Cati bani te costa un atac cibernetic? Catalin Cosoi, Chief Security Strategist in cadrul Bitdefender a discutat online cu cititorii despre impactul atacurilor cibernetice asupra unui business

Numarul de atacuri este aproape direct proportional cu sistemul de operare folosit, actualizarile la zi (sau lipsa lor) pentru Java, Flash si Adobe Reader si implicit a browser-ului folosit si a actualizarilor acestuia. Si evident, existenta unei solutii de securitate.

Atat timp cat exista o persoana dedicata care monitorizeaza intreaga retea si securitatea sistemelor angajatilor, riscul este mai mic, insa existenta unei solutii de securitate este imperativa.

Ca si exemple, putem sa vorbim despre Miniduke ( http://labs.bitdefender.com/tag/miniduke/ ) si Red October.

a. Solutiile pentru zona de companii mari si mijlocii sunt diferite de solutiile pentru utilizatorii individuali. Evident, vorbim despre aceeasi tehnologie si despre aceeasi performanta, insa produsele adresate companiilor au functionalitati suplimentare adresate nevoilor acestora. Deci raspunsul la prima intrebare este da, se indica companiei targetate mult mai multe informatii legate de ce se intampla in retea si a atacurilor in curs.

b. O solutie de securitate de top si actualizata la zi va identifica inclusiv un APT, sau macar o componenta a acestuia. Asa s-a intamplat cu Stuxnet, când Bitdefender a idenitificat un modul al Stuxnet, l-a sters si a impiedicat virusul sa functioneze corespunzător. Legat de GAMMA/FINFISHER, va pot spune ca am fost prima companie din lume care să distribuie un utilitar de detectie si dezinfectie pentru malware guvernamental. Acest utilitar e disponibil pe site-ul Bitdefender si inclusiv in solutiile pentru utilizatori individuali si pentru zona enterprise.

Rata de success depinde de gradul de izolare a sistemului fata de Internet, de faptul ca acel sistem are sau nu are actualizari de securitate la zi pentru Java, Flash, Adobe Reader sau browserul utilizat în momentul respectiv. Legat de sistemul de operare in sine, situația poate deveni alaramanta dacă apare un exploit zero-day pentru sistemul de operare dupa incetarea suportului, caz in care acel zero-day va ramane zero-day pentru totdeauna.

De asemenea, trebuie precizat ca atacul se va incepe intotdeauna de la sistemele cele mai neprotejate, numit in engleza "the low hanging fruit". Cu cat sistemul este mai greu de compromis, cu atat va fi amanat pentru mai tarziu sau in cel mai fericit caz, chiar abandonat.

Lipsa unei solutii de securitate la zi pe acele sisteme consta intr-un risc foarte mare pentru institutiile de stat.

Sunt multe probleme care pot aparea in cazul operatorilor de comunicatii. Si aici nu ma refer doar la Romania ci si in afara, si de asemenea, tipul de comunicatii.

Anumite companii de telecomunicatii din Romania inca ofera echipamente de retea impropriu configurate (routere care vin preconfigurate si securizate cu WEP, de exemplu). WEP este un protocol de criptare extrem de vulnerabil la atac - practic, cheia de autentificare poate fi sparta in cateva minute, ceea ce poate duce la interceptarea traficului utilizatorului.

In ultimii 10 ani ne-am concentrat in a educa utilizatorii de existenta problemelor de securitate la nivel de PC. Cu toate ca in zona calculatoarelor, nivelul de educatie legat de securitate a crescut, in zona terminalelor mobile, doar 1-2% din posesorii de telefoane si tablete inteligente inteleg riscurile de securitate si decid sa se protejeze.

De exemplu, exista aplicatii malitioase pentru terminalele mobile care vor suna la numere cu suprataxa si vor incarca consistent factura lunara la telefon. Sau vor extrage din device toate informatiile care pot parea interesante pentru atacator (poze, sms-uri, mail-uri).

Sunt multe de discutat aici si trebuie sa luam fiecare caz in parte.

Bineinteles. Dau copy/paste la specificatiile de pe site in cazul ultimei generatii a produselor noastre:

"Sistem de operare: Microsoft Windows XP SP3 x86, Vista (SP2), Microsoft Windows 7(SP1), Microsoft Windows 8"

Mai multe detalii aici: http://download.bitdefender.com/resources/media/materials/datasheets/ro_RO/Bitdefender-2014-Datasheet-TS-A4-ro_Ro_web.pdf

Retragerea suportului pentru Windows XP inseamna ca Microsoft nu va repara o eventuala problema care va fi descoperita. Dar asta nu inseamna ca Bitdefender nu va proteja exploatarea ei.

In general, serviciile din cloud sunt gestionate de experti si pot fi ajustate sa suporte diferența de traffic in cazul unui atac. Majoritatea furnizorilor de cloud ofera si servicii de criptare sau de control al accesului la datele salvate local.

E destul de greu sa raspund la intrebare. Daca este sa ne uitam la tot ce s-a intamplat pana acum si ce urmeaza sa se intample, putem sa scriem o carte.

Putem insa sa le impartim in doua categorii: atacuri de tip social engineering si atacuri tehnice. Daca ne uitam la cele de tip social engineering, putem sa ne amintim de Kevin Mitnick, in care marea majoritate a atacurilor nu au fost tehnice, ci au targetat intotdeauna elementul dintre scaun si tastatura. Recomand cartea Ghost in the Wires.

In zona tehnica insa, lucrurile sunt mult mai complexe si foarte greu de detaliat.

Ar trebui lucrat extrem de mult la educarea angajatilor. Factorul uman e responsabil pentru aproximativ 75% din totalul atacurilor cibernetice la nivel de companie. Un angajat trebuie să fie constient de faptul ca politicile stabilite de IT nu au rolul de a-i limita libertatile, ci de a preveni intruziunile electronice in reteaua companiei.

Anecdota pe care o folosim de regula este ca problema se afla intre scaun si tastatura :)

Exemplu interesant de citit: https://blogs.rsa.com/anatomy-of-an-attack/

La momentul actual, cred ca topul ar arata asa:

1. Ucraina
2. Germania
3. Polonia
4. Romania
5. UK

Va trebui sa verific datele cu laboratorul Bitdefender insa. Voi actualiza raspunsul daca exista diferente.

De regula se ataca tarile cu arhitectura de conectivitate cea mai dezvoltata, insa evident exista si exceptii.

Poti targeta conectivitatea unei tari datorita existentei de informatii utile, sau pentru a te folosi de resursele de acolo in atacurile asupra altor tari.

Increderea a scazut mai degraba pentru firmele din SUA. Pentru firmele de securitate din Europa, episodul Snowden a fost chiar un avantaj, deoarece colaborarea cu NSA este exclusa.

Un singur individ in departamentul IT e suficient pentru gestionarea a 30-50 de masini. Protejarea de atacuri insa nu tine de numarul de oameni din departamentul de IT, ci de felul in care sunt implementate politicile de securitate, de felul si frecventa cu care se fac actualizari de securitate si de felul in care e gestionat si configurat serverul de e-mail / gateway / DNS al companiei. Nu in cele din urma, angajatii trebuie informati despre pericolele din mediul online, despre situatiile la care trebuie sa fie atenti etc., dar asta e deja prea mult pentu un singur individ.

Orice companie poate fi tinta unui atac cibernetic. Trebuie precizat faptul ca atacurile nu sunt intotdeauna indreptate catre o tinta precisa, ci exista si atacuri de oportunitate in care un hacker vede o modalitate usoara de a compromite cateva calculatoare. Aceste calculatoare sunt folosite pentru a trimite spam, pentru a gazdui malware si pagini de phishing in mod gratuit, pentru a coordona atacuri DDoS sau pentru simpla folosire a lor ca intermediari pentru tot felul de scopuri ilegale.

Exista un plan la nivel UE care cuprinde masuri de prevenire a riscurilor, strategii de risk management etc. In Romania, Strategia de Securitate Cibernetica a fost adoptata in urma cu un an.

Mai multe detalii chiar pe HotNews: http://economie.hotnews.ro/stiri-telecom-14175413-comisia-europeana-publicat-strategia-privind-securitatea-cibernetica.htm.

Toate domeniile de activitate din Romania sunt vizate de atacuri cibernetice. Asa cum spuneam si mai sus, mare parte din atacurile asupra sistemelor de calcul sunt atacuri oportuniste, care vizeaza infectarea unui numar cat mai mare de calculatoare. Aceste calculatoare ajung in botneti care constituie fundamentul oricarei operatiuni de criminalitate informatica: pot fi folosite pentru spam, DDoS, spart parole, gazduit virusi si, la nevoie, pot fi chiar inchiriate altor indivizi pentru proprille scopuri. Unui atacator nu-i pasa ce calculator a infectat, atata vreme cat il poate folosi. O singura exceptie: atunci cand atacatorul sau grupul de atacatori tintesc extragerea anumitor documente sau vor sa capete acces la calculatoarele unei retele.

Acelasi lucru e valabil si in restul lumii.

Toate atacurile DDoS sunt atacuri DoS (denial of service), doar ca unele atacuri DoS pot fi efectuate si folosind o singura masina. Un exemplu ajuns deja clasic este atacul slowloris, care epuizeaza resursele serverelor de web pur si simplu efectuand query-uri (si raspunzand, cand e cazul) cat mai lent cu putinta. E ca si cum ati vorbi la telefon cu o persoana care in acelasi timp citeste presa si eventual isi face si o omleta.