Tuesday, May 21, 2019
Numarul 1

2580

ionel_nitu

Ionel Niţu
Director General la
Centrul de Analiza a Informatiilor
si Evaluare a Tendintelor – CAIET

“Describing a past event is not intelligence analysis; it is history. True intelligence analysis is always predictive.”

Robert Clark

Despre ce NU am vrut să scriu

Acest articol ar fi trebuit să fie despre cybersecurity și, mai precis, despre nevoia de (ICS-)CERT în anumite domenii vitale din România (printre care și energia).

Am renunțat să abordez acest subiect, întrucât mai puțin de 20% din stakeholderii din domeniul energetic cu care am discutat de la începutul acestui an au înțeles importanța prevenirii amenințărilor cibernetice.

Literatură de specialitate există suficientă. La fel și modele de succes (implementarea unor astfel de CERT-uri în țări dezvoltate). La ultima conferință pe cyber la care am participat am prezentat un model de CERT privat într-un anumit segment de industrie din SUA.

Mi s-a spus chiar că ideea (în România) nu e nouă, fiind avansată/vehiculată de cel puțin doi ani.

Și atunci nu pot să nu mă întreb: și de ce nu se face nimic?

  1. Pentru că există percepții total diferite cu privire la securitate și ceea ce presupune ea.
  2. Pentru că nu știm cum să facem, de unde să începem.
  3. Pentru că (încă) nu ni s-a întâmplat ceva grav.

Despre ce am vrut să scriu

Supozițiile de mai sus sunt valabile atât pe palierele („verticale”) firești în care trebuie așezată securitatea (de la cea regională și națională, trecând prin cea aferentă unui domeniu, de ex. cel energetic, cea a firmelor, până la cea a comunităților și a persoanei), cât și între diferite tipuri de securitate (într-o abordare să-i spunem “pe orizontală”), respectiv: fizică, tehnică (chiar și tehnologică, dacă vorbim de SCADA), HR, IT, a informației, cibernetică și procedurală.

Cu alte cuvinte, este foarte posibil ca, de fapt, să nu avem politici coerente de securitate, pentru că nu știm cum să abordăm riscul. Spre exemplu, în domeniul energetic din România nu am auzit de un proiect de securitate care să vizeze tot ciclul: de la producție, trecând prin transport și distribuție și ajungând la cetățean (consumator). În ziua de azi, este foarte probabil ca un producator de energie să investească în securitatea fizică, transportatorul în securitatea în caz de dezastre, iar distribuitorul în securitatea sistemelor SCADA, fiecare în parte fiind de fapt vulnerabil în părțile în care ceilalți doi au decis să investească. De asemenea, e posibil să tratăm probleme persistente (vechi), neglijând riscurile noi, deși impactul celor din urmă poate fi catastrofal. Să mai consemnăm și că foarte puține abordări în zona privată vizează într-un tot unitar toate palierele securității.

Cu privire la supoziția 2 (“pentru că nu știm cum să facem, de unde să începem”), reiau câteva din concluziile unui studiu (realizat în coautorat) pe care l-am prezentat la o conferință (2012) a International Studies Association:

Context

Riscurile clasice, convenţionale sunt înlocuite de altele, mult mai difuze, complexe şi dinamice. Riscurile vechi continuă să se manifeste, dar prin alte forme (acompaniind perfect globalizarea, prin efectele pe care le generează). Ca şi cum nu era de ajuns, lumea spre care ne îndreptăm pare tot mai surprinzătoare, iar evenimente de tipul lebedelor negre sau gri par să se transforme din excepţie în regulă.

Pe acest fundal gri, se resimte nevoia, din ce în ce mai mult, a unor instrumente care să ofere posibilitatea de a scana viitorul şi de a anticipa riscurile, în vederea unei gestionări coerente a acestora (cu accent pe prevenire).

În acest sens, ideea motto-ului de mai sus, care evidenţiază necesitatea utilizării unor metodologii structurate de abordare integrată a riscurilor, devine un imperativ.

 

Ciclul analiză – evaluare – decizie

Managementul integrat al riscurilor presupune în fapt derularea unui ciclu, care include:  identificarea şi evaluarea riscurilor relevante (analiză); evaluarea toleranţei la riscurile relevante (evaluare); adoptarea măsurilor de răspuns (decizie).

  1. a) Analiza presupune un proces complex de auditare în scopul identificării riscurilor. În urma identificării riscurilor relevante la nivel strategic, acestea sunt evaluate, inclusiv din perspectiva transpunerii în spaţiile tactic/operaţional.
  2. b) Evaluarea reprezintă etapa prin care riscurile identificate sunt analizate sub aspectul a doi parametrilor: impact şi probabilitate de apariţie.
  3. c) Această etapă contribuie la cunoaşterea şi înţelegerea aprofundată, completă şi riguroasă a riscurilor, fundamentând deciziile viitoare.

 

O matrice (cu 2 sau 3 dimensiuni) de evaluare a riscului

Evaluarea se poate realiza folosind mai multe instrumente, unul dintre cele mai răspândite fiind matricea probabilitate-impact cu următoarele etape:

evaluarea probabilităţii de materializare a riscurilor identificate.

Probabilitatea reprezintă posibilitatea ca un risc să se materializeze şi măsoară gradul de certitudine – ce poate fi reprezentat pe diverse tipuri de scală (de 1 la 5, de la imposibil la foarte probabil etc.).

Probabilitatea de manifestare a unui risc este determinată atât prin examinarea datelor istorice relevante, a evenimentelor şi/sau situaţiilor care au apărut în trecut şi, prin urmare, s-ar putea manifesta în viitor, cât şi prin analizarea evenimentelor/situaţiilor actuale/în desfășurare, a căror materializare poate duce la apariţia unor riscuri într-un orizont de timp apropiat;

evaluarea impactului în cazul în care riscul s-ar materializa.

Impactul reprezintă consecinţa/efectul, dacă riscul s-ar materializa şi se evaluează pe o scală de la 1 la 5 (pericolele cu probabilitate de producere zero nu reprezintă pericole reale).

În evaluarea impactului, se ţine seama de faptul că riscurile care au un impact puternic semnalează o problemă acută, iar cele care se manifestă frecvent şi au un impact redus semnalează o problemă cronică;

evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

iotu_graficExpunerea la risc reprezintă combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului, care pot fi resimţite în cazul în care riscul s-ar materializa. Expunerea la risc are semnificaţie numai înaintea materializării riscurilor. În cazul în care acestea se materializează, expunerea la risc devine, în fapt, impact.

Scala expunerii la risc poate fi şi ea reprezentată în mai multe feluri (matriceal, cromatic, numeric etc.) care să descrie variaţia probabilităţii şi a impactului.

Evaluarea riscurilor trebuie actualizată pe măsură ce noi date semnificative devin disponibile şi contextul se schimbă. Totodată, la finalul acestei etape, trebuie actualizate datele existente la nivelul instrumentelor utilizate (fie ele softuri ori soluţii analitice), cele aferente impactului, probabilităţii şi expunerii la risc.

În urma parcurgerii etapelor de identificare şi evaluare se poate, în sfârşit, întocmi o reprezentare clară şi sintetică a riscurilor (grafică sau de altă natură, după îndemânarea analistului sau gustul beneficiarului), cu ierarhizarea acestora în funcţie de nivelul de expunere. Acesta constituie un instrument foarte important în managementul riscurilor, facilitând stabilirea unei ordini prioritare a riscurilor.

Evaluarea toleranţei reprezintă etapa prin care este stabilit nivelul de risc care poate fi acceptat, înainte de adoptarea măsurilor de răspuns. În acest context, sunt luate în considerare riscuri inerente (existente în absenţa oricăror măsuri de înlăturare sau atenuare) şi riscuri reziduale (care rămân după întreprinderea măsurilor de răspuns).

Stabilirea limitei de toleranţă la risc implică un anumit grad de subiectivitate deoarece depinde, în mare măsură, de felul în care este perceput riscul, ca fiind tolerabil sau nu – dacă expunerea sa se încadrează în limitele de toleranţă stabilite.

Pentru determinarea limitei de toleranţă la risc se folosesc soluţii matriceale de tip probabilitate-impact.

Utilizarea culorilor evidenţiază profilul riscului, care este rezultatul evaluării riscurilor şi al toleranţei la acestea şi indică un răspuns optim, într-o anumită ordine de priorităţi. Profilul riscului rezultă din regruparea riscurilor identificate, evaluate şi ierarhizate în raport cu mărimea deviaţiei faţă de toleranţa la acestea.

Astfel, toate riscurile care au un nivel al expunerii ce se situează deasupra limitei de toleranţă trebuie tratate prin măsuri prin care expunerea la riscuri reziduale să se aducă sub această limită de toleranţă.

1173

besnik

Besnik Limaj,
Team Leader, ENCYSEC project

Rep.: Domnule Limaj, sunteți liderul echipei ENCYSEC, un proiect important finanțat de UE, în care sunt implicate mai multe state. Vă rugăm să ne prezentați istoria, scopul, țările și instituțiile implicate.
Besnik Limaj: Proiectul “Enhancing Cyber Security” (îmbunătățirea securității cibernetice), este finanțat de IcSP (European Union’s Instrument contributing to Stability and Peace) și este implementat de un consorțiu condus de agenția guvernamentală franceză ADETEF (http://www.adetef.fr/) și de CIVI.POL Conseil (http://www.civipol.fr/en).
Proiectul își propune să crească securitatea și reziliența rețelelor ICT (Information Communication Technologies) într-un număr de țări selectate prin construirea de capabilități locale care să pevină în mod adecvat, să răspundă și să acționeze în justiție atacurile cibernetice și/sau căderile accidentale. Din punct de vedere geografic, proiectul acoperă zona de vest a Balcanilor și Sud Estul Europei și anume fosta republică iugoslavă Macedonia (FYROM), Kosovo și Moldova.
Proiectul este alcătuit din următoarele trei componente:
Componenta 1: strategii cyber security și de creștere a conștientizării
Componenta 2: construirea de capabilităși c.e.r.t
Componenta 3: îmbunătățirea cooperării: ppp (parteneriate public-private) și cooperare internațională
Proiectul a fost lansat la 6 ianuarie 2014 și va dura patru ani. Bugetul total al proiectului este de cca. 1,5 milioane de euro.

Rep.: Ce obiective ați reușit deja să atingeți și cu ce provocări vă confruntați?
B.L.: Cea mai mare reușită am obținut-o în cadrul Componentei 2. În momentul lansării proiectului nu existau CERT-uri în FYROM și Kosovo. În acest moment acestea au devenit operaționale și depunem eforturi consistente în creșterea capacităților lor operaționale prin workshop-uri și training-uri, prin facilitarea participării la diferite conferințe și prin participarea la întâlnirile Trusted Introducer de la Roma, unde au ocazia de a se întâlni cu colegi de la alte CERT-uri din Europa.
În plus tocmai am finalizat un tur de studii de două zile la CERT România, în cadrul căruia participanții au avut ocazia să vadă modul în care se răspunde la incidentele de zi cu zi și ce fel de instrumente sunt folosite.
Cele mai mari provocări se regăsesc în cadrul Componentei 1 (Cyber Security Strategy) și Componentei 3 (PPP).
În privința dezvoltării strategiei de securitate cibernetică, cea mai mare provocare este crearea grupului de lucru și stabilirea celor care să conducă grupul. Fiecare minister și agenție afirmă că ei sunt instituția principală care ar trebui să conducă grupul de lucru și există o lipsă de dorință de comunicare între stakeholderi. Dacă ne referim la PPP, este foarte dificil să convingem sectorul privat să împărtășească incidentele de securitate care li se întâmplă. Cea mai mare frică este cauzată de pierderea reputației în fața clienților lor în cazul în care fac public un incident.

Rep.: Am avut plăcerea să ne întâlnim de două ori în România cu delegația Dvs. și să constatăm excelentele relații pe care ENCYSEC le are cu instituțiile române din domeniul securității cibernetice, în mod special cu CERT-RO. Care este valoarea adăugată pe care România o poate aduce pentru ENCYSEC?
B.L.: România a adăugat o valoare importantă proiectului. Unul dintre cei doi experți CERT de care dispunem pe termen scurt vine de la CERT-Romania. Al doilea este de la CERT-Republica Cehă. Mai avem și un expert KE2 în CyberSecurity din România. Suplimentar, anul trecut în cadrul conferinței CyberSecurity in Romania de la Sibiu am identificat câțiva experți potențiali CS din România pe care vom încerca să îi implicăm ca experți pe termen scurt în cadrul proiectului.

Rep.: Vedem adesea că România și Polonia sunt descrise ca fiind Eldorado-ul european în materie de IT. Cum vedeți România din punctul de vedere al securității IT?
B.L.: România are un mare potențial în IT. Se spune că limba română este a doua limbă vorbită la Microsoft, datorită numărului mare de specialiști români. Jos pălăria în fața experților români în IT la nivel mondial.

Rep.: Asupra căror aspecte ale securității cibernetice ar trebui să se concentreze atenția României și a instituțiilor EU, după părerea Dvs.?
B.L.: Cel mai mult mă îngrijorează infrastructurile critice și mai specific protecția acestora – Critical Information Infrastructure Protection (CIIP). În zilele noastre sistemele SCADA sunt extrem de vulnerabile în fața atacurilor cibernetice. Un sistem SCADA poate fi atacat pornind de la un hacker care încearcă doar să dovedească că îți poate străpunge mecanismele de protecție și până la un terorist care dorește să distrugă centralele de producere a energiei electrice, furnizarea de apă, instalațiile petroliere și conductele de distribuție, sistemul de căi ferate etc.

Rep.: Activați în mai multe țări UE și non UE. De ce credeți că durează atât de mult implementarea creșterii conștientizării pericolelor cauzate de securitatea cibernetică, în școli, prin evenimente dedicate pentru adulți sau pe web, în ciuda numărului mare de strategii oficiale și de documente care insistă asupra faptului că aceasta ar constitui o prioritate?
B.L.: Luna trecută am participat la o conferință de CyberSecurity la Bruxelles, denumită CyberNeeds.eu, și acolo am auzit o idee interesantă care afirma că ar trebui să lăsăm pe cei de la Disney să facă această conștientizare publică. Ei știu cum să construiască mesajul și cum să-l livreze celor de la 2 și până la 82 de ani. Ideea este de a găsi mecanismele prin care mesajele să fie livrate cu ușurință către populație.

Rep.: ENCYSEC are un punct de vedere particular în această privință? Elaborați strategii pentru publicul general și pentru copii?
B.L.: Da.. O parte a strategiei de securitate cibernetică pe care o construim pentru țările beneficiare (partenere) se adresează atât publicului larg cât și copiilor.

1095

DSC_1151

Dan Tofan

Technical Director of the Romanian National Computer Security Incident Response Team (CERT-RO)
He is a technical expert, with an extensive experience, in the field of cyber security, gathered from the governmental, academic and private sector as well.
He holds a PhD in computer sciences – cyber security, and has multiple cyber security and project management related certifications.
In present he coordinates all technical projects developed by CERT-RO, being also part in several European workgroups related to cyber security policy making and standardization.


cert

Centrul Național de Răspuns la Incidente de Securitate Cibernetică

(CERT-RO)

Inspirat de titlul acestei reviste nou-lansate, m-am gândit să denumesc prezentul articol “Tendințe de securitate cibernetică în România”. Un alt titlu, pe care îl folosesc adesea când prezint acest gen pe informație, ar putea fi “Situaţia  securităţii cibernetice în România”. De ce un astfel de titlu? Deoarece acest articol se bazează pe date reale privind incidentele cibernetice de securitate la nivel naţional, colectate în ultimii ani de CERT-RO, o structură guvernamentală care are cunoștințele, capacitatea și accesul la informații corecte, în scopul de a publica astfel de rapoarte.

Câte ceva despre CERT-RO, suntem o structură independentă, cu experiență în domeniul securității cibernetice, cu capacitatea de a preveni, analiza, identifica și răspunde la incidente de securitate cibernetică ce amenință spațiul nostru cibernetic național. CERT-RO este coordonat de către Ministerul pentru Societatea Informațională și este finanțat integral de la bugetul de stat.

Ca un punct național de contact în ceea ce privește relațiile cu alte centre CERT, primim zilnic peste 200.000 de alerte care conțin IP-uri și adrese URL într-un fel implicate în cel puțin un incident de securitate cibernetică, și / sau creează probleme altor sisteme conectate la Internet din întreaga lume. Noi colectăm aceste date, le păstrăm într-o bază de date, le interpretăm (identificarea proprietarului sau a furnizorilor de servicii Internet (ISP), validarea în cazul unor incidente, anchetarea suplimentară, analiza malware, îmbogățirea datelor etc.), şi le transmitem, sub formă de alertă profesională de securitate cibernetică, pe e-mail în cele mai multe cazuri, părților afectate, fie furnizori de servicii Internet, companii private, instituţii publice sau persoane fizice.

Anul trecut, am colectat cca. 78 milioane de alerte, referitoare la 2,4 milioane de IP-uri unice, ce reprezintă aproape 24% din numărul total de IP-uri alocate României, adica ceea ce putem numi “spațiul cibernetic național românesc”.

Acum, revenind la tendințe, cel puțin două dintre ele au fost observate de noi când am studiat semnalările colectate în 2014.

Prima se bazează pe observația că 54% din alertele primite se referă la sisteme configurate greșit, care sunt vulnerabile și pot fi utilizate de către atacatori pentru alte obiective în Internet. “Configurat greșit” se poate referi la diferite tipuri de sisteme care au fost instalate cu setările implicite, sau nu au nici o măsură de securitate cibernetică instalată de către administrator, sau pur și simplu sunt prea vechi și depreciate pentru a fi securizate în mod corespunzător. În această categorie putem include open DNS resolvers, servere deschise NTP, dispozitive utilizate acasă configurate greșit (routere wireless, camere web, televizoare inteligente, smartphone-uri), care pot fi exploatate cu succes de către atacatori doar pentru că, în cele mai multe cazuri, acestea sunt deschise, și nu trebuie să fie sparte. De ce este nevoie de utilizarea acestor resurse deschise vulnerabile? Ei bine, ele sunt o țintă ușoară pentru atacatori, și pot fi folosite pentru a lansa mai departe atacuri pe Internet. Deci, ca o primă concluzie pentru această primă tendință putem spune că multe dintre dispozitivele și serviciile instalate în România nu sunt configurate și securizate corespunzător.

A doua tendință pe care o voi sublinia se bazează pe observația că 46% din alertele primite se referă la sisteme infectate care au fost atacate, compromise și fac parte dintr-un botnet. Este important de menționat faptul că, în cele mai multe cazuri, infecţia este persistentă, sau durează o perioadă de timp, din acest motiv este raportată la CERT-RO, eveniment care se poate întâmpla cu mult timp după infecția inițială. Am putea concluziona aici că sistemele afectate duc lipsă de soluţii antivirus, sau că soluțiile antivirus au fost păcălite de malware  modern mai inteligent, sau pur și simplu că sistemele nu sunt actualizate cu ultimele patch-uri de securitate. Deci, ca o concluzie la cea de-a doua tendință am putea spune că unora dintre români le lipsesc cultura şi cunoştinţele de securitate corespunzătoare, pentru a fi în măsură să se protejeze împotriva amenințărilor cibernetice (instalarea unui antivirus, actualizarea zilnică a software-ului, securizarea sistemelor de operare, securizarea dispozitivelor utilizate acasă etc.).

Ca o concluzie generală, am putea spune că domeniul amenințărilor cibernetice care vizează spațiul nostru cibernetic național a evoluat, atât în termeni de volum cât și de complexitate. Cetățenii români sunt puşi în pericol de amenințările cibernetice sus-menţionate, precum și restul Internetului, în timp ce lipsa unei culturi adecvate privind securitatea cibernetică asigură succesul unor astfel de amenințări cibernetice. După ce au fost compromise, sistemele sunt folosite în general ca proxy-uri, astfel încât atacatorii reali să îşi poată ascunde identitatea și să poata lansa alte atacuri pe Internet.

laurent

Laurent Chrzanovski

În viața reală, ulciorul Pandorei a fost deja deschis în ultimele decenii prin interacțiunea slabă dintre om și natură, generând viruși letali precum HIV, H5N1 sau Ebola. Dar ulciorul digital al Pandorei, recent deschis în varianta 2.0 și Internet of Things (IoT), ne rezervă pandemii în comparație cu care bolile sus-menționate par mult mai ușor de gestionat.

Contextul, cu părți pozitive și negative

Problemele e-Health constituie, desigur, cea mai mare miză economică – deci și criminală – din era digitală, alături de cele legate de spionaj sau război cibernetic (cyberwar).

Pe de o parte, cea pozitivă, trebuie subliniat că este absolut necesară implementarea, prin informatizare inteligentă, a unor unelte ce permit un progres real în sistemul medical. Aceste unelte vor fi utile pentru a lupta, de exemplu, împotriva furtului de medicamente, a abuzurilor medicale, malpraxis, sau pentru operațiuni foarte complexe în care e-Health asigură o interdisciplinaritate de elită prin prezența virtuală și robotică interconectată a echipelor chirurgicale din mai multe țări, rezolvând astfel multe probleme, dar nu în ultimul rând, și pentru a ușura munca echipajelor medicale de salvare.

În ceea ce privește ultimul subiect, instruirea echipajului medical mobil de prim-ajutor asupra identității și a problemelor bolnavului sau rănitului care trebuie salvat este mai mult decât necesară și chiar salvatoare de vieți.

În schimb, partea negativă este reprezentată de faptul că sistemele electronice de sănătate constituie o centralizare totală, neîntâlnită în istorie, pentru cantitatea și calitatea datelor ultra-confidențiale ale cetățenilor, medicilor și farmaciilor dintr-o țară întreagă. În România, vorbim despre sistemul informatic unic integrat (SIUI), reţeta electronică (SIPE), cardul de sănătate (CEAS) și, mai ales despre dosarul electronic de sănătate (DES).

Mai mult, dacă nu sunt securizate corespunzător, aceste sisteme pot fi o “bombă” mai ales în țări ca Italia, SUA, România, în care fiecare cetățean are un cod unic (Codice Fiscale, Social ID, CNP). În aceste cazuri, penetrarea în sistemul e-Health va permite și o cale de acces suplimentară către alte informații, cum sunt cele cu caracter fiscal, bancar sau personal legate de acest cod.

Așadar, acești noi centralizatori de date constituie desigur “the ultimate target” (ținta supremă), adică cea mai mare mină de aur din era digitală, pentru grupări criminale, cu intenția de a vinde rezultatele furate industriei medicale și farmaceutice, dar și departamentelor de resurse umane ale firmelor private.

Dacă adăugăm faptul că majoritatea “gadget-urilor e-Health”, în prezent cumpărate masiv de țările avansate, sunt nesecurizate sau prost securizate, și că majoritatea au sau dau un acces parțial la “mina de aur”, atunci conștientizăm că fiecare stat în parte va trebui zilnic să se asigure de impenetrabilitatea centralelor locale, regionale și naționale și să aibă curajul să interzică anumite produse incompatibile cu securizarea sistemului.

e-Health prezentat ca soluție miraculoasă într-un context medical public real la pământ

Trebuie să ne alarmăm? Da, pentru că avem de ce. Cu ajutor politic și cu sprijinul lobby-urilor, “e-ulcioriul” Pandorei este larg deschis, iar spiritele rele împreună cu bolile lor s-au răspândit deja în spitalele din toate țările dezvoltate.

În aproape toate țările din UE, sistemele medicale și cele de asigurări sociale obligatorii, cele care finanțează gratuitatea medicamentelor și a serviciilor medicale, au fost aduse în mai puțin de 30 de ani în pragul colapsului definitiv, prin nepăsarea și prin complicitatea criminală a politicienilor.

Nu este nevoie să ne aflăm într-un județ periferic din România pentru a găsi un spital slab echipat și a fi obligați să cumpărăm din bani proprii medicamente necompensate sau să fugim într-un oraș mare, aflat uneori chiar la mai multe sute de kilometri. Sunt minim alte 10 țări din UE unde se întâmplă același fenomen, în proporții mai mari sau mai mici.

Într-un context european unde regiuni rurale întregi au fost părăsite de către Stat prin eliminarea voită a structurilor locale de prim-ajutor, dar și de către privați prin abandonarea cabinetelor individuale nerentabile, bolnavii au fost condamnați să meargă la spitalele din orașe sau, în cazuri extreme, să apeleze la sistemul de ambulanță pentru a fi duși la aceleași spitale. Controlul digital la distanță apare astfel ca un miracol, o scuză ideală pentru edili să justifice că au grijă de toți cetățenii, inclusiv cei din mediul rural.

Dar atât la țară, cât și la oraș, slăbirea generalizată a calității, prestațiilor și serviciilor gratuite garantate de sistemul public nu reprezintă altceva decât o mișcare neoliberală foarte înțeleaptă, începută o dată cu căderea zidului Berlinului, care are ca miză pe termen lung – la fel ca și în cazul sistemelor de pensii – privatizarea totală a sistemului medical.

Dar și acolo unde încă rezistă, de exemplu în Franța, un sistem public solid dar ultra-costisitor, s-a găsit soluția-minune pentru cei care doresc să fie absolut siguri că vor beneficia de un tratament de calitate și că vor scăpa de trecerea obligatorie și din ce în ce mai îndelungată prin zona de urgență a spitalelor publice.

Această “minune” se numește asigurare complementară privată și plătește toate medicamentele, cheltuielile din orice clinică inclusiv de lux, cele mai scumpe operații și tratamente, dar și tratamente post-operatorii neobligatorii.

Autorul știe foarte bine despre ce vorbește fiindcă, prin referendum, poporul elvețian a renunțat de mult la casa unică de sănătate vrăjit de mirajul ieftinirii primelor prin concurență.

Prin urmare, orice cetățean elvețian (inclusiv eu), plătește între 250 și 800 de Euro pe lună pentru a fi asigurat, diferența de cost nefiind calculată în funcție de venituri, ci în funcție de franciza aleasă de client, franciză care acoperă sau nu de la simpla consultație a doctorului de familie până la operații sau tratamente grele (cei care aleg să plătească primele mici trebuie să acopere primii 10.000 de Euro, cei care aleg primele mari trebuie să acopere primii 200 de Euro).

Așadar, un tânăr care nu a mers la doctor deloc timp de un an tot a plătit 3.000 de Euro asigurărilor. Dacă nu poate să plătească, plătește serviciul social de stat (sic!) pentru el.

Sistemul elvețian fiind obligatoriu, niciun asigurator nu poate să refuze un cetățean. Dar oriunde altundeva în lume, același asigurator are drepturi de viață sau de moarte în alegerea “clientului”, are voie să ceară dosarul medical confidențial, să adapteze primele lunare, să refuze pacientul sau să rezilieze contractul în funcție de gradul de risc al personei (dacă are antecedente de depresie sau alte tratamente psihiatrice, dacă a avut o boală infecțioasă etc.).

Dacă adăugăm că fumatul și consumul de băuturi alcoolice sunt legale, pe când antecedentele de boli incurabile sau genetice ale parinților sau copiilor pacientului sunt, prin lege, interzise la acces asiguratorilor privați, atunci înțelegem ușor de ce fiecare element de “e-Health intelligence” este un plus de neprețuit.

Bani? Iată banii reali din mediul digital!

Este deja știut și dovedit de mult: un dosar medical complet al unui singur cetățean al UE este negociat pe piața neagră între 4 și 12 USD în funcție de cât de “social” este încă Statul în care trăiește (i.e. câte prestații și medicamente sunt gratuite pentru fiecare cetățean), pe când cel al unui cetățean al Marii Britanii sau al SUA pornește de la 16 USD, până la 40 sau chiar 80 USD, sistemele de sănătate și de asigurare fiind, în ambele țări, private sau semi-private.

Mult mai îngrijorătoare însă, este informația apărută abia acum două săptămâni în paginile prestigiosului Huffington Post, unde se estimează că numai informațiile privind vârsta și sexul unei persoane valorează 0,007 USD, iar dacă aceași persoană a fost “înregistrată” căutând pe Google tematici despre cancer sau boli de inimă, valoarea aceleiași informații crește la 0,447 USD, adică de 64 de ori mai mult. Prin această simplă ecuație, vedem cât de mult valorează “factorul medical” în cadrul identității digitale, pentru interese de business intelligence.

Așadar, dacă acceptăm studiul făcut de către Boston Consulting Group în 2011, în care se proiectează că, în 2020, ansamblul datelor de bază ale cetățenilor UE (nume, prenume, data nașterii, sexul, cetățenia, domiciliul) va valora în jur de un trilion de USD, și multiplicăm aceste date cu așa-numitul “factor medical” (64 de ori), ajungem la 64 de trilioane de USD.

De la selecția naturală la selecția digitală a celor care supraviețuiesc

Asiguratorilor și prestatarilor privați de servicii medicale li se adaugă atotputernicul lobby al produselor farmaceutice, care au găsit doar în India, Brazilia și Africa de Sud în Stat un adversar suficient de democratic și puternic care să interzică măcar câteva din excesele cele mai flagrante, ca de exemplu costurile exorbitante propuse inițial pentru medicamente de veche generație proaspăt “rebrand-uite” înainte de data de expirare a brevetului, precum cele pentru tratamente ale HIV sau ale cancerului.

De luat în seamă este și interesul firmelor mari în momentul recrutării atât a angajaților de vârf, cât și a celor medii. Deja în SUA, refuzul din start al unui dosar de candidatură este până la 75% motivat de elemente ale vieții private ale candidatului, găsite prin OSINT de către departamentele de resurse umane ale companiilor. Cine ar vrea să angajeze o persoană atinsă de o boală incurabilă, chiar și dacă este vorba de cel mai bun candidat dintre toți?

Industria medicală și politicienii vrăjiți de mirajul digital

Într-o lume în care industria medicală și farmaceutică se află, ca greutate financiară, imediat dupa sectorul agro-alimentar (locul 1) dar și mult înaintea sectorului militar, se remarcă ușor cât de uriașe sunt interesele pentru această industrie ce prezintă o creștere exponențială a gamei sale de produse digitale, o sursă rapidă de bani, cu captivitate sporită a clientului (fie el un Stat sau un simplu bolnav).

Joaca cu așa-zisa “eficientizare a actului medical” prin mijloace IT si IoT a devenit o armă politică redutabilă. Pentru mulți aleși, costurile de implementare nu mai contează, în raport cu explicațiile date cetățenilor-alegători că implementarea totală a sistemului a permis reducerea numărului de bugetari, sau că aceștia lucrează mai bine.

Exemplul cel mai elocvent a fost cel citat în decembrie anul trecut la Roma, în cadrul conferinței naționale italiene e-Sanità, de către Graziano de Petris, Director pentru privacy al grupului medicalo-universitar “Spitalele Reunite” ale Provinciei Trieste. A fost vorba de direcția regională a unui grup de spitale din Italia, care, în grija sa de a eficientiza și fluidifica munca doctorilor, a cumpărat un stoc de brățări electronice ce permiteau tuturor doctorilor, în mod “touchless” să intre direct în sistemul informatic pentru a consulta dosarul clinic al pacienților lor pentru a adăuga în același dosar actul medical abia terminat sau tratamentul prescris.

Aceste brățări, care conțineau atât numele de utilizator cât și parola pentru a accesa datele din sistem, erau nesigure, devenind o sursă perfectă pentru un furt de informații, fără să fie nevoie să fie furate fizic de către un hoț. Culmea, brățările erau identice și ușor interschimbabile din greșeală între doctori, de exemplu în momentele de igienizare a mâinilor și brațelor, așa că erau și o sursă de informații inexacte despre doctorul real care a făcut actul real, care devenise, din greșeală, actul colegului său.

Culmea, Graziano de Petris a reușit să convingă definitiv direcția generală a spitalelor să retragă brățările din sistem în momentul în care a dovedit că timpul “câștigat” de fiecare doctor prin folosirea brățării era mai scurt de cinci minute pe zi.

În articolul lui Raoul Chiesa, puteți citi cât de ușor poate fi omorât un bolnav de inimă sau de diabet dacă spitalul unde a fost tratat i-a înmânat un pacemaker bluetooth sau o centură de insulină wifi.

Dacă Statele nu impun regulamente stricte, punem pariu că e-Heath în general și Internet of Things în domeniul sănătății vor deveni cel mai periculos izvor de scurgeri de informații și de malpraxis din sistem?

Nici nu e nevoie să punem pariu pentru că, în plus, statele și cetățenii vor arunca milioane pentru că orice pace-maker wifi va trebui schimbat la fiecare 4 ani, la fel ca laptopurile, pentru că nu vor mai corespunde noului sistem de operare, sau noilor versiuni de software impuse de fabricant.

Partea bună a legendei antice este că singurul spirit rămas în interiorul ulciorului, după ce acesta a fost reînchis cu greu de Pandora, a fost Elpis, tânărul spirit al speranței…

* Vorbim evident despre mitul numit “Cutia Pandorei”, o denumire acum folosită în toată lumea, dar eronată. Această denumire se datorează unei greșeli a marelui erudit Erasmus din Rotterdam la traducerea sa în latină a fabulei originale a lui Esiod. În limba greacă, Esiod folosește termenul “pithos” (ulcior de lut), citit “pyxis” (cutie de lut) de către Erasmus, acesta confundându-l probabil cu cutia Psychei, deschisă și ea împotriva ordinului strict al zeilor, un alt mit antic binecunoscut.

raoul

Raoul “Nobody” Chiesa

President, Founder, Security Brokers ScpA

Membro del Permanent sStakeholders Group presso l’ENISA (European Union Network & Information Security Agency)

Socio Fondatore del CLUSIT, Associazione Italiana per la Sicurezza informatica

Board of Directors dell’ISECOM, Institute for Security and Open Methodologies

Cultural Attachè e Responsabile Italiano dell’APWG, Anti-Phishing Working Group, European Chapter

Senior Advisor on Cybercrime and Hacker’s Profiling presso l’UNICRI, United Nations Interregional Crime & Justice Research Institute

Membro del Comitato Scientifico dell’OPSI, Osservatorio Privacy & Sicurezza Italiano presso AIP (Associazione Informatici Professionisti)

Scenariu

Ne aflăm în plină “eră digitală” (Digital Age), trăim într-o societate a informaţiei care vrea să fim online constant, conectaţi şi “sociali”: trecerea de la Web 2.0 la “the next thing” este gata să se întâmple. În acest scenariu ajunge, în toată Europa, e-Government, adică administraţia publică tinde să devină integral online, şi odată cu ea toate datele noastre de cetăţeni, deveniţi cu toţii digitali. Dar acest trend nu este nimic în comparaţie cu ceea ce urmează, adică paradigma Internet of Things (IoT) sau, cum este deja denumită de unii, Internet of Everything (IoX).

Acest IoX a apărut acum câţiva ani şi devine tot mai important pe zi ce trece, cu tot mai multe dispozitive pe care le purtăm asupra noastră, mult mai invazive decât Goggle Glass: de la pace-makere care comunică prin Bluetooth la pompe de insulină acţionate prin Wi-Fi, la automobile inteligente care se vor conduce singure (şi care oricum deja în ziua de azi au o adresă de IP), la electrocasnice, unde avem deja frigidere care emit spam-uri, până la varianta „urbană totală”, adică ceea ce numim smart cities. Să nu uităm, în acest context, de IPv6 şi de toate noile vulnerabilităţi pe care le va aduce cu el, aşa cum se întâmplă mereu cu fiecare nou protocol complex şi la fiecare nouă implementare.

Revenind la contextul de sănătate şi security, este evident că sănătatea devine şi ea digitală, aceasta fiind o evoluţie naturală. Această schimbare este însoţită de legi, normative şi decrete, dar şi de necesitatea de a optimiza timpii şi costurile sistemului medical central şi local, prin voinţa mişcării e-Governement a fiecărei ţări în parte dar şi prin îndeplinirea planurilor şi directivelor aprobate la nivelul Uniunii Europene.

Începem deja să avem probleme foarte serioase, ca de pildă cu anumite pace-makere sau cu pompele de insulină, unde vânzătorii din companiile IT de e-sănătate produc şi comercializează platforme, softuri şi sisteme absolut nesigure sau, mai elegant spus, al căror aspect de securitate al informaţiilor nu este nici pe de parte o prioritate.

Acest fenomen se întâmplă deoarece operatorii din domeniul sănătăţii nu au (în afara câtorva excepţii foarte rare) o viziune şi o educaţie suficientă asupra noilor provocări legate de ICT Security. Dacă observăm tendinţele din ultimii 2-3 ani, mai ales cele provenind din lumea ethical hacking dar şi a Cybercrime, sectorul medical este, cu siguranţă, una dintre următoarele ţinte cu risc foarte ridicat. Aceste informaţii trebuie să ne preocupe în acest context al IoX şi al dispozitivelor “implantate în corpul uman”!

Hacking-ul dispozitivelor medicale

Este suficient să căutăm pe Google “hacking medical devices” pentru a verifica şi a înţelege ceea ce am afirmat mai sus: în 2010, rezultatele acestei căutări numărau câteva sute de mii (reprezentative, adică, ale cercetării întreprinse atunci de comunitatea underground), iar în 2012 au ajuns la aproape trei milioane şi jumătate, pentru a ajunge azi la cifre care ating de la unul la patru milioane, în funcţie de ţara sau VPN-ul cu care se face căutarea.

În ceea ce priveşte faimosele pompe de insulină despre care am amintit mai sus, este incredibilă povestea lui Jerome Radcliffe, un ethical hacker, care a prezentat proiectul său “medical devices hacking” la Black Hat 2011. Când a împlinit 22 de ani, Jerome a pierdut dramatic din greutate în mai puțin de 2 luni, îi era sete continuu iar după o serie de analize, a descoperit că suferea de o formă foarte gravă de diabet.

Doctorul său i-a prescris injecţii de insulină, care trebuiau administrate între patru şi șapte ori pe zi. Folosirea unei seringi nu e confortabilă pentru nimeni, aşadar doctorul i-a propus un nou dispozitiv care iniectează în mod automat insulina în corpul uman. Acest dispozitiv era un dispozitiv “e-health”, adică copilul mariajului dintre progresul digital şi ştiinţa medicală şi era dotat cu comandă de la distanţă.

Jerome, fiind expert în domeniu, a hotărât să afle mai multe despre funcţionarea dispozitivului: a deschis un nmap dupa ce stabilise un link cu device-ul şi…, foarte puţin timp mai târziu, a prezentat descoperirile proprii la Black Hat, unind eforturile sale cu cele ale unei echipe de cercetători foarte cunoscuţi, printre care Travis Goodspeed, Shawn Merdinger şi regretatul Barnaby Jack (acelaşi care, tot la Black Hat, a adus un Bancomat pe podium şi l-a făcut să “scuipe bancnote” continuu).

Poveşti şi experienţe personale

În anul 2005 eram încă manager al primei firme înfiinţate de mine în 1997, când am fost contactat de un mare spital situat în Italia de Nord, care mi-a propus un contract de realizare a unei serii de Penetration Testings.

În domeniul medical, acest tip de verificări nu aveau precedent, datorită securităţii operative a gestiunii datelor pacienţilor şi mai mult, datorită instituirii obligativităţii actului normativ privind protecţia datelor personale, cunoscută de toţi în Italia sub numele de “196”.

Ceea ce descoperisem a fost – puţin zis – de-a dreptul halucinant, deoarece era pe departe cel mai prost nivel de securitate întâlnit, mai prost chiar decât cel al universităţilor italiene!

Dupa 3 ani de activităţi derulate în mod ciclic şi de activităţi punctuale (fiindcă securitatea este, înainte de toate, o metodologie organizată și procedurală), am reușit cu toţii să facem ca spitalul amintit să devină, ceea ce este încă şi azi, o mica bijuterie ICT security în acest sector.

Mai târziu, am fost contactat împreună cu echipa mea de alte structuri judeţene de sănătate şi de o serie de clinici private, pentru a verifica mai multe alte aspecte, printre care infidelitatea angajaţilor prin abuzul de utilizare a dispozitivelor IT şi verificarea scurgerii de informaţii medicale ce puteau fi vândute de insiders (digital forensics) precum și compliance în relația cu normele şi standardele în vigoare, mai ales cu cele din străinătate, unde sensibilitatea privind siguranţa în acest domeniu este mult mai mare.

Piața, inclusiv cea italiană, este foarte mare şi nu toate structurile medicale au capacitate de anticipare, chiar dacă acest lucru e foarte necesar. În iulie 2012, o structură judeţeană de sănătate din Italia de Nord a hotărât să fie “on-line”. Această decizie a fost dramatică, toate dosarele medicale ale pacienților s-au dovedit a fi accesibile de către terți (prin Internet), din cauza problemelor legate de SQL Injection (vulnerabilitate bazată pe web prin lipsa de securizare a input-urilor de către front-end-ul Web).

Puțin mai devreme, în 2011-2012, alte exemple (publice şi cunoscute) de “black-box security testing” şi de “reverse engineering” aplicate la produsele medicale au avut o creștere total neprevăzută. Lumea din “digital underground” a descoperit noile “jucării” cu care să se amuze. În aceste condiţii s-a apelat la  cercetători din domeniul security, iar descoperirile de fisuri şi vulnerabilităţi au început să plouă, – o adevărată furtună!

Dacă ne uităm un pic încă și mai devreme şi considerăm perioada din 2009 până azi, răspunsurile (cel puțin cele făcute publice) date de marii vendori ai lumii e-Health au fost egale cu zero.

Nicio deschidere publică pe tema vulnerabilităţii, nicio comunicare asupra “security patch”, nicio dezbatere cu experţi din domenii precum  InfoSec sau Ethical Hacking!

De parcă, dacă i-am asculta, abordarea clasică (şi complet greşită!) a “Security through Obscurity” ar funcţiona…

Problematici

Fără să ne întoarcem în timp atât de departe, revenim la datele medicale, la FSE (Fascicolo Sanitario Elettronico), de unde pleacă totul, bun sau rău, adică unitățile spitaliceşti judeţene, spitelele şi structurile medicale care gestionează dosarele noastre medicale.

Înainte să intrăm în detalii tehnice, trebuie să aruncăm o privire asupra organizării şi gestionării sănătăţii şi a motivelor atâtor disfuncționalităţi în domeniul digital:

  • structurile medicale (exact ca şi operatorii de telefonie mobilă) au încredere în ceea ce le spune vendor-ul în ceea ce priveşte “soluțiile sigure”;
  • operatorii structurilor medicale sunt prioritar focalizaţi şi implicaţi în operaţiuni tipice ale lumii medicale, cu o apreciere sporită către upgrade-uri de software, performanţe de reţea şi continuitate a aparatelor medicale, dar şi alte obligaţii de rutină foarte consumatoare de timp…
  • aceşti operatori dispun foarte rar de cunoștinţe in-house asupra tematicii ICT security;
  • în mod tipic, în structurile medicale, există o separare foarte rigidă între divizia de IT (sistemele informatice) şi “toți ceilalţi”, generând de fapt două domenii diferite de security;
  • rezultatul aceastei abordări este că cea mai mare parte a acestor structuri medicale sunt vulnerabile la atacuri externe şi interne.

Nu trebuie uitat în plus că, în cadrul licitaţiilor publice din Italia, factorul decisiv este întotdeuna preţul şi politica de a scrie dosarele de licitaţii “ad minima”; foarte rar citim în licitaţii vocea “securităţii informatice” sau impunerea explicită a metodologiilor de verificare a siguranţei precum cele ale OSSTMM/ISECOM (www.isecom.org și www.osstmm.org) sau OWASP (www.owasp.org) şi încă mai rar găsim o obligaţie clară de a implementa framework-uri ale S-SLDC (Secure Software Life Development Cycle).

Cu tot ceea ce am descris, concluzia este că, în general, atât software-ul cât şi aplicaţiile web (portaluri, CMS, front-end și back-end) care sunt vandute administraţiei publice de către firmele private sunt nesigure, pline de viermi şi de greşeli de programare, inclusiv cele mai cunoscute şi “clasice”, precum SQL Injections, Cross-Site Scripting etc.

Cazul ASL (i.e. unitate medicală judeţeană)

În Repubblica Inchieste a fost publicat recent un dosar special dedicat furtului de identitate, la care am lucrat personal cu jurnalistul Alessandro Longo.

În acest dosar special, printre multe alte subiecte şi cazuri prezentate, se vorbeşte despre un ASL şi despre date ale pacienţilor care sunt expuse şi accesibile publicului.

E vorba de un oraş de mărime medie din nordul Italiei, de circa 200.000 locuitori. Nici prea mare, nici prea mic. Într-un astfel de loc, probabil lăsat de o parte de către mafia licitațiilor trucate şi a puterilor transversale, ar fi de aşteptat să se acorde o atenţie deosebită securităţii datelor cu caracter personal ale cetăţenilor săi şi selecţiei de companii de software care scriu aplicaţii şi proceduri pentru a le gestiona.

Din păcate, Repubblica Inchieste a reuşit să obţină informaţii foarte clare din diferite surse, care reprezintă dovezi concrete şi incontestabile ce denotă o situaţie cel putin catastrofală: scenarii teribile, situații care merg mult mai departe decât o simplă jenă pe care ar avea-o ASL dacă ar fi cunoscute de către rău-voitori, traficanţi de date personale şi lumea obscură a Cybercrime.

Când, acum câteva luni, am fost contactaţi de către un informator, ne așteptam la ceva îngrijorător. Ne gândisem la clasica fisură de securitate în codul software utilizabil de către cetăţeni, la capacitatea atacatorilor de a citi, sau chiar a modifica datele personale ale pacienţilor: domiciliu, telefon, numere de securitate socială, date ale rudelor etc.

Realitatea faptelor despre care am aflat și pe care le-am verificat cu grijă, relevă cel mai teribil scenariu posibil de imaginat. Aș putea spune că rezultatele ne amintesc foarte mult de filmul “The Net” cu Sandra Bullock… dar, din păcate, noi nu suntem la Hollywood şi aici nu este vorba despre un film.

În continuare, am încercat să rezumăm lista acţiunilor comise şi consecinţele lor pentru pacienţi:

  • Adăugarea unui pacient în baza de date ASL;
  • Ştergerea unui pacient din baza de date ASL;
  • Crearea unei programări CUP la această unitate medicală, fără să stăm la coadă şi, mai mult, fără să plătim nimic;
  • Ştergerea unei programări CUP: în acest caz, vulnerabilitatea informatică are consecinţe grave în lumea reală. Să ne imaginăm programarea efectuată cu trei luni înainte de către un pacient care, cu o zi mai târziu, are şi o vizită la cardio-chirurg. Rău-voitorul poate efectua o substituţie în dosarul pacientului, astfel încât, atunci când se va prezenta pacientul real, programarea sa să fie respinsă, pentru că doctorul așteaptă o altă persoană. Ca şi când nu ar fi suficient, în plus de dauna suportată, vine şi jignirea: în cazul în care pacientul real face o contestaţie, el nu se va putea baza pe nimic decât pe o programare anulată de sistem, pe cand pacientul “adăugat” va avea în mâna sa documentul ştampilat cu o programare validă. Cu aceste date, putem lansa şi ipoteza unei vânzari de programări de către grupări criminale, structurile medicale nemaistăpânind propriul sistem informatic.
  • Adăugarea unei plăţi care nu a fost făcută niciodată, pentru unele prestaţii (examen medical, analize, etc.): în acest caz, posibilitatea pentru criminali de a folosi fisura informatică pentru a face bani uşor, este foarte concretă.
  • Accesarea istoricului tuturor programărilor efectuate de pacienţi în orice structură a unităţii medicale menţionate: examinări, vizite, analize, operaţii…. Totul!

În acel moment, ne-am stabilit întrebările şi ne-am imaginat unele scenarii, cu siguranţă nu plăcute pentru cei care au ghinionul de a fi înscrişi în acest ASL al ţării noastre.

CE AR PUTEA FACE CRIMINALII CU ACESTE DATE?

Desigur, o astfel de arhivă de date va fi apetisantă pentru o mulțime de persoane, din motive şi obiective foarte diferite. Un prim comentariu al nostru este, evident, legat de piaţa neagră a datelor personale în lumea infracțiunilor, adică acele date esenţiale pentru a crea fraude financiare precum cele pe care Repubblica le ilustrează în alte servicii de anchetă.

Presupunând totuşi, alte scenarii ilegale, am explicat această situaţie unui tânăr expert în securitate informatică, Pawel Zorzan Urban, şi i-am cerut opinia.

“Mă pot gândi imediat la revânzarea ilegală a acestor date”, spune Zorzan Urban, “poate unui cumpărător care poate asigura un profit ridicat. Să ne gândim la lumea asigurărilor, să ne imaginăm că asigurarea analizează posibilitatea de a accepta asigurarea de viaţă a unui client”.

“Din datele achiziţionate de la ASL, asiguratorul află că clientul face câte o vizită oncologică la fiecare şapte zile. Acest exemplu nu ne împiedică desigur să ne gândim la scenarii mai clasice”, continuă Pawel Zorzan, “cum ar fi vânzarea acestor date unor grupuri specializate în furtul de identitate. Baza de date de care mi-aţi vorbit, de fapt, conţine toate datele necesare pentru cei care comit furtul de identitate, deoarece sunt prezente în arhivele digitale ale acelui grup spitalicesc datele fiecărei persoane care a fost, chiar şi numai o singură dată, într-una dintre secţiile medicale din grup”.

Să ne imaginăm acum un scenariu diferit: haideţi să luam un orăşel cu un primar foarte expus, fie pentru că aparţine unui anumit partid politic, fie din alte motive. Ideea de a pune online datele private ale acelui primar şi ale familiei sale aminteşte de strămoşeasca “expunere pe căruţă” (condamnatul era legat pe o căruţă şi expus la înjurături, huiduieli şi scuipat de către cetăţeni, n.d.r.) în variantă digitală şi 2.0.

Pe de altă parte, vorbim despre un ASL cu aproape 500.000 de pacienţi activi şi circa 25.000 dintre ei cu programări active pentru următoarele 60 de zile de la data discuţiei…

Nu sunt numere mici şi este de reţinut faptul că daunele unei astfel de falii informatice sunt incalculabile. Dacă această situație va fi făcută public, să nu ne mirăm dacă se va depune un recurs colectiv în judecată împotriva grupului medical amintit mai sus, aşa cum deja a fost cazul şi este des cazul în SUA, în mai multe sectoare, printre care şi cel financiar, exact din cauza vulnerabilităţilor informatice.

În fine, nu putem exclude o luare de poziţie serioasă din partea Garantului Italian al Datelor Personale, care foarte probabil ar începe cu amenzi usturătoare la adresa structurii medicale incriminate, obiectul investigaţiei noastre.

Ceea ce ne întrebăm acum, însă, merge mult mai departe decât acest exemplu. Câte grupuri medicale din țară şi din străinătate expun în mod atat de iresponsabil datele pacienţilor? Câţi tineri hackeri au identificat deja fisuri în multe alte site-uri web ale administraţiei publice şi/sau au profitat deja să vândă pe bani grei rezultatele  obţinute de către grupări organizate de cybercrime.

Concluzii

  • Domeniul Information Security aplicat lumii e-Health este în fază preistorică.
  • Există o nevoie extremă şi imediată de:
    • cercetare aplicată,
    • teste de securitate a dispozitivelor (Ethernet, WiFi, Bluetooth, ZigBee…),
    • teste de securitate a software-ului, (poate chiar înainte de a fi cumpărat!),
    • sensibilizarea publicului din domeniu,
    • cultură şi conştientizare atât a personalului informatic cât şi medical şi mai ales cel managerial.
  • Problema este foarte diferită faţă de cea a ICT Security din lumea financiară, TLC etc…, pentru că aici vorbim în special de vieţi umane aflate în joc!

1967

big_virgil_spiridon

Virgil Spiridon
Adjunct al inspectorului general al Poliţiei Române
Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliţia Română
Coordonator în cadrul proiectului european EMPACT/EUROPOL, pe linia criminalității informatice (Fraude cu carti de credit)

http://www.politiaromana.ro , www.efrauda.ro

Evoluția crimei organizate în România în ultimii anii este strâns legată de evoluția criminalității informatice și de folosirea tot mai intensă a tehnologiei IT&C în comiterea de infracțiuni.

Analizele realizate la nivelul organismelor europene privind trendul criminalității organizate, definesc criminalitatea informatică ca o ramură importantă a crimei organizate la nivelul țărilor UE.

Dezvoltarea fenomenului criminalității informatice în România se manifestă sub mai multe aspecte:

– creșterea numărului de cazuri înregistrate și organizarea celor ce comit astfel de fapte în adevărate grupuri infracționale;

– permanenta preocupare a infractorilor pentru identificarea de noi moduri de operare și perfecționarea acestora și

– reorientarea grupărilor criminale care în trecut comiteau infracțiuni din sfera traficului de persoane, traficului internațional de autoturisme și traficului de droguri, către infracțiuni de natură informatică.

Principalii factori care au determinat reorientarea grupărilor criminale către infracţiuni informatice:

– obţinerea de câştiguri materiale mari într-un timp relativ scurt şi cu riscuri relativ mici;

– caracterul transfrontalier al infracţiunilor, face ca instrumentarea acestora de către autorităţile unui stat, să fie mult mai dificilă, întrucât pentru probarea faptelor este nevoie, de cele mai multe ori de obţinerea unor informaţii de la autorităţile competente din mai multe state, pe calea cererilor de asistenţă juridică internaţională, procedură ce este costisitoare şi lentă;

– accesul facil la echipamente moderne care permit desfăşurarea de activităţi ilicite complexe și

– posibilitatea deplasării rapide de pe teritoriul unui stat pe teritoriul altui stat a membrilor unei grupări criminale; urmărirea activităţii desfăsurate de către aceştia fiind de cele mai multe ori, foarte greu de realizat de către autorităţile competente.

La nivelul țării noastre criminalitatea informatică se manifestă în principal sub două aspecte: fraudele informatice, constând în licitații fictive de bunuri, compromiterea de conturi de utilizatori ai unor site-uri de comerț electronic, site-uri de phishing și fraudele cu cărți de credit, constând în compromiterea ATM-urilor și capturarea de informații de pe benzile magnetice ale cărților de credit.

Evaluările grupărilor infracționale care acționează în domeniu arată faptul că aceștia urmăresc obținerea unui profit financiar substanțial, prin folosirea de tineri cu abilități în a utiliza computerele și noile tehnologii, care sunt organizați și coordonați de către leaderi ai lumii interlope.

În ultima perioadă se observă o creștere a atacurilor informatice care au ca țintă anumite persoane fizice sau organizații. Astfel, persoanele implicate în activități de criminalitate informatică, folosind metode avansate de inginerie socială și manipulare conving victimele să divulge informații confidențiale (ex. date ce țin de siguranța tranzacțiilor financiare, date de conectare la anumite conturi de administrare ale sistemelor informatice) sau să desfășoare acțiuni care duc în final la infectarea sistemelor informatice pe care le folosesc sau administrează.

De multe ori, sistemele informatice astfel infectate devin părți componente ale unor rețele de tip ”botnet”, care sunt folosite la transferarea fără drept a unor date informatice de tipul datelor tranzacțiilor bancare sau chiar la executarea unor atacuri informatice coordonate împotriva unor infrastructuri administrate de către instituții publice.

Prin infectarea sistemelor informatice utilizate de către angajații unor companii se pot accesa, prin intermediul aplicațiilor de ”online banking”, conturile bancare ale acestora și transfera sume importante de bani către conturi bancare din străinatate deschise de multe ori folosindu-se identități fictive.

Un alt tip de atac informatic îndreptat împotriva utilizatorilor de sisteme informatice din România o reprezintă infectarea acestora cu aplicații informatice de tip CRYPTO (EX: CBT LOCKER). Acest tip de virus criptează datele de pe sistemul informatic utilizat de către victimă, singura modalitate prin care aceasta poate să le recupereze fiind obținerea unei chei de unică folosiță la criptare pe care hackerii o oferă contra cost.

Modalitatea cea mai frecventă de infectare o reprezintă accesarea de către victime a unor pagini de internet compromise. Prin intermediul acestor siteuri se realizează o scanare a sistemului victimă cu scopul identificării de vulnerabilități care sunt apoi exploatate pentru a instala virusul de tip CRYPTO.

De asemenea, s-a observat o creștere a atacurilor informatice executate de către cetățeni români și îndreptate împotriva sistemelor de plată de tip Point of Sale folosite în magazine, benzinării, farmacii etc. din străintate.

Prin utilizarea unor aplicații informatice special create pentru a identifica în memoria sistemului informatic datele de pe banda magnetică a cardurilor bancare, hackerii transferă în mod neautorizat aceste date, le sortează și apoi le comercializează prin intermediul unor siteuri și forumuri specializate. Prețul acestora diferă în funcție de tipul cardului și de țara emitentă.

Ca și tendință în ultima perioadă, s-a observat infectarea sistemelor informatice care administrează plațile prin POS cu anumiți tipuri de viruși informatici care transformă sistemul într-o parte componentă a unei rețele de tip ”BOTNET” și care devin astfel controlabile de la distanță de către atacatori, datele cardurilor bancare fiind identificate, transferate și comercializate în mod automat.

Având în vedere utilizarea din ce în ce mai des a tipurilor de monedă virtuală pentru plata unor bunuri sau servicii, infractorii informatici și-au îndreptat și ei atenția către noi modalități de a infecta si exploata vulnerabilitățile acestor sisteme de plată.

O modalitate folosită în prezent o reprezintă infectarea sistemelor informatice țintă cu programe de tip virus care au ca scop transformarea acestora în rețele de producere a diferitelor tipuri de monedă virtuală precum BITCOIN.

Datorită efortului agențiilor de aplicare a legii din Romania și străinătate, precum și a acțiunilor de identificare și arestare derulate în comun, infractorii informatici sunt nevoiți să-și schimbe modalitatea de lucru, aceștia fiind într-o continuă căutarea de mijloace anonimizate de a-și derula activitățile criminale.

Astfel, au migrat către căi mai complexe de a-și comercializa “bunurile” obținute din infracțiuni folosind beneficiile unor site-uri găzduite pe servere care fac parte din zona ascunsă a rețelei Internet și care are ca principală carcateristică imposibilitatea agențiilor de aplicare a legii de a le identifica locația.

Modalități de prevenție

  • folosirea unei soluții de securitate performante și actualizate

(antivirus);

  • scanarea periodică a sistemelor informatice cu scopul de a identifica și elimina programele de tip virus sau eventualele vulnerabilități;
  • să nu se deschidă link-urile și anexele primite prin intermediul mesajelor email ale căror destinatari nu sunt cunoscuți;

Pesoanele rău intenționate pot trimite un număr mare de mesaje email de tip spam sau phishing cu scopul de a determina victimele să acceseze conținutul lor, acest lucru avand ca rezultat infectarea sistemelor informatice.

Mesajele de tip phishing conțin uneori greșeli gramaticale sau fraze care denotă un limbaj simplist, acestea îndemnând potențiala victimă șă-și actualizeze datele de contact, parola și numele de utilizator folosite la accesarea unui anumit tip de cont.

Companiile nu solicită clienților actualizarea datelor de acces la conturile bancare sau a datelor de identificare ale cardurilor bancare prin intermediul mesajelor email.

  • actualizarea sistemului de operare și a aplicațiilor folosite;

Prin actualizarea sistemului de operare și a aplicațiilor informatice se realizează o eliminare a vulnerabilităților identificate anterior, vulnerabilități ce în mod uzual sunt exploatate de către infractorii cibernetici.

  • utilizarea de parole de acces complexe de minim opt caractere care să conțină litere, cifre și simboluri;

Parolele și numele de utilizator cu o complexitate crescută ajută la o mai bună securizare a sistemului informatic făcând ca identificarea acestora de către infractorii cibernetici să se realizeze mai greu.

  • scimbarea parolelor de accces la sistemele informatice la un interval de maxim 90 de zile;
  • utilizarea unor rețele wireless securizate;

1106

iuiuiu

Florin Cosmoiu,

director al Centrului Naţional CYBERINT din SRI

serviciul-roman-de-informatii_logo

Societatea actuală este caracterizată de cunoaștere și continuă schimbare. Asistăm astăzi la o lume globală, complexă, dinamică, fapt determinat de mutaţiile ce au loc pe fondul procesului de globalizare și al dependenței informaționale.

Evoluţia exponenţială a mediului cibernetic şi valenţele strategice dobândite de ţările dezvoltate au generat riscuri şi vulnerabilităţi, ce sunt/pot fi exploatate de entităţi rău-voitoare în scopul săvârşirii de infracţiuni, acte de spionaj, ce pun în pericol atât indivizii, cât şi societatea.

În acest context, provocările în domeniul securităţii cibernetice sunt tot mai complexe și mai variate, fiecare stat având obligativitatea de a identifica şi dispune măsuri  de dezvoltare a unor mecanisme eficiente de rezilienţă şi răspuns la ameninţările mediului virtual.

În această sferă de preocupări se înscriu demersurile de creare a unui cadru legislativ şi instituţional corespunzător cerinţelor, cu impact asupra evoluţiilor pe termen mediu şi lung în plan naţional.

Existenţa la nivelul fiecărui stat a unui cadru normativ în domeniul securităţii cibernetice este necesară, în condiţiile în care nivelul ameninţării cibernetice la nivel internaţional este în continuă creştere. În evaluarea nivelului ameninţării cibernetice avem în vedere, pe de o parte, riscurile generate de interesul anumitor entităţi statale şi criminale de a compromite infrastructuri cibernetice şi, pe de altă parte, vulnerabilităţile sistemelor informatice, fie software, fie de natură umană (pe fondul precarităţii culturii de securitate cibernetică).

Opiniile pe marginea necesităţii unei legi în domeniul securităţii cibernetice au variat în România, îmbrăcând nuanţe diverse, în tonalităţi diferite.

De exemplu, în registru negativ sunt relevante temerile că aplicarea unui astfel de normativ ar fi de natură să încalce intimitatea personală şi că, în esenţă, ar conduce la o constrângere din partea autorităţilor competente, înţeleasă în termeni de limitare a exerciţiului unor drepturi şi libertăţi (mai exact limitarea dreptului la viaţă intimă, familială, la secretul corespondenţei, libertatea de exprimare).

Fără intenţia de a combate o astfel de poziţionare, apreciem că scepticii ar trebui să ţină cont că aceste drepturi trebuie asigurate nu numai în raport cu autorităţi ale statului, ci şi în raport cu entităţi private care fură date personale şi le exploatează în vederea obţinerii de beneficii financiare ori chiar în activităţi de pornografie infantilă.

Câţi dintre noi ştiu că la ora actuală un număr semnificativ de calculatoare din ţara noastră sunt implicate, în cele mai multe cazuri fără ca deţinătorii acestora să ştie, în diverse atacuri cibernetice?

Câţi dintre noi conştientizează riscul derivat din faptul că orice utilizator al unui calculator conectat la internet poate fi ţinta unui atac cibernetic ori că, prin distribuire de malware, orice infractor cibernetic poate obţine şi menţine controlul de la distanţă a sistemelor, serverelor şi computerelor personale în vederea creării de reţele de roboţi cibernetici utilizaţi pentru pivotarea atacurilor cibernetice şi controlul altor sisteme informatice?

Calculatorul oricărei persoane fizice, care nu are un minimum de cunoștințe în domeniul securității cibernetice, poate fi ținta unui atac sau poate fi folosit pentru un atac cibernetic, fără ca măcar să știe acest lucru.

Educarea societăţii civile în sensul creşterii culturii de securitate, dar şi creşterea încrederii între stat şi societatea civilă sunt puncte esenţiale de atins în obţinerea unui deziderat privind spaţiul cibernetic. În acest sens, modernizarea programelor de studii existente la nivelul învăţământului gimnazial, dar şi pregătirea personalului din administraţia publică şi formarea unor magistraţi cu competenţe în domeniul securităţii cibernetice ar putea să soluţioneze câteva din problemele pe care le regăsim la nivelul societăţii civile.

Ori aceste riscuri cresc direct proporţional cu numărul de utilizatori de internet. De exemplu, la jumătatea anului 2014, în România existau aproximativ 11,2 milioane de utilizatori de internet (potrivit unei statistici realizate de către Internet World Stats, www.internetworldstats.com), comparativ cu anul 2013 când s-a estimat că există în jur de 6,5 milioane de utilizatori (potrivit unui studiu realizat de către Biroul Român de Audit Transmedia).

Cum s-ar putea asigura o protecţie în faţa infractorilor cibernetici în lipsa unui pachet legislativ viabil şi fundamentat, care să permită o cooperare între societatea civilă şi autorităţile statului?

Asigurarea unor măsuri de prevenire a atacurilor cibernetice și de limitare a efectelor acestora sunt absolut necesare, dar este nevoie și de implicarea societății civile, care trebuie să conştientizeze necesitatea colaborării cu autorităţile pe acest palier.

Care ar fi beneficiile unei legi în domeniul securităţii cibernetice? Înainte de orice, adoptarea unui astfel de act normativ ar permite stabilirea arhitecturii organizaţionale în domeniul securităţii cibernetice şi definirea de responsabilități clare pentru fiecare autoritate şi instituţie publică membră a acestuia, care va acţiona numai în condiţiile legii.

În acelaşi timp, s-ar defini responsabilităţi şi pentru deţinătorii de infrastructuri cibernetice în scopul protejării acestora, inclusiv în sensul unei conduite participative la efortul instituţiilor specializate ale statului de a preveni şi investiga acţiunile în spaţiul virtual.

O astfel de conduită participativă nu este de natură să conducă la încălcarea drepturilor şi libertăţilor cetăţeneşti, ci ar permite stabilirea unui cadru general de protecție a informațiilor de interes național cu care aceste infrastructuri operează. În caz contrar, deţinătorii de infrastructuri cibernetice nu au obligaţia de a aplica politici de securitate cibernetică, situaţie care ar putea conduce la creşterea numărului de incidente/atacuri cibernetice.

În concluzie, în actualul context de securitate, adoptarea unui cadru legal care să sprijine dezvoltarea capacităţilor elementelor de securitate ale statului, astfel încât să facă faţă ameninţărilor cibernetice este un sine qua non pentru orice stat şi un pas important în dezvoltarea unui sistem matur de securitate cibernetică.

Deţinerea unui sistem matur de securitate cibernetică reprezintă, de altfel, scopul fiecărui stat, pentru realizarea lui fiind necesară îndeplinirea mai multor obiective, precum: proiectarea unor politici şi a unei strategii de securitate cibernetică; creşterea culturii de securitate cibernetică la nivelul societăţii civile; dezvoltarea unor competenţe cibernetice atât la nivelul utilizatorilor, cât şi la nivelul managerilor; crearea unui cadru legal şi a unor acte normative eficiente; managementul riscului prin organizare; impunerea de standarde şi tehnologie.

Atingerea acestor obiective permite unei entităţi să îşi auto-evalueze capabilităţile de securitate cibernetică şi nivelul la care se situează.

Totodată, constituirea unui sistem matur de securitate implică mai multe etape de la prima fază în care nu există nicio capabilitate de securitate cibernetică, până la etapa finală în care există mecanisme clare privind gestionarea mediului cibernetic, metode dezvoltate de schimbare şi adaptare a strategiei la nevoile actuale de securitate, proceduri de reacţie rapidă, mecanisme de decizie, posibilităţi de realocare de resurse şi de menţinere a atenţiei constante pe schimbările din mediul de securitate.

1047

Autor: Claudiu Gherghinoiu, System Administrator, Class IT

Rețelele botnet sunt cele mai periculoase instrumente pe care criminalii cibernetici le folosesc astăzi. Cercetările din domeniul informaticii, în momentul de față, încep să arate niște semne de progres, dar multe aspecte despre rețelele botnet sunt încă necunoscute.

Ce  sunt rețelele de tip botnet? Din ce este alcătuită rețeaua:

  • Computer bots care au fost infectate
  • Servere C&C de unde bots-urile sunt controlate
  • Botmaster: persoana reala care folosește serverele C&C

Începutul

Una din primele rețele de tip botnet a fost GM, care a apărut în anul 1989, bazată pe o conexiune IRC. Bootnet-urile IRC au cunoscut o perioadă înfloritoare între 1990 și 2000, mai ales datorită popularității serviciului mIRC. La început, principalul scop era pentru DDos, dar pe  parcurs mai multe funcționalități au fost adăugate cum ar fi ascunderea, phisingul site-urilor. Ceilalți, GT Bot, Sub7 erau de asemenea populari la vremea aceea.

 classit1

 Un model timpuriu de comunicație C&C

De asemenea, în acea perioadă, programele de distrugere mai sofisticate au fost dezvoltate, Agabot este un exemplu, cu capacități ce erau foarte noi la vremea aceea: polimorfic, key logging și alte funcționalități. A fost codat în C++ cu mai mult de 20.000 linii de cod. Agabot era foarte diferit, comparativ cu alte sisteme codate în limbaj de asamblare. Un alt botnet avansat pentru acea perioadă a fost Spybot codat în C, cu mai puține linii de cod, aproximativ 3.000. Scopul său principal era periclitarea datelor și furarea de loguri.

Crima organizată

Odată cu decăderea  IRC (Internet Relay Chat), criminalii cibernetici au fost forțați să găsească noi metode de comunicare. De asemenea, IRC era foarte nesigur, un nou sistem era necesar. Așa că au implementat un sistem descentralizat numit P2P, unde serverul centralizat a dispărut. În concluzie, era mult mai greu pentru autorități să închidă botneturile.

Dezvoltatorii de sisteme erau din nou cu un pas înainte, implementând noile tehnologii în creațiile lor. Un punct de cotitură în istoria rețelelor de tip botnet a  fost crearea lui Torpig undeva în jurul anului  2005. Când a fost analizată de cercetători, cantitatea de informații furată a fost imensă. Principala funcționalitate a Torpig era să fure date de identificare, mai ales date legate de carduri; o alta invenție a creatorilor a fost să introducă atacul man-in-the-browser, ceva nou pentru un botnet.

De asemenea, crima organizată dorea și mai multe câștiguri, așa că în 2007 unul din cele mai mari botneturi spam, Rustock, a fost lansat. Acest sistem era atât de mare, încât era capabil să trimită aproximativ 50 miliarde mesaje spam pe zi.

classit2

Un model de comunicație hybrid P2P între botmaster și bots

Aproximativ în același timp un alt spam botnet și mai complex infecta milioane de PC-uri, sistemul se numea Cutweil. Acest botnet reprezenta un punct de cotitură, o revoluție în istoria sistemelor complexe. La performanță maximă, era capabil să trimită aproximativ 80 miliarde mesaje spam pe zi.

Criminalii aveau acum un avantaj, deoarece sistemele dezvoltate de ei erau cu mult înaintea prevederilor legale. De asemenea, multe tipuri de rețele botnet apăruseră, chiar și mai sofisticate, și update-uri continue ale vechilor versiuni făceau din botnets ultimul instrument de infracțiune cibernetică la mijlocul anilor 2000. În acele zile criminalii din spatele acestor sisteme câștigau milioane de dolari.

Un business riscant

Anul 2008 este un an de cotitură în lupta împotriva criminalilor din spatele botnets cu multe evenimente remarcabile. Primul dintre ele este oprirea uneia dintre cele mai productive afaceri, create de un hacker sloven și folosită de o grupare spaniolă. Botnet-ul Mariposa în perioada de glorie infectase peste 12 milioane computere cu target pe carduri de credit și parole în computerele infectate. Mai mult de 1 milion fuseseră furate de criminali. Poliția internațională lucra pentru prima dată la aceast caz, fiind un semnal clar siguranța criminalilor cibernetici nu va mai dura.

În același an spammerii au fost loviți de preluarea companiei de hosting numită McColo, după ce serverele fuseseră oprite, spamurile au scăzut cu aproximativ 95%. Aproape toate botneturile importante Rustock, Cutweil, Grum și multe altele erau găzduite pe aceste servere. Dar această blocare era doar temporară, deoarece criminalii au revenit în afaceri curând.

De asemenea, este notabil că multe companii vedeau că agențiile de poliție erau depășite și au decis să se alieze în lupta împotriva botnets. Microsoft era de departe una din cele mai mari companii care și-a asumat ca activitate principală, lupta împotriva botnets. De-a lungul anilor, Microsoft a dat jos mai multe botnets importante, printre care: Zeus, Kelihos, Zero Access, Citadel.

Guvernele

Nu este de mirare că cea mai avansată armă din patrimoniul unui hacker este rețeau botnet. În consecință, statele care sponsorizează atacurile cibernetice au fost forțate să folosească aceasta armă. Primul super botnet apărut în media în anul 2011, se numea Stuxnet. Acest malware avea cel mai avansat cod scris, până atunci, de către o echipă de programatori. Principala țintă a acestui malware au fost instalațiile nucleare iraniene, folosind software-ul Siemens Step. Dauna a fost semnificativă și costul imens pentru guvernul iranian. Codul sursă a fost postat online, toți cercetătorii fiind de acord că acest malware este de departe cel mai avansat. Dezvoltatorii din spatele acestui malware erau necunoscuți, dar mulți cercetători au atras atenția că țara responsabilă pentru acest malware este fie Israel, fie SUA, fie amândouă. Este interesant că sunt multe versiuni și că acest malware a fost dezvoltat de-a lungul anilor, sugerând că a fost un process continuu.

Un alt malware avansat descoperit în 2011 este Duqu.  Acesta este similar cu  Stuxnet, dar are capacitatea de a infecta diferite sisteme SCADA, ceea ce face acest malware mai periculos decat predecesoarele lui. Dupa revelația Stuxnet și Duqu și lansarea codului sursă, industria de securitatea informației intră într-o altă etapă în care guvernele statelor produc malware-uri avansate.

Pericolul văzut de mulți cercetători în securitate cibernetică este că acest cod va ajuta într-un final un infractor cybernetic să dezvolte un botnet avansat.

În 2012, o companie de antivirus rusească a anunțat că a descoperit un botnet foarte avansat, care avea ca țintă organizații (ambasade, institute de cercetare, centre de cercetare a energiei, companii de benzina și gaze) din lumea întreagă, în special cele din Europa de Est și Federația Rusă.  Botnetul furase o cantitate impresionantă de informații pe o perioadă mai mare de 5 ani. Există dovezi că programatorii erau ruși și chinezi, deoarece lăsaseră informații importante în cod.

Hackerii cibernetici care au descoperit idea de botnet se confruntă cu o competiție foarte mare din partea statelor care au sponsorizat acest tip de malware. Dar după declarațiile lui Snowden, s-au descoperit botnets și mai sofisticați. Conform mai multor studii de securitate, NSA a dezvoltat un botnet, care prelua botneturile tradiționale ale hackerilor profesioniști.

Cele mai recente rețele de tip botnets descoperite

Industria malware este în continuare o afacere mare pentru hackerii profesioniști care vor să facă bani. O dată cu răspândirea telefoanelor mobile și a tabletelor sunt și mai multe ținte, iar competiția este o provocare pentru mulți infractori cibernetici care sunt dispuși să infecteze cât mai multe dispozitive posibile.

Un nou tip de botnet crește în popularitate, botnetul Android. Unul din cele mai mari în acest moment este MisoSMS, originar din China. Nu este sofisticat comparativ cu un Windows botnet dar poate provoca mult rău. De exemplu, acest botnet poate fura toate emailurile și SMS-urile  după care să le transmită către un server din China.

În aceeași categorie a botneturilor mobile este Oldboot, dezvoltat de hackeri chinezi, care a infectat mai mult de un million de dispozitive în China. După cum se vede, majoritatea dezvoltărilor de botnets are loc în Asia și Europa de Est, în special datorită protecției de care beneficiază infractorii cibernetici în aceste țări.

Un alt tip de botnet a fost dezvoltat recent și este șocant că a atacat unul dintre cele mai sigure sisteme de operare din lume, folosit de cei mai mulți specialiști IT. Denumit de media Linux/Ebury, a infectat mai mult de 25.000 de servere Linux din lume, făcând rău unor organizații precum Fundația Linux.

EDITIE SPECIALA – INTERNET OF THINGS

1738
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1452
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2627
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1547
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1484
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1521
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...