În domeniul securităţii cibernetice, când se întâmplă un fenomen care capătă o dimensiune politică şi globală, şi numai atunci, toate media generaliste încep să trateze subiectul, cu exageraţii voluntare şi cu mai multe sau mai puţine aberaţii scandalistice, tipice ştirilor din categoria "Breaking News". Este cazul, în aceste zile, al valului de crypto-ransomware, cunoscut sub nume "WannaCry" sau "WannaCrypt". Cu prea multe media evocând scenarii apocaliptice şi de război, antreprenorii şi cetăţenii nu au cum să înţeleagă clar despre ce este vorba, ca să înceapă, după acest atac, un demers de educaţie în domeniul auto-apărării digitale.
Aşadar, este necesar să începem textul nostru cu un preambul de explicaţii simple.
WannaCry este un ransomware, adică un virus care criptează toate fişiere unei unelte IT, implicând un şantaj din partea criminalilor, care cer plata unei sume de bani în Bitcoin pentru a obţine cheia de decriptaj al propriilor fişiere. De trei ani, Europa, în particular, este victima unui tsunami de acest tip particular de acţiuni, fiind printre cele mai rentabile metoade folosite de către grupările organizate specializate în cybercrime. În mod normal, un ransomware este trimis via un mail de tip phishing - mail care îl imită pe unul oficial de la o bancă, o instituţie de stat, un furnizor de servicii etc., iar criminalul se bazează pe naivitatea utilizatorului, care va face click pe un link inserat în textul mailului primis la adresa sa (profesională, privată), deschizând, astfel, Cutia Pandorei.
Printre ransomwares, sunt două categorii: cei de ultimă generaţie, încă necunoscuţi sau abia cunoscuţi de către serviciile de intelligence şi companiile de securitate/antivirus, adresaţi ţintelor alese pentru a obţine un maximum de bani pe ţintă, şi cei "second hand", cunoscuţi, care pot să fie cumpăraţi de oricine pe "deep web" şi care sunt trimişi pe valuri de scam, fără ca hackerii să ceară o sumă prea mare victimelor.
Ori partea pură de ransomware a WannaCry (i.e. WannaCrypt) face parte din a doua categorie.
Nimic nou sub soare.
Dar noutatea este că este vorba de un cyber-atac şi nu de un simplu delict de cyber-crime, fiind o metodă prin care WannaCry a reuşit să ţintească la ora actuală cam 350.000 de servere şi PC în 150 de ţări. Nu a intrat prin mail-uri, ci a atacat direct servere cu două "arme" cibernetice - "Eternal Blue" şi "Double Pulsar" - care ţintesc "backdoors" ale serverelor Microsoft, mai ales cele care încă funcţionează cu sistem XP. Este deja cunoscut că ambele arme nu au fost create, dar au fost păstrate de către NSA (National Security Agency SUA), iar prima - cea mai letală, adică "Eternal Blue", nu mai este în stare să afecteze sisteme administrate profesionist, care au avut aplicat din 14 martie (!!!) un update cu noul "patch" oferit de către Microsoft.
Aici se impun două comentarii.
Prima precizare este necesară pentru ziariştii dornici de "breaking news" şi priveşte etica jurnaliştilor în folosirea terminologiilor scandalistice.
Tot în SUA, găsim cel mai autorizat vocabular pentru presă: faimosul Associated Press Stylebook a schimbat din 2017 definiţia cuvântului "cyberattack", care vizează doar evenimentele care duc la o distrugere masivă şi de mare amploare.
De remarcat este că termenul "cyberwar", atât de drag oamenilor politici, militarilor şi redactorilor şefi, nu se regăseşte în terminologia agreată de către Stylebook, terminologie pe care orice jurnalist preocupat de deontologia profesională ar trebui să o adopte.
Aşadar, nu suntem nici în faţa unui război cibernetic, nici stricto sensu în faţa unui atac, pentru că nu există distrugerea de mare amploare, însă se poate vorbi de atac ţinând cont de natura şi complexitatea tehnologiei de infiltrare a sistemelor care au fost folosite.
După acest preambul, voi continua cu partea de indignare.
Aspectul într-adevăr revoltător al tsunami-ului "Wannacry" este că asistăm cu toţii, în mod pasiv, la un act de cyber-sabotaj, care a reuşit pentru că are elementele fundamentale în combinaţie şi asociere - de pe o parte, de un "spărgător de uşi" de tip militaro-guvernamental şi, de pe cealată parte, incompetenţa profesională sau mai bine zis nepăsarea de neiertat a responsabililor sistemelor IT ale companiilor şi entităţilor guvernamentale care au fost lovite de atac şi care nu au mai fost funcţionale.
Nu putem să scriem mai bine decât ceea ce a spus Brad Smith, preşedintele Microsoft, în ediţia din 14 mai a ziarului "The Guardian": "Guvernele lumii ar trebui să trateze acest atac ca un apel de trezire. Avem nevoie de guverne să ia în considerare daunele aduse civililor, care provin din aruncarea acestor vulnerabilităţi şi utilizarea acestor "exploits" (reuşite în principiu unice, n.d.a.). Un scenariu echivalent cu armele convenţionale ar înseamna că armatei SUA să îi fie furate rachetele Tomahawk".
Culmea - în sensul că propunerea vine din sectorul privat -, acelaşi Preşedinte Microsoft a revenit ulterior pentru a cere de urgenţă, în domeniul "Cyber", o nouă addenda la Convenţiile de la Geneva (reguli despre limitele şi drepturile în cazul războaielor).
Relansarei acestei dezbateri - care are loc anual de către Comitetul Internaţional al Crucii Roşii şi este reluată de către Uniunea Internaţională a Telecomunicaţiilor (agenţia ONU responsabilă din domeniu cybersecurity) - nu vine decât să pună în lumină încă o dată incompetenţa, egourile personale şi completa neînţelegere a domeniului de către guvernanţii europeni, care, în 2013, s-au abţinut deliberat să participe la discuţii în cadrul redactării unui draft de tratat generalist "ad minimam" în domeniu, propus în cadrul ONU de către Rusia, China şi mai mult de 60 de ţări. Proiectul a fost imediat abandonat, după exprimarea clară a Casei Albe că nu va accepta un text pe acest subiect.
Europa lovită, umilită, nepregătită, mai ne-unită decât niciodată şi mută în ceea ce priveşte discuţiile sale cu marile puteri, ca şi în cazul de astăzi, unde niciun guvern din UE nu a redactat nici măcar o notă verbală către ambasadorul SUA în ţara sa în care să exprime îngrijorarea, ceea ce ar fi fost cea mai blândă şi bună diplomaţie.
Ca să-mi exprim bucuria, este cert că, după acest incident global, va trebui ca state şi companii să-şi aleagă clar viitorul: ori să facă parte din cei care se apară, ori să facă parte din bantustanul entităţilor cu uşi deschise oricărui duşman.
Este nevoie de o prevenţie structurată şi sistematică, nu prin metoda scandalistică şi recomandarile de o banalitate crasă precum cele citite zilele aceste, formări în domeniul security la toate nivelurile, vârstele şi categoriile sociale. Acestea sunt baza necesară şi urgenţa pentru un demers învingător pe termen mediu.
Pe termen scurt, nu ne ajută cu nimic, chiar dacă zâmbim, să asistăm la demiterea unor CEO sau directori de IT care se aleg şi cu o plângere penală împotriva lor, în ţări unde este de bun simţ ca cineva să plătească o greşeală atât de mare.
Numai cursurile obligatorii de bază pentru orice manager dintr-o companie de stat sau din privat vor putea să rezolve ecuaţia.
Numai când decidenţii şi mai ales direcţiile de resurse umane vor şti - chiar şi în linii mari - despre ce este vorba azi în domeniul cybersecurity şi IT, atunci şi numai atunci va exista cultura necesară pentru a crea profiluri de competenţe pentru IT manager şi Chief Security Officer, potriviţi activităţii/domeniilor lor de muncă, şi pentru a-i angaja.
Faptul că aproape două luni - în epoca noastră digitală unde totul evoluează la nanosecundă este ca şi când vorbim despre Evul Mediu - după lansarea gratuită a update Microsoft conţinând patch-ul salvator, vedem lovite atâtea entităţi din sectorul public şi privat arată că prea mulţi IT manageri nu sunt aleşi corespunzător, nu sunt verificaţi, nu sunt pasionaţi de munca lor şi că securitatea nu este deloc o prioritate în niciun fel, nici pentru management, nici pentru restul secţiunii vitale multora dintre structuri.
Cât despre noi cetăţeni, trebuie să adoptăm două atitudini.
În primul rând, ar trebui să refuzăm orice buget suplimentar destinat organismelor publice dovedite că sunt vinovate că nu şi-au asumat minima siguranţă a sistemelor de plăţi din bani publici, administraţi cu bani publici şi conţinând informaţii confidenţiale despre fiecare dintre noi.
Trebuie să conştientizăm că nu era posibil să se întâmple ceea ce s-a întâmplat dacă se păstrau sarcinile, exact cu aceleaşi unelte achiziţionate şi acelaşi personal, dar într-un ansamblu coerent încadrat şi verificat printr-un regulament intern clar şi obligatoriu în domeniul securităţii şi mentenanţei sistemelor IT.
În al doilea rând, trebuie urgent să ne educăm fiecare, prin toate metodele posibile (de la gaming, la citirea articolor de specialitate redate în stil clar, furnizate de către site-uri de awareness publice şi private) ca să nu mai fim veriga slabă a securităţii cibernetice. Fiecare dintre noi suntem astăzi unici responsabili ai apărării vieţii noastre private şi profesionale şi nu mai trebuie să aşteptăm ajutor de la stat.
Aş vrea să conchid cu un sfat potrivit, mai ales în "epoca de aur a mobilităţii": folosiţi cu încredere App al CERT-EU (organism oficial ale Uniunii Europene: https://cert.europa.eu), disponibil pentru smartphone în sistemele iPhone şi Android. Această platformă este ergonomică, foarte bine gândită şi disponibilă în 10 limbi. Este de fapt rezultatul monitorizării a mii de media online, cu tehnologii de vârf care permit extragerea şi clasificarea lor în categorii extrem de bine ierarhizate, de la "top 20 news" ale momentului, la secţiuni dedicate subiectelor (cu sub-domenii) mai specifice precum "ongoing threats"; "strategic threats"; "cybercrime", "Economic"; "Products Vulnerabilities"; "Malwares" etc.
Graţie acestei aplicaţii, o simplă consultare zilnică a ştirilor care vă privesc în mod prioritar poate să vă ajute să vă protejaţi rapid afacerile sau instrumentele dumneavoastră conectate, precum smartphone-ul!
• Nota:
Cu un doctorat în Arheologie Romană obţinut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie şi sociologie la Academia Română, Filiala Cluj-Napoca şi o abilitare UE în a coordona doctorate în istorie şi ştiinţe conexe, Laurent Chrzanovski este co-director de doctorate la şcoala doctorală la Universitatea Lyon II Lumiere şi susţine regulat cursuri post-doctorale în cadrul mai multor universităţi principalele din UE; fiind, de asemenea, profesor invitat la Universităţile din Fribourg, Geneva şi Sibiu. Laurent Chrzanovski este autor/editor a 18 cărţi şi a peste o sută de articole ştiinţifice. În domeniul securităţii, este membru a "Roster of Experts" din ITU, membru a think-tank "e-Health and Data Privacy" sub egida Senatului Italian, şi manager al congresului anual "Cybersecurity in Romania. A macro-regional public-private dialogue platform".
Este co-fondator şi redactor ale revistei trimestriale gratuite de conştientizare Cybersecurity Trends, înfiinţată pentru România în 2015 şi prezentă acum în variante pentru Italia, Elveţia, UK şi Germania. https://issuu.com/cybersecuritytrends
1. foarte bun articol
(mesaj trimis de anonim în data de 18.05.2017, 05:26)
multumesc
2. fără titlu
(mesaj trimis de Cristi C în data de 18.05.2017, 11:16)
O precizare trebuie făcută în legătură cu patch-ul Microsoft. Este adevărat că a fost publicat pe 14 mar 2017. Dar textul de mai sus acreditează, prin alăturarea nefericită a două idei, că sistemele XP, care au fost cele mai afectate în acest atac cibernetic, ar fi putut fi salvate. Această idee care reiese din text nu este corectă. Patch-ul pentru sistemele vechi de tipul Windows XP a fost publicat pe 12 mai 2017.
"We also know that some of our customers are running versions of Windows that no longer receive mainstream support. That means those customers will not have received the above mentioned Security Update released in March. Given the potential impact to customers and their businesses, we made the decision to make the Security Update for platforms in custom support only, Windows XP, Windows 8, and Windows Server 2003, broadly available for download."