De ce atribuirea atacurilor cibernetice este un puzzle căruia uneori îi lipseşte mai mult de o piesă

COSTIN RAIU, Directorul Echipei Globale de Cercetare şi Analiză Kaspersky
Ziarul BURSA #Companii #IT / 1 iulie 2019

De ce atribuirea atacurilor cibernetice este un puzzle căruia uneori îi lipseşte mai mult de o piesă

Meseria de cercetător în securitate cibernetică este atât de palpitantă pentru că are câte puţin din toate: programator, matematician, criminalist, istoric, arheolog şi, uneori, psiholog. Cea mai frumoasă parte - şi cea care ridică cele mai multe provocări este investigarea atacurilor APT - cele mai complexe, mai persistente şi mai ascunse atacuri.

Când ne confruntăm cu un astfel de atac - şi noi facem asta de peste 20 de ani, aşa că avem o experienţă bogată şi diversă - sunt trei întrebări principale pe care ni le punem: "ce s-a întâmplat?", "putem găsi o rezolvare?" şi cea mai intrigantă întrebare dintre toate: "cine este autorul?". Răspunsul la ultima întrebare reprezintă ceea ce numim "atribuire", iar uneori este ca şi cum ai căuta acul în carul cu fân - şi nu într-unul obişnuit, ci un car plin cu capcane puse de atacatori pentru a-i deturna pe cercetători de la drumul cel bun.

Să începem, însă, cu începutul. În GReAT (Global Research and Analysis Team) - ca şi în alte echipe de cercetare din industria de securitate IT - ne bazăm pe indicii, atunci când avem de-a face cu atacuri APT ale căror origini încercăm să le identificăm. Aceste indicii sunt erori operaţionale pe care le fac atacatorii atunci când îşi pun planurile în acţiune.

Se spune că nu există crimă perfectă şi acest lucru este valabil şi pentru infracţiunile cibernetice. Oricât de tare ar încerca atacatorii să nu lase nicio urmă, unele lucruri sunt inevitabile: uită anumite cuvinte cheie în cod, copiază fragmente de cod din alte operaţiuni sau îşi folosesc contul personal în atacuri. Pentru a ne face sarcina mai dificilă, unele nu sunt indicii reale, ci capcane plantate special pentru a induce investigatorii în eroare: cuvinte într-o altă limbă decât cea a atacatorilor sau utilizarea de cod din alte campanii, cu intenţia de a arăta cu degetul spre alte grupări APT. Însă, a pretinde că ai o altă limbă maternă poate duce la greşeli - un cuvânt care nu este scris corect oferă un indiciu valoros, în locul celui fals, aşa cum era intenţia.

Unul dintre cele mai complexe indicii false cu care am avut de-a face vreodată a fost în cazul Olympic Destroyer - infractorii au falsificat un element care este foarte greu de falsificat şi chiar mai greu de dovedit: e aproape ca şi cum ar fi fost furat ADN-ul cuiva şi lăsat la locul crimei de adevăratul făptaş. Cu toate acestea, am reuşit să demonstrăm că artefactul nu era autentic - cu alte cuvinte, era un indiciu fals.

Oricât de mult s-ar strădui, atacatorii cibernetici sunt oameni şi nu pot falsifica orice. De obicei, graficele cu fluxurile de lucru - la ce oră încep, când iau o pauză, câte ore pe zi muncesc - oferă informaţii valoroase. Analizând cu atenţie indiciile disponibile - de obicei cele de limbă şi intervalele orare, putem afirma că un grup APT este vorbitor de limbă chineză/rusă/coreeană/engleză şi aşa mai departe.

Considerăm că responsabilitatea noastră este să răspundem la primele două întrebări şi să lăsăm atribuirea exactă organismelor de aplicare a legii, care au o perspectivă mai largă decât companiile private. De asemenea, credem că este esenţială cooperarea dintre autorităţi şi jucătorii din securitatea cibernetică pentru ca mai mulţi atacatori să fie aduşi în faţa justiţiei. De aceea, susţinem iniţiative care promovează transparenţa şi încrederea în acest domeniu, Apelul de la Paris pentru încredere şi securitate în spaţiul cibernetic fiind un pas important în această direcţie.

Cooperarea este cu atât mai importantă în prezent, când spaţiul virtual devine mai periculos ca oricând, pentru că războiul cibernetic nu cunoaşte reguli sau graniţe. Cred că armele cibernetice vor juca un rol din ce în ce mai important în capacitatea ofensivă a unui stat, iar atacurile viitoare vor viza din ce în ce mai mult infrastructura critică - am văzut deja astfel de exemple în Ucraina, Arabia Saudită sau Venezuela.

Având o privire de ansamblu asupra complexităţii atacurilor cibernetice şi a evoluţiei continue a numărului lor se poate vedea cu uşurinţă de ce atacatorii rămân necunoscuţi în majoritatea cazurilor şi doar o mică parte dintre atacuri pot fi atribuite. Dacă investigarea atacurilor cibernetice ar fi un puzzle, atunci înţelegerea a ceea ce s-a întâmplat ar completa primul nivel al puzzle-ului, iar rezolvarea lui - cu o cheie de decriptare, de exemplu - ar fi al doilea nivel. În sfârşit, legarea unui atac de o grupare aproape că ar completa puzzle-ul - cu nume de grupări APT ca Equation, Desert Falcons sau Lazarus. Cazul rar şi norocos când puzzle-ul este complet ar fi acela când investigatorii cibernetici şi organismele de aplicare a legii colaborează, pentru a reuşi să prindă, efectiv, atacatorii - CoinVault, de exemplu.

Un lucru e cert: misiunea noastră este de a pune laolaltă cât mai multe piese din puzzle, dar doar cooperarea dintre companiile de securitate cibernetică şi autorităţi îl pot completa, ori de câte ori este posibil.

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Comanda carte
danescu.ro
boromir.ro
Mozart
Schlumberger
arsc.ro
domeniileostrov.ro
Stiri Locale

Curs valutar BNR

19 Dec. 2024
Euro (EUR)Euro4.9749
Dolar SUA (USD)Dolar SUA4.7790
Franc elveţian (CHF)Franc elveţian5.3324
Liră sterlină (GBP)Liră sterlină6.0430
Gram de aur (XAU)Gram de aur402.9466

convertor valutar

»=
?

mai multe cotaţii valutare

Cotaţii Emitenţi BVB
Cotaţii fonduri mutuale
petreceriperfecte.ro
novaplus.ro
Studiul 'Imperiul Roman subjugă Împărăţia lui Dumnezeu'
The study 'The Roman Empire subjugates the Kingdom of God'
BURSA
BURSA
Împărăţia lui Dumnezeu pe Pământ
The Kingdom of God on Earth
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.ro
www.dreptonline.ro
www.hipo.ro

adb