Se pare că intrăm în epoca atacurilor cibernetice elaborate. Acum ceva vreme am asistat la cel asupra Sony Pictures; acum a venit rândul TV5 Monde. Vorbim de asemenea de un atac elaborat, plănuit și executat în mod profesionist, cel puțin așa pare. Deocamdată, prea multe amănunte nu știm. Dar în mod sigur nu e vorba de un puști care a găsit un server nepatch-uit la timp, ci de un atac în urma căruia 11 canale a trrebuit să își întrerupă emisia, iar TV5 a apelat la ajutorul ANSSI, Agenția Națională a Securității Informatice, într-o traducere ad-hoc.
Cum nu prea am mai avut evenimente care să aducă această instituție în prim-plan, nu știm dacă vom avea parte de prea multe amănunte în privința atacului; conform site-ului lor este o instituție înființată în 2009 și probabil că este cam prima ocazie a lor de a avea o opinie publică; deocamdată pe site-ul lor este doar un comunicat lapidar, ceea ce e normal.
Ceea ce este îngrijorător este că se dovedește din nou că multe instituții sunt nepregătite pentru aceste atacuri, ceea ce va da apă la moară “serviciilor:” să reclame din nou atribuții sporite în domeniu.
Nu demult am scris un articol referitor la propunerea de lege acum defunctă din parlamentul nostru, supranumită “legea BigBrother”, ocazie cu care mi-am si atras suspiciunea unor cititori; îmi mențin însă părerea că o atitudine mai constructivă este punerea legii în acord cu drepturile omului și cu Constituția decât respingerea ei apriori. Respingerea ei va face doar să fie amânată până în momentul în care un eveniment critic se va produce, moment în care se va invoca urgența și va fi adoptată fără prea mari mofturi; punerea ei în discuție acum, când nu e nici o situație iminentă, ne-ar da șansa să o transformăm într-o lege rezonabilă.
Tv5 Monde, un post la care mă uitam cu plăcere pe vremea în care încă mai suportam televizorul ( cred că aveau printre cele mai bune documentare din tot ce circula prin “cablul” meu) , este o instituție de stat care a avut si ea de-a face cu toate constrângerile bugetare venite o dată cu criza; fără să am informații din interior pot presupune în mod rezonabil că departamentul IT nu a făcut excepție. Dar problemele nu sunt legate aici doar de departamentul IT; de obicei acest tip de atacuri folosesc o combinație de inginerie socială, hacking și chiar metode clasice de efracție. Ce s-a întămplat cu adevărat, încă o dată spun, nu știm. Dar eu personal nu știu nici o firmă la care departamentul de IT să colaboreze proactiv cu cel de HR și cu firma de pază pentru menținerea securității generale, pentru că în definitiv securitatea IT e doar o parte din întregul angrenaj. Să ne imaginăm un scenariu în care un server este furat (fizic) , compromis prin adăugarea unui cont de administrator, după care sistemul este atacat folosind acest cont. E un scenariu un pic exagerat pentru a sublinia ideea, dar e posibil; în această perspectivă, chiar dacă departamentul IT și-a făcut treaba, atacul este posibil deoarece veriga slabă e în altă parte. Nu mai discut cazul în care ar exista un “sabotor” din interior.
OK, o politică IT corectă trebuie să abordeze și aspectul “securității fizice” măcar ca principiu, dar de obicei nu trece de nivelul cerinței de a avea o încăpere cu acces limitat și eventual senzori de acces.
În general măsurile de securitate trebuie să fie proporționale cu amploarea eventualelor efecte. Sigur, dacă ești o bancă, lucrurile sunt mai elaborate din punct de vedere al securității; acum însă constatăm că există acest gen de ținte cu care nu eram obișnuiți în trecut: instituțiile publice (și probabil și private) de media, care pot asigura o expunere propagandei diverselor mișcări de toate felurile, pentru că islamul radical este doar una din mișcările care se tot zbat în zilele noastre să-și difuzeze ideile.
Așa cum prăbușirea WTC ne-a obligat să regândim backup-ul, dând un impuls storage-ului într-o locație geografică diferită ( la ce bun să ai un backup care arde o dată cu serverul?) probabil că proliferarea acestor grupări ne va obliga să reevaluăm riscurile de a fi un site popular. Pentru că nu ne mai confruntăm cu adolescenți în căutarea gloriei, ci cu echipe de comando.
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Intradevar foarte elaborat atacul avand in vedere ca parolele si conturile atarnau pe peretii redactiei in timp ce ei comentau pe post =))
https://i.imgur.com/38LT5LQ.jpg
Articolul e scris inainte de Paste si nu aparusera amanunte legate de cauze si mod de operare. Insa imi vine greu sa cred ca emisia a fost perturbata fiindca atacatorul a avut acces la o parola de user de Active Directory sau de mail; mai degraba astea sunt amanunte semnificative care sa demonstreze lipsa politicii IT.
Se pare ca problema e mai complexa si consta in pregatirea angajatilor in fata atacurilor gen phishing, antivirusul, IDS-ul, segmentarea retelei si calutii troiani. Atacul pare sa fi inceput in Ianuarie cand s-a trimis phishing iar clickul a instalat troieni. Troienii au ramas nedetectati si eu trecut prin sistemul lipsa de IDS/IPS si prin firewall pe porturi standard sau deschise fara control.
Nesegmentarea retelei si relatiile trust intre toate calculatoarele a general restul – nimic complex cand se combina lipsa de buget, echipa neantrenata si niciun program de invatare pentru useri.
Mie mi se pare dubios ca o firma privata apeleaza la serviciile unei institutii de stat (servicii secrete) pentru a-i proteja reteaua de calculatoare.
Mi se pare insa demna de luat in seama noua forma de terorism indreptata impotriva tintelor soft.
Nu vad nimic dubios ca o firma privata (Tv5 e „de stat”) sa apeleze la servicii in momentul in care e depasita de situatie. Dvs nu chemati politia? :) E drept, nu stiu in ce masura aceste situatii sunt reglementate de legislatie; daca imi ia foc casa e firesc sa sun la pompieri; din moment ce platesc taxe ( francezii chiar avand o institutie care se ocupa de amenintarile informatice) nu mi se pare nefiresc, avand in vedere ca e in definitiv un caz de terorism. Nu o sa ii chem daca primesc spam cu Viagra :)
Tocmai ca situatiile astea ar trebui reglementate cumva ( daca sun la pompieri si nu e incendiu primesc amenda) pentru a fi clar cand ii pot chema, cand pot ei sa-mi bata la usa si cand nu, altfel se ajunge la abuzuri inevitabil.
Gresit – din nou, dar nu ma mira!
Si iata de ce: am inceput sa percepem calculatorul ca pe o comoditate – maica-mea, la 81 de ani, isi scrie cartile”pe calculator” – fara a tine cont ca, prin conexiunea la Internet, facem parte din ecosistem. Este oare etic sa se sparga conturi, sa se intervina asupra paginilor web sau sa se citeasca informatii in mod neautorizat? Desigur ca nu, doar ca aceste lucruri se intampla si se vor intampla si de acum incolo: este un aspect psiholoic care nu trebuie neglijat, atunci cand intri pe un server insuficient securizat nu „vezi” fata celui pe care il lovesti pentru a-i fura portofelul!
Dar ce doreste autorul? Desigur, mai mult control din partea statului-dadaca, pentru a ne feri de propriile greseli si a permite autoritatilor sa traseze atacurile informatice, spre binele nostru, al tuturor! Evident, niciun cuvant despre idiotenia celor care folosesc parole usor de depistat, niciun cuvant despre cei care deschid orice le soseste pe mail: pe scurt, niciun comentariu la adresa idiotilor care nu ara trebu idotati cu acces la tastatura! Este ca si cum autorul ar fi de acord sa-mi las ceasul de aur in drum si apoi ar milita pentru dreptul politiei de a impusca pe toti cei care se apleaca!
Hai sa fim seriosi, domnule Badici: legea Big Brother este un abuz al drepturilor fiecaruia dintre noi, iar daca dobitocii ar obtine beneficii de pe urma ei atunci sa li se aplice in mod exclusiv, eventual pe baza unei cereri: „Subsemnatul X, CNP ______ declar ca sunt dobitoc si vreau sa-mi monitorizeze statul calculatorul. Aferim!”
Eu nu imi doresc mai mult control; eu doar spun ca se va intampla. Legea nu se va adopta acum; intr-o buna zi cineva va bloca un post de televiziune chiar cand va rula Suleiman sau care mai e telenovela la moda, si atunci ne vom trezi cu „salvatorii” de la SRI iar legea va trece asa cum vor vrea ei, in aplauzele batranicilor fericite. Vom mai avea atunci ceva de spus?
In ceea ce priveste cei care nu au educatia necesara folosirii calculatorului, ei exista si vor exista; solutia este ca sistemele sa fie suficient de separate incat spargerea contului secretarei sa nu poata afecta computerele de emisie. Inca nu am aflat daca sistemele de la TV5 au fost chiar asa de prost proiectate sau atacul a fost suficient de complex, ma voi interesa. Dar sunt convins ca o persoana cu minime cunostinte de IT poate intra in sistemul oricarei primarii din Romania daca isi propune.
De cate ori ma gandesc la aceasta lege, imi vin in fata ochilor babutele insirate in fata Politiei Capitelei, trantind sacose in capul celor „arestati” de mineri. Desigur, atunci sacosele vor fi virtuale :)
Dupa cum vedeti, dl Maior e deja la datorie :)
Nu am lucrat la TV5, nici nu stiu cum ar fi ei organizati din punctul de vedere a securitatii informatice. Dar lucrez in Franta de aproape 20 ani si am avut ocazia sa trec pe la câteva dintre ele, ca prestatar de servicii. Cand am aflat la stiri ca sistemul lor a fost penetrat, nu m-am mirat deloc!
Securitatea informatica este o chestie de educatie. Si in ziua de azi, dupa aceste atacuri, daca explici utiliatorilor ca trebuie sa schimbe parola in fiecare luna, si ca nu trebuie sa puna aceeasi parola, auzi raspunsul : „Dar eu folosesc aceeasi parola de cand am intrat ici” (poate fi si 20 de ani!). Iar cei ce trebuie sa foloseasca parole complexe nu ezita sa si le scrie prin carnetele sau, mai rau, prin telefoane. Unii, mai pusi pe glume, imi raspundeau ce eu sunt preocupat de asta din cauza trecutului meu in Romania Securitatii :-)
Dar si daca se schimba parolele, ramane mult de lucru pentru ca nici uneltele pe care le folosesc nu sunt sigure. Sistemul de operare majoritar permite executarea automata a tot soiul de programe primite prin mail sau prin JavaScript, ce profita de o intreaga serie de vulnerabilitati. De exemplu exista in acest moment un val de atacuri CryptoLocker care a fost introdus de comercialii de pe teren, care-si conectau laptorile la WiFi gratuit prin cafenele, fara sa treaca prin VPN. Cand veneau inapoi la firma, conectau portabilele pe LAN si CryptoLocker se apuca de treaba pe discurile de retea! Noroc cu celelalte proceduri de securitate – copiile de siguranta. Este posibil ca penetrarea de la TV5 sa fi urmat o cale asemanatoare, nu crezi?
Ceea ce ziceti dumneavoastra e foarte probabil sa fie adevarat ( daca nici eu nu stiu cat trebuie sa te lupti cu utilizatorii pentru politica de parole… nimeni nu stie :) Daca la nivelul conducerii nu ai sprijin total, nu ai nici o sansa ) Insa in mod normal un astfel de atac ar trebui sa se opreasca, sau cel putin sa fie controlabil, in zona echipamentelor de emisie. Adica sistemele care asigura emisia ar trebui nu neaparat sa fie imune dar sa poata fi usor izolate de reteaua locala in caz de atac. Adica, sa zicem, daca fluxul de date de la studio a fost compromis, sa aiba macar posibilitatea sa fie oprit si sa comute pe ceva preinregistrat ( documentarul despre pestisori) . Ori ei au anuntat ca au pierdut controlul asupra emitatoarelor un timp destul de indelungat; asta imi vine greu sa cred ca e de la virusi in retea. Din cate vad, ANSSI-ul lor e la fel de „transparent” ca ai nostri… deocamdata nu a aparut nimic concret.