​Se discută tot mai serios despre cum actori statali puternici pot influența utilizatorii rețeleleor sociale prin mari operațiuni de dezinformare care profită de cât de repede se răspândesc tot felul de informații pe aceste rețele. Despre boți, știri false, spionaj cibernetic și atacuri cibernetice la adresa altor state puteți citi într-un articol realizat după o discuție cu Costin Raiu, director global al echipei de Cercetare și Analiză la Kaspersky Lab.

-Foto: Blogul Kaspersky Lab

Cum funcționează o campanie de dezinfomare pe rețelele sociale și despre știrile ”80% adevărate”

Citim tot mai des despre operațiuni de dezinformare și despre campanii uriașe de manipulare prin știri false. În plus, suntem avertizați că alte state pot încerca să influențeze oamenii înaintea unor alegeri. Rețelele sociale pot fi folosite pentru a încerca să schimbe modul în care oamenii votează sau pot să-i facă să renunțe la a mai merge la vot. Cum vede Costin Raiu acest climat complicat.

”Oricare actor statal își dorește să aibă acest gen de scule, fiindcă dau rezultate bune cu bani puțini. Mai ales operațiunile de influențare sunt foarte eficiente, fiindcă este greu să-ți dai seama ce este fake news și ce este real, este greu să-ți dai seama de reputația unei surse”.

Pot fi campaniile de dezinformare incluse în categoria atacurilor informatice, mai ales că pot fi deosebit de nocive?

”Există o legătură, nimeni nu știe cine ar trebui să blocheze aceste fake news-uri și aceste atacuri.(...) Cred că oamenii din securitate informatică știu cel mai bine cum anume ar putea fi prevenite și stopate. De ce? Fiindcă de multe ori aceste știri false se răspândesc printr-un model viral, cum ar fi un de calculator pe internet, vierme care se răspândește exploatând anume vulnerabilități, are o anumită și curba lui de expansiune și modul în care se răspândește pot fi înțelese printr-un model pe care îl știm bine și știm ce trebuie făcut”.

Ca să oprești viermii de pe internet trebuie să-ți pui firewall și să-ți patch-uiești sistemul.”Întrebarea este cum traduci aceste lucruri pentru factorul uman? Cum adaugi și cum îți gândirea? Părerea mea este că nu poți rezolva fără ajutorul unor firme mari precum Facebook și Twitter care sunt folosite ca mediu de propagare pentru acest gen de informații”.

Cum funcționează însă campaniile de dezinformare pe rețelele sociale?

”Diverse persoane, folosind rețele mari de boți, postează informații, după care le propagă (retweet sau share). Au uriașe de telefoane mobile, cu conturi de Facebook și de Twitter, mă refer la uriașe de zeci de mii de telefoane conectate pe panouri - și dau retweet și like. De exemplu, o persoană postează o știre care de obicei nu este complet falsă. Cele mai bune știri sunt 80% adevărate și cu o mică observație, acolo, la sfârșit, care este falsă și acela este exact lucrul pe care ei își doresc să-l propage”.

Raiu dă un exemplu: o știre adevărată despre Brexit este că parlamentul a votat să preia puterea de la guvern pentru controlul Brexit-ului, iar la sfârșit este inserată știrea falsă: este inevitabil că parlamentul va decide să facă un Brexit dur (hard Brexit) fără nici un fel de acord cu UE. Toată lumea va vedea partea cu Brexitul dur și nu va mai interesa prima parte a știrii, partea reală. Doar ce este la final se propagă.

”Oamenii vor vedea știrea și vor spune uau! și apoi vor da Share să vadă și prietenii, iar aceștia, la rândul lor, vor da Share. Modelul de propagare este similar cu răspândirea malware-ului pe internet, fiindcă atunci când calculatorul tău s-a infectat, trimite la toți prietenii, și aceștia se infectează și trimit mai departe și tot așa...Până când toată lumea nu-și pune un firewall, un antivirus, nu se va opri. Dacă vorbim de fake news, până când firmele de social media nu implementează un mecanism eficient de reputație și filtrare de boți, lucrurile vor continua ca și până acum”.

Expertul de la Kaspersky Lab spune că marile rețele au mai făcut ”curățenie”, dar nu destul: de exemplu sunt conturi de Twitter care au un milion de followeri și după operațiunile de curățare au pierdut vreo 600.000, dar tot mai au câteva sute de mii. ”Au făcut multe, fără îndoială, dar am văzut statistici care spun că, pentru Twitter, este un dezastru când închide conturi, fiindcă le scade traficul, ranking-ul, numărul de utilizatori și scade în final și prețul acțiunilor Twitter”.

Închiderile de pagini pe Facebook pot fi uneori greu de justificat, fiindcă unele care răspândesc știri false promovează și o mare cantitate de știri reale, din surse de încredere, însă din când în când printre sursele de încredere se mai strecoară și un fake news, spune Raiu.

Ucraina, uneori o țară a nimănui

Per total, peisajul atacurilor devine tot mai aglomerat, iar o țintă ”atractivă” este Ucraina

”Fără îndoială că există o creștere și tot mai mulți atacatori actori statali se folosesc de treburile astea. Mă gândesc la un grup numit Hades care s-a implicat în alegerile din Franța și sunt activi și în Ucraina acum (...) Sunt și alți actori, dar nu atât de vizibili.

”Ucraina este un focar de atacuri cibernetice, din 2014 au fost constant sub focul acestor atacuri. Este o țintă interesantă, fiindcă din unele puncte de vedere este țara nimănui. Este adevărat că au specialiști buni și ajutoare de la multe țări și știu că la un moment dat în NATO s-a decretat ca România să fie responsabilă de apărarea cibernetică a Ucrainei și când au fost atacurile mari cu NotPetya FBI-ul s-a implicat și a trimis oameni acolo să-i ajute”, spune Costin Raiu. El adaugă că acolo contează și faptul că nu au firmă locală de antiviruși, cu analiști locali de malware și cu telemetrie, analiști care știu exact ce se întâmplă.

Este atât de ușor ca țări mici să cumpere unelte puternice de cyber-security cu care aă atace, spre exemplu, o țară vecină?

Totul depinde de buget, poate fi de ordinul zecilor de mii de dolari sau de ordinul zecilor de milioane de dolari. Evident și rezultatele diferă.

”Să faci atacuri distructive nu este ușor, dar este mai ușor să începi cu atacuri de spionaj. Când ești un actor statal te poți duce la diverse conferințe specializate, târguri specializate unde multe firme vând de spionaj. ”Le iei la rând și totul este în funcție de buget. Dacă bugetul tău este de ordinul zecilor de milioane de dolari, poți să te duci la firme precum NSO care-ți vor da unelte capabile să spargă orice Android sau iPhone, de exemplu (...) Se ocupă de aproape tot: îți dau ei un framework în care tu trebuie să compui mesajele și să scrii către cine și restul e un simplu click și totul se întâmplă automat”.

Acțiunile distructive sunt greu de justificat și de aceea marile companii sunt atente și firmele mari știu pe cine iei la țintă. Șeful NSO a dat un interviu la CBS și a fost întrebat despre faptul că software-ul lor a fost folosit ca să-l spioneze pe Kashoggi (jurnalistul saudit omorât în Turcia) și ce părere are. Ei bine, el a răspuns că atunci când a auzit s-a dus la oamenii lui și a întrebat, că să fie sigur că nu l-a infectat pe Kashoggi (și a spus că softul lor nu a fost folosit). Faptul că poate verifica asta este o dovadă că NSO știe pe cine targhetează, a spus Costin Raiu.

Nu fac însă ilegalități aceste companii care oferă astfel de servicii? ”Depinde din ce punct de vedere privim. În toate țările unde companiile acestea sunt prezente, operează în cooperare cu guvernul țării respective, iar din punctul de vedere al acelui guvern poate că lucrurile acelea nu sunt ilegale sau poate sunt găsite metode de justificare. Un alt exemplu ar fi Black Cube care a operat în România, dar în mintea lor, teoretic, credeau că este legal și autorizat de guvern” Ca în orice domeniu, există firme reputabile și unele mai puțin reputabile

Dacă nu ai zeci de milioane de dolari, ci mult mai puțin, ți se oferă lucruri mai puțin puternice. De exemplu ai nevoie de acces fizic la telefon, însă telefonul fizic trebuie conectat la calculator. În acest caz, dacă, de exemplu ținta este un jurnalist, acesta trebuie reținut câteva ore sau minute pentru a i se lua terminalele și apoi i se înapoiază și i se spune că este liber să plece, explică expertul în cyber-security.

Tot mai mult se vorbește despre nevoia de a folosit aplicații de mesagerie foarte criptate, fiindcă Messenger sau Whatsapp nu sunt suficiet de sigure. În aceste context au crescut aplicații gen Threema Signal sau Telegram

Însă de ce ar trebui să folosim aplicații cu un înalt grad de criptare? Raiu dă un exemplu despre cum autoritățile pot afla ușor cine sunt opozanții de la proteste.

”Dacă toată lumea folosește aplicații de mesagerie care nu sunt criptate, un actor statal care este rău intenționat poate folosi acest gen de informație pentru o manipulare a opiniei în masă dacă vede ce vorbesc oamenii și cine cu cine comunică. Un exemplu ar fi dacă se întâmplă un protest stil Piața Victoriei și atunci autoritățile pot afla rapid cine este acolo și cine cu cine vorbește, ce numere de telefon au și care sunt prietenii lor. Pot vedea cine a venit în mod repetat și toate aceste lucruri pot fi folosite împotriva acelor oameni oriunde în lume, de către orice regim care vrea să facă asta”.

Raiu spune că a văzut la o conferință Interpol World o firmă care oferea o ”valiză” hightech care interceptează toate mesajele Whatsapp pe o rază de 300 de metri. Practic era o soluție tactică pentru care făceau și demonstrații

Ransomware - Două sfaturi și un climat de deschidere

Sunt ani buni de când companiile sunt șantajate prin atacuri ransomware care în multe cazuri le blochează activitatea, dar atât aceste atacuri, cât și modul în care companiile reacționează, s-au schimbat.

La nivel global tot mai multe firme decid să facă publice incidentele de securitate, în special firmele mari, semn că și GDPR-ul a contat, spune Raiu. Pe de altă parte, în afara UE multe firme preferă să nu facă publice incidentele, de frica efectului pe care acest lucru l-ar avea asupra cotației acțiunilor.

Lucrurile stau ceva mai bine și fiindcă managerii sunt mai maturi și își dau seama că mai bine fac publice lucrurile din faza inițială în care mai pot controla efectul, decât să apară totul din alte surse, iar firmele să fie luate pe nepregătite, este de părere specialistul în cyber-security.

Față de acum câțiva ani, firmele atacate sunt mai deschise în a lua legătura cu companiile de securitate pentru a le cere ajutorul și a crescut încrederea în aceste companii de securitate datorită unor inițiative de tipul No More Ransom unde se pregătesc ”unelte” ce ajută la decriptarea datelor.

La ransmoware-ul modern este tot mai complicată recuperarea datelor, fiindcă atunci când sunt șterse fișierele originale sunt șterse într-un fel în care nu mai pot fi recuperate. Sunt multe cazuri în care doar atacatorii au cheia secretă cu care pot decripta fișierele și de obicei aceștia, ca să dovedească faptul că pot decripta fișierul, îți cer să le trimiți la o adresă de e-mail un fișier criptat și, ca dovadă, ți-l decriptează și ți-l trimit înapoi.

Atacatorii cer tot plata prin Bitcoin, de obicei 200-300 de dolari de la persoane fizice sau firme mici, dar la atacurile mari direcționate către spitale sau instituții guvernamentale se plătesc sume uriașe ”De exemplu se suspectează că o firmă din Franța a plătit un milion de euro și tot n-a obținut tool-ul de decriptare”.

Rămân valabile două sfaturi: firmele să NU plătească și să aibă backup pentru date

”Noi încercăm să recomandăm companiile să nu plătească și să aștepte să fie făcute publice tool-urile care rezolvă problema respectivă. Dacă cei atacați au backup pentru date, nu este problemă, dar multe firme fie nu au backup sau au backup vechi sau, în cel mai rău caz, aveau backup, dar și acesta a fost criptat, fiindcă era conectat și el în rețea. Acelea chiar sunt cazuri tragice, dar menținerea unui backup bun necesită grijă, timp și, per total, bani”.

Kaspersky Lab este bănuită că ar avea legături strânse cu autoritățile ruse, soft-urile sale fiind interzise de administrașia SUA pe acest motiv. Compania a negat mereu că ar avea legături cu Kremlin-ul.

Cum vede Costin Raiu poziția Kaspersky Lab: ”În comparație cu alte companii, noi nu ne putem permite să facem nicio greșeală. Cu atât mai mult, fiind firmă rusească, cea mai mică greșeală costă de zece ori mai mult decât s-ar întâmpla cu o altă firmă. Cred că avem cea mai bună rată de detecție ăe APT 28, cunoscut sub numele Sofacy, un APT faimos vorbitor de limba rusă. Nu ne permitem să facem excepții, altfel toți ne vor acuza că nu prindem amenințări vorbitoare de limba rusă”

De precizat că recent, Comisia Europeană Comisia Europeana a spus, într-un răspuns la solicitarea unui europarlamentar, că ”nu detine nicio dovada privind posibile probleme legate de utilizarea produselor Kaspersky Lab"