Friday, July 19, 2019
Numarul 4

765
Natalia-Spinu-Trends-No-4
Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD

autor: Natalia Spinu

Domeniul securităţii cibernetice a început să capete noi dimensiuni odată cu creşterea gradului de automatizare a nivelului tehnologic şi extinderea şi amplificarea ameninţărilor cibernetice. În acelaşi timp, evoluţia contextului geopolitic a impus o nouă paradigmă a culturii securităţii naţionale, în care dimensiunea cibernetică capătă o importanţă crescândă alături de celelalte domenii care vizează securitatea naţională. Spaţiul cibernetic se caracterizează prin lipsa frontierelor, dinamism şi anonimat, generând deopotrivă atât oportunităţi de dezvoltare a societăţii informaţionale bazate pe cunoaştere, cât şi riscuri la adresa funcţionării acesteia.

Alături de beneficiile incontestabile pe care informatizarea le induce la nivelul societăţii moderne, ea introduce şi vulnerabilităţi, astfel că asigurarea securităţii spaţiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor implicaţi, mai ales la nivel instituţional, unde se concentrează responsabilitatea elaborării şi implementării unor politici aplicate domeniului de referinţă. Se resimte necesitatea dezvoltării culturii de securitate cibernetică a utilizatorilor sistemelor informatice şi de comunicaţii, adesea insuficient informaţi în legătură cu potenţialele riscuri, dar şi cu soluţiile de contracarare a acestora. Nivelul culturii de securitate cibernetică trebuie adaptat la nivelul ameninţării cibernetice şi în acelaşi timp, cu o mobilizare generală în identificarea valorilor naţionale care vizează resursa umană care trebuie specializată şi implicată în acest domeniu.

Evoluţia recentă a atacurilor cibernetice din RM situează ameninţarea cibernetică printre cele mai dinamice ameninţări actuale la adresa securităţii naţionale. Consider ca domeniul securităţii cibernetice este o dimensiune importantă a securităţii naţionale, asumându-şi angajamentul de a asigura cadrul normativ în domeniu pentru a face faţă cerinţelor internaţionale şi care să faciliteze, cooperarea bilaterală şi schimbul prompt şi eficient de informaţii între autorităţile competente pentru combaterea utilizării tehnologiei informaţiei în scopuri teroriste sau criminale.

Pe parcursul ultimilor ani, am fost cu toţii martori cum companiile mari, avansate tehnologic, au devenit victime ale atacurilor cibernetice. Marele corporaţii investesc milioane în dezvoltarea tehnologiilor și au drept angajaţi cei mai calificaţi specialiști în domeniul securităţii, dar totuși acest fapt nu le protejează de infractorii cibernetici și suportă pierderi colosale în urma atacurilor din spaţiul virtual.

Adesea, investiţiile în tehnologii se egalează cu zero, atîta timp cît, investind în infrastructura de securitate IT, nu se atrage atenţie la educarea și informarea utilizatorilor simpli din cadrul companiilor. De regulă, angajaţii sunt instruiţi în domeniile lor de specialitate, cum ar fi tehnologie, contabilitate, vînzări, etc., dar mai puţin în domeniul protecţiei datelor companiei de potenţialii infractori din exterior.

Nu ar fi corect să ne bazăm pe faptul că angajaţii ar ști intuitiv regulile de comportament și pericolele spaţiului cibernetic, ca să poată proteja informaţia de serviciu. Din acest motiv, se impune necesitatea întocmirii și implementării unui program eficient de securitate în cadrul companiei, aplicarea căruia va asigura angajaţii cu pregătirea necesară de cunoștinţe, care ar include regulile de comportament în cazul unor atacuri cibernetice manifestate sub orice formă e-mailuri, mijloace de program maliţioase, etc.

Lipsa unui program eficient de securitate cibernetică a afectat și Republica Moldova. Astfel, în luna ianuarie curent, mai multe institutii din Moldova au fost afectate de un atac cibernetic masiv, care s-a efectuat prin intermediul diseminării, de către atacatorii cibernetici, a mesajelor spamphishing. Atașamentul din aceste mesaje conţinea un program maliţios de tip ransomware – «CTB Locker». Profitînd de credulitatea recipienţilor, acest program maliţios a criptat fișierele victimelor, care ulterior au fost șantajate cu o răscumpărare în moneda electronică „Bitcoin”, pentru recuperarea informaţiilor criptate.

Aceste experienţe ne vorbesc încă o dată despre faptul că indiferent de cît de bine este proiectat un sistem de protecţie a informaţiei, aceasta nu va fi eficient, atîta timp cît angajaţii nu vor conștientiza responsabilitatea pe care o poartă și nu se vor informa referitor la normele de comportament, necesare pentru protejarea datelor și resurselor informationale care apartin institutiei.

Pierderile cauzate de atacurile cibernetice au demonstrat necesitatea întreprinderii unor măsuri speciale pentru asigurarea conștientizării în domeniu securităţii cibernetice la nivel naţional. Prin urmare, măsurile de soluţionare a problemei date, alături de alte probleme din domeniul securităţii cibernetice, au fost incluse în „Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”, aprobat de către Guvern pe data de 29 octombrie 2015. Programul are drept scop crearea unui sistem de management calitativ pentru asigurarea securităţii cibernetice și include măsuri de sporire a conștientizării importanţei securităţii cibernetice, precum și informarea cetăţenilor și angajaţilor despre potenţialele pericole de utilizare a Internetului și a poștei electronice. La fel, acesta are drept scop asigurarea întreprinderii unor pași concreţi pentru protejarea întreprinderilor și guvernului de atacuri cibernetice, fraudă, furt de identitate și alte activităţi maliţioase.

O altă măsură întreprinsă pentru sporirea gradului de conștientizare în domeniul securităţii cibernetice este organizarea anuală a Conferinţei internaţionale în domeniul securităţii cibernetice, începînd cu anul 2013. Acest eveniment este parte a Lunii Securităţii Ciberne tice care este octombrie, și are drept scop consolidarea cooperării dintre sectorul public și privat, precum și intensificarea colaborării internaţionale pentru o mai bună rezistenţă a securităţii informaţionale în Republica Moldova în faţa pericolelor din spaţiul cibernetic.

Totuși, constatăm cu regret că, în pofida tuturor eforturilor, societatea moldovenească continuă să subestimeze pericolele din spaţiul cibernetic. Din păcate, în cadrul instituţiilor de stat și a companiilor private încă nu este o cultură elementară de utilizare a tehnologiilor informaţionale. Pentru a redresa situaţia, CERT-GOV-MD organizează sistematic instruiri, care au drept scop sporirea conștientizării pericolelor din spaţiul cibernetic. Astfel, în lunile octombrie – noiembrie al anului curent, s-a desfășurat o nouă rundă de instruiri în domeniul securităţii cibernetice, pentru colaboratorii unor instituţii guvernamentale. Ca urmare a estimărilor rezultatelor obţinute, s-a constatat că în jur de 57% din angajaţi instruiţi deţin cunoștinţe generale în domeniul securităţii informaţionale, 24% deţin cunoștinţe bune, iar la 19% din angajaţi deţin un nivel foarte scăzut de cunoștinţe care trebuie îmbunătăţit considerabil.

Conștientizarea în domeniul securităţii cibernetice este o componentă critică în protejarea celui mai important activ al unei organizaţii – a datelor sale, iar instruirea utilizatorilor care are drept scop identificareaameninţărilor și evitarea riscurilor. Aceste elemente vor asigura securitatea cibernetica, care este un proces continuu și sistematic si trebuie sa devină o parte indispensabilă a culturii de securitate în cadrul oricărei organizaţii.

1479
virgil_spiridon
 Adjunct al inspectorului general al Poliţiei Române  Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliţia Română  Coordonator în cadrul proiectului european EMPACT/ EUROPOL, pe linia criminalității informatice (Fraude cu cărți de credit) http://www.politiaromana.ro; www.efrauda.ro

autor: Virgil Spiridon

Comerţul electronic si tranzactiile online au cunoscut o evoluţie fulminantă, vânzările la nivel global fiind estimate la 1,6 trilioane USD în anul 2015, cu aproape 21% mai mult decât anul trecut, conform studiului realizat de eMarketer (2014). În acest context, fraudele privind mijloacele de plată electronică reprezintă un nou orizont pentru crima organizată, care de-a lungul timpului a reușit să rafineze modurile de operare, crescând în mod exponenţial oportunităţile de fraudă în acest domeniu.

Activităţile infracţionale din domeniul fraudelor cu carduri bancare reprezintă un complex de activităţi care vizează în primul rând compromiterea și obţinerea, în mod fraudulos, a datelor informatice confidenţiale înscrise pe banda magnetică a cardurilor, iar în cele din urmă utilizarea acestor date la contrafacerea de cărţi de credit și retragerea frauduloasă de sume de bani din bancomate sau achiziţionarea de bunuri sau servicii în mediul online.

Fraudele privind mijloacele de plată electronică se pot realiza prin mai multe metode, și anume:

Skimming-ul – montarea de echipamente electronice artizanale (guri de bancomat/skimmer și sisteme miniaturale video) la bancomate (ATM-uri – Automatic Teller Machines), pompe de benzină, staţii de plată a taxelor de autostradă (Europa de vest), sau POS–uri (Point of Sales), cu scopul de a copia datele de pe banda magnetică a cardurilor și înregistrarea video a codurilor PIN;

Skimmerele sunt dispozitive de mici dimensiuni care sunt utilizate în scopul de a copia și a stoca sau a transmite datele de pe banda magnetică a cardului. O dată ce cardul este trecut prin dispozitivul de skimming, datele sunt copiate, iar codul PIN este înregistrat de regulă prin intermediul unor camere video instalate la ATM-uri sau POS-uri. Aceste date sunt ulterior utilizate pentru clonarea cardurilor bancare sau sunt vândute altor grupări organizate care le vor utiliza pentru retragerea de numerar sau achiziţionarea de bunuri, de regulă din străinătate.

Furtul cardului original și utilizare după caz (daca este cunoscut codul PIN) la retragerea de bani sau plăţi frauduloase online sau accesul fizic și copierea prin fotografiere sau înregistrare video a celor doua feţe ale cardului pe care se află datele acestuia;

Utilizare de echipamente electronice aparent legale (cititoare de carduri bancare /skimmere/”pisicuţe”) de către angajaţii unor companii/magazine unde plata produselor sau a serviciilor se face la POS.

De cele mai multe ori, deţinătorul cardului nu este conștient că datele au fost compromise până în momentul în care sesizează în extrasul de cont tranzacţiile neautorizate sau este informat de către un angajat al instituţiei bancare.

Introducerea tehnologiei EMV (cardurile cu CIP), în special în Europa, a determinat importante mutaţii în domeniul acestui gen de fraude deoarece acest tip de card nu poate fi contrafăcut.

Din motive comerciale, majoritatea instituţiilor bancare menţin în continuare cardurile cu bandă magnetică, astfel că în prezent există pe piaţă atât carduri cu CIP cât și cu bandă magnetică, fapt care permite în continuare copierea datelor existente pe bandă magnetică, contrafacerea cardurilor și efectuarea de tranzacţii frauduloase, însă acestea sunt posibile în zone din afara Europei, respectiv S.U.A., America de Sud, Asia de Sud-Est.

O alta metodă de fraudă cu carduri bancare, deși din punct de vedere al încadrării juridice nu se supune prevederilor legale referitoare la infracţiunile cu instrumente de plată eletronică, fiind practic un caz de furt, este metoda denumită generic „furculiţa” (reversal transaction). Astfel că prin utilizarea unui dispozitiv metalic, în urma efectuării unei tranzacţii la bancomat, se putea bloca suma în cauză în fanta unde se eliberează banii din ATM, după care era sustrasă, fără ca respectivul cont, atașat cardului, să fie debitat.

Prezenţa sumelor mari de bani în ATM-uri a atras dintotdeauna atenţia infractorilor care, dacă la început se orientau spre furtul fizic al bancomatului și apoi spre sustragerea banilor din interior, în prezent au reușit, prin utilizarea unor softuri dedicate de tip malware, să manipuleze sistemul informatic al bancomatului și să îl determine să elibereze sume de bani fără a se folosi instrumente de plată electronică.

Atacurile de tip phishing/spear-phishing, care în decursul timpului au cunoscut diverse forme de manifestare, de la atacurile ce imitau paginile web ale unor instituţii bancare/financiare, la atacuri ce imitau paginile unor branduri online renumite, toate având același scop, respectiv solicitarea de date personale ale posesorului de card (date de identitate, adrese de email, telefon, alte informaţii) dar și datele înscrise pe cele doua feţe ale cardurilor bancare, respectiv: numărul cardului, numele/prenumele posesorului, codul CVV și data expirării cardului. Important de menţionat este faptul că datele obţinute prin această metodă pot fi folosite în special la tranzacţiile online.

Phishing-ul este o activitate infracţională ce constă în obţinerea în mod neautorizat a unor date confidenţiale, folosind de regulă însemnele personale ale unei instituţii.

Spear-phishing-ul este o activitate de phishing ce vizează doar anumite persoane sau grupuri dintr-o organizaţie.

Astfel, prin mesaje email de tip spam, utilizatorul este îndrumat să acceseze un site care imită site-ul unei instituţii cunoscute și i se solicită sub diferite pretexte date de autentificare sau informaţiile cardurilor bancare. Odată ajunse în posesia infractorilor cibernetici, aceste date sunt utilizate în mod neautorizat pentru achiziţionarea online de bunuri și servicii (Card not present fraud).

Atacurile de tip malware – utilizarea de produse software de tipul malware, viruși, sau alte tipuri de softuri maliţioase, care duc la compromiterea sistemelor informatice sau a bazelor de date ce stochează sau manipulează datele cardurilor în procesul de acceptare/autorizare a plăţilor online.

Începând cu anul 2013, în străinătate au fost identificate primele ATM-uri infectate cu programe de tip malware în vederea efectuării de retrageri frauduloase. Trebuie menţionat că în acest caz nu se targetează contul unei persoane care utilizează ATM-ul, ci chiar ATM-ul în sine. Pentru infectarea cu malware a ATM-ului este necesar accesul fizic la portul USB al ATM-ului sau la sistemul de citire al mediilor optice (CD sau DVD). Malware-ul odată instalat va transmite un cod ce va accesa interfaţa utilizată pentru retragerile de numerar. Ca măsuri de prevenire, trebuie menţionat în primul rând că instituţiile financiare vor trebui să se asigure că software-ul ATM-ului beneficiază de toate update-urile și patch-urile necesare. De asemenea, trebuie impiedicat accesul fizic al persoanelor neautorizate la porturile USB și la sistemul de citire al mediilor optice precum și existenţa unor alarme și a unor parole de acces la sistemul de operare care să împiedice un eventual acces neautorizat.

Forumurile de carding/hacking reprezintă un spaţiu cibernetic care permite relaţionarea şi schimbul de informaţii, servicii şi produse, în mod anonim, între numeroși criminali cibernetici la nivel global. Această piaţă neagră permite accesul la o serie impresionantă de servicii destinate activităţii de hacking. Comunităţile online de acest tip au reguli foarte bine stabilite, accesul făcându-se de regulă pe bază de invitaţie din partea unui membru existent. Utilizatorii forumului sunt notificaţi în mod regulat să schimbe regulat parola de acces pe forum, pentru a împiedica astfel accesul unor persoane din afara comunităţii, iar în caz de nerespectare a acestei reguli, conturile vor fi în mod automat dezactivate. Plăţile pentru serviciile achiziţionate (servicii de tip VPN – Virtual Private Network, credenţialele unor carduri compromise, programe de tip malware, servicii de bulletproofhosting) se fac prin intermediul unei monede electronice, de regulă fiind vorba de Bitcoin sau de PerfectMoney.

Astfel, prin intermediul acestor comunităţi online având membri din toate colţurile lumii, chiar și persoanele fără cunoștinţe aprofundate în activităţi de hacking, pot intra în posesia know-how-ului și a unor date și servicii necesare în activităţi de phishing/ skimming/infectare cu malware a ATM-urilor sau a sistemelor informatice aparţinând instituţiilor financiare.

783
Cătălin PĂTRAȘCU Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice
Cătălin PĂTRAȘCU
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice

Analizând datele procesate de CERT-RO în ultimii ani cu privire la diferite variante de malware, dar și informaţiile publicate în această perioadă de diferite organizaţii ce activează în domeniul securităţii cibernetice, rezultă o tendinţă evidentă de diversificare, specializare și creștere a complexităţii aplicaţiilor maliţioase, fie că vorbim despre APT (Advanced Persistent Threats), botnet, malware financiar (banking botnets) sau Ransomware. Softwareul maliţios reprezintă una dintre cele mai răspândite și periculoase tipuri de ameninţări cibernetice și asta datorită, în primul rând, impactului negativ pe care-l poate avea asupra unui sistem informatic infectat cu un astfel de software.

În prezent există o varietate de tehnici și tehnologii destinate combaterii acestui tip de ameninţare, precum bine-cunoscutele soluţii de tip antivirus, firewall, IDS, IPS etc., încă destul de eficiente, însă rândurile următoare sunt dedicate conceptului de „Application whitelisting”, a cărui implementare îndrăznesc s-o consider de o importanţă deosebită pentru combaterea ameninţării malware.

„Application whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai softwareul autorizat/cunoscut. La prima vedere pare un obiectiv idealist și poate că acesta este unul dintre principalele motive pentru care un astfel de mecanism nu are o rată de implementare ridicată, mai ales în rândul organizaţiilor mici și utilizatorilor casnici. Conceptul în sine nu este ceva nou, reprezentând practic o extindere la nivelul aplicaţie din stiva TCP/IP a abordării de tip „default deny” (nu permite în mod implicit) utilizată de mult timp de tehnologiile firewall.

Implementările corecte de „application whitelisting” presupun:

  • Unelte care să faciliteze identificarea executabilelor și librăriilor software (precum DLL în Windows) și care să permită sau să blocheze rularea acestora;
  • Metodele de identificare a executabilelor și librăriilor software nu trebuie să se bazeze pe reguli slabe, precum numele fișierului sau locaţia acestuia în structura de directoare. Cea mai eficientă metodă constă în identificarea acestora pe baza certificatelor digitale cu care sunt semnate sau, în cazul în care nu sunt semnate, pe baza amprentelor digitale de tip „hash”;
  • Mecanisme de tip ACL (Access Control Lists) care să prevină modificarea de către utilizatori a listei programelor software permise.

În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţărilor de tip malware și există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare:

  • SRP (Software Restriction Policies) – o facilitate conţinută de unealta Group Policy, începând cu Windows XP;
  • AppLocker – unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy.

În cazul sistemelor de operare Linux/Unix, implementarea „application whitelisting” este ceva mai dificilă, în sensul că nu este încă nativ suportată de kernel și nici nu există în distribuţiile de Linux importante o unealtă dedicată acestui lucru. Totuși, există câteva soluţii comerciale care facilitează implementarea, însă acestea depind de versiunea de kernel utilizată și pot apărea probleme în cazul actualizărilor. Alte variante ar fi utilizarea uneltelor SELinux sau AppArmor, deși acestea nu au fost proiectate în acest sens și ar presupune resurse consistente de implementare și testare.

În anumite cazuri implementarea „application whitelisting” se poate dovedi greoaie și consumatoare de resurse, însă beneficiile din punct de vedere al prevenirii infecţiilor cu malware sunt considerabile. Mai mult, se obţine un nivel ridicat de vizibilitate în ceea ce privește fișierele executabile și librăriile software introduse într-un sistem informatic, un aspect extrem de util în procesul de investigare a incidentelor de securitate cibernetică.

În încheiere aș îndrăzni să concluzionez că, deși nicio soluţie de securitate nu poate fi considerată un panaceu, probabil că „application whitelisting” este cea mai eficientă metodă de reducere a impactului generat de malware în cadrul sistemelor informatice utilizate în prezent.

832

cyberint

autor: Oana Maria IORDAN,
Analist, Centrul Național CYBERINT

Evoluţiile tehnologice şi dependenţa din ce în ce mai mare a societăţii de tehnologie oferă oportunităţi de dezvoltare, dar pot cauza deopotrivă vulnerabilităţi, riscuri şi ameninţări atât pentru entităţile publice sau private, cât şi pentru utilizatorii finali. Sistemele informatice sunt în permanenţă ameninţate sau chiar atacate, iar nivelul crescând al accesului la Internet oferă agresorilor cibernetici noi oportunităţi pentru a-şi manifesta intenţiile şi derula activităţile

Aflată în strânsă legătură cu aceste evoluţii tehnologice, ameninţarea cibernetică reprezintă una dintre cele mai dinamice ameninţări actuale şi poate veni din partea unei diversităţi de agresori cibernetici.

Una dintre principalele forme de manifestare a ameninţărilor cibernetice o reprezintă agresiunile cibernetice derulate de către grupările hacktiviste.

Hacktivismul reprezintă manifestarea activismului în spaţiul cibernetic. Format prin combinarea cuvintelor „hack” şi „activism”, hacktivismul presupune derularea de atacuri cibernetice asupra unor sisteme informatice şi pagini web cu scopul de a transmite un mesaj de protest, motivat politic sau social.

Principalul exponent la nivel internaţional al hacktivismului este reprezentat de gruparea Anonymous, şi celulele sale create la nivel naţional. Anonymous este o grupare meritocratică, fără conducere centralizată, specializată atât în activităţi de tip anarhist (proteste, demonstraţii, manifestări) cât şi în derularea de agresiuni cibernetice, cu caracter infracţional.

În ultimii ani, gruparea Anonymous a evoluat către o mişcare politică şi socială globală, al cărei principiu de bază este susţinerea libertăţii de exprimare şi informare. Indiferent de mijloacele de acţiune folosite, de cele mai multe ori ilegale (derularea de agresiuni cibernetice), membrii Anonymous declară că „apără libertăţile fundamentale ale oamenilor”.

Originile grupării Anonymous se regăsesc în anul 2003, atunci când Christopher Poole, un tânăr din New York, a lansat site-ul 4chan.org, un forum anonim de discuţii unde se puteau posta fotografii şi comentarii. Tematica de discuţii s-a diversificat în timp, site-ul devenind locul de întâlnire al multor hackeri anonimi, cunoscuţi sub denumirea de „anons”, care au început să facă schimb de cunoştinţe tehnice şi să discute pe subiecte din domenii diverse.

În anul 2004, din această comunitate de hackeri anonimi a luat naştere gruparea care s-a autointitulat Anonymous, în care oricine putea deveni membru, fără taxe sau proceduri specifice, şi care derula în mediul virtual acţiuni colective sub forma unor farse fără a avea încă obiective motivate de activism.

Abia în anul 2008 gruparea Anonymous a fost pentru prima dată asociată cu activismul şi hacktivismul, odată cu Proiectul Chanology, prin lansarea de acţiuni împotriva Bisericii Scientologice şi a cenzurii pe Internet, ca urmare a încercării acestui cult de a scoate de pe Internet un material video cu Tom Cruise.

Pe 15 martie 2008 au avut loc proteste simultane în mai multe oraşe din lume la care au participat membri ai Anonymous, care au purtat măşti precum cea a personajului Guy Fawkes din filmul „V for Vendetta”. Acţiunile de protest stradal au fost susţinute prin atacuri cibernetice derulate de către hackerii din cadrul grupării asupra site-ului Bisericii Scientologice.

După această reuşită, gruparea Anonymous a devenit cunoscută şi a obţinut atenţia media. Gruparea a adoptat sloganul „Knowledge is free. We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us” şi a început să folosească drept simbol al grupării masca Guy Fawkes.

Promovarea grupării în media a crescut vizibilitatea şi simpatia de care se bucură şi i-a adus un număr din ce în ce mai mare de membri şi simpatizanţi, devenind un grup divers şi amestecat de persoane. Ceea ce îi aduce împreună este motivaţia, apartenenţa la ideologie prin susţinerea aceloraşi obiective, precum şi unele caracteristici comune: de regulă sunt persoane nemulţumite de condiţiile sociale existente, apărători ai drepturilor omului.

Anonymous consideră că „cenzura, îngrădirea liberei exprimări şi lăcomia necontrolată a marilor corporaţii şi a guvernelor ne ameninţă cultura şi însăşi existenţa”. Prin acţiunile sale, gruparea îşi exprimă susţinerea pentru o lume mai liberă, unde „guvernele nu îşi oprimă proprii cetăţeni şi Internetul este menţinut liber pentru oricine doreşte să îl utilizeze” şi îşi propune să apere aceste principii cu orice preţ.

Din 2003 şi până în prezent, gruparea s-a implicat atât în derularea de acţiuni de stradă, cât şi în activităţi infracţionale, prin derularea unor campanii de atacuri cibernetice (operaţiuni), cu scopul de a atrage atenţia asupra unor cauze considerate de grupare legitime şi de a-şi exprima dezaprobarea faţă de decizii şi evenimente importante din viaţa socială, politică, economică, religioasă, etc.

Atacurile cibernetice derulate de către membrii grupării vizează de regulă pagini web şi sisteme informatice aparţinând unei diversităţi de ţinte din întreaga lume: de la instituţii şi agenţii guvernamentale, la entităţi private şi persoane publice, precum şi site-uri de socializare, precum Facebook şi Twitter.

Principalele metode de atac folosite, în vederea afectării integrităţii şi disponibilităţii sistemelor informatice vizate, precum şi accesării/exfiltrării datelor gestionate, rămân cele de tip Defacement4, Denial of Service (DoS)5 şi SQL Injection (SQLi)6. Deşi nu au un grad ridicat de complexitate şi nu necesită cunoştinţe avansate de hacking, aceste tipuri de atac pot fi destul de eficiente.

Pentru a facilita derularea atacurilor, sunt puse la dispoziţia membrilor grupării aplicaţii gata create, precum LOIC (Low Orbit Ion Cannon) sau HOIC (High Orbit Ion Cannon), disponibile gratuit, precum şi tutoriale care explică modul în care pot fi derulate atacurile cibernetice.

De-a lungul timpului, gruparea Anonymous a derulat o serie de operaţiuni cibernetice majore la nivel internaţional, de susţinere a anumitor cauze.

Operaţiunea Payback, primul protest de masă din istoria Internetului, a debutat în septembrie 2010, când gruparea a lansat o serie de atacuri cibernetice asupra Recording Industry Association of America (RIAA) şi Motion Picture Association of America (MPAA), ca răspuns la măsurile întreprinse de aceste instituţii împotriva reţelelor de file sharing pentru a proteja drepturile de distribuţie şi proprietatea intelectuală. Ulterior la sfârşitul anului 2010, Operaţiunea Payback a vizat site-urile celor mai mari companii de plăţi cu cardul (Visa, MasterCard şi PayPal) după ce acestea au decis sistarea plăţilor spre conturile organizaţiei Wikileaks.

Această operaţiune a fost urmată de o serie de operaţiuni având cauze politice. Activitatea grupării a fost marcată de evenimente importante, în care protestele globale au avut un rol major, reuşind spre exemplu să atragă atenţia asupra mişcării Occupy Wall Street, exceselor din sectorul financiar sau chiar să susţină lupta împotriva unor regimuri autoritare (Primăvara Arabă).

În ianuarie 2011 a fost lansată Operaţiunea Tunisia, în sprijinul acţiunilor de protest din cadrul Primăverii Arabe. În cadrul acestei Operaţiuni, membrii grupării au atacat o serie de site-uri guvernamentale şi au creat şi pus la dispoziţie un script ce putea fi folosit pentru protejarea browserelor web împotriva supravegherii guvernamentale.

Pe măsura extinderii protestelor şi în alte state arabe au fost create şi alte operaţiuni afiliate, precum operaţiunea Libia, Operaţiunea Maroc sau Operaţiunea Egipt.

Tot în 2011 a fost lansată Operaţiunea Darknet împotriva site-urilor care promovau pornografia infantilă.

În ceea ce priveşte atacurile cibernetice asupra companiei Sony, care au dus la furtul datelor personale a peste 100 de milioane de utilizatori, gruparea a negat că s-ar afla în spatele acestor atacuri, declarând că „Anonymous nu se află în spatele atacurilor, însă este evident că cei care au spart serverele Sony au vrut să pară aşa”.

În iunie 2012, membri ai grupărilor Anonymous şi LulzSec au lansat Operaţiunea AntiSec împotriva instituţiilor guvernamentale, cu scopul de a protesta împotriva cenzurii şi monitorizării Internetului.

Ca răspuns la operaţiunile militare ale Israelului în Fâşia Gaza, în noiembrie 2012 Anonymous a lansat Operaţiunea Israel, reluată în aprilie 2013 şi în august 2014, derulând atacuri cibernetice asupra mai multor site-uri aparţinând unor entităţi publice şi private israeliene, inclusiv asupra site-ului Primului Ministru, Forţelor Militare Israeliene, Ministerului de Finanţe, dar şi asupra unei bănci importante din Israel.

Printre cele mai recente operaţiuni lansate de către Anonymous se numără Operaţiunea Charlie Hebdo, Operaţiunea ISIS şi Operaţiunea Paris. După atacurile teroriste de la Paris, din ianuarie 2015, şi după ce Daesh a devenit cunoscută şi pentru atacuri cibernetice derulate de membri sau simpatizanţi ai grupării, precum cel asupra TV5Monde, membrii Anonymous au lansat două operaţiuni conexe, Charlie Hebdo şi ISIS, prin care condamnau acţiunile teroriste şi anunţau că „Noi, Anonymous din întreaga lume, am decis să vă declarăm război vouă, teroriştilor, şi să răzbunăm uciderile prin blocarea conturilor voastre de pe toate reţelele sociale”.

În consecinţă, gruparea Anonymous, alături de alte grupări precum GhostSec, o grupare de elită formată din foşti şi actuali membri Anonymous, au început o campanie de atacuri cibernetice împotriva unor siteuri afiliate Daesh, conturi de social media şi disruperea unor activităţi de finanţare online.

Gruparea a atacat şi indisponibilizat mai multe site-uri conexe Daesh, precum site-ul jihadist ansar-alhaqq.net. De asemenea, au identificat şi au raportat Twitter şi YouTube mai multe conturi folosite pentru propagandă sau afiliate Daesh, reuşind să le închidă.

Într-o înregistrare video realizată de către Anonymous pentru a-şi revendica succesul, o persoană purtând masca Anonymous afirma: „Teroriştii care se autointitulează Statul Islamic (ISIS) nu sunt musulmani. ISIS, te vom vâna, îţi vom închide site-urile, conturile, e-mail-urile şi te vom expune. De acum înainte nu mai există loc sigur online pentru tine. Vei fi tratat ca un virus, iar noi suntem leacul. Noi deţinem Internetul”.

De asemenea, conform unui raport al Radware, în februarie 2015, Anonymous a publicat o listă cu o baza de date conţinând datele personale a 2000 de presupuşi membri Daesh. După atacurile recente de la Paris, din 13 noiembrie 2015, Anonymous a declarat război Daesh, având ca ţintă simpatizanţi şi susţinători ai acestor atacuri. Această operaţiune cibernetică agresivă a Anonymous este cunoscută sub numele de #OpParis (@opparisofficial/https://twitter.com/opparisofficial), informaţii fiind disponibile pe un canal de comunicaţii dedicat, de tip IRC (irc.anonops.com SSL 6697).

Operaţiunea Paris are trei faze: obţinerea de informaţii pentru identificarea suporterilor şi susţinătorilor atacu rilor, faza a doua constă în derularea de atacuri pentru a obţine informaţii suplimentare despre cât mai multe ţinte, iar cea de-a treia fază constă în publicarea informaţiilor obţinute pe site-ul Ghostbin pentru derularea altor atacuri.

Pentru derularea Operaţiunii, a fost creat şi pus la dispoziţia membrilor Anonymous un instrument automat, Anonymous Takedown Bot, folosit pentru a suspenda conturile de Twitter asociate Daesh sau membrilor şi simpatizanţilor grupării.

Putem spune aşadar că de aproape un an se desfăşoară în mediul online un adevărat război între simpatizanţii terorismului, fie ei membri sau susţinători ai Daesh ori Al Qaeda, şi membrii grupărilor hacktiviste. În această luptă, ne putem întreba, gruparea se află în faţa unei potenţiale crize existenţiale? Dacă Anonymous apără folosirea liberă a Internetului, acest concept nu se aplică tuturor, inclusiv militanţilor Daesh? De asemenea, ce se întâmplă atunci când o grupare formată pentru a se opune autorităţii se află în situaţia de a împărtăşi aceleaşi obiective ca şi cele ale guvernelor occidentale (cel puţin)?

Pentru cei implicaţi în astfel de operaţiuni cibernetice, răspunsul nu este atât de complicat, aşa cum rezultă din poziţia exprimată de unul dintre membrii pe un forum Anonymous: „Taking away the free speech from a group that is advocating the end of free speech is delicious fun. Telling someone who’d happily chop off your head and mine on national TV to get lost is delicious fun too.”

787
Marco Obiso, Cybersecurity Coordonator, International Telecommunication Unit, Geneva
Marco Obiso, Cybersecurity Coordonator, International Telecommunication Unit, Geneva

Acum, înainte de vacanţa de iarnă, această ediţie le este dedicată celor care doresc să înceapă noul an sub auspiciile unei mai bune securităţi cibernetice. Sub titlul generos «Soluţii end-user», aceasta reflectă pur și simplu realitatea oricăruia dintre noi, fie că este un simplu cetăţean, sau un antreprenor, fie un angajat sau un factor de decizie, fie chiar și un profesionist în IT, deoarece suntem cu toţii de fapt «end-user-i».

Aceasta combină produsele de securitate necesare pentru protecţia noastră digitală cu noile comportamentale dobândite prin educaţie pentru a evita greșelile pe care chiar și cele mai bune tehnologii nu le vor împiedica să provoace vulnerabilităţi suplimentare care să faciliteze accesul exterior în «vieţile noastre virtuale» profesionale şi private.

În această perioadă de simţăminte și felicitări de sfârșit de an, ne face plăcere să trimitem la tipar și să postăm online cel de-al 4-lea număr al revistei Cybersecurity Trends, care reprezintă împlinirea unui prim an editorial complet, prin îndeplinirea cu succes, de către o echipă editorială mică şi entuziastă, a provocării lansate în luna martie 2015.

Dorim să mulţumim instituţiilor româneşti, care, prin contribuţia lor permanentă la conţinutul acestei reviste, i-au dat menirea ei de a fi precum și caracterul său unic de platformă de opinii public-privată destinată publicului larg cu rol de sensibilizare a acestuia faţă de pericolele din mediul cibernetic, precum şi de prezentare de soluţii pentru a le preveni.

Mai mult de atât, deoarece CERT-GOV din Republica Moldova a decis să se alăture revistei Cybersecurity Trends cu o secţiune permanentă, aceasta va reprezenta de acum punctele de vedere ale instituţiilor ambelor ţări vorbitoare de limba română.

Secţiunile oficiale română şi moldovenească, numărul de contribuţii private sau publice din regiune, flancate de articole scrise de analiști cheie din peste 10 ţări, au făcut ca Cybersecurity Trends să fie capabilă să ofere cititorilor săi o adevarată perspectivă internaţională, focusată macro-regional, a problemelor și experienţelor privind ameninţările cibernetice, reflectată în mai mult de 50 de articole publicate în acest an și care au acoperit câteva dintre cele mai importante domenii ale lumii digitale.

Nu uităm de asemenea să mulţumim companiilor ale căror contribuţii au permis să existe și o versiune printată a revistei, și care, mai mult de atât, au arătat maturitate în modul în care au ajutat și s-au alăturat acestei reviste de conștientizare.

Într-un cuvânt, credem că revista a atins acum o „altitudinea de croazieră” şi ne exprimăm sincer speranţa că ne vor rămâne alături atât vechii colaboratori cât și că ni se vor alătura noi colaboratori care să ajute la menţinerea revistei şi chiar perfecţionarea ei pe termen mediu și lung, desigur, împreună cu Congresul care i-a dat naştere şi ale cărui idealuri sunt aceleasi, aducând publicul larg în legătură directă cu actorii statali şi cei privati din domeniul siguranţei IT&C.

În acest scop ITU a decis să ajute în continuare la consolidarea diseminării de conştientizare şi să promoveze unele din cele mai noi materiale privind protecţia în prima linie în lumea digitală, dedicate atât cetăţenilor cât și antreprenorilor. Acestor materiale li se vor alătura publicaţiile destinate copiilor, adolescenţilor și părinţilor traduse în limba română în acest an şi postate pe site-ul securitate-online.ro.

Încurajând schimbul de bune practici şi instrumente, făcându-le uşor accesibile pentru cititori prin traducerea lor în limba română, a fost creat de fapt un mecanism eficient care să ajute la generarea de rezultate în creșterea conștientizării publicului.

ITU susţine aceste eforturi inclusiv în ţările cu competenţe IT remarcabile, și pentru care conștientizarea legată de securitatea IT trebuie să fie întărită. În acest scop, primele 3 volume care vor fi disponibile în limba română sunt cele mai recente publicaţii ale ITU: „The Quest for Cyberpeace”, „The Quest for Cyberconfidence” și publicaţia fundamentală „Understanding Cybercrime”, care a fost editată doar cu câteva luni în urmă. La fel ca și «Compendium for schools, teachers and parents for children safety», capodopera SaferInternet Polonia.

Profit de această oportunitate pentru a transmite tuturor cititorilor revistei cele mai sincere urări ale ITU pentru un an nou fericit și sigur.

Marco Obiso,
Cybersecurity Coordinator,
International Telecommunication Union, Geneva

2322

Laurent Chrzanovski

Laurent Chrzanovski

Dragi cititori,

Cu numărul 4, împreună cu cele mai călduroase urări de an nou fericit, dorim să vă oferim cel mai util cadou de Crăciun. Prin urmare am hotărât să dedicăm dosarul central soluţiilor tehnice și mai ales umane care există pentru a vă asigura un minim indispensabil de securitate în viaţa dvs. personală cât și în cea profesională și mai ales în afacerile dvs.

Cum bine subliniază mai multe rapoarte în privinţa «Emerging and Persistent Threats» (cf. bibliografie), tendinţele pentru anul 2016 nu prezintă mari noutăţi, dar sunt extrem de îngrijorătoare prin violenţa cantitativă și calitativă care afectează domeniul datelor personale vitale (sănătate, finanţe, dezvoltarea afacerilor etc). Din ce în ce mai mult, datele devin cea mai căutată valută din lume, fie pentru marile firme, fie pentru state. De la Big Data la Personal Data, sunt mii de agenţii, firme și evident grupări criminale care își consacră toată activitatea lor pentru a găsi aceste date, în mod legal, în zonele «gri» sau în mod chiar ilegal.

În mod paradoxal, fiecare dintre noi este, împotriva propriei voinţe, un ajutor preţios pentru acești «culegători de date», pentru că niciodată în istoria omenirii informaţiile confidenţiale nu au fost atât de ușor de găsit, de reunit și de exploatat. Naivitatea majorităţii utilizatorilor IT este, evident, cea care permite această posibilitate de a aduna date ale unei persoane sau ale unei firme.

Dar din ce în ce mai mult, proliferarea periculoasă a dispozitivelor interconectate se revelează a fi catastrofală pentru siguranţa utilizatorilor. Asocierea a tot fel de obiecte «smart», folosirea nediscriminată a acelorași cloud-uri, telefoane mobile, laptop-uri și tablete, pentru viaţa personală și pentru viaţa profesională, nu fac decât să adauge în mod exponenţial uși de intrare în intimitatea dvs.

Intenţia revistei, ca de obicei, nu este de a vă speria, ci din contră, de a vă pune la dispoziţie un set de măsuri, unele deosebit de simple, pentru a vă ajuta să aliniaţi securitatea dvs. digitală cu reflexe pe care deja le aveţi în ceea ce privește securitatea dvs. fizică, aceleași cu care aveţi grijă de dvs. și de cei dragi când închideţi ușa casei, a mașinii sau când conduceţi, utilizaţi un aragaz, sau învăţaţi copiii dvs. să nu aibă încredere în persoane necunoscute de pe stradă.

Suplimentar, am decis să consacrăm o parte semnificativă a bibliografiei pentru cei interesaţi de ceea ce media vehiculează masiv în ultimele luni sub denumirea de «război cibernetic».

De ce? Pentru că cei care doresc să afle mai multe vor vedea foarte clar că aproape toate tehnicile de război, inclusiv cele mai sofisticate, au la bază slăbiciuni umane interne ale ţintei, apoi numai (și numai dacă este nevoie) faimosul «insider» și în ultimul rând capacitatea tehnologică a atacatorului de a sparge sau a distruge.

Căutarea emotivă și de auto-apărare a celor 2 companii (Sony Entertainments și TV5 monde) în faţa presei după atacurile care au marcat ultimele 14 luni au indus în opinia publică două concepte absolut greșite, sau cel puţin nedovedite, din punctul nostru de vedere. Primul este că numai un stat (Coreea de Nord în primul caz, Rusia în al doilea) ar avea capacităţi și voinţa de a comite atacuri atât de sofisticate. Al doilea concept, care de fapt este bine ascuns în primul, este că ambele companii aveau un grad tehnologic foarte ridicat de siguranţă și de formare a responsabililor ITsec din interior.

După ce a trecut valul de «propagandă emotivă», nu a rămas nicio dovadă de implicare a unui stat în aceste atacuri, și, mai mult, s-au pus în evidenţă slabiciunile interne foarte grave ale acestor companii.

Pe scurt, Sony, care deja fusese ţinta unui atac devastator, gestiona cu tehnologie avansată și oameni ultracalificaţi securitatea sa, dar nu ca pe o prioritate, ci cu un mecanism intern tipic unei multinaţionale, adică prin «bifarea» de către consiliul director în căsuţa «securitate» în funcţie de rapoartele interne, fără pregătirea angajaţilor, fără o disciplină clară în interiorul companiei, furnizând astfel slăbiciunile necesare atacatorului, care în cazul de faţă avea efectiv competenţe foarte ridicate în tehnologii de hacking.

Cazul TV5 Monde, dacă îl analizăm împreună cu scandalul «Hacking Team», arată o faţă mult mai îngrijorătoare. O companie foarte neglijentă, în care parolele erau afișate pe post-it-uri în redacţie, lovită aproape mortal de un «kit» de programe distructive constituind un atac cibernetic foarte puternic. Poblema care se pune este că toate mijloacele și tehnicile folosite erau deja cunoscute de către companiile de ITSec și de serviciile de stat, fiind cunoscute ca o creaţie a grupării criminale rusești «APT28», alias «Pawn Storm», și fiind un troian relativ simplu de identificat și de combătut.

Problema este că ancheta ziariștilor francezi specializaţi în IT și a analiștilor externi a scos la iveală elemente care contrazic total varianta oficială, un ziar de specialitate titrând chiar «Cyberattaque contre TV5 Monde, ou le b.a.-ba du hacker débutant» și arătând că la pregătirea atacului au stat – exact ceea ce poate să ne lovească pe toţi – inginerie socială și phishing ţintind ziariști, angajaţi și directori ai companiei.

De ce spuneam că TV5 trebuie analizat împreună cu cazul Hacking Team? Pentru că în pofida afirmaţiilor redactorilor simpliști de «breaking-news» din media – mai ales din România – nespecializaţi, nu mai este nevoie deloc să fi un stat ultra avansat în IT (cum sunt Rusia, SUA, Israel, China) pentru a lovi. Doriţi să spionaţi pe cineva? Sunt zeci de firme perfect legale ca și Hacking Team care vor face acest lucru pentru dumneavoastră, și care au drept clienţi inclusiv state care nu au tehnologie, sau care nu vor ca serviciile lor să treacă de «linia roșie». Doriţi să faceţi un rău imens unei companii? Trebuie doar să aveţi bani. Azi, ca și un Kalashnikov, un troian bun dar deja folosit se cumpără de pe piaţa neagră. Unii, cei mai cunoscuţi, sunt accesibili chiar gratuit pe net.

Ce trebuie să învăţăm din asta? Că nu există «un» Big Brother. Există zeci de mii de Big Brother și de grupări criminale și companii, inclusiv legale, înregistrate în afara Europei, care oferă servicii de atac.

Totul depinde de cât de ridicată este siguranţa firmei dvs., care va determina suma pe care dușmanul va trebui să o cheltuie pentru a vă urmări sau a vă face rău, exact ca în negocierea preţului unui delator sau unui asasin din faimoasele romane ale lui Leonardo Sciascia.

După cum aţi văzut, dacă ar fi existat un program de conștientizare, de educare a personalului cu privire la riscuri și la prevenţie, Sony nu ar fi fost atacată atât de «letal» – ca număr și valoare a datelor furate – iar atacul asupra TV5 nu ar fi fost posibil.

Securitatea nu este un vis. Există, măcar la același nivel care face ca locuinţa dumneavoastră să nu fie spartă ușor. Trebuie doar să revenim cu toţii la instinctele primare.

Atunci și numai atunci vom fi bine protejaţi. Și va rămâne doar pericolul cumpărării moralei angajaţilor sau apropriaţilor noștri. Tehnica preistorică, de a mitui un informatician de rang înalt care lucrează în interior, este singura care face încă posibile scurgeri de date (de pildă despre evazioniști fiscali) din interiorul marilor bănci din Elveţia și UE, aceste companii, ca și fabricanţii de ceasuri de lux, fiind (aproape) imposibil de atacat frontal prin mijloace externe.

Vă dorim să deveniţi cu toţii, în 2016, un ceasornic de lux în viaţa dumneavoastră privată, familială, profesională și managerială.

EDITIE SPECIALA – INTERNET OF THINGS

1807
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1504
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2809
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1597
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1530
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1579
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...