InSecuritate. Andrei Avădănei, CEO Bit Sentinel: "Antivirusul pentru telefonul mobil trebuie să fie un must have pentu toată lumea"

În momentul de faţă, circulă mai multe tehnici prin care spaţiul virtual românesc este vizat şi cele mai populare şi mediatizate au fost o tehnică cunoscută de specialişti prin care vizezi anumite ţinte, site-uri ale unor instituţii publice, au fost peste 300 la număr în România, şi încerci să le blochezi practic banda de internet. Deci le încarci atât de mult conexiunile la internet până nu mai pot să răspundă şi practic refulează, ca să spunem aşa. Îi inunzi cu mesajele, cu solicitările. O altă tehnică, complementară acesteia, este, dacă nu reuşeşte prima, vizarea angajaţilor sau persoanele din spatele acestor instituţii, prin tehnici de inginerie socială, atacuri prin aplicaţii maliţioase, atacuri prin ransomwere, când îţi criptează toate datele de pe sisteme informatice sau din întreaga infrastructură. Cam acestea sunt cele mai comune metode. Încep să circule şi alte tehnici. Una dintre ele este cea de tip wiper, adică nu mai criptează datele ca să îţi ceară bani pentru a-ţi recupera datele, ci îţi şterge absolut toate informaţiile de pe acele sisteme şi le face irecuperabile. Un fel de nucleară.

Trebuie să o iei de la zero. Au fost companii, inclusiv în România, care au stat blocate săptămâni întregi, în zona asigurătorilor spre exemplu, spaţiului energetic, unde o parte din sistemele lor nu au mai putut fi recuperate din cauza unui astfel de atac. În cazurile respective nici măcar nu era vorba de un atac complex de tip wiper, ci de criptarea datelor şi blocarea lor.

În perimetrul intern, al organizaţiilor, lucrurile stau foarte prost. De multe ori, scuza cea mai comună este că vreau să-mi testez tot ceea ce e expus la internet pentru că, pentru a vedea ce e în interior, ai nevoie de acces în reţea, trebuie să fii ori angajatul nostru, ori să ai diverse privilegii. Şi acolo lucrurile stau foarte prost de cele mai multe ori. Găsim şi parole neschimbate, găsim şi lipsa parolelor, găsim sisteme care odată compromise îţi dau acces la toate sistemele din infrastructura respectivă, spre exemplu toate serverele, toate staţiile de lucru. O companie este ca un castel. Ea îşi ridică nişte ziduri foarte înalte şi mizează pe faptul că nu poţi pătrunde prin acele ziduri. În schimb, la interior nu sunt luate măsuri la acelaşi nivel, şi, implicit, odată ce ai găsit o portiţă, ai intrat pe un geam, reuşeşti să găseşti tot felul de lucruri şi impactul este dezastruos pentru genul acesta de companii. Multe nici nu-şi iau măsuri pentru a preveni genul acesta de atacuri.

În România am auzit de cereri de răscumpărare pornind de la câteva mii de euro şi ajungând la 100.000-200.00 de euro pentru a-ţi recupera datele, cu toate că nu ai nicio garanţie că le vei primi înapoi. Sunt două tehnici să ajungi în companie. 1. Găseşti o problemă de securitate în sistemele informatice şi doi, să compromiţi un angajat, adică să-l convingi să dea click pe un ataşament sau pe un executabil sau un link după care ai ajuns în reţea. De acolo, ei încep să mapeze tot, găsesc tot felul de alte bube în reţeaua internă, iar în momentul în care au ajuns la ecosistemul critic îl criptează. Singurul mod de a recupera datele respective în general este să plăteşti răscumpărarea pentru că mecanismele din spate sunt extrem de bine puse la punct, noi tehnic nu avem cum să le obţinem. Şi îţi vor cere acei bani în bitcoin, eterum, pe alte monede cripto populare în momentul respectiv. Asta este toată tehnica. Nu ştiu dacă cei care creează criptomonedele sunt în business cu hackerii, dar a fost un motiv pentru a creşte această piaţă la nivel global, pe această industrie de criminalitate informatică.

În zona de prevenţie insistăm pe partea umană pentru că, la final,  oricâte soluţii de securitate vom instala componenta cea mai vulnerabilă rămâne omul. Acolo, încercăm să venim cu tot felul de tehnici pentru a-i pregăti şi a-i face mai alerţi. Este chiar zona aceasta de phishing simulat. Noi, practic,  în loc să aşteptăm un incident să vină către angajaţi, simulăm toate acele atacuri, îi bombardăm cu mesaje, cu emailuri, cu ataşamente maliţioase, dar în loc să fie cu adevărat rele, în momentul în care aceştia dau click sau se infectează, noi îi atenţionăm, vezi că ai pierdut din vedere următoarele elemente a,b,c,d care te-ar fi putut ajuta să previi. Şi după ceva timp, oamenii încep să devină paranoici, se ajută între ei. Vezi că ai primit un email de campanie de phishing, nu da click pe el. Deci, cumva se creează starea asta de alertă în interiorul organizaţiei, sunt mult mai atenţi.

Cele mai multe atribuţiuni pentru criminalitatea informatică par a veni din spaţiul estic, dar eu aş tinde să cred că şi Europa, şi Statele Unite sunt predispuse să aibă astfel de celule. Există furnizori de aplicatii malware, de atacuri cu ransomeware sau tu poţi să plăteşti o  sumă şi la ora d site-ul va pica. Există furnizori pentru toate tipurile acestea de nevoi. Ba mai mult poţi să personalizezi acele servicii, până ce nivel vrei să te duci, cât timp vrei să dureze, dacă vrei să fie nedetectabil săptămâni. Urmele pe care le lasă nu duc niciodată la răufăcători. De cele mai multe ori atacatorii înceacă să-şi mascheze toată operaţiunea, uneori folosesc tot felul de tehnici pentru a disimula că vin din  alte surse, alteori compromit ţinte intermediare după care pornesc atacurile de acolo. Sunt tot felul de mecanisme pentru a îngreuna lucrurile acestea. Uneori profită inclusiv de relaţiile geografice şi relaţiile dintre ţări. Pentru că una e să obţii acces la un sistem informatic dintr-o ţară din Africa şi alta dintr-o ţară din Europa. Genul acestea de situaţii sunt abuzate de criminalitatea informatică şi scenariile acestea funcţionează extrem de bine.

Antivirusul pentru telefonul mobil trebuie să fie un must have pentu toată lumea. E o cerinţă de bază când cumpărăm un telefon. Poate peste câteva luni o să discutăm despre antivirus pentru ceasuri inteligente, pentru alte tipuri de astfel de dispozitive pe care le purtăm zi de zi. Iarăşi, casele noastre devin o ţintă. Realist vorbim, toate dispozitivele au IoT (internetul tuturor lucrurilor). În general, sunt mult mai nepregătite decât organizaţiile.

Probabilitatea este uriaşă să ai un incident pe oricare dintre aceste dispozitive. Poate nici măcar nu o să fii tu victima acolo. Poate frigiderul tău va fi folosit într-un alt atac în care statul român va fi victima. Astfel de scenarii circulă deja . Că vorbeam mai devreme de disimulare. Una dintre tehnici pentru a avea atacuri eficiente este să  coordonezi cât mai multe sisteme informatice, cu o bandă suficient de mare ca apoi să  concentrezi toată această putere într-un singur loc. E aproape imposibil de blocat pentru că toate  IP-urile  respective sunt rezidenţiale de foarte multe ori şi nu poţi să blochezi jumătate de internet ca să te protejezi de acel atac, trebuie să găseşti alte tehnici.

Platformele de social-media sunt în general un vector de anonimizare pentru atacuri. Adică pleacă atacul de pe Facebook, să zicem, tu primeşti un mesaj, noi, companie de securitate e posibil să nu putem vedea acele mesaje pentru că, evident, sunt criptate de Facebook,  şi ne trezim direct cu incidentul. Deci aflăm în ultima etapă, efectele, materializarea evenimentului. Deci asta e o tehnică. Pe de altă parte, unul dintre cele mai comune atacuri care se simt la nivel de cetăţean sunt cele de fakenews. Se abuzează extrem de mult de zona aceasta de social-media, de neînţelegerea modul în care acestea pot fi construite şi lucrurile se văd. Există tot felul de izolări ale opiniilor în ţară, există tot felul de decizii uneori luate pe baza acestor opinii şi efectele nu le putem încă materializa.

Conceptul de zero trust înseamnă că toate sistemele din spatele infrastructurii ar trebui să fie considerate că nu sunt de încredere, că sunt deja compromise. Dacă pleci cu mindsetul acesta că situaţia de lucru a angajatului este deja compromisă, că serverele sunt deja compromise, că sistemele de comunicaţie, routerele, firewall sunt deja compromise lucrurile încep să aibă o altă nuanţă şi evident, acţiunile iniţiale despre care vorbeam mai devreme, uite, că mi se poate întîmpla mie, care sunt pagubele, care este impactul, cât de repede pot să izolez vulnerabilitatea să nu se poată răspândi în toată organizaţia? Genul acesta de  acţiuni te pot ajuta şi conceptul de zero trust cam cu asta vine pe masă, cu mecanisme de control care pot preveni sau izola by default organizaţia pe anumite componente şi apoi începi să dai acces doar dacă este nevoie.

Aplicaţiile mobile sunt unele dintre cele mai vizate ţinte din cauza expunerii. O aplicaţie mobilă este pe mâinile tuturor utilizatorilor. De multe ori au şi o utilitate economică, poţi să faci tranzacţii, schimburi de date şi implicit este o ţintă. Pe viitor, m-aş uita mult la aplicaţii, ca tendinţă de risc, aplicaţii web şi aplicaţii mobile şi în acelaşi timp m-aş uita la furnizori şi clienţi. Încep să devină un vector pentru a pătrunde în organizaţii mai mature şi cred că acolo vom vedea cele mai multe atacuri. Evident sărim peste atacurile cu ransomware care sunt deja norma zilei.