Tuesday, May 21, 2019
Numarul 2

573

Michael J. Covington, Rush Carskadden, Threat Implications of the Internet of Things, in Proceedings of the 5th International Conference on Cyber Conflict, K. Podins, J. Stinissen, M. Maybaum (Eds.), NATO CCD COE Publications Tallinn, 2013

https://ccdcoe.org/cycon/2013/proceedings/d1r1s6_covington.pdf

Acest articol merită menţionat, întrucât a fost prima avertizare serioasă, urmată de dezbateri confidenţiale, în cadrul conferinţei NATO, asupra riscurilor IoT inclusiv asupra infrastructurilor critice militare, un an înainte de «bomba» lansată de HP.


 

Colonel Philippe Davadie, Centre d’Enseignement Supérieur de la Gendarmerie, Objets connectés: quels enjeux pour la sécurité et la sûreté ?, Colloque Internet des Objets, Saint-Cyr, Chaire de Cyber-sécurité, septembrie 2014
http://www.chaire-cyber.fr/IMG/pdf/chaire_-_colloque_internet_des_objets_-_article_ph_davadie.pdf

Un text foarte scurt care pune Statul în faţa responsabilităţii sale. Colonelul Davadie anticipează de fapt propagarea a ceea ce este deja posibil, i.e. falsificarea «live» a probelor digitale (CCTV, GPS, snapshots etc) prin, de pildă, crearea unei prezenţe-alibi a unui criminal la o anumită dată și oră într-un loc unde nu a fost și consecinţele asupra unui număr de specialiști din cadrul Instituţiilor Statului de a readuce la lumină, pentru Procuratură și Magistratură, faptele reale, și nu intoxicarea digitală făcută cu măiestrie de către cybercriminali prin IoT.


Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

615

Craig Smith and Daniel Miessler, Internet of Things HP Security Research Study, HP Fortify, June 2014

http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-4759ENW.pdf

Reacţionând foarte pozitiv atunci când a fost pusă în dificultate, după dezvăluirile firmei Pwnie care a arătat că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ, HP a lansat divizia sa de securitate, HP Fortify, într-o anchetă nu numai asupra produselor proprii, dar și asupra celor mai populare zece device-uri IoT de pe piaţa SUA. Rezultatul acestui test este catastrofal: peste 250 de fisuri în total, cam 25 pentru fiecare obiect, și 70% din produse declarate total nesigure. Așadar, această scurtă sinteză redactată de către HP trebuie considerată un document istoric. Ea a acţionat ca o adevarată bombă, adică exact acel „breaking news” care lipsea pentru a da startul, peste tot în lume, unor grupuri de cercetare publice și private focalizate asupra problemei de insecuritate „by design” a majorităţii obiectelor conectate și a consecinţelor lor exponenţiale într-o lume virtuală deja destul de problematică în sine.


Information Security, Insider Edition, Securing the Internet of Things (august 2014):

http://searchsecurity.techtarget.com/ezine/Information-Securitymagazine/A-comprehensive-guide-to securing-the-Internet-of-Things

Foarte bine scris și structurat, ca și toate ediţiile acestui e-maga zine, volumul de faţă se distinge prin pedagogia excelentă cu care sunt explicate cele 7 riscuri majore introduse de către obiectele IoT într-un ecosistem, adre sează întrebări antreprenorilor despre cât este serviciul lor de IT security pregătit sau nu să facă faţă la aceste riscuri iminente suplimentare, și în sfârșit subliniază („who’s in charge”) că fără o mobilizare și conștientizare colectivă a tuturor angajaţilor unei firme sub îndrumarea Security Officer-ului, introducerea unor noi unelte IoT este un gest pe cât de iresponsabil pe atât de extrem de periculos.


The President’s National Security Telecommunications Advisory Committee, NSTAC Report to the President on the Internet of Things, draft versiune finală, noiembrie 2014

http://www.dhs.gov/sites/default/files/publications/IoT%20Final%20Draft%20Report%2011-2014.pdf

Îngrijorător? Nu. Apocaliptic. Acest raport exemplar, vendor-neutral, nu iartă nimic și privește IoT și securizarea sa strict din punctul de vedere al reglementărilor legale. Concluzia din prima pagină a „final draft” este fără apel: „There is a small—and rapidly closing— window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations” (p.3). Sunt disecate doate domeniile unde IoT s-a dovedit că poate să facă ravagii dezastruoase, de neconceput până în ultimii ani: furt de date, uzurparea de identitate, atac asupra infrastructurilor critice, valuri necontrolabile de malware și viruși, adică tot ceea ce deja cunoaștem, dar la nivel pandemic. Rămâne de văzut în ce măsură toate recomandările și evidenţele expuse în acest document fără apel vor fi folosite de către instituţii de forţă și de către juriști și autorităţi de reglementare din SUA.


UK Government office for Science, The Internet of Things: making the most of the Second Digital Revolution, A report by the UK Government Chief Scientific Adviser, 30.12.2014

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/409774/14-1230-internet-of-thingsreview.pdf

So typically British, acest raport contrastează cu cel pomenit anterior (NSTAC), prin neutralitatea și flegmatismul său. Este o expunere foarte bună, ca un fel de balanţă, despre tot ce este pro și contra în IoT în forma sa actuală. Problemele de securitate sunt punctate eficient, dar fiind un document adresat politicienilor (este prefaţat de Premierul David Cameron) și Parlamentului, acest document nu poate decât să dea naștere la un sentiment amestecat care oscilează între a nu renunţa la profiturile imense aduse de aceste tehnologii și imperativitatea de a reduce drastic riscurile inerente.


TrapX Labs, Research report, Anatomy of an attack: The Internet of Things (IoT) – The Hidden Danger Exposed, martie 2015

http://trapx.com/wp-content/uploads/2015/02/Anatomy-of-Attack__Internet-of-Things.pdf

Pentru pasionaţi și nu numai, un mic manual care arată formele și metodele de atac asupra unui IoT tool și răspândirea acestui atac asupra altor obiecte conectate. Este și bine scris, și bine ilustrat, și arată cu mare talent nașterea/creșterea firmelor (ca și cea care a publicat raportul de faţă) care se specializează din ce în ce mai mult asupra securizării excluzive a IoT.


U.S. Federal Trade Commission, Staff report. Internet of Things. Privacy and Security in a Connected World (ianuarie 2015)

https://www.ftc.gov/system/files/documents/reports/federaltrade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

55 de pagini care explică (aproape) toate aspectele IoT. Interesant faptul că raportul, destul de neutru, tratează bine situaţia: faţă de 3 pagini de „benefits” găsim 9 pagine de „risks” despre înfrângerea în sfera privată a cetăţeanului și a companiei, urmate de 30 de pagini de sfaturi de „good practices” și de propuneri de reglementări/ legiferări.


Information Security vol 17:3 Defending against the Digital Invasion (aprilie 2015):

http://searchsecurity.techtarget.com/ezine/Information-Security-magazine/Defending-againstthe-digital-invasion

Nici nu au trecut opt luni de la apariţia ediţiei dedicate problematicilor de secu ritate a IoT, și iată că revista Information Security revine, cu greutate, asupra aceleiași tematici. Cu interviuri și articole de clasa întâia, volumul pune chiar cititorul în faţa unei crize majore: IoT, daca este în plus dublat de BYOD, duce o firmă la o catastrofă sigură și rapidă. Sunt date nu numai soluţii tehnice, dar și posibilităţi de „formule” de aplicat imediat pentru a ieși nevătămaţi dintr-un labirint din ce în ce mai complex.


Mobile Working Group, Security Guidance for Early Adopters of the Internet of Things, Cloud Security Alliance peer-reviewed material, aprilie 2015

https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf

Pentru toţi cetăţenii și mai ales companiile care vor să cumpere / să implementeze unelte IoT acasă și la sediu dar încă (spre norocul lor!) nu au făcut-o încă. Acest ghid este exact ceea ce ar trebui difuzat urgent de către fiecare guvern din ţările avansate. Este simplu (55 de pagini), foarte bine explicat și agreabil (culmea!) de citit. Pune pe masă toate riscurile în funcţie de tipul de aparat (TV, smartphone, automate NFC și IoT pentru firme), tipul deţinătorului (cetăţean, firmă mică, firmă mare). Iar faţă de toate rapoartele recenzate mai sus, dă și soluţii pentru fiecare risc, multe dintre ele fiind strict legate de adptarea la un comportament uman, personal și colectiv de prudenţă. Apoi urmează soluţii tehnice, non-vendor, care explică firmelor cum și în ce condiţii merită implementate device-uri IoT. La sfârșit, cititorul găsește o pagină de referinţe de bază selecate cu grijă, i.e. numai cele indispensabile, pentru a deschide ușa universului de publicaţii/soluţii vendors/rapoarte

Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

659

World Economic Forum, Insight Report, Global Risks 2015 (10th Ed.), January 2015
www.weforum.org/risks
Ca în fiecare an din ultimul deceniu, documentul asupra riscurilor globale ale anului curent emis de către experţi transdisciplinari ai WEF este „biblia” de referinţă pentru analiști și geo-strategi care se ocupă de problemele globale. În ceea ce privește problemele legate de securitatea informatică, documentul exprimă o mare îngrijorare asupra evoluţiei lor din ce în ce mai rapide și nefaste la nivel planetar, depășind de mult pragurile de „under control” și fiind plasate în al 4-lea cadran din 4, cel rezervat riscurilor avansate, persistente, și cu impact necuantificabil (unde găsim razboaiele inter-statale, criza apei, somajul și neadaptarea la schimbările climatice). Mai mult, raportul avertizează asupra lipsei la nivel global a unor mecanisme unificate și standardizate de către State pentru a menţine un nivel de rezistenţă la atacuri cât mai ridicat, mai ales în ceea ce privește e-Governance (Box 1.7, p.22)


 

Didier Danet et Amaël Catteruzza (éds), La Cyberdéfense – Quel territoire quel droit?, 288 p., Economica, Paris, 2014 nu există în format digital; parte din articole sau din filmări ale celor 2 congrese pot fi accesate pe http://www.chaire-cyber.fr / – lespublications-
Acest volum, care pune de fapt împreună lucrările a două congrese organizate de către catedra „Cyber-sécurité” din cadrul Înaltei Școli Militare a Republicii Franceze (Saint-Cyr). În primul din cele 2 mari secţiuni ale volumului, articolele continuă o reflecţie, din ce în ce mai actuale, despre necesitatea de încadrare a unui război cibernetic total într-o convenţie internaţională, ca și cele care reglementează armele atomice sau armele bacteriologice. În a doua secţiune, se analizează comportamentele pe care le poate folosi un stat în faţa unui fenomen global fără graniţe și fără drept. Acolo, printre celelalte articole, remarcăm textul lui Yannick Harrel „La Cybérie russe”, care face o sinteză a specializării sale de vârf, i.e. viziunea Federaţiei Ruse în materie de spaţiu virtual și de securitate (internă și externă) într-un framework mult mai larg decât cel considerat măcar în doumentele neconfidenţiale din Occident.


 

National Security Strategy, The White House, februarie 2015
https://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strategy.pdf

Toate declaraţiile recente ale administraţiei Obama se regăsesc în acest compendiu care stabilește fără echivoc strategia SUA în ceea ce privește securitatea naţională. Cybersecurity ocupă un loc important în această strategie, unde mica introducere despre acest domeniu începe, fără surprize, cu: „As the birthplace of the Internet, the United States has a special responsibility to lead a networked world”. În documentul de 25 de pagini, cuvântul cyber reapare de aproape 100 de ori, cu un mesaj foarte clar: „shared space” (adică toate componentele extra-teritoriale de pe planetă) este divizat în 4 categorii unde SUA trebuie să își păstreze și să își consolideze supremaţia pentru a își proteja interesele naţionale, ţara și cetăţenii: „cyber, space, air and oceans”. Această clasificare a „cyber” printre elementele dictate de natură, chiar dacă există de mai mult de 10 ani, este pentru prima dată folosită explicit ca fiind de fapt, ca și oceanele, un spaţiu „neutru” în care SUA își păstrează dreptul de a interveni oriunde și oricând.


 

Czech Republic Act on Cyber Security (adoptat, 23 iulie 2014) Act No. 181, on Cyber Security and Change of Related Acts
https://www.govcert.cz/en/legislation/legislation/
Acest document este în sine o premieră europeană, i.e. o ţară care a trecut de la strategia de securitate cibernetică la legi depre securitate cibernetică. Într-un moment în care în România se caută soluţii după neconstituţionalitatea proiectului de lege „Big Brother”, trebuie subliniat pragmatismul cehilor, care au integrat strategia într-un cadru normativ simplu. Acesta stabilește exact care sunt atribuţiile fiecărei instituţii a Statului și care este regimul de colaborare, într-un singur centru de apărare cibernetică naţională, a cele 2 entităţi care vor fi piloni ai acestei legi: CERT-ul naţional și Serviciul Naţional de Intelligence. De remarcat și conţinutul textului, scurt si la obiect (19 pagini, din care primele 4 definesc strict fiecare termen folosit în text iar ultimele 3 implică și explică schimbările necesare în legile deja existente din corpusul juridic al Republicii Cehe).

 

Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Metodologie de lucru

Internet of Things (IoT) este astăzi cel mai vag definit termen folosit de către specialiști și cetăţeni. Ca și comparaţie, putem spune, de exemplu, că este mult mai vag decât Digital Identity.

De fapt, IoT a apărut ca și concept din momentul în care la Internet au început să fie conectate și altceva decât calculatoare – deși PC-urile clasice și ulterior laptop-urile puteau fi considerate de asemenea „things”. Astfel, nevoia de identificare unică a unui dispozitiv – lucru care exista online a apărut de la începutul reţelelor de orice fel.

La început, deoarece producătorii erau puţini, câteva brand-uri, standardele industriale regionale, internaţionale (ITU, ETSI, NIST etc.) au fost respectate, astfel încât, indiferent de mediul fizic de conectare (fir de cupru, LAN, toate standardele wireless, fibră optică etc.), cam toate device-urile au fost produse cu identificatori unici, dificil de replicat sau, în orice caz, rata de erori/fraude/riscuri nu impunea măsuri suplimentare decât în reţele cu grad ridicat de sensibilitate unde erau implementate și alte măsuri.

Ulterior, o dată cu explozia conectivităţii la nivel global, a creșterii exponenţiale a puterii de calcul mobile și a uriașului număr de aplicaţii, lucrurile au evoluat în ultimii ani și astfel au apărut din ce în ce mai mulţi producători de elemente de reţelistică – mulţi dintre ei care nu respectă niciun standard comun recunoscut -, iar preţurile de producţie au făcut ca acestea să pătrundă extrem de rapid pe toate pieţele, inclusiv cele emergente. Aceste elemente de reţelistică, menţionate mai sus, au fost înglobate și în alte „lucruri” (despre orice obiect vorbim, are o interfaţă de reţea) – rata de penetrare fiind proporţională cu creșterea consumului pe piaţa gadgeturilor, dar și cu dinamica consumului pe diverse alte pieţe complementare.

În aceste condiţii trebuie definit în primul rând „despre ce vorbim”, deoarece avem în faţă o întreagă galaxie de obiecte și software-uri.

Pe de o parte se află cele circa 25 de miliarde de aparate conectate la internet, doar că marea lor majoritate nu pot fi considerate ca fiind aparate 100% IoT: este vorba de tablete sau smartphone-uri și alte artefacte care oricum pot fi „setate” de către utilizator. Sunt totuși considerate în categoria sus menţionată pentru că sunt primii receptori/utilizatori de software-uri destinate IoT în momentul în care sunt acţionate de proprietarul lor (GPS, aplicaţii de tip moderator/activator la distanţă pentru iluminatul sau încălzitul casei, frigiderul, mașina de spălat, dar și – aici ajungem la faza încă mai periculoasă – alarma și videocamerele de apărare, acţionarea deschiderii autoturismului sau a sistemului său multimedia etc).
Pe de altă parte, există aparate 100% IoT (moderatorul de lumină, moderatorul de temperatură etc.) care se activează în mod autonom, în funcţie de presetări și/sau la comanda proprietarului prin Wi-Fi, bluetooth sau reţeaua 4G. Aici încă nu pomenim de aparatura de vârf folosită în domenii precum sănătate electronică (pacemakere, centuri de insulină, etc), armată (sisteme de deminare, drone etc.).

Aparatele IoT complet autonome există deja, dar cele „critice” fie nu sunt încă foarte răspândite, fie se află abia în etapa de testare (mașina fără conducător auto etc.). Dar aici intrăm deja în câmpul de artificial intelligence și robotics, care privește mai puţin cetăţeanul și mai mult firmele mari cu infrastructuri puternice. Doar că asta e valabil doar azi, deoarece problema va exploda în următorii ani. Azi, în schimb, sunt deja foarte răspândite micile aparate de tip wearable, cum ar fi „brăţara pentru jogging” (care trimite către laptop sau smartphone informaţii despre câţi km aţi parcurs în fugă, pulsul, temperatura, caloriile consumate etc.), sau GPS-uri din noua generaţie legate cu aplicaţii PC și mobile etc.

Vivante
Pentru toate motivele menţionate mai sus, nu sunt deloc departe de adevăr previziunile de tipul celor de la World Economic Forum, care au socotit că există deja azi de trei ori mai multe „IoT” operative decât oameni pe pământ care mizează pe cca. 50 de miliarde de aparate IoT în anul 2020 (viziunea IoT „all devices inclusive”) sau previziunile celor de la Verizon, de pildă, care anunţă pentru același termen, „numai” 5,4 milarde de aparate (viziunea IoT „stricto sensu”).

Last but not least, pentru o abordare completă, trebuie amintită tendinţa de a lansa pe piaţă aparate mici care se încarcă prin USB (un fel de IoT varianta „neolitică”) și care s-au dovedit a fi livrate, în mai multe ocazii, cu malware inclus (amintim aici încărcătoarele de ţigări electronice, mici aparate de iluminat, baterii de rezervă pentru telefoane etc.). Pericolul major în ceea ce privește aceste device-uri este că utilizatorul, pentru mai multă comoditate, în loc să folosească un încărcător USB legat la priza electrică, își va încărca bateria direct din priza USB a laptop-ului său.

Privacy

Haosul și consecințele sale

IoT este una dintre cele mai mari mize financiare de azi în sectorul IT: pentru 2014, beneficiul suplimentar generat de către IoT este estimat la 1,9 trilioane de dolari. Miza este de a lansa la nesfârșit produse noi și, mai ales, servicii (cu plată) aferente, prezentate cumpărătorilor ca o îmbunătăţire semnificativă pentru viaţa lor și afacerile lor. De aceea, un leitmotiv pe care îl întâlnim des în articolele scrise de comercianţi este acela că pericolele legate de IoT sunt complet exagerate și că sunt noul front de atac în strategia de vânzări a firmelor de securitate IT.

Primul motiv al haosului: anonimitatea și netrasabilitatea „obiectului IoT”. Semnalul de alarmă tras de către NATO la summit-ul din Tallin în 2013 (merită citită analiza de situaţie descrisă în amănunt de către Michael J. Covington și Rush Carskadden, Threat Implications of the Internet of Things) a fost preluat și amplificat într-o analiză foarte detaliată a Trustware Global Security Report 2014. Paul Simmonds, CEO al Global Identity Foundation este încă și mai clar în afirmaţiile sale: dacă nu se ajunge rapid la o standardizare globală și la atribuirea unei identităţi IT fiecărui device, aparatele IoT nu vor fi niciodată sigure pentru a fi inserate fără grijă în diverse locuri din mediul înconjurător – acasa, la firmă sau într-o infrastructură critică. Această analiză culminează cu afirmaţia „a plethora of cloud-based solutions unique to each manufacturer, supplier or even device will lead to chaos and insecurity”.

De ce?

După ultimele sondaje ale Atomik Research, comandate de către compania Tripwire, mai mult de un sfert din angajaţii din firme/instituţii din domeniul „infrastructurilor critice” din USA și UK au deja conectat un IoT (pe lângă laptop-uri, tablete și smartphone-uri!) la reţeaua centrală de la locul lor de muncă. Și încă mai grav: pentru a înţelege impactul asupra companiilor mai „convenţionale”, în care mult prea mult BYOD se amestecă cu IoT, se estimează că în SUA un angajat folosește în medie 12 aplicaţii pe device-uri IoT, care în același timp sunt conectate și la reţeaua firmei.

Câteva exemple

Compania de securitate Pwnie Express a demonstrat recent că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ. HP a remediat foarte rapid problema, angajând masiv specialiști pentru IoT, schimbând algoritmi, apoi propunând clienţilor săi noile configuraţii. Mai grav însă, în 2014, aceeași firmă, HP, a făcut un test aleator asupra celor mai populare 10 device-uri IT și a găsit… 250 de fisuri, adică o medie de 25 de fisuri pe device.

Ce riscăm sau „nimic nou sub soare”
[errata corrige: „nimic nou” la exponențial, sub nori de furtună].

Doar că IoT este un accelerator exponenţial pentru cybercriminali, în activitatea
lor obișnuită. Deoarece face ca furtul de date să devină încă și mai ușor și pentru că oferă sute de uși în plus pentru a penetra într-un sistem. În plus, pentru consumator, mărește în mod semnificativ (se estimează la cca. 33%) pierderea de date confidenţiale sau personale, fie datorită incompatibilităţii aplicaţiilor descărcate, fie chiar și prin utilizarea și ștergerea datelor în mod automat de către un software IoT prost configurat. Dacă adăugăm exemplul recentei „capturi” a vamei olandeze în portul Rotterdam, când au fost descoperite 20.000 de frigidere Wi-Fi cu malware deja integrat, ne dăm seama cât de interesant este IoT pentru criminali, mai ales că această operaţiune de poliţie și vamă aruncă deja în categoria „anecdote din trecutul istoric” investigaţiile FBI amintite la București acum 2 ani de către directorul adjunct al CIA, asupra unui frigider care emitea 6.000 de SPAM-uri pe minut.

Viaţa privată este și ea supusă masiv riscului. Potrivit Forbes, un atacator a reușit să exploateze vulnerabilităţile unui sistem de monitorizare a bebelușului de către părinţi, să acceseze live webcam-urile și să observe după voie activitatea unui copil de 2 ani.

În sănătatea electronică, este foarte bine cunoscut cazul fostului vicepreședinte SUA, Dick Cheney, care a cerut deconectarea defibrilatorului din pacemaker-ul său, o operaţiune „tailor-made” pentru el, care se pare că a costat proprietarul o sumă consistentă de bani.

Attack
În domeniul marilor companii și instituţii ale statelor, IoT duplică riscul unui atac convenţional de tip „Disruption & Denial of Service”. Imaginaţi-vă milioane de obiecte, hack-uite care se conectează simultan la un website. Atacurile faimoase cum ar fi cel împotriva Estoniei din 2007 vor părea o mică undiţă în faţa tsunami-ului potenţial al noilor tipuri de atacuri.

În domeniul transporturilor, și mai ales în aeronautică, IoT devine în schimb poate cea mai mare ameninţare pentru securitate. Experţii avertizează demult că acumulările de sisteme „on board” sporesc mult riscul terorist sau riscul, simplu de disfuncţiune prin conflict de aplicaţii (fie telefoane mobile și Wi-Fi, fie entertainment systems pentru pasageri, geolocalizatori și mai ales dispozitive pentru piloţi și echipaj).

news

În ceea ce privește atacurile, încă nu s-a ajuns la primul „cybercrash” sau „cyberdeturnare” revendicat de către o grupare teroristă, însă dispariţia avionului companiei Malaysian Airlines nu poate să nu ridice decât o lungă serie de întrebări, mai ales într-o epocă unde fiecare om poate să urmărescă pe radarul de zbor poziţia/altitudinea/viteza/ruta exactă și în timp real pentru oricare avion civil aflat în zbor (avioanele fiind dotate cu transponderi noi). Un exemplu bun ne este dat de către va rianta militară (cea fără pilot) a aparatelor de zbor, unde sistemele USA au fost puse într-o poziţie foarte dificilă atunci când au fost descoperite vulnerabilităţi Wi-Fi vitale ale dronelor de ultimă generaţie, cu consecinţe foarte grave. Armata Iraniana, în 2014, și cea a Federaţiei Ruse, tot în același an, au reușit să inducă aterizarea forţată a cel puţin 3 aparate, în Vestul Iranului, în Ucraina de Est și în Crimeea.

În ceea ce privește disfuncţiunile, cel mai important caz a avut loc chiar acum recent, în 29 aprilie 2015, când American Airlines a anulat aproape toate cursele către destinaţii de medie și mare distanţă, datorită unei disfuncţiuni majore a unei aplicaţii iPad (sic!) de bord. În acest caz, nu trebuie decât să rămânem consternaţi să observăm faptul că faimoasa geantă neagră „Pilot›s trolley” cu cele cca. 10 manuale guideline atotcuprinzătoare destinate cazurilor de urgenţă sau situaţiilor neobișnuite, au fost înlocuite cu o tabletă „civilă” (Apple iPad pentru American Airlines și alte companii și echivalentul Microsoft pentru Delta Airlines și alte companii) cu motivul cvasi-copilăresc de a reduce volumul de bagaj de cărat de către pilot și de a „facilita” rapiditatea accesului la aceleași informaţii atunci când situaţia se impune!

Aici este vorba de IoT în sens larg, iPad-ul neavând (oficial) nici o legătură cu sistemul de bord. Dar dacă totuși vorbim de IoT în sensul larg, nu pot decât să fiu îngrijorat de sistemele cu touchless screen (verificarea închiderii ușii, temperatura, lumina destinată utilizării de către șeful de echipaj) care sunt livrate în varianta de bază cu panelul de jos deschis (cf. photo). L-am observat în aproape toate companiile low-cost, pe când în companiile naţionale, acest panel nu există (i.e. este ascuns într-un dulap închis). În plus, în colţul aceluiași panel se află o tastatură numerică destinată pentru a deschide ușa cabinei de pilotaj… Ori ce credeţi că vedem jos, în dreapta? Un port USB…!!!

Este cutremurător de mare inconștienţa! Mai ales că exemplul Stuxnet, indiferent de variantele oficiale sau
neoficiale care se vehiculează despre ce stat/organizaţie l-a creat, a dovedit că un atac de tip SCADA bine gândit are ca ultim (și cel mai important element) insider-ul care pune o simplă cheie USB în inima sistemului… 

Concluzii
Pentru cetățeni sau firmele mici și medii „bunul simț” rezolvă 80% dintre problemele potențiale de securitate. A alege electrocasnice fără Wi-Fi, a alege o telecomandă pentru televizor, jaluzele, iluminat sau încălzirea casei, ușa mașinii sau a garajului, a nu cumpăra device-uri ieftine și a utiliza la minimul
indispensabil smartphone-ul ca și comandă de la distanță, reprezintă o axiomă fundamentală pentru a-ți asigura liniștea în viața privată și în business-ul tău. Pentru ultimul domeniu, însă, trebuie să existe regulamente clare în fiecare firmă, care să interzică angajaților să folosească IoT și software-uri cu PCuri din rețeaua companiei.

Pentru state și infrastructurile lor critice, revin la tot ceea ce am expus în introducere: odată depășită faza de vrăjeală politicoadministrativă (aflată încă în curs) asupra „îmbunătățirii / simplificării serviciilor” prin IoT, există o nevoie vitală de a defini cine va valida și autoriza/refuza IoT în funcție de securizarea lor.

În absența totală a unei definiții clare a „IoT”, desigur vor trece decenii până când se vor inventa nomenclaturi clare și până când, în consecință, se vor putea legifera cu adevărat aceste aspecte.
Dar, mai mult decât probabil, se va ajunge într-un viitor nu foarte îndepărtat la o atribuire de adrese (adresă MAC, tot felul de Serial Numbers sau Factory numbers) pentru fiecare device, începând de la cele mai răspândite și cele mai strategice, prin presiunea comună a „dușmanilor” actuali (SUA/ UK/ Rusia/ China/ India), care în ceea ce privește acest subiect au exact aceleași preocupări și aceleași voințe.

Rămâne ca fără educație și conștientizare a populației, fără strong security policy (pe mai multe niveluri) în organizații, instituții și firme, și fără o dorință nativă de controla tehnologia pe care o cumpără un individ sau o firmă, IoT-uri nesigure vor continua să prolifereze și să devină cea mai ușoară calea de acces pentru cybercrime.

632

Toolkit gratuit în limba română!
http://www.botfree.ro/
CERT-RO – Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, împreună cu ACDC, a lansat un serviciu de informare despre reţele de tip botnet, dotat cu cele mai bune unelte gratuite pentru a vă proteja împotriva acestora.


Articol foarte important (IPv4 vs. IPv6):
Ministerul Tehnologiei Informaţiei şi Comunicaţiilor, Republica Moldova, Recomandarea privind tranziţia de la Protocolul Ipv4 la Protocolul Ipv6, 05.03.2014
http://www.mtic.gov.md/sites/default/files/legi/regltehn_mtic-recomandarea_ipv6_03-2014.pdf
Acest scurt document, foarte bine redactat, expune avantajele și pericolele legate de trecerea de la IPv4 la IPv6. Urmează o serie de recomandări simple, pentru folosul tuturor cetăţenilor și companiilor.


 

CERT-RO, Raport cu privire la alertele de securitate cibernetică procesate de CERTRO în anul 2014, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, 2015
http://www.cert-ro.eu/files/doc/915_20150325000331012990800_X.pdf
Mai sintetic decât documentul precedent (2014, despre 2013), raportul CERT-RO rămâne cea mai bună sursă de informaţii disponibilă pentru toţi cetăţenii, privind starea securităţii cibernetice în România. De remarcat sunt trei aspecte esenţiale: 1. tacurile sunt în creștere, nu exponenţială dar sigură și constantă; 2,54% dintre atacurile reușite sunt datorate sistemelor informatice configurate necorespunzător, i.e. parc informatic vechi, software-uri fără licenţă, lipsă de update-uri la software-uri și la sistemele de operare, lipsă antivirus sau folosirea inadecvată a acestuia. 3. Desigur faptul cel mai ingrijorător este nu numai că ameninţările continuă să se diversifice, ci că în plus România a început să devină o ţintă, dovada fiind că mai multe entităţi din România au fost ţinta unor atacuri informatice direcţionate și complexe.

 

1201

a1

a2

a3

Este organizaţia dumneavoastră dornică să integreze sisteme de securitate în mediul de business și în procesele IT? Sunteţi interesat să oferiţi servicii de securitate în ritmul afacerii și al mediului IT? Dacă răspunsul la aceste întrebări este “da” atunci aveţi nevoie de o soluţie care să vă ajute să:

  •  Îmbunătăţiţi securitatea în centrele de date și să optimizaţi resursele
  • Securizaţi platforme vechi sau nesuportate permiţând în același timp migrarea eficientă către noi platforme și arhitecturi ale centrelor de date
  • Simplificaţi monitorizarea continuă și raportarea conformităţii în infrastructura de servere fizice și virtuale și în cadrul platformelor cloud private (OpenStack), hibride și publice (AWS)
  • Identificaţi eficient încălcările politicilor și activităţile suspecte la nivel de aplicaţie sau instanţă în timp real în infrastructura de servere fizice și virtuale și în cadrul platformelor cloud OpenStack și AWS
  • Livraţi soluţii antimalware dinamice și protecţie IPS fără a consuma resurse de reţea și a afecta performanţa aplicaţiilor
  • Securizaţi implementările OpenStack Keystone
  • Securizaţi infrastructura server critică împotriva ameninţărilor zero-day și a noilor vulnerabilităţi

   Symantec Data Center Security 6.5 monitorizează continuu securitatea și respectarea reglementărilor; protejează infrastructura de ameninţări zeroday și noi vulnerabilităţi. Familia de produse Symantec Data Center Security, este îmbunătăţită periodic pentru a avea cele mai sigure și bune produse.

   Symantec Data Center Security: Server 6.5 introduce Operations Director, o nouă funcţionalitate ce permite clienţilor să automatizeze servicii de securitate anti-malware și network IPS la nivel de aplicaţii în mediile VMware NSX.
   Symantec Data Center Security: Monitor Edition 6.5, un produs standard ce combină protecţia disponibilă în Data Center Security: Server 6.5 cu monitorizarea serverelor fizice și virtuale, Amazon Web Services (AWS) și toate modulele OpenStack.
   Symantec Data Center Security: Server Advanced 6.5 combină toate funcţionalităţile de protecţie și securitate disponibile în Data Center Security: Server 6.5 și Monitoring Edition 6.5 cu securizarea serverlor fizice și virtuale și OpenStack Keystone.

Romsym Data este unul dintre liderii în distribuţia de soluţii IT din România şi nu numai, ce oferă tehnologie de ultimă oră, produsă de lideri mondiali în: soluţii de securitate (Symantec, GFI, Spector, Nuix), managementul reţelelor (Alt-N Technologies, Infoblox, Zoho, Vector, Tobit Software, Blue Coat), DTP şi web design (Adobe, Xara, Strata), managementul afacerilor (Abbyy, SAP Business Objects, IBM SPSS, Enfocus, Minitab, SumTotal, Telelogic, CRAMM, Workshare), soft-uri utilitare (ACD Systems, Realnetworks, WinZip, Install Shield Software, Realnetworks, Roxio, Total Commander), dezvoltare şi soft ştiintific (MathSoft, MathWorks, YesSoftware, Micro Focus), sisteme Open Source (Red Hat), virtualizare (Citrix, Red Hat).

De asemenea, Romsym Data oferă consultanţă şi training în domeniul IT prin intermediul unuia dintre cele mai moderne centre de profil din România – centrul ITtraining. Cursurile sunt predate de specialişti cu înalta calificare, certificaţi internaţional. Pentru mai multe detalii http://www.romsym.ro şi http://www.ittraining.ro.

EDITIE SPECIALA – INTERNET OF THINGS

1738
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1452
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2627
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1547
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1484
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1521
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...