Tuesday, April 23, 2019
Numarul 4

107
Interpretare: partea de sus – etapele de testare și dezvoltare sigură de cod/ partea de jos – etapa de evaluare dinamică a codului

Din ce în ce mai des, în organizațiile mari, se vorbește despre Dezvoltare Securizată de Cod (Safe Code Development – SSC), mai precis despre instrumente automatizate de suport pentru programatori, care permit analizarea software-ului creat, identificarea vulnerabilităților (de tipul Owasp TOP10 sau SANS25) și rezolvarea lor înainte de lansarea oficială, determinând astfel realizarea unui software puternic și sigur.

Dar este oare această abordare mulţumitoare?

Există modalităţi diferite de efectuare a testelor de siguranţă a aplicaţiilor, toate bazate pe detectarea erorilor de

programare și implementarea logicii la nivel de aplicaţie, dar practica dezvoltării securizate de cod reprezintă întotdeauna cel mai delicat și „nesigur” strat al producţiei unei aplicaţii „impenetrabile”.

În experienţa mea cu audit-urile de securitate, de foarte multe ori am dat peste diverse proceduri de evaluare a impactului, impact care decurge din existenţa prea multor vulnerabilităţi nerezolvate din SSC dar, foarte des, nu există nicio urmă de astfel de vulnerabilităţi în rapoartele realizate cu instrumentele statice de scanare.

Dar, înainte de a vă spune mai multe, trebuie să ne punem următoarea întrebare: „Ce presupune scanarea statică a unui cod?” Dacă răspunsul vostru este „un instrument care îţi permite să identifici toate problemele de securitate ale unei aplicaţii, probleme care ar expune respectiva aplicaţie la riscuri”, sunteţi departe de adevăr.

De fapt, instrumentele statice de scanare (dar și cele dinamice, după cum voi arăta ulterior, în ciuda celor spuse de furnizorii acestor instrumente) permit detecţia, cu o marjă mică de eroare, a vulnerabilităţilor specifice codurilor de intrare și filtrare precum XSS și Injection.

Tabelul următor (Sursa: Owasp, plus câteva completări) identifică această problemă, iar voi puteţi trage propriile concluzii.

Dacă este analizat în amănunt acest TOP 10 al Owasp se observă că există vulnerabilităţi cu impact puternic care nu sunt identificate de instrumentele

Facile = Ușor; Medio = Mediu; Difficile = Dificil; Severo = Puternic; Comune = Obișnuit; Diffuso = Frecvent

automatizate iar aceste vulnerabilităţi apar la nivelul comportamentului aplicaţiei sau sunt erori de proiectare care nu pot fi detectate de instrumentele actuale.

Spre exemplu, vulnerabilităţile de tipul Broken Authentication și Broken Access Control sunt vectori formidabili de atac care pot duce la un impact puternic fără a lua în considerare codul de SQL Injection care este dificil de identificat, astfel se dovedește că scanarea statică este limitată deoarece:

  • nu identifică toate erorile de logică din aplicaţie, identificându-le doar pe cele din zonele critice de exploatare de tipul deficienţelor de la nivelul dezvoltării profilelor și a autorizărilor de acces la conţinut.
  • determină apariţia unor rezultate de tip fals – pozitiv (peste 50% dintre studii sunt de acest tip) dar și a unor rezultate fals – negative, acestea fiind mult mai riscante și incontrolabile, cum ar fi adevăratele vulnerabilităţile care sunt de multe ori confundate cu SQL injection.
  • calitatea scanărilor depinde de calitatea aparatelor de scanat dar și a mediului în care această scanare se realizează (de ex. dependenţele dintre librării sau dintre modulele aplicaţiei, arhitecturi din afara aplicaţiei sau atenţionări de scanare nerezolvate).

Dar adevăratul „om rău” nu lucrează în dezvoltare ci în producţie, și de cele mai multe ori este din China sau Rusia, așadar următoarea întrebare concludentă ar fi „…dacă se transferă funcţia de control în etapa de producţie și se utilizează instrumente dinamice, oare acest lucru ar duce la o siguranţă mai mare?”. Răspunsul la această întrebare este asemănător cu răspunsul la întrebarea care este diferenţa dintre un om și o mașină. Pe scurt, totuși scanarea de tip dinamic (spre ex cu instrumente de scanare web) este utilă (așa cum sunt și evaluările de vulnerabilitate) deoarece mută controlul mai aproape de activitatea ilegală. Și în acest caz trebuie avute în vedere o serie de limitări:

  • Instrumentele Web de scanat nu elimină prezenţa erorilor de aplicaţie din dezvoltarea programelor (așa cum se întâmplă și în cazul scanarilor statice), chiar dacă au o gamă mai mare de acoperire, tocmai pentru că sunt realizate la faţa locului.
  • Un scanner dinamic este foarte intruziv, deci este de preferat să se realizeze în faza de testare pentru a proteja exerciţiul, dar scanarea dinamică în etapa de testare conţine și posibile elemente de slăbiciune, cum ar fi mediile eterogene, diferite versiuni software, patch-uri diferite, medii de testare care nu sunt disponibile, etc…
  • Intruziunea la nivel de politică este direct proporţională cu vulnerabilităţile detectate. Este nevoie de experienţă pentru a ajunge la compromisul potrivit între cele două elemente.
  • Spre deosebire de politicile și tehnologiile definite, scanarea dinamică poate determina răspunsuri fals pozitive sau și mai riscantele răspunsuri fals negative.

Ajungem acum la cea de-a treia întrebare: „… poate totuși este de preferat ca toată activitatea de scanare să se realizeze în etapa de testare a aplicaţiei”. Aceasta poate fi soluţia, dar chiar și atunci trebuie avute în vedere următoarele aspecte:

  • Testarea web de tipul Application Penetration se desfășoară înainte de lansare, are în vedere toate riscurile existente la nivelul aplicaţiei și este minim invazivă deoarece se realizează de către un specialist iar eficacitatea sa este direct proporţională cu abilităţile personalului specializat.
  • În cazul aplicaţiilor complexe, testarea de tipul Application Penetration nu se poate realiza la toate nivelurile aplicaţiei, cum ar fi limitele de timp pentru managementul controlului (nu se realizează o testare de tip etic).
  • Testarea permite identificarea impactului real dar și a deficienţelor, spre deosebire de scanările statice/dinamice.
  • Pune la dispoziţie o imagine de ansamblu (în combinaţie cu un web scan) asupra gradului real de risc al aplicaţiei.
  • Are costuri mai ridicate decât activităţile automatizate obișnuite.

Iar cea de-a patra întrebare este: …„și atunci? … care este cea mai bună soluţie?”, răspunsul de obicei este „depinde” deoarece:

  1. Dezvoltarea Securizată de Cod se realizează în fabrică, scopul ei este scanarea statică obligatorie a celor mai simple breșe de securitate. De asemenea, utilizarea acestor scannere (menite să fie instrumente de dezvoltare de nivelul Eclipse sau VisualStudio) aduce v aloare indirectă prin introducerea „Conștientizării” la nivelul echipelor de dezvoltare, echipe care încă au multe lipsuri la capitolul dezvoltare securizată de software.
  2. Scanarea dinamică (la fel ca toate evaluările de vulnerabilitate) este utilă, are multe avantaje și identifică vulnerabilităţi reale dar trebuie să fii foarte atent la riscurile din etapa de producţie, la nivelul de intruziune al produselor de scanare utilizate dar și la politicile utilizate.
  3. Testarea de tip Application Penetration este soluţia ideală pentru a avea o imagine de ansamblu asupra riscurilor care apar în urma unui abuz în utilizarea unei aplicaţii și acoperă toate vulnerabilităţile din Owasp TOP10, dar un test de tip Application Penetration poate fi utilizat la nivelul unei aplicaţii complexe doar pentru a o testa.
Autor: Massimiliano Brolli

BIO

În prezent responsabil cu funcțiile de monitorizare a nivelelor de securitate și a activităților de Risk Assessment în cadrul TIM și al societăților sale, Massimiliano a avut funcții de conducere și în cadrul Telecom Italia precum și la TIIT (Telecom Italia Information Tecnology), cu experiență în activitați de governance și audit de securitate pentru platforme centralizate de gestiune. Anterior, el a lucrat în programare la IBM, 3inet, Praxi si BNL. Massimiliano predă des cursuri pe teme precum uml object oriented și structuri și limbaje de programare.

 

153

În următorii ani spațiul cibernetic se va confrunta cu dezvoltarea inteligenței artificiale. Acest lucru va determina o potențială mărire a eficienței atacurilor cibernetice și îi va forța pe toți utilizatorii spațiului cibernetic să își adapteze metodele de protecție. În special forțele armate se vor confrunta cu provocări considerabile în a-și menține operaționalitatea, deși ele de asemenea, în multe zone, vor putea beneficia de avantajele inteligenței artificiale.

Introducere

Scopul acestui articol este să demonstreze importanţa securităţii cibernetice ca metoda de protecţie împotriva riscurilor crescute ce vor fi generate de dezvoltarea și integrarea inteligenţei artificiale (AI) în spaţiul cibernetic. Articolul se concentrează pe dimensiunea tehnică a evoluţiei AI și ce presupune acest lucru pentru forţele armate. Totuși, anumite consideraţii etice sau consideraţii filosofice cu privire la locul omului în lumea mașinilor sunt de neevitat. Ceea ce se întâmplă în spaţiul cibernetic poate reprezenta un progres imens dar poate de asemenea deveni oricând o ameninţare majoră. Cel mai probabil aceste riscuri vor pune în pericol pacea și securitatea internaţională.

Această evoluţie este inevitabilă și la acest moment un pas înapoi este de neînchipuit.

Noile tehnologii se regăsesc acum atât în zona privată a individului cât și în viaţa socială1, iar perspectivele AI vor face ca beneficiile să justifice o mulţime de compromisuri. Progresul în domeniul tehnologiei informaţiei oferă speranţă dar este și periculos în același timp. Noile instrumente pot promova pe de-o parte libertatea și dezvoltarea, progresul și bunăstarea dar și opresiunea, frauda, manipularea și controlul. Avansul tehnologic este benefic pentru toată lumea, de la cel puternic la cel slab, de la autorităţi ale statului la grupuri criminale. Astfel, ierarhiile și autoritatea sunt fie întărite, fie slăbite2. Iar acest lucru va avea un impact semnificativ asupra naturii viitoarelor conflicte. Dacă se dorește controlul dezvoltării noilor tehnologii și în special controlul aplicaţiilor, este important ca riscurile și oportunităţile să fie anticipate și integrate.

AI va revoluţiona implementarea securităţii cibernetice dar și percepţia asupra sa, acestea vor deveni atribuţii permanente și colective. În ziua de astăzi, statele și infrastructurile critice sunt deja victimele unor atacuri pentru a se obţine diverse avantaje, fie politice, militare sau economice. Spaţiul digital este deja un adevărat spaţiu de confruntare3 iar atacurile cibernetice fac parte pe zi ce trece dintr-un nou tip de război rece4. Societăţile în ansamblu, din cauza interconexiunilor de la nivelul lor, vor deveni din ce în ce mai vulnerabile. Forme noi de conflicte, până acum ignorate, vor apărea la nivelul ţărilor, companiilor sau indivizilor. Dar un lucru este sigur, chiar dacă apar la nivel naţional sau internaţional, politic sau economic, conflictele vor avea o dimensiune cibernetică din ce în ce mai pronunţată. Actorul care deţine avantajul la nivelul reţelei, va deţine avantajul și în faţa adversarului său5. Atacurile cibernetice vor fi din ce în ce mai exacte și mai rapide. Ca răspuns la această evoluţie, securitatea cibernetică trebuie să devină o construcţie formată din multiple elemente complementare, care împreună să creeze o arhitectură globală de securitate a spaţiului cibernetic. Iar competenţele militare din această zonă pot și trebuie să devină un element important al acestei arhitecturi. Scopul ameninţărilor digitale, în special când au de-a face cu AI, nu este încă foarte bine înţeles. Pentru moment, că să ne imaginăm acţiunile belicoase ale unui posibil agresor, este nevoie de o extrapolare a riscurilor din zona civilă la riscurile de la nivelul forţelor armate.

Acesta este motivul pentru care, forţele armate, incluzând armata elveţiană, trebuie să se afle în fruntea securităţii cibernetice. Astfel, am avea primul nivel al acţiunii de descurajare a unui atac cibernetic, respectiv se previne invazia teritoriului de către forţe armate străine. Acestea pot fi determinate să înceteze activităţile de la nivelul solului, dacă nu au reușit în prealabil să slăbească sau să slăbească forţele armate ale ţării vizate. Rezilienţa, mai precis recuperarea rapidă a capacităţii de acţiune, trebuie să permită angajamentul mijloacelor de acţiune după sau în ciuda unui atac cibernetic în urma căruia au intervenit anumite daune. Este evident așadar de ce forţele armate sunt direct interesate să contribuie la securitatea cibernetică. Noile tehnologii care vor fi folosite în viitor trebuie să fie sigure pentru a contribui la îndeplinirea misiunii, chiar utilizând un mediu cibernetic deteriorat.

Elemente problematice ale progresului inteligenței artificiale

Principala provocare o reprezintă cunoașterea modalităţii de a controla evoluţia curentă a AI și consecinţele acesteia asupra forţelor armate, având în vedere că această evoluţie este inevitabilă. Trebuie identificate schimbările de paradigmă iar acest lucru va duce la schimbări în viaţa socială dar și în relaţiile dintre ţări. Lumea de mâine se caracterizează prin volatilitate, incertitudine, complexitate și ambiguitate. Puterea se va proiecta într-un mod nou iar conflictele armate convenţionale, așa cum sunt azi, în viitor se vor transforma în fenomene periferice. Provocarea va consta în identificarea unei modalităţi de a adopta cât mai multe noi tehnologii în paralel cu propria protecţie împotriva riscurilor majore presupuse de aceste tehnologii. În acest context, securitatea cibernetică devine o responsabilitate globală a Statului și a tuturor celorlalţi actori care beneficiază de oportunităţi în spaţiul cibernetic sau care sunt avantajaţi de buna funcţionare a acestuia.

Imaginea 1: Exemplu de un centru de date mare localizat în Islanda – este evident astfel că spaţiul cibernetic se bazează pe o infrastructură fizică ce poate fi atacată (https://www.cio.com/article/2368989/data-center/100152-10-more-ofthe-world-s-coolest-data-centers.html#slide8, 20.07.2018)

Per total, principala ameninţare este reprezentată de faptul că toate acţiunile din spaţiul cibernetic pot determina daune concrete în spaţii fizice și pot afecta populaţia civilă, sau pot chiar cauza victime. Trebuie identificate ameninţările inexistente încă dar care vor fi rezultatul progresului noilor tehnologii și AI. Ameninţarea cibernetică trebuie să se situeze la același nivel cu ameninţările de tipul atacurilor cu rachete balistice sau de tipul terorismului internaţional, ne mai menţionând faptul că aceste ameninţări pot fi combinate. Actori non-statali vor fi capabili să producă aceleași efecte ca și actorii statali. Trebuie totuși avut în vedere că atacurile care pot submina securitatea naţională și stabilitatea unui stat au nevoie de resurse considerabile.

Sistemele trebuie protejate ca un întreg. Dacă nu există protecţie un atacator poate distruge sau întrerupe multe servicii esenţiale pentru populaţie cum ar fi distribuţia de apă și electricitate sau chiar serviciile de vânzări în general. Iar acest lucru poate duce la tulburări sociale. Nu este de mirare astfel că atacurile cibernetice rusești din Ucraina în 2014 au vizat, pe lângă modul de desfășurare al alegerilor, și centrale electrice, bănci, spitale și sisteme de transport. Teoreticieni ai sistemelor susţin că dacă 37% dintr-o infrastructură este distrusă, aceasta nu va mai funcţiona6. Conform „Revue Stratégique”, gravitatea unui atac poate fi stabilită luând în considerare 4 criterii7. Mai întâi, este necesară (1) evaluarea daunelor care pot fi aduse intereselor fundamentale ale ţării înainte de (2) a analiza încălcările securităţii interne. Apoi (3) este necesară evaluarea daunelor aduse populaţiei și mediului și în final (4) cele aduse economiei.

Se poate afirma la acest moment că AI va juca cu siguranţă un rol important în securitate, atât în ceea ce privește capabilităţile de apărare cât și cele de atac. Pentru anumite atribuţii de siguranţă, AI va depăși cel mai probabil capacităţile umane și va determina noi descoperiri. AI va putea controla unele dintre noile tehnologii dincolo de capabilităţile umane. Este esenţial rolul AI în machine learning / deep learning. Învăţarea automatizată determină progresul rapid al mai multor aplicaţii în comparaţie cu programarea. AI va permite fuziunea dintre lumile reale și virtuale pentru a obţine o mai bună reprezentare a mediului. Vor exista oportunităţi noi de formare, care vor avea la bază o capacitate crescută de colectare a datelor, de analizare rapidă a acestora și apoi de utilizare imediată.

Imaginea 2: Capabilităţi îmbunătăţite de analiză a imaginii cu ajutorul AI, permiţând pregătirea mai bună a operaţiunilor. (https://publiclab.org/wiki/near-infraredcamera – 30.05.2018)

Există trei modalităţi prin care este de așteptat ca AI să determine creșterea ameninţărilor: va extinde și diversifica ameninţările existente, va introduce ameninţări noi și va modifica caracterul și natura ameninţărilor cunoscute8. Atacurile vor fi mai eficiente, mai exacte, mai dificil de atribuit și vor exploata sistematic toate vulnerabilităţile. Forţele armate vor avea noi capabilităţi cum ar fi identificarea ţintelor umane (comandanţi militari) sau navigaţia autonomă. Se vor putea pune în aplicare campanii de dezinformare la o scală și cu o probabilitate în acest moment necunoscute.

Imaginea 3: Îmbunătăţirea posibilităţilor de creare a unor imagini generate de calculator în scopul dezinformării. Imaginea adevărată este în stânga, imaginea creată în dreapta (https://interestingengineering.com/ ai-software-generate-realistic-fake-videos-from-audio-clips, 30.05.2018)

Astfel, viitoarele atacuri din spaţiul cibernetic se vor caracteriza în principal printr-o eficienţă crescută. Acestea vor fi pregătite mai bine și cu mai multă atenţie9. Din cauza implicării AI, atacurile vor fi personalizate și făcute la comandă pentru a atinge obiectivul dorit. În faţa acestui potenţial, provocarea va consta în interoperabilitatea dintre om și mașini. Trebuie menţinut un anumit nivel de simplitate astfel încât oamenii să poată folosi informaţia rapid. Prea multă informaţie poate fi la un moment dat contraproductivă, la toate nivelurile și funcţiile, inclusiv în zona militară. Nu mai este ficţiune știinţifică apariţia în domeniul securităţii cibernetică a unui război al mașinilor, sisteme contra sisteme. Mașinile de atac trebuie simultan să fie capabile să se apere împotriva unor contraatacuri extrem de rapide din partea sistemelor vizate anterior. În ceea ce privește roboţii, există trei factori importanţi de securitate10. În primul rând, dezvoltarea și lansarea roboţilor, un fenomen global în curs de răspândire. În al doilea rând, adaptabilitatea roboţilor pentru diverse utilizări, ceea ce poate fi o reală problemă de securitate, și, în final, autonomia, care este factorul cel mai riscant. Este posibil ca o mașină să vrea să nu mai fie sub controlul soldatului și să continue îndeplinirea misiunii în modalitatea cea mai raţional posibilă. Controlul uman poate fi perceput ca fiind elementul distrugător și periculos care trebuie eliminat pentru ca misiunea să fie îndeplinită. Unul dintre cele mai mari pericole ale acestei evoluţii este reprezentat de faptul că AI va putea să ia anumite decizii care au nevoie de reacţii rapide și fără echivoc cum ar fi lansarea unor rachete sau arme nucleare11.

AI va determina creșterea eficienţei atacurilor cibernetice de tipul APT (Advanced Persistent Threats), care sunt cel mai des utilizate pentru spionajul industrial. Aceste instrumente, dificil de identificat, sunt foarte utile pentru spionajul reţelelor clasificate ale forţelor armate. Mulţumită

Imaginea 4: Evoluţia complexităţii ameninţărilor de tip APT, elemente și faze.

acestor APT, actori non-statali vor putea avea aceeași influenţă în domeniul spionajului ca și actorii statali. Dar AI poate avea un impact pozitiv asupra creșterii siguranţei. Deschide noi perspective asupra abilităţilor de a identifica, contracara și răspunde la atacuri cibernetice, chiar și la momentul în care vectorul atacurilor nu este cunoscut în avans. Deja este implicată în detectarea anomaliilor și a malware-ului din spaţiul cibernetic.

Impactul asupra forțelor armate

Aflate în faţa ameninţării potenţiale considerabile pusă de AI în spaţiul cibernetic, forţele armate trebuie să fie pregătite să sprijine autorităţile civile în cazul unui eveniment de destabilizare majoră a societăţii. În multe dintre cazuri, riscurile pentru forţele armate trebuie să fie extrapolate pornind de la riscurile din zonele civile, pentru a putea presupune care vor fi acţiunile maliţioase ale unui agresor. Spaţiul virtual va avea nevoie de un mediu sigur în care evoluţiile pozitive să fie integrate iar potenţialul lor să nu genereze dezastre. Luând în considerare oportunităţile și riscurile potenţiale, este nevoie ca forţele armate să găsească cea mai bună modalitate de a profita de aceste avantaje dar și de a se proteja de riscuri. Întâi de toate ele trebuie să își asigure buna funcţionare pentru îndeplinirea serviciilor de securitate a Statului.

Imaginea 5: Specialiști ”cyber” din forţele armate israeliene (IDF). (https:// www.blick.ch/ storytelling/2018/ zukunft/index5. html, 08.08.2018)

O nouă dezbatere este pe cale să înceapă. În ceea ce privește conflictul și lupta, evoluţiile în curs ale AI și noile tehnologii vor provoca mai multe daune prin acurateţea și eficienţa lor crescută. Aceste noi sisteme vor face posibilă distrugerea mult mai eficientă a mijloacelor adversarului. Utilizând această logică, noile tehnologii sunt utilizate doar ca vectori de îmbunătăţire a ceea ce este posibil deja. Dacă schimbăm paradigma, este evident faptul că apare întrebarea dacă un inamic poate fi învins și altfel, fără a te lupta cu el.

Spargerea unei reţele poate fi mai utilă decât introducerea unui nou sistem de armă. Nu va fi nevoie de distrugerea fizică a adversarului, acest lucru nu mai este un scop în sine, iar natura războiului nu doar va evolua ci se va modifica complet. AI și armele cibernetice au flexibilitate mărită, care le permite, prin utilizarea lor, să producă efecte de mai multe feluri. Puterea se va proiecta într-un mod nou iar conflictele armate convenţionale, așa cum sunt azi, în viitor se vor transforma în fenomene periferice, de cele mai multe ori fiind conduse de intermediari. În contextul acestui nou tip de luptă, posibilele consecinţe pentru populaţia civilă nu sunt încă cunoscute.

Evoluția naturii conflictelor și a forțelor armate

Modificarea naturii conflictelor duce la apariţia a numeroase întrebări. Întrebarea fundamentală este dacă războiul cibernetic va deveni războiul viitorului, și nu confruntarea dintre sistemele de arme robotice. În acest caz apar consecinţe importante la nivel de doctrină. Adversarul poate fi învins de acţiuni din spaţiul virtual care l-ar împiedica să reacţioneze și să își utilizeze toată infrastructura critică. De asemenea, nu mai este evident dacă vor mai fi de folos armele nucleare sau sistemele de arme cu efecte devastatoare. Va exista posibilitatea să se blocheze comanda acestor arme prin intermediul spaţiului cibernetic sau chiar dezactivarea lor. În mod similar, armele cibernetice ar putea, dacă este nevoie, să producă daune la fel de mari ca și armele nucleare. În acest caz, cheia succesului va fi capacitatea de a dezvolta acţiuni în spaţiul cibernetic. Astfel intimidarea unui adversar și demonstraţia de forţă se vor muta în spaţiul cibernetic, și nu vor fi resimţite, într-o primă fază, deloc sau aproape deloc de către populaţia civilă. Însă pot apărea evenimente precum paralizarea unor sectoare întregi ale economiei unei ţări, izbucnirea voluntară a unor dezastre tehnologice sau ecologice, cu multe victime sau manipularea procesului democratic. Acestea se vor numi acte de război.

caz apar consecinţe importante la nivel de doctrină. Adversarul poate fi învins de acţiuni din spaţiul virtual care l-ar împiedica să reacţioneze și să își utilizeze toată infrastructura critică. De asemenea, nu mai este evident dacă vor mai fi de folos armele nucleare sau sistemele de arme cu efecte devastatoare. Va exista posibilitatea să se blocheze comanda acestor arme prin intermediul spaţiului cibernetic sau chiar dezactivarea lor. În mod similar, armele cibernetice ar putea, dacă este nevoie, să producă daune la fel de mari ca și armele nucleare. În acest caz, cheia succesului va fi capacitatea de a dezvolta acţiuni în spaţiul cibernetic. Astfel intimidarea unui adversar și demonstraţia de forţă se vor muta în spaţiul cibernetic, și nu vor fi resimţite, într-o primă fază, deloc sau aproape deloc de către populaţia civilă. Însă pot apărea evenimente precum paralizarea unor sectoare întregi ale economiei unei ţări, izbucnirea voluntară a unor dezastre tehnologice sau ecologice, cu multe victime sau manipularea procesului democratic. Acestea se vor numi acte de război.

Importanţa spaţiului cibernetic în planificarea și desfășurarea operaţiunilor este de multe ori subestimată, în ciuda faptul că acolo se pot atinge multe obiective militare. În primul rând, este posibilă distrugerea și întreruperea schimburilor de date (comunicaţii de orice fel), dar și împiedicarea accesului la informaţii, coruperea sau distrugerea acestora prin infectarea lor. Dar obiectivul simplificat ar putea să fie distrugerea anumitor informaţii din calculatoare sau a unor baze de date întregi sau blocarea reţelelor. Se poate avea în vedere infectarea cu un malware a calculatorului dușmanului, ca asigurare în caz de atac sau pentru soluţionarea unor viitoare conflicte. În acest caz, este nevoie ca atacul să nu fie detectat. Pe de altă parte dacă un stat folosește arme de largă scală în spaţiul cibernetic, pentru a cauza daune semnificative dușmanului, atunci intenţia este clară, și nu este neapărat necesar să rămână ascuns. Dimpotrivă, se va dezvălui pentru a obţine ceea ce dorește13.

Inteligența artificială ca provocare pentru forțele armate

Deoarece importanţa timpului, distanţei, vitezei și temporizării scade, acestea nemaifiind niște constrângeri, utilizarea atacurilor în spaţiul cibernetic, care pot fi și automatizate, va crește. Este posibil ca acţiunile în spaţiul virtual împotriva unor dușmani neconvenţionali să fie mai greu de implementat, sau să fie mai limitate dacă aceștia nu se bazează pe reţele informatice în desfășurarea operaţiunilor și pentru sistemele de arme. În cazul Ucrainei, în 2014, existenţa controlului manual parţial a ușurat modalitatea de reacţie în cazul atacului cibernetic asupra infrastructurii de energie electrică. Atacurile cibernetice asupra Estoniei, Georgiei și Iranului nu au fost percepute de aceste ţări ca atacuri militare și prin urmare nu au avut niciun impact asupra forţelor armate. Dar este interpretabil, totuși distrugerea unor capabilităţi cheie poate fi văzută ca un atac asupra întregii ţări. De asemenea este necesar să fie luată în considerare situaţia în care importanţa spaţiului virtual este diferită pe parcursul fazelor unui conflict sau dacă, dimpotrivă, această importanţă se menţine și după încheierea ostilităţilor. Ar fi eronat să se considere utilizarea spaţiului virtual ca un spaţiu operaţional doar sau în principal în fazele iniţiale ale conflictului și să se creadă că oportunităţile, și deci importanţa spaţiului virtual, scad în timpul conflictului.

În ciuda celor menţionate mai sus, încă sunt câţiva autori care continuă să creadă că ameninţarea războiului cibernetic nu prezintă un pericol serios pentru forţele armate. Ei percep activitatea din spaţiul cibernetic ca pe niște măsuri luate în paralel pentru rezolvarea conflictului tradiţional sau hibrid iar schimburile din domeniul cibernetic sunt doar mici încăierări. Acesta este motivul pentru care este nevoie să fie analizat în detaliu impactul AI asupra forţelor armate. Consecinţele revoluţionare la nivel de securitate ale AI vor determina forţele armate să se adapteze. AI și învăţarea online vor avea implicaţii decisive pentru securitatea cibernetică și pentru războiul cibernetic. În ceea ce privește desfășurarea unui conflict, trebuie realizat un salt calitativ de nivelul apariţiei aviaţiei. Pe lângă aplicarea la nivelul luptelor dinamice a inteligenţei artificiale, forţele armate cu ajutorul AI vor putea să își îndeplinească misiunea de asigurare a securităţii societăţii. AI va putea să analizeze și să combine un volum imens de informaţii. În special în domeniul informaţiilor secrete, activităţi care acum presupun implicarea mai multor persoane pot fi automatizate. Forţele armate vor avea o capacitate crescută de colectare a informaţiilor, de analizare și utilizare rapidă a acestora. Lupta pentru superioritate în spaţiul informaţional va fi feroce, deoarece va fi decisivă.

AI va determina apariţia unor oportunităţi de formare în lumi care combină informaţii reale cu elemente
virtuale și va permite o pregătire incomparabilă a operaţionalizării, care poate de asemenea fi realizată la distanţă. AI se va dovedi un instrument valoros în faza iniţială a conflictelor sau în momentul în care un actor nu vrea sau nu poate utiliza trupe în vederea atingerii obiectivului. Spionarea sistemelor adversare ca măsură pregătitoare de luptă va deveni din ce în ce mai importantă și va deveni primul pas în declanșarea unui război. Această colectare de informaţii va reprezenta baza activităţilor subversive de genul mobilizarea și influenţarea opiniei publice în scopuri politice, respectiv manipularea informaţiilor. Va fi de asemenea folosită pentru sabotarea sistemelor de arme, infrastructurii critice și distrugerea sau modificarea naturii comunicaţiilor14, toate acţiuni care slăbesc adversarul și astfel se pregătește câmpul de luptă. Pe de altă parte, oricând actori izolaţi vor putea acţiona direct și în mod violent.

AI va avea un impact și în domeniul materialelor și al echipamentelor. Controlul noilor tehnologii se va realiza mult mai bine de către AI decât de către oameni. Noi capabilităţi robotice combinate cu inteligenţa artificială vor permite atingerea unei ţinte la nivel de centimetru15. Se va îmbunătăţi și va deveni un aspect esenţial programarea senzorilor, în special a celor care pot declanșa un răspuns automat. Automatizarea combinată cu AI va permite dezvoltarea unor răspunsuri de tipul ”trage și uită” cu aplicaţii pentru multe sisteme, de aici nevoia de a dezvolta în paralel posibilităţi de control uman asupra utilizării acestor arme. Forţele armate vor dori să utilizeze la maximum avantajele mașinilor în desfășurarea unei lupte. În același timp vorbim despre materiale care nu sunt doar mult mai ușoare și izolatoare, dar care pot să își schimbe forma și culoarea. Dacă aceste materiale sunt combinate cu inteligenţa artificială vor crește posibilităţile de utilizare, în special la camuflaj sau pentru îmbunătăţirea performanţei soldaţilor.

Utilizările inteligenței artificiale în desfășurarea operațiunilor militare

Combinarea informaţiilor disponibile și AI în spaţiul cibernetic va diminua nevoia de rezistenţă din punct de vedere psihologic. Această capabilitate va fi folositoare atât pentru apărare cât și pentru atac. Un atac va fi construit cu precizie și personalizat conform obiectivului său pentru a-i asigura eficacitatea. Astfel, în domeniul dezinformării, posibilităţile se vor multiplica iar diseminarea se va face rapid. AI va deveni un sprijin esenţial în
desfășurarea operaţiunilor, în principal datorită potenţialului său ridicat de analiză. AI deschide noi dimensiuni pentru aceste posibile îmbunătăţiri, în special pentru căutarea vulnerabilităţilor sistemului dușman.

Va deveni posibilă sprijinirea combatanţilor prin intermediul unor sisteme autonome. Modalitatea de luptă se va caracteriza în viitor și prin extinderea abilităţii de a îndeplini misiuni în mod autonom. Omul, prin intermediul AI, va încerca să reacţioneze la modificări mai repede și mai bine decât adversarul său, ceea ce conduce la avantaje pe câmpul de luptă.

AI va permite lupta simultană contra unei multitudini de sisteme, atât în lumea reală cât și în cea virtuală și contracarea unor atacuri diferite și aflate la distanţe mici. Va permite sincronizarea modalităţilor de apărare, prioritizarea și acţiunea rapidă. În funcţie de obiective, AI va putea face o analiză mai bună a ţintelor potenţiale, în special prin verificarea încrucișată a informaţiilor. Acest lucru se va aplica și analizei imaginilor, aceasta completându-se cu alte informaţii pentru, spre exemplu, identificarea infrastructurilor critice și a celui mai potrivit timp în care acestea pot fi atacate, fie prin atacuri cibernetice, fie prin atacuri convenţionale. Dar AI poate asigura sprijinul trupelor și la nivelul unor aspecte mai puţin tehnice, cum ar fi în domeniul psihologiei, prin analiza conţinutului violent, care poate afecta moralul trupelor. În domeniul protecţiei fizice sunt reduse riscurile, în special când este vorba de misiunile de recunoaștere în zone inamice sau de eliminare a minelor, care pot fi îndeplinire de roboţi. Va fi posibilă conservarea capitalului uman prin repartizarea sarcinilor plictisitoare sau periculoase unor mașini echipate cu AI. Prin AI se poate îmbunătăţi și luarea deciziilor, prin conexiunile de la nivelul diferitelor unităţi, prin simulările operaţionale pentru pregătirea operaţiunilor. Astfel cresc eficienţa și performanţa sistemelor de luptă iar funcţiile logistice și de sprijin sunt simplificate, în special în zona de întreţinere. În concluzie, calculatoarele cu AI vor deveni ele însele niște sisteme armate. Armele cibernetice se transformă în superarme de distrugere16 și slăbire a adversarului.

Totuși, întotdeauna va exista o diferenţă mare între securitate, care poate fi îmbunătăţită în zonele urbane sau la nivelul unor infrastructuri de genul gări sau aeroporturi, unde sunt instalaţi mulţi senzori precum camerele de supraveghere, ale căror imagini sunt disponibile și pot fi analizate, și lupta dinamică într-un mediu în care nu sunt disponibili senzori statici. În timpul unei operaţiuni, instalarea la scală largă a unor senzori va continua să fie un obstacol deoarece pot apărea surprize la nivelul scalei de acţiune.

Datorită integrării din ce în ce mai avansată a AI la nivelul sistemelor forţelor armate și câmpul de bătaie se va modifica. În primul rând, va avea loc înlocuirea extensivă a oamenilor cu roboţi autonomi, în toate domeniile, de la logistică la roboţi de luptă. Bineînţeles că acești roboţi vor avea niveluri diferite de autonomie, în funcţie de atribuţiile fiecăruia. Va trebui stabilit controlul uman minim necesar pentru fiecare atribuţie. Pe termen lung, lupta la nivel aerian va deveni parţial inutilă și, pentru anumite misiuni, poate fi înlocuită cu drone. Această tendinţă va fi sprijinită și de scăderea costurilor dronelor. În ceea ce privește forţele terestre, doar o paradă militară va putea să fie identificată pentru ca ele să poată să răspundă atacului a sute sau mii de drone. În mod similar, încărcăturile improvizate de explozibil vor deveni arme de precizie, crescând eficienţa oricărui grup terorist, spre exemplu prin utilizarea unei mașini autonome pentru atacurile sinucigașe cu bombe. Se va mări capacitatea unor grupări armate de a destabiliza o societate, ca parte a unei strategii hibride. Aceste grupări ar putea utiliza roboţi pentru asasinări automatizate la nivel înalt a unor militari sau oficiali politici și economici.
Totuși, AI va putea fi folosită și pentru dezarmarea acestor grupări prin identificarea tranzacţiilor suspecte și, la nivel general, prin identificarea posibililor teroriști prin analiza unor pachete de indicii. Apărarea pasivă sau activă a unor ţinte cu valoare ridicată precum infrastructura critică (blindajul, apărările active, radarul UAV) poate fi de asemenea îmbunătăţită.

Învăţarea mai mult sau mai puţin automatizată a AI este un subiect important, ceea ce poate fi o vulnerabilitate deosebită dacă un inamic reușește să infiltreze elemente eronate în procesul de învăţare. Aceste elemente distrugătoare pot fi informaţii false pe care întreg sistemul de învăţare se bazează sau pot avea în vedere modificarea percepţiei mașinilor cu privire la un anumit mediu ceea ce poate determina diferite comportamente, unele periculoase. Spre exemplu se poate inversa metoda de recunoaștere pentru prieten sau dușman în cadrul fazei de învăţare sau sistemele autonome de arme pot fi învăţate să vizeze în mod special ţinte civile. Însăși educaţia autonomă va deveni o ţintă, deoarece va deveni interesant sabotajul dușmanului în această etapă, pentru a încetini îmbunătăţirea capabilităţilor sistemelor autonome de arme și pentru a spiona sau a preveni înmulţirea funcţiilor roboţilor cu AI17. În ciuda acestor lucruri, AI ne va forţa să acordăm mai multă autonomie mașinilor, pentru ca acestea să fie utilizate la nivelul potenţialului lor, în special pentru viteza lor de reacţie. Omul este cel care, în acest punct, va deveni un factor de încetinire. Dacă limităm autonomia și viteza mașinilor pentru a le controla mai eficient, atunci ne asumăm riscul ca dușmanul să devină mai rapid. Astfel nu vom avea de ales, și va exista riscul ca oamenii să devină simpli spectatori ai interacţiunilor dintre mașini, sau chiar ai unor bătălii între mașini. Exemplu dronelor este edificator. Crește exponenţial numărul dronelor utilizate pentru diverse atribuţii iar aceasta poate deveni o problemă deoarece va crește riscul apariţiilor unor acţiuni necontrolate. În ultimă instanţă, pentru a putea lua măsuri de protecţie și a asigura redundanţa sistemelor, vor trebui identificate sistemele de arme care pot opera fără suportul AI.

Vulnerabilitățile asociate cu inteligența artificială

Integrarea accelerată a AI în sistemele și procesele forţelor armate ridică numeroase întrebări cu privire la efectele negative posibile și măsurile necesare pentru ţinerea sub control a riscurilor. Ţinta finală este prevenirea deturnării utilizării sistemelor și proceselor militare de la scopul pentru care au fost concepute. La un nivel foarte general, întrebarea este cum va putea un mediu cibernetic degradat să interfereze cu abilitatea forţelor armate de a-și îndeplini misiunea, de la mobilizare la luptă. Este posibil ca aceste evoluţii tehnologice, sau aplicarea lor la nivelul forţelor armate, să fie împiedicate din cauza riscurilor implicate. Când vorbim despre armament și control mai mult sau mai puţin automatizat, trebuie să și garantăm că se va păstra controlul, sau că este exclusă preluarea sau reprogramarea de către un adversar. Va deveni deosebit de importantă întărirea securităţii și a protecţiei sistemelor18.

Vulnerabilităţile vor fi căutate activ și inevitabil atacate. Vor exista constrângeri semnificative pentru integrarea AI la nivelul forţelor armate. O provocare importantă o reprezintă identificarea celei mai bune combinaţii dintre om și mașină, cu scopul de a utiliza la maxim potenţialul și sinergiile AI. Este vorba despre modalitatea cea mai bună de combinare a activităţii de identificare a oportunităţilor cu luarea celei mai bune decizii, mai rapid decât adversarul și în mod repetat19. Mai presus de toate, este important să se evite ca mașina să neutralizeze omul sau funcţiile sale de control în cazul în care aceasta nu este de acord, din orice motiv, cu decizia omului. Acest lucru nu va fi întotdeauna ușor, în special în domeniile în care AI depășește inteligenţa umană. Oamenii ar trebui să se străduiască să păstreze siguranţa populaţiilor ca prioritate esenţială a AI, în orice fel de circumstanţe. Pentru moment AI încă depinde de factori de învăţare care sunt cel puţin iniţiaţi de către oameni. Abilitatea AI de a reacţiona și de a rezolva situaţii noi și neașteptate, ceea ce este esenţial pentru forţele armate, va deveni o prioritate pentru dezvoltare. Totuși, acest lucru demonstrează că va fi nevoie să se dezvolte un nou sistem specific de control pentru armele autonome, în special pentru cele cu efect letal. Trebuie să ne asigurăm că oamenii pot dezactiva imediat un sistem autonom care deviază de la misiunea sa. AI poate cauza probleme neașteptate deoarece viteza și acumularea mare de interacţiuni au efecte imprevizibile. În contextul acestei evoluţii inevitabile, responsabilitatea finală pentru utilizarea armelor autonome trebuie să rămână a oamenilor, și trebuie exclusă eliminarea controlului20.

Unul dintre pericolele inerente ale acestei evoluţii o reprezintă faptul că unele decizii care au nevoie de reacţii rapide și neechivoce pot fi delegate către AI, cum ar fi utilizarea rachetelor sau armelor nucleare21. AI poate conduce la o nouă cursă a înarmării, toţi actorii vor dori să își îmbunătăţească sistemele de arme cu AI. Utilizarea răspândită a AI poate fi o evoluţie inevitabilă datorita beneficiilor sale dar și datorită consecinţelor din domeniul protecţiei. Oamenii vor lua din ce în ce mai puţine decizii, și, în același timp, mașinile vor dicta ritmul luptei în toate zonele de operaţiuni, și vor influenţa direct rezultatul. Oamenii vor trebui să identifice o metodă de a păstra controlul asupra proceselor și de a stabili limitele mașinilor și a implicării acestora. Trebuie luată în considerare apariţia unui război în care sunt utilizate
rachete auto-ghidate, tancuri autonome și drone înarmate. Am putea observa un fel de ”dezumanizare” a războaielor viitorului.

În desfășurarea oricărei operaţiuni, împiedicarea comunicaţiilor a avut întotdeauna un rol esenţial. Dar acest lucru are un impact pozitiv doar în condiţiile în care îţi poţi asigura funcţionarea propriilor comunicaţii. Se presupune așadar că eliminarea forţelor dușmanului pentru a câștiga nu va mai fi la fel de importantă precum ar fi capacitatea de infiltrare în centrul sistemului inamic, în centrele sale de gravitaţie, pentru a-l distruge sau paraliza. Capacitatea de a identifica ferestre de oportunitate devine din ce mai importantă și mai decisivă.

Imaginea 7: Radarele sunt utilizate pentru monitorizarea continuă a activităţilor, inclusiv a atacurilor din spaţiul cibernetic (https://www. journaldugeek.com/2015/01/16/ pal-la-cyberguerre-cest-pourdemain/15.08.2018)

Oportunităţile apar atunci când inamicul este ”orbit” sau indus în eroare. Sistemele de comunicaţii ale forţelor armate inamice vor deveni așadar infrastructuri critice esenţiale. Atacarea și distrugerea lor vor paraliza și vor învinge adversarul într-o lume în care alfabetizarea informaţională și capacitatea de manipulare a ei înseamnă putere. Superioritatea spaţiului informaţional se obţine prin capacitatea crescută de a colecta date, de a le analiza și utiliza rapid pe câmpul de luptă. Vor exista mai multe surse și va fi mai simplă răspândirea de informaţii false precum și influenţarea deciziilor inamicului. Propaganda, înșelăciunea și ingineria socială (precum este manipularea psihologică de largă scală) vor fi îmbunătăţite. Acestea vor crea confuzie în rândul adversarilor prin distorsionarea situaţiei, fiind mult mai eficiente decât distrugerea echipamentelor sau a sistemelor de arme. Structurile verticale de comandă vor fi înlocuite treptat de structuri flexibile de reţele care vor include cooperarea permanentă sau temporară cu noi componente. Schimbări majore vor avea loc și la nivelul centrelor de gravitaţie și al planificării ţintelor.

Un alt pericol major îl reprezintă, fără îndoială, dezechilibrul resurselor cibernetice, care vor împinge unul dintre actori spre o atitudine agresivă, fiind sigur de victorie. Este nevoie de echilibru și la nivelul armelor cibernetice și al suportului AI, care va permite descurajarea utilizării acestora la nivel cibernetic, așa cum spre exemplu este descurajată utilizarea armelor nucleare. Perioada de tranziţie dintre dezvoltarea noilor capabilităţi și echilibrul resurselor va fi plină de riscuri. Trebuie avut în considerare faptul ca nu este ușor să aplici sistemele AI civile la nivelul armatei. Măsura în care aceste tehnologii vor putea fi duplicate este un factor important dar posibil să creeze și limite. Una dintre cele mai importante dimensiuni ale utilizării sistemelor autonome de arme o reprezintă daunele colaterale care pot interveni. De cele mai multe ori vorbim despre echilibrul intereselor în acest domeniu, iar contextul evoluează cu fiecare secundă în parte. Nu este vorba doar despre acurateţea informaţiei disponibile, ci și despre evaluarea sistemului global în care o singură acţiune poate avea un impact strategic. Problema autonomiei include de asemenea și dimensiunea responsabilităţii, în legătură cu modul de acţiune și consecinţele utilizării sistemelor autonome de arme. În final, ne putem imagina că, în contextul unei apărări active, un Stat poate avea un răspuns parţial miliar la acţiuni cibernetice agresive contra intereselor sale, atât la nivel cibernetic cât și non-cibernetic. De facto, protecţia cibernetică și capabilităţile cibernetice le permit forţelor militare să își îndeplinească misiunile, și astfel să își desfășoare operaţiunile într-un mod mai eficient și chiar cu costuri mai mici22.

Importanța apărării cibernetice pentru armata elvețiană

În anii următori, apărarea cibernetică eficientă și protecţia sistemelor vor fi fundamentale pentru rolul de intimidare al armatei elveţiene. Dacă atacurile cibernetice nu vor reuși să slăbească armata elveţiană, atunci respectivul inamic va evita să continue atacul la nivelul solului sau al aerului. Securitatea cibernetică este esenţială ca primă linie de apărare deoarece poate descuraja declanșarea unor atacuri în spaţii fizice. Dar nu trebuie să fie confundată cu descurajarea utilizării armelor nucleare. Scopul este ca adversarul să fie convins să renunţe la un atac prin contracarea operaţiunilor pregătitoare din spaţiul cibernetic și spaţiul informaţional. Asemenea măsuri de contracare trebuie să fie promovate în mod activ. Acestea se potrivesc mai ales în cazul în care adversarul are o strategie hibridă, care începe prin vizarea debilitării statului și a forţelor sale armate prin măsuri luate în spaţiul cibernetic. Viaţa unui potenţial agresor poate fi foarte dificilă dacă are nevoie de mai multe resurse pentru a ajunge la o victorie. Cum Elveţia nu mai are o armată numeroasă care să ţină la distanţă un potenţial inamic, ea trebuie să aibă în vedere cu prioritate securitatea cibernetică pentru a-și proteja sistemele de arme și infrastructura critică, astfel încât să nu fie slăbită înaintea unui atac. Posesia unor sisteme care utilizează AI poate fi un factor descurajator23.

Dependenţa armatei elveţiene de infrastructura civilă, în special de reţelele de comunicaţii, este un factor care justifică dezvoltarea securităţii militare în spaţiul virtual. Este esenţial pentru armată ca aceste infrastructuri să fie și ele foarte bine protejate. Din acest moment este important ca subiectul apărării cibernetice să fie inclus în toate exerciţiile militare sau de management al crizelor, în special în cazul în care sunt implicaţi parteneri civili. Relaţiile bidirecţionale dintre forţele armate și instituţiile civile se intensifică, ceea ce înseamnă că, în practică, în contextul arhitecturii securităţii cibernetice, forţele armate pot să beneficieze de sprijinul companiilor civile, atât timp cât nu sunt dependente de ele. Cercetările din cadrul Armasuisse W+T trebuie să dedice resurse și studiului, dezvoltării și adoptării pentru a putea contracara cercetările făcute de oponenţi. Și mai mult, în ceea ce privește resursele umane, nu trebuie uitat faptul ca forţele armate și companiile civile se vor lupta pentru aceiași specialiști. Sistemul milităresc va trebui să devină un avantaj, nu un handicap.

Posibilele ciocniri în spaţiul cibernetic vor crea așteptări mai mari dar și constrângeri pentru lideri de niveluri diferite, ei vor avea nevoie să poată să acţioneze autonom într-un cadru global dat. Oricine are „un comportament ordonat” (Befehlstaktik) în utilizarea noilor tehnologii, spre exemplu ca instrument permanent de control pentru a impune o viziune, va avea de pierdut. Grupările de atac modulare, extrem de flexibile, care pot desfășura diferite tipuri de operaţiuni și se pot adapta unui adversar aflat în permanentă evoluţie, reprezintă forţele viitorului. Armata elveţiană va avea nevoie de o structură de comandă extrem de flexibilă, prevăzută ca fiind o parte a unui sistem de sisteme, în care conducerea verticală este înlocuită de o conducere tematică, orizontală și flexibilă. Cel mai
probabil creșterea importanţei spaţiului cibernetic va determina scăderea importanţei deţinerii puterii asupra pământului și a spaţiilor fizice în general. Așadar această evoluţie este semnificativă și va trebui să fie inclusă în dezvoltarea viitoare a armatei, deoarece noţiunea de teren a fost dintotdeauna importantă pentru doctrina militară.

Războiul cibernetic va duce la creșterea importanţei analizei centrelor de gravitaţie ale inamicului și ar trebui să determine realizarea unui efort important de protejare a propriilor centre de gravitaţie și de atacare a centrelor de gravitaţie opuse. Sprijinul pe care AI îl poate acorda desfășurării luptelor în spaţiul urban, care este principala zonă de acţiune a armatei elveţiene, va fi important și poate fi un avantaj decisiv. Din cauza faptului că se preconizează reînnoirea a numeroase sisteme de arme în următorii 10-15 ani și a așteptării ca aceste sisteme de arme să fie folosite pentru următorii 30 de ani, provocările planificării acestor achiziţii vor fi foarte reale și nu pot fi subestimate. Vor trebui abordate subiecte precum utilitatea viitoare a tancurilor sau a altor mijloace grele precum artileria. Totuși, procesele de achiziţie ale acestor sisteme vor trebui să integreze dimensiunea securităţii cibernetice și a redundanţei, în caz de atacuri cibernetice. Armata elveţiană va trebui să aibă la dispoziţie mijloace cibernetice potrivite pentru pregătirea optimă a câmpului de bătaie sau pentru blocarea pregătirii câmpului de bătaie de către adversar. Din cauza angajamentelor externe ale armatei elveţiene, vor trebui identificate posibilităţile și limitele de acţiuni în spaţiul cibernetic împotriva unor inamici neconvenţionali. Va trebui identificată și cea mai bună modalitate de asigurare a securităţii cibernetice a trupelor în cazul desfășurării de operaţiuni în medii nefavorabile.

Pe scurt, există 8 direcţii de dezvoltare, cu implicaţii pentru spaţiul cibernetic și pentru AI, care vor afecta armata elveţiană și care vor trebui monitorizate și incluse în planificarea dezvoltării forţelor armate: (1) numărul crescut de roboţi, în toate domeniile, (2) renunţarea la anumite sisteme de arme, fiind înlocuite de noi tehnologii (3) metode noi de luptă rezultate din utilizarea noilor tehnologii (4) noi arme, (5) noi criterii și instrumente ale puterii, (6) autonomia crescută a mașinilor, (7) noi probleme legate de mașini și, în final (8) noi ţinte.

Concluzii

Apărarea cibernetică a devenit o necesitate absolută nu doar pentru protecţia populaţiei și a infrastructurii dar și pentru viaţa socială și democratică. Atacurile cibernetice sunt principala ameninţare, deși aceasta a fost până acum mascată de vizibilitatea acţiunilor teroriste. Noi vulnerabilităţi apar mai rapid decât sunt eliminate cele vechi. Una dintre problemele majore o va reprezenta costul unei protecţii extinse.

Imaginea 8: Importanţa infrastructurii (cum sunt reţelele care tranzitează Islanda) pentru buna funcţionare a spaţiului cibernetic (https://askjaenergy. com/2013/02/11/data-centres-in-iceland/, 20.07.2018)

Progresul din spaţiul cibernetic și utilizarea mărită a AI în acest spaţiu operaţional vor schimba parametrii cu care suntem obișnuiţi. Atât pentru civili, cât și pentru forţele armate. Noile ameninţări din spaţiul cibernetic nu le vor înlocui pe cele vechi ci se vor adăuga acestora, care rămân ca posibile instrumente de acţiune, prioritate având actorii non-statali, cum ar fi atacurile de toate felurile, deturnările de avioane sau ambarcaţiuni, etc. În aceste cazuri forţele armate sunt doar pe post de partener și pot contribui cu resurse la managementul unei crize cibernetice, atâta timp cât legea permite. În aceste situaţii ele nu vor avea un rol conducător și nu trebuie să aibă dacă există civili care preiau acest rol. Dar asta nu înseamnă că ei nu trebuie să asigure furnizarea completă a serviciilor necesare de protecţie eficientă a sistemelor și astfel au dreptul să decidă care sunt priorităţile și cum trebuie alocate resursele.

Nivelul de securitate al sistemelor statului, inclusiv al sistemelor forţelor armate, este o problemă centrală. Un nivel ridicat este esenţial. AI va crea noi oportunităţi, oportunităţi care vor fi disponibile pentru mai mulţi actori. Caracteristicile geopolitice cum sunt dimensiunea teritoriului, populaţia și resursele naturale nu vor mai constitui atribute ale puterii unei ţări. Revoluţia generată de noile tehnologii va extinde și redistribui puterea, de cele mai multe ori în favoarea unor jucători mai mici și mai slabi24. State mai mici dar cu AI avansat vor avea un impact mai mare. Pericolul principal este reprezentat fără îndoială de dezechilibrul resurselor, care poate determina un stat să aibă o atitudine agresivă dacă este sigur că va învinge sau are superioritate în spaţiul cibernetic. Este nevoie de echilibru și la nivelul armelor
cibernetice și al suportului AI, care va permite descurajarea utilizării acestora la nivel cibernetic, așa cum spre exemplu este descurajată utilizarea armelor nucleare. Regularizarea spaţiului cibernetic este esenţială pentru a asigura cooperarea și a reprima abuzurile. Statele vor trebui să deţină mijloace pentru a juca un rol normativ în spaţiul cibernetic, ceea ce la acest moment este destul de dificil. Dacă distanţa dintre statele sărace și cele bogate continuă să se mărească, este de așteptat izbucnirea unor crize majore. Ţările sărace vor avea mijloace crescute de a reacţiona împotriva abuzurilor de la nivelul sistemului economic global și vor putea, cu mijloace relativ limitate, să lanseze acţiuni agresive în spaţiul virtual împotriva celor care sunt percepuţi ca asupritori și profitori. Toate acestea vor conduce la apariţia unor riscuri majore de destabilizare și conflict.

Problema răspunderii trebuie rezolvată cât mai rapid. În cazul unei probleme majore când este dificil de identificat agresorul, va fi necesar să fie atribuită responsabilitatea pentru fapte. Poate fi vorba de proprietar, de programator, de constructor, de emiţător sau chiar de stat. Aceasta este una dintre cele mai importante întrebări deschise din lumea aflată în continuă automatizare. Dificultatea cu care se atribuie responsabilitatea este problema principală, deși poate fi și un factor calmant pentru joc, deoarece îl forţează pe atacator să își măsoare reacţia. Totuși este nevoie și de o soluţie, deoarece pe măsură ce atacurile devin mai eficiente, mai exacte și dificil de atribuit ele vor viza toate vulnerabilităţile. Vor apărea mai mulţi actori capabili de astfel de atacuri. Îmbunătăţirea siguranţei va fi determinată nu doar de nevoia de face mai bine lucrurile ci și de a le face diferit. Va fi necesară modificarea comportamentului pentru a reduce și a elimina riscurile. Va deveni din ce în ce mai importantă faza experimentală, atât pentru a verifica posibilele câștiguri de la nivelul securităţii cât și pentru a căuta vulnerabilităţile și a le elimina. Mulţumită capabilităţilor crescute de învăţare autonomă, AI va putea, în viitorul apropiat, să dezvolte și să asigure securitatea cibernetică a unui sistem într-un mod total autonom, respectiv fără nicio implicare umană. Totuși, oamenii își vor menţine un rol în procesul de machine learning. Lipsa totală a interacţiunii umane poate conduce la dezvoltarea mașinilor într-o direcţie greșită și astfel se reduce eficacitatea securităţii. Importanţa fiinţei umane, respectiv a soldatului, nu va dispărea, așa cum o vor face multe dintre temerile din acest domeniu. Adevăratul risc îşi va face apariţia în momentul separării oamenilor de mașini, atunci vor apărea în mod inevitabil conflictele.

Va deveni esenţial ca sistemele militare să devină suficient de sigure pentru a compensa răspândirea extinsă a ameninţărilor digitale. Este imperativ ca toţi cei implicaţi să fie conștienţi de seriozitatea acestei ameninţări. Riscul în spaţiul cibernetic este un risc sistemic și nu se limitează la atacuri ţintite sau limitate. În acest context, securitatea cibernetică împiedică nu doar atacurile cibernetice dar și atacurile în alte zone de operaţiuni, având în vedere că slăbirea adversarului în spaţiul cibernetic poate constitui o primă etapă de pregătire a unui conflict deschis. Va trebui să ne obișnuim cu un mediu în care atacurile cibernetice vor fi ceva comun și cu apariţii sistematice, ceea ce poate pune în pericol stabilitatea întregului spaţiu cibernetic. Astfel, este posibil să apară din ce în ce mai des conflicte între sisteme, toate fiind sprijinite de utilizarea AI, unele dintre ele încercând și să își exploateze reciproc vulnerabilităţile. Securitatea în lumea virtuală va sta la baza protecţiei lumii reale. Totuși, perspectiva unor daune extinse, incluzând daunele colaterale, îi poate determina pe atacatori să fie mai precauţi, în special când este vorba de actori statali. Într-adevăr este extrem de dificil de estimat consecinţele unor atacuri cibernetice care vor afecta nediscriminatoriu toate calculatoarele și sistemele dintr-o ţară și ale căror efecte colaterale sunt prin definiţie imprevizibile. Acest pericol este ușor de conceput când vine vorba de arme autonome bazate pe AI și lipsa controlului din partea oamenilor.

Forţele armate și armata elveţiană în particular nu au de ales. Trebuie să se protejeze eficient împotriva atacurilor cibernetice și a răspândirii noilor tehnologii dacă își propun să își menţină capacitatea de a-și îndeplini misiunea de protecţie a populaţiei și a teritoriului naţional. Este imposibil de imaginat niște forţe armate care nu au o componentă cibernetică. Neluarea în serios a provocărilor progresului spaţiului cibernetic și al AI introduce riscuri existenţiale la nivelul societăţilor. Anumite măsuri de întărire a securităţii în spaţiul cibernetic pot și trebuie să fie luate, de cele mai multe ori chiar cu ajutorul AI. Sunt șase elemente ale unei protecţii cibernetice eficiente: (1) prevenirea prin educaţie, (2) anticiparea, (3) protecţia, (4) detectarea, (5) atribuirea și (6) răspunsul. Educaţia utilizatorilor de internet și a mass-mediei este esenţială. Anticiparea presupune cunoașterea ameninţărilor, pentru a putea pregăti contraatacul, în timp ce protecţia presupune toate acele măsuri de îngreunare a misiunii atacatorilor. Detectarea trebuie să fie posibilă prin măsuri luate în interiorul sistemelor. Aceste măsuri vor deveni din ce în ce mai importante și mai complicate o dată cu dezvoltarea criptografiei. Atribuirea presupune mijloace specifice de analiză a semnalului. În final, răspunsul are în vedere reînceperea și continuarea activităţii precum și măsurile luate direct împotriva atacatorului.

Note:

  1. Ryter, Marc-André: La 4ème révolution industrielle et son impact sur les forces armées, MPR I/17, pp. 50-62.
  2. Rid, Thomas: The Rise of the Machines, Scribe Publications, London, 2016, p. 298.
  3. Ryter, op. cit., pp. 58-60.
  4. Straub, Jeremy: Artifi cial Intelligence is the weapon of the next Cold War, The Conversation, 29.01.2018, disponible sous https://theconversation.com/artifi cialintelligence-is-the-weapon-of-the-next-cold-war-86086, p.2
  5. Anil, Suleyman: How to integrate cyber defence into existing defence capabilities, in ANGELI, Franco (Dir.): International Humanitarian Law and New Weapon Technologies, International Institute of Humanitarian Law, San Remo, 2012, pp. 152.
  6. Anil, op. cit., p. 149.
  7. Revue Stratégique de Cyberdéfense, Secrétariat Général de la Défense et de la Sécurité Nationale, Paris, 12.02.2018, disponible sous http://www.sgdsn.gouv.fr/ uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf, p. 81
  8. Brundlage, Miles (et al): The Malicious Use of Artifi cial Intelligence: Forecasting, Prevention and Mitigation, February 2018, 99 p., disponible sous: https://arxiv.org/ ftp/arxiv/papers/1802/1802.07228.pdf.
  9. Ibid, p. 21.
  10. Ibid, p. 39.
  11. Straub, op. cit., p. 3.
  12. Arquilla, John et Ronfeldt, David: Cyberwar is coming!, Comparative Strategy, vol. 12, no 2, 1993, p. 39.
  13. Dannreuther, Roland: International Security: the Contemporary Age, Cambridge, Polity Press, 2013, p. 266.
  14. Brundlage, op. cit., p. 43.
  15. Rid, op. cit., p. 296.
  16. Douzet, Frédérick: Cyberguerres et cyberconfl its, dans BADIE, Bertrand et VIDAL, Dominique: Nouvelles Guerres, L’état du monde 2015, La Découverte, Paris, 2014, pp. 111-117.
  17. Allen, Greg et Chan, Taniel: Artifi cial Intelligence and National Security, Harvard Kennedy Scholl, Belfer Center for Science and International Aff airs, July 2017, p. 46.
  18. Villani, Cédric: Donner un sens à l’intelligence artifi cielle: pour une stratégie nationale et européenne, Mission parlementaire du 8 septembre 2017 au 8 mars 2018, Paris, mars 2018, p. 221, disponible sous aiforhumnaity.fr.
  19. Rid, op. cit., p. 300.
  20. Brundlage, op. cit., p. 42.
  21. Straub, op. cit., p.3.
  22. Revue Stratégique de Cyberdéfense, op. cit., p. 52.
  23. Straub, op. cit., p. 5.
  24. Arquilla et Ronsfeldt, op. cit., p. 26.

Articolul original al lui Col. Marc-André Ryter, în limba franceză, a fost publicat în nr. 2/2018 din Military Power Revue of the Swiss Armed Forces (pp. 18-30). Armata Elveţiană a acordat revistei noastre onoarea de a traduce acest articol în limba română în exclusivitate. Pe această cale ținem să mulțumim în mod calduros Divisionarul Urs Gerber, redactor-șef ale Military Power Revue și Colonelul Marc-André Ryter pentru disponibilitatea și spriinul acordat. Toate volumele Military Power Revue se pot descărca gratuit accesând web-site-ul Armatei Elvețiene: www.vtg.admin.ch/en/media/publikationen/militarypower-revue.html

Marc-André Ryter
Autor: Marc-André Ryter

BIO

Colonel, absolvent de studii de politică de securitate și licențiat în Științe Politice, Marc-André Ryter este colaborator pe zona de doctrină militară a Statului Major al armatei Elvețiene. El urmărește dezvoltările tehnologice care sunt relevante pentru forțele armate și pentru diferitele cadre de operațiuni, în mod particular pentru dezvoltarea doctrinei militare. Marc-André Ryter poate fi contactat la adresa:  marc-andre.ryter@vtg.admin.ch

84

Rețelele sistemelor industriale de control (ICS) și rețelele IT clasice devin din ce în ce mai întrețesute, interconectate, sau, hai să spunem, „convergente”. Stațiile de lucru și serverele din rețelele ICS care utilizează sisteme standard de operare IT, cum ar fi Windows, devin din ce în ce mai frecvente. Din păcate, deși operatorii ICS sunt conștienți, totuși apelează în continuare la tehnologii comune, larg utilizate și accesibile astfel că aceste opțiuni fac ca rețelele ICS să fie mai vulnerabile decât oricând la hacking, în special atacurile malware și ransomware.

De exemplu, atacurile NotPetya și WannaCry ransomware dar și cele de după ele au dovedit că atacurile cibernetice cu siguranţă nu doar că nu vor înceta şi vor căpăta noi și noi forme atât tehnice cât și de monetizare, dar și că pur și simplu aplicarea de p atch-uri (pachete de corecţie) poate să împiedice infectarea sau răspândirea și că această simplă măsură poate fi extrem de eficientă. Aceste două atacuri s-au bazat pe exploatarea vulnerabilităţii Eternal Blue (un defect de securitate în cadrul mai multor versiuni ale sistemului de operare Windows), pentru a infiltra și bloca sistemele vitale, cerând o răscumpărare pentru a le debloca. Cu toate acestea, patch-ul util pentru prevenirea atacurilor a fost deja disponibil cu câteva luni înainte de a avea loc. Se pune întrebarea de ce multe organizaţii importante nu au avut aplicate patch-uri, lăsând sistemele vulnerabile?

Downtime = Costuri

Prima problemă este aceea că reţelele industriale mari, infrastructura și reţelele comerciale sunt, de obicei, gândite să funcţioneze la aproape maximum de capacitate și implică de multe ori producerea unui

produs, fie că este vorba de electricitate, o mașină, un aliment sau o jucărie. Deci, când sistemele scad capacitatea sau producţia se oprește, există un impact financiar asupra operatorilor / proprietarilor.

Nimic surprinzător, e destul de clar că operatorii comerciali nu doresc întreruperea sistemelor foarte des pentru a instala patch-uri. Această fereastră de timp este planificată cu mult timp înainte și adesea pot trece luni de zile sau chiar un an până la următoarea fereastră de patch-uri. Deci, în cazul amintit doar ca exemplu, este posibil ca în timp ce patch-ul Microsoft era disponibil în martie, unele companii să nu fi ajuns în perioada de patchuri planificată atunci când primul atac a avut loc în luna mai.

A risca sau nu

În alte cazuri, companiile, deși derulează o analiză risc / beneficiu, aleg să nu aplice patch-uri, ignorând faptul că multe atacuri moderne pot distruge complet întreaga reţea ICS și că nu este vorba dacă reţeaua va fi atacată / compromisă, ci când se va întâmpla asta. Motivul cel mai frecvent este pur și simplu asumarea că sistemele funcţionează ca atare și

nimeni nu își asumă gestionarea schimbării, perioadele de nefuncţionare. Deși ilogic, există multe companii care își asumă sau mai degrabă speră că în cazul apariţiei infectării costurile vor fi mai mici decât costurile generate de întreruperi ale producţiei, în ideea că poate infectarea nu se va produce niciodată sau extrem de rar. Inutil de spus că această practică nu este recomandată.

Uneori chiar nu se poate

Există și cazuri în care într-adevăr mitigarea riscului prin aplicarea de patch-uri de actualizare nu se poate face: există adesea sisteme, dispozitive

și aplicaţii critice care nu au patch-uri, deoarece sunt depășite, end-of-life, nu mai au suport, nu există patch pentru ele, sau nu există condiţii tehnice pentru a se aplica, de exemplu nu există memorie liberă pentru a instala un patch. Și într-adevăr, actualizare la zi nu înseamnă neapărat că toate vulnerabilităţile software au fost patch-uite. Este posibil să existe o vulnerabilitate necunoscută nimănui în afara câtorva hackeri de elită – așa-numita exploatare „zero day”, așa cum era EternalBlue înainte de a fi dezvăluită publicului. În aceste cazuri, de cele mai multe ori nici compania care face software-ul nu știe despre problemă, deci teoretic nu există patch.

Există, de asemenea, cazuri în care terţii care deţin sau gestionează echipamente în cadrul reţelelor operaţionale neglijează actualizarea acestor sisteme în timp util. Aceste terţe părţi ar putea avea, de asemenea, conexiuni în reţeaua ICS. În astfel de cazuri, operatorii ICS nu pot controla dacă sistemele sunt actualizate, tocmai pentru că ele funcţionează în conformitate cu SLA (acorduri privind nivelul serviciilor) și posibil să și partajeze date cu terţa parte.

Ce facem când nu se poate?

Având în vedere diversitatea motivelor pentru care patch-urile nu sunt posibile, există totuși în aceste cazuri opţiuni disponibile pentru a proteja operaţiunile și dispozitivele din sistemele ICS:

Audit intern

Primul pas important este realizarea unui inventar intern sau a unui audit al sistemelor conectate, identificarea potenţialilor vectori de ameninţare și definirea nivelului de risc. Multe companii nu au hărţi exacte ale fluxurilor de date sau ale arhitecturilor de sistem, care sunt extrem de utile pentru securitatea informatică eficientă. Dacă nu știm unde suntem vulnerabili, nu există nicio modalitate de a atenua posibilitatea atacului cibernetic.

Un audit poate fi efectuat manual sau cu ajutorul unui instrument automat de descoperire a dispozitivelor de reţea, deși multe organizaţii evită utilizarea instrumentelor automate, deoarece ar putea perturba operaţiile prin adăugarea unei încărcări suplimentare în reţea, chiar mici uneori.

De obicei, nu trebuie căutat prea departe pentru a găsi sisteme și dispozitive conectate care au vulnerabilităţi cunoscute sau potenţiale, dar găsirea tuturor acestora poate fi o provocare. Cu toate acestea, impactul asupra întregii reţele a unui dispozitiv sau un sistem care poate fi infectat poate fi totuși limitat.

Eliminarea conexiunilor care nu sunt necesare

Uneori dispozitivele sunt conectate la reţele externe fără nici un motiv cu adevărat necesar. Fie că este vorba de o arhitectură defectuoasă a reţelei, de lipsa unor proceduri de securitate clar definite, de solicitări urgente de acces la date sau de a face acest lucru deoarece se poate face, sistemele și echipamentele conectate inutil sunt cauza principală a infecţiilor și a proliferării malware. Aceasta include, de asemenea, conexiuni cu terţe părţi care nu (mai) au nevoie de acces la reţeaua ICS.

Fiecare conexiune la o reţea externă, indiferent cât de bine este monitorizată, reprezintă o posibilă cale pentru un atac în reţeaua ICS. Mulţi operatori ICS sunt neavizaţi în ceea ce privește securitatea informatică, iar unii nu au nici măcar un singur rol dedicat, ba chiar au diverse persoane care au creat diverse conexiuni iar aceste persoane poate nici nu mai sunt în companie. Astfel că pentru fiecare conexiune care este eliminată, se elimină și nevoia de protecţie, atenţie și vigilenţă din partea unui grup cât mai restrâns.

Segmentarea

Crearea unui mediu protejabil înseamnă, de asem enea, segmen tarea reţelei ICS de sisteme de control industrial în sine și crearea unor niveluri de securitate în cadrul acesteia.

Prin crearea mai multor segmente de reţea, fiecăruia i se poate atribui un nivel propriu de securitate și încredere, iar fluxul de date între fiecare segment poate fi limitat și monitorizat. Segmentarea poate, de asemenea, să ajute la atenuarea traversării laterale în caz de penetrare, în cazul în care hackerii sau malwareul vor să sară de la un dispozitiv / sistem / staţie de lucru la altul.

Implementarea securității bazată pe hardware: sens unic

Destul de des, propunerea de a deconecta conexiunile la reţeaua ICS, indiferent de cât de simplă sau complexă, poate duce la presiuni din partea utilizatorilor finali cu diferite roluri IT sau de business sau terţe părţi care doresc acces la date ICS. În aceste cazuri, se recomandă

ca operatorii să schimbe cât mai multe dintre aceste conexiuni într-o singură direcţie, utilizând o diodă de date sau un dispozitiv cyber similar bazat pe hardware.

O diodă de date este un dispozitiv bazat pe hardware care impune fizic un flux unic de date. Se impune o singură cale pentru fluxul de date, permiţându-i să curgă de la un compartiment la altul, dar nu înapoi.

Ca sisteme de transfer de date într-o singură direcţie, diodele de date sunt folosite ca instrumente de securitate cibernetică pentru segmentarea și protejarea reţelelor împotriva ameninţărilor cibernetice externe și pentru prevenirea penetrării din orice sursă externă. Acestea permit transmiterea datelor către utilizatorii care au nevoie de aceasta, fără a permite accesul înapoi, ceea ce poate fi extrem de util pentru reţelele nepatch-uite sau neînchise în alt mod. Diodele de date susţin în mod eficient o arhitectură «air-gapped» din exterior, permiţând în același timp continuarea fluxurilor de date din reţeaua ICS.

Firewall-urile și instrumentele cyber bazate pe software sunt, de obicei, prima linie de apărare, și primele la care ne gîndim atunci când se are în vedere construirea unui zid de securitate în jurul reţelelor sensibile. Din păcate, pe lângă faptul că au propriile probleme cu atacuri de tip zero day, firewall-urile presupun ele însele gestionarea continuă a schimbării, configurarea, și manangementul actualizărilor.

Dimpotrivă, diodele de date adesea nu necesită nicio gestionare a schimbărilor, deoarece acestea nu necesită reconfigurare, upgrade sau înlocuire a sistemelor sau setărilor în sistemele industriale de control – inclusiv în sistemele vechi. Ca dispozitive bazate pe hardware, nu sunt vulnerabile la atacurile software și, prin urmare, nu necesită patch-uri periodice, deși patch-uri pentru îmbunătăţirea funcţionalităţii pot fi disponibile din când în când. Diodele de date ajută de asemenea la segmentarea reţelei și la crearea de straturi de apărare între reţelele de încredere și cele de neîncredere.

Eliminarea sau autorizarea dispozitivelor portabile

Având în vedere că abordarea prudentă ar trebui să fie aceea de a menţine o decuplare a arhitecturii ICS, totuși multe date sunt în conexiune cu medii portabile iar în acest caz vectorul cel mai probabil de atac vor fi mediile portabile – dispozitive USB, laptopuri, etc. Prin urmare, este vital ca toate mediile portabile să facă obiectul unei examinări aprofundate, inclusiv antivirus, sume de control pentru hash și autentificare. În mod obișnuit, această examinare este efectuată cu un layer de securitate (chioșc de control), unde suportul portabil este mai întâi conectat și scanat înainte ca acesta să poată fi conectat oriunde în reţeaua ICS. Aceste chioșcuri de securitate pot fi utilizate și împreună cu diodele de date, firewall-urile și instrumentele de autentificare pentru a oferi securitate suplimentară. În mod ideal, nu ar trebui să li se permită intrarea în reţeaua ICS a laptopurilor sau a altor medii sofisticate care au fost conectate la internet, dar, dacă este necesar, trebuie să facă obiectul aceluiași control aprofundat.

Investiția în pregătire

într-un mediu în care există vulnerabilităţi cunoscute. Nu mai vorbim de faptul că eroarea umană reprezintă mai mult de jumătate din toate incidentele cibernetice. Fără o instruire consistentă în procedurile de securitate cibernetică a personalului, toate eforturile tehnice de securitate pot fi compromise intenţionat.

Concluzie

Aplicarea patch-urilor poate fi simplă în teorie dar devine o problemă în reţelele de control industrial. Oricare ar fi motivul pentru care organizaţia nu are patchuri, sau nu le poate aplica, există și alte posibilităţi de a implementa o securitate adecvată și de a preveni un atac cibernetic.

Prin utilizarea diverselor tehnici și tehnologii, cum ar fi diodele de date, operatorii ar putea chiar să evite gestionarea schimbărilor, eliminând necesitatea perioadel or de nefuncţionare care pot fi costisitoare și pot păstra o legătură între reţeaua ICS și reţeaua IT, reducând sau eliminând riscul asociat cu acesta.

Urmând sugestiile de mai sus, în combinaţie cu cele mai bune practici ale organismelor de reglementare din industrie, precum și implementarea unui program cuprinzător de instruire, se poate construi o bază puternică pentru a preveni atacurile cibernetice împotriva sistemelor vechi, neactualizate.

Virgilius Stănciulescu
Autor: Virgilius Stanciulescu,
Director IT, ANCOM

BIO

Cu o experiență de 20 de ani IT&C, atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, conduce Direcția IT a ANCOM, Virgilius încearcă cu spirit analitic și managerial să ducă ANCOM pe drumul transformării digitale. Viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure, o parte din sistemele de bază fiind operaționale și constituind bază de dezvoltare în continuare. Sistemul Integrat pentru Managementul Spectrului Radio, un sistem critic pentru managementul comunicațiilor în România este unul dintre ele, iar platforma eControl i-a urmat. Deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, expert în securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare în vederea respingerii atacurilor cyber.

82

O altă dimensiune a securităţii cibernetice

Securitatea cibernetică a dominat primele pagini ale publicaţiilor occidentale din ultimii ani prin subiecte legate de scurgeri de informaţii, influenţarea rezultatelor unor alegeri publice şi atacuri cibernetice în contextul noului tip de conflict, războiul hibrid.

Într-un articol publicat în 4 octombrie a.c. cu titlul „The Big Hack: How China Used a Tiny Chip to Infiltrate US Companies / Marele Hack: cum a folosit China un cip minuscul pentru a infiltra companiile americane”, publicaţia Bloomberg Businessweek a expus o nouă latură a ameninţării la adresa securităţii cibernetice, Hardware hacks, survenită în 2015. În articol este prezentată (presupusa) compromitere a serverelor a 30 de companii americane, inclusiv a giganţilor Amazon şi Apple, precum şi a unor agenţii din sistemul de securitate naţională în urma unui incident de securitate major cauzat de o componentă de hardware.

Citând o serie de surse anonime din companiile afectate, precum şi foşti şi actuali oficiali din zona de securitate naţională a SUA, articolul susţine că serverele realizate de unul din principalii producători la nivel global, Supermicro, prezentau o alteraţie majoră: prezenţa unui microcip pe plăcile de bază. Această componentă modifica core operating system de aşa manieră încât acesta să accepte modificări şi să contacteze alte computere controlate de atacatori pentru a recepţiona cod suplimentar şi instrucţiuni ulterioare. Practic, în momentul în care un server era instalat şi pornit, acesta devenea o cale de acces liberă pentru atacatori. Cum aceste servere erau utilizate în centrele de date ale principalilor actori din zona de IT&C şi chiar a autorităţilor publice şi agenţiilor de intelligence, după cum e susţinut în articol, ramificaţiile acestui “atac” sunt majore.

Hack-urile care vizează elemente de hardware au un grad mai ridicat de dificultate în realizare decât cele de software, însă efectele pe care le produc pe termen lung pot avea un impact devastator. Practic, componentele maliţioase fie sunt introduse în procesul de manufacturare, fie produsele sunt manipulate în tranzit, modificările fiind implementate până acestea ajung la clientul final.

Neidentificată înaintea conectării, o astfel de alteraţie îşi poate îndeplini funcţiile fără a fi neutralizată pentru perioade semnificative de timp. De altfel, după cum a evidenţiat Bloomberg Businessweek, dacă unor companii precum Apple şi

Amazon le-a trebuit timp şi o doză de şansă să identifice această problemă, care este probabilitatea ca alte companii, care beneficiază de resurse semnificativ mai reduse, să prevină vulnerabilităţile de securitate provenite din alteraţii de hardware.

Principala barieră în realizarea hack-urilor de hardware este reprezentată de filtrele de securitate, însă acestea sunt departe de a fi infailibile. Deşi componentele hardware sunt proiectate în emisfera vestică, procesul de producţie se realizează în proporţie covârşitoare în Asia de sud-est, o zonă supusă unor alte cerinţe de calitate şi în care companiile-mamă nu pot avea acelaşi control.

Dacă veridicitatea faptelor expuse necesită dovezi suplimentare1 sau, cel puţin, rezultatul unor anchete oficiale ale autorităţilor implicate, în măsura în care acestea pot fi făcute publice, ideile centrale prezentate ridică de la sine un număr de semnale de alarmă.

Mai întâi, este relevantă dilema expusă în articol conform căreia companiile trebuie să aleagă între a avea un număr mai redus de produse, dar al căror securitate o pot garanta, şi toate produsele de care au nevoie, însă să se expună unor riscuri, companiile alegând de fiecare dată a doua opţiune. Această observaţie este corectă, iar companiile nu pot fi condamnate pentru încercarea de a înregistra un profit mai mare. Cu toate acestea, referitor la securitatea în mediul cibernetic, acest principiu elementar al economiei conform căruia un cost mai mic de producţie rezultă într-un câştig mai mare pentru părţile implicate nu poate fi ilustrat în alb şi negru, ci ocupă, mai degrabă, diferite nuanţe de gri. Această situaţie este datorată în principal prin prisma faptului că orice vulnerabilităţi de securitate se traduc, în termeni financiari, în posibile pierderi considerabil mai mari decât câştigurile rezultate dintr-un lanţ de producţie şi distribuţie cu costuri mici.

Includerea în ecuaţie a unor elemente precum acţiunile unor companii listate la bursă şi luând în considerare că aceste companii şi-au axat campaniile de marketing pe securitatea oferită clienţilor, făcând din acest aspect principalul asset al produselor lor, reprezintă un argument important pentru care securitatea reprezintă un factor cuantificabil din punct de vedere financiar. De altfel, giganţii din domeniul IT au realizat profituri semnificative şi pentru că produsele lor au fost selectate pe criteriul securităţii oferite.

Întrebarea care rezultă în mod natural este ce poate fi făcut pentru ca astfel de situaţii să fie contracarate eficient?

Dat fiind faptul că procesul de manufacturare se desfăşoară, cu precădere, în alte state, zona Asiei de sud-est fiind dominantă în acest sens, autorităţile au posibilităţi limitate în identificarea problemelor şi breşelor de securitate. Mai mult, în unele cazuri, aşa cum este stipulat în articolul din Bloomberg Businessweek, cadrul legal limitează procesul de investigare până la înregistrarea unor „victime», iar specificitatea domeniului IT dictează că, din acel moment este deja „prea târziu» pentru a remedia situaţia creată, pagube majore fiind deja produse.

Astfel, (1) vigilenţa autorităţilor, publice sau private, cu rol în controlul de securitate este un factor determinant.

Un alt aspect important constă în (2) permanenta adaptare a cadrului normativ pentru a ţine pasul cu evoluţiile tehnologice, prezenţa pe agenda publică a temelor referitoare la securitatea cibernetică fiind, de asemenea, deosebit de importantă.

Totodată, într-o lume interconectată, un subiect ca responsabilitatea securităţii cibernetice depăşeşte sfera autorităţilor şi revine şi clienţilor, fie ei din rândul companiilor sau clienţi individuali. Astfel, (3) conştientizarea riscurilor de securitate este crucială, iar punerea în balanţă în momentul achiziţionării unor produse sau servicii a acestora, pe acelaşi nivel cu preţul, devine elementul fundamental în menţinerea securităţii cibernetice globale.

Autor: Mihai Vişoiu, Cyberint

61

Din perspectiva activităţilor și competenţelor specifice CERT-RO, anul 2018 a evidenţiat o creștere atât în intensitate cât și în complexitate a modurilor de manifestare a ameninţărilor cibernetice, în special pe coordonata agresiunilor cibernetice motivate financiar (criminale).

Această motivaţie a agresiunilor cibernetice este și va fi în continuare unul dintre principalii factori care va determina atacatorii cibernetici să dezvolte tehnici de atac din ce în ce mai sofisticate și, de asemenea, să valorifice toate oportunităţile pe care le oferă viaţa de fiecare zi, care este din ce în ce mai conectată cu mediul online, pentru a găsi noi ţinte și a le exploata vulnerabilităţile.

Astfel, în anul 2018, au cunoscut o creștere semnificativă atacurile cibernetice de tip phishing.

Cu o inginerie socială bine pusă la punct și adaptată cerinţelor diferitelor tipuri de consumatori, atacatorii au explorat și exploatat în același timp atât metoda clasică a emailului trimis sub formă de oferte ale unor companii cunoscute cât și metoda mai nouă/mai puţin folosită până în prezent a phishingului prin telefon.

Nu vrem să discutăm aici despre numărul de victime, însă este esenţial să subliniem faptul că nivelul de pregătire a populaţiei atât în ceea ce privește înţelegerea acestui tip de ameninţare cât și în ceea ce privește semnalarea acestor moduri de manifestare a ameninţării cibernetice trebuie mult îmbunătăţit.

Subliniem aici rolul fundamental al existenţei unui cadru legislativ în domeniul securităţii cibernetice care să asigure atât funcţionarea instituţiilor cu competenţe cât și educaţia populaţiei în acest domeniu, pe categorii de vârstă și sociale.

O altă modalitate de manifestare a ameninţărior cibernetice în anul 2018 o reprezintă atacurile de tip cryptojacking (minare de criptomonedă). În esenţă, este vorba despre folosirea, de către atacatori, a resurselor utilizatorilor (putere de procesare) unor site-uri pentru minarea de criptomonedă.

Creșterea exponenţială a valorii diferitelor tipuri de criptomonedă nu a trecut neobservată, fiind valorificată de atacatorii care au identificat imediat potenţialul oferit de varietatea de utilizatori ai resurselor Internet precum și de noutatea tipologiei de atac, relativ puţin cunoscută până în perioada prezentă.

Atacurile de tip ransomware rămân, în continuare, unul dintre instrumentele utilizate de criminalii cibernetici pentru obţinerea de foloase necuvenite.

Imaginaţia atacatorilor, pe această direcţie, este foarte creativă, aceștia neavând nici o problemă în reutilizarea unor fragmente de cod din aplicaţii deja cunoscute pentru derularea acestui tip de atac.

Pericolul ransomware nu provine numai din faptul că produce pagube financiare dar și din faptul că poate duce la afectarea vieţilor omenești în situaţii în care sunt atacate instituţii din domeniul sănătăţii.

Desigur, enumerarea și analiza tipologiilor de atacuri cibernetice pot fi aprofundate cu elemente tehnice și de context operaţional, dar apreciem că cele mai importante elemente care trebuie evidenţiate și puse în aplicare în mod imediat sunt următoarele:

  • Creșterea nivelului de conștientizare a utilizatorilor de Internet despre pericolele existente în mediul online, despre modul de manifestare al acestora precum și despre măsurile de securitate ce trebuie aplicate pentru evitarea acestora;
  • Cooperarea între entităţile de stat, private și mediul academic pentru stabilirea unei abordări comune în ceea ce privește combatarea diferitelor tipuri de manifestare a ameninţării cibernetice;
  • Semnalarea către CERT-RO a unor astfel de incidente/tentative, în scopul prevenirii materializării și extinderii acestora.
Cătălin Aramă
Autor: Cătălin Aramă

BIO

Cătălin Aramă este Directorul General al Centrului Național de Răspuns la Incidente de Securitate Cibernetica (CERTRO). Cu peste 15 ani de experiență în industria IT, acesta a deținut funcții de conducere, atât în mediul public, cât și în mediul privat. El a fost președinte al Clusterului IT Dunărea de Jos și administrator al primului  Software Park din România, precum și președinte al Centrului Național România Digitală, instituție în subordinea Ministerului Comunicațiilor și Societății Informaționale. Dl. Aramă este doctorand la Academia de Poliție Alexandru Ioan Cuza, Şcoala Doctorală de Ordine Publică şi Siguranţă Naţională și deține un Master în Drept și Administrație Publică Europeană.

75

ITUÎn anul în care sărbătorim aniversarea de 10 ani a programului mondial „Child Online Protection”, dorim să evidenţiem implicarea Swiss Webacademy, editor al Cybersecurity Trends, în cadrul acestuia.

Mulţumită Swiss Webacademy, cele mai recente versiuni ale ghidurilor pe tema Child Online Protection (COP) au fost traduse în limba română și promovate, iar expoziţia „Eroi și victime ale Social Media, de la hieroglife la Facebook”, sponsorizată de ITU, a fost organizată în toată România pe parcursul ultimilor ani.

2018 este și anul în care a fost organizată prima ediţie a „Cybersecurity Mediterranean” (Noto, 10-11 Mai) – lansată de Swiss Webacademy, unde directorul COP din cadrul ITU, Carla Licciardello, a avut oportunitatea de a interacţiona cu școlari în timpul tradiţionalei „zile a conștientizării”. Caravana de evenimente internaţionale PPP, fiecare precedate de „ziua conștientizării” pentru copii și adulţi, a ajuns în acest moment să se compună din 3 congrese macro-regionale (cu evenimente în România, Elveţia și Italia), sprijinite de parteneri instituţionali din 8 ţări.

Iar revista online semestrială Cybersecurity Trends, tradusă în 4 limbi și adaptată contextului specific naţional din Franţa, Italia, Marea Britanie, România și Moldova, continuă să apară în mod regulat.

Implicarea Swiss Webacademy, una dintre primele organizaţii care a semnat „Paris Call for Trust and Cybersecurity in Cyberspace”, în timpul evenimentului anual Internet Governance Forum (IGF) confirmă disponibilitatea de a împărtăși experienţe și de a aduce contribuţii de înalt nivel în vederea lărgirii cunoștinţelor asupra ecosistemului în care trăim.

Îndeplinirea și consolidarea acestor obiective au fost realizate prin multă voinţă, energie dar și generozitate de către echipa non-profit de la Swiss Webacademy. Iar acest lucru trebuie subliniat, mai ales în contextul acestui an, când s-a înregistrat o scădere a evenimentelor neutre la nivel internaţional.

Cu acest nou număr al Cybersecurity Trends dedicat unor subiecte foarte fierbinţi, editorii revistei își propun să pună în valoare, cu obiectivitate, puncte de vedere ale unor cercetători, specialiști și experţi. Este de menţionat faptul că, de la utilizatorii și profesioniștii din domeniul securităţii la „vânzători”, toţi au o preocupare comună: fragilitatea oricărui sistem, în special în ceea ce privește interfaţa sa umană, în cazul în care instrumentele tehnologice și abilităţile umane nu sunt perfect „sincronizate”. Încă o dată, implicarea noastră în construirea continuă a unei culturi a riscurilor digitale va fi elementul care va da acestei performanţe fie o valoare adăugată, fie va reprezenta o sursă suplimentară de risc.

Vă dorim, dragi cititori, un 2019 cu multă sănătate! Lectură plăcută!

Marco Obiso
Autor: Marco Obiso,
Cybersecurity Coordinator, International Telecommunication Union, Geneva

53

Coperta acestui număr conţine fotografia unui telefon Nokia fabricat exact acum 20 de ani, cu tehnologia 2G, ultima de dinainte de „revoluţia 3G”, cea care ne-a adus internetul pe micile ecrane ale telefoanelor noastre mobile. Dar această „revoluţie”, care totuși a antrenat costuri mari și mergea destul de slab, nu a fost nimic în comparaţie cu ce ne așteaptă, adică trecerea la GA, care va multiplica de 30 de ori viteza datelor accesate sau transmise de pe un dispozitiv mobil.
Datele noastre, pentru care au fost create și implementate nu doar GDPR dar și o avalanșă de acte normative și regulamente de securitate, vor fi centrale într-un nou ecosistem unde nicio lege sau regulament nu ne poate fi de ajutor. Utilizatorul individual, singur, va folosi sau nu smartphone-ul său punând, sau nu, în

pericol întreaga societate în care evoluează: familie, prieteni, loc de muncă și așa mai departe.

De peste un an omul a depășit deja cu ușurinţă cantitatea de date citite, elaborate sau trimise pe dispozitivele sale „smart” faţă de datele folosite prin intermediul propriului laptop.

Dar un smartphone nu este un laptop. Este o verigă extraordinar de slabă, nesigură și ne-securizabilă, pusă în mâinile noastre. Mai bine spus, pusă în buzunarele noastre pentru a ne monitoriza toată viaţă, în primul rând de către GAFAM, în cazul în care nu am setat la maxim parametrii de confidenţialitate și am ales să nu avem instalat niciun app în plus faţă de cele care ne sunt impuse de către producător.

În aceste vremuri apar cam 400 de aplicaţii pe zi, unele reale iar altele criminale care le imită pe cele reale. Nicio companie de antivirus nu va putea să fie atât de eficientă împotriva acestora din urmă, deoarece un app poate fi la fel de complicat ca și un întreg program software. Legăturile cu cloud-ul și cu alte instrumente, dar și blocajul lor vor deveni un fel de „ultimă linie de apărare înainte ca un malware încărcat pe un telefon să infecteze tot sistemul, de la laptop la cloud și la servere”.

Ce ne așteaptă este evident deja încă din 2017, când am avut de-a face cu malware-ul financiar „Cobalt/Carbanak”. Criminalii au datorat o mare parte din succesul lor si din miliardele de USD furate download-ului pe smartphone-uri a unui simplu joc, Jewels, în varianta sa falsificată. De la smartphone virusul a ajuns la servere, și astfel și-a făcut datoria.

Și mai periculoase sunt acele spywares sau aplicaţiile care activează și folosesc smartphone-ul dvs. prin buna voinţa a stăpânului lor, cum este camera video sau simplul microfon, deoarece sunt de ce în ce mai performante. Nu mai suprasolicită bateria, nu mai determină telefonul să aibă comportamente bizare, practic acestea nu se mai pot identifica la nivelul sistemelor prin niște anomalii funcţionale majore. În această perioadă istorică în care războiul economic este în vârful priorităţilor statelor dar și al companiilor private aceste unelte vor cunoaște o creștere exponenţială, mai ales în Europa, unde continuăm să avem întâlniri la vârf și meeting-uri strategice cu telefoanele și tabletele pe masă…

Ceea ce veţi face cu telefonul mobil (da, telefonul încă ar trebui să nu fie primul computer din viaţa noastră) vă va influenţa viitorul. În bine, dacă sunteţi precaut și folosiţi avantajele acestei acceleraţii exponenţiale a vitezei de transmitere, sau în rău, dacă descărcaţi orice, de oriunde…

Până atunci însă mai avem de sărbătorit un Crăciun și un început de an pe care eu și toată echipa de redacţie vi le dorim să le aveţi cât mai sănătoase și fericite!

Laurent Chrzanovski
Autor: Laurent Chrzanovski

BIO

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think-tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

2760
Sergiu Banyai
Prefață

Raportul se bazează pe datele furnizate de instrumentele interne ale F5 Networks ce monitorizează activitatea malware în Internet, folosite de F5 Security Operations Center (SOC) pentru identificarea atacurilor informatice noi, analiza comportamentului acestora și a modului în care influenţează ţintele asupra cărora sunt direcţionate. Datele din raport nu au un caracter exhaustiv, ci acoperă doar mostrele de malware analizate cu „f5 Threat Monitor Tool”. Acesta este utilizat de către echipa F5 SOC și echipa extinsă de cercetare pentru strângerea și analiza mostrelor noi de malware „in the wild”, decriptarea configuraţiilor acestora, și folosirea rezultatelor analizei lor ca și input pentru produsul WebSafe sau generarea de rapoarte pentru clienţii acestui produs. Mulţumiri lui Ilan Meller, Manager F5 SOC & Threat Research și lui Doron Voolf, Malware Analyst, pentru ajutorul dat la elaborarea acestui raport.

Atacuri tip malware ce au vizat organizațiile bancare din România

Programele malware financiare reprezintă porţiuni de cod ce par a executa operaţiuni dorite de utilizator, dar capturează datele clientului pentru a executa de fapt tranzacţii frauduloase. Victimele pot fi atrase în a-și instala componenta malware fie prin mijloace de Social Engineering (de cele mai multe ori campanii tip SPAM) sau pot descărca aceste componente prin vizitarea paginilor web maliţioase ce exploatează diverse vulnerabilităţi ale clienţilor (Drive by Downloads).

Printre tehnicile uzuale folosite de componente malware financiare se numără:

  • Programe de acces remote ce conţin și componente tip SOCKS Proxy
  • Keylog-ere & from grabbing – pentru furtul credenţialelor
  • Furtul de informaţii din fișierele cookie și ale certificatelor client
  • Atacuri tip Man in the Browser (MITB) – modificarea aplicaţiei de e-banking în componenta client și injectarea de JavaScript maliţios pentru furtul de informaţii adiţionale(ex: 2FA – componente de autentificare cu 2 factori). Atacurile MITB permit modificarea fișierelor de configurare pentru malware, în sensul că aceste fișiere de configurare conţin reguli tip “webinject” pentru a determina ce cod maliţios JavaScript va fi inserat în funcţie de numele de domeniu accesat de către utilizator
Despre TrickBot, pe scurt

În noiembrie 2015, malware-ul Dyre, ce era extrem de prolific la vremea respectivă și ameninţase nenumărate instituţii bancare în întreaga lume, dispare din mediul online aproape peste noapte. Abia în februarie 2016, autorităţile ruse au anunţat că au arestat o mare parte din grupul implicat în generarea și coordonarea atacurilor malwareului Dyre la nivel global. De atunci nu s-a mai auzit nimic despre respectiva grupare, dar s-a speculat că membrii acesteia care au reușit să evite arestarea s-au integrat în alte grupări ale criminalităţii informatice (http://www.reuters.com/article/ us-cybercrime-russia-TrickBot-exclusive-idUSKCN0VE2QS ) La începutul lunii septembrie 2016, apărea o nouă variantă de malware autoîntitulat «TrickBot», având multe similitudini cu malware-ul Dyre. Printrea acestea: un loader aproape identic, mecanisme de criptare și decriptare, precum și o structură similară a fișierelor de configurare. (http://www.threatgeek.com/2016/10/trickbot-the-TrickBot-connection. html )

Există însă și câteva diferențe notabile:

  • Metoda de programare, ce pare a fi opera unui alt programator sau echipe de dezvoltare. TrickBot este scris majoritar în C++, spre deosebire de Dyre, scris predominant în C;
  • TrickBot folosește Task Scheduler și COM pentru persistenţa în sistemele infectate, în timp ce Dyre rula comenzi direct în sistemul infectat;
  • Spre deosebire de algoritmii de criptare folosiţi de Dyre (SHA256 pentru hashing și criptare AES), TrickBot folosește Microsoft Crypto API pentru operaţiile de criptare;
  • Infrastructura performantă pentru Command

Dyre o utiliza nu se regăsește însă la TrickBot. Aceste diferenţe indică faptul ca TrickBot reprezintă o variantă îmbunătăţită a malware-ului Dyre, în plus, întrucât TrickBot nu face eforturi deosebite pentru a-și ascunde prezenţa în sistemele infectate, se presupune că acesta este încă în proces de dezvoltare.

Articole de pe blogul F5 tratează modul de acțiune al diferitelor versiuni :

  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-expands-global-targets-beyondbanks- and-payment-processors-to-crms
  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-focuses-on-wealth-managementservices- from-its-dyre-core
  • https://f5.com/labs/articles/threat-intelligence/ malware/trickbot-rapidly-expands-its-targets-in-augustshifting- focus-to-us-banks-and-credit-card-companies
TrickBot: paginile web malformate (false)

Una din multele funcţionalităţi pe care Dyre le prezenta, ce îl diferenţiau de alţi malware cunoscuţi din mediul de online banking, a fost cea de “pagină falsă”. Aceasta a fost ulterior înglobată și în TrickBot și se manifesta în momentul în care sistemul client infectat (victima) încearcă să se conecteze la pagina de e-banking, TrickBot interceptând cererea și servind o pagină falsă de pe unul din serverele C&C. Folosirea funcţiei “send”a browser-ului Serverul atacatorului răspunde cu o pagină de login falsă. Deși respectiva pagină web pare identică cu cea originală a băncii, componentele HTML si JavaScript de fond sunt foarte diferite și par a fi construite manual. Una din diferenţele majore le reprezintă bloc-ul JavaScript, comun pentru toate paginile false ce conţin configuraţia pentru o anumită bancă, cum ar fi informaţiile ce urmează a fi interceptate din pagina de login. După încărcarea paginii false, componenta JavaScript va interoga constant serverele C&C, trimiţând cereri către “/!/ping” URL . După ce victima completează câmpurile login, o cerere ce conţine credenţialele interceptate este trimisă către “/!?new=1” URL , și se așteaptă un răspuns de la server-ul C&C. Răspunsul conţine un număr ce indică perioada de timp în care malware-ul va sta în stare latentă, fără a mai intercepta cererile de login pentru respectiva bancă. Pagina JavaScript falsă va confirma timpul prin emiterea unei cereri (“/!/ go_skip?time=[Amount of time to sleep]”) , urmată de un răspuns al serverului C&C ce va redirecta victima către pagina originală a băncii. În plus, ultimul răspuns al serverului C&C va conţine un header unic, interpretat intern de malware, cu o valoare ce indică timpul de latenţă. 44 – Cybersecurity Trends Din perspectiva victimei, dupa introducerea informaţiilor în form-ul de login, i se va servi fie o pagină alterată de către atacator, sau va fi redirectată către site-ul real al băncii. Pagina alterată poate fi un mesaj de „eroare”, după cum s-a observat în noile versiuni TrickBot, sau o altă pagină care încearcă să intercepteze de exemplu onetime password. Ulterior, malware-ul descarcă un fișier de configurare ce conţine o listă cu URL-urile băncilor ţintă. Fiecare URL e configurat pentru a fi redirectat către un proxy server cu rol de MITM, pentru fiecare bancă fiind asignat un port diferit. Aceasta permite atacatorului să trimită mai departe cererile victimei către site-ul băncii și să returneze date false, incluzând pagini malformate de login, ferestre pop-up și injectare de cod JavaScript/HTML. După ce informaţiile ajung la atacator, acesta poate accesa remote sistemul victimă folosind modulul VNC (Virtual Network Computing) integrat în TrickBot și poate efectua tranzacţii bancare.

Atacuri TrickBot direcționate către băncile din România

În timpul analizei diferitelor variante ale TrickBot, s-a observat că, începând de la versiunea 45 de configuraţie, în lista de bănci ţintă au început să fie introduse și bănci din România.

Exemplu de configurație TrickBot :

MD5: c0360b2b178d7c05ac6e35ef41e67cb9

Config: https://ro.unicreditbanking.net*https://ro.unicreditbanking.net/disp* bhsaviterghbloqznkcpfdasuxym.com 195.133.147.135:443 În configuraţia de mai sus, utilizatorilor ce încearcă să acceseze https://ro.unicreditbanking.net sau https:// ro.unicreditbanking.net le este prezentată o pagină falsă ce se încarcă de pe serverul C&C: 195.133.147.135:443

Config:https://www.ingonline.com* https://www.ingonline.com/ro* cqsdplqchaogzenrvsjftwumbkxy.net195.133.147.135:443

În mod identic, ulitizatorilor ce vor accesa https:// www.ingonline.com sau https://www.ingonline.com/ ro* le este servită o pagină falsă ce va fi încărcată de la același server C&C. URL-urile respective se regăsesc și în versiunea curentă a TrickBot V 81.

Codul sursă al paginii false servite de TrickBot:

Pagina falsă conţine un script numit main_new, responsabil cu manipularea obiectelor prezentate victimei în pagina falsă și cu atacul MITM De asemenea, pagina mai conţine o matrice a parametrilor de configurare în header. Interesanţi sunt:

ID. Identificator unic al băncii, identic cu numărul portului din fișierul de configurare.

Incorrect login error. La fiecare încercare a victimei de login în site-ul băncii, serverul proxy trimite automat cererea către site-ul real la băncii și realizează autentificarea. Daca aceasta eșueaza, va trimite o notificare de eroare către victimă în pagina falsă.

Block message. Dacă atacul MITM reușește, atacatorul poate realiza tranzacţii bancare și poate bloca accesul victimei la cont. Parametrul va stoca mesajul trimis.

Trickbot: analiza atacurilor uzuale

TrickBot poate folosi câteva moduri de atac, cele mai interesante fiind „Redirection Attack’”și „WebInject Attack” Cele două metode sunt explicate mai jos: Redirection attack: reprezintă modalitatea prin care TrickBot interceptează cererea și servește utilizatorului victimă o pagină malformată, falsă de pe unul din serverele C&C, ce impresonează site-ul real de e-banking. (comportamentul este tratat mai sus în capitolul TrickBot: paginile malformate). Webinject attack: reprezintă modul de injectare a unui cod HTML sau JS în conţinutul paginii web, înainte ca aceasta să fie vizualizată de către victimă în browser-ul web, în acest mod malware-ul poate schimba conţinutul câmpurilor cu care victima interacţionează în pagina de login TrickBot interceptează apoi cererile victimei către pagina de login și răspunde cu link-uri externe ce sunt injectate în pagina falsă de login. Conform analizelor mostrelor de TrickBot, statistica indică: Total Targeted Redirect URLs: 453 Total Targeted Webinject URLs:1057 Total targeted URL 1510

Total Romanian Targeted URLs:3

https://www.ingonline.com/ro*

https://ro.unicreditbanking.net/disp

https://ro.unicreditbanking.net*

În cazul anumitor variante alterate, s-au mai identificat și următoarele mutaţii: Total Targeted Webinject URLs:5

Total Romanian Targeted URLs:5

https://www\.raiffeisenonline\.ro/eBankingWeb/login.*

https://login\.24banking\.ro/casserver/login.*

https://www\.homebank\.ro/public/HomeBankLogin/home.*

https://www\.brdoffice\.ro/smartoffice/_mcologon.*

https://www\.mybrdnet\.ro/brdinternetbank/login\.html.*

BIO

Sergiu Banyai, Business Development Manager, Veracomp Europe Experienţa: 25 de ani în proiectarea de soluţii complexe în domeniul IT / Cybersecurity pentru companii mari şi telco.

2191
Nicola Sotira

Dacă analizăm numere când vorbim despre web, factorul actual care ne impresionează este că orice sufix despre orice temă este cel de miliard. IOT, data, mobile vor fi alăturate întotdeauna cu sufixul miliard, care a devenit unitatea de bază, si numerele vor deveni din ce în ce mai mari; acest scenariu va schimba absolut totul în abordările noastre tradiționale și în cultura Internetului. Dintre numere, cel care mi-a atras atenția este cel care ne dovedește că sunt deja 3,8 miliarde de utilizatori de Internet (1) în cadrul unei populații globale de 7,5 miliarde. Acest număr este în creștere an după an și este strâns legat de mărirea mobilității și de numărul de abonamente la rețeaua de date, în principal LTE.

Dacă aruncăm o privire la ultimul raport de mobilitate publicat de către Ericsson, putem să observăm că numai în cursul primului trimestru 2017 a fost constatată o mărire de scară de 107 milioane de noi utilizatori ai reţelei mobile, acești «mobi-utilizatori» ajungând la un total de 7,6 miliarde (2). Dacă citim printre rândurile raportului, reiese și că mobile broadband împinge creșterea abonamentelor în toate regiunile unde noi consumatori, adesea, trăiesc prima lor experienţă pe net prin reţelele mobile și graţie unui smartphone. Cifrele din raport ne indică în mod clar că dispozitivele mobile vor constitui noua platformă de acces la internet și că mărirea numărului de utilizatori de internet este absolut legată de această creștere. Dacă revenim la numărul de utilizatori conectaţi la internet de cca. 3,8 miliarde, putem să avansăm la o afirmaţie încă și mai puternică acum!

Vom avea un număr de vulnerabilităţi în creștere, ceva de ordinul a 3,8 miliarde? Dacă observăm toate incidentele principale, pare să fie de ce în ce mai evidentă corelaţia cu greșelile umane și folosirea necorespunzătoare a tehnologiilor digitale. Poate fi lipsă de cunoaștere? Pe măsură ce datele sau sistemele devin mai complexe, crește posibilitatea apariţiei greșelilor umane. Așadar, nu trebuie să ne mire faptul că greșelile umane sunt responsabile pentru peste o treime din violările de date (3).

Trasformarea Digitală

În ultimul său volum, Alec Ross, fost consilier al Președintelui Obama și al lui Hillary Clinton, scrie despre cum tehnologia digitală poate să aibă efectul de a împinge economia unei ţări. Digitalul transformând așadar fiecare aspect al vieţii noastre, prin forţă va schimba în mod drastic și economia, argumentul lui Ross poate fi rezumat așa: „Pământul era materia primă pentru o lume bazată pe agricultură, resursele minerale pentru lumea industrială, și în consecinţă big data sunt materia primă pe care se bazează și se va baza din ce în ce mai mult economia mondială (4)”. Transformarea digitală promite să schimbe la faţă business-urile noastre și toate sectoarele industriale, dar a fi digital presupune mari schimbări pentru care a investi pur și simplu în tehnologii noi nu este suficient. Organizaţiile trebuie să încerce să proiecteze noi scenarii de afaceri, să revadă modele operative, să atragă și să promoveze talentele digitale. Ori suntem pregătiţi pentru această schimbare? Suntem capabili să măsurăm cunoașterea digitalului în organizaţia noastră? Gândim că va fi o sarcină foarte grea de a o pune în operă? În cazul în care cineva are vreun dubiu despre această revoluţie atât de profetizată, este suficient să observăm faptul că toate întreprinderile care au implementat pe deplin acest proces au avut succes, mărind beneficiile, productivitatea și câștigând competiţii inclusiv împotriva «noilor adversari» care sunt nativ digitali. Această schimbare are nevoie de persoane și de cunoștinţe: nu e numai o chestiune de a implementa sisteme de Inteligenţă Artificială sau de Big Data.

Cyber Theater

În „lumea promisă” a digitalului, trebuie să ţinem minte că scenariul devine de ce în ce mai complex. De acum și până în 2020, Cisco estimează că 99% dintre dispozitive vor fi conectate – vorbim de aproximativ 50 de miliarde de dispozitive – așa că aceasta semnifică că ne vom afla întrun scenariu în care și nodurile periferice vor avea capacităţi computaţionale și vor avea date. Toate contextele în care încă vorbim de un perimetru în care trebuie organizată apărarea sunt istorie antică, noile graniţe fiind constituite de date. Dar înainte să mergem cu imaginaţia noastră până în 2020, putem să facem un exerciţiu asupra anului care vine acum, 2018, când PSD2 va intra în vigoare. Amintim că PSD2 este acronimul pentru Payments Services Directive, Directivă UE pentru serviciile de plată care, în puţine cuvinte, afirmă că băncile nu deţin drepturi de proprietate asupra informaţiilor clienţilor lor, ci clienţii deţin această proprietate. Rezultatul? Băncile vor trebui să dea acces, via un API, către părţile terţe. Clientul va putea să aleagă dacă furnizează accesul către agenţii de bursă, contabili, gestionări de patrimoniu sau simple Apps, iar banca va trebui să accepte accesul. Vorbind despre Apps, această schimbare semnifică că foarte devreme vom fi în măsură de a folosi o a treia parte pentru a gestiona și a controla contul nostru bancar, a transfera bani și a plăti. Este ușor să ne imaginăm că după o scurtă perioadă vom fi în stare de a plăti facturi prin Facebook, Google sau Apple. Dar încă mai mult, vom putea descărca software de la părţile terţe pentru a gestiona banking-ul nostru fără să creăm un cont separat, în afara băncii noastre. Băncile, la rândul lor, studiază strategii și modele de business pentru a-și menţine piaţa lor, dar încă o dată, este vital să avem o reflexie asupra utilizatorilor. Suntem pe deplin pregătiţi pentru această schimbare? Suntem absolut siguri că toţi clienţii cunosc impactul real în ceea ce privește securitatea? Numărul de Apps download-ate de pe pieţe neoficiale este semnificativ, la fel ca numărul de smartphone-uri care au fost deja jailbreak-uite sau root-ate. Suntem chiar siguri că consumatorii au o înţelegere reală asupra impactului că acest comportament va provoca un scenariu descris anterior? Desigur, băncile aplică cele mai puternice măsuri de securitate, însăși normativa PSD2 prevede un framework de securitate care trebuie să crească nivelul acestuia, dar comportamentul uman și cunoștinţele sunt fundamentale pentru a preveni fraudele și daunele. Acest scenariu, pe de alta parte, va lua puţin timp până să devină mai sofisticat, fiindcă în viitor mașinile vor intra în procesul digital de plată. Procesele numite Machine to Machine (M2M) vor fi o evoluţie naturală a acestui parcurs, care, simplificând procesele, va cere utilizatorului o formă a «codificării încrederii»: vom avea încredere în cifrele pe care le vom vizualiza afișate pe smartphone-ul nostru așa cum avem încredere în cash-ul care se află în portmoneul nostru? Scriem aceasta pentru că noi contexte digitale ne vor aduce cu fiecare zi mai aproape spre o valută făcută de 0 și 1 și mai departe de banii reali din buzunar. Această evoluţie a scenariilor și a transformării proceselor implică o schimbare culturală, o mentalitate digitală pe care organizaţiile și guvernele trebuie să o înfrunte, un decalaj cultural care trebuie recuperat atât de rapid pe cât au fost pașii tehnologici făcuţi în ultimii ani. Firește, în viitorul teatru digital ne vor aștepta multe scenarii complexe, cum ar fi automobile autonome, roboţi și mult mai multe într-o lume întotdeauna conectată. Dacă revenim la prezent, putem deja observa schimbările produse de reţelele sociale și mobile. În cadrul organizaţiilor ne aflăm în faţa unui fenomen crescător de BYOD care este prea des subestimat în ceea ce privește aspectul securităţii. Aceste dispozitive accesează broadband-ul prezent în organizaţiile noastre, și conectate cu dispozitive personale schimbă informaţii profesionale și personale, fără să înţeleagă, cel mai adesea, clar riscurile potenţiale. Câţi utilizatori împărtășesc localizarea lor când au o reală necesitate de a face asta? Câte dispozitive de tracking trimit datele sensibile și localizarea în cadrul organizaţiilor noastre? Câţi manageri știu că un smartphone într-o reuniune strategică poate fi periculos? S-ar putea continua cu cloud-ul și utilizarea de software care, poate, partajează datele noastre fără aprobarea noastră, o permisiune acordată pe care prea des utilizatorii o ignoră fiind atât de ușoară acceptarea printr-un simplu click a contractului și clauzelor de instalare.

Comportamentul uman în lumea digitală

O lectură interesantă în acest domeniu este volumul «Psychology of the Digital Age: Humans Become Electric» scris de către John Suler. Suler este profesor de psihologie la Rider University, recunoscut la nivel internaţional ca expert în sectorul emergent al cyber-psihologiei. În cartea sa, Suler explică că persoanele au tendinţa să se gândească la cyber-spaţiu ca la un loc imaginar fără graniţe adevărate, un loc care nu trebuie luat prea în serios (5). Citind volumul putem realiza un fapt pe care laboratoarele l-au pus deja în evidenţă, și anume că persoanele acţionează în cyber-spaţiu în mod complet diferit faţă de cum sunt ele în mod obișnuit în lumea fizică. Sunt relaxate, se simţ fără inhibiţii, se exprimă mai liber și aceeași diferenţă de comportament se referă și la temele legate de securitate. Cercetătorii au definit acest comportament ca «efect de dezinhibare». Este un obicei periculos care poate cauza probleme, și în acest context persoanele au tendinţa să partajeze faptele foarte personale, revelează emoţii secrete, frici, dorinţe, și, după cum am văzut în nu puţine atacuri de inginerie socială, și din când în când vreo parolă sau informaţii confidenţiale. Mai multe studii făcute asupra utilizatorilor au dovedit că percepţia asupra riscului de către aceștia în spaţiul digital este foarte diferită. Laboratoarele Felt&Wagner, de pildă, au examinat comportamentul utilizatorilor cu câteva Apps care iau decizii asupra accesului la dispozitivul și datele proprii ale proprietarului. Rezultatul a fost că atunci când acţiunile cerute erau legate de pierderi financiare, utilizatorii erau mai atenţi, în timp ce atunci când acţiunile erau reversibile, nivelul de apărare coborâse. Au fost la fel remarcate diferenţe substanţiale de comportament între bărbaţi și femei, precum și persoane de 50 de ani și peste, care sunt clasate ca fiind cele mai de risc în comparaţie cu persoanele sub 30 de ani. Un alt studiu interesant a fost condus de către Garg&Camp (7) asupra tematicii percepţiei riscurilor online ca, de pildă, viruși, phishing și furt de identitate. Rezultatul? Când riscurile pot fi foarte ușor confruntate cu cele cunoscute din lumea fizică, sunt mai bine înţelese și luate în considerare.

Security know how

După cum am explicat, ne aflăm într-un scenariu mai complex, dominat de noile tehnologii în care securitatea trebuie să devină și să fie mai mult decât o simplă reflexie. Înţelegem în mod clar că trebuie să deplasăm atenţia de la apărarea simplă la a pune în siguranţă datele, oriunde ar fi ele, de la dispozitive până la cloud. Dar ce putem să spunem despre cunoștinţele persoanelor în domeniul culturii securităţii? Cum deja am menţionat, mai multe analize demonstrează că comportamentul uman și percepţia securităţii în spaţiul informatic sunt foarte diferite și foarte des la risc. Comportamentele la risc care cauzează probleme imediate măresc expunerea unei organizaţii. Dacă ne gândim la complexitatea provocării și vrem să mărim capacitatea de cybersecurity trebuie să elaborăm un plan menit să îmbunătăţească conștiinţele despre această tematică. Un plan de formare ar trebui să implice școli, consumatori și angajaţi ai organizaţiilor. Educarea tinerilor în școli asupra riscurilor și folosirea responsabilă a instrumentelor digitale în spaţiul cyber va ajuta o ţară să își pregătească viitorul, cu obligaţia de a crea un «pipeline» pentru cei mai talentaţi, deoarece știm că lipsa de competenţe în cadrul organizaţiilor rămâne una dintre cele mai mari probleme. Unul dintre aceste programe bazate pe tineri a fost lansat în Anglia, unde lecţiile despre securitatea informatică le vor fi oferite tinerilor începând de la vârsta de 14 ani, un proiect experimental care oferă formări de patru ore pe săptămână despre această tematică. O folosire responsabilă și sigură a instrumentelor digitale și a dispozitivelor de reţea este un must pentru fiecare utilizator, și fiindcă abordarea tehnologică este din ce în ce mai precoce, este bine să începem parcursul educativ pornind din școală. Formarea și instrumentele trebuie să fie adaptate în funcţie de vârstă și de exigenţele destinatarilor; este posibil de a dezvolta proiecte și programe destinate promovării unei cunoașteri potrivite cu lumea digitală, în care copiii și tinerii interacţionează. Un alt exemplu excelent este disponibil online prin iniţiativa code.org, un ONG non profit din SUA. Organizaţiile ar trebui să conducă campanii de sensibilizare care să cuprindă și angajaţi, și clienţi, cu programe focalizate pe încurajarea modificării comportamentului digital fie la birou, fie acasă. Obiectivul este ca persoanele să devină în stare de a înţelege și a adopta politicile propuse de către organizaţie, a preveni și a semnala incidentele și a contribui la schimbul de informaţii.

Concluzie

Transformarea digitală cere un ecosistem sigur pentru a ne oferi avantaje maxime. Dar trebuie și să umplem tranșeea culturală care a fost creată de către aceste instrumente. A spori măsurile de securitate și a realiza o arhitectură digitală sigură și rezilientă trebuie să devină priorităţi pentru toate ţările și priorităţi în agendele guvernanţilor. Pe lângă acest factor, avem nevoie de un plan de formare care să înceapă în școli, pentru că inovarea este un parcurs care trebuie pregătit pentru a crea un «ADN digital» în generaţiile noi.

Surse
  1. source WeAreSocial 2017
  2. Ericsson Mobility Report 2017
  3. 2017 State of Cybersecurity from Ponemon Research Group
  4. The Industries of the Future – Alec Ross
  5. Psychology of the Digital Age: Humans Become Electric – John Suler .
  6. Felt, A., Egelman, S., and Wagner, A survey of smartphone users’ concerns. Proceedings of Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM 2012), ACM Press.
  7. Vaibhav Garg and Jean Camp. End user perception of online risk under uncertainty. IEEE Proceedings of HICCS 2012

2311
Gianluca Bocci

Comunicarea a cunoscut de-a lungul veacurilor o constantă mutare; la început era bazată pe gesturi simple, apoi s-au creat cuvinte și apoi primele sisteme de scrieri. Dar doar odată cu dezvoltarea tiparului și, apoi, cu alte invenții precum telegraful, telefonul și cu dezvoltarea presei a început diseminarea de informații și cunoaștere pe scară largă, ajungând la punctul de a putea influența în mod profund și rapid dezvoltarea socială a mai multor generații.

În aceste circumstanţe politice, «aproape întotdeauna și peste tot» s-a intervenit pentru a disciplina cu folos mediile de informaţie, având ca obiectiv de a împiedica abuzurile și în consecinţă de a proteja cetăţenii, companiile publice și private și nu în ultimul rând statul în sine. Un salt cuantic în transformarea proceselor comunicative s-a întâmplat odată cu utilizarea tehnologiilor digitale, în particular cu utilizarea computerelor și a reţelelor dedicate de date; aceste instrumente, care erau la bază utilizate de către forţele militare și de către comunităţile știinţifice, apoi au devenit accesibile pentru marile organizaţii și, în ultima fază, pentru toţi cetăţenii, cu – cireașa de pe tort – regimul de completă mobilitate pe care îl observăm în ultimii ani. De fapt, reţeaua a doborât în mod definitiv orice barieră spaţio-temporală, permiţând accesul la orice tip de informaţii și la un număr nelimitat de servicii, printre care amintim dezvoltarea celor dedicate relaţiilor sociale; ca exemple, putem cita chat-uri, blog-uri, forumuri și reţele sociale1. Reţeaua a permis așadar, într-un spaţiu “liber”, să se meargă peste modele tradiţionale de comunicare, permiţând personelor, pe de o parte, de a fi întotdeauna și oricum informate asupra faptelor, graţie unui patrimoniu informativ cu dimensiuni infinite și pus la zi în mod constant; pe de altă parte, aceleași persoane pot împărtăși experienţe, opinii și senzaţii personale, devenind pentru prima dată adevăraţi «contribuitori» la informaţie. Din păcate, în acești ultimi ani, reţeaua, în privinţa acestei «libertăţi» așa de lăudate, a pus în evidenţă noi probleme, în particular pe cele de credibilitate a informaţiei, care poate fi alterată și/sau manipulată (așa-numitele fake news), până la punctul în care să se genereze dezinformare, în mod independent ca acest fapt să fie accidental (misinformation) sau intenţional (disinformation); o dezinformare care poate fi folosită pentru cele mai diferite motive precum, de pildă, de a influenţa opinia publică, a instiga la ură, a prejudicia imaginea unei firme, a insulta și/sau ameninţa persoane și multe alte variante… A adopta reguli pentru a avea o informaţie de calitate în reţea devine așadar, zi după zi, o necesitate și o exigenţă din ce în ce mai urgentă.

Câteva inițiative pentru a preveni și a contracara fake news-urile

Pentru a ne da seama de dimensiunea fenomenului nu ne trebuie mult; dacă inserăm în orice motor de căutare fraze precum „aberaţii online”, „cele mai tari fake news online” sau cuvinte cheie similare, găsim pe primele poziţii ceea ce s-a întâmplat „în aparenţă” și cum sunt acestea povestite online1, se spune așadar: «2016 va trece în istorie și ca anul în care am intrat în epoca post-adevărurilor. „Aberaţiile” nu sunt un fenomen născut în ultimele 12 luni, dar în acest arc temporal în fiecare zi mai multe website-uri, blog-uri și conturi au început să prolifereze online zi de zi pentru a lucra în crearea de „fake-news”, dar și numai pentru a genera ură sau nefericire». În practică, găsim de toate, de la fantomatici FocusFocus seismologi care vorbesc în reţea despre comploturi ale instituţiilor care ar avea scopul de a nu plăti daune cetăţenilor victime ale ultimelor cutremure care au lovit Italia centrală, până la falsul că Umberto Eco (deja încetase din viaţă) ar fi încercat, prin declaraţiile sale, să influenţeze referendumul abrogativ din decembrie 2016; putem menţiona și false declaraţii atribuite politicienilor sau – încă mai absurd, ideea despre originile meningitei și cum această boală a fost răspândită peste tot în lume, sau «de toate pentru toţi» despre traseele chimice (chemical trails), microcipuri implantate sub pielea oamenilor pentru a le controla minţile, și nu în ultimul rând, toate falsurile care i-au însoţit fie pe Donald Trump, fie pe HiIlary Clinton de-a lungul campaniilor lor pentru a câștiga președinţia Americii. Exact acest ultim punct a fost reamintit, puţin înainte de vară, de către Hillary Clinton în cursul alocuţiunii sale de la Wellesley College. Fără să facă vreodată referinţă la adversarul său – care a câștigat alegerile – a livrat câteva informaţii interesante: «Veţi absolvi într-un moment în care vedem un asalt total asupra adevărului și dreptăţii. Este suficient să vă conectaţi timp de 10 secunde la reţelele sociale pentru a fi martori direcţi ai acestui fenomen «1 și “În următorii ani, vă veţi confrunta cu râuri de trolli, fie ei online sau în persoană, nerăbdători să vă spună că nu aveţi nimic interesant să spuneţi sau că nu puteţi contribui cu nimic la societate, și ar putea să ajungă să vă definească drept femeie răuintenţionată (nasty woman)». Problem fake news-urilor trebuie să fie în centrul interesului firmelor, în particular al celor care au un grad sporit de expunere mediatică, fiindcă o simplă declaraţie poate avea repercusiuni foarte mari asupra reputaţiei lor, cum s-a întâmplat recent cu Starbucks2. O secundă și întrebarea vine aproape spontan, ce se poate face în faţa acestui fenomen? Dacă observăm cum se mișcă câteva State și cum se organizează cei «big» din reţea, pare că marjele de manevră pot trece prin diferite intervenţii, unele de natură legislativă, altele de natură tehnologică. În Franţa, ca și în Germania, s-au pornit iniţiative pentru a verifica credibilitatea informaţiilor, cu obiectivul de a le elimina pe cele false; de pildă în Germania abia a intrat în vigoare o lege care va obliga toate reţelele sociale care au mai mult de două milioane de utilizatori de a elimina conţinutul care incită la ură (hate speech), publică pagini false și jignitoare, expun ameninţări, și așa mai departe. Enforcement-ul legii va fi garantat de peste cincizeci de funcţionari ai Ministerului Justiţiei care vor controla buna aplicare a legii. Această lege, care intră în vigoare în ianuarie 2018, este completată de o gamă de sancţiuni care, după evaluarea și aplicarea de către același minister, pot merge până la 50 milioane de euro. Franţa, pentru a-și proteja proprii alegători în cadrul recentei campanii electorale menită să numească noul Președinte al Republicii, a însărcinat o societate de fact-checking pentru a semnala în timp real către Facebook prezenţa știrilor false. Și în Marea Britanie, după referendumul despre Brexit, Comisia Media a început o investigaţie pe această tematică. În Italia, în februarie, printr-o iniţiativă parlamentară, a fost anunţată, de către Senatoarea Adele Gambaro1-Actul Senatului n°2688 (XVII Legislatura), primul draft de lege împotriva știrilor false; demersul de a transforma draftul în lege este acum sarcina secţiei 1ª a comisiilor reunite (cea a Afacerilor Constituţionale) și a 2ª (Justiţie). A fost gândită să se potrivească cu toate direcţiunile prezentate în cadrul rezoluţiei 2143 (2017) „Media online și ziaristica: provocări și responsabilităţi“ aprobată în 25 ianuarie 2017 de către Ansamblul Parlamentar al Consiliului Europei. Până şi Uniunea Europeană, prin noua comisară pe digital, Dna. Mariya Gabriel, a luat poziţie pe acest argument și a început consultări publice pentru a găsi o abordare echilibrată, respectuoasă a libertăţii de exprimare a fiecărui cetăţean. Cei «mari» din reţea sunt la rândul lor în plin efort de a înţelege care sunt exact responsabilităţile lor în a gestiona informaţiile, și în particular cele false; în această privinţă, au și făcut un exerciţiu pentru a încerca să înţeleagă natura informaţiei în ceea ce privește credibilitatea sa. Nu este nici o îndoială că există informaţii care sunt flagrant false, și a căror origine are ca singur scop de a produce bani. Prin știri senzaţionale și link-uri care permit redirijarea către site-uri web care nu au nimic de vizualizat cu conţinut prezentat în pagina de pornire, utilizatorul este indus să click-eze diferite publicităţi, care aduc bani celor care le gestionează (click-baiting). Adesea, publicarea acestui tip de informaţie este în contrast cu politica principalelor reţele sociale, care au grijă să le elimine; de asemenea este un procedeu care privește toate informaţiile care sunt clar în contrast cu legile naţionale sau internaţionale, cum ar fi sursele de defăimare. Așadar, zona pe care am examinat-o acum este bine definită, și aceleași reţele sociale nu au mari dificultăţi să intervină. Există însă o zonă gri în care este dificil de a acţiona și în care există riscul de a limita libertatea altcuiva; este suficient să ne gândim la acele informaţii care, și dacă prezintă o distorsiune a realităţii, sunt oricum fructul unor opinii personale care, chiar dacă sunt criticabile, sunt expresia unei libertăţi de gândire care trebuie să fie oricum și întotdeauna garantată. Din acest punct de vedere este foarte ușor de a genera un zgomot de fond, și pentru a da un exemplu concret este suficient să amintim o confruntare care să se nască din puncte de vedere știinţifice care, la rândul lor, sunt dezminţite de către alte studii știinţifice. Aici apare clară dificultatea de a interveni din partea administratorului unei platforme sociale, de fiecare dată se găsește în faţă cu informaţii care, și dacă sunt în contrast cu realitatea faptelor, lipsesc elementele obiective care le-ar justifica eliminarea, fiind o ultimă analiză – rezultată în urma unei dezbateri democratice. Substanţa ideii pentru Facebook este de a preveni și contracara fake news-urile prin implicarea profesioniștilor în informaţie și de a dezvolta instrumente adecvate pentru a ușura sarcinile celor care se vor ocupa de controale. Bazat pe aceste două axe, programul propus de către Facebook este articulat în punctele care urmează:

  • A implica profesioniști ai informaţiei – marile publicaţii, presă scrisă, etc. pentru a aduna sfaturi și sugestii desprecum să amelioreze platforma socială și a publică/recolta în mod general informaţii care să facă din ea un izvor de încredere
  • A elimina toate informaţiile false care, semnalate în timp real de către utilizatori, includ link-uri care trimit la websiteuri terţe care nu tratează deloc același subiect faţă de cel original și prezintă conţinut publicitar; o atenţie deosebită este acordată noilor instrumente software care, folosind tehnici de Machine Learning, facilitează identificarea informaţiilor false, care oricum vor trebui să fie verificate înainte de a fi eliminate. Există de fapt un risc ridicat de a scoate în evidenţă falsuri pozitive, măcar până când aceste tehnologii nu vor ajunge la o fază de înaltă maturitate
  • A elimina conturile false semnalate de către utilizatori, cu scopul de a crea relaţii între persoane reale, bine identificabile, care, în consecinţă, se vor simţi mai responsabilizate când va veni vorba despre ce publică fiecare dintre ei; în acest mod, se reușește o limitare a fenomenelor de tip «hate speech» sau «cyberbullying». Și aici se dezvoltă instrumente care folosesc Machine Learning și se mărește echipa, care după semnalizare va face toate demersurile pentru a verifica și a elimina sau nu conturile examinate
  • A furniza utilizatorului o serie de informaţii în plus pe temele care îl interesează, în așa fel încât acesta să poată să își dea seama dacă a dat de o știre falsă sau alterată. La sfârșitul lui 2016 în Franţa, Germania, SUA și Olanda, s-au pornit o serie de experimente bazate pe implicare a așa-numitor fact checking organizations. Când un utilizator observă că o știre este falsă, semnalează aceasta reţelei sociale, care la rândul său o transmite la fact checking organization (nu prin forţă, o singură organizaţie) și așteaptă rezultatul analizelor. Dacă se dovedește că este vorba de un fals, știrea nu este eliminată dar este marcată că este potenţial “discutabilă”. Din acel moment, fiecare utilizator este conștient că știrea cu pricina a fost contestată și evaluată și, dacă dorește, poate să afle mai multe despre motivele care au motivat reţeaua socială, chiar dacă în mod indirect, să îi dea acel calificativ. Suplimentar, sunt puse la dispoziţie articole așa-zis corelate (related articles) prin care utilizatorii au la dispoziţie linkuri care retrimit către paginile care tratează despre aceeași tematică și, în consecinţă, permit aprofundarea propriei cunoașteri despre știrea care ne interesează
  • A lansa campanii de sensibilizare, implicând de pildă școli, pentru a furniza sfaturi utile pentru a îmbogăţi propriul sens critic și astfel pentru a fi mai bine în stare să identificăm știrile false. În mod general, reiese din consideraţiile precedente că există o activitate bogată în jurul acestei tematici și că încă sunt multe de făcut, atât din punct de vedere normativ cât și din punct de vedere tehnologic, cu o utilizare sporită de instrumente de tip machine learning dar, mai presus de toate, cu o conștientizare majoră a utilizatorilor în evaluarea știrilor
Concluzii

Inteligenţa artificială (AI) este o știinţă care dă mașinilor inteligenţă și învăţare automată, mai bine cunoscută sub denumirea de Machine Learning, care este una dintre metodele de a crea AI. În particular, prin tehnici de Machine Learning, se oferă sistemelor capacitatea de a învăţa în mod autonom, pas cu pas, să fie în stare să îndeplinească sarcini din ce în ce mai complexe, și, fără să fie necesar, să le programezi. Algoritmii de învăţare, după mai multe cicluri de evoluţie, ar trebui de fapt să dezvolte o cunoaștere empirică a problemelor, la modul de a evalua și a recunoaște informaţii. Machine Learning este folosit în scopuri multiple, în zona securităţii, de la recunoaștere facială la identificarea imaginilor ilegale, de la recunoașterea spamurilor, la identificarea fraudelor potenţiale și chiar până la sistemele anti-terorism: și evident aici propunem o listă care nu este nici măcar pe aproape exhaustivă asupra posibilelor aplicaţii ale acestei tehnici. Pentru anumite aplicaţii specifice, Machine Learning este însă încă imatură, și dacă comunitatea știinţifică încearcă să remedieze din defectele sale și investiţiile sunt în creștere constantă; în această situaţie ne aflăm și în ceea ce privește fake news și individualizarea lor. Pentru nu puţini, nu este încă clar dacă machine learning va putea să fie reţinută ca o soluţie potrivită pentru a contracara știrile false. Ceea ce putem spune cu o rezonabilă certitudine, indiferent de gradul de maturitate al tehnicii menţionate, este că ne aflăm în faţa unei problematici care nu poate să fie înfruntată numai pe cale tehnologică, și care are neapărat nevoie de implicarea personelor umane. Pe de altă parte, este evident pentru oricine că conţinutul unui mesaj poate să aibă semnificaţii multiple care merg mult mai departe decât cele ale unui singur cuvânt. Instrumentele actuale de machine learning redau rezultate interesante când este vorba de a individualiza anumite “pattern-uri”, dar mult mai puţin interesante sunt cele redate când trebuie să se intre în semnificaţia unei informaţii, mai ales când este vorba de conţinut care tinde către satiră, umor sau exagerare voluntară. A revela în mod automat un fake news poate așadar să devină o sarcină extrem de grea dacă ne gândim la partea semantică a problemei; la fel dacă știm că trebuie să stabilim care este informaţia de referinţă pe care trebuie să o luăm ca bază certă pentru a începe o analiză. Este așadar o provocare majoră pentru care, pe de o parte avem conștiinţa că drumul de parcurs este încă foarte lung dar, pe de altă parte, știm că un efort mare va trebui făcut de către comunitatea știinţifică și de către companii, inclusiv prin activarea programelor de cercetare știinţifico-industrială și dezvoltării experimentale. Nu este deloc imposibil, cu voinţă, dacă ţinem cont de toate posibilităţile de finanţare oferite de către programe ad hoc naţionale și europene.

BIO

Gianluca Bocci, dipl. Engineering, Sapienza University (Roma), deține un Master de la Bio-Medical Campus din Roma în «Homeland Security – Systems, methods and tools for security and crisis management». În prezent este Security Professional Master în cadrul Protecției Informației pentru direcția «Company’s Protection at the Corporate Affairs» a Poștei Italiene. Deține certificări CISM, CISA, Lead Auditor ISO/IEC 27001:2013, Lead Auditor ISO/IEC 22301:2012, CSA STAR Auditor și ITIL Foundation v3; sprijină activitățile CERT și ale Cyber Security District al Poștei Italiene. În acest context, detine o lungă experiență în securitatea aplicațiilor mobile conducând și activități R&D din lumea academică. Înainte să se alăture Poștei Italiene, a fost Security Solution Architect pentru diferite multinaționale IT&C, unde s-a ocupat de diviziile comerciale si de serviciile tehno-economice furnizate clienților din zona enterprise. A acordat o atenție specială aspectelor legate de securitatea informației, Event Management, Security Governance, Compliance și Risk Management.

EDITIE SPECIALA – INTERNET OF THINGS

1710
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1429
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2569
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1528
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1457
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1493
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...