Monday, June 1, 2020
Numarul 2

1420

autor: Gabriel Ţuţu

Arestarea, în 25 martie 2015, a membrilor celulei italiene ISIS angajați în procese de recrutare de luptători din state europene, precum și arestările recente realizate de poliția din Republica Moldova aduc în centrul atenției publice problema Islamului și amenințările la adresa țării noastre.

România, în calitatea asumată de frontieră estică a Uniunii Europene, se regăsește în ingrata postură de a face faţă unui val tot mai mare de transfugi proveniţi din diverse zone de conflict, sau din ţări cu un grad ridicat de sărăcie, ceea ce poate permite inclusiv migrarea pe teritoriul ţării noastre a unor recrutori de martiri sau potenţiali teroriști.

De asemenea, Internetul pare a fi un punct forte pentru extremiștii foarte pricepuţi în utilizarea acestui instrument și care au găsit un teren fertil printre emigranţii care trăiesc în Occident, chiar de mai multe generaţii și care, în realitate, nu s-au integrat în societate niciodată.

Conștienţi fiind de faptul că Jihad-ul celui de-al treilea mileniu nu se desfășoară numai prin lupte la sol, sau cu atentate la integritatea fizică, ci tot mai mult prin intermediul reţelelor virtuale, putem considera că acţiunile întreprinse de către „statul islamic” pot constitui un adevărat „Cyber Jihad”.

Prezenţa ISIS în rețelele sociale

Cât este de importantă comunicarea web pentru ISIS?
Pentru luptătorii ISIS Internetul a devenit un vector fundamental pentru a transmite teroarea în lume, comunicarea digitală având drept scop creșterea gradului de conștientizare a cauzei, promovarea propagandei și mediatizarea succeselor jihadiste.

De asemenea, prin intermediul reţelelor de socializare sunt furnizate informaţii cu privire la modul prin care te poti alătura grupurilor și cum poţi să ajungi în statul islamic. Dar atenţie, nu este vorba numai de capacitatea de a utiliza mass-media, ci și de utilizarea unei strategii bine structurată, compusă din diverse produse multimedia (video, fotografii, mesaje, promovare pe Twitter, pe Facebook, etc.) target-ate către diferiţi destinatari și folosind tehnici de propagare diferite. Se acordă atenţie producţiei de film cu acurateţea produselor televizive consacrate, folosind tehnici de capturare a unui anumit tip de public, încercând să înţeleagă efectiv ce interesează segmentul social ţintă și apoi să creeze produsul potrivit. Să ne întrebăm pentru o clipă de ce se proclamă și se impune numele statului islamic, de ce ne anunţă că emit monedă și încasează taxe? Totul face parte din strategia lor de comunicare. Ne impun o marcă comercială, și anume cea a Statului islamic, care intră în viaţa noastră de zi cu zi, prin Internet și televiziune, acestea fiind recunoscute ca adevărate instrumente de amplificare globală.

Cine sunt cei care aspiră să devină jihadist ISIS?
În cele mai multe cazuri, aspiranţii jihadiști sunt tinerii care decid să părăsească Occidentul și să se alăture armatei ISIS, în cele mai multe cazuri fiind copiii imigranţilor musulmani care au emigrat în Occident de ani de zile și care locuiesc permanent în diferite ţări europene.

De asemenea, regăsim tineri occidentali nemusulmani sau atei care nu au nici un fel de contact cu religia islamică, și, contextual, cu ocazia recrutării lor sunt convertiţi la credinţa musulmană. Pentru aceștia din urmă, desigur, recruiter-ii au nevoie de o abordare persuasivă mult mai complexă și articulată. Tinerii care se alătură jihad-ului nu fac parte din categoria celor care cresc în ignoranţă și sărăcie, ci sunt educaţi și cu condiţie economică bună. Totodată, aceștia deţin o bună expertiză în utilizarea Internetului, au capacitatea de a realiza alegeri ideologice personale, uneori conduși de status-uri psihologice dificile și de conflicte familiale.

Drept exemplu, media internaţională prezintă un posibil hacker ISIS ce a fost identificat ca fiind Junaid Hussain, considerat a fi un jucător cheie sau lider al „Cyber Califatului” și în conexiune directă cu atacurile ISIS. Hussain a fost arestat în Marea Britanie, în 2012, pentru spargerea contului de email al fostului premier Tony Blair. Potrivit relatărilor, Hussain a părăsit Marea Britanie plecând în Siria și unde s-a alăturat ISIS. Conform informaţiilor pu blice, Junaid Hussain a fost parte a „teamp0ison”, grupare de hacking activă în 2012. Ulterior acesta a mai fost cunoscut cu apelativele online: Abu Hussain al-Britani, TriCk, iar cel mai recent cont al său de Twitter, suspendat între timp, – UmmHussain103.

Care sunt locurile și metodele de recrutare?
Putem afirma că Internetul, și, în special reţelele sociale, reprezintă nucleul central de recrutare pentru aspiranţii jihadiști, pregătiţi să treacă de la tastatura computerului la teatrele de război sirian și irakian sau să comită atentate în Occident. Sunt utilizate metode de abordare virtuală pe Twitter, Facebook sau bloguri, unde se încearcă să se înţeleagă interesul aspirantului prin răspândirea de mesaje culturale „înșelătoare”, cu difuzare aleatorie, ar care pot identifica totuși mulţi destinatari în rândul tinerilor aflaţi „în așteptare de ceva” ce le poate oferi o nouă identitate sau un ideal în viaţă. Este metoda asa numită „pânza de paianjen”, în cadrul căreia mesajele lansate sunt atractive și populare pentru cineva psihologic vulnerabil și care va fi captivat de astfel de mesaje. În faza imediat următoare se procedează la contact direct, faţă în faţă, în cadrul căruia vom regăsi asa numiţii „recrutori” care operează și în locașele de cult musulmane precum și în suburbiile marilor orașe occidentale și care sunt pregătiţi să furnizeze recomandări cu privire la modul de a obţine vize și cum se poate ajunge la ISIS sau în tabere de instruire, iar în ultima vreme se observă că acești recrutori au ajuns să organizeze inclusiv călătoria, prin furnizarea de bilete de avion, e-mailuri și numere de telefon pentru a contacta grupurile de combatanţi.

Ce fel de sisteme multimedia adoptă?
Statul islamic deţine o echipă de cameramani combatanţi care urmărește luptătorii în zonele de conflict, și mai mult decât atât, fiecare luptător, cu propriul telefon mobil realizează înregistrări video ale acţiunilor și apoi le postează pe reţelele sociale, astfel încât, fiecare adept să ia cunoștinţă în timp real de ceea ce se întâmplă: o avalanșă de informaţii. Sistemele de comunicare utilizate sunt: site-uri web oficiale care difuzeaza viziunea Islamului prin mesaje video; o revistă – Dabiq, în format atât printat cât și digital, în care există referiri la câștiguri teritoriale, eroi care au murit în luptă, interpretarea tezelor sacre, pe scurt, un adevărat ghid al Califatului; „Agenţia Islamică Nouă”, organizată exact ca orice agenţie de știri multimedia, care transmitea (până la momentul blocării sale în Internet), prin video și comunicate de presă ale purtătorilor de cuvânt ai grupurilor afiliate la statul islamic. Agenţiile de presă sunt un nod strategic al acestui tip de război cibernetic realizat prin informare și dezinformare; Hayat Media Center (casa de productie audiovizuală) unde se produc adevărate videoclip-uri bine structurate, demne de un film cinematografic. Instrumentul preferat pentru diseminarea informaţiilor provenite de la ISIS este reprezentat de canalele audiovizuale, precum YouTube, ușor de înţeles, fără a fi necesar să cunoști limba vorbită și cu impact emoţional puternic.

De asemenea, există reţele sociale precum Facebook și Twitter, care în ultimii ani au constituit cel mai rapid mod de difuzare al informatiilor, acţiunilor și evenimentelor referitoare la combatanţii aflaţi la mii de kilometri distanţă și toate acestea realizate într-un mod aproape anonim.

Suntem martorii unui război în care Internetul și spaţiul virtual în general joacă cu siguranţă un rol-determinant în ceea ce privește recrutarea, organizarea și comunicarea. Anonimatul on-line permite instruirea și diseminarea idelor teologice și militare în condiţii de siguranţă și la mare distanţă. Utilizarea unor arhive „draft” în cadrul unor simple adrese de e-mail comune pentru membrii organizaţiei asigură schimbul de mesaje fără ca e-mailul să fie expediat. Combatanţii statului islamic, fie ei virtuali sau reali, deţin conturi protejate direct de mediul virtual, astfel încât nimeni să nu știe dacă aceștia există și cine sunt în realitate, iar în cazul în care autorităţile blochează aceste conturi, acestea sunt redeschise a doua zi cu o altă identitate de user; de exemplu prin trecerea de la „#Abdul2” la „#Abdul3”.

Sarcina adeptului jihadist care utilizează Internetul este de a posta în conturile de social media (Facebook, Twitter), puse la dispoziţie gratuit, materiale video, fotografii, fișiere audio, etc.

Ulterior, casele de producţie prelevează materialele din aceste „containere” video și le prelucrează în timp real, iar apoi le postează din nou pe YouTube sau pe un alt canal video gratuit, care poate fi utilizat de către toţi suporterii din lume, și care, la rândul lor, vor posta din nou și așa mai departe într-un lanţ nesfârșit.

Ce știm despre alte grupări responsabile de atacuri cibernetice?
Analizând prudent întotdeauna atribuirile și revendicările atacurilor realizate, știm că aceste grupuri pro-Jihad sub denumiri de „Fallaga” și „Cyber Califat” au fost responsabile pentru atacurile asupra conturilor de Twitter și YouTube ale Comandamentului Central american. Cu toate că atacul s-a rezumat la vandalism și tero rism psihologic, nu ne putem permite să stăm impasibili. ISIS s-ar părea să aibă la dispoziţie cel puţin câteva unităţi cu experienţă în inginerie socială și hacking. Știri recente menţionează o așa autointitulată Divizie de Hacking a ISIS care a postat pe un site online numele, fotografiile și adrese a 100 de soldaţi americani care au luat parte la operaţiunile din Irak și Siria, îndemnând membrii și simpatizanţi ai ISIS din Statele Unite să-i omoare.

Toate acestea sunt rezultatul informaţiilor furate dintr-un server al Departamentului Apararii sau a activităţilor meticuloase de culegere de date din mediul Internet și în special din site-urile de social media?

Este probabil ca al-Baghdadi (liderul ISIS) să fi urmat modelul similar al Armatei electronice siriene, grupare considerată drept prima armată de hackeri ce a apărut în Orientul Mijlociu și care sprijină guvernul sirian al președintelui Assad, demonstrând că deţine capabilităţi și formarea de tip militar.

„Califatul virtual” constituie in mod deosebit un impuls puternic pentru recrutare și pentru construirea unor spaţii online care să reflecte extremismul din realitatea cotidiană în teritoriile ocupate din Irak, Siria, precum și din alte cîmpuri de luptă. În mod specific, suporterii pro-ISIS au fost activi într-o serie de acţiuni punctuale, de la recrutarea de adepţi in principalele reţele de socializare, cum ar fi Twitter, pînă la construirea de site-uri de socializare proprietare, unde adepţii pro-ISIS se presupune că ar fi mai protejaţi.

Înregistrat pentru prima dată la 9 martie 2014, „5elefabook.com” a fost construit ca o clona a site-ului „Facebook” dedicat adepţilor ISIS, unde aceștia să se alăture în condiţii de siguranţă, ca urmare a interzicerii unui număr semnificativ de conturi pro-ISIS în platformele Instagram, Twitter, și altele de acest gen.

Site-ul „Cartea khelafa”, numit după termenul arab pentru „califat”, a fost activ doar pentru o scurtă perioadă înainte de a fi deconectat și înlocuit cu un preaviz de închidere. Traducerea engleză a numelui site-ului, precum și anunţul de notificare în limba engleză, prezentat mai jos, sunt reprezentative pentru a evidenţia tendinţa poliglotă a site-urilor mass-media teroriste, cu un accent pe limbile Occidentale, în scopul de a atrage recruţi și atenţia mass-media occidentală.

Informaţiile Whois înregistrate în portalul GoDaddy, citate mai jos, trimit clar către „Statul Islamic – Mossul”, însă codul poștal și numărul de telefon sunt evident false.

Care sunt obiectivele ISIS?
În mediul Internet circulă o varietate de ipoteze, printre care o multitudine de hărţi care prezintă proiecte de extindere a ISIS în întreg Orientul Mijlociu, Europa de Est și în întreaga Africa central-nordică. Se pare că una dintre aceste ipoteze este aceea de a recrea un Califat islamic, cu singura intenţie de a rupe graniţele statelor din Orientul Mijlociu trasate prin intermediul acordului „confidenţial” din 1916 de către Franţa și Marea Britanie, care a divizat teritoriul după prăbușirea „Imperiul Otoman”.

Cu toate acestea, există voci care declară că ofensiva ISIS reprezintă în principal, un atu important pentru producătorii de armament, care speră să vândă o cantitate mai mare de arme monarhiilor din Golf.
Și oricum, fiecare război trebuie să aibă și un câștigător!!!

Analiza în mediul online a ISIS și capacităţilor sale cibernetice prezintă un potenţial „Cyber Califat” care este probabil încă în fază incipientă și nu are rafinament, antrenamentul și coeziunea necesară pentru a genera o ameninţare majoră la adresa infrastructurilor cibernetice majore. Cu toate acestea, unde există dorinţă va exista și o cale și pentru grupul terorist cel mai tehnologizat și prezent în zona de social media, pentru realizarea acestui deziderat și atingerea capabilităţilor necesare este probabil că ISIS va să continua să depună eforturi majore.

pierluigi

Pierluigi Paganini

Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information Security) Threat Land- scape Stakeholder Group, el este de asemenea Security Evangelist, Security Analyst și Freelance Writer.
Editor-in-Chief la „Cyber Defense Magazine”, Pierluigi este un expert în securitate cibernetică cu peste 20 de ani de experiență în domeniu, este Certified Ethi-
cal Hacker la EC Council în Londra. Pasiunea pentru scris și credința fermă că securitatea se bazează pe împărtășirea de cunoștințe și pe conștientizare l-au de- terminat pe Pierluigi să înființeze blog-ul de securitate „Security Affairs” nominalizat recent ca Top National Security Resource pentru SUA. Pierluigi este membru al echipei „The Hacker News” și scrie pentru mai multe publicații importante din do- meniu, cum ar fi Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine și pentru multe alte reviste de securitate. Autor al cărților „The Deep Dark Web” și „Digital Virtual Currency and Bitcoin”.

autor: Pierluigi Paganini

Introducere
Termenul „Internet of Things” este folosit pentru a desemna orice obiect care poate fi interconectat și identificat în mod unic prin utilizarea unor tehnologii diferite, cum ar fi: NFC, digital watermarking (filigran digital) și cod QR.

Nu este greu să ne imaginăm faptul că în viitorul apropiat fiecare individ va fi echipat cu o serie de dispozitive inteligente care vor schimba informaţii între ele și care vor colecta informaţii din mediul înconjurător. Oamenii ar putea fi conceptual asimilaţi unor clustere de date care trebuie protejate împotriva atacurilor cibernetice și împotriva incidentelor accidentale. În 2020 numărul de dispozitive IoT va fi de peste două ori mai mare decât numărul total de smartphone-uri, PC-uri, tablete, mașini interconectate și purtabile (wearable), așa cum se poate vedea și din imaginea alăturată.

Untitled
Figura 1 – Proliferarea Internet ofThings

Numărul de dispozitive interconectate crește rapid, experţii IT estimează că în 2020 vor exista aproape 50 de miliarde de obiecte inteligente online și că fiecare individ va utiliza în medie mai mult de 6 dispozitive. Paradigma Internet of Things va genera în 2019 o valoare adăugată economiei mondiale de $1,7 trillioane.
Tehnologiile și serviciile care ţin de Internet of Things au generat venituri globale de $4,8 trillioane în 2012 și vor ajunge la $8,9 trillioane în 2020, crescând cu o rată anuală (CAGR) de 7,9%.

Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafaţa de atac. Dispozitivele IoT sunt deja peste tot și din acest motiv industria IT trebuie să ţină cont de problemele de securitate și confidenţialitate. Un studiu recent efectuat de către firma de securitate Veracode a scos în evidenţă faptul că dispozitivele IoT casnice expun utilizatorii la o gamă variată de ameninţări, incluzând furtul de date și sabotaje, iar proliferarea dispozitivelor IoT va avea o influenţă majoră asupra comportamentului uman.

Dispozitivele IoT vor influenţa deplasările indivizilor în zonele urbane pe baza parametrilor atmosferici sau pe baza gradului de congestie de trafic din anumite zone specifice.

Din păcate, în majoritatea cazurilor dispozitivelor IoT au o protecţie de securitate deficitară încă din faza de design, cea mai mare problemă fiind percepţia scăzută asupra ameninţărilor cibernetice.
Infractorii cibernetici, hackerii susţinuţi de state, hack-tiviștii și teroriștii cibernetici pot exploata defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește rapid în anii care vor urma.

Dușmanii IoT – mijloace și motivații
Pentru a proteja dispozitivele IoT este important să identificăm principalii actori ai ameninţărilor și motivaţiile lor. Să începem cu analiza categoriilor atacurilor care ameninţă arhitecturile IoT. Din păcate există o mulţime de „băieţi răi” care ameninţă implementarea paradigmei, incluzând infractori cibernetici, entităţi guvernamentale și hackeri motivaţi politic.

Toţi acești actori sunt interesaţi în primul rând de cantităţile uriașe de date pe care le administrează dispozitivele IoT, dar nu putem subestima riscurile unor atacuri cibernetice pentru sabotaje.
Erorile de design în privinţa principiilor fundamentale a securizării IoT pot expune utilizatorii la sabotaje, atacuri ale hackerilor (de ex. atacuri man-in-the-middle (MITM), preluarea controlului asupra reţelei), furt de date și deturnarea funcţionalităţii produselor.

Infractorii cibernetici pot fi interesaţi să fure informaţii sensibile administrate de platformele IoT sau pot fi interesaţi să compromită obiectele inteligente și să le utilizeze în activităţi ilegale, cum ar fi derularea unor atacuri asupra unor terţe entităţi sau mineritul Bitcoin.

Firmele de securitate au depistat deja grupuri de infractori cibernetici care utilizează botneţi alcătuiţi din milioane de dispozitive IoT infectate care derulează atacuri cibernetice împotriva unor firme private.
În mod uzual, „băieţii răi” infectează sau compromit obiecte inteligente configurate necorespunzător, cum ar fi routere, dispozitive SOHO, SmartTV-uri și alte dispozitive IoT.

În mod similar agenţiile de Intelligence sunt interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă, care utilizează routere, console de jocuri și smartphone-uri pentru a spiona persoanele vizate. Teroriștii cibernetici și hack-tiviștii pot fi de asemenea interesaţi să compromită dispozitivele IoT pentru a fura informaţii sensibile sau pentru a provoca daune extinse.

Care sunt principalele ameninţări cibernetice pentru dispozitivele IoT?
Anul trecut specialiștii de la Symantec au publicat un studiu interesant despre principalele ameninţări cibernetice pentru IoT, grupându-le în următoarele categorii:

  • Denial of service – atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând probleme serioase în reţeaua dispozitivelor inteligente și paralizând serviciul pe care acestea îl furnizează. Ţineţi cont că elementele aparţinând unei reţele IoT sunt ţinta atacurilor care interferează cu modul de operare și de comunicare între dispozitive.
  • Botneți și atacuri malware – Probabil că acesta este scenariul cel mai comun și mai periculos, dispozitivele IoT sunt compromise de atacatori care abuzează de resursele lor. În mod uzual atacatorii utilizează cod specializat care să compromită software-ul care rulează pe dispozitivele IoT. Codul maliţios poate fi utilizat pentru a infecta calculatoarele utilizate pentru controlul reţelei de dispozitive inteligente sau să compromită software-ul care rulează pe acestea. În cel de-al doilea scenariu atacatorii pot exploata prezenţa unor defecte în firmware-ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să deturneze componentele IoT spre o funcţionare neplanificată. În noiembrie 2013, experţii Symantec au descoperit un nou vierme Linux, Linux.Darlloz, proiectat în mod special să atace dispozitive IoT Intel x86 care rulează Linux. Atacatorii au compromis dispozitivele IoT pentru a construi un botnet care a fost utilizat pentru activităţi ilegale, incluzând trimiterea de Spam, generarea de mesaje SMS costisitoare sau derularea unor atacuri DDoS. O altă posibilitate pentru atacatori este exploatarea dispozitivelor configurate necorespunzător, de exemplu dacă știi setările de fabrică ale unui router este posibil să ai acces la consola sa de administrare și să modifici parametrii care îi controlează comportamentul.
  • Breșe de date – breșele de date reprezintă un alt risc serios în privinţa adoptării dispozitivelor IoT. Organizaţiile trebuie să conștientizeze potenţialul consecinţelor neplanificate ale situaţiilor de utilizare a IoT. Atacatorii pot spiona comunicaţiile dintre dispozitivele IoT și să colec teze informaţii despre serviciile pe care acestea le implementează. Datele accesate prin intermediul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibernetic sau de către o agenţie de Intelligence sau de către o companie privată în scopuri comerciale. Breșele de date reprezintă o ameninţare serioasă pentru organizaţiile sau persoanele care utilizează dispozitive inteligente.
  • Breșe accidentale – Managementul datelor într-o arhitecutură care include dispozitive IoT este un aspect critic. Informaţiile sensibile pot fi expuse nu numai într-un atac cibernetic, ci pot fi expuse sau pierdute și în mod accidental. Symantec dă ca exemplu transmiterea coordonatelor autoturismului unui CEO, dar realitatea este că din mediul de business se pot scurge informaţii mult mai sensibile.
  • Perimetre slăbite – lipsa măsurilor de siguranţă încă din faza de design poate cauza o slăbire a perimetrelor. Prin exploatarea unui defect în SmartTV-ul nostru atacatorul poate avea acces la reţeaua domestică și să dezactiveze orice sistem antifurt implementat pentru securitatea fizică.

OWASP Top 10 probleme de securitate pentru IoT
Open Web Application Security Project (OWASP) are ca scop primar diseminarea celor mai bune practici care să ducă la îmbunătăţirea securităţii software-ului. Este firesc să analizeze și cele mai importante 10 probleme de securitate pentru această paradigmă populară.
1. Interfeţe web nesigure
2. Autentificări/autorizări insuficiente
3. Servicii de reţea nesigure
4. Lipsa criptării la transportul de date
5. Probleme de confidenţialitate
6. Interfaţă cloud nesigură
7. Interfaţă mobile nesigură
8. Configurabilitate de securitate insuficientă
9. Software/firmware nesigur
10. Securitate fizică scăzută

  1. Interfață web nesigură:
    Aproape orice dispozitiv are implementat un web ser ver în scopuri de mentenanţă, dar în majoritatea cazurilor interfeţele serverului intern nu sunt securizate. Meca nismele slabe de autentificare, CSRF, XSS și injecţiile SQL sunt vulnerabilităţile cele mai comune care afectează serverele web.
  2. Autentificări/autorizări insuficiente:
    Experţii în securitate trebuie să verifice cu atenţie adoptarea unor parole puternice și să evite credenţialele codate hard. Un alt aspect îl reprezintă verificarea vulnerabilităţilor comune (de ex. sqli) pentru procesele de autentificare/ autorizare.
  3. Servicii de rețea nesigure:
    SSH, SFTP și alte servicii trebuie implementate în mod corespunzător. O eroare obișnuită în aceste situaţii o reprezintă codarea hard a credenţialelor serviciilor.
  4. Lipsa criptării la transportul de date:
    Credenţialele și datele trebuie criptate. Adoptarea PKI ar trebui să ajute administratorii să implementeze procese eficiente de securizare a informaţiei.
  5. Probleme de confidențialitate:
    Este important să fie analizate toate aspectele arhitecturii IoT care ar putea expune date sensibile necriptate.
  6. Interfață cloud nesigură:
    Dispozitivele IoT pot fi integrate cu servicii cloud pentru partajarea de date. Interfaţa cu serviciile cloud trebuie implementată în mod corespunzător și proiectată să evite prezenţa vulnerabilităţilor critice.
  7. Interfață mobile nesigură:
    Multe dispozitive inteligente furnizează o funcţionalitate „Wireless Access Point”, ca de exemplu smartTV-urile, și este necesară adoptarea unui algoritm de criptare puternic și a celor mai bune practici de securitate (de ex. dezactivarea transmisiei SSID).
  8. Configurabilitate de securitate insuficientă:
    Dispozitivele IoT trebuie să ofere posibilitatea de configurare a principalelor facilităţi de securizare cerute de conformitatea cu politicile de securitate.
  9. Software/Firmware nesigur:
    Asiguraţi-vă că firmware-ul și software-ul care rulează pe dispozitive poate fi actualizat și că upgrade-urile se efectuează prin procese securizate care evită modificarea/înlocuirea. Evitaţi software-ul/firmware-ul care are credenţiale codate hard și o bună practică este validarea software-ului prin semnarea digitală a codului sursă.
  10. Securitate fizică scăzută:
    Verificaţi securitatea fizică a dispozitivelor inteligente prin protejarea accesului la toate porturile expuse. De obicei producătorii dau acces extern în scopuri de mentenanţă. Un atacator poate exploata unul dintre aceste puncte de acces pentru a injecta cod maliţios, pentru filtrarea de date sau pentru sabotarea obiectului inteligent. Se sugerează criptarea datelor stocate în memoria dispozitivului și protejarea fizică a porturilor USB și a oricărui alt port, prin dezactivarea acceselor ne-necesare.

Scenarii de atac
Firmele de securitate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la scară globală. Cel mai întâlnit scenariu este utilizarea de botneţi alcătuiţi din mii de dispozitive din domeniul IoT, cunoscute și sub denumirea de thingboţi, care sunt utilizaţi pentru a trimite mesaje de spam sau pentru coordonarea unor atacuri DDoS. Rezumând un thingbot poate fi utilizat pentru:

  • a trimite spam.
  • a coordona un atac împotriva unei infrastructuri critice.
  • a furniza un malware.
  • a funcţiona ca punct de intrare în reţeaua unei companii.

Principalele firme de securitate confirmă o creștere a numărului de atacuri împotriva unor obiecte inteligente, incluzând routere, SmartTV-uri, dispozitive

NAS (network-attached storage), console de jocuri și diferite tipuri de set-top box-uri.
Unul dintre primele atacuri la scară largă a fost semnalat de cercetătorii de la Symantec în noiembrie 2013, când un vierme numit Linux.Darlloz a infectat numeroase dispozitive Intel x86 care rulau Linux prin exploatarea diverselor vulnerabilităţi din PHP.

Viermele a reușit să compromită kit-uri internet pentru acasă, echipate cu cipuri x86, să le exploateze și să extindă infecţia. Codul maliţios a compromis echipamente de reţea la scară globală, după cum a fost descris de către Symantec într-un raport detaliat.

„Viermele Linux.Darlloz exploatează vulnerabilităţi PHP și se autopropagă. Viermele utilizează vulnerabilitatea cunoscută ca PHP «php-cgi» Information Disclosure Vulnerability (CVE-2012-1823), care este o vulnerabilitate veche pentru care există un patch din mai 2012. Atacatorii au creat recent un vierme bazat pe codul Proof of Concept (PoC) disponibil de la sfârșitul lui octombrie 2013”, se afirmă într-o postare de pe blogul Symantec.

Cu toate că viermele a fost conceput pentru a compromite dispozitivele Intel x86 echipate cu Linux, experţii Symantec au descoperit că există și o variantă Darlloz compilată să ruleze pe dispozitive ARM și MIPS. Darlloz a reușit să se răspândească în liniște și să șteargă parţial fișiere stocate pe dispozitivele IoT.
Tehnica de atac a fost simplă și eficientă, codul maliţios genera adrese IP aleatorii și încerca să utilizeze credenţiale utilizate în mod curent pentru a se loga la mașinile ţintă. Dacă malware-ul identifica un dispozitiv vulnerabil îl accesa și downloada viermele de pe un server. Odată infectat dispozitivul IoT, malware-ul începea să caute alte ţinte rulând un server web și PHP.

Darlloz utilizează cereri HTTP POST concepute în mod special pentru exploatarea dispozitivelor vulnerabile.

În momentul în care malware-ul identifică un dispozitiv ne-patch-uit și preia controlul, download-ează viermele de pe un server și începe să caute alte ţinte prin rularea unui server web și PHP.
Pentru a preveni recuperarea dispozitivului, viermele oprește serviciile Telnet care rulează pe componenta inteligentă, făcând astfel imposibilă o conectare de la distanţă cu acesta pentru a-l readuce într-o situaţie normală de funcţionare.

Câteva luni mai târziu, în ianuarie 2014, cercetătorii de la Proofpoint au descoperit o altă utilizare abuzivă a dispozitivelor IoT, peste 100.000 de frigidere, Smart TV-uri și alte dispozitive casnice inteligente fiind hack-uite pentru trimiterea a 750.000 de e-mail-uri de spam maliţioase.

„Atacul observat și profilat de Proofpoint s-a derulat între 23 decembrie 2013 și 6 ianuarie 2014, și a constat în trimiterea de valuri de e-mail-uri maliţioase, în serii de câte 100.000, de 3 ori pe zi, către companii și persoane fizice la nivel global. Mai mult de 25% din acest volum a fost trimis prin intermediul unor obiecte care nu erau laptop-uri convenţionale, calculatoare desktop sau dispozitive mobile; e-mail-urile fiind expediate de gadget-uri de consum cum ar fi routere pentru reţele casnice, centre multimedia conectate, televizoare și cel puţin un frigider.”

Între timp atacurile continuă, recent experţii de la Akamai Prolexic Security Engineering & Response Team (PLXsert) au semnalat un nou kit de malware denumit Spike, care este utilizat pentru lansarea de atacuri DDoS prin intermediul desktop-urilor și al dispozitivelor IoT.

Thingbot-ul Spike este capabil să lanseze diferite tipuri de atacuri DDoS, incluzând SYN, UDP, cereri Domain Name System, și flood-uri GET împotriva unor mașini Linux, Windows, sau al unor host-uri ARM cu Linux.

Thingbot-ul a fost compus din routere casnice, uscătoare inteligente, termostate inteligente și alte dispozitive
inteligente. Akamai a observat că numărul dispozitivelor care au alcătuit botnet-ul Spike s-a situat între 12.000 și 15.000, cercetătorii subliniind abilitatea atacatorilor de a customiza malware-ul și pentru arhitecturi ARM utilizate pe scară largă de dispozitivele IoT.

„Abilitatea toolkit-ului Spike de a genera atacuri și asupra arhitecturilor ARM sugerează că autorii acestor instrumente ţintesc dispozitive cum ar fi router-ele și dispozitivele IoT pentru a-și extinde botneţii pentru o eră post-PC de propagare a botneţilor” se afirmă în documentul Akamai.

Botnetul Spike a fost utilizat pentru mai multe atacuri DDoS de tipul „lovește și fugi” în care au fost implicate atât mașini Windows cât și Linux, dispozitive IoT și Raspberry Pi.

Experţii au observat ca noul aflux de malware Spike s-a bazat pe un update a limbajului de malware Spike chinezesc care ţintește dispozitive Internet-of-Things slab configurate.

Akamai a publicat un raport interesant despre botnetul Spike care include detalii despre atacurile DDoS care au avut loc. Experţii au observat că unul dintre atacuri a inclus pachete tactate la 215 gigabiţi pe secundă (Gbps) și 150 millioane de pachete pe secundă (Mpps). Documentul confirmă faptul că și dacă majoritatea atacurilor DDoS sunt lansate de pe dispozitive de putere mică, și ar putea părea nesemnificative,
dispozitivele IoT pot reprezenta o armă puternică în mâinile atacatorilor.

„Mai mulţi clienţi Akamai au fost ţinta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiţi pe secundă și 150 millioane pachete pe secundă,” se afirmă în documentul companiei.
Lista atacurilor cibernetice asupra dispozitivelor IoT este foarte lungă, unul dintre cele mai puternice atacuri întâmplându-se de Crăciun, atunci când popularele platforme de jocuri Sony PSN și Xbox Live au fost blocate de un atac al unui grup de hackeri cunoscut sub numele de Lizard Squad.

Grupul a utilizat în cadrul atacului un instrument DDoS denumit Lizard Stresser, conform expertului în securitate Brian Krebs, acesta fiind alcătuit din mii de routere de internet domestice hack-uite.

Untitled
Figura 2 -Instrumentul Lizard Stesser DDoS

Lizard Squad a elaborat recent și o ofertă comercială pentru Lizard Stresser, care propune spre vânzare un model de tipul attack-as-a-service și hacking-ul dispozitivelor IoT permite infractorilor să gestioneze ușor astfel de oferte.

Instrumentul Lizard Stresser este un instrument DDoS puternic care se folosește de lăţimea de internet a routerelor domestice de Internet hack-uite global. În septembrie 2014, experţii de la Kaspersky Lab au descoperit o campanie de hacking condusă de atacatori din Brazilia care vizau routerele domestice prin intermediul unui atac web.

Atacatorii adoptă tehnici diferite, incluzând ingine rie socială și site-uri web maliţioase, pentru a schimba setările DNS ale routerelor domestice. Atacurile prin modificarea setărilor DNS permit atacatorilor să redirec teze victimele către site-uri web false pentru a fura credenţialele bancare ale clienţilor băncilor braziliene. În martie 2014, cercetătorii de la Team Cymru au publicat un raport detaliat despre un atac de tip fermă SOHO la scară largă care a afectat peste 300.000 de dispozitive la scară globală.

Din păcate grupările infracţionale privesc cu tot mai mult interes la reţelele de dispozitive IoT cu scopul de a le compromite și a lansa atacuri de tipul DDoS.

În majoritatea situaţiilor dispozitivelor IoT le lipsesc măsurile defensive iar soft-ul lor nu este actualizat la zi, circumstanţe care fac ca aceste obiecte puternice să fie expuse unor atacuri cibernetice.
În urmă cu câteva săptămâni experţii de la compania de securitate Imperva Incapsula au descoperit un botnet DDoS alcătuit din zeci de mii de routere SOHO, infectate cu malware, angajate într-un atac de tip flood la nivel de aplicaţie HTTP.

Routerele SOHO erau infectate cu o versiune de troian Linux Spike (Trojan. Linux.Spike.A) și MrBlack, care este un agent Linux semnalat pentru prima dată de cercetători de la Dr. Web în mai 2014.
Atacatorii au facilitat accesul de la distanţă asupra routerelor SOHO prin HTTP și SSH pe porturile lor implicite, pentru a le compromite. După cum se explică în raportul publicat de Incapsula, routerele SOHO erau slab configurate, atacatorii utilizând credenţiale implicite (de ex. admin/admin) pentru a le accesa și a le injecta cod maliţios. Malware-ul a reușit să se autopropage prin scanarea reţelei pentru a localiza și infecta și alte routere. Conform cercetătorilor, routerele SOHO deturnate erau dispozitive pe arhitecturi ARM de la producătorul de echipamente de reţea wireless Ubiquiti Networks.

Compania a descoperit o serie de atacuri împotriva clienţilor săi la sfârșitul lui decembrie 2014, într-o perioadă de 121 de zile în care aceștia au monitorizat arhitectura maliţioasă utilizată de infractori. Au fost identificate IP-urile a 60 de servere de comandă și control (C&C) iar traficul maliţios a fost lansat de la peste 40.000 de adrese IP aparţinând la aproape 1.600 de ISP-iști din 109 de ţări, de pe toate continentele.
Este interesant de menţionat că peste 85% dintre routerele SOHO infectate au fost localizate în Thailanda și Brazilia.
„Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de ţări din toată lumea”, se afirmă în raport.

Untitled
Figura 3 – Mrblack Thingbot – Topul țărilor atacatoare – Incapsula Report

Conform celor de la Incapsula, routerele SOHO compromise au fost exploatate de către mai multe grupări, inclusiv de către popularul grup Anonymous. Incapsula speculează că sute de mii sau chiar milioane de routere SOHO au fost compromise datorită unei configurări slabe.

Bash Bug, Heartbleed și Internet of Things
Bash Bug (CVE-2014-6271) este un defect critic care poate fi exploatat de la distanţă și care afectează mașini Linux, Unix și Apple Mac OS X. Bash Bug există de câteva decade și este legat de modul în care bash tratează variabilele de mediu formatate special, și anume de funcţiile shell exportate.

Pentru a rula un cod arbitrar pe un sistem afectat este necesară asignarea unei funcţii la o variabilă, codul ascuns în definiţia funcţiei urmând a fi executat.

Defectul Bash Bug are impact asupra a miliarde de dispozitive din lumea întreagă, care rulează pe arhitecturi Linux/Unix, inclusiv dispozitive IoT.

Companiile de securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către infractori pentru afectarea dispozitivelor din diferite industrii.

Principala problemă în adresarea dispozitivelor IoT este că în multe scenarii mentenanţa unor astfel de obiecte este foarte dificilă și că uneori producătorii nu furnizează update-uri de securitate pentru eliminarea problemelor, lăsându-le accesibile atacurilor cibernetice.

Untitled
Figura 4 – Atac Heartbleed asupra unei mașini client (Symantec)

O altă vulnerabilitate care ameninţă IoT este popularul Heartbleed, care poate afecta routere, PBX-uri (business phone systems) și multe alte obiecte inteligente.

Prin exploatarea defectului Heartbleed un atacator poate citi de la distanţă memoria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL.

Un dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj maliţios Heartbeat către acesta. Dispozitivul IoT îi va răspunde trimiţând date suplimentare din memoria sa, putând expune credenţailele și alte date sensibile.

Vestea bună, după cum explică cercetătorii de la Symantec, este că deși atacurile Heartbleed asupra unui server nu sunt complicat de efectuat, o ofensivă la scară largă asupra unor clienţi este greu de rulat într-un scenariu din lumea reală. Principalii doi vectori de atac pentru exploatarea defectului Heartbleed în dispozitivele IoT sunt determinarea obiectului inteligent să viziteze un server maliţios SSL/TLS sau prin deturnarea conexiunii printr-o slăbiciune necorelată. În ambele situaţii atacurile sunt mai greu de efectuat de către infractori.

Concluzie
IoT este o paradigmă care ne va influenţa vieţile în anii care vor urma. din acest motiv este esenţial ca problemele de securitate și de confidenţialitate să fie tratate în mod corespunzător.

Experţii în securitate solicită producătorilor și vânzătorilor să ia în considerare ameninţările cibernetice și nivelul de expunere al oricărui dispozitiv IoT. IoT oferă oportunităţi de business fiecărei industrii, dar poate deveni un coșmar în cazul în care componentele de securitate sunt subestimate.

mika

Mika Lauhde

Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia Business Security and Continuity la Nokia Corporation unde a răspuns de relațiile guvernamentale în zona securității IT ca și în zonele mana- gementului de criză, complianță infracțională, prevenirea fraudelor și soluții de criptare a terminalelor.

Mika are o exepriență bogată în zona subiectelor de securi- tate și a instituțiilor guvernamentale atât în Europa cât și în SUA. În prezent este membru în ENISA (European Network and Information Security Agency) Permanent Stakeholder Group, în European Cyber Security Research Center, și în grupul de lucru în domeniul Cyber Security al Guvernului Finlandez.

  • Membru al ENISA (European Network and Information
  • Security Agency) PSG (2009 – )
  • Membru în managementul grupului de lucru al Leuven
  • University European Crypto Task Force  (2014 – )
  • Grupul de lucru Europol  (2014 – )
  • Membru în managementul European Cyber Security Research Center  (2011 – )
  • Membru în grupul de lucru Finnish Government Cyber Security  (2013 – )
  • Founding Member și Board Member TDL (Trust in Digital Life) (2010 – 2013)
  • Membru al EU government  security advisory board RISEPTIS (2007-2009)
  • Membru al Finnish government ICT security advisory board (2007 – 2010)
  • Membru al UK government critical infrastructure protection group CPNI (2005 – 2009)

autor: Mika Lauhde

VP, Government Relations and Business Development,
SSH Communications Security

O să-i dezamăgesc pe cei care așteaptă marile fenomene legate de securitatea cibernetică în domeniul IoT (Internet of Things) spunându-le că trenul a plecat deja. Problemele de securitate în domeniul IoT se află deja printre noi și ceea ce rămâne de stabilit este cine va administra securitatea acestora, și din acest punct de vedere adevăratul subiect este controlul următoarelor generații de ecosisteme de supraveghere și de business.

Tehnologiile din domeniul securităţii cibernetice, chiar dacă sunt importante, nu pot fi comparate cu informaţiile vitale: ce anume ne propunem să apărăm și ce ne este frică să pierdem? Asupra acestor aspecte va trebui să ne concentrăm în construirea capacităţilor de apărare.
Înţelegem cu toţii faptul că tehnologiile cibernetice se vor îmbunătăţi odată cu trecerea anilor și putem fi siguri că și atacurile asupra acestora se vor îmbunătăţi. Confruntarea dintre aceste două aspecte ne va ţine ocupaţi în domeniul securităţii cibernetice.
Prin urmare, cum să fim suficient de prevăzători și să nu așteptăm pasivi ivirea unor breșe de securitate?
Pentru aceasta trebuie să înţelegem ecosistemul și rolurile din cadrul acestuia!
Următoarele exemple sunt luate din industria auto și din scenariile cu automobilele care se pot conduce singure.
După cum știţi, în SUA există deja mașini care se conduc singure și au fost făcute deja teste în acest sens și în Europa. Aceste tipuri de mașini au nevoie de un volum mare de informaţii de la senzori din mediul înconjurător, dar și informaţii de la alte sisteme de back-end. Când vorbim despre sisteme de back-end nu ne referim la sistemul de divertisment, care este componenta cea mai interesantă pentru cei care stau pe scaunele din spate ale mașinii, ci la informaţii care controlează mișcarea mașinii și siguranţa acesteia.
Prin urmare devine o necesitate naturală să protejăm sistemele mașinii. Dar împotriva a ce?

Să luăm în considerare următoarele aspecte legate de acest tip de ecosistem.

  1. Avem mașini care sunt programate să se conducă singure. Deci există o companie răspunzătoare de programarea navigaţiei, a controlului, ca și a celorlalte funcţionalităţi ale mașinii. 01
  2. Există drumuri alunecoase care nu pot fi prezise nici cu cele mai inteligente soluţii software.02
  3. Există un preţ (valoare) pentru fiecare om care se află în mașină, dar preţul este diferit de la individ la individ.03
  4. Prin urmare în momentul în care ciocnirea a două mașini pe un drum alunecos devine inevitabilă, și unii pasageri trebuie sacrificaţi pentru minimizarea daunelor totale, ce factori trebuie luaţi în considerare?04

Pentru a înţelege fiecare stakeholder și scopurile acestora atunci când vine vorba despre securitatea cibernetică, trebuie să înţelegem ce anume îi motivează pe acești stakeholderi:
Șoferul și proprietarul mașinii: înafara dorinţei de a controla pe deplin sistemul de divertisment (hack-uirea sistemului DRM și a protecţiei la copiere), există o motivaţie clară de a supravieţui. Cum să interferezi cu sistemele în așa fel încât nu numai să îţi controlezi mașina atunci când este necesar, dar să și trimiţi informaţii celorlalte mașini din trafic astfel încât să eviţi o coliziune.
Compania de asigurări: Din moment ce știm că nu se acordă compensaţii egale pentru vieţile pierdute sau pentru dizabilităţi, de ce nu ar avea companiile de asigurări o motivaţie clară de a avea un impact asupra programării și a sistemului de coliziune astfel încât să cheltuie cât mai puţin în cazul unui accident? Până la urmă și ei trebuie să plătească dividende acţionarilor..
Interesul guvernului: Toate guvernele trebuie să își protejeze cetăţenii. De obicei guvernele promit cetăţenilor securitate și siguranţă, mai ales atunci când este necesară limitarea anumitor drepturi. Dacă un guvern nu realizează aceste deziderate cum ar mai putea rămâne la putere? Există motive să credem că este în interesul tuturor guvernelor să influenţeze comportamentul mașinilor.
Investigația poliției: În majoritatea ţărilor atunci când se produce un accident, urmează și o investigaţie a poliţiei. De obicei aceasta are ca scop nu doar de a găsi un vinovat dar și de a duce la îmbunătăţiri ale siguranţei care să ducă la evitarea unor accidente similare în viitor. Accesul la toate datele din sistemul mașinii dar și la cele de back-end este vital. Deci, cum să fie accesate ambele sisteme?
Hacker: În acest caz am putea găsi mai multe motivaţii de a avea un impact asupra sistemului mașinii. De la a deveni faimos și până la a face rău. Dar pentru a dobândi “15 minute de glorie”, trebuie mai întâi să pătrunzi în sistemul mașinii și să preiei controlul.
Producătorul mașinii: Producătorul s-ar putea să nu fie localizat într-o singură ţară, dar deciziile de management sunt de regulă ghidate de normele regulatorii din ţara de origine a companiei. Producătorii se confruntă cu faptul că retragerea unor modele de pe piaţă, datorită unor sisteme tot mai complicate, devine din ce în ce mai scumpă. De asemenea ameninţările externe la adresa sistemelor mașinilor sunt tot mai mari. Toate celelalte părţi se află în conflict de interese cu producătorii mașinilor.
Realitatea, din păcate, este că producătorul are cea mai strânsă legătură cu mașina ceea ce implică și cel mai mare risc privind răspunderea. Sistemul din mașină este doar un sistem client, dar serverul este localizat undeva în cloud-ul producătorului. În ce ţară și sub ce jurisdicţie se află acest cloud?

Concluzie
Aici în Europa suntem mai degrabă în siguranţă din aceste perspective. Până la urmă, am renunţat la o componentă fundamentală denumită modem, care stă la baza IoT wireless, cu câţiva ani în urmă.
În prezent Europa se concentrează pe implementarea eCall și nici măcar nu am îndrăznit să întrebăm de unde se fac update-urile de software ale modemurilor acestor mașini europene și dacă există canale paralele de comunicare. Canale paralele despre a căror existenţă s-ar putea să aflăm abia peste câţiva ani, în cazul apariţiei unui nou caz „Snowden”. Atunci când vom ajunge atât de departe încât eCall să fie funcţional, probabil că vom afla că toate celelalte probleme au fost deja rezolvate. Fără nici o implicare europeană.
Deci, vă rog să nu spuneţi că vine IoT…. toate deciziile vitale se implementează deja…

1635

autor: Laurent Chrzanovski

Rep.: Domnule Corîci, sunteți antreprenor. De câțiva ani v-ați lansat cu succes în domeniul „etical hacking”, ajungând să puneți la punct una dintre cele mai performante platforme din piața globală. De unde vă vine această pasiune pentru securitate IT?

Marius Corîci: Prima „întâlnire” cu securitatea IT am avut-o la începuturile internetului în România. A doua jumătate a anilor ‘90. Atunci am testat aplicaţia Nmap și m-a cucerit. Am cochetat o vreme cu securitatea informatică după care am lăsat-o deoparte. Fast forward, prietenul și asociatul meu Marius Chiș a vrut să facem un proiect de online (startup) și așa a apărut Hackaserver în 2011. O platformă de crowdsourcing pentru pentesting la aplicaţiile web. Prima din lume la acea dată. Așa mi-a revenit apetitul pentru securitatea informatică. După care am continuat cu proiectul CTF365.

Rep.: Spuneți-ne mai multe despre CTF365.
Marius Corîci: CTF365 reprezintă o platformă de training în securitate informatică pentru industria de IT. Platforma implementează concepte CTF (Capture The Flag) și folosește mecanisme de gamificare pentru a îmbunătăţi rata de retenţie și a accelera curba de învăţare. Datorită flexibilităţii, platforma poate fi conectată la structurile de training existente ca și un add on layer, sau poate fi folosită separat ca și soluţie independentă. Ca și utilizatori, platforma se adresează în special profesioniștilor în securitate informatică, administratorilor de sistem și web developerilor. Ca și clienţi, vizăm companii de training în securitate, producători de software/ hardware pe securitate (Rapid7, McAfee, Juniper, Cisco), organizaţii specializate pe securitate informatică (OWASP, SANS, ISECOM, ENISA, etc), companii de management al securităţii, echipe Red/Blue CERT CSIRT inclusiv agenţii guvernamentale. CTF365 nu este un „alt laborator de securitate informatică” așa cum majoritatea clienţilor enumeraţi mai sus au în dotarea lor. Spre deosebire de laboratoarele tradiţionale unde găsești servere „vulnerable by design”, CTF365 este un mediu viu, extrem de dinamic, cu useri reali și servere reale. Dacă omenirea are Google, Amazon, Yahoo, Twitter, CTF365 are Googu, Amazoom, Yoohoo și Crow. Practic construim un internet în Internetul real unde poţi face tot ceea ce este interzis.

Untitled

Rep.: Cum v-a venit ideea să faceți și o interfață ludică și o serie de abonamente pentru studenți, inclusiv unele gratis? Este un exemplul rar de „social responsibility” pentru România.

Marius Corîci: Interfaţa ludică este o componentă vitală atunci când implementezi concepte de gamificare. Până la CTF365, existau 3 canale prin care puteai să înveţi/îmbunătăţești securitatea informatică: Cursuri de facultate – care te învaţă bazele securităţii; companii de training pe securitate – tehnici avansate; și studiul individual (Google, Forumuri, bloguri etc). CTF365 a adăugat dimensiunea de gamificare și a transformat studiul securităţii informatice într-un proces continuu, distractiv, rovocator. Toate aceastea în jurul comunităţii pasionaţilor de securitate informatică.

Într-adevăr am lansat un program numit „Student Security Training Program” care se adresează strict studenţilor. Practic orice student care dorește să folosească platforma CTF365 are un discount de 67% faţă de preţul de bază. Exemplu: un student plătește doar 15$/lună comparativ cu 46$. Obiectivul noastru vis-a-vis de facultăţi este acela de a încheia parteneriate și de a reduce și mai mult acest preţ pentru studenţi. Undeva în jurul a 7-10$/student/lună acolo unde universităţile/facultăţile ar încheia un parteneriat cu noi.
Cât despre „social responsibility”, nu știu alţii, dar noi considerăm că este de datoria noastră atât ca oameni cât și ca firmă să dăm ceva înapoi societăţii. Numai așa reușim să evoluăm. Atât ca societate cât și ca oameni. Spre exemplu așa cum aţi menţionat, avem și conturi gratuite unde orice user are acces gratuit la servere „vulnerable by design” pe care pot exersa tehnici de securitate ofensivă. Totul gratuit iar planurile noastre de „social responsibility” nu se opresc aici. Avem proiectul Hackademy care va fi o aca demie gratuită de etical hacking ce va folosi platforma CTF365 ca și laborator de training hands on. Calitatea video tutoria lelor va fi una exemplară și speram să o putem integra cu programa marilor facultăţi internaţionale. Ca și mostră a video-tutorialelor puteţi urmări câteva pe canalul Hackademy de pe YouTube.

Rep.: Sunteți bazat la Cluj, și totuși tot ceea ce am citit despre platforma dvs., într-adevăr impresionant ca termeni laudativi, este integral pe site-uri și reviste online din Franța, SUA, UK. De ce această nepăsare în media românească?

Marius Corîci: Nu am un răspuns la „nepăsarea din media românească”. Aș putea doar să speculez și nu-mi stă în fire. În schimb, vă pot spune de ce și cum au ajuns să scrie site-uri si reviste online din SUA, UK, Franţa, Italia. Au aflat de produs, l-au testat, le-a placut foarte mult conceptul, au văzut potenţialul foarte mare al platformei și au vrut să afle mai multe despre CTF365.

Occidentul și ţările dezovltate au o cultură a securităţii cibernetice și cunosc foarte bine valoarea ei. România, nu. Asta ca să nu intru în speculaţii.

Rep.: Multe firme din România, Italia, Franța, mai ales start-up-uri de succes, se mută din ce în ce mai des inclusiv în țări foarte scumpe ca și Elveția, pentru că nu mai pot suporta nivelul de taxare la care sunt supuse. De ce ați ales să rămâneți totuși la Cluj? Veți rămâne în continuare?

Marius Corîci: Sunt câteva aspecte de luat în calcul atunci când îţi faci planul de afaceri: mediul de afaceri (ţara) și piaţa căreia i te adresezi. În cazul nostru, piaţa noastră este globală, cu focus pe America de Nord și EU.

Ca mediu de afaceri, dupa 26 de ani, România este corigentă (încă) la taxe, legislaţie și corupţie. Nu, nu cred că o să rămânem în România cu operaţiunile. Dar este foarte probabil să menţinem în Cluj partea de dezvoltare a platformei. Cluj Napoca este perfect când ești focusat pe IT.

Rep.: Din punct de vedere al obiectivelor, unde sunteți acum și ce planuri aveți în viitorul apropiat?
Marius Corîci: Ca și companie, suntem un start-up autofinanţat și căutăm o finanţare de tip angel investor pentru early stage. Ca și execuţie, acum suntem în Beta Public cu un MVP (Minimum Viable Product) funcţional și clienţi din SUA, EU și Asia.

Ca și planuri pentru viitorul apropiat, deja suntem în teste cu un nou produs „Security Training Labs on Demand”. Acest produs este B2B și urmărește externalizarea laboratoarelor de training atât ca infrastructură cât și ca mentenanţă, pentru cei care folosesc astfel de laboratoare. Ideea ne-a venit după ce Rapid7 ne-a cerut să le proiectăm viitoarea generaţie de laboratoare pentru training de Metasploit și Nexpose. Suntem încă în evaluare din partea lor (Rapid7) dar e clar că au văzut ceva interesant la noi dacă au cerut, iar noi am văzut o piaţă pe această componentă. Avantajul pentru companii și organizaţii este acela că ar plăti doar cât ar folosi fără să fie nevoiţi să le mai dezvolte dar să le și întreţină in-house.
Faptul că avem o experienţă de ~4 ani strict pe dezvoltarea de astfel de laboratoare cibernetice ne-a creat un avantaj faţă de potenţialii competitori.

Rep.: Cu o interfață prietenoasă, accesibilă, tutorials foarte bine gândite, nu ați reușit să cuceriți piața educațională din România. De fapt, aproape nimeni nu a reușit ceea ce s-a ratificat în strategia naționa lă de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare). În opinia dvs., de unde vine acest blocaj?

Marius Corîci: Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet. Și vă detaliez:

Mediul corupt: Fără a da nume, există trei mari companii din domeniul IT care sunt abonate să facă afaceri cu statul. Toţi le cunoaștem, știm cine sunt, s-a scris foarte mult despre afacerile lor oneroase cu statul și nimeni nu a luat nicio măsură până la această oră să îndrepte sau să schimbe această percepţie.

Ignoranța: Am contactat trei universităţi, prin intermediul profesorilor de specialitate care predau reţelistică, iar răspunsul lor, deși năucitor pentru cineva din EU sau America de Nord, a fost atât de banal și normal pentru o ţară precum România: „Nu avem fonduri alocate” (deși nu s-a ajuns la discuţia de costuri). „Conducerea preferă să cheltuie pe hardware.” „Nu avem catedră de securitate informatică” sau „Nici nu se pune problema de cursuri de securitate.”

Orgoliu: CTF365 are un program de sponsorizare a conferinţelor de securitate cibernetică. Până la această oră, CTF365 a sponsorizat patru conferinţe internaţionale printre care Nuit du Hack și HackMiami. Singura conferinţă de securitate cibernetică cu componentă hands-on din România nu ne-a cerut suportul. Nu că nu ar ști despre CTF365. Aţi menţionat „strategia naţională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare).” În 2014 s-a dezbătut în CSAT ca guvernul să introducă pregătirea obligatorie privind securitatea cibernetică în școli. Platforma CTF365 este unică în lume la această ora și se mulează perfect pe cerinţele CSAT ca suport tehnic de pregătire și antrenament. Nimeni nu ne-a contactat. Nici presa și nici reprezentanţi ai guvernului.
Concluzia? Puse cap la cap, consider că efortul nostru pentru piaţa din România nu se justifică atunci când trebuie să te lupţi cu corupţia și ignoranţa dar nu cu competenţa, calitatea și inovaţia. S-ar justifica într-o piaţă normală, ceea ce nu există încă. Așteptăm să apară.

Rep.: Legea Big Brother este deja parte din trecut. Dar nu s-au rezolvat problemele esențiale. Cum vedeți o lege simplă, aplicabilă și care să respecte libertățile cetățenești?

Marius Corîci: Legea Big Brother trebuie să facă parte din prezent. Este imperativ. Susţin cu tărie crearea legii Big Brother la fel de mult cum susţin, în egală măsură, și drepturile omului. S-a pornit greșit și s-a pierdut esenţa acestei legi. Pe de o parte iniţiatorii legii au ignorat total drepturile omului considerând că pot pune în lege orice le trece prin cap, pe de altă parte societatea civilă s-a simţit ameninţată (pe bună dreptate) și a blocat prin orice mijloace această lege. Din ce trebuia să fie un dialog „umăr la umăr” între guvern (sau legislativ) care apără suveranitatea ţării și cetăţenii și organizaţiile specializate în drepturile omului și libertăţii, s-a ajuns pe poziţii de forţă și contre iar dialogul a dispărut complet ca și proiectul de lege.
Cum văd eu o lege Big Brother? Nu sunt specialist nici în securitate naţională, nici în drepturile omului. Dar pot să vă spun pe ce fundaţie trebuie construită o astfel de lege. Fundaţia legii trebuie să fie: dialogul, drepturile omului, bunul simţ și logica elementară. Unde este nevoie, pe compromisuri, dar fără să ne compromitem. Asta ar fi o regulă general valabilă pentru orice proiect de lege.
Părţile implicate trebuie să cadă de comun acord de necesitatea unei astfel de legi. Dacă una dintre părţi nu este convinsă de această necesitate, atunci nu va exista dialog ci doar contre.
Ar trebui luate în considerare top 10 dintre ţările care respectă cel mai mult drepturile omului, au o astfel de lege și fac parte din UE. Analizate legile lor și adaptate și/sau îmbunătăţite la noi.
Am un deosebit respect pentru Bogdan Manolea și munca sa și sunt convins că pot fi găsite căi legale care să respecte drepturile omului dar în același timp să ne protejeze mai bine de ameninţările cibernetice. Mai ales în situaţia geopolitică actuală cu Rusia ameninţând dinspre Est.

Rep.: Ce credeți că s-ar mai putea face în domeniul securității ciberne tice?

Marius Corîci: Aș face o lege a hacking-ului. Nu ne dăm seama, dar este extrem de importantă o astfel de lege și vă argumentez. Cunosc mulţi cercetători independenţi în domeniul securităţii cibernetice care mi-au prezentat cazuri de vulnerabilităţi critice în diferite domenii. Vulnerabilităţi critice în sistemele bancare, sănătate și altele, din România.

În contextul actual, acești cercetători nu au nici o bază legală prin care să anunţe proprietarii sistemelor respective de aceste vulnerabilităţi critice. Dacă ar face-o în prezent, cel mai probabil, ar putea fi acuzaţi
de acces ne autorizat și închiși ani buni. Este un cerc vicios: ei știu de o vulnerabilitate critică pe care nu o pot raporta de teamă să nu fie închiși, în timp ce alţi hackeri cu intenţii rele ar putea să o descopere și ei și să profite, fie vânzând pe piaţa neagră fie prin exploatarea acelei vulnerabilităţi iar banca sau instituţia respectivă ar avea cel mai mult de suferit.

O lege a hacking-ului i-ar proteja atât pe cercetătorii din domeniul securităţii cibernetice dar și pe instituţiile respective – proprietarii sistemelor vulnerabile.

Cum ar funcţiona o astfel de lege în cel mai simplist mod posibil?

Dacă un hacker etic ar găsi o vulnerabilitate într-un sistem informatic, ar raporta acea vulnerabilitate (cu PoC inclus – Proof of Concept) către CERT Romania, invocând legea hacking-ului. CERT România ar inspecta și verifica acea vulnerabilitate iar în cazul unui rezultat pozitiv, CERT ar anunţa reprezentanţii instituţiei/companiei respective de respectiva vulnerabilitate.

Instituţia ar fixa vulnerabilitatea, în timp ce CERT România ar recunoaște meritele cercetătorului într-un Hall of Fame. Acest Hall of Fame ar putea fi folosit de către cercetător ca și achievement în CV-ul său când ar dori să se angajeze.

Am explicat cât mai simplist, dar urmările pozitive ar fi mult mai mari. Fixarea mai rapidă a unor vulnerabilităţi, premierea chiar și cu bani a hacke rilor etici pentru vulnerabilităţile găsite, creșterea numărului de hackeri etici care ar „supraveghea” securitatea cibernetică.

 

 

1256

jean cristophe

Jean Christophe Schwaab

Născut în 1979, doctor în drept economic, consilier național socialist (Deputat în Camera Poporului Parlementul Federal al Elveției), vice-președinte al Comisiei Afacerilor Juridice a Consiliului Național, membru al direcței și președinte romand al „Asociation Suisse des Employés de Banque” (ASEB), președinte al „Oeuvre Suisse d’Entraide Ouvrière” (OSEO), fost secretar central al USS (Uniunea Națională a Sindicatelor, n.d.r), fost secretar al sindicatului „Unia jeunesse”, fost deputat al Parlamentului cantonal din Vaud, fost membru al comitetului „Union des Etudiant-e-s de Suisse” (UNES) și al „Conseil Suisse des Activités de Jeunesse” (CSAJ). Numeroase articole publicate despre dreptul muncii (lista: schwaab.ch/publications-scientifiques/). Locuiește la Riex (Canton de Vaud), căsătorit, doi copii.

Twitter: @jcschwaab
Site web: schwaab.ch

autor: Laurent Chrzanovski

Redactor: La 36 de ani sunteți deja doctor în drept, cu o diplomă de studii avansate la IDHEAP, sunteți Președinte romand al „Association des employés de banque” și Președinte al rețelei de asociații „Oeuvre Suisse d’Entraide Ouvrière”. Cel mai important însă este faptul că sunteți din 2011 Consilier National și vice-președinte al Comisiei de afaceri juridice, din Parlamentul federal al Elveției.

Domnule Deputat, palmaresul dumneavoastră profesional și politic atât de strălucitor nu pare să vă fi predestinat a fi autorul atâtor postulate, interpelări și moțiuni privind protecția datelor digitale și a problemelor legate de utilizarea Internet of Things (IoT). De unde vine o așa mare pasiune și cum ați dobândit atâtea cunoștințe în acest domeniu?

Jean Christophe Schwaab: Protecţia datelor, după părerea mea, este una din provocările majore ale societăţii noastre hiperconectate. Statele și întreprinderile private care prelucrează date au făcut progrese tehnologice fulgurante în ultimii ani, care însă în acest moment se află pe punctul de a ameninţa chiar însăși existenţa sferei private. De aceea vorbim azi de necesitatea unei mobilizări urgente pentru a apăra acest drept fundamental al omului. Eu cred că există un interes public major pentru asta și că acest lucru este în interesul populaţiei care m-a ales.

Din păcate sunt foarte puţini aleși care sunt conștienţi de asta. Și nu e neapărat o chestiune de generaţie, spunând asta chiar dacă cei câţiva colegi ai mei care îmi împărtăşesc părerea sunt majoritatea tineri, obișnuiţi să folosească cele mai noi tehnologii și Social Media.

Cum nu am la bază o formare tehnică sau legată de noile tehnologii, am învăţat totul „din mers”. Am citit mult, mai ales informaţie de pe site-urile specializate, am întâlnit experţi și sunt în continuare în contact cu numeroși specialiști, mai ales graţie reţelelor sociale (ex. Twitter). Fiind de natură foarte curios, conserv un număr mare de articole pe acest subiect. Cei apropiaţi mie precum și militanţii din partidul meu știu asta și îmi transmit foarte adesea informaţii sau sugestii.

Redactor: În 2013, ați formulat și înaintat două postulate (13.3806 și 13.3807) pentru întărirea protecției datelor, referitoare la „privacy by design” și „privacy by default”. Consiliul federal propune adoptarea lor. În ce vor consta aceste măsuri odată ce ele vor fi puse în aplicare?
Jean Christophe Schwaab: Aceste propuneri vizează inversarea logicii actuale în materie de protecţia datelor. De exemplu acum utilizatorul este responsabil să vegheze ca datele sale să nu fie utilizate complet aiurea și, foarte adesea, cei care tratează datele au „o hârtie semnată în alb”, o autorizaţie generală de a trata, modifica, reutiliza și revinde datele personale. Prin aplicarea acestor două concepte, utilizatorul ar fi gestionarul propriilor sale date tot timpul, iar cel care ar dori să le utilizeze, ar trebui ca, la fiecare utilizare a lor, să ceară o autorizare expresă. De altfel, toate noile tehnologii, toate bunurile noi și serviciile care permit tratarea datelor personale ar trebui să fie concepute de o asemenea manieră, încât să garanteze protecţia acestor date. De asemenea, va trebui să evităm ca datele colectate cu acordul utilizatorului într-un scop precis, să nu fie reutilizate mai târziu fără să știe și de o manieră mai invazivă faţă de ceea ce s-a imaginat la început. Odată cu avântul pe care l-a luat „big data”, este de fapt posibil de a contura profile precise și intime ale personalităţii oamenilor, graţie datelor anodine (de exemplu statistici de vânzări). În momentul în care aceste date au început să fie colectate, nimeni nu putea bănui posibilităţile pe care ele le vor oferi câţiva ani mai târziu. De aceea este în mod capital necesar să fie prevăzute reguli specifice, astfel încât utilizarea ulterioară a acestor date să respecte sfera privată.

Red: Este vorba doar de a da un puternic semnal de alarmă sau vă gândiți că asemenea măsuri să poată fi puse în practică într-o lume în care nicio rețea socială, motor de căutare sau sistem de arhivă video nu are un domiciliu legal în Elveția, sau poate nici chiar în Europa (cf. victoria UE în ceea ce privește „dreptul de a fi uitat”)?

Jean Christophe Schwaab: Google s-a pliat pe legislaţia elveţiană, respectând hotărârea Tribunalului Federal „Google Street View”. Deci este posibilă impunerea legislaţiei naţionale inclusiv firmelor internaţionale, rămânând însă o chestiune de voinţă politică. Sunt convins că deciziile tribunalelor elveţiene și amenzile usturătoare care se vor aplica în cazul încălcării lor vor avea efect chiar dacă e vorba de multinaţionale care nu au nici sediu, nici sucursale în Elveţia.

Red: Ceea ce ne frapează cel mai mult în activitatea recentă, este fără îndoială postulatul dumneavoastră (14.3739) care cere introducerea conceptului de „control by design”* și mai ales faptul că el a fost acceptat. Pragmatismul și inteligența demersului pe care l-ați făcut sunt din toate punctele de vedere în afara oricăror norme, în fața pericolelor gigantice și a beneficiilor în aceeași proporție, generate de IoT (Internet of Things).

Din partea unui Doctor în drept, ne-am fi așteptat la o propunere de genul unui lung text normativ, în locul tuturor acestor reglementări (dezbătute în acest moment chiar în majoritatea țărilor europene), esențial legate de problemele din ce în ce mai recurente privind falii de securitate sau absența unei trasabilități a datelor emise de „obiecte” conectate. Dumneavoastră ați abordat problema sub un unghi neașteptat, și anume cel al proprietății intelectuale și al dreptului inalienabil al proprietarilor de a putea deconecta „obiectele” care le aparțin sau, în cazul în care ei acceptă conexiunea, să poată să decidă care date pot fi transmise terților. În mod paradoxal, discuția devine mult mai simplă și evită să se împotmolească în termeni pe care nicio instituție nu i-a consacrat încă, întrucât aceștia nu pot defini un conținut precis (identitate virtuală, internetul obiectelor, cyber-securitate). De unde v-a venit această idee și cum ați reușit să elaborați acest postulat?

Jean Christophe Schwaab: În timp ce urmăream scandalul „ascultărilor” de la NSA, am descoperit un text despre afacerea Snowden care descria conceptul de „control încă din momentul concepţiei” (control by design). Cum mă interesasem îndeaproape despre obiectele conectate, ideea mi s-a părut imediat foarte interesantă. Cum sunt jurist, primul lucru care mi-a venit în minte a fost să propun un text de lege complet redactat sub forma unei iniţiative parlamentare (care să permită Parlementului să îl legifereze el însuși). Însă după o discuţie cu administraţia federală, am ales până la urmă o formă mai puţin „constrângătoare” a postulatului (care nu face decât să ceară un raport Consiliului Federal), pe de o parte în scopul de a crește șansele ca propunerea mea să fie acceptată și pe de altă parte pentru a lasa administraţia să aprofundeze chestiunea ridicată, de oarece este mult mai potrivită decât un parlamentar cu resurse foarte limitate. Acest demers a avut succes, propunerea fiind acceptată cu acordul Guvernului. O anecdotă mi-a întărit convingerile: recent, mi-am pierdut cardul de credit și deci a trebuit să îl înlocuiesc. În momentul în care mi-am comandat noul card, am cerut ca acesta să nu fie dotat cu un sistem de plăţi contactless de tip „NFC” (near field communication). Această tehnologie nu este deloc sigură, deoarece ea lasă posibilitatea piratării unui card de la distanţă. Iată însă că, cel care trebuia să îmi emită cardul meu de credit mi-a comunicat că este imposibil să beneficiez de un card care să nu dispună de o astfel de tehnologie. Deci furnizorul dotează din start cardurile cu tehnologii care deschid breșe în securitatea datelor, în timp ce doar consumatorul este cel care preia riscul și și-l asumă. De aceea consider că se impune un control încă din faza de concepţie care trebuie să remedieze acest lucru, dând posesorului unui obiect, dreptul la a-l deconecta dacă el așa consideră.

Red: Cum anume și în cât timp vedeți dumneavoastră aplicarea acestui postulat și care vor fi rezultatele sale pe termen scurt și mediu?

Jean Christophe Schwaab: Fabricanţii de obiecte ce pot fi potenţial conectate la orice reţea (cu sau fără posibilitatea de schimb de date) vor trebui să le doteze cu o funcţie care să permită oricând oprirea oricărei conexiuni a acestora. Un simplu buton „ON/OFF” ar fi suficient.

Red: Dacă am considera că întreprinderile de IT care dezvoltă IoT ar fi făcut pe acest segment un profit de peste 87% în 2014, v-ați aștepta ca acest text să poată fi „alterat” astfel încât să nu poată să împiedice dezvoltarea unui comerț atât de înfloritor și să fie supus în acest scop unui referendum?

Jean Christophe Schwaab: Nu cred, deoarece aplicarea conceptului ar trebui să fie foarte simplă. De altfel, fabricanţii au interes să joace cartea transparenţei, deoarece sensibilitatea publicului crește din ce în ce mai mult.

Red: Să privim câteva exemple: acum trei luni au fost descoperite la Rotterdam 20.000 frigidere WI FI cu malware integrat, sau Dick Cheney care a dezacti vat pentru motive de securitate WI FI de la defibrilatorul conectat la pacemaker-ul său, sau ethical hackers care au dovedit deja acum patru ani cât de ușor poate fi asasi nat oricare purtător al unei centuri de insulină cu bluetooth. Cu toate că demersul dumneavoastră este unul dintre cele mai rare și probabil cele mai percutante, el face parte dintr-un domeniu pe care politicul are tendința să îl ignore. Cum explicați ușurința totală cu care „obiectele conectate” sunt admise pe piață, atât în Elveția cât și în Europa, de la brățările de jogging până la obiecte vitale, cum ar fi inimile artificiale?

Jean Christophe Schwaab: Asta arată că legiuitorii sunt depășiţi de evoluţiile tehnologice și că trebuie să reacţioneze imediat legat de acest aspect. Asta mai arată de asemenea pertinenţa propunerii mele de a introduce „controlul încă din momentul concepţiei”, care ar evita foarte bine multe din problemele pe care le-aţi evocat.

Red: Demersul dumneavoastră, difuzat de cele mai mari ziare din Elveția, a avut deja un succes de imagine, contrastând cu lipsa de campanii periodice de sensibilizare a publicului și a persoanelor de decizie, în ceea ce privește protejarea vieții lor private, personale și profesionale pe Internet. Și cu toate că Elveția are exemplul cel mai reușit de organism de dialog public-privat în materie, MELANI, cum de nu vedem încă inițierea unor campanii periodice de prevenție în școli, în întreprinderi sau universități? Credeți că însăși lipsa conștientizării politicienilor, chiar în ceea ce privește propria lor viață, este de fapt cauza?

Jean Christophe Schwaab: Lipsa conștientizării este din păcate generalizată în sânul populaţiei, chiar dacă lucrurile încep încet să se amelioreze (adesea în urma unor scandaluri, cum a fost de exemplu cel de la NSA). Aleșii nu sunt decât o reflectare a populaţiei care i-a ales. Majoritatea nu au înţeles încă faptul că de acum înainte se pot obţine date foarte sensibile despre o persoană, nu numai pentru că își povestește viaţa sa pe reţele sociale, cât mai ales prin analiza datelor anodine în număr foarte mare (big data). Educaţia în sfera protecţiei private trebuie să fie dezvoltată, mai ales în școli.

Red: Aveți doi copii. Cum vă imaginați Internetul (cel al „ființelor” sau al „obiectelor”) pe care ei îl vor cunoaște atunci când vor deveni adulți? Mai reglementat, mai sigur? Sau dimpotrivă, o junglă în care doar persoanele informate vor ști să facă alegerile potrivite pentru a nu deveni victime „by design”?

Jean Christophe Schwaab: Din păcate, ambele opţiuni sunt posibile. Trăim o perioadă crucială în care fie deciziile menite să protejeze și să menţină sfera privată sunt luate acum, fie acest drept fundamental riscă să dispară. Orice se va întâmpla, lumea în care vor trăi copiii mei va fi încă și mai mult conectată decât cea pe care o cunoaștem, iar protecţia și gestionarea datelor personale vor avea încă și mai multă importanţă.

* http://www.schwaab.ch/archives/2014/09/17/control-by-design/

mihai

Ioan-Cosmin MIHAI
Vicepreședinte ARASEC – Asociaţia Română
pentru Asigurarea Securităţii Informaţiei

Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things (IoT). Ce reprezintă această tehnologie, cât de mult ne-ar influența viețile în următorii ani, care sunt riscurile la care ne-am expune, sunt întrebări la care voi încerca să vă răspund.

autor: Ioan-Cosmin MIHAI

Cu toţii cunoaștem Internetul așa cum este la momentul actual, un Internet al oamenilor – Internet of People (IoP), cu toate datele, imaginile, înregistrările video, jocurile, cărţile și produsele on-line, pe care le putem accesa oricând și de aproape oriunde. Internetul, una din cele mai importante tehnologii ce a reușit să ne influenţeze stilul de viaţă, a fost creat de oameni pentru oameni. Dinamica schimbărilor duce însă Internetul la un nou nivel, noul Internet nerezumându-se doar în a conecta oamenii, ci și lucrurile. Acest Internet al lucrurilor – Internet of Things (IoT) este capabil să conecteze toate dispozitivele inteligente cu scopul de a fi monitorizate și controlate de la distanţă. Vom ajunge, nu peste mult timp, să avem un Internet al tuturor lucrurilor – Internet of Everything (IoE) – care să conecteze oameni, dispozitive și locuri într-un tot unitar, pentru a ne asista viaţa de zi cu zi. Acest lucru este posibil prin implementarea de senzori și abilităţi de comunicare tuturor dispozitivelor ce ne înconjoară.

Untitled
Fig. 1: Ierarhia informaţiei în Internetul lucrurilor (IoT)

Prin senzorii implementaţi, dispozitivele vor culege date din mediul înconjurător, se vor conecta între ele, vor schimba datele obţinute, iar informaţiile astfel coroborate vor ajunge la utilizator, acesta putând lua decizii și controla activitatea dispozitivelor.

Dar să vorbim mai întâi de avantajele aduse de această tehnologie
Din punct de vedere al utilizatorului, gândiţi-vă cum ar fi ca dimineaţa, în momentul în care vă sună alarma, lumina să se aprindă automat treptat, televizorul să pornească pe canalul preferat, espresorul să vă pregătească cafeaua, toasterul să vă prăjească pâinea, mașina să fie pregătită în momentul în care doriţi să plecaţi și pe drum să vă indice calea optimă pentru a ajunge la serviciu cât mai repede și să informeze în legătură cu principalele știri din domeniul preferat. Odată ajuns în parcare, aerul condiţionat și calculatorul din birou să pornească automat. Toate aceste lucruri sunt aproape posibile, făcându-ne viaţa mai ușoară și mai interactivă.

Locuințele inteligente, dotate cu astfel de dispozitive, pot ajuta foarte mult la economisirea energiei prin reducerea consumurilor inutile, asigurând încălzirea și iluminarea optimă în funcţie de activităţile locatarilor și de condiţiile meteo-climatice. Senzorii amplasaţi aceste locuinţe pot avertiza în timp real despre diverse avarii sau incidente precum inundaţie, incendiu sau intrarea unui străin prin efracţie.

Mașinile inteligente vor fi conectate la sistemele de monitorizare al traficului și vor ști să evite ambuteiajele și să găsească cele mai apropiate locuri de parcare disponibile. În cazul apariţiei unor defecţiuni tehnice, acestea vor fi detectate de senzori și vor fi raportate în timp real proprietarului.

Orașele inteligente vor pune la dispoziţia cetăţenilor servicii ce pot contribui major la protejarea mediului înconjurător. Resursele importante (apa, gazele, energia electrică sau termică) vor putea fi monitorizate și controlate prin automatizare și vor fi distribuite mai eficient, în conformitate cu necesităţile reale, iar companiile de distribuţie pot fi alertate imediat dacă apar probleme de infrastructură.

Untitled
Fig. 2: Multitudinea de senzori dintr-un oraș inteligent

Sistemul medical va putea beneficia de asemenea de avantajele tehnologiei IoT. Monitorizarea continuă a semnelor vitale ale organismului pacienţilor poate contribui la siguranţa acestora și la informarea la timp a doctorilor atunci când apar probleme de sănătate. Senzorii pot ajuta la administrarea medicamentelor prescrise, aducând un aport enorm în spitale, cămine sau aziluri de bătrâni, acolo unde monitorizarea atentă a persoanelor îngrijite este cel puţin la fel de importantă ca și intervenţiile efectuate la timp.

Și acum, să aducem vorba și despre dezavantajele și riscurile prezente
Probleme de conectivitate. Tehnologia IoT presupune dispozitive interconectate și dependente unele de altele. În momentul în care un dispozitiv este compromis, cedează sau livrează date eronate, efectul se va propaga tuturor sistemelor care depind de el direct sau indirect. Efectul poate fi relativ minor (atunci când aplicaţia de planificare nu mai transmite ceasului o alarmă privind o întâlnire) sau major (când un senzor ce monitorizează funcţiile vitale ale unui pacient nu informează doctorul privind un incident medical).

Probleme de securitate. Dornici de a lansa cât mai repede un produs nou pe piaţă, proiectanţii echipamentelor IoT neglijează de cele mai multe ori aspectele de securitate. Din acest motiv tot mai multe dispozitive inteligente (telefoane, televizoare, camere de supraveghere sau frigidere) sunt implicate în atacuri cibernetice de amploare.

Untitled
Fig. 3: Securitatea dispozitivelor inteligente

Multe companii au analizat sistemele inteligente disponibile în acest moment pe piaţă și au ajuns la concluzia îngrijorătoare că securitatea acestora este complet nesatisfăcătoare. Mai mult, câteva dintre aceste sisteme sunt promovate drept soluţii inteligente de securitate, ceea ce face ca situaţia să fie cu atât mai ironică și mai gravă. Pe lângă vulnerabilităţile detectate, aceste dispozitive nu deţin rutine software pentru actualizare automată și folosesc canale de comunicaţie necriptate sau prost criptate.

Probleme de confidențialitate a datelor stocate. Cele mai multe dintre aceste sisteme sunt vulnerabile la atacurile informatice, neavând aplicaţii de protecţie necesare sau politici de securitate care să impună parole cu o complexitate satisfăcătoare și nu protejează cum trebuie datele stocate. Concepute prost, aceste sisteme pot permite unor eventuali intruși să arunce o privire la datele înregistrate fără ca aceștia să poată fi depistaţi.

Risipă de energie. Într-un studiu publicat de Agenţia Internaţională a Energiei se arată că cele aproximativ 14 miliarde de dispozitive conectate la Internet, existente în prezent la nivel mondial, risipesc o cantitate enormă de energie electrică din cauza unor tehnologii ineficiente, iar această problemă se va agrava până în 2020, când electricitatea risipită de aceste dispozitive va crește cu 50%. Risipa de energie se datorează faptului că dispozitivele utilizează mai multe electricitate decât ar trebui pentru a menţine conexiunea și a comunica cu reţeaua.

Concluzii
În concluzie, putem spune că orice evoluție a tehnologiei este benefică, dar trebuie să conștientizăm și riscurile aferente. Atât timp cât securitatea Internetului lucrurilor (IoT) este prezentă mai mult la nivel declarativ, riscul de compromitere al tuturor sistemelor inteligente interconectate și expunerii datelor înregistrate este destul de mare. Vor fi însă și momente în care viața noastră ar putea depinde de un dispozitiv inteligent ce ne monitorizează funcțiile vitale și poate da alarma într-un moment de criză, făcând posibilă o intervenție de urgență.

Cătălin PĂTRAȘCU Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice
Cătălin PĂTRAȘCU
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice

Tendinţele ultimilor ani în ceea ce privește expansiunea reţelei globale Internet, dar și studiile efectuate în acest sens arată un ritm impresionant de creștere a numărului de dispozitive conectate, aproximativ 5 miliarde în prezent, însă predicţiile pentru anul 2020 avansează o cifră de ordinul zecilor de miliarde.

Numărul și mai ales diversitatea terminalelor conectate la Internet generează oportunităţi economice semnificative, însă aduce și provocări fără precedent pentru securitatea cibernetică, precum securizarea „obiectelor” conectate la Internet, a căror arhitectură și destinaţie diferă multe de clasicele computere, de unde și apariţia noţiunii de Internet of Things (IoT). Practic ne referim la obiecte ce înglobează componente hardware și software dedicate și optimizate rolului acestora, precum obiectele de uz casnic și cele personale, dar și sisteme industriale.

Tot mai multe dispozitive IoT populare precum televizoarele inteligente, camerele web, termostatele casnice, alarmele din locuinţe și sistemele de control acces sunt comandate de la distanţă, prin Internet, cu ajutorul unor servicii de tip cloud sau aplicaţii de telefon mobil.

Un studiu efectuat de HP în anul 2014 asupra celor mai populare dispozitive IoT arată că peste 70% dintre acestea prezintă vulnerabilităţi ce pot fi exploatate de atacatori. Și mai grav, marea majoritate a acestora rămân vulnerabile o perioadă mare de timp, rata de rezolvare a vulnerabilităţilor fiind mult mai mică decât în cazul sistemelor și aplicaţiilor informatice clasice.

Recent cineva mi-a adresat întrebarea „Ce pot face pentru a securiza noul meu Smart TV pe care l-am conectat la Internet?”. Altcineva a intervenit imediat și mi-a acordat răgaz de gândire răspunzând în locul meu că „Nu aveţi nicio șansă! Pur și simplu ar trebui să-l deconectaţi de la Internet” și a continuat argumentându-și punctul de vedere. Nu am putut fi de acord cu această soluţie radicală și am argumentat că nu putem renunţa așa de ușor la o facilitate a televizorului pe care majoritatea o consideră utilă și care este până la urmă rezultatul unei evoluţii tehnologice.

În cele ce urmează mi-am propus să prezint o abordare holistică a problemei securizării dispozitivelor IoT, pornind de la cele mai importante categorii de vulnerabilităţi ale acestor dispozitive, pe baza informaţiilor prezentate de proiectul OWASP Internet of Things Top 10 și conform datelor deţinute de CERT-RO în calitate de punct naţional de contact pentru raportarea vulnerabilităţilor și incidentelor de securitate cibernetică. Astfel, cele mai frecvente categorii de vulnerabilităţi ale dispozitivelor IoT sunt:

  • Interfaţă web nesigură;
  • Mecanism de autentificare/autorizare insuficient;
  • Servicii de reţea nesigure;
  • Lipsa criptării la nivelul transportului de date;
  • Probleme de confidenţialitate a datelor;
  • Interfaţă cloud nesigură;
  • Interfaţă mobilă nesigură;
  • Configurabilitate a securităţii insuficientă;
  • Software/Firmware nesigur;
  • Securitate fizică scăzută.

Abordarea vulnerabilităţilor enumerate anterior se poate realiza din perspectiva utilizatorilor, a producătorilor, dar și a celor care realizează testarea acestora.

Cu promisiunea că în perioada imediat următoare veţi regăsi un ghid complet al securizării dispozitivelor IoT, realizat de echipa CERT-RO și care va fi postat pe portalul web al instituţiei, dar și din considerente de spaţiu alocat acestui articol, prezint în rândurile de mai jos doar o serie de recomandări adresate utilizatorilor de dispozitive IoT:

  • Verificaţi dacă dispozitivul dispune de opţiunea HTTPS pentru cripta rea traficului de date și în caz afirmativ asiguraţi-vă că este activă;
  • Dacã dispozitivul dispune de opþiuni de criptare, asiguraþi-vã cã utilizaþi standarde acceptabile precum AES-256;
  • Verificați dacã dispozitivul suportã autentificare în doi pași (two factor) .în caz afirmativ activați aceastã opțiune;
  • Verificați dacã dispozitivul dispune de un firewall web și în caz afirmativ activați-l;
  • Dacã dispozitivul dispune de un firewall, activați-l și configurați-l astfel încât dispozitivul sã fie accesibil numai de la sistemele dvs.;
  • Dacã dispozitivul dispune de o aplicaþie web localã sau în cloud, schimbați parola implicitã cu una cât mai puternicã și schimbați numele de utilizator implicit dacã este posibil;
  • Dacã dispozitivul dispune de opțiunea de a solicita schimbarea parolei dupã un anumit numãr de zile (90 de zile spre exemplu), asigurați-vã cã acesta este activã;
  • Verificați dacã dispozitivul dispune de funcționalitatea de blocare a contului de utilizator în cazul unor încercãri repetate de autentificare nereușite și în caz afirmativ activați-o;
  • Implementați o tehnologie de segmentare a rețelei, prin utilizarea unui firewall spre exemplu, astfel încât sã realizați o izolare a dispozitivelor IoT de restul sistemelor informatice;
  • Dacã dispozitivul permite setarea privilegiilor la nivel de utilizator, setați-le pe principiul minimului necesar operãrii;
  • Nu introduceți informații confidențiale în cadrul dispozitivelor dacã nu este absolut necesar;
  • În cazul în care aveți de ales și nu este neapãrat necesar pentru funcționarea dispozitivului, nu activați opțiunile de colectare de date din dispozitiv;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de jurnalizare (logging) a evenimentelor de
    securitate;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de alertare/notificarea a evenimentele de securitate;
  • Activați opțiunea de actualizare automatã și regulatã a dispozitivului, în cazul în care dispune de o astfel de opțiune;
  • Activați orice facilitãți de limitare a accesului fizic neautorizat la sistem (anti-furt, localizare GPS, ștergere a informațiilor stocate de la distanțã etc.);
  • Dezactivați porturile fizice neutilizate prin intermediul interfeței de administrare.

Și pentru a nu încheia fãrã a rãspunde la întrebarea legatã de securizarea televizoarelor inteligente (Smart TV), vã încurajez sã încercați aplicarea tuturor recomandãrilor menționate anterior, în mãsura în care dispozitivul permite, în special cea referitoare la segmentarea rețelei utilizând un firewall, un router WiFi care oferã aceastã opțiune sau chiar dispozitive (hub, appliance) dedicate securizãrii dispozitivelor IoT.

autor: Jean Christophe Schwaab

controlRecent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu fie dotat cu niciun sistem de plată fără contact de tipul „NFC” (Near Field Communication). Pe de o parte deoarece nu mă interesează o astfel de tehnologie (care poate favoriza achiziţii spontane şi necontrolate, generând astfel datorii, în special în rândul tinerilor). Dar mai ales, deoarece această tehnologie nu este sigură deloc, este ușor de piratat de la distanţă şi, în funcţie de condiţiile generale ale furnizorilor de carduri de credit, până la 120 de Franci plătiţi abuziv cu această tehnologie pot să fie ceruţi titularului cardului, chiar dacă acesta ar putea să demonstreze că a acţionat cu toate precauţiile necesare. Legalitatea unei astfel de practici este foarte îndoielnică după opinia mea, dar cine o să intenteze un proces pentru 120 de Franci?*

Așadar, titularul unui astfel de card de credit este blocat de o tehnologie care poate să permită hacking-ul datelor sale, cu consecinţe care pot să fie costisitoare pentru el.

Nimic nu ar fi mai legitim ca faptul ca titularul să poată sa renunţe să folosească această tehnologie dacă nu este interesat să o folosească. Dar problema este, din cauza emitentului cardului meu de credit (Viseca, în legătură cu Banca Cantonală din Vaud) este imposibil de a beneficia de un card care nu are această tehnică deja instalată. Emitentul de carduri a ales astfel să le echipeze cu tehnologii care deschid o breșă de securitate, dar asumarea riscurilor îi aparţine exclusiv consumatorului.

Acesta nu este însă punctul cel mai înspăimântător al poveștii: pentru a evita fraudele, Viseca mi-a recomandat să învelesc cardul mea de credit cu o folie de aluminiu, ca dovadă că societatea însăși nu prea are încredere în tehnologia pe care o impune.

Am bricolat astfel o mică husă securizată anti-hacking cu ceea ce aveam la îndemână (cf. foto). Sunt liniştit, chiar dacă bricolajul meu nu arată foarte solid şi va trebui să îl refac în mod regulat… Astfel suntem obligaţi, pentru a ne proteja de riscurile generate de o tehnologie de ultimă generaţie, să folosim un produs care se află în sertarul fiecări bucătării de multe decenii!

Această istorie de neînchipuit prezintă interes în conceptul de «Control by design» – control începând încă de la concepere (design) -, care conferă proprietarului unui obiect conectat dreptul inalienabil de a-l debranşa din orice reţea. În acest caz concret, proprietarul unui card de credit ar trebui să aibă dreptul de a-l deconecta din sistem NFC de câte ori și oricând dorește.

Dacă în schimb se dovedeşte că proprietarul consideră aceasta metodă de plată ca fiind avantajoasă şi este pregătit să-și asume riscul de hacking, este hotărârea sa şi poate să decidă liber.

Dar dacă proprietarul nu dorește să își asume niciun risc, trebuie să aibă de asemenea posibilitatea de a decide liber.

Responsabilitatea securităţii datelor ar deveni atunci de competenţa exclusivă a emitentului de carduri, care ar trebui să ofere clienţilor posibilitatea de a renunţa la tehnologia NFC.

Sper astfel că guvernul elveţian va pune rapid în aplicare moţiunea mea de «Control prin design»(1), care a fost acceptată de către Consiliul Naţional în decembrie anul trecut.

http://www.schwaab.ch/archives/2015/03/20/control-by-design-unexemple-concret-dobjet-connecte-indeconnectable/


*Nota traducătorului: în Elveţia, cheltuielile procesuale sunt foarte mari. (1)

http://www.parlament.ch/e/suche/Pages/geschaefte.aspx?gesch_id=20143739

Laurent Chrzanovski

Laurent Chrzanovski

Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către marile multinaţionale din domeniu.

De fapt, intensitatea și creșterea aproape exponenţială, începută în 2014, a atacurilor pe plan global au dus la investiţii masive, mai ales în SUA, Europa Occidentală, dar și în Ţările din Golf sau în Asia.

Tendinţele tipologice, însă, nu par să corespundă (deocamdată?) cu noutăţile prevăzute de către marile think-tank-uri pentru anul 2015.

Nici urmă de valuri de acţiuni criminale exclusiv bazate pe vulnerabilităţi IoT și, pentru binele planetei, nici de vreun atac SCADA serios și reușit. Dar desigur aceste 2 tipuri de atacuri sunt deja pregătite, primul pus în sertare de grupări criminale în așteparea dezvoltării complete a IoT pe plan mondial (de ce ar lovi acum când o lovitură peste un an poate să aibă un efect de 200 de ori mai mare?), al doilea fiind desigur în arsenalurile celor mai puternici, fie că vorbim de superputeri, fie că vorbim de cele mai avansate structuri criminale, pentru a fi folosit, ca și bombă atomică, în ultimă instanţă. Acest topic, azi realist, este și subiectul filmului mediocru al lui Michael Mann, „Hacker”, abia lansat în cinematografe.

Revenind în actualitate, în ultimele săptămâni, publicaţiile de specialitate din SUA au pus în topul atacurilor din primul semestru pe 2015 atacurile de tipul Bad Ads, DDos și Zero-Days, metode „străvechi”, și continuarea exploatării în adâncime, inclusiv găsirea de noi fisuri în browsere și în plug-in-urile aferente, în softuri de redactare, soft-uri de vizualizare video, dar și în cele mai noi sisteme de operare.

Mai mult, experţii subliniază căutarea prin orice metode a parolelor de acces ale persoanelor vulnerabile («Bad Ads» și phishing) și scandalul care a rezultat după întreruperea TV5 Monde de către hackerii de la Isis – un tablou al redacţiei TV5 cu post-it-uri pe care erau scrise toate parolele de acces ale website-ului principal dar și ale paginilor din reţelele sociale ale grupului de televiziune – nu au făcut decât să întărească constatarea că patronii și angajaţii din ţările latine, poate cu excepţia Spaniei, nu conștientizează pericolele.

Pentru acest motiv, dosarul central al acestui număr este dedicat Internet of Things, sau mai bine zis în jargonul specialiștilor, Internet of Everything, întrucât împreună cu (ab)uzul masiv al Internetului mobil și pătrunderea aplicaţiilor mobile în toate aspectele vieţii private și de business – creșterea exponenţială a numărului de dispozitive și de aplicaţii care sunt online odată cu menţinerea vulnerabilităţilor tehnologice vor duce automat la creșterea numărului de evenimente care sunt asociate unor atacuri cibernetice. În acest sens, cel mai dur avertisment în legătură cu obligaţia statelor de a formula reglementări imediate pentru aceste device-uri a fost făcută public recent de către National Security Telecommunications Advisory Committee a Președintelui SUA: „There is a small—and rapidly closing—window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations”.

Așadar, dragi cititori, vă îndemnăm încă o dată ca protejarea datele dvs. private și profesionale să devină un reflex instinctiv, pentru că fragilitatea cetăţenilor și firmelor aduce nu numai necazuri pentru imprudenţi, dar pune în pericol întregul ecosistem IT&C al unei ţări. Contribuţia noastră este de a vă propune în continuare cele mai recente recomandări ale instituţiilor statului român, ale analiștilor din ţară, dar și de a vă aduce, număr de număr, în exclusivitate pentru România, texte ale unor personalităţi din străinătate. Avem prilejul de a găzdui în acest număr articole ale lui Vassilios Manoussos (UK), Mika Lauhde (FI), Pierluigi Paganini (IT) și Jean-Christophe Schwaab (Parlamentul Elveţian).

Vă dorim o lectură plăcută și vă așteptăm și pe website-ul nostru!

autor: Daniela Luca

Parte a lumii de azi, și poate chiar lumea de mâine, spațiul cibernetic a devenit o preocupare esențială la nivel mondial. Explozia informațională, evoluția fulminantă a domeniului IT&C, tranziția vieții private către mediul on-line duc la necesitatea apariției unui „contract social” care să normeze o nouă formă de existență a indivizilor – „starea civilă cibernetică”1.

Ca orice formă de existenţă în cadrul unei comunităţi, „starea civilă cibernetică” impune existenţa unui cadru legislativ și instituţional care să-i asigure o bună funcţionare și care să garanteze drepturile și libertăţile pierdute ca urmare a integrării în spaţiu.

Pentru statele lumii occidentale (ex. Franţa, Marea Britanie), domeniul cibernetic a devenit una dintre dimensiunile conceptului de apărare cibernetică. Alianţa Nord-Atlantică regândește conceptul de apărare cibernetică, în sensul definirii și operaţionalizării apărării cibernetice active. Reconceptualizarea și regândirea dimensiunii cibernetice reprezintă o preocupare nu numai a organizaţiilor internaţionale și a instituţiilor guvernamentale, dar și a mediului academic și a societăţii civile.

Parte integrantă a iniţierii „stării civile cibernetice”, România este în plin proces de dezvoltare și consolidare a capabilităţilor cibernetice. Recunoașterea internaţională a profesionalismului resursei umane specializată în domeniul IT&C a constituit un imbold pentru instituţiile guvernamentale.

Eforturile de menţinere a capabilităţilor cibernetice ale ţării la nivelul dezvoltării domeniului, de adaptare a acestora la noile necesităţi, de creștere a competenţelor și chiar de a contribui la organizarea „stării civile cibernetice” sunt vizibile în plan intern și internaţional.

În prezent, la nivel naţional, principalul document care reglementează „starea civilă cibernetică” este Strategia de Securitate Cibernetică a României. Având ca obiectiv principal definirea și menţinerea unui mediu virtual sigur, cu un înalt grad de rezilienţă și de încredere, Strategia a instituit Sistemul Naţional de Securitate Cibernetică (SNSC).

SNSC reprezintă cadrul general de cooperare pentru asigurarea securităţii cibernetice și reunește autorităţi și instituţii publice cu responsabilităţi și capabilităţi în domeniu. SNSC este coordonat de Consiliul Operativ de Securitate Cibernetică (COSC)2. COSC este coordonat tehnic de Serviciul Român de Informaţii, instituţie desemnată, încă din 2008, drept autoritate naţională în domeniul cyberintelligence.

Din punct de vedere organizatoric, în cadrul fiecărei instituţii reprezentată în COSC funcţionează structuri specializate care au ca misiune menţinerea securităţii cibernetice.

În cadrul SRI, a fost operaţionalizat Centrul Naţional Cyberint al cărui scop este să prevină, să anticipeze și să cunoască ameninţările cibernetice la adresa Infrastructurilor Cibernetice de Interes Naţional (ICIN), dar și să identifice, să neutralizeze și să limiteze consecinţele atacurilor cibernetice împotriva ICIN.

La nivelul Ministerului pentru Societatea Informaţională, a fost înfiinţat (2011) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) care are ca principală misiune analizarea disfuncţionalităţilor procedurale și tehnice la nivelul infrastructurilor cibernetice.

De asemenea, MAN dispune de o entitate de tip CERT care face parte din Centrul Tehnic Principal pentru Operaţiuni Informatice – CERT-MIL.

O altă structură de tip CERT funcţionează și în cadrul Ministerului Afacerilor Interne – CERT-INT.

Securizarea și eficientizarea sistemelor TIC ale instituţiilor statului a fost posibilă ca urmare a accesării de fonduri europene, în cadrul Programului Operaţional Sectorial Creșterea Competitivităţii Economice, prin Proiectul „Sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic”.

În plan extern, cooperarea în domeniul cibernetic are efecte benefice atât din punct de vedere al expertizei acumulate, cât și al creșterii vizibilităţii. Participarea la exerciţii cibernetice în format NATO sau UE – Cyber Coalition sau Cyber Europe – implicarea în proiecte destinate consolidării capabilităţilor cibernetice – proiectul smart defence de Dezvoltare a Capabilităţilor în Domeniul Cibernetic – organizarea și găzduirea unor evenimente de profil – Conferinţa Cybersecurity sau Summit-ul Regional de Securitate Cibernetică sunt parte a unui proces de instituire a „stării civile cibernetice”, reglementată printr-un „contract social” menit a asigura securitatea.

Componentă a securităţii naţionale, securitatea cibernetică poate fi instaurată în condiţiile existenţei unui „contract social” care să aibă în vedere:
1. politica și strategia aferente domeniului securităţii cibernetice;
2. cultura cibernetică și societatea;
3. educaţia și instruirea în domeniul securităţii cibernetice;
4. cadrul legal;
5. organizaţii, tehnologii și standarde.

  1. Elaborate la nivel strategic, politica și strategia în domeniul securităţii cibernetice asigură un cadru unitar de coordonare a activităţilor în domeniul cibernetic identificând roluri și responsabilităţi pentru fiecare actor, reglementează activitatea centrelor de răspuns la incidente cibernetice într-un mod unitar astfel încât ameninţările cibernetice să fie abordate eficient, identifică infrastructurile cibernetice de interes naţional, realizează planuri de management al crizelor, evaluează și atribuie acţiuni în domeniul apărării cibernetice, planifică reacţii de răspuns în cazul indisponibilizării mijloacelor electronice și de comunicaţii.
  2. Cultura cibernetică se referă la acel set de valori, atitudini, practici și chiar obiceiuri ale actorilor „stării civile cibernetice” (simpli utilizatori ai sistemelor IT&C sau experţi din mediul public sau privat). Conștientizarea securităţii cibernetice se realizează prin programe care să evidenţieze impactul ameninţărilor și riscurilor provenite din spaţiul cibernetic. Încrederea în utilizarea serviciilor on-line (publice sau private) este determinată de măsura în care utilizatorii sunt dispuși să furnizeze informaţii personale în mediul on-line. Dreptul la viaţă privată și la liberă exprimare în mediul on-line constituie elemente definitorii pentru existenţa unei „stări civile cibernetice” democratice.
  3. Educaţia și instruirea în domeniul securităţii cibernetice se realizează coordonat, la nivel naţional, în funcţie de necesităţile „stării civile cibernetice” pe termen lung, dar și în parteneriate public-private.
  4. Un cadru legal coerent pentru asigurarea securităţii sistemelor TIC, a dreptului la viaţă privată în mediul on-line, a drepturilor omului și a protecţiei datelor, dar și existenţa unui drept material și procedural în domeniul criminalităţii informatice sunt parte a „contractului social”. Reglementarea investigării infracţionalităţii din cadrul „stării civile cibernetice” prin instituirea de mecanisme și proceduri specifice, organisme de aplicare a legii, curţi judecătorești și desemnarea unor specialiști în drept care să gestioneze problematica criminalităţii cibernetice sunt doar câteva aspecte de luat în considerare.
  5. Stabilirea unor standarde și practici pentru achiziţionarea și dezvoltarea de software-uri general acceptate de mediul public și privat, coordonarea unitară a organizaţiilor de tip CERT, reglementarea disponibilităţii reţelelor și a tehnologiilor de securitate cibernetică, stabilirea unor proceduri de evaluare a pierderilor în cazul criminalităţii cibernetice și asigurarea recuperării acesteia de către victimă sunt considerente pe care se bazează instaurarea unei „stări civile cibernetice” solide.

    Agrearea la nivel naţional și internaţional a unui „contract social” în domeniul securităţii cibernetice, stabilirea cadrului în care toate elementele sale definitorii să funcţioneze coerent și democratic, reglementarea „stării civile cibernetice” se traduc în eforturile naţionale și internaţionale de dezvoltare și consolidare a capabilităţilor cibernetice.


 

Note:
1 Conform teoriei filozofului francez Jean Jacques Rousseau, prin „contractul social”, fiecare individ, aflat în starea de natură, cedează comunităţii drepturile sale, devenind, în schimb, membru al acelei comunităţi (starea civiă). În această calitate, el primește drepturile tuturor membrilor, legaţi de întreg, fiind privit atât ca particular, cât și ca parte a comunităţii. Astfel, oricine refuză să se supună voinţei generale va fi constrâns de corpul întreg.

2 Din care fac parte, în calitate de membri permanenţi, reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul pentru Societatea Informaţională, Serviciul Român de Informaţii, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie și Pază, Oficiul registrului Naţional pentru Informaţii secrete de Stat, secretarul Consiliului Suprem de Apărare al Ţării.

EDITIE SPECIALA – INTERNET OF THINGS

2102
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1735
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3195
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1833
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1768
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1850
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...