţele casnice, centre multimedia conectate, televizoare și cel puţin un frigider.”

Între timp atacurile continuă, recent experţii de la Akamai Prolexic Security Engineering & Response Team (PLXsert) au semnalat un nou kit de malware denumit Spike, care este utilizat pentru lansarea de atacuri DDoS prin intermediul desktop-urilor și al dispozitivelor IoT.

Thingbot-ul Spike este capabil să lanseze diferite tipuri de atacuri DDoS, incluzând SYN, UDP, cereri Domain Name System, și flood-uri GET împotriva unor mașini Linux, Windows, sau al unor host-uri ARM cu Linux.

Thingbot-ul a fost compus din routere casnice, uscătoare inteligente, termostate inteligente și alte dispozitive
inteligente. Akamai a observat că numărul dispozitivelor care au alcătuit botnet-ul Spike s-a situat între 12.000 și 15.000, cercetătorii subliniind abilitatea atacatorilor de a customiza malware-ul și pentru arhitecturi ARM utilizate pe scară largă de dispozitivele IoT.

„Abilitatea toolkit-ului Spike de a genera atacuri și asupra arhitecturilor ARM sugerează că autorii acestor instrumente ţintesc dispozitive cum ar fi router-ele și dispozitivele IoT pentru a-și extinde botneţii pentru o eră post-PC de propagare a botneţilor” se afirmă în documentul Akamai.

Botnetul Spike a fost utilizat pentru mai multe atacuri DDoS de tipul „lovește și fugi” în care au fost implicate atât mașini Windows cât și Linux, dispozitive IoT și Raspberry Pi.

Experţii au observat ca noul aflux de malware Spike s-a bazat pe un update a limbajului de malware Spike chinezesc care ţintește dispozitive Internet-of-Things slab configurate.

Akamai a publicat un raport interesant despre botnetul Spike care include detalii despre atacurile DDoS care au avut loc. Experţii au observat că unul dintre atacuri a inclus pachete tactate la 215 gigabiţi pe secundă (Gbps) și 150 millioane de pachete pe secundă (Mpps). Documentul confirmă faptul că și dacă majoritatea atacurilor DDoS sunt lansate de pe dispozitive de putere mică, și ar putea părea nesemnificative,
dispozitivele IoT pot reprezenta o armă puternică în mâinile atacatorilor.

„Mai mulţi clienţi Akamai au fost ţinta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiţi pe secundă și 150 millioane pachete pe secundă,” se afirmă în documentul companiei.
Lista atacurilor cibernetice asupra dispozitivelor IoT este foarte lungă, unul dintre cele mai puternice atacuri întâmplându-se de Crăciun, atunci când popularele platforme de jocuri Sony PSN și Xbox Live au fost blocate de un atac al unui grup de hackeri cunoscut sub numele de Lizard Squad.

Grupul a utilizat în cadrul atacului un instrument DDoS denumit Lizard Stresser, conform expertului în securitate Brian Krebs, acesta fiind alcătuit din mii de routere de internet domestice hack-uite.

Untitled
Figura 2 -Instrumentul Lizard Stesser DDoS

Lizard Squad a elaborat recent și o ofertă comercială pentru Lizard Stresser, care propune spre vânzare un model de tipul attack-as-a-service și hacking-ul dispozitivelor IoT permite infractorilor să gestioneze ușor astfel de oferte.

Instrumentul Lizard Stresser este un instrument DDoS puternic care se folosește de lăţimea de internet a routerelor domestice de Internet hack-uite global. În septembrie 2014, experţii de la Kaspersky Lab au descoperit o campanie de hacking condusă de atacatori din Brazilia care vizau routerele domestice prin intermediul unui atac web.

Atacatorii adoptă tehnici diferite, incluzând ingine rie socială și site-uri web maliţioase, pentru a schimba setările DNS ale routerelor domestice. Atacurile prin modificarea setărilor DNS permit atacatorilor să redirec teze victimele către site-uri web false pentru a fura credenţialele bancare ale clienţilor băncilor braziliene. În martie 2014, cercetătorii de la Team Cymru au publicat un raport detaliat despre un atac de tip fermă SOHO la scară largă care a afectat peste 300.000 de dispozitive la scară globală.

Din păcate grupările infracţionale privesc cu tot mai mult interes la reţelele de dispozitive IoT cu scopul de a le compromite și a lansa atacuri de tipul DDoS.

În majoritatea situaţiilor dispozitivelor IoT le lipsesc măsurile defensive iar soft-ul lor nu este actualizat la zi, circumstanţe care fac ca aceste obiecte puternice să fie expuse unor atacuri cibernetice.
În urmă cu câteva săptămâni experţii de la compania de securitate Imperva Incapsula au descoperit un botnet DDoS alcătuit din zeci de mii de routere SOHO, infectate cu malware, angajate într-un atac de tip flood la nivel de aplicaţie HTTP.

Routerele SOHO erau infectate cu o versiune de troian Linux Spike (Trojan. Linux.Spike.A) și MrBlack, care este un agent Linux semnalat pentru prima dată de cercetători de la Dr. Web în mai 2014.
Atacatorii au facilitat accesul de la distanţă asupra routerelor SOHO prin HTTP și SSH pe porturile lor implicite, pentru a le compromite. După cum se explică în raportul publicat de Incapsula, routerele SOHO erau slab configurate, atacatorii utilizând credenţiale implicite (de ex. admin/admin) pentru a le accesa și a le injecta cod maliţios. Malware-ul a reușit să se autopropage prin scanarea reţelei pentru a localiza și infecta și alte routere. Conform cercetătorilor, routerele SOHO deturnate erau dispozitive pe arhitecturi ARM de la producătorul de echipamente de reţea wireless Ubiquiti Networks.

Compania a descoperit o serie de atacuri împotriva clienţilor săi la sfârșitul lui decembrie 2014, într-o perioadă de 121 de zile în care aceștia au monitorizat arhitectura maliţioasă utilizată de infractori. Au fost identificate IP-urile a 60 de servere de comandă și control (C&C) iar traficul maliţios a fost lansat de la peste 40.000 de adrese IP aparţinând la aproape 1.600 de ISP-iști din 109 de ţări, de pe toate continentele.
Este interesant de menţionat că peste 85% dintre routerele SOHO infectate au fost localizate în Thailanda și Brazilia.
„Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de ţări din toată lumea”, se afirmă în raport.

Untitled
Figura 3 – Mrblack Thingbot – Topul țărilor atacatoare – Incapsula Report

Conform celor de la Incapsula, routerele SOHO compromise au fost exploatate de către mai multe grupări, inclusiv de către popularul grup Anonymous. Incapsula speculează că sute de mii sau chiar milioane de routere SOHO au fost compromise datorită unei configurări slabe.

Bash Bug, Heartbleed și Internet of Things
Bash Bug (CVE-2014-6271) este un defect critic care poate fi exploatat de la distanţă și care afectează mașini Linux, Unix și Apple Mac OS X. Bash Bug există de câteva decade și este legat de modul în care bash tratează variabilele de mediu formatate special, și anume de funcţiile shell exportate.

Pentru a rula un cod arbitrar pe un sistem afectat este necesară asignarea unei funcţii la o variabilă, codul ascuns în definiţia funcţiei urmând a fi executat.

Defectul Bash Bug are impact asupra a miliarde de dispozitive din lumea întreagă, care rulează pe arhitecturi Linux/Unix, inclusiv dispozitive IoT.

Companiile de securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către infractori pentru afectarea dispozitivelor din diferite industrii.

Principala problemă în adresarea dispozitivelor IoT este că în multe scenarii mentenanţa unor astfel de obiecte este foarte dificilă și că uneori producătorii nu furnizează update-uri de securitate pentru eliminarea problemelor, lăsându-le accesibile atacurilor cibernetice.

Untitled
Figura 4 – Atac Heartbleed asupra unei mașini client (Symantec)

O altă vulnerabilitate care ameninţă IoT este popularul Heartbleed, care poate afecta routere, PBX-uri (business phone systems) și multe alte obiecte inteligente.

Prin exploatarea defectului Heartbleed un atacator poate citi de la distanţă memoria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL.

Un dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj maliţios Heartbeat către acesta. Dispozitivul IoT îi va răspunde trimiţând date suplimentare din memoria sa, putând expune credenţailele și alte date sensibile.

Vestea bună, după cum explică cercetătorii de la Symantec, este că deși atacurile Heartbleed asupra unui server nu sunt complicat de efectuat, o ofensivă la scară largă asupra unor clienţi este greu de rulat într-un scenariu din lumea reală. Principalii doi vectori de atac pentru exploatarea defectului Heartbleed în dispozitivele IoT sunt determinarea obiectului inteligent să viziteze un server maliţios SSL/TLS sau prin deturnarea conexiunii printr-o slăbiciune necorelată. În ambele situaţii atacurile sunt mai greu de efectuat de către infractori.

Concluzie
IoT este o paradigmă care ne va influenţa vieţile în anii care vor urma. din acest motiv este esenţial ca problemele de securitate și de confidenţialitate să fie tratate în mod corespunzător.

Experţii în securitate solicită producătorilor și vânzătorilor să ia în considerare ameninţările cibernetice și nivelul de expunere al oricărui dispozitiv IoT. IoT oferă oportunităţi de business fiecărei industrii, dar poate deveni un coșmar în cazul în care componentele de securitate sunt subestimate.

mika

Mika Lauhde

Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia Business Security and Continuity la Nokia Corporation unde a răspuns de relațiile guvernamentale în zona securității IT ca și în zonele mana- gementului de criză, complianță infracțională, prevenirea fraudelor și soluții de criptare a terminalelor.

Mika are o exepriență bogată în zona subiectelor de securi- tate și a instituțiilor guvernamentale atât în Europa cât și în SUA. În prezent este membru în ENISA (European Network and Information Security Agency) Permanent Stakeholder Group, în European Cyber Security Research Center, și în grupul de lucru în domeniul Cyber Security al Guvernului Finlandez.

  • Membru al ENISA (European Network and Information
  • Security Agency) PSG (2009 – )
  • Membru în managementul grupului de lucru al Leuven
  • University European Crypto Task Force  (2014 – )
  • Grupul de lucru Europol  (2014 – )
  • Membru în managementul European Cyber Security Research Center  (2011 – )
  • Membru în grupul de lucru Finnish Government Cyber Security  (2013 – )
  • Founding Member și Board Member TDL (Trust in Digital Life) (2010 – 2013)
  • Membru al EU government  security advisory board RISEPTIS (2007-2009)
  • Membru al Finnish government ICT security advisory board (2007 – 2010)
  • Membru al UK government critical infrastructure protection group CPNI (2005 – 2009)

autor: Mika Lauhde

VP, Government Relations and Business Development,
SSH Communications Security

O să-i dezamăgesc pe cei care așteaptă marile fenomene legate de securitatea cibernetică în domeniul IoT (Internet of Things) spunându-le că trenul a plecat deja. Problemele de securitate în domeniul IoT se află deja printre noi și ceea ce rămâne de stabilit este cine va administra securitatea acestora, și din acest punct de vedere adevăratul subiect este controlul următoarelor generații de ecosisteme de supraveghere și de business.

Tehnologiile din domeniul securităţii cibernetice, chiar dacă sunt importante, nu pot fi comparate cu informaţiile vitale: ce anume ne propunem să apărăm și ce ne este frică să pierdem? Asupra acestor aspecte va trebui să ne concentrăm în construirea capacităţilor de apărare.
Înţelegem cu toţii faptul că tehnologiile cibernetice se vor îmbunătăţi odată cu trecerea anilor și putem fi siguri că și atacurile asupra acestora se vor îmbunătăţi. Confruntarea dintre aceste două aspecte ne va ţine ocupaţi în domeniul securităţii cibernetice.
Prin urmare, cum să fim suficient de prevăzători și să nu așteptăm pasivi ivirea unor breșe de securitate?
Pentru aceasta trebuie să înţelegem ecosistemul și rolurile din cadrul acestuia!
Următoarele exemple sunt luate din industria auto și din scenariile cu automobilele care se pot conduce singure.
După cum știţi, în SUA există deja mașini care se conduc singure și au fost făcute deja teste în acest sens și în Europa. Aceste tipuri de mașini au nevoie de un volum mare de informaţii de la senzori din mediul înconjurător, dar și informaţii de la alte sisteme de back-end. Când vorbim despre sisteme de back-end nu ne referim la sistemul de divertisment, care este componenta cea mai interesantă pentru cei care stau pe scaunele din spate ale mașinii, ci la informaţii care controlează mișcarea mașinii și siguranţa acesteia.
Prin urmare devine o necesitate naturală să protejăm sistemele mașinii. Dar împotriva a ce?

Să luăm în considerare următoarele aspecte legate de acest tip de ecosistem.

  1. Avem mașini care sunt programate să se conducă singure. Deci există o companie răspunzătoare de programarea navigaţiei, a controlului, ca și a celorlalte funcţionalităţi ale mașinii. 01
  2. Există drumuri alunecoase care nu pot fi prezise nici cu cele mai inteligente soluţii software.02
  3. Există un preţ (valoare) pentru fiecare om care se află în mașină, dar preţul este diferit de la individ la individ.03
  4. Prin urmare în momentul în care ciocnirea a două mașini pe un drum alunecos devine inevitabilă, și unii pasageri trebuie sacrificaţi pentru minimizarea daunelor totale, ce factori trebuie luaţi în considerare?04

Pentru a înţelege fiecare stakeholder și scopurile acestora atunci când vine vorba despre securitatea cibernetică, trebuie să înţelegem ce anume îi motivează pe acești stakeholderi:
Șoferul și proprietarul mașinii: înafara dorinţei de a controla pe deplin sistemul de divertisment (hack-uirea sistemului DRM și a protecţiei la copiere), există o motivaţie clară de a supravieţui. Cum să interferezi cu sistemele în așa fel încât nu numai să îţi controlezi mașina atunci când este necesar, dar să și trimiţi informaţii celorlalte mașini din trafic astfel încât să eviţi o coliziune.
Compania de asigurări: Din moment ce știm că nu se acordă compensaţii egale pentru vieţile pierdute sau pentru dizabilităţi, de ce nu ar avea companiile de asigurări o motivaţie clară de a avea un impact asupra programării și a sistemului de coliziune astfel încât să cheltuie cât mai puţin în cazul unui accident? Până la urmă și ei trebuie să plătească dividende acţionarilor..
Interesul guvernului: Toate guvernele trebuie să își protejeze cetăţenii. De obicei guvernele promit cetăţenilor securitate și siguranţă, mai ales atunci când este necesară limitarea anumitor drepturi. Dacă un guvern nu realizează aceste deziderate cum ar mai putea rămâne la putere? Există motive să credem că este în interesul tuturor guvernelor să influenţeze comportamentul mașinilor.
Investigația poliției: În majoritatea ţărilor atunci când se produce un accident, urmează și o investigaţie a poliţiei. De obicei aceasta are ca scop nu doar de a găsi un vinovat dar și de a duce la îmbunătăţiri ale siguranţei care să ducă la evitarea unor accidente similare în viitor. Accesul la toate datele din sistemul mașinii dar și la cele de back-end este vital. Deci, cum să fie accesate ambele sisteme?
Hacker: În acest caz am putea găsi mai multe motivaţii de a avea un impact asupra sistemului mașinii. De la a deveni faimos și până la a face rău. Dar pentru a dobândi “15 minute de glorie”, trebuie mai întâi să pătrunzi în sistemul mașinii și să preiei controlul.
Producătorul mașinii: Producătorul s-ar putea să nu fie localizat într-o singură ţară, dar deciziile de management sunt de regulă ghidate de normele regulatorii din ţara de origine a companiei. Producătorii se confruntă cu faptul că retragerea unor modele de pe piaţă, datorită unor sisteme tot mai complicate, devine din ce în ce mai scumpă. De asemenea ameninţările externe la adresa sistemelor mașinilor sunt tot mai mari. Toate celelalte părţi se află în conflict de interese cu producătorii mașinilor.
Realitatea, din păcate, este că producătorul are cea mai strânsă legătură cu mașina ceea ce implică și cel mai mare risc privind răspunderea. Sistemul din mașină este doar un sistem client, dar serverul este localizat undeva în cloud-ul producătorului. În ce ţară și sub ce jurisdicţie se află acest cloud?

Concluzie
Aici în Europa suntem mai degrabă în siguranţă din aceste perspective. Până la urmă, am renunţat la o componentă fundamentală denumită modem, care stă la baza IoT wireless, cu câţiva ani în urmă.
În prezent Europa se concentrează pe implementarea eCall și nici măcar nu am îndrăznit să întrebăm de unde se fac update-urile de software ale modemurilor acestor mașini europene și dacă există canale paralele de comunicare. Canale paralele despre a căror existenţă s-ar putea să aflăm abia peste câţiva ani, în cazul apariţiei unui nou caz „Snowden”. Atunci când vom ajunge atât de departe încât eCall să fie funcţional, probabil că vom afla că toate celelalte probleme au fost deja rezolvate. Fără nici o implicare europeană.
Deci, vă rog să nu spuneţi că vine IoT…. toate deciziile vitale se implementează deja…

1791

autor: Laurent Chrzanovski

Rep.: Domnule Corîci, sunteți antreprenor. De câțiva ani v-ați lansat cu succes în domeniul „etical hacking”, ajungând să puneți la punct una dintre cele mai performante platforme din piața globală. De unde vă vine această pasiune pentru securitate IT?

Marius Corîci: Prima „întâlnire” cu securitatea IT am avut-o la începuturile internetului în România. A doua jumătate a anilor ‘90. Atunci am testat aplicaţia Nmap și m-a cucerit. Am cochetat o vreme cu securitatea informatică după care am lăsat-o deoparte. Fast forward, prietenul și asociatul meu Marius Chiș a vrut să facem un proiect de online (startup) și așa a apărut Hackaserver în 2011. O platformă de crowdsourcing pentru pentesting la aplicaţiile web. Prima din lume la acea dată. Așa mi-a revenit apetitul pentru securitatea informatică. După care am continuat cu proiectul CTF365.

Rep.: Spuneți-ne mai multe despre CTF365.
Marius Corîci: CTF365 reprezintă o platformă de training în securitate informatică pentru industria de IT. Platforma implementează concepte CTF (Capture The Flag) și folosește mecanisme de gamificare pentru a îmbunătăţi rata de retenţie și a accelera curba de învăţare. Datorită flexibilităţii, platforma poate fi conectată la structurile de training existente ca și un add on layer, sau poate fi folosită separat ca și soluţie independentă. Ca și utilizatori, platforma se adresează în special profesioniștilor în securitate informatică, administratorilor de sistem și web developerilor. Ca și clienţi, vizăm companii de training în securitate, producători de software/ hardware pe securitate (Rapid7, McAfee, Juniper, Cisco), organizaţii specializate pe securitate informatică (OWASP, SANS, ISECOM, ENISA, etc), companii de management al securităţii, echipe Red/Blue CERT CSIRT inclusiv agenţii guvernamentale. CTF365 nu este un „alt laborator de securitate informatică” așa cum majoritatea clienţilor enumeraţi mai sus au în dotarea lor. Spre deosebire de laboratoarele tradiţionale unde găsești servere „vulnerable by design”, CTF365 este un mediu viu, extrem de dinamic, cu useri reali și servere reale. Dacă omenirea are Google, Amazon, Yahoo, Twitter, CTF365 are Googu, Amazoom, Yoohoo și Crow. Practic construim un internet în Internetul real unde poţi face tot ceea ce este interzis.

Untitled

Rep.: Cum v-a venit ideea să faceți și o interfață ludică și o serie de abonamente pentru studenți, inclusiv unele gratis? Este un exemplul rar de „social responsibility” pentru România.

Marius Corîci: Interfaţa ludică este o componentă vitală atunci când implementezi concepte de gamificare. Până la CTF365, existau 3 canale prin care puteai să înveţi/îmbunătăţești securitatea informatică: Cursuri de facultate – care te învaţă bazele securităţii; companii de training pe securitate – tehnici avansate; și studiul individual (Google, Forumuri, bloguri etc). CTF365 a adăugat dimensiunea de gamificare și a transformat studiul securităţii informatice într-un proces continuu, distractiv, rovocator. Toate aceastea în jurul comunităţii pasionaţilor de securitate informatică.

Într-adevăr am lansat un program numit „Student Security Training Program” care se adresează strict studenţilor. Practic orice student care dorește să folosească platforma CTF365 are un discount de 67% faţă de preţul de bază. Exemplu: un student plătește doar 15$/lună comparativ cu 46$. Obiectivul noastru vis-a-vis de facultăţi este acela de a încheia parteneriate și de a reduce și mai mult acest preţ pentru studenţi. Undeva în jurul a 7-10$/student/lună acolo unde universităţile/facultăţile ar încheia un parteneriat cu noi.
Cât despre „social responsibility”, nu știu alţii, dar noi considerăm că este de datoria noastră atât ca oameni cât și ca firmă să dăm ceva înapoi societăţii. Numai așa reușim să evoluăm. Atât ca societate cât și ca oameni. Spre exemplu așa cum aţi menţionat, avem și conturi gratuite unde orice user are acces gratuit la servere „vulnerable by design” pe care pot exersa tehnici de securitate ofensivă. Totul gratuit iar planurile noastre de „social responsibility” nu se opresc aici. Avem proiectul Hackademy care va fi o aca demie gratuită de etical hacking ce va folosi platforma CTF365 ca și laborator de training hands on. Calitatea video tutoria lelor va fi una exemplară și speram să o putem integra cu programa marilor facultăţi internaţionale. Ca și mostră a video-tutorialelor puteţi urmări câteva pe canalul Hackademy de pe YouTube.

Rep.: Sunteți bazat la Cluj, și totuși tot ceea ce am citit despre platforma dvs., într-adevăr impresionant ca termeni laudativi, este integral pe site-uri și reviste online din Franța, SUA, UK. De ce această nepăsare în media românească?

Marius Corîci: Nu am un răspuns la „nepăsarea din media românească”. Aș putea doar să speculez și nu-mi stă în fire. În schimb, vă pot spune de ce și cum au ajuns să scrie site-uri si reviste online din SUA, UK, Franţa, Italia. Au aflat de produs, l-au testat, le-a placut foarte mult conceptul, au văzut potenţialul foarte mare al platformei și au vrut să afle mai multe despre CTF365.

Occidentul și ţările dezovltate au o cultură a securităţii cibernetice și cunosc foarte bine valoarea ei. România, nu. Asta ca să nu intru în speculaţii.

Rep.: Multe firme din România, Italia, Franța, mai ales start-up-uri de succes, se mută din ce în ce mai des inclusiv în țări foarte scumpe ca și Elveția, pentru că nu mai pot suporta nivelul de taxare la care sunt supuse. De ce ați ales să rămâneți totuși la Cluj? Veți rămâne în continuare?

Marius Corîci: Sunt câteva aspecte de luat în calcul atunci când îţi faci planul de afaceri: mediul de afaceri (ţara) și piaţa căreia i te adresezi. În cazul nostru, piaţa noastră este globală, cu focus pe America de Nord și EU.

Ca mediu de afaceri, dupa 26 de ani, România este corigentă (încă) la taxe, legislaţie și corupţie. Nu, nu cred că o să rămânem în România cu operaţiunile. Dar este foarte probabil să menţinem în Cluj partea de dezvoltare a platformei. Cluj Napoca este perfect când ești focusat pe IT.

Rep.: Din punct de vedere al obiectivelor, unde sunteți acum și ce planuri aveți în viitorul apropiat?
Marius Corîci: Ca și companie, suntem un start-up autofinanţat și căutăm o finanţare de tip angel investor pentru early stage. Ca și execuţie, acum suntem în Beta Public cu un MVP (Minimum Viable Product) funcţional și clienţi din SUA, EU și Asia.

Ca și planuri pentru viitorul apropiat, deja suntem în teste cu un nou produs „Security Training Labs on Demand”. Acest produs este B2B și urmărește externalizarea laboratoarelor de training atât ca infrastructură cât și ca mentenanţă, pentru cei care folosesc astfel de laboratoare. Ideea ne-a venit după ce Rapid7 ne-a cerut să le proiectăm viitoarea generaţie de laboratoare pentru training de Metasploit și Nexpose. Suntem încă în evaluare din partea lor (Rapid7) dar e clar că au văzut ceva interesant la noi dacă au cerut, iar noi am văzut o piaţă pe această componentă. Avantajul pentru companii și organizaţii este acela că ar plăti doar cât ar folosi fără să fie nevoiţi să le mai dezvolte dar să le și întreţină in-house.
Faptul că avem o experienţă de ~4 ani strict pe dezvoltarea de astfel de laboratoare cibernetice ne-a creat un avantaj faţă de potenţialii competitori.

Rep.: Cu o interfață prietenoasă, accesibilă, tutorials foarte bine gândite, nu ați reușit să cuceriți piața educațională din România. De fapt, aproape nimeni nu a reușit ceea ce s-a ratificat în strategia naționa lă de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare). În opinia dvs., de unde vine acest blocaj?

Marius Corîci: Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet. Și vă detaliez:

Mediul corupt: Fără a da nume, există trei mari companii din domeniul IT care sunt abonate să facă afaceri cu statul. Toţi le cunoaștem, știm cine sunt, s-a scris foarte mult despre afacerile lor oneroase cu statul și nimeni nu a luat nicio măsură până la această oră să îndrepte sau să schimbe această percepţie.

Ignoranța: Am contactat trei universităţi, prin intermediul profesorilor de specialitate care predau reţelistică, iar răspunsul lor, deși năucitor pentru cineva din EU sau America de Nord, a fost atât de banal și normal pentru o ţară precum România: „Nu avem fonduri alocate” (deși nu s-a ajuns la discuţia de costuri). „Conducerea preferă să cheltuie pe hardware.” „Nu avem catedră de securitate informatică” sau „Nici nu se pune problema de cursuri de securitate.”

Orgoliu: CTF365 are un program de sponsorizare a conferinţelor de securitate cibernetică. Până la această oră, CTF365 a sponsorizat patru conferinţe internaţionale printre care Nuit du Hack și HackMiami. Singura conferinţă de securitate cibernetică cu componentă hands-on din România nu ne-a cerut suportul. Nu că nu ar ști despre CTF365. Aţi menţionat „strategia naţională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare).” În 2014 s-a dezbătut în CSAT ca guvernul să introducă pregătirea obligatorie privind securitatea cibernetică în școli. Platforma CTF365 este unică în lume la această ora și se mulează perfect pe cerinţele CSAT ca suport tehnic de pregătire și antrenament. Nimeni nu ne-a contactat. Nici presa și nici reprezentanţi ai guvernului.
Concluzia? Puse cap la cap, consider că efortul nostru pentru piaţa din România nu se justifică atunci când trebuie să te lupţi cu corupţia și ignoranţa dar nu cu competenţa, calitatea și inovaţia. S-ar justifica într-o piaţă normală, ceea ce nu există încă. Așteptăm să apară.

Rep.: Legea Big Brother este deja parte din trecut. Dar nu s-au rezolvat problemele esențiale. Cum vedeți o lege simplă, aplicabilă și care să respecte libertățile cetățenești?

Marius Corîci: Legea Big Brother trebuie să facă parte din prezent. Este imperativ. Susţin cu tărie crearea legii Big Brother la fel de mult cum susţin, în egală măsură, și drepturile omului. S-a pornit greșit și s-a pierdut esenţa acestei legi. Pe de o parte iniţiatorii legii au ignorat total drepturile omului considerând că pot pune în lege orice le trece prin cap, pe de altă parte societatea civilă s-a simţit ameninţată (pe bună dreptate) și a blocat prin orice mijloace această lege. Din ce trebuia să fie un dialog „umăr la umăr” între guvern (sau legislativ) care apără suveranitatea ţării și cetăţenii și organizaţiile specializate în drepturile omului și libertăţii, s-a ajuns pe poziţii de forţă și contre iar dialogul a dispărut complet ca și proiectul de lege.
Cum văd eu o lege Big Brother? Nu sunt specialist nici în securitate naţională, nici în drepturile omului. Dar pot să vă spun pe ce fundaţie trebuie construită o astfel de lege. Fundaţia legii trebuie să fie: dialogul, drepturile omului, bunul simţ și logica elementară. Unde este nevoie, pe compromisuri, dar fără să ne compromitem. Asta ar fi o regulă general valabilă pentru orice proiect de lege.
Părţile implicate trebuie să cadă de comun acord de necesitatea unei astfel de legi. Dacă una dintre părţi nu este convinsă de această necesitate, atunci nu va exista dialog ci doar contre.
Ar trebui luate în considerare top 10 dintre ţările care respectă cel mai mult drepturile omului, au o astfel de lege și fac parte din UE. Analizate legile lor și adaptate și/sau îmbunătăţite la noi.
Am un deosebit respect pentru Bogdan Manolea și munca sa și sunt convins că pot fi găsite căi legale care să respecte drepturile omului dar în același timp să ne protejeze mai bine de ameninţările cibernetice. Mai ales în situaţia geopolitică actuală cu Rusia ameninţând dinspre Est.

Rep.: Ce credeți că s-ar mai putea face în domeniul securității ciberne tice?

Marius Corîci: Aș face o lege a hacking-ului. Nu ne dăm seama, dar este extrem de importantă o astfel de lege și vă argumentez. Cunosc mulţi cercetători independenţi în domeniul securităţii cibernetice care mi-au prezentat cazuri de vulnerabilităţi critice în diferite domenii. Vulnerabilităţi critice în sistemele bancare, sănătate și altele, din România.

În contextul actual, acești cercetători nu au nici o bază legală prin care să anunţe proprietarii sistemelor respective de aceste vulnerabilităţi critice. Dacă ar face-o în prezent, cel mai probabil, ar putea fi acuzaţi
de acces ne autorizat și închiși ani buni. Este un cerc vicios: ei știu de o vulnerabilitate critică pe care nu o pot raporta de teamă să nu fie închiși, în timp ce alţi hackeri cu intenţii rele ar putea să o descopere și ei și să profite, fie vânzând pe piaţa neagră fie prin exploatarea acelei vulnerabilităţi iar banca sau instituţia respectivă ar avea cel mai mult de suferit.

O lege a hacking-ului i-ar proteja atât pe cercetătorii din domeniul securităţii cibernetice dar și pe instituţiile respective – proprietarii sistemelor vulnerabile.

Cum ar funcţiona o astfel de lege în cel mai simplist mod posibil?

Dacă un hacker etic ar găsi o vulnerabilitate într-un sistem informatic, ar raporta acea vulnerabilitate (cu PoC inclus – Proof of Concept) către CERT Romania, invocând legea hacking-ului. CERT România ar inspecta și verifica acea vulnerabilitate iar în cazul unui rezultat pozitiv, CERT ar anunţa reprezentanţii instituţiei/companiei respective de respectiva vulnerabilitate.

Instituţia ar fixa vulnerabilitatea, în timp ce CERT România ar recunoaște meritele cercetătorului într-un Hall of Fame. Acest Hall of Fame ar putea fi folosit de către cercetător ca și achievement în CV-ul său când ar dori să se angajeze.

Am explicat cât mai simplist, dar urmările pozitive ar fi mult mai mari. Fixarea mai rapidă a unor vulnerabilităţi, premierea chiar și cu bani a hacke rilor etici pentru vulnerabilităţile găsite, creșterea numărului de hackeri etici care ar „supraveghea” securitatea cibernetică.

 

 

1382

jean cristophe

Jean Christophe Schwaab

Născut în 1979, doctor în drept economic, consilier național socialist (Deputat în Camera Poporului Parlementul Federal al Elveției), vice-președinte al Comisiei Afacerilor Juridice a Consiliului Național, membru al direcței și președinte romand al „Asociation Suisse des Employés de Banque” (ASEB), președinte al „Oeuvre Suisse d’Entraide Ouvrière” (OSEO), fost secretar central al USS (Uniunea Națională a Sindicatelor, n.d.r), fost secretar al sindicatului „Unia jeunesse”, fost deputat al Parlamentului cantonal din Vaud, fost membru al comitetului „Union des Etudiant-e-s de Suisse” (UNES) și al „Conseil Suisse des Activités de Jeunesse” (CSAJ). Numeroase articole publicate despre dreptul muncii (lista: schwaab.ch/publications-scientifiques/). Locuiește la Riex (Canton de Vaud), căsătorit, doi copii.

Twitter: @jcschwaab
Site web: schwaab.ch

autor: Laurent Chrzanovski

Redactor: La 36 de ani sunteți deja doctor în drept, cu o diplomă de studii avansate la IDHEAP, sunteți Președinte romand al „Association des employés de banque” și Președinte al rețelei de asociații „Oeuvre Suisse d’Entraide Ouvrière”. Cel mai important însă este faptul că sunteți din 2011 Consilier National și vice-președinte al Comisiei de afaceri juridice, din Parlamentul federal al Elveției.

Domnule Deputat, palmaresul dumneavoastră profesional și politic atât de strălucitor nu pare să vă fi predestinat a fi autorul atâtor postulate, interpelări și moțiuni privind protecția datelor digitale și a problemelor legate de utilizarea Internet of Things (IoT). De unde vine o așa mare pasiune și cum ați dobândit atâtea cunoștințe în acest domeniu?

Jean Christophe Schwaab: Protecţia datelor, după părerea mea, este una din provocările majore ale societăţii noastre hiperconectate. Statele și întreprinderile private care prelucrează date au făcut progrese tehnologice fulgurante în ultimii ani, care însă în acest moment se află pe punctul de a ameninţa chiar însăși existenţa sferei private. De aceea vorbim azi de necesitatea unei mobilizări urgente pentru a apăra acest drept fundamental al omului. Eu cred că există un interes public major pentru asta și că acest lucru este în interesul populaţiei care m-a ales.

Din păcate sunt foarte puţini aleși care sunt conștienţi de asta. Și nu e neapărat o chestiune de generaţie, spunând asta chiar dacă cei câţiva colegi ai mei care îmi împărtăşesc părerea sunt majoritatea tineri, obișnuiţi să folosească cele mai noi tehnologii și Social Media.

Cum nu am la bază o formare tehnică sau legată de noile tehnologii, am învăţat totul „din mers”. Am citit mult, mai ales informaţie de pe site-urile specializate, am întâlnit experţi și sunt în continuare în contact cu numeroși specialiști, mai ales graţie reţelelor sociale (ex. Twitter). Fiind de natură foarte curios, conserv un număr mare de articole pe acest subiect. Cei apropiaţi mie precum și militanţii din partidul meu știu asta și îmi transmit foarte adesea informaţii sau sugestii.

Redactor: În 2013, ați formulat și înaintat două postulate (13.3806 și 13.3807) pentru întărirea protecției datelor, referitoare la „privacy by design” și „privacy by default”. Consiliul federal propune adoptarea lor. În ce vor consta aceste măsuri odată ce ele vor fi puse în aplicare?
Jean Christophe Schwaab: Aceste propuneri vizează inversarea logicii actuale în materie de protecţia datelor. De exemplu acum utilizatorul este responsabil să vegheze ca datele sale să nu fie utilizate complet aiurea și, foarte adesea, cei care tratează datele au „o hârtie semnată în alb”, o autorizaţie generală de a trata, modifica, reutiliza și revinde datele personale. Prin aplicarea acestor două concepte, utilizatorul ar fi gestionarul propriilor sale date tot timpul, iar cel care ar dori să le utilizeze, ar trebui ca, la fiecare utilizare a lor, să ceară o autorizare expresă. De altfel, toate noile tehnologii, toate bunurile noi și serviciile care permit tratarea datelor personale ar trebui să fie concepute de o asemenea manieră, încât să garanteze protecţia acestor date. De asemenea, va trebui să evităm ca datele colectate cu acordul utilizatorului într-un scop precis, să nu fie reutilizate mai târziu fără să știe și de o manieră mai invazivă faţă de ceea ce s-a imaginat la început. Odată cu avântul pe care l-a luat „big data”, este de fapt posibil de a contura profile precise și intime ale personalităţii oamenilor, graţie datelor anodine (de exemplu statistici de vânzări). În momentul în care aceste date au început să fie colectate, nimeni nu putea bănui posibilităţile pe care ele le vor oferi câţiva ani mai târziu. De aceea este în mod capital necesar să fie prevăzute reguli specifice, astfel încât utilizarea ulterioară a acestor date să respecte sfera privată.

Red: Este vorba doar de a da un puternic semnal de alarmă sau vă gândiți că asemenea măsuri să poată fi puse în practică într-o lume în care nicio rețea socială, motor de căutare sau sistem de arhivă video nu are un domiciliu legal în Elveția, sau poate nici chiar în Europa (cf. victoria UE în ceea ce privește „dreptul de a fi uitat”)?

Jean Christophe Schwaab: Google s-a pliat pe legislaţia elveţiană, respectând hotărârea Tribunalului Federal „Google Street View”. Deci este posibilă impunerea legislaţiei naţionale inclusiv firmelor internaţionale, rămânând însă o chestiune de voinţă politică. Sunt convins că deciziile tribunalelor elveţiene și amenzile usturătoare care se vor aplica în cazul încălcării lor vor avea efect chiar dacă e vorba de multinaţionale care nu au nici sediu, nici sucursale în Elveţia.

Red: Ceea ce ne frapează cel mai mult în activitatea recentă, este fără îndoială postulatul dumneavoastră (14.3739) care cere introducerea conceptului de „control by design”* și mai ales faptul că el a fost acceptat. Pragmatismul și inteligența demersului pe care l-ați făcut sunt din toate punctele de vedere în afara oricăror norme, în fața pericolelor gigantice și a beneficiilor în aceeași proporție, generate de IoT (Internet of Things).

Din partea unui Doctor în drept, ne-am fi așteptat la o propunere de genul unui lung text normativ, în locul tuturor acestor reglementări (dezbătute în acest moment chiar în majoritatea țărilor europene), esențial legate de problemele din ce în ce mai recurente privind falii de securitate sau absența unei trasabilități a datelor emise de „obiecte” conectate. Dumneavoastră ați abordat problema sub un unghi neașteptat, și anume cel al proprietății intelectuale și al dreptului inalienabil al proprietarilor de a putea deconecta „obiectele” care le aparțin sau, în cazul în care ei acceptă conexiunea, să poată să decidă care date pot fi transmise terților. În mod paradoxal, discuția devine mult mai simplă și evită să se împotmolească în termeni pe care nicio instituție nu i-a consacrat încă, întrucât aceștia nu pot defini un conținut precis (identitate virtuală, internetul obiectelor, cyber-securitate). De unde v-a venit această idee și cum ați reușit să elaborați acest postulat?

Jean Christophe Schwaab: În timp ce urmăream scandalul „ascultărilor” de la NSA, am descoperit un text despre afacerea Snowden care descria conceptul de „control încă din momentul concepţiei” (control by design). Cum mă interesasem îndeaproape despre obiectele conectate, ideea mi s-a părut imediat foarte interesantă. Cum sunt jurist, primul lucru care mi-a venit în minte a fost să propun un text de lege complet redactat sub forma unei iniţiative parlamentare (care să permită Parlementului să îl legifereze el însuși). Însă după o discuţie cu administraţia federală, am ales până la urmă o formă mai puţin „constrângătoare” a postulatului (care nu face decât să ceară un raport Consiliului Federal), pe de o parte în scopul de a crește șansele ca propunerea mea să fie acceptată și pe de altă parte pentru a lasa administraţia să aprofundeze chestiunea ridicată, de oarece este mult mai potrivită decât un parlamentar cu resurse foarte limitate. Acest demers a avut succes, propunerea fiind acceptată cu acordul Guvernului. O anecdotă mi-a întărit convingerile: recent, mi-am pierdut cardul de credit și deci a trebuit să îl înlocuiesc. În momentul în care mi-am comandat noul card, am cerut ca acesta să nu fie dotat cu un sistem de plăţi contactless de tip „NFC” (near field communication). Această tehnologie nu este deloc sigură, deoarece ea lasă posibilitatea piratării unui card de la distanţă. Iată însă că, cel care trebuia să îmi emită cardul meu de credit mi-a comunicat că este imposibil să beneficiez de un card care să nu dispună de o astfel de tehnologie. Deci furnizorul dotează din start cardurile cu tehnologii care deschid breșe în securitatea datelor, în timp ce doar consumatorul este cel care preia riscul și și-l asumă. De aceea consider că se impune un control încă din faza de concepţie care trebuie să remedieze acest lucru, dând posesorului unui obiect, dreptul la a-l deconecta dacă el așa consideră.

Red: Cum anume și în cât timp vedeți dumneavoastră aplicarea acestui postulat și care vor fi rezultatele sale pe termen scurt și mediu?

Jean Christophe Schwaab: Fabricanţii de obiecte ce pot fi potenţial conectate la orice reţea (cu sau fără posibilitatea de schimb de date) vor trebui să le doteze cu o funcţie care să permită oricând oprirea oricărei conexiuni a acestora. Un simplu buton „ON/OFF” ar fi suficient.

Red: Dacă am considera că întreprinderile de IT care dezvoltă IoT ar fi făcut pe acest segment un profit de peste 87% în 2014, v-ați aștepta ca acest text să poată fi „alterat” astfel încât să nu poată să împiedice dezvoltarea unui comerț atât de înfloritor și să fie supus în acest scop unui referendum?

Jean Christophe Schwaab: Nu cred, deoarece aplicarea conceptului ar trebui să fie foarte simplă. De altfel, fabricanţii au interes să joace cartea transparenţei, deoarece sensibilitatea publicului crește din ce în ce mai mult.

Red: Să privim câteva exemple: acum trei luni au fost descoperite la Rotterdam 20.000 frigidere WI FI cu malware integrat, sau Dick Cheney care a dezacti vat pentru motive de securitate WI FI de la defibrilatorul conectat la pacemaker-ul său, sau ethical hackers care au dovedit deja acum patru ani cât de ușor poate fi asasi nat oricare purtător al unei centuri de insulină cu bluetooth. Cu toate că demersul dumneavoastră este unul dintre cele mai rare și probabil cele mai percutante, el face parte dintr-un domeniu pe care politicul are tendința să îl ignore. Cum explicați ușurința totală cu care „obiectele conectate” sunt admise pe piață, atât în Elveția cât și în Europa, de la brățările de jogging până la obiecte vitale, cum ar fi inimile artificiale?

Jean Christophe Schwaab: Asta arată că legiuitorii sunt depășiţi de evoluţiile tehnologice și că trebuie să reacţioneze imediat legat de acest aspect. Asta mai arată de asemenea pertinenţa propunerii mele de a introduce „controlul încă din momentul concepţiei”, care ar evita foarte bine multe din problemele pe care le-aţi evocat.

Red: Demersul dumneavoastră, difuzat de cele mai mari ziare din Elveția, a avut deja un succes de imagine, contrastând cu lipsa de campanii periodice de sensibilizare a publicului și a persoanelor de decizie, în ceea ce privește protejarea vieții lor private, personale și profesionale pe Internet. Și cu toate că Elveția are exemplul cel mai reușit de organism de dialog public-privat în materie, MELANI, cum de nu vedem încă inițierea unor campanii periodice de prevenție în școli, în întreprinderi sau universități? Credeți că însăși lipsa conștientizării politicienilor, chiar în ceea ce privește propria lor viață, este de fapt cauza?

Jean Christophe Schwaab: Lipsa conștientizării este din păcate generalizată în sânul populaţiei, chiar dacă lucrurile încep încet să se amelioreze (adesea în urma unor scandaluri, cum a fost de exemplu cel de la NSA). Aleșii nu sunt decât o reflectare a populaţiei care i-a ales. Majoritatea nu au înţeles încă faptul că de acum înainte se pot obţine date foarte sensibile despre o persoană, nu numai pentru că își povestește viaţa sa pe reţele sociale, cât mai ales prin analiza datelor anodine în număr foarte mare (big data). Educaţia în sfera protecţiei private trebuie să fie dezvoltată, mai ales în școli.

Red: Aveți doi copii. Cum vă imaginați Internetul (cel al „ființelor” sau al „obiectelor”) pe care ei îl vor cunoaște atunci când vor deveni adulți? Mai reglementat, mai sigur? Sau dimpotrivă, o junglă în care doar persoanele informate vor ști să facă alegerile potrivite pentru a nu deveni victime „by design”?

Jean Christophe Schwaab: Din păcate, ambele opţiuni sunt posibile. Trăim o perioadă crucială în care fie deciziile menite să protejeze și să menţină sfera privată sunt luate acum, fie acest drept fundamental riscă să dispară. Orice se va întâmpla, lumea în care vor trăi copiii mei va fi încă și mai mult conectată decât cea pe care o cunoaștem, iar protecţia și gestionarea datelor personale vor avea încă și mai multă importanţă.

* http://www.schwaab.ch/archives/2014/09/17/control-by-design/

Cătălin PĂTRAȘCU Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice
Cătălin PĂTRAȘCU
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice

Tendinţele ultimilor ani în ceea ce privește expansiunea reţelei globale Internet, dar și studiile efectuate în acest sens arată un ritm impresionant de creștere a numărului de dispozitive conectate, aproximativ 5 miliarde în prezent, însă predicţiile pentru anul 2020 avansează o cifră de ordinul zecilor de miliarde.

Numărul și mai ales diversitatea terminalelor conectate la Internet generează oportunităţi economice semnificative, însă aduce și provocări fără precedent pentru securitatea cibernetică, precum securizarea „obiectelor” conectate la Internet, a căror arhitectură și destinaţie diferă multe de clasicele computere, de unde și apariţia noţiunii de Internet of Things (IoT). Practic ne referim la obiecte ce înglobează componente hardware și software dedicate și optimizate rolului acestora, precum obiectele de uz casnic și cele personale, dar și sisteme industriale.

Tot mai multe dispozitive IoT populare precum televizoarele inteligente, camerele web, termostatele casnice, alarmele din locuinţe și sistemele de control acces sunt comandate de la distanţă, prin Internet, cu ajutorul unor servicii de tip cloud sau aplicaţii de telefon mobil.

Un studiu efectuat de HP în anul 2014 asupra celor mai populare dispozitive IoT arată că peste 70% dintre acestea prezintă vulnerabilităţi ce pot fi exploatate de atacatori. Și mai grav, marea majoritate a acestora rămân vulnerabile o perioadă mare de timp, rata de rezolvare a vulnerabilităţilor fiind mult mai mică decât în cazul sistemelor și aplicaţiilor informatice clasice.

Recent cineva mi-a adresat întrebarea „Ce pot face pentru a securiza noul meu Smart TV pe care l-am conectat la Internet?”. Altcineva a intervenit imediat și mi-a acordat răgaz de gândire răspunzând în locul meu că „Nu aveţi nicio șansă! Pur și simplu ar trebui să-l deconectaţi de la Internet” și a continuat argumentându-și punctul de vedere. Nu am putut fi de acord cu această soluţie radicală și am argumentat că nu putem renunţa așa de ușor la o facilitate a televizorului pe care majoritatea o consideră utilă și care este până la urmă rezultatul unei evoluţii tehnologice.

În cele ce urmează mi-am propus să prezint o abordare holistică a problemei securizării dispozitivelor IoT, pornind de la cele mai importante categorii de vulnerabilităţi ale acestor dispozitive, pe baza informaţiilor prezentate de proiectul OWASP Internet of Things Top 10 și conform datelor deţinute de CERT-RO în calitate de punct naţional de contact pentru raportarea vulnerabilităţilor și incidentelor de securitate cibernetică. Astfel, cele mai frecvente categorii de vulnerabilităţi ale dispozitivelor IoT sunt:

  • Interfaţă web nesigură;
  • Mecanism de autentificare/autorizare insuficient;
  • Servicii de reţea nesigure;
  • Lipsa criptării la nivelul transportului de date;
  • Probleme de confidenţialitate a datelor;
  • Interfaţă cloud nesigură;
  • Interfaţă mobilă nesigură;
  • Configurabilitate a securităţii insuficientă;
  • Software/Firmware nesigur;
  • Securitate fizică scăzută.

Abordarea vulnerabilităţilor enumerate anterior se poate realiza din perspectiva utilizatorilor, a producătorilor, dar și a celor care realizează testarea acestora.

Cu promisiunea că în perioada imediat următoare veţi regăsi un ghid complet al securizării dispozitivelor IoT, realizat de echipa CERT-RO și care va fi postat pe portalul web al instituţiei, dar și din considerente de spaţiu alocat acestui articol, prezint în rândurile de mai jos doar o serie de recomandări adresate utilizatorilor de dispozitive IoT:

  • Verificaţi dacă dispozitivul dispune de opţiunea HTTPS pentru cripta rea traficului de date și în caz afirmativ asiguraţi-vă că este activă;
  • Dacã dispozitivul dispune de opþiuni de criptare, asiguraþi-vã cã utilizaþi standarde acceptabile precum AES-256;
  • Verificați dacã dispozitivul suportã autentificare în doi pași (two factor) .în caz afirmativ activați aceastã opțiune;
  • Verificați dacã dispozitivul dispune de un firewall web și în caz afirmativ activați-l;
  • Dacã dispozitivul dispune de un firewall, activați-l și configurați-l astfel încât dispozitivul sã fie accesibil numai de la sistemele dvs.;
  • Dacã dispozitivul dispune de o aplicaþie web localã sau în cloud, schimbați parola implicitã cu una cât mai puternicã și schimbați numele de utilizator implicit dacã este posibil;
  • Dacã dispozitivul dispune de opțiunea de a solicita schimbarea parolei dupã un anumit numãr de zile (90 de zile spre exemplu), asigurați-vã cã acesta este activã;
  • Verificați dacã dispozitivul dispune de funcționalitatea de blocare a contului de utilizator în cazul unor încercãri repetate de autentificare nereușite și în caz afirmativ activați-o;
  • Implementați o tehnologie de segmentare a rețelei, prin utilizarea unui firewall spre exemplu, astfel încât sã realizați o izolare a dispozitivelor IoT de restul sistemelor informatice;
  • Dacã dispozitivul permite setarea privilegiilor la nivel de utilizator, setați-le pe principiul minimului necesar operãrii;
  • Nu introduceți informații confidențiale în cadrul dispozitivelor dacã nu este absolut necesar;
  • În cazul în care aveți de ales și nu este neapãrat necesar pentru funcționarea dispozitivului, nu activați opțiunile de colectare de date din dispozitiv;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de jurnalizare (logging) a evenimentelor de
    securitate;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de alertare/notificarea a evenimentele de securitate;
  • Activați opțiunea de actualizare automatã și regulatã a dispozitivului, în cazul în care dispune de o astfel de opțiune;
  • Activați orice facilitãți de limitare a accesului fizic neautorizat la sistem (anti-furt, localizare GPS, ștergere a informațiilor stocate de la distanțã etc.);
  • Dezactivați porturile fizice neutilizate prin intermediul interfeței de administrare.

Și pentru a nu încheia fãrã a rãspunde la întrebarea legatã de securizarea televizoarelor inteligente (Smart TV), vã încurajez sã încercați aplicarea tuturor recomandãrilor menționate anterior, în mãsura în care dispozitivul permite, în special cea referitoare la segmentarea rețelei utilizând un firewall, un router WiFi care oferã aceastã opțiune sau chiar dispozitive (hub, appliance) dedicate securizãrii dispozitivelor IoT.

autor: Jean Christophe Schwaab

controlRecent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu fie dotat cu niciun sistem de plată fără contact de tipul „NFC” (Near Field Communication). Pe de o parte deoarece nu mă interesează o astfel de tehnologie (care poate favoriza achiziţii spontane şi necontrolate, generând astfel datorii, în special în rândul tinerilor). Dar mai ales, deoarece această tehnologie nu este sigură deloc, este ușor de piratat de la distanţă şi, în funcţie de condiţiile generale ale furnizorilor de carduri de credit, până la 120 de Franci plătiţi abuziv cu această tehnologie pot să fie ceruţi titularului cardului, chiar dacă acesta ar putea să demonstreze că a acţionat cu toate precauţiile necesare. Legalitatea unei astfel de practici este foarte îndoielnică după opinia mea, dar cine o să intenteze un proces pentru 120 de Franci?*

Așadar, titularul unui astfel de card de credit este blocat de o tehnologie care poate să permită hacking-ul datelor sale, cu consecinţe care pot să fie costisitoare pentru el.

Nimic nu ar fi mai legitim ca faptul ca titularul să poată sa renunţe să folosească această tehnologie dacă nu este interesat să o folosească. Dar problema este, din cauza emitentului cardului meu de credit (Viseca, în legătură cu Banca Cantonală din Vaud) este imposibil de a beneficia de un card care nu are această tehnică deja instalată. Emitentul de carduri a ales astfel să le echipeze cu tehnologii care deschid o breșă de securitate, dar asumarea riscurilor îi aparţine exclusiv consumatorului.

Acesta nu este însă punctul cel mai înspăimântător al poveștii: pentru a evita fraudele, Viseca mi-a recomandat să învelesc cardul mea de credit cu o folie de aluminiu, ca dovadă că societatea însăși nu prea are încredere în tehnologia pe care o impune.

Am bricolat astfel o mică husă securizată anti-hacking cu ceea ce aveam la îndemână (cf. foto). Sunt liniştit, chiar dacă bricolajul meu nu arată foarte solid şi va trebui să îl refac în mod regulat… Astfel suntem obligaţi, pentru a ne proteja de riscurile generate de o tehnologie de ultimă generaţie, să folosim un produs care se află în sertarul fiecări bucătării de multe decenii!

Această istorie de neînchipuit prezintă interes în conceptul de «Control by design» – control începând încă de la concepere (design) -, care conferă proprietarului unui obiect conectat dreptul inalienabil de a-l debranşa din orice reţea. În acest caz concret, proprietarul unui card de credit ar trebui să aibă dreptul de a-l deconecta din sistem NFC de câte ori și oricând dorește.

Dacă în schimb se dovedeşte că proprietarul consideră aceasta metodă de plată ca fiind avantajoasă şi este pregătit să-și asume riscul de hacking, este hotărârea sa şi poate să decidă liber.

Dar dacă proprietarul nu dorește să își asume niciun risc, trebuie să aibă de asemenea posibilitatea de a decide liber.

Responsabilitatea securităţii datelor ar deveni atunci de competenţa exclusivă a emitentului de carduri, care ar trebui să ofere clienţilor posibilitatea de a renunţa la tehnologia NFC.

Sper astfel că guvernul elveţian va pune rapid în aplicare moţiunea mea de «Control prin design»(1), care a fost acceptată de către Consiliul Naţional în decembrie anul trecut.

http://www.schwaab.ch/archives/2015/03/20/control-by-design-unexemple-concret-dobjet-connecte-indeconnectable/


*Nota traducătorului: în Elveţia, cheltuielile procesuale sunt foarte mari. (1)

http://www.parlament.ch/e/suche/Pages/geschaefte.aspx?gesch_id=20143739

autor: Daniela Luca

Parte a lumii de azi, și poate chiar lumea de mâine, spațiul cibernetic a devenit o preocupare esențială la nivel mondial. Explozia informațională, evoluția fulminantă a domeniului IT&C, tranziția vieții private către mediul on-line duc la necesitatea apariției unui „contract social” care să normeze o nouă formă de existență a indivizilor – „starea civilă cibernetică”1.

Ca orice formă de existenţă în cadrul unei comunităţi, „starea civilă cibernetică” impune existenţa unui cadru legislativ și instituţional care să-i asigure o bună funcţionare și care să garanteze drepturile și libertăţile pierdute ca urmare a integrării în spaţiu.

Pentru statele lumii occidentale (ex. Franţa, Marea Britanie), domeniul cibernetic a devenit una dintre dimensiunile conceptului de apărare cibernetică. Alianţa Nord-Atlantică regândește conceptul de apărare cibernetică, în sensul definirii și operaţionalizării apărării cibernetice active. Reconceptualizarea și regândirea dimensiunii cibernetice reprezintă o preocupare nu numai a organizaţiilor internaţionale și a instituţiilor guvernamentale, dar și a mediului academic și a societăţii civile.

Parte integrantă a iniţierii „stării civile cibernetice”, România este în plin proces de dezvoltare și consolidare a capabilităţilor cibernetice. Recunoașterea internaţională a profesionalismului resursei umane specializată în domeniul IT&C a constituit un imbold pentru instituţiile guvernamentale.

Eforturile de menţinere a capabilităţilor cibernetice ale ţării la nivelul dezvoltării domeniului, de adaptare a acestora la noile necesităţi, de creștere a competenţelor și chiar de a contribui la organizarea „stării civile cibernetice” sunt vizibile în plan intern și internaţional.

În prezent, la nivel naţional, principalul document care reglementează „starea civilă cibernetică” este Strategia de Securitate Cibernetică a României. Având ca obiectiv principal definirea și menţinerea unui mediu virtual sigur, cu un înalt grad de rezilienţă și de încredere, Strategia a instituit Sistemul Naţional de Securitate Cibernetică (SNSC).

SNSC reprezintă cadrul general de cooperare pentru asigurarea securităţii cibernetice și reunește autorităţi și instituţii publice cu responsabilităţi și capabilităţi în domeniu. SNSC este coordonat de Consiliul Operativ de Securitate Cibernetică (COSC)2. COSC este coordonat tehnic de Serviciul Român de Informaţii, instituţie desemnată, încă din 2008, drept autoritate naţională în domeniul cyberintelligence.

Din punct de vedere organizatoric, în cadrul fiecărei instituţii reprezentată în COSC funcţionează structuri specializate care au ca misiune menţinerea securităţii cibernetice.

În cadrul SRI, a fost operaţionalizat Centrul Naţional Cyberint al cărui scop este să prevină, să anticipeze și să cunoască ameninţările cibernetice la adresa Infrastructurilor Cibernetice de Interes Naţional (ICIN), dar și să identifice, să neutralizeze și să limiteze consecinţele atacurilor cibernetice împotriva ICIN.

La nivelul Ministerului pentru Societatea Informaţională, a fost înfiinţat (2011) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) care are ca principală misiune analizarea disfuncţionalităţilor procedurale și tehnice la nivelul infrastructurilor cibernetice.

De asemenea, MAN dispune de o entitate de tip CERT care face parte din Centrul Tehnic Principal pentru Operaţiuni Informatice – CERT-MIL.

O altă structură de tip CERT funcţionează și în cadrul Ministerului Afacerilor Interne – CERT-INT.

Securizarea și eficientizarea sistemelor TIC ale instituţiilor statului a fost posibilă ca urmare a accesării de fonduri europene, în cadrul Programului Operaţional Sectorial Creșterea Competitivităţii Economice, prin Proiectul „Sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic”.

În plan extern, cooperarea în domeniul cibernetic are efecte benefice atât din punct de vedere al expertizei acumulate, cât și al creșterii vizibilităţii. Participarea la exerciţii cibernetice în format NATO sau UE – Cyber Coalition sau Cyber Europe – implicarea în proiecte destinate consolidării capabilităţilor cibernetice – proiectul smart defence de Dezvoltare a Capabilităţilor în Domeniul Cibernetic – organizarea și găzduirea unor evenimente de profil – Conferinţa Cybersecurity sau Summit-ul Regional de Securitate Cibernetică sunt parte a unui proces de instituire a „stării civile cibernetice”, reglementată printr-un „contract social” menit a asigura securitatea.

Componentă a securităţii naţionale, securitatea cibernetică poate fi instaurată în condiţiile existenţei unui „contract social” care să aibă în vedere:
1. politica și strategia aferente domeniului securităţii cibernetice;
2. cultura cibernetică și societatea;
3. educaţia și instruirea în domeniul securităţii cibernetice;
4. cadrul legal;
5. organizaţii, tehnologii și standarde.

  1. Elaborate la nivel strategic, politica și strategia în domeniul securităţii cibernetice asigură un cadru unitar de coordonare a activităţilor în domeniul cibernetic identificând roluri și responsabilităţi pentru fiecare actor, reglementează activitatea centrelor de răspuns la incidente cibernetice într-un mod unitar astfel încât ameninţările cibernetice să fie abordate eficient, identifică infrastructurile cibernetice de interes naţional, realizează planuri de management al crizelor, evaluează și atribuie acţiuni în domeniul apărării cibernetice, planifică reacţii de răspuns în cazul indisponibilizării mijloacelor electronice și de comunicaţii.
  2. Cultura cibernetică se referă la acel set de valori, atitudini, practici și chiar obiceiuri ale actorilor „stării civile cibernetice” (simpli utilizatori ai sistemelor IT&C sau experţi din mediul public sau privat). Conștientizarea securităţii cibernetice se realizează prin programe care să evidenţieze impactul ameninţărilor și riscurilor provenite din spaţiul cibernetic. Încrederea în utilizarea serviciilor on-line (publice sau private) este determinată de măsura în care utilizatorii sunt dispuși să furnizeze informaţii personale în mediul on-line. Dreptul la viaţă privată și la liberă exprimare în mediul on-line constituie elemente definitorii pentru existenţa unei „stări civile cibernetice” democratice.
  3. Educaţia și instruirea în domeniul securităţii cibernetice se realizează coordonat, la nivel naţional, în funcţie de necesităţile „stării civile cibernetice” pe termen lung, dar și în parteneriate public-private.
  4. Un cadru legal coerent pentru asigurarea securităţii sistemelor TIC, a dreptului la viaţă privată în mediul on-line, a drepturilor omului și a protecţiei datelor, dar și existenţa unui drept material și procedural în domeniul criminalităţii informatice sunt parte a „contractului social”. Reglementarea investigării infracţionalităţii din cadrul „stării civile cibernetice” prin instituirea de mecanisme și proceduri specifice, organisme de aplicare a legii, curţi judecătorești și desemnarea unor specialiști în drept care să gestioneze problematica criminalităţii cibernetice sunt doar câteva aspecte de luat în considerare.
  5. Stabilirea unor standarde și practici pentru achiziţionarea și dezvoltarea de software-uri general acceptate de mediul public și privat, coordonarea unitară a organizaţiilor de tip CERT, reglementarea disponibilităţii reţelelor și a tehnologiilor de securitate cibernetică, stabilirea unor proceduri de evaluare a pierderilor în cazul criminalităţii cibernetice și asigurarea recuperării acesteia de către victimă sunt considerente pe care se bazează instaurarea unei „stări civile cibernetice” solide.

    Agrearea la nivel naţional și internaţional a unui „contract social” în domeniul securităţii cibernetice, stabilirea cadrului în care toate elementele sale definitorii să funcţioneze coerent și democratic, reglementarea „stării civile cibernetice” se traduc în eforturile naţionale și internaţionale de dezvoltare și consolidare a capabilităţilor cibernetice.


 

Note:
1 Conform teoriei filozofului francez Jean Jacques Rousseau, prin „contractul social”, fiecare individ, aflat în starea de natură, cedează comunităţii drepturile sale, devenind, în schimb, membru al acelei comunităţi (starea civiă). În această calitate, el primește drepturile tuturor membrilor, legaţi de întreg, fiind privit atât ca particular, cât și ca parte a comunităţii. Astfel, oricine refuză să se supună voinţei generale va fi constrâns de corpul întreg.

2 Din care fac parte, în calitate de membri permanenţi, reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul pentru Societatea Informaţională, Serviciul Român de Informaţii, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie și Pază, Oficiul registrului Naţional pentru Informaţii secrete de Stat, secretarul Consiliului Suprem de Apărare al Ţării.

EDITIE SPECIALA – INTERNET OF THINGS

2417
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

2026
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3536
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

2111
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

2030
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

2144
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...