Monday, December 17, 2018
Focus

autor: Jean Christophe Schwaab

controlRecent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu fie dotat cu niciun sistem de plată fără contact de tipul „NFC” (Near Field Communication). Pe de o parte deoarece nu mă interesează o astfel de tehnologie (care poate favoriza achiziţii spontane şi necontrolate, generând astfel datorii, în special în rândul tinerilor). Dar mai ales, deoarece această tehnologie nu este sigură deloc, este ușor de piratat de la distanţă şi, în funcţie de condiţiile generale ale furnizorilor de carduri de credit, până la 120 de Franci plătiţi abuziv cu această tehnologie pot să fie ceruţi titularului cardului, chiar dacă acesta ar putea să demonstreze că a acţionat cu toate precauţiile necesare. Legalitatea unei astfel de practici este foarte îndoielnică după opinia mea, dar cine o să intenteze un proces pentru 120 de Franci?*

Așadar, titularul unui astfel de card de credit este blocat de o tehnologie care poate să permită hacking-ul datelor sale, cu consecinţe care pot să fie costisitoare pentru el.

Nimic nu ar fi mai legitim ca faptul ca titularul să poată sa renunţe să folosească această tehnologie dacă nu este interesat să o folosească. Dar problema este, din cauza emitentului cardului meu de credit (Viseca, în legătură cu Banca Cantonală din Vaud) este imposibil de a beneficia de un card care nu are această tehnică deja instalată. Emitentul de carduri a ales astfel să le echipeze cu tehnologii care deschid o breșă de securitate, dar asumarea riscurilor îi aparţine exclusiv consumatorului.

Acesta nu este însă punctul cel mai înspăimântător al poveștii: pentru a evita fraudele, Viseca mi-a recomandat să învelesc cardul mea de credit cu o folie de aluminiu, ca dovadă că societatea însăși nu prea are încredere în tehnologia pe care o impune.

Am bricolat astfel o mică husă securizată anti-hacking cu ceea ce aveam la îndemână (cf. foto). Sunt liniştit, chiar dacă bricolajul meu nu arată foarte solid şi va trebui să îl refac în mod regulat… Astfel suntem obligaţi, pentru a ne proteja de riscurile generate de o tehnologie de ultimă generaţie, să folosim un produs care se află în sertarul fiecări bucătării de multe decenii!

Această istorie de neînchipuit prezintă interes în conceptul de «Control by design» – control începând încă de la concepere (design) -, care conferă proprietarului unui obiect conectat dreptul inalienabil de a-l debranşa din orice reţea. În acest caz concret, proprietarul unui card de credit ar trebui să aibă dreptul de a-l deconecta din sistem NFC de câte ori și oricând dorește.

Dacă în schimb se dovedeşte că proprietarul consideră aceasta metodă de plată ca fiind avantajoasă şi este pregătit să-și asume riscul de hacking, este hotărârea sa şi poate să decidă liber.

Dar dacă proprietarul nu dorește să își asume niciun risc, trebuie să aibă de asemenea posibilitatea de a decide liber.

Responsabilitatea securităţii datelor ar deveni atunci de competenţa exclusivă a emitentului de carduri, care ar trebui să ofere clienţilor posibilitatea de a renunţa la tehnologia NFC.

Sper astfel că guvernul elveţian va pune rapid în aplicare moţiunea mea de «Control prin design»(1), care a fost acceptată de către Consiliul Naţional în decembrie anul trecut.

http://www.schwaab.ch/archives/2015/03/20/control-by-design-unexemple-concret-dobjet-connecte-indeconnectable/


*Nota traducătorului: în Elveţia, cheltuielile procesuale sunt foarte mari. (1)

http://www.parlament.ch/e/suche/Pages/geschaefte.aspx?gesch_id=20143739

autor: Daniela Luca

Parte a lumii de azi, și poate chiar lumea de mâine, spațiul cibernetic a devenit o preocupare esențială la nivel mondial. Explozia informațională, evoluția fulminantă a domeniului IT&C, tranziția vieții private către mediul on-line duc la necesitatea apariției unui „contract social” care să normeze o nouă formă de existență a indivizilor – „starea civilă cibernetică”1.

Ca orice formă de existenţă în cadrul unei comunităţi, „starea civilă cibernetică” impune existenţa unui cadru legislativ și instituţional care să-i asigure o bună funcţionare și care să garanteze drepturile și libertăţile pierdute ca urmare a integrării în spaţiu.

Pentru statele lumii occidentale (ex. Franţa, Marea Britanie), domeniul cibernetic a devenit una dintre dimensiunile conceptului de apărare cibernetică. Alianţa Nord-Atlantică regândește conceptul de apărare cibernetică, în sensul definirii și operaţionalizării apărării cibernetice active. Reconceptualizarea și regândirea dimensiunii cibernetice reprezintă o preocupare nu numai a organizaţiilor internaţionale și a instituţiilor guvernamentale, dar și a mediului academic și a societăţii civile.

Parte integrantă a iniţierii „stării civile cibernetice”, România este în plin proces de dezvoltare și consolidare a capabilităţilor cibernetice. Recunoașterea internaţională a profesionalismului resursei umane specializată în domeniul IT&C a constituit un imbold pentru instituţiile guvernamentale.

Eforturile de menţinere a capabilităţilor cibernetice ale ţării la nivelul dezvoltării domeniului, de adaptare a acestora la noile necesităţi, de creștere a competenţelor și chiar de a contribui la organizarea „stării civile cibernetice” sunt vizibile în plan intern și internaţional.

În prezent, la nivel naţional, principalul document care reglementează „starea civilă cibernetică” este Strategia de Securitate Cibernetică a României. Având ca obiectiv principal definirea și menţinerea unui mediu virtual sigur, cu un înalt grad de rezilienţă și de încredere, Strategia a instituit Sistemul Naţional de Securitate Cibernetică (SNSC).

SNSC reprezintă cadrul general de cooperare pentru asigurarea securităţii cibernetice și reunește autorităţi și instituţii publice cu responsabilităţi și capabilităţi în domeniu. SNSC este coordonat de Consiliul Operativ de Securitate Cibernetică (COSC)2. COSC este coordonat tehnic de Serviciul Român de Informaţii, instituţie desemnată, încă din 2008, drept autoritate naţională în domeniul cyberintelligence.

Din punct de vedere organizatoric, în cadrul fiecărei instituţii reprezentată în COSC funcţionează structuri specializate care au ca misiune menţinerea securităţii cibernetice.

În cadrul SRI, a fost operaţionalizat Centrul Naţional Cyberint al cărui scop este să prevină, să anticipeze și să cunoască ameninţările cibernetice la adresa Infrastructurilor Cibernetice de Interes Naţional (ICIN), dar și să identifice, să neutralizeze și să limiteze consecinţele atacurilor cibernetice împotriva ICIN.

La nivelul Ministerului pentru Societatea Informaţională, a fost înfiinţat (2011) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) care are ca principală misiune analizarea disfuncţionalităţilor procedurale și tehnice la nivelul infrastructurilor cibernetice.

De asemenea, MAN dispune de o entitate de tip CERT care face parte din Centrul Tehnic Principal pentru Operaţiuni Informatice – CERT-MIL.

O altă structură de tip CERT funcţionează și în cadrul Ministerului Afacerilor Interne – CERT-INT.

Securizarea și eficientizarea sistemelor TIC ale instituţiilor statului a fost posibilă ca urmare a accesării de fonduri europene, în cadrul Programului Operaţional Sectorial Creșterea Competitivităţii Economice, prin Proiectul „Sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic”.

În plan extern, cooperarea în domeniul cibernetic are efecte benefice atât din punct de vedere al expertizei acumulate, cât și al creșterii vizibilităţii. Participarea la exerciţii cibernetice în format NATO sau UE – Cyber Coalition sau Cyber Europe – implicarea în proiecte destinate consolidării capabilităţilor cibernetice – proiectul smart defence de Dezvoltare a Capabilităţilor în Domeniul Cibernetic – organizarea și găzduirea unor evenimente de profil – Conferinţa Cybersecurity sau Summit-ul Regional de Securitate Cibernetică sunt parte a unui proces de instituire a „stării civile cibernetice”, reglementată printr-un „contract social” menit a asigura securitatea.

Componentă a securităţii naţionale, securitatea cibernetică poate fi instaurată în condiţiile existenţei unui „contract social” care să aibă în vedere:
1. politica și strategia aferente domeniului securităţii cibernetice;
2. cultura cibernetică și societatea;
3. educaţia și instruirea în domeniul securităţii cibernetice;
4. cadrul legal;
5. organizaţii, tehnologii și standarde.

  1. Elaborate la nivel strategic, politica și strategia în domeniul securităţii cibernetice asigură un cadru unitar de coordonare a activităţilor în domeniul cibernetic identificând roluri și responsabilităţi pentru fiecare actor, reglementează activitatea centrelor de răspuns la incidente cibernetice într-un mod unitar astfel încât ameninţările cibernetice să fie abordate eficient, identifică infrastructurile cibernetice de interes naţional, realizează planuri de management al crizelor, evaluează și atribuie acţiuni în domeniul apărării cibernetice, planifică reacţii de răspuns în cazul indisponibilizării mijloacelor electronice și de comunicaţii.
  2. Cultura cibernetică se referă la acel set de valori, atitudini, practici și chiar obiceiuri ale actorilor „stării civile cibernetice” (simpli utilizatori ai sistemelor IT&C sau experţi din mediul public sau privat). Conștientizarea securităţii cibernetice se realizează prin programe care să evidenţieze impactul ameninţărilor și riscurilor provenite din spaţiul cibernetic. Încrederea în utilizarea serviciilor on-line (publice sau private) este determinată de măsura în care utilizatorii sunt dispuși să furnizeze informaţii personale în mediul on-line. Dreptul la viaţă privată și la liberă exprimare în mediul on-line constituie elemente definitorii pentru existenţa unei „stări civile cibernetice” democratice.
  3. Educaţia și instruirea în domeniul securităţii cibernetice se realizează coordonat, la nivel naţional, în funcţie de necesităţile „stării civile cibernetice” pe termen lung, dar și în parteneriate public-private.
  4. Un cadru legal coerent pentru asigurarea securităţii sistemelor TIC, a dreptului la viaţă privată în mediul on-line, a drepturilor omului și a protecţiei datelor, dar și existenţa unui drept material și procedural în domeniul criminalităţii informatice sunt parte a „contractului social”. Reglementarea investigării infracţionalităţii din cadrul „stării civile cibernetice” prin instituirea de mecanisme și proceduri specifice, organisme de aplicare a legii, curţi judecătorești și desemnarea unor specialiști în drept care să gestioneze problematica criminalităţii cibernetice sunt doar câteva aspecte de luat în considerare.
  5. Stabilirea unor standarde și practici pentru achiziţionarea și dezvoltarea de software-uri general acceptate de mediul public și privat, coordonarea unitară a organizaţiilor de tip CERT, reglementarea disponibilităţii reţelelor și a tehnologiilor de securitate cibernetică, stabilirea unor proceduri de evaluare a pierderilor în cazul criminalităţii cibernetice și asigurarea recuperării acesteia de către victimă sunt considerente pe care se bazează instaurarea unei „stări civile cibernetice” solide.

    Agrearea la nivel naţional și internaţional a unui „contract social” în domeniul securităţii cibernetice, stabilirea cadrului în care toate elementele sale definitorii să funcţioneze coerent și democratic, reglementarea „stării civile cibernetice” se traduc în eforturile naţionale și internaţionale de dezvoltare și consolidare a capabilităţilor cibernetice.


 

Note:
1 Conform teoriei filozofului francez Jean Jacques Rousseau, prin „contractul social”, fiecare individ, aflat în starea de natură, cedează comunităţii drepturile sale, devenind, în schimb, membru al acelei comunităţi (starea civiă). În această calitate, el primește drepturile tuturor membrilor, legaţi de întreg, fiind privit atât ca particular, cât și ca parte a comunităţii. Astfel, oricine refuză să se supună voinţei generale va fi constrâns de corpul întreg.

2 Din care fac parte, în calitate de membri permanenţi, reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul pentru Societatea Informaţională, Serviciul Român de Informaţii, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie și Pază, Oficiul registrului Naţional pentru Informaţii secrete de Stat, secretarul Consiliului Suprem de Apărare al Ţării.

948
Cryptolocker este un malware de tip ransomware care criptează anumite tipuri de fișiere din calculator. În momentul în care sistemul a fost compromis, acesta afișează o notificare pe calculatorul victimei și cere plata unei răscumpărări în schimbul unei chei unice care poate decripta fișierele.

Scurtă istorie

Acest tip de malware a apărut prima oară în anii 2006 sub forme ce nu erau foarte avansate, însă au fost implementate și distribuite cu success (Krotten, Reveto, PGPCoder). Odată cu progresul reţelelor și al algoritmilor de criptare, autorii acestor periculoase arme cibernetice s-au văzut câștigând sume importante de bani și au investit mai mult timp pentru creaţia unor programe mai sofisticate. Părintele Cryptolocker este rusul Evgheni Bogacev, (de altfel, autorul celei mai sofisticate reţele de tip botnet de până astăzi este Gameover Zeus în opinia specialiștilor de la FBI), actualmente pe lista celor mai căutaţi criminali cibernetici din lume. Cryptolocker a luat cu asalt internetul în anul 2013 și până la sfârșitul anului 2014 deja pagubele produse se ridicau la aproximativ 100 milioane de dolari după o analiză a Departamentului de Justiţie SUA. Odată cu operaţiunea Tovar 2014 (operaţiune internaţională de colaborare a agenţiilor de fraudă cibernetică din toata lumea printre care Europol, FBI, National Crime Agency UK și multe companii de securitate Sophos, Dell, Symantec și instituţii de cercetare) a fost oprită reţeaua ransomware CryptoLocker, cât și reţeaua de botnet GameOverZeus. În operaţiune, firma de securitate Fox-IT a putut să preia baza de date unde erau ţinute cheile private folosite de Cryptolocker, astfel în colaborare cu firma de securitate FireEye oferă, prin website-ul www.decryptcryptolocker.com, chei gratuite pentru decriptarea fișierelor infectate cu CryptoLocker.

Cum funcționează

Propagarea

Crypto-ransomware este puţin diferit faţă de celelalte tipuri de malware tradiţionale :

  • nu fură informaţiile victimei, ci dimpotrivă, le face inaccesibile
  • nu încearcă să rămână ascuns după ce fișierele sunt criptate fiindcă detecţia nu va restaura fișierele
  • este destul de ușor de produs, sunt multe coduri sursă valabile pe internet care pot fi modificate relativ ușor:

Cryptolocker_Cybersecurity_2015_no2_TIPO

Untitled

De asemenea, anumite atașamente pot conţine detalii: Facto.zip; firefly.zip; headband.zip . Înainte ca botnetul GOZ să fie eliminat, Cryptolocker era distribuit prin reţeaua de tip botnet, de asemenea controlul se asigura prin serverul Command and Control.

Criptarea

Cryptolocker este destul de efectiv datorită metodei de criptare, în particular acesta folosind algoritmul de criptare AES-256 simetric și RSA-2048 asimetric. Cryptolocker generează multe chei AES 256 care sunt folosite pentru criptarea tuturor fișierelor, fiecare fișier fiind criptat cu o cheie specifică AES. Aceste chei sunt de asemenea criptate, fiind folosită o cheie publică RSA-2048 unică generată care este trimisă de la serverul autorului.

Cheia este cunoscută doar de autorul malware-ului și nu este transmisă în reţea ori păstrată pe staţia infectată. Această dublă criptare face practic imposibilă decriptarea fișierelor, se estimează că, pentru a decripta o cheie RSA-2048 este nevoie de mai mult de 15 milioane de calculatoare echipate cu procesoare de ultimă generaţie, timpul necesar fiind de peste 1 an.

În momentul în care se execută, acesta se copiază în locaţiile %AppData% sau %LocalAppData%. După aceasta, va genera în regiștrii intrări de autopornire. De asemenea, extensia .exe va fi infectată pentru a șterge Shadow Volume Copies.

Lista fișierelor criptate de către Cryptolocker se va afla în regiștri:
 HKEY_CURRENT_USER\Software\CryptoLocker\Files

Fișierele criptate
De obicei se criptează peste 100 de extensii de fișiere printre care:

Db- baze de date
Src- coduri sursă
Cad- fișiere de design
Doc- toate felurile de documente
Img- toate imaginile
Av- audio și video
Fin- toate felurile de software financiare folosite de client
.orf .pfx .odc .xlk .wpd .bay .raf .mdf .dcr .ptx .cdr.docx .pptm .dbf .kdc .pef .jpg .docm .mdb .psd .erf .srw .jpe .wps .accdb .pdd .dng .nef .crt .odp .xlsm .dxf .arw .nrw .pem .odm .xlsb .dxg .srf .eps .odb .ppt .rtf .crw .raw .indd .doc .pptx _.jpg .mrf .cer.mef .der xls .pst img .ods .xlsx .dwg

Comunicarea C&C
Dacă versiunile timpurii foloseau DGA (domain generate algorithm), acum protocoalele de comunicare au evoluat de la HTTP la ceva mai avansat și sigur (TOR și HTTPS). Versiunile de Cryptolocker mai noi pot să fure contactele locale de mail pentru a trimite mailuri de tip spam.

Money
Autorii de malware primesc banii de răscumpărare de la utilizatori prin mai multe metode de plată, însă de facto sunt: Bitcoin, Moneypack, Cash, Ukash. Preţul variază de la 300 USD până la 1000 USD . Cryptolocker are abilitatea de a cripta fișierele partajate și mapate în reţea, hard disk-uri externe, unităţi USB, unităţi de stocare cloud. Dacă un calculator din reţea se infectează, toate unităţile de reţea mapate pot fi infectate.

Măsuri de prevenţie
Prevenirea unei astfel de ameninţări este posibilă numai în stadiile incipiente ale infecţiei, înainte ca fişierele să fie criptate. Am identificat câţiva paşi care pot să blocheze în mod eficient infecţia cu malware de tip ransomware:

  • să se efectueze în mod regulat backup-uri de sistem şi acestea să fie salvate offline pe hard-uri externe
  • permisiuni de fişiere şi execuţie (dacă aveţi un domeniu de Windows, este posibil să setaţi o politică de grup sau pentru instalaţii locale folosind doar politică de securitate locală).
Pentru setarea manuală
 Local Security Settings>Software Restriction Policies>Additional Rules

Untitled

Evident, nu este o listă completă.

  • detectarea unui malware ransomware este imposibilă, din cauza faptului că antivirusurile şi soluţiile anti-malware sunt bazate pe semnături
  • un sistem de antivirus cu management care să se updateze periodic
  • un sistem de filtrare şi de blocare care să cuprindă –blocarea ataşamentelor exe, com, bat, zip, rar, scr
  • să se folosească pop-up blocker
  • utilizatorii să fie instruiţi de către departamentul IT prin politici care să prevină infecţia de malware ransomware
  • instalarea unor softuri special concepute pentru prevenirea instalării cu Cryptolocker (softul CryptoPrevent realizate de către compania FoolishIT), acesta blocând automat toate politicile de restricţionare de software.

Notă pentru comunitate
Deşi pe capul lui Lucky 12345 (Bogacev) a fost pusă o recompensă de 3 milioane de dolari de către FBI, şansele să fie prins sunt destul de mici acesta fiind protejat de către anumite entităţi de pe teritoriul rusesc având în vedere că este creatorul celor mai sofisticate tool-uri de fraudă online din toate timpurile (Cryptolocker şi Gameover Zeus). Se estimează că varianta realizată de Bogacev a Cryptolocker a infectat între 250-400 de mii de calculatoare, câştigurile depăşind 30 milioane de euro.

Varianta CryptoWall a demonstrat cât de eficiente sunt softurile derivate din CryptoLocker, acesta dovedindu-se mult mai devastator decât malware-ul Cryptolocker. O funcţionalitate a acestuia face ca acesta să se încorporeze în anunţuri de pe site-urile utilizate în mod obișnuit de către utilizatori match.com, aol sau yahoo. Cryptowall a infectat peste 1 milion de useri şi a criptat peste 7 milioane de fişiere până în acest moment. Cryptowall este deja la a 3 versiune şi foloseşte TOR pentru serverele de C&C şi este puţin probabil ca acest ransomware să fie eliminat ca în cazul operaţiunii Tovar, din cauza faptului că nu mai există o mişcare globală ca în anul 2014, instabilitatea geopolitică fiind principala cauză.

Noile versiuni şi mutaţiile Cryptoloker sunt mult mai periculoase, de exemplu TorrentLocker are capabilităţi de multiplicare în reţea şi caracteristici polimorfice făcând din acesta o armă extrem de periculoasă. De asemenea, numărul de fişiere pe care le criptează este dublu faţă de Cryptolocker, fiind mult mai avansat în acest sens.

Firmele de securitate încearcă să fie cu un pas înainte, însă efortul lor nu dă roade de cele mai multe ori. Softurile realizate special pentru malware de tip ransomware sunt CryptoPrevent şi CryptoGuard, acestea venind în varianta freeware, situl www.decryptcryptolocker.com/ oferă decriptarea fişierelor cu versiunea CryptoLocker.

O abordare globală de către instituţiile ce luptă împotriva fraudei cibernetice este primordială în acest sens din cauza riscului pentru user, dar și pentru organizaţii. O contribuţie importantă în organizaţii o pot avea şi departamentele de IT, acolo unde prin proceduri specifice se poate schimba comportamentul utilizatorilor.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Metodologie de lucru

Internet of Things (IoT) este astăzi cel mai vag definit termen folosit de către specialiști și cetăţeni. Ca și comparaţie, putem spune, de exemplu, că este mult mai vag decât Digital Identity.

De fapt, IoT a apărut ca și concept din momentul în care la Internet au început să fie conectate și altceva decât calculatoare – deși PC-urile clasice și ulterior laptop-urile puteau fi considerate de asemenea „things”. Astfel, nevoia de identificare unică a unui dispozitiv – lucru care exista online a apărut de la începutul reţelelor de orice fel.

La început, deoarece producătorii erau puţini, câteva brand-uri, standardele industriale regionale, internaţionale (ITU, ETSI, NIST etc.) au fost respectate, astfel încât, indiferent de mediul fizic de conectare (fir de cupru, LAN, toate standardele wireless, fibră optică etc.), cam toate device-urile au fost produse cu identificatori unici, dificil de replicat sau, în orice caz, rata de erori/fraude/riscuri nu impunea măsuri suplimentare decât în reţele cu grad ridicat de sensibilitate unde erau implementate și alte măsuri.

Ulterior, o dată cu explozia conectivităţii la nivel global, a creșterii exponenţiale a puterii de calcul mobile și a uriașului număr de aplicaţii, lucrurile au evoluat în ultimii ani și astfel au apărut din ce în ce mai mulţi producători de elemente de reţelistică – mulţi dintre ei care nu respectă niciun standard comun recunoscut -, iar preţurile de producţie au făcut ca acestea să pătrundă extrem de rapid pe toate pieţele, inclusiv cele emergente. Aceste elemente de reţelistică, menţionate mai sus, au fost înglobate și în alte „lucruri” (despre orice obiect vorbim, are o interfaţă de reţea) – rata de penetrare fiind proporţională cu creșterea consumului pe piaţa gadgeturilor, dar și cu dinamica consumului pe diverse alte pieţe complementare.

În aceste condiţii trebuie definit în primul rând „despre ce vorbim”, deoarece avem în faţă o întreagă galaxie de obiecte și software-uri.

Pe de o parte se află cele circa 25 de miliarde de aparate conectate la internet, doar că marea lor majoritate nu pot fi considerate ca fiind aparate 100% IoT: este vorba de tablete sau smartphone-uri și alte artefacte care oricum pot fi „setate” de către utilizator. Sunt totuși considerate în categoria sus menţionată pentru că sunt primii receptori/utilizatori de software-uri destinate IoT în momentul în care sunt acţionate de proprietarul lor (GPS, aplicaţii de tip moderator/activator la distanţă pentru iluminatul sau încălzitul casei, frigiderul, mașina de spălat, dar și – aici ajungem la faza încă mai periculoasă – alarma și videocamerele de apărare, acţionarea deschiderii autoturismului sau a sistemului său multimedia etc).
Pe de altă parte, există aparate 100% IoT (moderatorul de lumină, moderatorul de temperatură etc.) care se activează în mod autonom, în funcţie de presetări și/sau la comanda proprietarului prin Wi-Fi, bluetooth sau reţeaua 4G. Aici încă nu pomenim de aparatura de vârf folosită în domenii precum sănătate electronică (pacemakere, centuri de insulină, etc), armată (sisteme de deminare, drone etc.).

Aparatele IoT complet autonome există deja, dar cele „critice” fie nu sunt încă foarte răspândite, fie se află abia în etapa de testare (mașina fără conducător auto etc.). Dar aici intrăm deja în câmpul de artificial intelligence și robotics, care privește mai puţin cetăţeanul și mai mult firmele mari cu infrastructuri puternice. Doar că asta e valabil doar azi, deoarece problema va exploda în următorii ani. Azi, în schimb, sunt deja foarte răspândite micile aparate de tip wearable, cum ar fi „brăţara pentru jogging” (care trimite către laptop sau smartphone informaţii despre câţi km aţi parcurs în fugă, pulsul, temperatura, caloriile consumate etc.), sau GPS-uri din noua generaţie legate cu aplicaţii PC și mobile etc.

Vivante
Pentru toate motivele menţionate mai sus, nu sunt deloc departe de adevăr previziunile de tipul celor de la World Economic Forum, care au socotit că există deja azi de trei ori mai multe „IoT” operative decât oameni pe pământ care mizează pe cca. 50 de miliarde de aparate IoT în anul 2020 (viziunea IoT „all devices inclusive”) sau previziunile celor de la Verizon, de pildă, care anunţă pentru același termen, „numai” 5,4 milarde de aparate (viziunea IoT „stricto sensu”).

Last but not least, pentru o abordare completă, trebuie amintită tendinţa de a lansa pe piaţă aparate mici care se încarcă prin USB (un fel de IoT varianta „neolitică”) și care s-au dovedit a fi livrate, în mai multe ocazii, cu malware inclus (amintim aici încărcătoarele de ţigări electronice, mici aparate de iluminat, baterii de rezervă pentru telefoane etc.). Pericolul major în ceea ce privește aceste device-uri este că utilizatorul, pentru mai multă comoditate, în loc să folosească un încărcător USB legat la priza electrică, își va încărca bateria direct din priza USB a laptop-ului său.

Privacy

Haosul și consecințele sale

IoT este una dintre cele mai mari mize financiare de azi în sectorul IT: pentru 2014, beneficiul suplimentar generat de către IoT este estimat la 1,9 trilioane de dolari. Miza este de a lansa la nesfârșit produse noi și, mai ales, servicii (cu plată) aferente, prezentate cumpărătorilor ca o îmbunătăţire semnificativă pentru viaţa lor și afacerile lor. De aceea, un leitmotiv pe care îl întâlnim des în articolele scrise de comercianţi este acela că pericolele legate de IoT sunt complet exagerate și că sunt noul front de atac în strategia de vânzări a firmelor de securitate IT.

Primul motiv al haosului: anonimitatea și netrasabilitatea „obiectului IoT”. Semnalul de alarmă tras de către NATO la summit-ul din Tallin în 2013 (merită citită analiza de situaţie descrisă în amănunt de către Michael J. Covington și Rush Carskadden, Threat Implications of the Internet of Things) a fost preluat și amplificat într-o analiză foarte detaliată a Trustware Global Security Report 2014. Paul Simmonds, CEO al Global Identity Foundation este încă și mai clar în afirmaţiile sale: dacă nu se ajunge rapid la o standardizare globală și la atribuirea unei identităţi IT fiecărui device, aparatele IoT nu vor fi niciodată sigure pentru a fi inserate fără grijă în diverse locuri din mediul înconjurător – acasa, la firmă sau într-o infrastructură critică. Această analiză culminează cu afirmaţia „a plethora of cloud-based solutions unique to each manufacturer, supplier or even device will lead to chaos and insecurity”.

De ce?

După ultimele sondaje ale Atomik Research, comandate de către compania Tripwire, mai mult de un sfert din angajaţii din firme/instituţii din domeniul „infrastructurilor critice” din USA și UK au deja conectat un IoT (pe lângă laptop-uri, tablete și smartphone-uri!) la reţeaua centrală de la locul lor de muncă. Și încă mai grav: pentru a înţelege impactul asupra companiilor mai „convenţionale”, în care mult prea mult BYOD se amestecă cu IoT, se estimează că în SUA un angajat folosește în medie 12 aplicaţii pe device-uri IoT, care în același timp sunt conectate și la reţeaua firmei.

Câteva exemple

Compania de securitate Pwnie Express a demonstrat recent că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ. HP a remediat foarte rapid problema, angajând masiv specialiști pentru IoT, schimbând algoritmi, apoi propunând clienţilor săi noile configuraţii. Mai grav însă, în 2014, aceeași firmă, HP, a făcut un test aleator asupra celor mai populare 10 device-uri IT și a găsit… 250 de fisuri, adică o medie de 25 de fisuri pe device.

Ce riscăm sau „nimic nou sub soare”
[errata corrige: „nimic nou” la exponențial, sub nori de furtună].

Doar că IoT este un accelerator exponenţial pentru cybercriminali, în activitatea
lor obișnuită. Deoarece face ca furtul de date să devină încă și mai ușor și pentru că oferă sute de uși în plus pentru a penetra într-un sistem. În plus, pentru consumator, mărește în mod semnificativ (se estimează la cca. 33%) pierderea de date confidenţiale sau personale, fie datorită incompatibilităţii aplicaţiilor descărcate, fie chiar și prin utilizarea și ștergerea datelor în mod automat de către un software IoT prost configurat. Dacă adăugăm exemplul recentei „capturi” a vamei olandeze în portul Rotterdam, când au fost descoperite 20.000 de frigidere Wi-Fi cu malware deja integrat, ne dăm seama cât de interesant este IoT pentru criminali, mai ales că această operaţiune de poliţie și vamă aruncă deja în categoria „anecdote din trecutul istoric” investigaţiile FBI amintite la București acum 2 ani de către directorul adjunct al CIA, asupra unui frigider care emitea 6.000 de SPAM-uri pe minut.

Viaţa privată este și ea supusă masiv riscului. Potrivit Forbes, un atacator a reușit să exploateze vulnerabilităţile unui sistem de monitorizare a bebelușului de către părinţi, să acceseze live webcam-urile și să observe după voie activitatea unui copil de 2 ani.

În sănătatea electronică, este foarte bine cunoscut cazul fostului vicepreședinte SUA, Dick Cheney, care a cerut deconectarea defibrilatorului din pacemaker-ul său, o operaţiune „tailor-made” pentru el, care se pare că a costat proprietarul o sumă consistentă de bani.

Attack
În domeniul marilor companii și instituţii ale statelor, IoT duplică riscul unui atac convenţional de tip „Disruption & Denial of Service”. Imaginaţi-vă milioane de obiecte, hack-uite care se conectează simultan la un website. Atacurile faimoase cum ar fi cel împotriva Estoniei din 2007 vor părea o mică undiţă în faţa tsunami-ului potenţial al noilor tipuri de atacuri.

În domeniul transporturilor, și mai ales în aeronautică, IoT devine în schimb poate cea mai mare ameninţare pentru securitate. Experţii avertizează demult că acumulările de sisteme „on board” sporesc mult riscul terorist sau riscul, simplu de disfuncţiune prin conflict de aplicaţii (fie telefoane mobile și Wi-Fi, fie entertainment systems pentru pasageri, geolocalizatori și mai ales dispozitive pentru piloţi și echipaj).

news

În ceea ce privește atacurile, încă nu s-a ajuns la primul „cybercrash” sau „cyberdeturnare” revendicat de către o grupare teroristă, însă dispariţia avionului companiei Malaysian Airlines nu poate să nu ridice decât o lungă serie de întrebări, mai ales într-o epocă unde fiecare om poate să urmărescă pe radarul de zbor poziţia/altitudinea/viteza/ruta exactă și în timp real pentru oricare avion civil aflat în zbor (avioanele fiind dotate cu transponderi noi). Un exemplu bun ne este dat de către va rianta militară (cea fără pilot) a aparatelor de zbor, unde sistemele USA au fost puse într-o poziţie foarte dificilă atunci când au fost descoperite vulnerabilităţi Wi-Fi vitale ale dronelor de ultimă generaţie, cu consecinţe foarte grave. Armata Iraniana, în 2014, și cea a Federaţiei Ruse, tot în același an, au reușit să inducă aterizarea forţată a cel puţin 3 aparate, în Vestul Iranului, în Ucraina de Est și în Crimeea.

În ceea ce privește disfuncţiunile, cel mai important caz a avut loc chiar acum recent, în 29 aprilie 2015, când American Airlines a anulat aproape toate cursele către destinaţii de medie și mare distanţă, datorită unei disfuncţiuni majore a unei aplicaţii iPad (sic!) de bord. În acest caz, nu trebuie decât să rămânem consternaţi să observăm faptul că faimoasa geantă neagră „Pilot›s trolley” cu cele cca. 10 manuale guideline atotcuprinzătoare destinate cazurilor de urgenţă sau situaţiilor neobișnuite, au fost înlocuite cu o tabletă „civilă” (Apple iPad pentru American Airlines și alte companii și echivalentul Microsoft pentru Delta Airlines și alte companii) cu motivul cvasi-copilăresc de a reduce volumul de bagaj de cărat de către pilot și de a „facilita” rapiditatea accesului la aceleași informaţii atunci când situaţia se impune!

Aici este vorba de IoT în sens larg, iPad-ul neavând (oficial) nici o legătură cu sistemul de bord. Dar dacă totuși vorbim de IoT în sensul larg, nu pot decât să fiu îngrijorat de sistemele cu touchless screen (verificarea închiderii ușii, temperatura, lumina destinată utilizării de către șeful de echipaj) care sunt livrate în varianta de bază cu panelul de jos deschis (cf. photo). L-am observat în aproape toate companiile low-cost, pe când în companiile naţionale, acest panel nu există (i.e. este ascuns într-un dulap închis). În plus, în colţul aceluiași panel se află o tastatură numerică destinată pentru a deschide ușa cabinei de pilotaj… Ori ce credeţi că vedem jos, în dreapta? Un port USB…!!!

Este cutremurător de mare inconștienţa! Mai ales că exemplul Stuxnet, indiferent de variantele oficiale sau
neoficiale care se vehiculează despre ce stat/organizaţie l-a creat, a dovedit că un atac de tip SCADA bine gândit are ca ultim (și cel mai important element) insider-ul care pune o simplă cheie USB în inima sistemului… 

Concluzii
Pentru cetățeni sau firmele mici și medii „bunul simț” rezolvă 80% dintre problemele potențiale de securitate. A alege electrocasnice fără Wi-Fi, a alege o telecomandă pentru televizor, jaluzele, iluminat sau încălzirea casei, ușa mașinii sau a garajului, a nu cumpăra device-uri ieftine și a utiliza la minimul
indispensabil smartphone-ul ca și comandă de la distanță, reprezintă o axiomă fundamentală pentru a-ți asigura liniștea în viața privată și în business-ul tău. Pentru ultimul domeniu, însă, trebuie să existe regulamente clare în fiecare firmă, care să interzică angajaților să folosească IoT și software-uri cu PCuri din rețeaua companiei.

Pentru state și infrastructurile lor critice, revin la tot ceea ce am expus în introducere: odată depășită faza de vrăjeală politicoadministrativă (aflată încă în curs) asupra „îmbunătățirii / simplificării serviciilor” prin IoT, există o nevoie vitală de a defini cine va valida și autoriza/refuza IoT în funcție de securizarea lor.

În absența totală a unei definiții clare a „IoT”, desigur vor trece decenii până când se vor inventa nomenclaturi clare și până când, în consecință, se vor putea legifera cu adevărat aceste aspecte.
Dar, mai mult decât probabil, se va ajunge într-un viitor nu foarte îndepărtat la o atribuire de adrese (adresă MAC, tot felul de Serial Numbers sau Factory numbers) pentru fiecare device, începând de la cele mai răspândite și cele mai strategice, prin presiunea comună a „dușmanilor” actuali (SUA/ UK/ Rusia/ China/ India), care în ceea ce privește acest subiect au exact aceleași preocupări și aceleași voințe.

Rămâne ca fără educație și conștientizare a populației, fără strong security policy (pe mai multe niveluri) în organizații, instituții și firme, și fără o dorință nativă de controla tehnologia pe care o cumpără un individ sau o firmă, IoT-uri nesigure vor continua să prolifereze și să devină cea mai ușoară calea de acces pentru cybercrime.

1489

tutu

Gabriel Ţuţu

Administrator al firmei AL FAYOUM BUISNESS SRL – specializată
în activități de Business Intelligence și Consultanță de securitate – NATO Cod NCAGE – 1GGFL. Expert în domeniul amenințărilor cibernetice în sectorul infrastructurilor critice și în domeniul contraspionajului. Membru al Asociației Naționale a experților în domeniul securității publice și private din Italia – ANESPP, licență nr. 0269/14 – analiză de informații și antiterorism cibernetic.

Amenințarea “insideri-lor” aflați în poziții de încredere, cu acces la aspecte critice ale inrastructurii de Tehnologia Informației dintr-o organizație, fie guvernamentale, militare, sau din sectorul privat, care pot să compromită în mod intenționat și să saboteze secretele acestora sau informații protejate de drepturi proprietare, a devenit una dintre principalele amenințări cu care se confruntă securitatea națională și infrastructura critică încă de la ascensiunea internetului în mijlocul anilor 1980. Un motiv pentru creșterea acestei amenințări este explozia masivă și exponențială a disponibilității informațiilor protejate de drepturi proprietare sau clasificate în cadrul organizațiilor. Un al doilea factor de risc cheie este ușurința relativă a accesului profesioniștilor “de încredere” din domeniul IT care operează în aceste medii “securizate”, începând de la operatorii care introduc date și până la administratorii de rețea.

Pentru a accentua acești factori de risc, există o ideologie extremistă în curs de dezvoltare, potrivit căreia toate informațiile, inclusiv informațiile secrete sau protejate de drepturi proprietare ale unei organizații trebuie să fie accesibile în mod neîngrădit tuturor. Julian Assange, creatorul celebrului Wikileaks este, probabil, exponentul cel mai important al acestei mantre ideologice. Această ideologie privind deschiderea completă insistă asupra faptului că autoritatea guvernamentală ar trebui să fie transparentă permanent și să mențină această transparență chiar și în perioadele de urgență națională, atunci când statele sunt amenințate de către grupări teroriste care au intenția de a lansa atacuri împotriva infrastructurilor critice sau asupra populației. “Secretele nasc și susțin corupția”, spune această ideologie. Aceasta a fost motivația lui Assange atunci când a creat WikiLeaks în 2006, ca produs derivat din activitatea “insideri-lor”, de descărcare a informațiilor secrete sau protejate de drepturi proprietare, a căror identități au fost criptate pentru a le proteja de potențiale expuneri sau de urmărire penală.

În această nouă tendință de dezvoltare a “amenințarilor provenite de la insider-ii din domeniul Tehnologiei Informației”, care sunt reprezentați de cele mai multe ori de persoane fizice care desfășoară activități de sorginte radicală în țările occidentale, se înscriu în prezent contributorii la activitățile ilegale ale site-urilor militante precum Wikileaks, care expun în mod intenționat documente secrete ale guvernelor occidentale, precum și grupurile de tip hacktivist, cum ar fi “Anonymous”, care s-au angajat în operațiuni de razboi cibernetic împotriva unor ținte occidentale.

Definirea amenințării insider-ilor

O “amenințare din interior” este o trădare a încrederii de către persoanele fizice care sunt angajate în cadrul organizațiilor si cărora li se oferă acces la componentele IT critice, ceea ce le permite să compromită în mod intenționat aceste organizații, cu scopul de a sabota capacitatea lor de a-și îndeplini misiunile. Astfel de acte de trădare includ, fără a se limita la, spionaj în numele unui guvern străin sau a unei afaceri concurente, divulgarea neautorizată a informațiilor secrete sau protejate de drepturi proprietare către mass-media, precum și orice altă activitate care ar conduce implicit la degradarea resurselor sau a capacităților operaționale ale unei organizații. Activitatea unui “insider” ar putea fi catalogată drept o acțiune individuală, singulară sau în complicitate cu alte persoane, fie din interiorul sau din afara organizației.

Tipuri de “amenințări din interior”

În domeniul tehnologiei informației, există trei categorii generale de posibile amenințări din interior.

Prima amenințare implică furtul de secrete sau a de drepturi proprietare, furturi care pot trece neobservate timp de luni sau chiar ani.

Al doilea tip de amenințare o reprezintă eliminarea în mod ilegal și transferul informațiilor protejate de drepturi proprietare de la o organizație către un concurent în afaceri.

A treia amenințare este reprezentată de diseminarea instantă a unui “volum mare” de informații secrete ale unei organizații către un terț, cum ar fi o organizație media sau site-uri militante, în vederea devoalării acestora la nivel global, în scopul de a deteriora grav integritatea organizațională a țintei vizate

Identificarea marker-ilor personali și de comportament pe care îi produc “insider-ii

Pe baza profilurilor publicate ale persoanelor care au devenit “amenințări din interior” la adresa țărilor sau organizațiilor lor, cum ar fi Bradley Manning și Edward Snowden, au fost evidențiați mai mulți markeri cheie. Acești indicatori de risc pot fi defalcați a fi de natură  personală și/sau comportamentală. În timp ce indicatorii de risc de natură personală se referă la caracteristicile psihologice ale unui individ care predispun la risc, indicatorii de risc de natură comportamentală caracterizează ansamblul activităților ”îngrijorătoare” ale unor astfel de persoane, care, analizate în ansamblu, generează un semnal de avertizare potrivit căruia un “insider” poate fi angajat într-un furt metodic împotriva unei organizații sau a într-o activitate de trădare împotriva țării.

Trebuie subliniat faptul că nu există un indicator de risc unic care să fie determinant în identificarea unui potențial “insider” care amenință o organizație. Acești indicatori de risc trebuie să fie luați în considerare în ansamblu, fiind cunoscut faptul că fiecare dintre aceștia ar putea suferi schimbări, într-o direcție sau alta în timp, fie prin reducea intensității lor, fie prin escaladarea lor și generarea în timp a unei situații îngrijorătoare. Mai mult decât atât, un număr mare de persoane din cadrul unei organizații ar putea prezenta o serie de indicatori de risc la un moment dat, dar care nu vor depăși pragul deținerii informației ”din interior” către amenințarea realizată. Cu toate acestea, cele mai multe dintre persoanele care devin trădători ai organizației sau țării lor au fost semnalate ulterior descoperii lor că au afișat numeroși indicatori de risc personal și de comportament în timpul fazelor de pregătire pre-incident, indicatori care ar fi putut și ar fi trebuit semnalați în timp util.

Identificarea preventivă a amenințării din interior în domeniul Tehnologiei Informației

Pentru a identifica preventiv un individ susceptibil într-o organizație, care pare a se fi înscris pe o traiectorie de a deveni ”insider” este crucial pentru profesioniștii de securitate să dezvolte mecanisme de alertă privind indicatorii de risc referitori la caracteristicile personale și de comportament pe care o persoană îi posedă și îi manifestă în activitățile cotidiene. O astfel de conștientizare a situației necesită, de asemenea, înțelegerea profilurilor psihologice și comportamentale ale persoanelor de tipul Bradley Manning și Edward Snowden, care au progresat de-a lungul acestor traiectorii de ”trădători din interior”.

Pentru a preveni un incident împotriva unei organizații sau guvern generat de o ”amenințare din interior”, profesioniștii de securitate trebuie, prin urmare, să dezvolte un mecanism de conștientizare cuprinzătoare și detaliată a tuturor indicatorilor de risc personal și de comportament care ar putea afecta angajații lor.

În primul rând, ar trebui instituite la angajare procese de screening adecvate, care să urmărească indicatorii de risc menționați. În al doilea rând, infrastructura de comunicații internă a organizației ar trebui să fie monitorizată în mod regulat cu privire la activități potențial suspecte. În al treilea rând, colegii și managerii unui angajat cu potențial de risc constituie prima linie de apărare împotriva unor astfel de persoane care ar putea deveni o “amenințare din interior” la adresa organizației lor. Toți angajații trebuie să fie instruiți pentru a ajuta la protejarea securității organizației lor, de a raporta orice comportamente suspecte care ar putea fi asociate cu un potențial risc de compromitere a informațiilor gestionate în organizație.

În cele din urmă, una dintre cele mai eficiente metode pentru a învinge amenințarea de tip ”insider” este de a reduce în mod substanțial factorii organizaționali care ar putea crește ușurința unui “insider” de a transmite clandestin în exterior informații sensibile. Regulamentele stricte trebuie să prevadă cu claritate drepturile de acces la informații clasificate precum și procedurile prin care aceste informații pot să fie extrase și vehiculate.

Mai presus de toate, organizațiile trebuie să promoveze în rândul angajaților lor o cultură bazată pe un puternic simț al responsabilității individuale și colective pentru a proteja informațiile sensibile, care rezultă dintr-un angajament ferm de identificare cu obiectivele și valorile organizației.

2465

ionel_nitu

Ionel Niţu
Director General la
Centrul de Analiza a Informatiilor
si Evaluare a Tendintelor – CAIET

“Describing a past event is not intelligence analysis; it is history. True intelligence analysis is always predictive.”

Robert Clark

Despre ce NU am vrut să scriu

Acest articol ar fi trebuit să fie despre cybersecurity și, mai precis, despre nevoia de (ICS-)CERT în anumite domenii vitale din România (printre care și energia).

Am renunțat să abordez acest subiect, întrucât mai puțin de 20% din stakeholderii din domeniul energetic cu care am discutat de la începutul acestui an au înțeles importanța prevenirii amenințărilor cibernetice.

Literatură de specialitate există suficientă. La fel și modele de succes (implementarea unor astfel de CERT-uri în țări dezvoltate). La ultima conferință pe cyber la care am participat am prezentat un model de CERT privat într-un anumit segment de industrie din SUA.

Mi s-a spus chiar că ideea (în România) nu e nouă, fiind avansată/vehiculată de cel puțin doi ani.

Și atunci nu pot să nu mă întreb: și de ce nu se face nimic?

  1. Pentru că există percepții total diferite cu privire la securitate și ceea ce presupune ea.
  2. Pentru că nu știm cum să facem, de unde să începem.
  3. Pentru că (încă) nu ni s-a întâmplat ceva grav.

Despre ce am vrut să scriu

Supozițiile de mai sus sunt valabile atât pe palierele („verticale”) firești în care trebuie așezată securitatea (de la cea regională și națională, trecând prin cea aferentă unui domeniu, de ex. cel energetic, cea a firmelor, până la cea a comunităților și a persoanei), cât și între diferite tipuri de securitate (într-o abordare să-i spunem “pe orizontală”), respectiv: fizică, tehnică (chiar și tehnologică, dacă vorbim de SCADA), HR, IT, a informației, cibernetică și procedurală.

Cu alte cuvinte, este foarte posibil ca, de fapt, să nu avem politici coerente de securitate, pentru că nu știm cum să abordăm riscul. Spre exemplu, în domeniul energetic din România nu am auzit de un proiect de securitate care să vizeze tot ciclul: de la producție, trecând prin transport și distribuție și ajungând la cetățean (consumator). În ziua de azi, este foarte probabil ca un producator de energie să investească în securitatea fizică, transportatorul în securitatea în caz de dezastre, iar distribuitorul în securitatea sistemelor SCADA, fiecare în parte fiind de fapt vulnerabil în părțile în care ceilalți doi au decis să investească. De asemenea, e posibil să tratăm probleme persistente (vechi), neglijând riscurile noi, deși impactul celor din urmă poate fi catastrofal. Să mai consemnăm și că foarte puține abordări în zona privată vizează într-un tot unitar toate palierele securității.

Cu privire la supoziția 2 (“pentru că nu știm cum să facem, de unde să începem”), reiau câteva din concluziile unui studiu (realizat în coautorat) pe care l-am prezentat la o conferință (2012) a International Studies Association:

Context

Riscurile clasice, convenţionale sunt înlocuite de altele, mult mai difuze, complexe şi dinamice. Riscurile vechi continuă să se manifeste, dar prin alte forme (acompaniind perfect globalizarea, prin efectele pe care le generează). Ca şi cum nu era de ajuns, lumea spre care ne îndreptăm pare tot mai surprinzătoare, iar evenimente de tipul lebedelor negre sau gri par să se transforme din excepţie în regulă.

Pe acest fundal gri, se resimte nevoia, din ce în ce mai mult, a unor instrumente care să ofere posibilitatea de a scana viitorul şi de a anticipa riscurile, în vederea unei gestionări coerente a acestora (cu accent pe prevenire).

În acest sens, ideea motto-ului de mai sus, care evidenţiază necesitatea utilizării unor metodologii structurate de abordare integrată a riscurilor, devine un imperativ.

 

Ciclul analiză – evaluare – decizie

Managementul integrat al riscurilor presupune în fapt derularea unui ciclu, care include:  identificarea şi evaluarea riscurilor relevante (analiză); evaluarea toleranţei la riscurile relevante (evaluare); adoptarea măsurilor de răspuns (decizie).

  1. a) Analiza presupune un proces complex de auditare în scopul identificării riscurilor. În urma identificării riscurilor relevante la nivel strategic, acestea sunt evaluate, inclusiv din perspectiva transpunerii în spaţiile tactic/operaţional.
  2. b) Evaluarea reprezintă etapa prin care riscurile identificate sunt analizate sub aspectul a doi parametrilor: impact şi probabilitate de apariţie.
  3. c) Această etapă contribuie la cunoaşterea şi înţelegerea aprofundată, completă şi riguroasă a riscurilor, fundamentând deciziile viitoare.

 

O matrice (cu 2 sau 3 dimensiuni) de evaluare a riscului

Evaluarea se poate realiza folosind mai multe instrumente, unul dintre cele mai răspândite fiind matricea probabilitate-impact cu următoarele etape:

evaluarea probabilităţii de materializare a riscurilor identificate.

Probabilitatea reprezintă posibilitatea ca un risc să se materializeze şi măsoară gradul de certitudine – ce poate fi reprezentat pe diverse tipuri de scală (de 1 la 5, de la imposibil la foarte probabil etc.).

Probabilitatea de manifestare a unui risc este determinată atât prin examinarea datelor istorice relevante, a evenimentelor şi/sau situaţiilor care au apărut în trecut şi, prin urmare, s-ar putea manifesta în viitor, cât şi prin analizarea evenimentelor/situaţiilor actuale/în desfășurare, a căror materializare poate duce la apariţia unor riscuri într-un orizont de timp apropiat;

evaluarea impactului în cazul în care riscul s-ar materializa.

Impactul reprezintă consecinţa/efectul, dacă riscul s-ar materializa şi se evaluează pe o scală de la 1 la 5 (pericolele cu probabilitate de producere zero nu reprezintă pericole reale).

În evaluarea impactului, se ţine seama de faptul că riscurile care au un impact puternic semnalează o problemă acută, iar cele care se manifestă frecvent şi au un impact redus semnalează o problemă cronică;

evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

iotu_graficExpunerea la risc reprezintă combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului, care pot fi resimţite în cazul în care riscul s-ar materializa. Expunerea la risc are semnificaţie numai înaintea materializării riscurilor. În cazul în care acestea se materializează, expunerea la risc devine, în fapt, impact.

Scala expunerii la risc poate fi şi ea reprezentată în mai multe feluri (matriceal, cromatic, numeric etc.) care să descrie variaţia probabilităţii şi a impactului.

Evaluarea riscurilor trebuie actualizată pe măsură ce noi date semnificative devin disponibile şi contextul se schimbă. Totodată, la finalul acestei etape, trebuie actualizate datele existente la nivelul instrumentelor utilizate (fie ele softuri ori soluţii analitice), cele aferente impactului, probabilităţii şi expunerii la risc.

În urma parcurgerii etapelor de identificare şi evaluare se poate, în sfârşit, întocmi o reprezentare clară şi sintetică a riscurilor (grafică sau de altă natură, după îndemânarea analistului sau gustul beneficiarului), cu ierarhizarea acestora în funcţie de nivelul de expunere. Acesta constituie un instrument foarte important în managementul riscurilor, facilitând stabilirea unei ordini prioritare a riscurilor.

Evaluarea toleranţei reprezintă etapa prin care este stabilit nivelul de risc care poate fi acceptat, înainte de adoptarea măsurilor de răspuns. În acest context, sunt luate în considerare riscuri inerente (existente în absenţa oricăror măsuri de înlăturare sau atenuare) şi riscuri reziduale (care rămân după întreprinderea măsurilor de răspuns).

Stabilirea limitei de toleranţă la risc implică un anumit grad de subiectivitate deoarece depinde, în mare măsură, de felul în care este perceput riscul, ca fiind tolerabil sau nu – dacă expunerea sa se încadrează în limitele de toleranţă stabilite.

Pentru determinarea limitei de toleranţă la risc se folosesc soluţii matriceale de tip probabilitate-impact.

Utilizarea culorilor evidenţiază profilul riscului, care este rezultatul evaluării riscurilor şi al toleranţei la acestea şi indică un răspuns optim, într-o anumită ordine de priorităţi. Profilul riscului rezultă din regruparea riscurilor identificate, evaluate şi ierarhizate în raport cu mărimea deviaţiei faţă de toleranţa la acestea.

Astfel, toate riscurile care au un nivel al expunerii ce se situează deasupra limitei de toleranţă trebuie tratate prin măsuri prin care expunerea la riscuri reziduale să se aducă sub această limită de toleranţă.

laurent

Laurent Chrzanovski

În viața reală, ulciorul Pandorei a fost deja deschis în ultimele decenii prin interacțiunea slabă dintre om și natură, generând viruși letali precum HIV, H5N1 sau Ebola. Dar ulciorul digital al Pandorei, recent deschis în varianta 2.0 și Internet of Things (IoT), ne rezervă pandemii în comparație cu care bolile sus-menționate par mult mai ușor de gestionat.

Contextul, cu părți pozitive și negative

Problemele e-Health constituie, desigur, cea mai mare miză economică – deci și criminală – din era digitală, alături de cele legate de spionaj sau război cibernetic (cyberwar).

Pe de o parte, cea pozitivă, trebuie subliniat că este absolut necesară implementarea, prin informatizare inteligentă, a unor unelte ce permit un progres real în sistemul medical. Aceste unelte vor fi utile pentru a lupta, de exemplu, împotriva furtului de medicamente, a abuzurilor medicale, malpraxis, sau pentru operațiuni foarte complexe în care e-Health asigură o interdisciplinaritate de elită prin prezența virtuală și robotică interconectată a echipelor chirurgicale din mai multe țări, rezolvând astfel multe probleme, dar nu în ultimul rând, și pentru a ușura munca echipajelor medicale de salvare.

În ceea ce privește ultimul subiect, instruirea echipajului medical mobil de prim-ajutor asupra identității și a problemelor bolnavului sau rănitului care trebuie salvat este mai mult decât necesară și chiar salvatoare de vieți.

În schimb, partea negativă este reprezentată de faptul că sistemele electronice de sănătate constituie o centralizare totală, neîntâlnită în istorie, pentru cantitatea și calitatea datelor ultra-confidențiale ale cetățenilor, medicilor și farmaciilor dintr-o țară întreagă. În România, vorbim despre sistemul informatic unic integrat (SIUI), reţeta electronică (SIPE), cardul de sănătate (CEAS) și, mai ales despre dosarul electronic de sănătate (DES).

Mai mult, dacă nu sunt securizate corespunzător, aceste sisteme pot fi o “bombă” mai ales în țări ca Italia, SUA, România, în care fiecare cetățean are un cod unic (Codice Fiscale, Social ID, CNP). În aceste cazuri, penetrarea în sistemul e-Health va permite și o cale de acces suplimentară către alte informații, cum sunt cele cu caracter fiscal, bancar sau personal legate de acest cod.

Așadar, acești noi centralizatori de date constituie desigur “the ultimate target” (ținta supremă), adică cea mai mare mină de aur din era digitală, pentru grupări criminale, cu intenția de a vinde rezultatele furate industriei medicale și farmaceutice, dar și departamentelor de resurse umane ale firmelor private.

Dacă adăugăm faptul că majoritatea “gadget-urilor e-Health”, în prezent cumpărate masiv de țările avansate, sunt nesecurizate sau prost securizate, și că majoritatea au sau dau un acces parțial la “mina de aur”, atunci conștientizăm că fiecare stat în parte va trebui zilnic să se asigure de impenetrabilitatea centralelor locale, regionale și naționale și să aibă curajul să interzică anumite produse incompatibile cu securizarea sistemului.

e-Health prezentat ca soluție miraculoasă într-un context medical public real la pământ

Trebuie să ne alarmăm? Da, pentru că avem de ce. Cu ajutor politic și cu sprijinul lobby-urilor, “e-ulcioriul” Pandorei este larg deschis, iar spiritele rele împreună cu bolile lor s-au răspândit deja în spitalele din toate țările dezvoltate.

În aproape toate țările din UE, sistemele medicale și cele de asigurări sociale obligatorii, cele care finanțează gratuitatea medicamentelor și a serviciilor medicale, au fost aduse în mai puțin de 30 de ani în pragul colapsului definitiv, prin nepăsarea și prin complicitatea criminală a politicienilor.

Nu este nevoie să ne aflăm într-un județ periferic din România pentru a găsi un spital slab echipat și a fi obligați să cumpărăm din bani proprii medicamente necompensate sau să fugim într-un oraș mare, aflat uneori chiar la mai multe sute de kilometri. Sunt minim alte 10 țări din UE unde se întâmplă același fenomen, în proporții mai mari sau mai mici.

Într-un context european unde regiuni rurale întregi au fost părăsite de către Stat prin eliminarea voită a structurilor locale de prim-ajutor, dar și de către privați prin abandonarea cabinetelor individuale nerentabile, bolnavii au fost condamnați să meargă la spitalele din orașe sau, în cazuri extreme, să apeleze la sistemul de ambulanță pentru a fi duși la aceleași spitale. Controlul digital la distanță apare astfel ca un miracol, o scuză ideală pentru edili să justifice că au grijă de toți cetățenii, inclusiv cei din mediul rural.

Dar atât la țară, cât și la oraș, slăbirea generalizată a calității, prestațiilor și serviciilor gratuite garantate de sistemul public nu reprezintă altceva decât o mișcare neoliberală foarte înțeleaptă, începută o dată cu căderea zidului Berlinului, care are ca miză pe termen lung – la fel ca și în cazul sistemelor de pensii – privatizarea totală a sistemului medical.

Dar și acolo unde încă rezistă, de exemplu în Franța, un sistem public solid dar ultra-costisitor, s-a găsit soluția-minune pentru cei care doresc să fie absolut siguri că vor beneficia de un tratament de calitate și că vor scăpa de trecerea obligatorie și din ce în ce mai îndelungată prin zona de urgență a spitalelor publice.

Această “minune” se numește asigurare complementară privată și plătește toate medicamentele, cheltuielile din orice clinică inclusiv de lux, cele mai scumpe operații și tratamente, dar și tratamente post-operatorii neobligatorii.

Autorul știe foarte bine despre ce vorbește fiindcă, prin referendum, poporul elvețian a renunțat de mult la casa unică de sănătate vrăjit de mirajul ieftinirii primelor prin concurență.

Prin urmare, orice cetățean elvețian (inclusiv eu), plătește între 250 și 800 de Euro pe lună pentru a fi asigurat, diferența de cost nefiind calculată în funcție de venituri, ci în funcție de franciza aleasă de client, franciză care acoperă sau nu de la simpla consultație a doctorului de familie până la operații sau tratamente grele (cei care aleg să plătească primele mici trebuie să acopere primii 10.000 de Euro, cei care aleg primele mari trebuie să acopere primii 200 de Euro).

Așadar, un tânăr care nu a mers la doctor deloc timp de un an tot a plătit 3.000 de Euro asigurărilor. Dacă nu poate să plătească, plătește serviciul social de stat (sic!) pentru el.

Sistemul elvețian fiind obligatoriu, niciun asigurator nu poate să refuze un cetățean. Dar oriunde altundeva în lume, același asigurator are drepturi de viață sau de moarte în alegerea “clientului”, are voie să ceară dosarul medical confidențial, să adapteze primele lunare, să refuze pacientul sau să rezilieze contractul în funcție de gradul de risc al personei (dacă are antecedente de depresie sau alte tratamente psihiatrice, dacă a avut o boală infecțioasă etc.).

Dacă adăugăm că fumatul și consumul de băuturi alcoolice sunt legale, pe când antecedentele de boli incurabile sau genetice ale parinților sau copiilor pacientului sunt, prin lege, interzise la acces asiguratorilor privați, atunci înțelegem ușor de ce fiecare element de “e-Health intelligence” este un plus de neprețuit.

Bani? Iată banii reali din mediul digital!

Este deja știut și dovedit de mult: un dosar medical complet al unui singur cetățean al UE este negociat pe piața neagră între 4 și 12 USD în funcție de cât de “social” este încă Statul în care trăiește (i.e. câte prestații și medicamente sunt gratuite pentru fiecare cetățean), pe când cel al unui cetățean al Marii Britanii sau al SUA pornește de la 16 USD, până la 40 sau chiar 80 USD, sistemele de sănătate și de asigurare fiind, în ambele țări, private sau semi-private.

Mult mai îngrijorătoare însă, este informația apărută abia acum două săptămâni în paginile prestigiosului Huffington Post, unde se estimează că numai informațiile privind vârsta și sexul unei persoane valorează 0,007 USD, iar dacă aceași persoană a fost “înregistrată” căutând pe Google tematici despre cancer sau boli de inimă, valoarea aceleiași informații crește la 0,447 USD, adică de 64 de ori mai mult. Prin această simplă ecuație, vedem cât de mult valorează “factorul medical” în cadrul identității digitale, pentru interese de business intelligence.

Așadar, dacă acceptăm studiul făcut de către Boston Consulting Group în 2011, în care se proiectează că, în 2020, ansamblul datelor de bază ale cetățenilor UE (nume, prenume, data nașterii, sexul, cetățenia, domiciliul) va valora în jur de un trilion de USD, și multiplicăm aceste date cu așa-numitul “factor medical” (64 de ori), ajungem la 64 de trilioane de USD.

De la selecția naturală la selecția digitală a celor care supraviețuiesc

Asiguratorilor și prestatarilor privați de servicii medicale li se adaugă atotputernicul lobby al produselor farmaceutice, care au găsit doar în India, Brazilia și Africa de Sud în Stat un adversar suficient de democratic și puternic care să interzică măcar câteva din excesele cele mai flagrante, ca de exemplu costurile exorbitante propuse inițial pentru medicamente de veche generație proaspăt “rebrand-uite” înainte de data de expirare a brevetului, precum cele pentru tratamente ale HIV sau ale cancerului.

De luat în seamă este și interesul firmelor mari în momentul recrutării atât a angajaților de vârf, cât și a celor medii. Deja în SUA, refuzul din start al unui dosar de candidatură este până la 75% motivat de elemente ale vieții private ale candidatului, găsite prin OSINT de către departamentele de resurse umane ale companiilor. Cine ar vrea să angajeze o persoană atinsă de o boală incurabilă, chiar și dacă este vorba de cel mai bun candidat dintre toți?

Industria medicală și politicienii vrăjiți de mirajul digital

Într-o lume în care industria medicală și farmaceutică se află, ca greutate financiară, imediat dupa sectorul agro-alimentar (locul 1) dar și mult înaintea sectorului militar, se remarcă ușor cât de uriașe sunt interesele pentru această industrie ce prezintă o creștere exponențială a gamei sale de produse digitale, o sursă rapidă de bani, cu captivitate sporită a clientului (fie el un Stat sau un simplu bolnav).

Joaca cu așa-zisa “eficientizare a actului medical” prin mijloace IT si IoT a devenit o armă politică redutabilă. Pentru mulți aleși, costurile de implementare nu mai contează, în raport cu explicațiile date cetățenilor-alegători că implementarea totală a sistemului a permis reducerea numărului de bugetari, sau că aceștia lucrează mai bine.

Exemplul cel mai elocvent a fost cel citat în decembrie anul trecut la Roma, în cadrul conferinței naționale italiene e-Sanità, de către Graziano de Petris, Director pentru privacy al grupului medicalo-universitar “Spitalele Reunite” ale Provinciei Trieste. A fost vorba de direcția regională a unui grup de spitale din Italia, care, în grija sa de a eficientiza și fluidifica munca doctorilor, a cumpărat un stoc de brățări electronice ce permiteau tuturor doctorilor, în mod “touchless” să intre direct în sistemul informatic pentru a consulta dosarul clinic al pacienților lor pentru a adăuga în același dosar actul medical abia terminat sau tratamentul prescris.

Aceste brățări, care conțineau atât numele de utilizator cât și parola pentru a accesa datele din sistem, erau nesigure, devenind o sursă perfectă pentru un furt de informații, fără să fie nevoie să fie furate fizic de către un hoț. Culmea, brățările erau identice și ușor interschimbabile din greșeală între doctori, de exemplu în momentele de igienizare a mâinilor și brațelor, așa că erau și o sursă de informații inexacte despre doctorul real care a făcut actul real, care devenise, din greșeală, actul colegului său.

Culmea, Graziano de Petris a reușit să convingă definitiv direcția generală a spitalelor să retragă brățările din sistem în momentul în care a dovedit că timpul “câștigat” de fiecare doctor prin folosirea brățării era mai scurt de cinci minute pe zi.

În articolul lui Raoul Chiesa, puteți citi cât de ușor poate fi omorât un bolnav de inimă sau de diabet dacă spitalul unde a fost tratat i-a înmânat un pacemaker bluetooth sau o centură de insulină wifi.

Dacă Statele nu impun regulamente stricte, punem pariu că e-Heath în general și Internet of Things în domeniul sănătății vor deveni cel mai periculos izvor de scurgeri de informații și de malpraxis din sistem?

Nici nu e nevoie să punem pariu pentru că, în plus, statele și cetățenii vor arunca milioane pentru că orice pace-maker wifi va trebui schimbat la fiecare 4 ani, la fel ca laptopurile, pentru că nu vor mai corespunde noului sistem de operare, sau noilor versiuni de software impuse de fabricant.

Partea bună a legendei antice este că singurul spirit rămas în interiorul ulciorului, după ce acesta a fost reînchis cu greu de Pandora, a fost Elpis, tânărul spirit al speranței…

* Vorbim evident despre mitul numit “Cutia Pandorei”, o denumire acum folosită în toată lumea, dar eronată. Această denumire se datorează unei greșeli a marelui erudit Erasmus din Rotterdam la traducerea sa în latină a fabulei originale a lui Esiod. În limba greacă, Esiod folosește termenul “pithos” (ulcior de lut), citit “pyxis” (cutie de lut) de către Erasmus, acesta confundându-l probabil cu cutia Psychei, deschisă și ea împotriva ordinului strict al zeilor, un alt mit antic binecunoscut.

raoul

Raoul “Nobody” Chiesa

President, Founder, Security Brokers ScpA

Membro del Permanent sStakeholders Group presso l’ENISA (European Union Network & Information Security Agency)

Socio Fondatore del CLUSIT, Associazione Italiana per la Sicurezza informatica

Board of Directors dell’ISECOM, Institute for Security and Open Methodologies

Cultural Attachè e Responsabile Italiano dell’APWG, Anti-Phishing Working Group, European Chapter

Senior Advisor on Cybercrime and Hacker’s Profiling presso l’UNICRI, United Nations Interregional Crime & Justice Research Institute

Membro del Comitato Scientifico dell’OPSI, Osservatorio Privacy & Sicurezza Italiano presso AIP (Associazione Informatici Professionisti)

Scenariu

Ne aflăm în plină “eră digitală” (Digital Age), trăim într-o societate a informaţiei care vrea să fim online constant, conectaţi şi “sociali”: trecerea de la Web 2.0 la “the next thing” este gata să se întâmple. În acest scenariu ajunge, în toată Europa, e-Government, adică administraţia publică tinde să devină integral online, şi odată cu ea toate datele noastre de cetăţeni, deveniţi cu toţii digitali. Dar acest trend nu este nimic în comparaţie cu ceea ce urmează, adică paradigma Internet of Things (IoT) sau, cum este deja denumită de unii, Internet of Everything (IoX).

Acest IoX a apărut acum câţiva ani şi devine tot mai important pe zi ce trece, cu tot mai multe dispozitive pe care le purtăm asupra noastră, mult mai invazive decât Goggle Glass: de la pace-makere care comunică prin Bluetooth la pompe de insulină acţionate prin Wi-Fi, la automobile inteligente care se vor conduce singure (şi care oricum deja în ziua de azi au o adresă de IP), la electrocasnice, unde avem deja frigidere care emit spam-uri, până la varianta „urbană totală”, adică ceea ce numim smart cities. Să nu uităm, în acest context, de IPv6 şi de toate noile vulnerabilităţi pe care le va aduce cu el, aşa cum se întâmplă mereu cu fiecare nou protocol complex şi la fiecare nouă implementare.

Revenind la contextul de sănătate şi security, este evident că sănătatea devine şi ea digitală, aceasta fiind o evoluţie naturală. Această schimbare este însoţită de legi, normative şi decrete, dar şi de necesitatea de a optimiza timpii şi costurile sistemului medical central şi local, prin voinţa mişcării e-Governement a fiecărei ţări în parte dar şi prin îndeplinirea planurilor şi directivelor aprobate la nivelul Uniunii Europene.

Începem deja să avem probleme foarte serioase, ca de pildă cu anumite pace-makere sau cu pompele de insulină, unde vânzătorii din companiile IT de e-sănătate produc şi comercializează platforme, softuri şi sisteme absolut nesigure sau, mai elegant spus, al căror aspect de securitate al informaţiilor nu este nici pe de parte o prioritate.

Acest fenomen se întâmplă deoarece operatorii din domeniul sănătăţii nu au (în afara câtorva excepţii foarte rare) o viziune şi o educaţie suficientă asupra noilor provocări legate de ICT Security. Dacă observăm tendinţele din ultimii 2-3 ani, mai ales cele provenind din lumea ethical hacking dar şi a Cybercrime, sectorul medical este, cu siguranţă, una dintre următoarele ţinte cu risc foarte ridicat. Aceste informaţii trebuie să ne preocupe în acest context al IoX şi al dispozitivelor “implantate în corpul uman”!

Hacking-ul dispozitivelor medicale

Este suficient să căutăm pe Google “hacking medical devices” pentru a verifica şi a înţelege ceea ce am afirmat mai sus: în 2010, rezultatele acestei căutări numărau câteva sute de mii (reprezentative, adică, ale cercetării întreprinse atunci de comunitatea underground), iar în 2012 au ajuns la aproape trei milioane şi jumătate, pentru a ajunge azi la cifre care ating de la unul la patru milioane, în funcţie de ţara sau VPN-ul cu care se face căutarea.

În ceea ce priveşte faimosele pompe de insulină despre care am amintit mai sus, este incredibilă povestea lui Jerome Radcliffe, un ethical hacker, care a prezentat proiectul său “medical devices hacking” la Black Hat 2011. Când a împlinit 22 de ani, Jerome a pierdut dramatic din greutate în mai puțin de 2 luni, îi era sete continuu iar după o serie de analize, a descoperit că suferea de o formă foarte gravă de diabet.

Doctorul său i-a prescris injecţii de insulină, care trebuiau administrate între patru şi șapte ori pe zi. Folosirea unei seringi nu e confortabilă pentru nimeni, aşadar doctorul i-a propus un nou dispozitiv care iniectează în mod automat insulina în corpul uman. Acest dispozitiv era un dispozitiv “e-health”, adică copilul mariajului dintre progresul digital şi ştiinţa medicală şi era dotat cu comandă de la distanţă.

Jerome, fiind expert în domeniu, a hotărât să afle mai multe despre funcţionarea dispozitivului: a deschis un nmap dupa ce stabilise un link cu device-ul şi…, foarte puţin timp mai târziu, a prezentat descoperirile proprii la Black Hat, unind eforturile sale cu cele ale unei echipe de cercetători foarte cunoscuţi, printre care Travis Goodspeed, Shawn Merdinger şi regretatul Barnaby Jack (acelaşi care, tot la Black Hat, a adus un Bancomat pe podium şi l-a făcut să “scuipe bancnote” continuu).

Poveşti şi experienţe personale

În anul 2005 eram încă manager al primei firme înfiinţate de mine în 1997, când am fost contactat de un mare spital situat în Italia de Nord, care mi-a propus un contract de realizare a unei serii de Penetration Testings.

În domeniul medical, acest tip de verificări nu aveau precedent, datorită securităţii operative a gestiunii datelor pacienţilor şi mai mult, datorită instituirii obligativităţii actului normativ privind protecţia datelor personale, cunoscută de toţi în Italia sub numele de “196”.

Ceea ce descoperisem a fost – puţin zis – de-a dreptul halucinant, deoarece era pe departe cel mai prost nivel de securitate întâlnit, mai prost chiar decât cel al universităţilor italiene!

Dupa 3 ani de activităţi derulate în mod ciclic şi de activităţi punctuale (fiindcă securitatea este, înainte de toate, o metodologie organizată și procedurală), am reușit cu toţii să facem ca spitalul amintit să devină, ceea ce este încă şi azi, o mica bijuterie ICT security în acest sector.

Mai târziu, am fost contactat împreună cu echipa mea de alte structuri judeţene de sănătate şi de o serie de clinici private, pentru a verifica mai multe alte aspecte, printre care infidelitatea angajaţilor prin abuzul de utilizare a dispozitivelor IT şi verificarea scurgerii de informaţii medicale ce puteau fi vândute de insiders (digital forensics) precum și compliance în relația cu normele şi standardele în vigoare, mai ales cu cele din străinătate, unde sensibilitatea privind siguranţa în acest domeniu este mult mai mare.

Piața, inclusiv cea italiană, este foarte mare şi nu toate structurile medicale au capacitate de anticipare, chiar dacă acest lucru e foarte necesar. În iulie 2012, o structură judeţeană de sănătate din Italia de Nord a hotărât să fie “on-line”. Această decizie a fost dramatică, toate dosarele medicale ale pacienților s-au dovedit a fi accesibile de către terți (prin Internet), din cauza problemelor legate de SQL Injection (vulnerabilitate bazată pe web prin lipsa de securizare a input-urilor de către front-end-ul Web).

Puțin mai devreme, în 2011-2012, alte exemple (publice şi cunoscute) de “black-box security testing” şi de “reverse engineering” aplicate la produsele medicale au avut o creștere total neprevăzută. Lumea din “digital underground” a descoperit noile “jucării” cu care să se amuze. În aceste condiţii s-a apelat la  cercetători din domeniul security, iar descoperirile de fisuri şi vulnerabilităţi au început să plouă, – o adevărată furtună!

Dacă ne uităm un pic încă și mai devreme şi considerăm perioada din 2009 până azi, răspunsurile (cel puțin cele făcute publice) date de marii vendori ai lumii e-Health au fost egale cu zero.

Nicio deschidere publică pe tema vulnerabilităţii, nicio comunicare asupra “security patch”, nicio dezbatere cu experţi din domenii precum  InfoSec sau Ethical Hacking!

De parcă, dacă i-am asculta, abordarea clasică (şi complet greşită!) a “Security through Obscurity” ar funcţiona…

Problematici

Fără să ne întoarcem în timp atât de departe, revenim la datele medicale, la FSE (Fascicolo Sanitario Elettronico), de unde pleacă totul, bun sau rău, adică unitățile spitaliceşti judeţene, spitelele şi structurile medicale care gestionează dosarele noastre medicale.

Înainte să intrăm în detalii tehnice, trebuie să aruncăm o privire asupra organizării şi gestionării sănătăţii şi a motivelor atâtor disfuncționalităţi în domeniul digital:

  • structurile medicale (exact ca şi operatorii de telefonie mobilă) au încredere în ceea ce le spune vendor-ul în ceea ce priveşte “soluțiile sigure”;
  • operatorii structurilor medicale sunt prioritar focalizaţi şi implicaţi în operaţiuni tipice ale lumii medicale, cu o apreciere sporită către upgrade-uri de software, performanţe de reţea şi continuitate a aparatelor medicale, dar şi alte obligaţii de rutină foarte consumatoare de timp…
  • aceşti operatori dispun foarte rar de cunoștinţe in-house asupra tematicii ICT security;
  • în mod tipic, în structurile medicale, există o separare foarte rigidă între divizia de IT (sistemele informatice) şi “toți ceilalţi”, generând de fapt două domenii diferite de security;
  • rezultatul aceastei abordări este că cea mai mare parte a acestor structuri medicale sunt vulnerabile la atacuri externe şi interne.

Nu trebuie uitat în plus că, în cadrul licitaţiilor publice din Italia, factorul decisiv este întotdeuna preţul şi politica de a scrie dosarele de licitaţii “ad minima”; foarte rar citim în licitaţii vocea “securităţii informatice” sau impunerea explicită a metodologiilor de verificare a siguranţei precum cele ale OSSTMM/ISECOM (www.isecom.org și www.osstmm.org) sau OWASP (www.owasp.org) şi încă mai rar găsim o obligaţie clară de a implementa framework-uri ale S-SLDC (Secure Software Life Development Cycle).

Cu tot ceea ce am descris, concluzia este că, în general, atât software-ul cât şi aplicaţiile web (portaluri, CMS, front-end și back-end) care sunt vandute administraţiei publice de către firmele private sunt nesigure, pline de viermi şi de greşeli de programare, inclusiv cele mai cunoscute şi “clasice”, precum SQL Injections, Cross-Site Scripting etc.

Cazul ASL (i.e. unitate medicală judeţeană)

În Repubblica Inchieste a fost publicat recent un dosar special dedicat furtului de identitate, la care am lucrat personal cu jurnalistul Alessandro Longo.

În acest dosar special, printre multe alte subiecte şi cazuri prezentate, se vorbeşte despre un ASL şi despre date ale pacienţilor care sunt expuse şi accesibile publicului.

E vorba de un oraş de mărime medie din nordul Italiei, de circa 200.000 locuitori. Nici prea mare, nici prea mic. Într-un astfel de loc, probabil lăsat de o parte de către mafia licitațiilor trucate şi a puterilor transversale, ar fi de aşteptat să se acorde o atenţie deosebită securităţii datelor cu caracter personal ale cetăţenilor săi şi selecţiei de companii de software care scriu aplicaţii şi proceduri pentru a le gestiona.

Din păcate, Repubblica Inchieste a reuşit să obţină informaţii foarte clare din diferite surse, care reprezintă dovezi concrete şi incontestabile ce denotă o situaţie cel putin catastrofală: scenarii teribile, situații care merg mult mai departe decât o simplă jenă pe care ar avea-o ASL dacă ar fi cunoscute de către rău-voitori, traficanţi de date personale şi lumea obscură a Cybercrime.

Când, acum câteva luni, am fost contactaţi de către un informator, ne așteptam la ceva îngrijorător. Ne gândisem la clasica fisură de securitate în codul software utilizabil de către cetăţeni, la capacitatea atacatorilor de a citi, sau chiar a modifica datele personale ale pacienţilor: domiciliu, telefon, numere de securitate socială, date ale rudelor etc.

Realitatea faptelor despre care am aflat și pe care le-am verificat cu grijă, relevă cel mai teribil scenariu posibil de imaginat. Aș putea spune că rezultatele ne amintesc foarte mult de filmul “The Net” cu Sandra Bullock… dar, din păcate, noi nu suntem la Hollywood şi aici nu este vorba despre un film.

În continuare, am încercat să rezumăm lista acţiunilor comise şi consecinţele lor pentru pacienţi:

  • Adăugarea unui pacient în baza de date ASL;
  • Ştergerea unui pacient din baza de date ASL;
  • Crearea unei programări CUP la această unitate medicală, fără să stăm la coadă şi, mai mult, fără să plătim nimic;
  • Ştergerea unei programări CUP: în acest caz, vulnerabilitatea informatică are consecinţe grave în lumea reală. Să ne imaginăm programarea efectuată cu trei luni înainte de către un pacient care, cu o zi mai târziu, are şi o vizită la cardio-chirurg. Rău-voitorul poate efectua o substituţie în dosarul pacientului, astfel încât, atunci când se va prezenta pacientul real, programarea sa să fie respinsă, pentru că doctorul așteaptă o altă persoană. Ca şi când nu ar fi suficient, în plus de dauna suportată, vine şi jignirea: în cazul în care pacientul real face o contestaţie, el nu se va putea baza pe nimic decât pe o programare anulată de sistem, pe cand pacientul “adăugat” va avea în mâna sa documentul ştampilat cu o programare validă. Cu aceste date, putem lansa şi ipoteza unei vânzari de programări de către grupări criminale, structurile medicale nemaistăpânind propriul sistem informatic.
  • Adăugarea unei plăţi care nu a fost făcută niciodată, pentru unele prestaţii (examen medical, analize, etc.): în acest caz, posibilitatea pentru criminali de a folosi fisura informatică pentru a face bani uşor, este foarte concretă.
  • Accesarea istoricului tuturor programărilor efectuate de pacienţi în orice structură a unităţii medicale menţionate: examinări, vizite, analize, operaţii…. Totul!

În acel moment, ne-am stabilit întrebările şi ne-am imaginat unele scenarii, cu siguranţă nu plăcute pentru cei care au ghinionul de a fi înscrişi în acest ASL al ţării noastre.

CE AR PUTEA FACE CRIMINALII CU ACESTE DATE?

Desigur, o astfel de arhivă de date va fi apetisantă pentru o mulțime de persoane, din motive şi obiective foarte diferite. Un prim comentariu al nostru este, evident, legat de piaţa neagră a datelor personale în lumea infracțiunilor, adică acele date esenţiale pentru a crea fraude financiare precum cele pe care Repubblica le ilustrează în alte servicii de anchetă.

Presupunând totuşi, alte scenarii ilegale, am explicat această situaţie unui tânăr expert în securitate informatică, Pawel Zorzan Urban, şi i-am cerut opinia.

“Mă pot gândi imediat la revânzarea ilegală a acestor date”, spune Zorzan Urban, “poate unui cumpărător care poate asigura un profit ridicat. Să ne gândim la lumea asigurărilor, să ne imaginăm că asigurarea analizează posibilitatea de a accepta asigurarea de viaţă a unui client”.

“Din datele achiziţionate de la ASL, asiguratorul află că clientul face câte o vizită oncologică la fiecare şapte zile. Acest exemplu nu ne împiedică desigur să ne gândim la scenarii mai clasice”, continuă Pawel Zorzan, “cum ar fi vânzarea acestor date unor grupuri specializate în furtul de identitate. Baza de date de care mi-aţi vorbit, de fapt, conţine toate datele necesare pentru cei care comit furtul de identitate, deoarece sunt prezente în arhivele digitale ale acelui grup spitalicesc datele fiecărei persoane care a fost, chiar şi numai o singură dată, într-una dintre secţiile medicale din grup”.

Să ne imaginăm acum un scenariu diferit: haideţi să luam un orăşel cu un primar foarte expus, fie pentru că aparţine unui anumit partid politic, fie din alte motive. Ideea de a pune online datele private ale acelui primar şi ale familiei sale aminteşte de strămoşeasca “expunere pe căruţă” (condamnatul era legat pe o căruţă şi expus la înjurături, huiduieli şi scuipat de către cetăţeni, n.d.r.) în variantă digitală şi 2.0.

Pe de altă parte, vorbim despre un ASL cu aproape 500.000 de pacienţi activi şi circa 25.000 dintre ei cu programări active pentru următoarele 60 de zile de la data discuţiei…

Nu sunt numere mici şi este de reţinut faptul că daunele unei astfel de falii informatice sunt incalculabile. Dacă această situație va fi făcută public, să nu ne mirăm dacă se va depune un recurs colectiv în judecată împotriva grupului medical amintit mai sus, aşa cum deja a fost cazul şi este des cazul în SUA, în mai multe sectoare, printre care şi cel financiar, exact din cauza vulnerabilităţilor informatice.

În fine, nu putem exclude o luare de poziţie serioasă din partea Garantului Italian al Datelor Personale, care foarte probabil ar începe cu amenzi usturătoare la adresa structurii medicale incriminate, obiectul investigaţiei noastre.

Ceea ce ne întrebăm acum, însă, merge mult mai departe decât acest exemplu. Câte grupuri medicale din țară şi din străinătate expun în mod atat de iresponsabil datele pacienţilor? Câţi tineri hackeri au identificat deja fisuri în multe alte site-uri web ale administraţiei publice şi/sau au profitat deja să vândă pe bani grei rezultatele  obţinute de către grupări organizate de cybercrime.

Concluzii

  • Domeniul Information Security aplicat lumii e-Health este în fază preistorică.
  • Există o nevoie extremă şi imediată de:
    • cercetare aplicată,
    • teste de securitate a dispozitivelor (Ethernet, WiFi, Bluetooth, ZigBee…),
    • teste de securitate a software-ului, (poate chiar înainte de a fi cumpărat!),
    • sensibilizarea publicului din domeniu,
    • cultură şi conştientizare atât a personalului informatic cât şi medical şi mai ales cel managerial.
  • Problema este foarte diferită faţă de cea a ICT Security din lumea financiară, TLC etc…, pentru că aici vorbim în special de vieţi umane aflate în joc!

961

Autor: Claudiu Gherghinoiu, System Administrator, Class IT

Rețelele botnet sunt cele mai periculoase instrumente pe care criminalii cibernetici le folosesc astăzi. Cercetările din domeniul informaticii, în momentul de față, încep să arate niște semne de progres, dar multe aspecte despre rețelele botnet sunt încă necunoscute.

Ce  sunt rețelele de tip botnet? Din ce este alcătuită rețeaua:

  • Computer bots care au fost infectate
  • Servere C&C de unde bots-urile sunt controlate
  • Botmaster: persoana reala care folosește serverele C&C

Începutul

Una din primele rețele de tip botnet a fost GM, care a apărut în anul 1989, bazată pe o conexiune IRC. Bootnet-urile IRC au cunoscut o perioadă înfloritoare între 1990 și 2000, mai ales datorită popularității serviciului mIRC. La început, principalul scop era pentru DDos, dar pe  parcurs mai multe funcționalități au fost adăugate cum ar fi ascunderea, phisingul site-urilor. Ceilalți, GT Bot, Sub7 erau de asemenea populari la vremea aceea.

 classit1

 Un model timpuriu de comunicație C&C

De asemenea, în acea perioadă, programele de distrugere mai sofisticate au fost dezvoltate, Agabot este un exemplu, cu capacități ce erau foarte noi la vremea aceea: polimorfic, key logging și alte funcționalități. A fost codat în C++ cu mai mult de 20.000 linii de cod. Agabot era foarte diferit, comparativ cu alte sisteme codate în limbaj de asamblare. Un alt botnet avansat pentru acea perioadă a fost Spybot codat în C, cu mai puține linii de cod, aproximativ 3.000. Scopul său principal era periclitarea datelor și furarea de loguri.

Crima organizată

Odată cu decăderea  IRC (Internet Relay Chat), criminalii cibernetici au fost forțați să găsească noi metode de comunicare. De asemenea, IRC era foarte nesigur, un nou sistem era necesar. Așa că au implementat un sistem descentralizat numit P2P, unde serverul centralizat a dispărut. În concluzie, era mult mai greu pentru autorități să închidă botneturile.

Dezvoltatorii de sisteme erau din nou cu un pas înainte, implementând noile tehnologii în creațiile lor. Un punct de cotitură în istoria rețelelor de tip botnet a  fost crearea lui Torpig undeva în jurul anului  2005. Când a fost analizată de cercetători, cantitatea de informații furată a fost imensă. Principala funcționalitate a Torpig era să fure date de identificare, mai ales date legate de carduri; o alta invenție a creatorilor a fost să introducă atacul man-in-the-browser, ceva nou pentru un botnet.

De asemenea, crima organizată dorea și mai multe câștiguri, așa că în 2007 unul din cele mai mari botneturi spam, Rustock, a fost lansat. Acest sistem era atât de mare, încât era capabil să trimită aproximativ 50 miliarde mesaje spam pe zi.

classit2

Un model de comunicație hybrid P2P între botmaster și bots

Aproximativ în același timp un alt spam botnet și mai complex infecta milioane de PC-uri, sistemul se numea Cutweil. Acest botnet reprezenta un punct de cotitură, o revoluție în istoria sistemelor complexe. La performanță maximă, era capabil să trimită aproximativ 80 miliarde mesaje spam pe zi.

Criminalii aveau acum un avantaj, deoarece sistemele dezvoltate de ei erau cu mult înaintea prevederilor legale. De asemenea, multe tipuri de rețele botnet apăruseră, chiar și mai sofisticate, și update-uri continue ale vechilor versiuni făceau din botnets ultimul instrument de infracțiune cibernetică la mijlocul anilor 2000. În acele zile criminalii din spatele acestor sisteme câștigau milioane de dolari.

Un business riscant

Anul 2008 este un an de cotitură în lupta împotriva criminalilor din spatele botnets cu multe evenimente remarcabile. Primul dintre ele este oprirea uneia dintre cele mai productive afaceri, create de un hacker sloven și folosită de o grupare spaniolă. Botnet-ul Mariposa în perioada de glorie infectase peste 12 milioane computere cu target pe carduri de credit și parole în computerele infectate. Mai mult de 1 milion fuseseră furate de criminali. Poliția internațională lucra pentru prima dată la aceast caz, fiind un semnal clar siguranța criminalilor cibernetici nu va mai dura.

În același an spammerii au fost loviți de preluarea companiei de hosting numită McColo, după ce serverele fuseseră oprite, spamurile au scăzut cu aproximativ 95%. Aproape toate botneturile importante Rustock, Cutweil, Grum și multe altele erau găzduite pe aceste servere. Dar această blocare era doar temporară, deoarece criminalii au revenit în afaceri curând.

De asemenea, este notabil că multe companii vedeau că agențiile de poliție erau depășite și au decis să se alieze în lupta împotriva botnets. Microsoft era de departe una din cele mai mari companii care și-a asumat ca activitate principală, lupta împotriva botnets. De-a lungul anilor, Microsoft a dat jos mai multe botnets importante, printre care: Zeus, Kelihos, Zero Access, Citadel.

Guvernele

Nu este de mirare că cea mai avansată armă din patrimoniul unui hacker este rețeau botnet. În consecință, statele care sponsorizează atacurile cibernetice au fost forțate să folosească aceasta armă. Primul super botnet apărut în media în anul 2011, se numea Stuxnet. Acest malware avea cel mai avansat cod scris, până atunci, de către o echipă de programatori. Principala țintă a acestui malware au fost instalațiile nucleare iraniene, folosind software-ul Siemens Step. Dauna a fost semnificativă și costul imens pentru guvernul iranian. Codul sursă a fost postat online, toți cercetătorii fiind de acord că acest malware este de departe cel mai avansat. Dezvoltatorii din spatele acestui malware erau necunoscuți, dar mulți cercetători au atras atenția că țara responsabilă pentru acest malware este fie Israel, fie SUA, fie amândouă. Este interesant că sunt multe versiuni și că acest malware a fost dezvoltat de-a lungul anilor, sugerând că a fost un process continuu.

Un alt malware avansat descoperit în 2011 este Duqu.  Acesta este similar cu  Stuxnet, dar are capacitatea de a infecta diferite sisteme SCADA, ceea ce face acest malware mai periculos decat predecesoarele lui. Dupa revelația Stuxnet și Duqu și lansarea codului sursă, industria de securitatea informației intră într-o altă etapă în care guvernele statelor produc malware-uri avansate.

Pericolul văzut de mulți cercetători în securitate cibernetică este că acest cod va ajuta într-un final un infractor cybernetic să dezvolte un botnet avansat.

În 2012, o companie de antivirus rusească a anunțat că a descoperit un botnet foarte avansat, care avea ca țintă organizații (ambasade, institute de cercetare, centre de cercetare a energiei, companii de benzina și gaze) din lumea întreagă, în special cele din Europa de Est și Federația Rusă.  Botnetul furase o cantitate impresionantă de informații pe o perioadă mai mare de 5 ani. Există dovezi că programatorii erau ruși și chinezi, deoarece lăsaseră informații importante în cod.

Hackerii cibernetici care au descoperit idea de botnet se confruntă cu o competiție foarte mare din partea statelor care au sponsorizat acest tip de malware. Dar după declarațiile lui Snowden, s-au descoperit botnets și mai sofisticați. Conform mai multor studii de securitate, NSA a dezvoltat un botnet, care prelua botneturile tradiționale ale hackerilor profesioniști.

Cele mai recente rețele de tip botnets descoperite

Industria malware este în continuare o afacere mare pentru hackerii profesioniști care vor să facă bani. O dată cu răspândirea telefoanelor mobile și a tabletelor sunt și mai multe ținte, iar competiția este o provocare pentru mulți infractori cibernetici care sunt dispuși să infecteze cât mai multe dispozitive posibile.

Un nou tip de botnet crește în popularitate, botnetul Android. Unul din cele mai mari în acest moment este MisoSMS, originar din China. Nu este sofisticat comparativ cu un Windows botnet dar poate provoca mult rău. De exemplu, acest botnet poate fura toate emailurile și SMS-urile  după care să le transmită către un server din China.

În aceeași categorie a botneturilor mobile este Oldboot, dezvoltat de hackeri chinezi, care a infectat mai mult de un million de dispozitive în China. După cum se vede, majoritatea dezvoltărilor de botnets are loc în Asia și Europa de Est, în special datorită protecției de care beneficiază infractorii cibernetici în aceste țări.

Un alt tip de botnet a fost dezvoltat recent și este șocant că a atacat unul dintre cele mai sigure sisteme de operare din lume, folosit de cei mai mulți specialiști IT. Denumit de media Linux/Ebury, a infectat mai mult de 25.000 de servere Linux din lume, făcând rău unor organizații precum Fundația Linux.

EDITIE SPECIALA – INTERNET OF THINGS

1591
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1338
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2368
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1431
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1376
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1381
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...