Friday, February 26, 2021
2015

1378

iuiuiu

Florin Cosmoiu,

director al Centrului Naţional CYBERINT din SRI

serviciul-roman-de-informatii_logo

Societatea actuală este caracterizată de cunoaștere și continuă schimbare. Asistăm astăzi la o lume globală, complexă, dinamică, fapt determinat de mutaţiile ce au loc pe fondul procesului de globalizare și al dependenței informaționale.

Evoluţia exponenţială a mediului cibernetic şi valenţele strategice dobândite de ţările dezvoltate au generat riscuri şi vulnerabilităţi, ce sunt/pot fi exploatate de entităţi rău-voitoare în scopul săvârşirii de infracţiuni, acte de spionaj, ce pun în pericol atât indivizii, cât şi societatea.

În acest context, provocările în domeniul securităţii cibernetice sunt tot mai complexe și mai variate, fiecare stat având obligativitatea de a identifica şi dispune măsuri  de dezvoltare a unor mecanisme eficiente de rezilienţă şi răspuns la ameninţările mediului virtual.

În această sferă de preocupări se înscriu demersurile de creare a unui cadru legislativ şi instituţional corespunzător cerinţelor, cu impact asupra evoluţiilor pe termen mediu şi lung în plan naţional.

Existenţa la nivelul fiecărui stat a unui cadru normativ în domeniul securităţii cibernetice este necesară, în condiţiile în care nivelul ameninţării cibernetice la nivel internaţional este în continuă creştere. În evaluarea nivelului ameninţării cibernetice avem în vedere, pe de o parte, riscurile generate de interesul anumitor entităţi statale şi criminale de a compromite infrastructuri cibernetice şi, pe de altă parte, vulnerabilităţile sistemelor informatice, fie software, fie de natură umană (pe fondul precarităţii culturii de securitate cibernetică).

Opiniile pe marginea necesităţii unei legi în domeniul securităţii cibernetice au variat în România, îmbrăcând nuanţe diverse, în tonalităţi diferite.

De exemplu, în registru negativ sunt relevante temerile că aplicarea unui astfel de normativ ar fi de natură să încalce intimitatea personală şi că, în esenţă, ar conduce la o constrângere din partea autorităţilor competente, înţeleasă în termeni de limitare a exerciţiului unor drepturi şi libertăţi (mai exact limitarea dreptului la viaţă intimă, familială, la secretul corespondenţei, libertatea de exprimare).

Fără intenţia de a combate o astfel de poziţionare, apreciem că scepticii ar trebui să ţină cont că aceste drepturi trebuie asigurate nu numai în raport cu autorităţi ale statului, ci şi în raport cu entităţi private care fură date personale şi le exploatează în vederea obţinerii de beneficii financiare ori chiar în activităţi de pornografie infantilă.

Câţi dintre noi ştiu că la ora actuală un număr semnificativ de calculatoare din ţara noastră sunt implicate, în cele mai multe cazuri fără ca deţinătorii acestora să ştie, în diverse atacuri cibernetice?

Câţi dintre noi conştientizează riscul derivat din faptul că orice utilizator al unui calculator conectat la internet poate fi ţinta unui atac cibernetic ori că, prin distribuire de malware, orice infractor cibernetic poate obţine şi menţine controlul de la distanţă a sistemelor, serverelor şi computerelor personale în vederea creării de reţele de roboţi cibernetici utilizaţi pentru pivotarea atacurilor cibernetice şi controlul altor sisteme informatice?

Calculatorul oricărei persoane fizice, care nu are un minimum de cunoștințe în domeniul securității cibernetice, poate fi ținta unui atac sau poate fi folosit pentru un atac cibernetic, fără ca măcar să știe acest lucru.

Educarea societăţii civile în sensul creşterii culturii de securitate, dar şi creşterea încrederii între stat şi societatea civilă sunt puncte esenţiale de atins în obţinerea unui deziderat privind spaţiul cibernetic. În acest sens, modernizarea programelor de studii existente la nivelul învăţământului gimnazial, dar şi pregătirea personalului din administraţia publică şi formarea unor magistraţi cu competenţe în domeniul securităţii cibernetice ar putea să soluţioneze câteva din problemele pe care le regăsim la nivelul societăţii civile.

Ori aceste riscuri cresc direct proporţional cu numărul de utilizatori de internet. De exemplu, la jumătatea anului 2014, în România existau aproximativ 11,2 milioane de utilizatori de internet (potrivit unei statistici realizate de către Internet World Stats, www.internetworldstats.com), comparativ cu anul 2013 când s-a estimat că există în jur de 6,5 milioane de utilizatori (potrivit unui studiu realizat de către Biroul Român de Audit Transmedia).

Cum s-ar putea asigura o protecţie în faţa infractorilor cibernetici în lipsa unui pachet legislativ viabil şi fundamentat, care să permită o cooperare între societatea civilă şi autorităţile statului?

Asigurarea unor măsuri de prevenire a atacurilor cibernetice și de limitare a efectelor acestora sunt absolut necesare, dar este nevoie și de implicarea societății civile, care trebuie să conştientizeze necesitatea colaborării cu autorităţile pe acest palier.

Care ar fi beneficiile unei legi în domeniul securităţii cibernetice? Înainte de orice, adoptarea unui astfel de act normativ ar permite stabilirea arhitecturii organizaţionale în domeniul securităţii cibernetice şi definirea de responsabilități clare pentru fiecare autoritate şi instituţie publică membră a acestuia, care va acţiona numai în condiţiile legii.

În acelaşi timp, s-ar defini responsabilităţi şi pentru deţinătorii de infrastructuri cibernetice în scopul protejării acestora, inclusiv în sensul unei conduite participative la efortul instituţiilor specializate ale statului de a preveni şi investiga acţiunile în spaţiul virtual.

O astfel de conduită participativă nu este de natură să conducă la încălcarea drepturilor şi libertăţilor cetăţeneşti, ci ar permite stabilirea unui cadru general de protecție a informațiilor de interes național cu care aceste infrastructuri operează. În caz contrar, deţinătorii de infrastructuri cibernetice nu au obligaţia de a aplica politici de securitate cibernetică, situaţie care ar putea conduce la creşterea numărului de incidente/atacuri cibernetice.

În concluzie, în actualul context de securitate, adoptarea unui cadru legal care să sprijine dezvoltarea capacităţilor elementelor de securitate ale statului, astfel încât să facă faţă ameninţărilor cibernetice este un sine qua non pentru orice stat şi un pas important în dezvoltarea unui sistem matur de securitate cibernetică.

Deţinerea unui sistem matur de securitate cibernetică reprezintă, de altfel, scopul fiecărui stat, pentru realizarea lui fiind necesară îndeplinirea mai multor obiective, precum: proiectarea unor politici şi a unei strategii de securitate cibernetică; creşterea culturii de securitate cibernetică la nivelul societăţii civile; dezvoltarea unor competenţe cibernetice atât la nivelul utilizatorilor, cât şi la nivelul managerilor; crearea unui cadru legal şi a unor acte normative eficiente; managementul riscului prin organizare; impunerea de standarde şi tehnologie.

Atingerea acestor obiective permite unei entităţi să îşi auto-evalueze capabilităţile de securitate cibernetică şi nivelul la care se situează.

Totodată, constituirea unui sistem matur de securitate implică mai multe etape de la prima fază în care nu există nicio capabilitate de securitate cibernetică, până la etapa finală în care există mecanisme clare privind gestionarea mediului cibernetic, metode dezvoltate de schimbare şi adaptare a strategiei la nevoile actuale de securitate, proceduri de reacţie rapidă, mecanisme de decizie, posibilităţi de realocare de resurse şi de menţinere a atenţiei constante pe schimbările din mediul de securitate.

1378

Autor: Claudiu Gherghinoiu, System Administrator, Class IT

Rețelele botnet sunt cele mai periculoase instrumente pe care criminalii cibernetici le folosesc astăzi. Cercetările din domeniul informaticii, în momentul de față, încep să arate niște semne de progres, dar multe aspecte despre rețelele botnet sunt încă necunoscute.

Ce  sunt rețelele de tip botnet? Din ce este alcătuită rețeaua:

  • Computer bots care au fost infectate
  • Servere C&C de unde bots-urile sunt controlate
  • Botmaster: persoana reala care folosește serverele C&C

Începutul

Una din primele rețele de tip botnet a fost GM, care a apărut în anul 1989, bazată pe o conexiune IRC. Bootnet-urile IRC au cunoscut o perioadă înfloritoare între 1990 și 2000, mai ales datorită popularității serviciului mIRC. La început, principalul scop era pentru DDos, dar pe  parcurs mai multe funcționalități au fost adăugate cum ar fi ascunderea, phisingul site-urilor. Ceilalți, GT Bot, Sub7 erau de asemenea populari la vremea aceea.

 classit1

 Un model timpuriu de comunicație C&C

De asemenea, în acea perioadă, programele de distrugere mai sofisticate au fost dezvoltate, Agabot este un exemplu, cu capacități ce erau foarte noi la vremea aceea: polimorfic, key logging și alte funcționalități. A fost codat în C++ cu mai mult de 20.000 linii de cod. Agabot era foarte diferit, comparativ cu alte sisteme codate în limbaj de asamblare. Un alt botnet avansat pentru acea perioadă a fost Spybot codat în C, cu mai puține linii de cod, aproximativ 3.000. Scopul său principal era periclitarea datelor și furarea de loguri.

Crima organizată

Odată cu decăderea  IRC (Internet Relay Chat), criminalii cibernetici au fost forțați să găsească noi metode de comunicare. De asemenea, IRC era foarte nesigur, un nou sistem era necesar. Așa că au implementat un sistem descentralizat numit P2P, unde serverul centralizat a dispărut. În concluzie, era mult mai greu pentru autorități să închidă botneturile.

Dezvoltatorii de sisteme erau din nou cu un pas înainte, implementând noile tehnologii în creațiile lor. Un punct de cotitură în istoria rețelelor de tip botnet a  fost crearea lui Torpig undeva în jurul anului  2005. Când a fost analizată de cercetători, cantitatea de informații furată a fost imensă. Principala funcționalitate a Torpig era să fure date de identificare, mai ales date legate de carduri; o alta invenție a creatorilor a fost să introducă atacul man-in-the-browser, ceva nou pentru un botnet.

De asemenea, crima organizată dorea și mai multe câștiguri, așa că în 2007 unul din cele mai mari botneturi spam, Rustock, a fost lansat. Acest sistem era atât de mare, încât era capabil să trimită aproximativ 50 miliarde mesaje spam pe zi.

classit2

Un model de comunicație hybrid P2P între botmaster și bots

Aproximativ în același timp un alt spam botnet și mai complex infecta milioane de PC-uri, sistemul se numea Cutweil. Acest botnet reprezenta un punct de cotitură, o revoluție în istoria sistemelor complexe. La performanță maximă, era capabil să trimită aproximativ 80 miliarde mesaje spam pe zi.

Criminalii aveau acum un avantaj, deoarece sistemele dezvoltate de ei erau cu mult înaintea prevederilor legale. De asemenea, multe tipuri de rețele botnet apăruseră, chiar și mai sofisticate, și update-uri continue ale vechilor versiuni făceau din botnets ultimul instrument de infracțiune cibernetică la mijlocul anilor 2000. În acele zile criminalii din spatele acestor sisteme câștigau milioane de dolari.

Un business riscant

Anul 2008 este un an de cotitură în lupta împotriva criminalilor din spatele botnets cu multe evenimente remarcabile. Primul dintre ele este oprirea uneia dintre cele mai productive afaceri, create de un hacker sloven și folosită de o grupare spaniolă. Botnet-ul Mariposa în perioada de glorie infectase peste 12 milioane computere cu target pe carduri de credit și parole în computerele infectate. Mai mult de 1 milion fuseseră furate de criminali. Poliția internațională lucra pentru prima dată la aceast caz, fiind un semnal clar siguranța criminalilor cibernetici nu va mai dura.

În același an spammerii au fost loviți de preluarea companiei de hosting numită McColo, după ce serverele fuseseră oprite, spamurile au scăzut cu aproximativ 95%. Aproape toate botneturile importante Rustock, Cutweil, Grum și multe altele erau găzduite pe aceste servere. Dar această blocare era doar temporară, deoarece criminalii au revenit în afaceri curând.

De asemenea, este notabil că multe companii vedeau că agențiile de poliție erau depășite și au decis să se alieze în lupta împotriva botnets. Microsoft era de departe una din cele mai mari companii care și-a asumat ca activitate principală, lupta împotriva botnets. De-a lungul anilor, Microsoft a dat jos mai multe botnets importante, printre care: Zeus, Kelihos, Zero Access, Citadel.

Guvernele

Nu este de mirare că cea mai avansată armă din patrimoniul unui hacker este rețeau botnet. În consecință, statele care sponsorizează atacurile cibernetice au fost forțate să folosească aceasta armă. Primul super botnet apărut în media în anul 2011, se numea Stuxnet. Acest malware avea cel mai avansat cod scris, până atunci, de către o echipă de programatori. Principala țintă a acestui malware au fost instalațiile nucleare iraniene, folosind software-ul Siemens Step. Dauna a fost semnificativă și costul imens pentru guvernul iranian. Codul sursă a fost postat online, toți cercetătorii fiind de acord că acest malware este de departe cel mai avansat. Dezvoltatorii din spatele acestui malware erau necunoscuți, dar mulți cercetători au atras atenția că țara responsabilă pentru acest malware este fie Israel, fie SUA, fie amândouă. Este interesant că sunt multe versiuni și că acest malware a fost dezvoltat de-a lungul anilor, sugerând că a fost un process continuu.

Un alt malware avansat descoperit în 2011 este Duqu.  Acesta este similar cu  Stuxnet, dar are capacitatea de a infecta diferite sisteme SCADA, ceea ce face acest malware mai periculos decat predecesoarele lui. Dupa revelația Stuxnet și Duqu și lansarea codului sursă, industria de securitatea informației intră într-o altă etapă în care guvernele statelor produc malware-uri avansate.

Pericolul văzut de mulți cercetători în securitate cibernetică este că acest cod va ajuta într-un final un infractor cybernetic să dezvolte un botnet avansat.

În 2012, o companie de antivirus rusească a anunțat că a descoperit un botnet foarte avansat, care avea ca țintă organizații (ambasade, institute de cercetare, centre de cercetare a energiei, companii de benzina și gaze) din lumea întreagă, în special cele din Europa de Est și Federația Rusă.  Botnetul furase o cantitate impresionantă de informații pe o perioadă mai mare de 5 ani. Există dovezi că programatorii erau ruși și chinezi, deoarece lăsaseră informații importante în cod.

Hackerii cibernetici care au descoperit idea de botnet se confruntă cu o competiție foarte mare din partea statelor care au sponsorizat acest tip de malware. Dar după declarațiile lui Snowden, s-au descoperit botnets și mai sofisticați. Conform mai multor studii de securitate, NSA a dezvoltat un botnet, care prelua botneturile tradiționale ale hackerilor profesioniști.

Cele mai recente rețele de tip botnets descoperite

Industria malware este în continuare o afacere mare pentru hackerii profesioniști care vor să facă bani. O dată cu răspândirea telefoanelor mobile și a tabletelor sunt și mai multe ținte, iar competiția este o provocare pentru mulți infractori cibernetici care sunt dispuși să infecteze cât mai multe dispozitive posibile.

Un nou tip de botnet crește în popularitate, botnetul Android. Unul din cele mai mari în acest moment este MisoSMS, originar din China. Nu este sofisticat comparativ cu un Windows botnet dar poate provoca mult rău. De exemplu, acest botnet poate fura toate emailurile și SMS-urile  după care să le transmită către un server din China.

În aceeași categorie a botneturilor mobile este Oldboot, dezvoltat de hackeri chinezi, care a infectat mai mult de un million de dispozitive în China. După cum se vede, majoritatea dezvoltărilor de botnets are loc în Asia și Europa de Est, în special datorită protecției de care beneficiază infractorii cibernetici în aceste țări.

Un alt tip de botnet a fost dezvoltat recent și este șocant că a atacat unul dintre cele mai sigure sisteme de operare din lume, folosit de cei mai mulți specialiști IT. Denumit de media Linux/Ebury, a infectat mai mult de 25.000 de servere Linux din lume, făcând rău unor organizații precum Fundația Linux.

EDITIE SPECIALA – INTERNET OF THINGS

2417
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

2026
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3537
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

2111
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

2030
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

2144
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...