Acum câteva zile stăteam la o bere cu un amic şi dezbăteam hachereala omniprezentă din ştirile zilnice. Eu eram inspirat de o conferinţă recentă dată de Microsoft, unde o sumedenie de minţi luminate s-au întrecut în a demonstra, în paralel, cât de multe eforturi facem noi europenii să ne apărăm de atacuri informatice (sau cibernetice, dacă te iei după câteva traduceri proaste) dar şi cât de uşor ar fi de fapt pentru un actor hotărât – a se citi „statal” – să ne penetreze reţelele/sistemele/serverele aşa cum cerneala penetrează această cretă. Am scos mobilul şi am tastat la întâmplare adresa unuia dintre ministerele mai importante ale României. În coada adresei, am adăugat, pentru amuz, un „/admin”. Şi, ce să vezi, m-am trezit brusc la un email şi o parolă distanţă (nu aşa de greu de aflat dacă eram spion nord corean) de a periclita serios credbilitatea ţărişoarei noastre.
Ştiu ce o sa ziceţi: „Dar Bogdan, ce ar avea Coreea de Nord cu noi?”… sau „Bine bine, ce mare brânză că ai ajuns aşa de uşor la pagina de administrare a site-ului, ce puteai să faci?” sau chiar „Hai mă lasă-te de glume, dacă era pe bune ne ziceai şi despre ce site este vorba.”
Anti-hacking românesc
În primul rând, cum recent s-a adoptat în Parlamentul European o directivă ce înăspreşte pedepsele pentru cei ce comit atacuri informatice (ce-i drept, cu condiţia să ducă la pagube reale), nu vreau să risc zelul forţelor de ordine române anunţând ce adresă am încercat. Doar acum câteva săptămâni DIICOT a anunţat glorios că a desfiinţat Anonymous România, aşa că de ce să risc o asemenea eficienţă? Asta deşi, între noi fie vorba, sunt sceptic faţă de o declaraţie publică ce foloseşte definiţia de „terorism cibernetic” pentru câteva mesaje mai mult sau mai puţin hipioate postate pe site-uri prost apărate de un grup de tineri pe care un specialist în domeniu i-ar defini ca cel mult, hacker wannabes. Chiar terorism?!? Adică aşa tragem linia, cineva care distruge întreaga reţea de telecomunicaţii a MAPN, să zicem (e şi posibil) e la fel ca cineva care vrea să pună bannere cu „Stop ACTA” pe site-uri prost apărate de agenţii de stat? Puţin cam ridicol.
La fel de ridicol, pentru oricine care măcar a intrat pe wikipedia, este ideea că s-a „anihilat” o grupare care e de fapt bazată pe anonimitatea şi lipsa de organizare şi ierarhizare a membrilor. Or fi fost prinşi câţiva tineri care îşi ziceau aşa, dar denotă o foarte slabă înţelegere a naturii „organizaţiei” dacă cu 12 arestări credem că am oprit Anonymous – care reprezintă ideea de hacker anti-sistem în general.
Şi pericolul chiar există. Costurile atacurilor informatice cresc de la an la an – dacă în 2002 CISCO găsea pierderi de 455 de milioane de dolari la nivel global, în 2011 Symantec a raportat peste 388 de miliarde de dolari ca şi pagube de pe urma atacurilor informatice. Iar majoritatea infractorilor nu sunt prinşi, dimpotrivă. Ce mare brânză e atunci afacerea AnonRomania? Eh, poate avea nevoie şi DIICOT de o victorie în spaţiul „ciber”.
Cine se teme de cibermăgăruş?
Acum, dacă aveam în faţă acel site cu pagina de administrare deschisă în partea de login, existau o sumedenie de lucruri pe care puteam să le fac ca să transform un exerciţiu jucăuş în scandal naţional. Să nu intrăm prea mult în „cum”, pentru că începem o discuţie mult mai tehnică. Cert e că cineva decis avea cum să afle şi un nume de utilizator (în cazul respectiv se cerea adresa de e-mail) şi o parolă. Sunam la un birou de funcţionar mai puţin dus la târg şi-i ziceam că-s de la CERT-RO, tocmai am făcut rost de licenţă de la CERT-ul original şi vreau să mă pun în temă cum merge treaba. Sau făceam phishing cu o pagină de Facebook falsă (inspirat şi eu de la chinezi), alegeam poze de profil cu fete drăguţe de pe internet şi… vedeţi unde vreau să ajung, sper.
Ce puteam să fac? De ce e aşa de periculos să ai un sistem prost apărat (nu vreau să zic ca România stă neapărat prost, dar nici bine n-aş zice)? Un articol de pe Contributors de Daniel T. însumează bine şi pe scurt poveşti de ciber groază cu ce ar putea face cineva supărat. Dar să facem şi noi un exerciţiu mic de gândire, dincolo de nenumăratele rapoarte existente (dintre care l-aş recomada pe cel de la ENISA, agenţia europeană ce se ocupă cu securitatea informaţiei. Să zicem că atac site-ul Ministerului de Externe şi schimb alertele de călătorie pentru cetăţenii români în… să zicem Olanda la „foarte nasol, frate”. Şi eventual mai pun un update pe prima pagină despre cum urmează să deschidem o misiune la Tiraspol, la Pristina şi, ca să fiu chiar interesant, expulzăm ambasadorul Canadei – că nu ne dau vize.
„Ce”-ul ăsta e chiar interesant ca şi exerciţiu de gândire. Cu e-mailul personal al cuiva din MAPN, sau eventual administraţia prezidenţială, un răufăcător poate da o mulţime de mesaje buclucaşe. În China, la Moscova, sau chiar în UE sau către NATO. Despre scutul anti-rahetă la Kremlin. Le zicem că nu ne e frică de ei, avem scut acum şi nu ne pasă de miile lor de modalităţi de a transforma Parcul Cişmigiu în deşert nuclear.
Dacă e să fiu cinic, aş zice însă că nu aş face absolut nimic care să atragă atenţia. Aş monitoriza. Copia. Raporta. Doar asta fac spionii, nu? Cea ce ne poate face să ne întrebăm dacă ei nu există deja în sistemele noastre – instalaţi comfortabil. Recenta afacere FLAME ar arâta chiar că asta se întâmplă cel mai des.
Pentru România, apărarea trece prin CERT-RO, care după cum am spus mai sus, este extrem de recent autentificat internaţional, prin ENISA, agenţia UE, dar şi prin NATO, care este poate cel mai important actor la nivel securitar pe această temă. Dar pe lângă toate aceste structuri şi nu numai ele, apărarea trece prin fiecare individ din sistemul de stat (şi privat, dar acela e alt articol) care are acces la informaţii sensibile, de orice fel. Orice asistentă ce îi verifică poşta electronică şefului ei, secretar de stat, orice funcţionar ce face operaţiuni virtuale pentru orice minister, toţi sunt vulnerabili. Deci, pentru noi apărarea trece prin factorul uman. Şi atunci mă întreb – suntem bine apăraţi de această ameninţare?
Spionul nord-corean
N-aţi uitat de a treia întrebare pe care aţi pus-o, nu? De ce ar vrea cineva să se ia de noi?
În primul rând, multă lume nu are ceva cu România. Dar are ceva cu prietenii noştrii. Ştiţi voi, fraţii noştri de peste Atlantic. Sau fraţii noştri de peste Canalul Mânecii. Sau de peste Sena. Şi în universul ăsta de fraţi, toţi membri NATO, sa UE, noi am putea fi o poartă de intrare către ţinte mai interesante.
Dar şi noi avem problemele noastre. Ne certăm ocazional cu vecinii oricât am vrea să pretindem că nu avem probleme cu nimeni, mai ajungem cu ei la judecată. Avem un spin non-statal în coasta celui mai apropiat stat de inimioara noastră şi, frecvent, ne contrăm la nivel diplomatic cu un vecin de la est cu care avem o lungă relaţie de dragoste şi ură. Hai, să nu disperăm. Avem şi noi acolo cineva care nu ne iubeşte.
Articol aparut pe Europuls
__________________________________________________
Europuls este o organizaţie non-guvernmentală formată din tineri români experţi în afaceri europene. Scopurile ei sunt îmbunătăţirea cunoştinţelor românilor despre Uniunea Europeană şi încurajarea unei mai bune comunicări despre România la nivel european prin schimburi de idei şi a celor mai bune practici. Europuls publică articole şi analize pe site-ul www.europuls.ro, organizează dezbateri, seminarii şi conferinţe.
Foarte la obiect sintagma cu „o foarte slabă înţelegere a naturii „organizaţiei” „.
Da, da apararea trece prin CERT-RO, si sa vezi cu ce viteza trece… nu e chiar asa. Am o gasca mare in spate care striga rap it on si care nu e cert-ro.
Mă bucur că ai reluat subiectul, privind cyberconflictele. În opinia mea există doi factori majori într-un concept de cyberapărare .
Tehnologiile dar şi Oamenii implicaţi într-o formă sau alta în funcţionarea şi utilizarea sistemelor de tehnologie.
Prima concluzie după Stuxnet, Flame şi Duqu…avantajul atacatorilor este dat de a prelungi capacitatea de a fi nedectat. Ţine de inovaţie şi creativitate în programare, care însă are la bază cunoştinte solide a limbajelor şi modului de structurare la bază a softurilor actuale.
A doua concluzie, nu există securitate fără practici de securitate la nivel uman. Aici e mai complicat, factorul uman. Educaţia porneşte de la noţiuni predate dar practicate ca şi rutină. Antiviruşi actualizaţi, practici de anonimat… până la urmă până şi selecţionarea resurselor umane în domenii sensibile e o chestiune complicată. Poţi avea cel mai bun specialist tehnic în administrare de reţele, dar dacă are convingerea că Dzeu îi vobeşte personal seara în pat ca să publice parola de admin mâine pe wilileaks, e un eşec la nivelul noţiunii de securitate de reţele.
A treia concluzie, (in)eficienţa disuaziunii legale a celor cu intenţii ilegale. Actorii Statali şi Entităţile bine organizate, nu au tendinţa de a ieşi pe piaţa publică şi să strige, am penetrat nu ştiu care sistem, au interesul de a valorifica şi avea în continuarea acces la sursele privilegiate de informaţie şi eventual să le traducă în dezvoltarea proprie. Pe când Roninii Internetului, grupurile motivate ideologic vor striga la fiecare reuşită de intruziune am câştigat. Inevitabil absenţa câinilor de pază şi a pedepselor adecvate, corupţia la nivel local, slaba pregătire a structurilor care sunt destinate contracarării acestor fenomene …crează un gen de haiducie generalizat.
A patra concluzie, Securitatea naţională şi internaţională a depăşit de mult la nivel strategic, conceptul unui domeniu rezervat unor structuri specializate publice pentru ţări cu resurse financiare Este un domeniu mai gri , de colaborare, între diferiţia actori la scară naţională şi internaţională, în care parteneriatele între mediile private cele universitare,cele publice se impun. De aici o anumită complexitate de gestionare a relaţiilor, care ţin de dorinţa fiecărui actor de a-şi păstra avantajele personale.
.
Bogdan,
Interesant articolul si semnul de alarma pe care vrei sa il tragi, dar cred ca forma sub care ai pus problema si lipsa unei incheieri clare a articolului sunt 2 lucruri pe care ai vrea sa le revizuiesti pe viitor.
Lucrand in domeniu de ceva timp un singur lucru urasc mai mult decat „hackerii wanna’be” care fac valuri pentru nimic (website defacements): „ziaristii” care fac valuri pentru nimic (rating-ul nu se ia in considerare).
Conceptul de securitate informatica a fost luat in considerare dupa ce s-au dezvoltat si implementat tehnologii si infrastructuri. Facand o analogie simpla, e ca si cum ai face un sediu de banca intr-un cort la colt de strada si dupa 10 ani ai dori sa construiesti brusc un sediu „securizat” cu usi, chei, coduri de acces si seif:
– conducerea te va intreba de ce vrei sa arunci milioane de euro cand nimeni n-a luat nimic de pe masa pana atunci
– industria de securitate iti va oferi produse (chei, usi, seif) la preturi incredibil de mari. Esti institutie mare si vrei tehnologii adaptate tie, atunci platesti de 10 ori mai mult decat daca ti-ai instala respectivele tehnologii acasa
– angajatii si-au facut anumite obiceiuri la care nu vor dori sa renunte. Vor „pune ceva in usa” sau vor lipi de monitor codurile de accces.
TOATE tarile au problemele pe care le-ai mentionat in articol. Vrei o schimbare? Cauta o solutie de a promova conceptul de securitate in procesul educational. O mare parte a atacurilor prin intermediul carora chiar se fura informatii importante reusesc datorita factorului uman. Greseli de tipul „am primit un mail nou, sa deschid atasamentul” au facut subiect de stiri companii care investesc in securitatea informatica mai mult decat tari „importante”.
[aproape] Toate tarile investesc sume considerabile in securitatea informatica, dar oare cate promoveaza conceptul de securitate?
PS: Imi cer scuze pentru lipsa diacriticelor.
Bogdan gasesc ca multele „daca” dau o lumina superficiala articolului (care a fost inspirat de o bere cu un prieten).
Daca as fi vrut, daca eram spion . De 8 ori daca si 4 poate. Pe numarate.
Uita una mai grea :
DACA iesi la bere cu un baiat de la minister si POATE ai un wifi viclean in geanta – cu numele dlink – si POATE il convingi sa-si verifice mailul POATE parola nu e criptata pentru ca CINE STIE, nu si-a setat incoming mailul cu SSL.
Pe siteul oricarui producat de software care este o organizatie al carei scop este sa faca profit si nu sa fie de utilitate publica (chiar si Microsoft) vei gasi disclaimere in care spun ca DACA softwareul aia bug-uri „aia e” , fuck off.
Puţin Off-topic: domnule Deleanu, care e micul partid ăla transeuropenul şi cine a fost membrul Parlamentului European pe care l-aţi consiliat? Întrebare fără nimic ironic sau retoric, pur şi simplu nu am găsit pe nicăieri datele astea.
Internetul a devenit o minte globala. Securitatea datelor nu este o problema tehnica, ci una de bun simt.
Cine are ceva de ascuns, nu ofera acces nimanui la aceste date. Iar daca ofera acces la date, pericolul numarul 1 este factorul uman, nu cel tehnic. Masurile actuale de securitate, de obicei soft, reprezinta un raspuns absurd al conglomeratului global de interese comerciale, corporatiste, strategii nationale, servicii de securitate, politie, terorism, indivizi si obsesii.
Solutiile realiste sint simple si de natura hard, nicidecum soft. In opinia mea sint „sfinte” intrerupatoarele manuale, care intrerup curentul, conexiunea, camera video si microfonul. „Preotii” securitatii datelor sint operatorii, specialistii IT si administratorii. De ei depinde securitatea, si tot ei sint „ereticii” care incalca, sau de-a dreptul divulga, toate procedurile, secretele, parolele si timpeniile soft de securitate.
Iar protocoalele de internet elevate, limbajele superioare, nu se pot impune, intrucit mai-marii IT-ului au tot interesul sa mentina „vocabularul” informatic la nivel scazut, apropiat de cod-masina, inchipuindu-si prosteste ca-si pot ascunde spionajul, poate chiar sub pretentia protectiei consumatorului. E stupid, toate secretele pot fi descoperite, nimic nu poate fi ascuns mult timp. Un limbaj informational inalt, limitat in numar de cuvinte si FARA SECRETE, ar tempera obsesiile razboiului absurd intre productia de secrete, cea de virusi si anti-virusi, de producatori si consumatori de securitate, de dragul bolnavicios al securitatii.