Securitatea Cibernetica in anul 2012

Bucuresti, 26 Septembrie 2012, Marshal Garden

Asociatia Nationala pentru Securitatea Sistemelor Informatice (ANSSI) a fost infiintata in Aprilie 2012 ca
persoana juridica romana, fiind o organizatie de drept privat, nonprofit, neguvernamentala, profesional,
independenta.
Pe masura creterii gradului de informatizare al societatii romanesti, aceasta este mai vulnerabila la
atacuri, iar asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare majora a tuturor
organizaiilor (sau organismelor) implicate. Succesul activitatilor desfasurate pentru asigurarea securitatii
sistemelor informatice depinde n mod esential de cooperarea, inclusiv n formule de parteneriat publicprivat, ntre detinatorii infrastructurilor cibernetice i autoritatile statului abilitate s ntreprinda masuri
de prevenire, contracarare, investigare i eliminare a efectelor unei amenintari materializate printr-un
atac. In acest context a fost infiintata ANSSI, cu un rol important in a promova standardele i bunele
practici n domeniul securitii informaiilor i a coagula un parteneriat public-privat care s conduc la
instituirea unei culturi corespunzatoare de securitate n Romnia

MEMBRII
Membrii fondatori
Provision; BitDefender; Star Storage; UCS; Romcard Provus
Membrii activi
UniCredit Tiriac; Cassidian (EADS Group); Romsys; Logika IT Solutions; Asociatia Furnizorilor de Servicii
de Certificare (AFSC); Crescendo International; Kapsch Romania; IBM Romania; Hewlett-Packard
Romania
Membrii colaboratori
Cristian Mihuti; Tomita Campeanu
Membrii de onoare
Silviu Hotaran; Ferucio Laurentiu Tiplea

STRUCTURA ANSSI

AGA
Consiliul Director
Director Executiv
Comisia Tehnica (formata din sapte membri)

PARTENERIATE
ANSSI a initiat parteneriate de colaborare cu CIO Council, ISACA, IBR, ACN - Alliance pour la Confiance
Numerique (organizatia similara din Franta), avand in pregatire parteneriate cu alte autoritati si
organizatii profesionale, in vederea ideplinirii obiectivelor Asociatiei.

ANSSI a initiat pasi concreti in sensul definirii unui cadru de bune practici in domeniul securitatii
sistemelor informatice si de comunicatii in Romania, in acest sens fiind elaborate:
Codul de bune practici pentru Securitatea Sistemelor Informatice i de Comunicaii

Ghidul de bune practici pentru securizarea calculatoarelor i reelelor personale

Consideratii privind impactul neimplementrii sau neaplicrii standardelor de securitate in cadrul

sistemului bancar

De asemenea ANSSI a definit urmatoarele directii de actiune si activitati strategice:

Implicarea in definitivarea Strategiei Nationale Cibernetice ce va solicita eforturi coordonate din
partea autoritatilor cu responsabilitati specifice si a unei comunitati largi ce va include industria IT,
beneficiarii ei, consultanti, organizatii profesionale.
Pregatirea lansarii unei platforme de comunicare a subiectelor de interes major, ce va permite
incurajarea schimbului de informatii pentru securitatea sistemelor informatice si facilitarea
interactiunii la nivelul autoritatilor (de exemplu cu implicarea CERT), comunitatii de afaceri si
publicului larg pentru a raspunde intr-un mod eficient si coordonat la amenintarile cibernetice
Sustinerea operationalizarii unor elemente ale Strategiei Nationale Cinernetice

De asemenea ANSSI a definit urmatoarele directii de actiune si activitati strategice:

Implicarea in reglementarea unor zone de activitate considerand necesitatile specifice (ca de
exemplu reglementarea traficului pe internet, responsabilitatea sociala a ISP din punctul de vedere al
protectiei si securitatii utilizatorilor, diseminarea si reglementarea corespunzatoare a semnaturii
electronice).
Adoptarea unui cod de bune practici la nivelul comunitatii de afaceri care sa permita consolidarea
culturii si aptitudinilor in domeniul securitatii informatiei, precum si definirea rolului Information
Security Officer in cadrul companiilor si a unei bune guvernante corporatiste in materie.
Organizarea de training-uri , cursuri pentru formarea profesionala in domeniul securitatii sistemelor
informatice si initierea de programe pentru constientizarea riscurilor la care sunt supuse sistemele
informatice

Consideratii privind senzitivitatea securitatii sistemelor informatice la nivelul sistemului

bancar
Banca, ca i o afacere, presupune gestionarea riscurilor. S-a vorbit mult timp despre riscurile financiare,
riscurile care decurg din implementarea pe scar larg a noilor tehnologii prezente n activitatea de zi
cu zi a bncilor.
Securitatea n mediul bancar a fost asumat, n proporii semnificative, prin securitatea fizic luat n
conjuncie cu securitatea informaiei, fiecare avnd un impact asupra riscului reputaional al
organismului financiar.
Riscul operaional este definit ca riscul de pierderi directe i indirecte cauzate de factori interni i de
factori externi.
Printre factorii interni care influeneaz riscul operaional putem enumera: derularea ineficient a unor
procese interne, pregtirea necorespunztoare a personalului, calitatea sistemelor utilizate.
Problemele legate de securitatea informaiei intr i ele n categoria factorilor care au implicaii directe
asupra riscului operaional: cderile pariale sau complete ale sistemelor informatice, problemele
generate de atacuri informatice sau ptrunderi neautorizate, fraudele, greelile de operare,
ntreruperea activitii

Tipuri de atacuri informatice cu impact asupra sistemului bancar

In primul trimestru din 2012, ameninrile informatice n sectorul financiar-bancar au reprezentat
aproximativ 10% din totalul ameninrilor informatice, enumarand aici:

Atacuri cu troieni: numrul troienilor bancari n Romnia este n cretere semnificativa, din cauza
accesibilitii tehnologiei. Adesea acetia pot aprea mpreun cu email-uri de tip phishing.

Atacuri de tip Phishing : dei tentativele de phishing bancar au sczut datorit introducerii unor
factori suplimentari de autentificare, coroborarea cu troienii sau alegerea specific a intelor
atacurilor, determinarea i organizarea au condus la apariia de victime (atacuri reuite de
phishing tranzacii frauduloase efectuate cu succes). Atacatorii nu solicit doar datele de
autentificare n serviciul de e-banking, ci i numrul cardului, data expirrii, codul CVV/CVV2 i
numele complet al deintorului.

Tipuri de atacuri informatice cu impact asupra sistemului bancar

Scurgeri de informaii: la nivelul procesatorilor de carduri precum si penetrarea fiierelor de

carduri, fiiere ce conin toate detaliile aferente unui cont de card (numr card, nume, prenume,
cont, data expirrii, CVV/CVC).

Alte ameninri curente aflate n topul rapoartelor emise de companiile de securitate sunt atacurile
asupra site-urilor web ale instituiilor, cele ndreptate asupra dispozitivelor mobile i exploatarea
reelelor sociale.

Pentru detalierea tipurilor de atacuri informatice a se vedea Anexa 1

Analiza implementrii standardului 3D Secure n Romania

n Romnia exist peste 40 de entiti (bnci i instituii financiare) emitente de carduri i un numr de
aproximativ 15 bnci acceptatoare. Dintre acestea, 17 entiti emitente ofer servicii de securizare a
cardului pe internet (prin nrolarea n serviciile 3D Secure, MasterCard SecureCode, respectiv Verfied
by Visa).

Numar carduri activate

400000
350000
300000
250000
200000
150000
100000
50000
0
Ian

279503

265311

252048

Feb

Mar

Apr
Situatie activari 2012

Mai

336162

324201

310174

295738

Iun

Iul

Analiza implementrii standardului 3D Secure n Romania

Avnd n vedere faptul c n acest moment bncile emitente au nrolat un numr de peste 9 milioane
de carduri n sistemul 3D Secure, se poate spune c exist o penetrare redus a acestui standard n
rndul utilizatorilor de carduri online (un procent de aproximativ 4% de carduri activate din totalul
de carduri nrolate n sistem). Din totalul de tranzacii procesate online, aproximativ 20% sunt
tranzacii autentificate complet sub standardul 3D Secure (tranzacii 3D Secure autentificate cu
parol).

Recomandare:
Campanii de contientizare a clienilor n ceea ce privete riscurile la care se expun prin neactivarea
cardului n sistemul 3D Secure;
Impunerea de ctre toi procesatorii de carduri a activrii obligatorii a cardului n sistemul 3D
Secure dup un anumit numr de tranazacii (implementarea sistemului ADS Activation During
Shopping).

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

1. Atacuri cu troieni
Troianul care provoac paguba este adus pe sistem din mn n mn, pornind de la un website
infectat i trecnd printr-o sumedenie de ali troieni.
Primul pas al infeciei l reprezint vizitarea unui site legitim, dar pe care l-a atacat n prealabil un
hacker i pe care acesta a ncrcat o aplicaie periculoas scris n Java.
Dup instalare, troianul verific o list de adrese de la care va descrca i va executa ali troieni de tip
bancher. Acetia sunt gzduii pe mai multe servere compromise, n aa fel nct, dac unul dintre
servere este nchis sau curat de virui, troianul s poat aduce bancherii de pe un altul.
Troianul de e-banking va urmri ce tranzacii electronice face utilizatorul calculatorului i va fura datele
acestuia de conectare, date care vor ajunge n mna atacatorului. Din cauza faptului c aceti virui
bancheri fur informaii direct din formularul browser-ului, utilizatorul nu-i poate da seama c datele
lui ajung i altundeva dect la site-ul bncii.
Metoda de distribuie a troianului este foarte complex. Acest circuit are ca scop protejarea troianului
final fa de productorii de soluii de securitate i fa de sistemele lor automate de verificare a
semnturilor viruilor. Acestea vor identifica, n multe cazuri, unul dintre troienii intermediari, care sunt
uor de nlocuit, i nu troianul bancher, care e cea mai periculoas component a atacului.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

2. Atacuri de tip Phishing
Atacul de tip phishing este cel mai frecvent i cel care nregistreaz cea mai mare rat de succes.
Acest tip de atac este desvrit de naivitatea, neglijena, curiozitatea sau ignorana utilizatorului.
n ultimii 10 ani sistemul bancar a fost o int continu a acestor tipuri de atacuri. Multe dintre ele s-au
soldat cu pierderi financiare datorit tranzaciilor frauduloase efectuate cu succes.
Exist mai multe tipuri de phishing:
Phishing bancar (mesaje care par a proveni de la bnci cunoscute)
Phishing cu carduri (mesaje care par a proveni de la bnci cunoscute i/ sau emitente de carduri
sau firme precum MasterCard sau Visa)
Phishing de la magazine online (exploateaz conturile online)
Alte tipuri de phishing (cereri de donaii online)
Dei sumele transferate fraudulos sunt mai mici dect in cazul altor tipuri de atacuri, impactul
reputaional crete cu numrul de atacuri, n ultima perioad fiind sesizat o cretere a atacurilor de
acest tip la nivelul instituiilor de credit.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

3. Scurgeri de informaii
n 2011 au aprut probleme cu toate tipurile de carduri de la mai multe banci, cauzate de scurgerile de
informaii din cadrul unui procesator prin intermediul cruia se fac pli cu cardul. Peste o jumtate de
milion de carduri din Romnia, dar i din alte ri au fost blocate i re-emise, dup ce bncile au fost
avertizate c o baz de date internaional a fost spart. Notificarea a fost fcut de ctre Visa Europe
datorit unui numr foarte mare de pli fcute cu carduri n ri din Rusia, Ukraina, Romnia sau
Albania.
Tot n zona scurgerilor de informaii, este cunoscuta i penetrarea fiierelor de carduri, fiiere ce conin
toate detaliile aferente unui cont de card (numr card, nume, prenume, cont, data expirrii, CVV/CVC).

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

4. Fraude la ATM/POS
a. Skiming-ul: presupune copierea ntregului coninut al uneia sau al mai multor nregistrri (track-uri),
inclusiv codul CVV/CVC (Card Verification Value/Card Verification Code), de pe banda magnetic a unui
card autentic pentru falsificarea card-ului.
Dispozitivul utilizat de infractori pentru a captura datele stocate pe benzile magnetice ale card-urilor
este cunoscut sub denumirea de skimmer device sau colector portabil de date (portable data collector
PDC). Aceste dispozitive pot fi clasificate n hand skimmers (manuale) i ATM/POS skimmers (montate
la ATM-uri sau la punctele de vnzare). La cele din urm, se mai face distincia ntre slot skimmers
(instalate la fanta de introducere a card-ului) i door skimmers (instalate la dispozitivele de acces ntr-o
banc pe baza card-ului). De asemenea, dispozitivele de skimming pot fi externe - au ncorporate un
cititor de band magnetic, o baterie i un memory chip i interne - dispun de o baterie rencrcabil i
un chip EEPROM (Electrically Erasable Programmable Read Only Memory memorie nevolatil ce
poate fi tears electronic i reprogramat, iar deconectarea de la sursa de alimentare nu are ca
rezultat pierderea datelor.

Anexa 1 Tipuri de atacuri informatice cu impact in cadrul sistemului bancar

4. Fraude la ATM/POS
b. Exploit ATM design flaws
Prin exploatarea unor vulnerabiliti tehnice ale ATM-urilor, n ultima perioad infractorii fac
numeroase victime n rndul bncilor i clienilor acestora. Aceste vulnerabiliti se refer la shutterele (opturatorul care livreaz pachetul de bani) i la soft-urile ATM-urilor.
Aceast metod se realizeaz n cteva secunde i presupune blocarea shutter-ului n poziia deschis,
concomitent cu retragerea banilor din acesta i inserarea unui dospozitiv special creat astfel n ct
ATM-ul sesizeaz c banii nu au fost eliberai (practic sesizeaz c banii sunt blocai n shutter). n astfel
de situaii unele ATM-uri sunt programate s retrag banii n cutia de reject i s genereze o eroare,
iar softul, n urma sesizrii acestei erori, nu retrage banii din contul clientului (sau i reintroduce n
cont).
Practic, un infractor poate repeta de un numr de ori tranzacia fr ca s debiteze contul aferent cardului utilizat pentru realizarea unei astfel de infraciuni

V mulumim!