Un miliard de dolari dispar din conturile a peste 100 de bănci din 30 de țări. Documente confidențiale, ce țin se securitatea națională, ies la iveală când mailul șefului CIA este spart. O regiune întreagă din Ucraina rămâne în beznă în Ajunul Crăciunului.
Nu sunt scenariile vreunui joc de strategie la care lucrează giganții din gaming, ci doar câteva dintre știrile care au ținut primele pagini ale ziarelor din întreaga lume în 2015 și 2016. Ce au în comun? Au fost atacuri cibernetice bine puse la punct de hackeri experimentați.
”Acest tip de atacuri nu sunt realizate de copii care stau în beciul părinților și scriu malware”, mă șochează Bogdan Botezatu, senior eThreat analyst în cadrul Bitdefender, și îmi distruge un mit care mă însoțea de ceva vreme.
Îmi și imaginam cum o mână de adolescenți rebeli în haine ponosite, îndopați cu burgeri, ciocolată și Coca-Cola, care au dat peste un kit despre cum să scrii cod pentru un virus informatic, visează să facă bani, să câștige notorietate sau doar să se ”joace” cu nervii autorităților publice ale unei țări.
”Sunt create de indivizi înrolați în armată. Planurile acestea se fac pe termen lung, ca la șah”, îmi mai spune Bogdan.
Ce înseamnă un atac persistent?
În contextul în care, la nivel mondial, în acest moment există peste 6 miliarde de dispozitive conectate la internet (companiile de cercetare estimează ca rata de creștere e de 5 milioane zilnic), iar numărul lor ar putea depăși 20 de miliarde în următorii 4 ani, nu e de mirare faptul că aproape 1 milion de atacuri de tip malware sunt lansate zilnic asupra gadgeturilor pe care le folosim.
Iar motivațiile hackerilor sunt diverse: de la un câștig financiar rapid (câteodată destul de nevinovat) – spam, key logging (înregistrarea fiecărei taste apăsate de un utilizator), tranzacții bancare - la așa-numitul hacktivism, ce mizează pe demonstrarea unui punct de vedere (religie, proteste ale minorităților sau dezacordul cu legile unui stat).
Însă, cel mai periculos tip de atac este cel pe care specialiștii îl denumesc Advanced Persistent Threat (APT), malware cu țintă precisă, detectabil abia după câțiva ani, cu o tehnologie extrem de sofisticată și complexă, apanajul atacurilor la adresa statelor lumii.
”Una dintre caracteristicile APT-urilor este că nu prea există un remediu universal. De obicei, ne dăm seama că am fost victima unui astfel de atac după vreo 2-3 ani. De aceea se și numește persistent, pentru că malware-ul acela stă în rețea și își face treaba: fură informații, supraveghează, caută procese industriale”, explică specialistul Bitdefender.
Un APT e mereu sponsorizat de stat, investiția în el fiind uriașă.
Un astfel de atac costă peste 1 milion de dolari pentru a fi dezvoltat și trebuie să respecte o linie destul de clară: să aibă niște tehnici atât de noi încât industria să nu-l poată detecta foarte repede
”Un astfel de atac costă peste 1 milion de dolari pentru a fi dezvoltat și trebuie să respecte o linie destul de clară: să aibă niște tehnici atât de noi încât industria să nu-l poată detecta foarte repede. El trebuie să stea nedetectat, să își facă treaba în fundal și apoi să se sinucidă într-un mod controlat”, completează Bogdan Botezatu.
În era tehnologiei, spionajul se face online. Nu mai avem nevoie de un James Bond care să-și folosească farmecele pentru a afla informații confidențiale legate de securitatea națională. Teroriștii cibernetici se folosesc de libertatea internetului pentru a îngenunchea națiuni și sute de milioane de oameni ce stau online 24 din 24 de ore. Prejudiciul adus la nivel mondial prin atacurile informatice de tip criminal a fost de peste 500 de miliarde de dolari în 2015.
Având cel mai rapidă conexiune la internet din Uniunea Europeană, dar fără a conștientiza și nevoia instalării unor sisteme de securitate, precum și în absența unui cadru legislativ pentru securitatea cibernetică, România poate fi văzută drept raiul hackerilor: atacurile sunt îndreptate spre instituțiile statului sau către actori din mediul privat, în același timp țara fiind folosită și ca pârghie pentru atacurile îndreptate spre alte state.
Marile bătălii virtuale
Mare parte din amenințările zilnice din zona securității cibernetice nu sunt periculoase. Cu toate acestea, dacă vor fi scrise cărți de istorie despre perioada în care trăim, vor trebui menționate mari bătălii ale spionajului informatic care au avut loc în timpuri contemporane cu noi. Spre deosebire de șarjele de război din trecut, acestea sunt tăcute, „ninja”, luptători care intră în sisteme și le spionează în timp, câțiva ani.
Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), entitate aflată sub coordonarea Ministerului Comunicațiilor și Societății Informaționale (MCSI), anunța la începutul acestui an faptul că, în 2015, a colectat și procesat peste 68 de milioane de alerte de securitate cibernetică. Deși impresionantă, cifra este oricum cu 13% sub cea din 2014.
Există multe zone vulnerabile în materie de soluții hardware și software folosite, în special în cadrul instituțiilor guvernamentale. Multe calculatoare din România încă rulează sistemul de operare Windows XP
Astfel, 8% din alertele procesate de CERT-RO în 2015 se referă la sisteme vulnerabile, și anume servere care sunt expuse pe internet, fiind configurate prost sau care nu sunt actualizate și sunt folosite ca punct de tranzit pentru derularea atacurilor.
”Există multe zone vulnerabile în materie de soluții hardware și software folosite, în special în cadrul instituțiilor guvernamentale. Multe calculatoare din România încă rulează sistemul de operare Windows XP, sistem pentru care cei de la Microsoft au oprit dezvoltarea de update-uri, inclusiv update-uri de securitate”, afirmă Ștefan Tănase, Senior Security Researcher la Kaspersky Lab.
În același timp, 21% dintre alertele identificate de CERT-RO se referă la infecţii cu malware. Dacă un atacator vrea să îşi facă o reţea botnet (transformarea calculatorului într-un zombi care disipă viruși mai departe în rețea), va alege cu siguranţă victime din România, în același context al performanțelor pozitive din punct de vedere tehnic. Odată ce ,,gazda” s-a instalat pe servere din România, nu mai există niciun impediment în a lansa atacuri sau activități ilegale în numele infrastructurii din România, după cum arată un studiu publicat recent de Strategikon. Acest lucru face și identificarea țării-sursă mult mai dificilă, pentru că aceasta se ascunde în calculatoare infectate din diverse țări.
Tendința în acest moment este ca atacurile cibernetice direcționate, cu un grad ridicat de complexitate și cu un potențial de risc major să se mențină pe o pantă ascendentă, prin identificarea si exploatarea a noi vulnerabilități de securitate la nivelul aplicațiilor software sau resurselor hardware utilizate de catre instituțiile țintă, fie că acestea fac parte din mediul public sau privat.
Internetul a fost gândit inițial ca nereglementat, iar combinația dintre lipsa reglementării și accesibilitate a generat o abundență de date protejate insuficient
”Atacurile cibernetice au evoluat ca urmare a modului în care societatea a adoptat din ce în ce mai rapid accesibilitatea internetului. Internetul a fost gândit inițial ca nereglementat, iar combinația dintre lipsa reglementării și accesibilitate a generat o abundență de date protejate insuficient”, spun oficialii MCSI.
În atacurile orchestrate la nivel statal, cele mai vulnerabile sunt dispozitivele de serviciu, care pot ajunge, fizic sau virtual, pe mâna unui spion cibernetic. ”În timpul unor conferințe laptopul poate rămâne, pentru ceva timp, nesupravegheat, în camera de hotel. Sau se poate întâmpla ca aceste dispozitive să fie conectate la rețele WiFi considerate sigure și să fie furate date importante de pe ele, cum a fost cazul campaniei de spionaj cibernetic Darkhotel. Gruparea acționa în hoteluri de lux, sustrăgând informații confidențiale de la directori de companii aflați în afara țării”, spune Ștefan Tănase.
În esență, printre cele mai cunoscute atacuri informatice ale ultimilor ani lansate la adresa instituțiilor românești se numără Epic Turla, activ din 2012 și descoperit de echipa Kaspersky Lab. Acțiunile acestui grup vizau mai multe organizații guvernamentale (ministere, servicii de informații), ambasade, institutii ale armatei, organizații din cercetare și educație, cele mai multe fiind localizate în Orientul Mijlociu și în Europa. Dacă Franța a avut cel mai mare număr de victime, România s-a clasat pe locul al 7-lea, cu 15 adrese afectate.
Nu mai devreme de luna iunie a acestui an, specialiștii Bitdefender anunțau că birourile unor instituții românești din străinătate au fost, timp de doi ani, ținta unui atac avansat și persistent (APT). Amenințarea denumită Pacifier de către analiștii Bitdefender a fost detectată în calculatoarele instituțiilor românești din Iran, India, Filipine, Rusia, Lituania, Thailanda, Vietnam și Ungaria. Atacatorii au folosit documente infectate, precum CV-uri, anunțuri de vânzări de mașini și invitații la evenimente diplomatice, trimise de pe adrese de mail aparent legitime, aparținând unor instituții și persoane reale, pentru a obține accesul neautorizat la sisteme informatice.
Iar APT28 (amenințare cibernetică persistentă și complexă care viza companii și instituții de stat), cunoscută și sub denumirea Sofacy, anunțată la finalul anului trecut a fost dezvoltată de vorbitori de limbă rusă și a făcut parte dintr-o operațiune amplă de colectare de date provenite de la victime selectate după criterii specifice de importanță strategică. Printre țintele vizate de atacatorii ruși au fost și instituții guvernamentale din România.
Un alt caz celebru a fost Octombrie Roșu, o campanie de spionaj cibernetic care viza instituții diplomatice, guvernamentale și de cercetare din mai multe țări și urmarea sa colecteze documente de importanță geopolitică, pentru a le vinde altor state.
De altfel, începând cu 2011, momentul identificării atacului Octombrie Roșu, primul atac statal identificat în România, numărul atacurilor la adresa statului român a fost într-o creștere permanentă. Avertizarea specialiștilor din cybersecurity: dacă APT-urile aveau o frecvență de unul la 3 ani, acum se confruntă cu 3-4 atacuri majore anual (studiile arată că, în medie, un atac de tip APT este depistat după 254 de zile de la momentul producerii).
Preocuparea față de măsurile de securitate cibernetică au luat avânt în ultimul deceniu, alimentate și de efervescența atacurilor teroriste, atacatorii reușind, deseori, să se camufleze în spatele portițelor digitale.
Strategia pe Securitate Cibernetică a Uniunii Europene, din februarie 2013, elaborată de Înaltul Reprezentant al Uniunii și de Comisia Europeană a stabilit cinci arii prioritare: reziliența cibernetică și securitatea infrastructurilor, reducerea infracțiunilor cibernetice, politici de apărare cibernetică și capabilități legate de Politica de Apărare și Securitare Comună, dezvoltarea de resurse specifice industriale și tehnologice și o politică europeană a spațiului cibernetic.
Astfel, potrivit informațiilor din studiul Stategikon, Marea Britanie are o strategie comprehensivă de securitate cibernetică, care a fost lansată în 2011 și care e completată de un cadru legal puternic în domeniul securității cibernetice și de două echipe pentru intervenție cyber de urgență (CERT-uri).
Franța are o strategie a securității cibernetice în vigoare din 2011, deși aceasta se concentrează mai mult pe apărare și chestiuni de securitate națională. Italia și-a înnoit legile privind securitatea cibernetică în 2007 și a adoptat planuri pe securitate cibernetică în 2013 și 2014. Totodată, Germania a adoptat o strategie comprehensivă de securitate cibernetică în 2011 și a completat-o cu un puternic cadru legal. Amintim și de SUA, unde președintele Obama a decis suplimentarea cheltuielilor guvernului pe zona de cybersecurity cu 5 miliarde de dolari.
Actorii statali din România nu sunt, totuși, străini de subiectul cybersecurity, chiar dacă în acest moment nu există o lege a securității cibernetice (Curtea Constituțională a decis în 2015 că Legea Securității Cibernetice este neconstituțională, în acest moment, MCSI având în dezbatere publică un nou draft al legii).
”Preocupările pentru spațiul cibernetic au început și la noi încă din anul 2006 când a fost definit domeniul cyber inteligence ca un domeniu de preocupare la nivelul CSAT, iar începând cu anul 2008, SRI a fost desemnat ca autoritate națională în domeniul cyberintelligence și există din această perioadă preocupări permanente pentru dezvolarea domeniului. Începând cu anul 2013, în cadrul serviciului s-a înființat această unitate distinctă care se ocupă cu problematica amenințărilor cibernetice”, spune Florin Cosmoiu, directorul Centrului Național Cyberint din cadrul Serviciului Român de Informații.
Rolul centrului este de a identifica amenințările online. ”Noi trebuie să cunoaștem, să prevenim și să înlăturăm amenințările provenite din spațiul cibernetic”, mai spune șeful Cyberint și continuă: ”Având în vedere apartenența României la strucuturile NATO și ale Uniunii Europene, suntem la fel de tentanți ca orice țară membră a UE”.
Războiul cibernetic – realitate sau titlu bombastic?
Vorbim despre atacuri cibernetice asupra unor infrastructuri strategice, de interes național, de extragere de informații de politică externă, militare sau de cercetare care au ca rezultat scoaterea din uz a unui stat. Putem afirma, așadar, că suntem în plin război cibernetic?
Aici părerile sunt împărțite. Însă răspunsul diplomat pe care l-am primit de la șeful Cyberint este o indicație clară asupra modului în care va evolua acest subiect. ”În luna iulie, la Varșovia, NATO a luat decizia de a declara spațiul cibernetic ca spațiul operațional. Deci, începând cu luna iulie, spațiul cibernetic urmează să fie tratat ca și celalte spații militare - terestru, maritim, aerian și cosmic. Spațiul cibernetic este un al 5-lea spațiu care va intra într-un proces de planificare, de dezvoltare de capabilități ofensive și defensive. Cu toate acestea, pentru a acuza un stat de comiterea unui act de război în spațiul cibernetic este necesară atribuirea fără echivoc atacului cibernetic, deziderat care pune mari probleme comunității internaționale”, îmi spune Cosmoiu.
Conceptul de război implică cel puțin două tabere adverse care încearcă să producă pagube una celeilalte. În acest context, lipsa reglementării joacă un rol important
”Conceptul de război implică cel puțin două tabere adverse care încearcă să producă pagube una celeilalte. În acest context, lipsa reglementării joacă un rol important. Un alt rol extrem de important este decizia unor companii de a plasa în acest spațiu nereglementat sisteme critice, fără a lua în calcul faptul că acestea ar putea fi vulnerabile fie din momentul implementării, fie în timp. Totuși, se observă realizarea de prejudicii (atât la nivel personal, cât și la nivelul companiilor) ca urmare a atacurilor cibernetice. Dacă aceste prejudicii sunt suficiente pentru a califica un atac ca fiind un act de război sau nu, este o decizie pe care o pot lua instituțiile abilitate din țara noastră”, afirmă oficialii MCSI.
Dacă specialistul Kaspersky este de părere că un război cibernetic nu se duce izolat, ci este doar o armă în plus din arsenalul unui stat, reprezentantul Bitdefender este categoric: ”Este foarte ușor să destabilizezi un stat în ziua de azi. Trebuie doar să apeși câteva butoane”. Ba mai mult, prin documentele administrației americane se pare că există un mic paragraf în care se spune că atacurile cibernetice îndreptate împotriva altor state, au același statut ca și atacurile nucleare – se fac cu aprobarea președintelui.
Este foarte ușor să destabilizezi un stat în ziua de azi. Trebuie doar să apeși câteva butoane
Totodată, la nivel NATO există și preocupări pentru a defini și dezvolta și cadrul juridic pentru desfășurarea unui război cibernetic. ”În acest sens a fost elaborat manualul de la Tallinn care interpretează regulile războiului clasic, cum ar trebui și ar putea fi aplicate și în războiul cibernetic”, mai spune Florin Cosmoiu.
Elaborat între 2009 și 2013, manualul are rolul de a reglementa la nivel mondial atacurile informatice sponsorizate de state. Documentul, care benficiază în acest an de o versiune lărgită, conține peste 90 de reguli stricte despre ceea ce este permis și interzis într-un război informatic. De exemplu, guvernele nu au voie să atace civili, spitale, centrale nucleare, baraje şi diguri, deoarece astfel de acţiuni ar putea duce la pierderi masive de vieţi omeneşti. În plus, contra-măsurile unui stat, luate proporțional cu dimensiunea atacului online, sunt permise.
Alianțe contra amenințărilor virtuale
”Orice stat este vulnerabil în fața unui atac cibernetic, fiind necesară cooperarea la nivel internațional pentru a putea face față provocărilor generate de amenințările din spațiul cibernetic”, afirmă directorul Cyberint.
Potrivit acestuia, centrul a devenit un pion extrem de important în cadrul activității NATO din zona de cybersecurity. În acest sens, SRI și Ministeul Apărării Naționalea semnat un memorandum de înțelegere pe zona de cyber-defence cu NATO, România dezvoltând o serie de proiecte de smart-defence. Astfel, țara noastră participă anual la exerciții de securitate cibernetică, denumite Cyber Coalition, fiind responsabilă pentru elaborarea scenariilor și desfășurarea exercițiilo. În plus, specialiștii centrului Cyberint asigură configurarea platformei cyber range (deținută de Estonia), pe care se face trainingul specialiștilor și dezvoltarea tehnologiilor de cyberintelligence. ”Scenariile se inspiră din atacuri reale sau potențiale. Sunt scenarii foarte interesante și aplicate pe situații reale”, completează Florin Cosmoiu.
Centrul pe care îl conduce nu este singura entitate din țara noastră care colaborează cu instituții din afara granițelor. Platforma românească CFT365 asigură trainingul specialiștilor din cybersecurity pentru guvernul din Luxemburg.
Specialiștii Bitdefender colaborează în prezent cu guvernul danez, securizând tot ceea ce înseamnă operațiune guvernamentală în Danemarca. Iar alte proiecte ale companiei au presupus proiecte cu instituții din Marea Britanie, Spania și, bineînțeles, România.
”Facem traininguri și organizăm conferințe cu specialiști în domeniu. Avem un serviciu de forensics gratuit. În momentul în care un stat devine victima unui astfel de atac, dar nu are resursele necesare pentru a-l analiza, ne poate contacta. În plus, avem grupuri de lucru chiar la nivel de industrie. Oameni din mai multe companii din domeniul securității lucrează împreună pentru rezolvarea unui malware”, spune Bogdan Botezatu, senior eThreat analyst în cadrul Bitdefender.
”Atunci când am descoperit atacuri asupra unor instituții, am avertizat autoritățile și am lucrat împreună pentru rezolvarea acelei situații. Acest lucru este valabil și în alte țări în care compania noastră este prezentă. Colaborăm cu instituții transfrontaliere cum sunt EUROPOL sau INTERPOL”, completează și Ștefan Tănase, Senior Security Researcher la Kaspersky Lab.
Potrivit lui Florin Cosmoiu, începând cu anul 2013, prin hotărâre CSAT a fost aprobat Planul de acțiune la nivel național prin implementarea Sistemului Național de Securitate Cibernetică. Acesta reprezintă cadrul general de cooperare și reunește autorități și instituții publice, cu responsabilități în domeniu, în vederea coordonării acțiunilor la nivel național pentru asigurarea securității spațiului cibernetic. Planul include și cooperarea cu mediul academic și cel de afaceri, asociațiile profesionale și organizațiile nonguvernamentale.
Facultățile nu educă specialiștii în securitate cibernetică
În ciuda tuturor acestor colaborări între instituțiile de cybersecurity ale statului și firmele private din domeniu, există un aspect pentru care vor fi mereu în competiție: resursa umană.
Cum securitatea cibernetică nu este încă o materie studiată în facultățile de IT de la noi, bătălia pentru recrutarea și păstrarea tinerelor talente este tot mai acerbă.
Este foarte greu să crești talent. Nu există nicio școală în România care se poate învăța securitate cibernetică, despre tehnologia antimalware sau despre cum să analizezi un virus
”Este foarte greu să crești talent. Nu există nicio școală în România care se poate învăța securitate cibernetică, despre tehnologia antimalware sau despre cum să analizezi un virus. Este și una dintre problemele noastre. Să recrutezi oameni noi este o provocare. Talentul costă. Este un cost pe care instituțiile de stat cu bugetele pe care le au nu reușesc să îl acopere. Un tânăr vine să lucreze 2-3 ani, să câștige experiență, apoi pleacă în mediul privat unde salariile sunt mult mai atractive, tehnologiile sunt mai noi, opotunitățile de viitor sunt mai mari”, spune Botezatu și adaugă că Bitdefender derulează un program la Iași prin care instruiește studenții din IT
Concurența pe piața muncii este una foarte acerbă, și pe zi ce trece devine tot mai greu să identificăm tineri absolvenți pe care să-i aducem în cadrul centrului
Conștient că salariul nu poate fi un factor decisiv pentru tinerii specializați în domeniul tehnologic, șeful centrului Cyberint mizează pe atractivitatea jobului din cadrul instituției. ”Concurența pe piața muncii este una foarte acerbă, și pe zi ce trece devine tot mai greu să identificăm tineri absolvenți pe care să-i aducem în cadrul centrului. Dar, prezentându-le activitățile care se fac aici, provocările care există, faptul că, probabil, este singurul loc în care pot pune în practică, legal, anumite cunoștințe, pentru unii este o provocare și reușim să motivăm și să recrutăm tineri cu o pregătire de excepție”.
Vremurile spionilor tradiționali se apropie de final. Astăzi, informațiile pot fi obținute cu ușurință din fața ecranului unui calculator, iar o invazie devastatoare nu mai are neapărată nevoie de apariția unor tancuri sau a unor avioane. Astăzi, zona cyber este noul câmp de război, iar invaziile sunt formate din șiruri întregi de 1 și 0.