Editorial – Cybersecurity Trends 4 / 2015

Editorial – Cybersecurity Trends 4 / 2015

1055

Laurent Chrzanovski

Laurent Chrzanovski

Dragi cititori,

Cu numărul 4, împreună cu cele mai călduroase urări de an nou fericit, dorim să vă oferim cel mai util cadou de Crăciun. Prin urmare am hotărât să dedicăm dosarul central soluţiilor tehnice și mai ales umane care există pentru a vă asigura un minim indispensabil de securitate în viaţa dvs. personală cât și în cea profesională și mai ales în afacerile dvs.

Cum bine subliniază mai multe rapoarte în privinţa «Emerging and Persistent Threats» (cf. bibliografie), tendinţele pentru anul 2016 nu prezintă mari noutăţi, dar sunt extrem de îngrijorătoare prin violenţa cantitativă și calitativă care afectează domeniul datelor personale vitale (sănătate, finanţe, dezvoltarea afacerilor etc). Din ce în ce mai mult, datele devin cea mai căutată valută din lume, fie pentru marile firme, fie pentru state. De la Big Data la Personal Data, sunt mii de agenţii, firme și evident grupări criminale care își consacră toată activitatea lor pentru a găsi aceste date, în mod legal, în zonele «gri» sau în mod chiar ilegal.

În mod paradoxal, fiecare dintre noi este, împotriva propriei voinţe, un ajutor preţios pentru acești «culegători de date», pentru că niciodată în istoria omenirii informaţiile confidenţiale nu au fost atât de ușor de găsit, de reunit și de exploatat. Naivitatea majorităţii utilizatorilor IT este, evident, cea care permite această posibilitate de a aduna date ale unei persoane sau ale unei firme.

Dar din ce în ce mai mult, proliferarea periculoasă a dispozitivelor interconectate se revelează a fi catastrofală pentru siguranţa utilizatorilor. Asocierea a tot fel de obiecte «smart», folosirea nediscriminată a acelorași cloud-uri, telefoane mobile, laptop-uri și tablete, pentru viaţa personală și pentru viaţa profesională, nu fac decât să adauge în mod exponenţial uși de intrare în intimitatea dvs.

Intenţia revistei, ca de obicei, nu este de a vă speria, ci din contră, de a vă pune la dispoziţie un set de măsuri, unele deosebit de simple, pentru a vă ajuta să aliniaţi securitatea dvs. digitală cu reflexe pe care deja le aveţi în ceea ce privește securitatea dvs. fizică, aceleași cu care aveţi grijă de dvs. și de cei dragi când închideţi ușa casei, a mașinii sau când conduceţi, utilizaţi un aragaz, sau învăţaţi copiii dvs. să nu aibă încredere în persoane necunoscute de pe stradă.

Suplimentar, am decis să consacrăm o parte semnificativă a bibliografiei pentru cei interesaţi de ceea ce media vehiculează masiv în ultimele luni sub denumirea de «război cibernetic».

De ce? Pentru că cei care doresc să afle mai multe vor vedea foarte clar că aproape toate tehnicile de război, inclusiv cele mai sofisticate, au la bază slăbiciuni umane interne ale ţintei, apoi numai (și numai dacă este nevoie) faimosul «insider» și în ultimul rând capacitatea tehnologică a atacatorului de a sparge sau a distruge.

Căutarea emotivă și de auto-apărare a celor 2 companii (Sony Entertainments și TV5 monde) în faţa presei după atacurile care au marcat ultimele 14 luni au indus în opinia publică două concepte absolut greșite, sau cel puţin nedovedite, din punctul nostru de vedere. Primul este că numai un stat (Coreea de Nord în primul caz, Rusia în al doilea) ar avea capacităţi și voinţa de a comite atacuri atât de sofisticate. Al doilea concept, care de fapt este bine ascuns în primul, este că ambele companii aveau un grad tehnologic foarte ridicat de siguranţă și de formare a responsabililor ITsec din interior.

După ce a trecut valul de «propagandă emotivă», nu a rămas nicio dovadă de implicare a unui stat în aceste atacuri, și, mai mult, s-au pus în evidenţă slabiciunile interne foarte grave ale acestor companii.

Pe scurt, Sony, care deja fusese ţinta unui atac devastator, gestiona cu tehnologie avansată și oameni ultracalificaţi securitatea sa, dar nu ca pe o prioritate, ci cu un mecanism intern tipic unei multinaţionale, adică prin «bifarea» de către consiliul director în căsuţa «securitate» în funcţie de rapoartele interne, fără pregătirea angajaţilor, fără o disciplină clară în interiorul companiei, furnizând astfel slăbiciunile necesare atacatorului, care în cazul de faţă avea efectiv competenţe foarte ridicate în tehnologii de hacking.

Cazul TV5 Monde, dacă îl analizăm împreună cu scandalul «Hacking Team», arată o faţă mult mai îngrijorătoare. O companie foarte neglijentă, în care parolele erau afișate pe post-it-uri în redacţie, lovită aproape mortal de un «kit» de programe distructive constituind un atac cibernetic foarte puternic. Poblema care se pune este că toate mijloacele și tehnicile folosite erau deja cunoscute de către companiile de ITSec și de serviciile de stat, fiind cunoscute ca o creaţie a grupării criminale rusești «APT28», alias «Pawn Storm», și fiind un troian relativ simplu de identificat și de combătut.

Problema este că ancheta ziariștilor francezi specializaţi în IT și a analiștilor externi a scos la iveală elemente care contrazic total varianta oficială, un ziar de specialitate titrând chiar «Cyberattaque contre TV5 Monde, ou le b.a.-ba du hacker débutant» și arătând că la pregătirea atacului au stat – exact ceea ce poate să ne lovească pe toţi – inginerie socială și phishing ţintind ziariști, angajaţi și directori ai companiei.

De ce spuneam că TV5 trebuie analizat împreună cu cazul Hacking Team? Pentru că în pofida afirmaţiilor redactorilor simpliști de «breaking-news» din media – mai ales din România – nespecializaţi, nu mai este nevoie deloc să fi un stat ultra avansat în IT (cum sunt Rusia, SUA, Israel, China) pentru a lovi. Doriţi să spionaţi pe cineva? Sunt zeci de firme perfect legale ca și Hacking Team care vor face acest lucru pentru dumneavoastră, și care au drept clienţi inclusiv state care nu au tehnologie, sau care nu vor ca serviciile lor să treacă de «linia roșie». Doriţi să faceţi un rău imens unei companii? Trebuie doar să aveţi bani. Azi, ca și un Kalashnikov, un troian bun dar deja folosit se cumpără de pe piaţa neagră. Unii, cei mai cunoscuţi, sunt accesibili chiar gratuit pe net.

Ce trebuie să învăţăm din asta? Că nu există «un» Big Brother. Există zeci de mii de Big Brother și de grupări criminale și companii, inclusiv legale, înregistrate în afara Europei, care oferă servicii de atac.

Totul depinde de cât de ridicată este siguranţa firmei dvs., care va determina suma pe care dușmanul va trebui să o cheltuie pentru a vă urmări sau a vă face rău, exact ca în negocierea preţului unui delator sau unui asasin din faimoasele romane ale lui Leonardo Sciascia.

După cum aţi văzut, dacă ar fi existat un program de conștientizare, de educare a personalului cu privire la riscuri și la prevenţie, Sony nu ar fi fost atacată atât de «letal» – ca număr și valoare a datelor furate – iar atacul asupra TV5 nu ar fi fost posibil.

Securitatea nu este un vis. Există, măcar la același nivel care face ca locuinţa dumneavoastră să nu fie spartă ușor. Trebuie doar să revenim cu toţii la instinctele primare.

Atunci și numai atunci vom fi bine protejaţi. Și va rămâne doar pericolul cumpărării moralei angajaţilor sau apropriaţilor noștri. Tehnica preistorică, de a mitui un informatician de rang înalt care lucrează în interior, este singura care face încă posibile scurgeri de date (de pildă despre evazioniști fiscali) din interiorul marilor bănci din Elveţia și UE, aceste companii, ca și fabricanţii de ceasuri de lux, fiind (aproape) imposibil de atacat frontal prin mijloace externe.

Vă dorim să deveniţi cu toţii, în 2016, un ceasornic de lux în viaţa dumneavoastră privată, familială, profesională și managerială.