Hardware-hacks

Hardware-hacks

99

O altă dimensiune a securităţii cibernetice

Securitatea cibernetică a dominat primele pagini ale publicaţiilor occidentale din ultimii ani prin subiecte legate de scurgeri de informaţii, influenţarea rezultatelor unor alegeri publice şi atacuri cibernetice în contextul noului tip de conflict, războiul hibrid.

Într-un articol publicat în 4 octombrie a.c. cu titlul „The Big Hack: How China Used a Tiny Chip to Infiltrate US Companies / Marele Hack: cum a folosit China un cip minuscul pentru a infiltra companiile americane”, publicaţia Bloomberg Businessweek a expus o nouă latură a ameninţării la adresa securităţii cibernetice, Hardware hacks, survenită în 2015. În articol este prezentată (presupusa) compromitere a serverelor a 30 de companii americane, inclusiv a giganţilor Amazon şi Apple, precum şi a unor agenţii din sistemul de securitate naţională în urma unui incident de securitate major cauzat de o componentă de hardware.

Citând o serie de surse anonime din companiile afectate, precum şi foşti şi actuali oficiali din zona de securitate naţională a SUA, articolul susţine că serverele realizate de unul din principalii producători la nivel global, Supermicro, prezentau o alteraţie majoră: prezenţa unui microcip pe plăcile de bază. Această componentă modifica core operating system de aşa manieră încât acesta să accepte modificări şi să contacteze alte computere controlate de atacatori pentru a recepţiona cod suplimentar şi instrucţiuni ulterioare. Practic, în momentul în care un server era instalat şi pornit, acesta devenea o cale de acces liberă pentru atacatori. Cum aceste servere erau utilizate în centrele de date ale principalilor actori din zona de IT&C şi chiar a autorităţilor publice şi agenţiilor de intelligence, după cum e susţinut în articol, ramificaţiile acestui “atac” sunt majore.

Hack-urile care vizează elemente de hardware au un grad mai ridicat de dificultate în realizare decât cele de software, însă efectele pe care le produc pe termen lung pot avea un impact devastator. Practic, componentele maliţioase fie sunt introduse în procesul de manufacturare, fie produsele sunt manipulate în tranzit, modificările fiind implementate până acestea ajung la clientul final.

Neidentificată înaintea conectării, o astfel de alteraţie îşi poate îndeplini funcţiile fără a fi neutralizată pentru perioade semnificative de timp. De altfel, după cum a evidenţiat Bloomberg Businessweek, dacă unor companii precum Apple şi

Amazon le-a trebuit timp şi o doză de şansă să identifice această problemă, care este probabilitatea ca alte companii, care beneficiază de resurse semnificativ mai reduse, să prevină vulnerabilităţile de securitate provenite din alteraţii de hardware.

Principala barieră în realizarea hack-urilor de hardware este reprezentată de filtrele de securitate, însă acestea sunt departe de a fi infailibile. Deşi componentele hardware sunt proiectate în emisfera vestică, procesul de producţie se realizează în proporţie covârşitoare în Asia de sud-est, o zonă supusă unor alte cerinţe de calitate şi în care companiile-mamă nu pot avea acelaşi control.

Dacă veridicitatea faptelor expuse necesită dovezi suplimentare1 sau, cel puţin, rezultatul unor anchete oficiale ale autorităţilor implicate, în măsura în care acestea pot fi făcute publice, ideile centrale prezentate ridică de la sine un număr de semnale de alarmă.

Mai întâi, este relevantă dilema expusă în articol conform căreia companiile trebuie să aleagă între a avea un număr mai redus de produse, dar al căror securitate o pot garanta, şi toate produsele de care au nevoie, însă să se expună unor riscuri, companiile alegând de fiecare dată a doua opţiune. Această observaţie este corectă, iar companiile nu pot fi condamnate pentru încercarea de a înregistra un profit mai mare. Cu toate acestea, referitor la securitatea în mediul cibernetic, acest principiu elementar al economiei conform căruia un cost mai mic de producţie rezultă într-un câştig mai mare pentru părţile implicate nu poate fi ilustrat în alb şi negru, ci ocupă, mai degrabă, diferite nuanţe de gri. Această situaţie este datorată în principal prin prisma faptului că orice vulnerabilităţi de securitate se traduc, în termeni financiari, în posibile pierderi considerabil mai mari decât câştigurile rezultate dintr-un lanţ de producţie şi distribuţie cu costuri mici.

Includerea în ecuaţie a unor elemente precum acţiunile unor companii listate la bursă şi luând în considerare că aceste companii şi-au axat campaniile de marketing pe securitatea oferită clienţilor, făcând din acest aspect principalul asset al produselor lor, reprezintă un argument important pentru care securitatea reprezintă un factor cuantificabil din punct de vedere financiar. De altfel, giganţii din domeniul IT au realizat profituri semnificative şi pentru că produsele lor au fost selectate pe criteriul securităţii oferite.

Întrebarea care rezultă în mod natural este ce poate fi făcut pentru ca astfel de situaţii să fie contracarate eficient?

Dat fiind faptul că procesul de manufacturare se desfăşoară, cu precădere, în alte state, zona Asiei de sud-est fiind dominantă în acest sens, autorităţile au posibilităţi limitate în identificarea problemelor şi breşelor de securitate. Mai mult, în unele cazuri, aşa cum este stipulat în articolul din Bloomberg Businessweek, cadrul legal limitează procesul de investigare până la înregistrarea unor „victime», iar specificitatea domeniului IT dictează că, din acel moment este deja „prea târziu» pentru a remedia situaţia creată, pagube majore fiind deja produse.

Astfel, (1) vigilenţa autorităţilor, publice sau private, cu rol în controlul de securitate este un factor determinant.

Un alt aspect important constă în (2) permanenta adaptare a cadrului normativ pentru a ţine pasul cu evoluţiile tehnologice, prezenţa pe agenda publică a temelor referitoare la securitatea cibernetică fiind, de asemenea, deosebit de importantă.

Totodată, într-o lume interconectată, un subiect ca responsabilitatea securităţii cibernetice depăşeşte sfera autorităţilor şi revine şi clienţilor, fie ei din rândul companiilor sau clienţi individuali. Astfel, (3) conştientizarea riscurilor de securitate este crucială, iar punerea în balanţă în momentul achiziţionării unor produse sau servicii a acestora, pe acelaşi nivel cu preţul, devine elementul fundamental în menţinerea securităţii cibernetice globale.

Autor: Mihai Vişoiu, Cyberint