Când auzi „atac cibernetic”, ai impresia că este ceva din viitor, foarte periculos sau ceva care se întâmplă undeva departe de tine, oricum altora. Din păcate, viitorul este prezent de mult, iar despre atacurile cibernetice vs. securitatea cibernetică o să tot auzim.

Eu m-am confruntat cu asta, exact acum o lună, când din cauza unui atac cibernetic asupra serverului unde stătea frumos blogul meu, a năvălit atacul. Așa am rămas fără cele aproape 1000 de articole, din ultimii 6 ani. N-am avut BACKUP la blog!

Despre atacurile cibernetice, cyber security, cum ajungi să fii victima unui astfel de atac, metode de prevenție, dacă (nu) plătim răscumpărare datelor, cum și ce parole să folosim,  „No More Ransom”, un proiect Kaspersky făcut în parteneriat cu Poliția Olandeză, EuroPol și IntelSecurity, din care face parte și Poliția Română  și alte lucruri  #DeȘtiut, am discutat cu Ștefan Tănase – Senior security researcher Kaspersky Lab.

Paradoxul situației este că discuția noastră despre securitatea cibernetică a început cu și despre BACKUP, deoarece i-am povestit cum o instituție din România și-a pierdut date foarte importante din cauza  ransomware.

Ștefan Tănase: Backup-ul este sfânt! Știu de cazuri cu spitale care din cauza ransomware le-au fost criptate fișele medicale ale pacienților. Cei de la Hollywood Medical Center  au plătit 17.000$ pentru recuperarea datelor.

Mihaela Ivan: În afară de backup, ce poți să mai faci, ca să previi pierderea datelor?

Ștefan Tănase: Aceste ransomware-uri nu se răspândesc printr-o metodă foarte sofisticată. De obicei ele se trimit pe e-mail, se folosesc de niște vulnerabilități vechi, deci sunt valabile sfaturile devenite deja clasice:

  • să ai totul updatat la zi,
  • să nu folosești software vechi,
  • să ai o soluție de securitate instalată, modernă și bineînțeles updatată la zi și
  • foarte important, să fii atent la ce atașamente deschizi.
  • Plus backup-ul care te ajută și dacă îți pierzi laptopul sau în alte situații în care nu este din cauza unui atac cibernetic.

„A folosi antivirus pe un sistem care nu primeşte update-uri, e ca şi cum ţi-ai cumpăra o încuietoare senzaţională şi ai ţine-o într-o casă în care nu ai ferestre.”- Ștefan Tănase

Mihaela Ivan: Am început să conștientizăm pericolul atacurilor cibernetice, deoarece vedem că unor vedete li s-au spart e-mailurile, regăsim subiectul și în mediul politic, dar utilizatorii trebuie să știe că și lor li se poate întâmpla asta. Aș vrea să vorbim despre  pericolul atacurilor pe mail.

Ștefan Tănase: Am observat și eu că în ultimii doi ani, lumea a devenit foarte interesată de subiectul acesta, cyber security. În cele mai multe cazuri de SMB-uri infectate cu ransomware, vectorul de infecție este într-adevăr, atașamentul malware/ e-mail, spam, fishing, dar toate acestea fiind nesofisticate.

Asemenea altor tehnologii care se bazează pe internetul pe care îl folosim în ziua de azi, e-mailul a fost dezvoltat cu ani în urmă, în mediul academic, pentru un internet mult mai mic, de niște cercetători care se cunoșteau între ei și nu își imagina că internetul va ajunge să aibă și băieți răi/ infractori cibernetici. Acum, infractorii aceștia cibernetici găsesc niște „portițe” prin care păcălesc utilizatorii.

Mihaela Ivan: Era o vreme, poate și acum mai primesc unii tot felul de prezentări power point cu pisici, unele motivaționale, printre care, unele erau infectate.

Ștefan Tănase: Da,  utilizatorii de rând primesc mailuri cu atașamente malware. Acestea pot să vină și sub forma unor facturi, rapoarte cu update-ul la o comandă pe care tu de fapt n-ai făcut-o. Astfel, infractorii cibernetici încearcă să-și personalizeze cât mai mult conținutul e-mailului, pentru a fi deschis de cât mai mulți utilizatori. Problema este că noi suntem obișnuiți să deschidem multe e-mailuri și nu suntem atenți la fiecare-n parte.

Asta la utilizatorii casnici, dar și la instituțiile guvernamentale sau companii este la fel. Cea mai mare parte dintre atacuri pornesc de la un e-mail malițios.

Așadar, e-mailul este cel mai facil punct de intrare pentru un atacator. Ei nu vizează direct ținta, ci o persoană care lucrează în departamentul unde se știe că există obișnuința să se deschidă un volum mare de e-mailuri (relații cu publicul, PR, HR etc.).

Însă, atacatorii avansați o să folosească atacuri de tip ZERO DAY, dar acestea sunt destul de rare.

Mihaela Ivan: Explică puțin ce înseamnă astfel de atacuri de tip ZeroDay.

Ștefan Tănase: O vulnerabilitate de tip ZeroDay este una pentru care încă nu există un patch/ nu a fost rezolvată, încă. Astfel, chiar dacă software-ul tău este updatat la zi, vei fi atacat. Se numește ZeroDay, deoarece în momentul în care noi, zona de cercetare, aflăm despre vulnerabilitate, începe o cursă pentru repararea vulnerabilității. Cursa asta se măsoară în zile, ziua 1, 2, 3, iar ZeroDay este ziua 0 în care nu există nici o rezolvare pentru vulnerabilitatea asta. Repet, acestea sunt foarte rare, de aceea recomandăm un AntiVirus updatat la zi, care își face treaba, în mod normal.

Mihaela Ivan: Care este scopul acelor atacuri în masă, randomizat, fără o țintă exactă, primite de utizatori care nu au date foarte importante?

Ștefan Tănase: Este un Joc al Numerelor, iar rata de succes a unei campanii de Spam este foarte mică. Adică sunt puțini cei care deschid mailurile și un număr și mai mic al celor care și deschid atașamentele.

Procentele fiind atât de mici, ei trebuie să trimită e-mailuri la foarte multe adrese, chiar și la un miliard de adrese.

Mihaela Ivan: Dacă utilizatorul a accesat atașamentul infectat, datele îi sunt criptate, apoi atacatorul poate să ceară răscumpărare. Voi ce recomandați, să se plătească răscumpărarea sau nu?

Ștefan Tănase: Zona de ransom a plecat de la atacarea utilizatorilor tradițional, până la organizații mici și mijlocii, unde, în ultima vreme sunt și răscumpărările mai mari. Au început să facă diferența între calculatorul unei mămici care are poze cu copiii ei sau calculatorul unui spital cu fișele pacienților și vor cere răscumpărarea în mod diferit.

Eu recomand să nu se plătească. E ca și atunci când negociezi cu teroriștii. Nu vrei să plătești răscumpărarea pentru că nu faci decât să încurajezi acest fenomen.

Sunt voci în zona de securitate cibernetică și law enforcement care recomandă să plătești , dar eu n-aș recomanda asta. Am văzut, chiar anul trecut, un start-up din Londra, o firmă specializată în a ajuta alte firme să plătească ransom-ul (răscumpărarea).

Neștiind să-ți cumperi bitcoins, să-i transferi și existând riscul să faci o greșeală să plătești ransom-ul, a apărut ideea acestor firme de plătit răscumpărări. Din punctul meu de vedere este greșit, deoarece incurajezi fenomenul.

Din păcate, sunt multe vicitime care plătesc, pentru simplu motiv că nu au backup, își pierd datele și vor cu orice preț să le recupereze.

Exemplu clasic este atunci când utilizatorul află lecția prea târziu, abia după ce i s-a întâmplat. (Exact cum am pățit și eu, când mi-am pierdut blogul.)

Mihaela Ivan: Să vorbim despre secutitatea e-mailului și cum reușesc să fie sparte parolele. Chiar am scris că parola „123456” încă este foarte des folosită.

Ștefan Tănase: Mulți utilizatori se confruntă cu problema aceasta, parola este spartă sau furată de malware-ul instalat pe calculator.

Este o problemă pe care cei mai mari provideri de e-mail, de exemplu Google/G-mail, au rezolvat-o, oferind fiecărui utilizator, gratuit, opțiunea de „two-factor authentication”.

Este de știut că acest feature de securitate nu este activat implicit. Adică, trebuie să știi de existența lui și să-l activezi. După activare, beneficiezi de un nivel de securitate echivalent cu securitatea unei platforme de online banking, doar că pentru e-mailul tău personal.

Cu cât vrei mai multă securitate, cu atât e nevoie să renunți la simplitate, iar pentru utilizatori, acest pas în plus, înseamnă timp, dar e nevoie destul de rar să faci autentificare în felul acesta, ai nevoie de codul acesta, când te logezi de pe alt device. Adică, exact ce se întâmplă când o persoană răuvoitoare vrea să îți acceseze e-mailurile.

Toate platformele mari au ajuns să folosească tipul acesta de autentificare, inclusiv Facebook, Twitter.

Mihaela Ivan: Dar avem atât de multe conturi pe care le accesăm zilnic, Facebook, Gmail, Twitter, Internet Banking etc. Toate acestea trebuie să aibe parole lungi, complexe, diferite. Unde putem să le ținem pe toate, într-un loc sigur? Varianta carnețelului fiind exclusă.

Ștefan Tănase: Există două abordări: soluții tehnice, noi le numim „Password Managers” și la Kaspersky avem această soluție pe care o oferim clienților. Sunt niște programe care te ajută să generezi niște parole random, lungi, complexe, te ajută să le ții minte și se bazează pe un Master Password cu care ai acces la toate celelalte.

O altă abordare este să îți construiești propriul tău algoritm mental de generat parole unice. Ai o parte din parolă care e aceeași și cealaltă o schimbi în funție de serviciul pe care îl accesezi. Oricare dintre cele două variante ai alegi, recomandarea mea este că activezi și „two factor authentication”. Astfel, crești foarte mult nivelul la care trebuie să fie atacatorul.

Mihaela Ivan: Am vorbit, până acum, despre posibilele atacuri cibernetice pe calculator, dar utilizatorii își accesează conturile de e-mail și nu numai și de pe telefon.

Ștefan Tănase: Cu fiecare an care trece, terminalele mobile sunt din ce în ce mai asemănătoare cu PC-urile, din punct de vedere al resurselor și, cel mai important pentru atacatori, al conexiunii permanente la internet. Asta face terminalele mobile foarte atrăgătoare pentru atacatori. Nu există la fel de mulți viruși pentru telefoane câți sunt pentru PC-uri, deocamdată, motivul fiind că aici piața de sisteme de operare mobile este fragmentată. Nu avem un lider clar, cum este Windows pe PC-uri. Însă, din câte vedem, malware-ul mobil țintește cel mai mult platforma Android.

Mihaela Ivan: Pe telefon, marea spaimă nu este neapărat că îți ia numerele de telefon și alte date, ci că îți deschide camera video.

Ștefan Tănase: Mie mi se pare mai periculoasă posibilitatea de activare a microfonului de la distanță, atât la telefon cât și la PC, putând să aibă acces la convorbirile ambientale. În mod normal, camera telefonului poate surpinde în general  tavanul, urechea. Dar este surprinzător cum se discută atât de mult despre activarea camerei și prea puțin despre activarea microfonului.

Mai mult, telefoanele sunt din ce în ce mai atractive pentru atacatori, deoarece este un device pe care îl ai mereu la tine, mereu deschis și are și GPS. Astfel, îți poate face și traseul, în mod automat.

Mihaela Ivan: Apropo de trasee și mașinile devin ținte ale atacurilor cibernetici.

Ștefan Tănase – Senior security researcher Kaspersky Lab: Ce atacuri am văzut în ultimii ani asupra mașinilor inteligente sunt atacuri proof of concept, făcute de cercetători pentru a aratăta că există o problemă. Oricum, mă bucură că văd producătorii de mașini că iau în calcul zona aceasta de securitate, deoarece software-ul mașinilor devine din ce în ce mai complex. De exemplu, un software al unei mașini din zilele noastre rulează mai multe linii de cod ca Windows NT, iar cu cât se deschide accesulla internet, cu atât crește nivelul de vulnerabilitate.

Mihaela Ivan: Care ar fi tendințele în zona atacurilor cibernetică în 2017?

Ștefan Tănase: Aș putea să zic că tot ransomware-ul. Tocmai de aceea, noi, de mai bine de un an, am început https://www.nomoreransom.org/ . Inițial, noi Kaspersky am făcut un parteneriat cu Poliția olandeză, EuroPol și IntelSecurity,  apoi s-a extins către alți zeci de parteneri, inclusiv Poliția Română, în proiectul „No More Ransom”, care a pornit de la echipa din care am făcut și eu parte ”GReAT” și Poliția din Olanda.

Poliția reușește să ducă o investigație acolo unde noi nu putem. Noi reușim să găsim malware-ul și de unde se conectează, mai departe, să duci investigația în zona de rezultate, ai nevoie de Poliție. Ce a fost diferit atunci, a fost că pe serverul de comandă și control au reușit să-l „captureze” se găseau toate cheile de decriptare, pentru toate familiile acelea de ransomware. Atunci ne-am dat seama că asta ar ajuta pe foartă multă lume, dacă am face publice cheile.

Este un site de informare, unde poți să găsești tool-uri de decriptare pentru multe familii de ransomware pentru care decriptarea este posibilă, plus o colecție de chei de decripare care au fost obțiunte în urma investigațiilor făcut în peste un an de zile.

Trendul cu ransomware-ul o să continue, deoarece infracționalitatea cibernetică este condusă de bani, de câștiguri financiare foarte mari, iar atâta timp cât nu o să se elimine câștigurile financiare, ei nu vor avea motive să se oprească.

Mihaela Ivan: Este ca și cum ai sparge o bancă, stând acasă?

Ștefan Tănase: Exact și apropo de bănci, pe România, din ce am observat în 2016, băncile de la noi au ajuns sub vizorul grupărilor de infracționalitate cibernetică specializată pe atacat clienți de online banking. Până acum, de când fac cercetare, România a fost ocolită de astfel de ameninințări, atât de malware-ul bancar, cât și de dispozitivele de skimming de la bancomate/clonare carduri. Au fost foarte puține cazuri, comparativ cu alte state, motivul fiind sumele mai mici de bani în conturile de la noi, decât din alte țări.

Dacă te pui în pielea unui infractor cibernetic, ricul pe care și-l asumă pentru a sparge o serie de  conturi bancare este același, indiferent dacă sparge conturi din România sau Germania, dar câșigurile sunt foarte diferite. Astfel, alege să atace băncile unde știe că sigur sunt câștiguri mari. Cu toate acestea, vremurile acestea cred că o să se schimbe.

Mihaela Ivan: Am trecut de la parole, la smartphone, la mașini, dar mai este și o nouă „piață” care se deschide, internet of things.

Ștefan Tănase: Da, jucării pentru copii, smart TV, webcam, baby monitor etc. Aceasta este o zonă din ce în ce mai atacată și cred că aici o să fie probleme, pentru că producătorii nu anticipează problemele.

Deci, acesta este un alt trend.

Mai multe informații despre „Jucăriile inteligente, prieten sau spion?”, aici.

Mihaela Ivan: Eu văd problema aceasta de atacuri cibernetice sub forma unei asimetrii. Adică, niște grupuri mici, uneori chiar un singur om, reușesc să destabilizeze niște coloși. De exemplu, Franța și Olanda nu folosesc votul electronic, tocmai pentru a se proteja de un posibil atac cibernetic. Ce părere ai despre asta?

Ștefan Tănase – Senior security researcher Kaspersky Lab: Războiul cibernetic este unul asimetric, iar matematica stă în favoarea celui care atacă, nu a celui care se apără. Atunci când ataci este nevoie să reușești o singură dată și ai tot timpul să testezi, chiar în fiecare zi, până când găsești acea vulnerabilitate, o exploatezi și ajungi unde îți propui.

Pe de altă parte, când ești în zona defensivă, trebuie să ai succes în fiecare zi, pentru că ai atacuri zilnic. Din cauza aceasta, mereu va fi mai ușor să ataci, decât să te aperi.

Mihaela Ivan: Am atins foarte multe subiecte. Concluzie pentru utilizatori.

Ștefan Tănase: Atacurile vor continua, atât ca volum, de la an la an sunt tot mai multe grupuri care lansează atacuri informatice, dar lucurile se vor modifica și pentru că programele malware devin din ce în ce mai complicate.

De asemenea, vedem din ce în ce mai multe grupuri de infractori cibernetici care se inspiră de la operațiunile de spionaj cibernetic

Cunoștințele se transferă către baza piramidei și în ziua de astăzi este ușor să lansezi un atac, fără să suporți consecințe.

Așadar, o să avem nevoie de securitate în orice device.

Includ aici și device-urile medicale folosite de pacienți. Atunci când ai o inimă artificială în conexiune cu un alt device prin care medicul poate să modifice anumite setări fără să fie nevoie să opereze, o să ajungem în viitor ca aceste consecințe ale unui atac cibernetic să fie la adresa vieții, nu doar a calculatorului.

Mulțumesc, Stefan Tănase pentru (atât de multe) informații! #KeepInTouch

3

Comments