Documente Academic
Documente Profesional
Documente Cultură
1. Obiectivele studiului
2. Ipoteze
3. Abstract al incidentului
Atacul asupra grupului SONY din 2014 a fost foarte mediatizat, fapt ce a dus
omenirea cu gândul la războiul cibernetic. Însă ce nu ştie marea majoritate a
populației este că asemenea atacuri au loc aproape în fiecare minut. Un stat care se
confruntă cu asemenea atacuri este şi Coreea de Sud, care în primăvara anului
2013, a cunoscut cel mai distructiv atac cibernetic din câte au existat, cunoscut sub
numele de DARK SEOUL. La 20 aprilie 2013, Coreea de Sud a înfruntat un atac
simplu, dar coodronat printr-un program malware, ce a dat zeci de mii de
calculatoare din mass-media şi sectoarele de servicii financiare inoperabile. La
aproximativ ora 14.00, ora coreeană standard, mass-media a început să raporteze
căderi pe scară largă a reţelelor de calculatoare în special la trei mai posturi de
televiziune coreeană, KBS, MBC şi YTN. Întreruperile de reţea nu a afectat în mod
direct emisiunile din programa. Totodată băncile coreene Jeju, Nonghyup, Shinhan
şi Woori, precum şi mai multe filiale au raportat, de asemenea, întreruperile de
largă răspândite care afectează ATM-uri, terminale de plata şi serviciile bancare
mobile. Utilizatorii care încercau să repornească sistemele au constatat că deşi
acestea funcţionau la o inspecţie mai amănunţită hard disk-uri lor părea să fie
complet goale. Indiferent de sistemul de operare, Windows sau Linux, atacul le-a
afectat pe toate.
Serviciile publice şi agenţiile naţionale de securitate au lansat imediat o
investigaţie asupra atacurilor, care a arată că aproximativ 50.000 de sisteme au fost
inoperabile. Guvernul coreean a lansat o declaraţie în care indică faptul că
întreruperile au fost rezultatul unui atac deliberat cu ajutorul software-ului rău
intenţionat şi nu un atac DDoS.
Ceea ce este cu adevărat surprinzător sau fascinant este modul în care a fost
posibil acest lucru. Mai exact un grup de sud coreeni plătiţi de către nord coreeni,
au fost însărcinaţi ca în fiecare zi pentru un anumit timp să împartă pe stradă stik-
uri nou nouţe la toţi marii corporatişti care iesau de la muncă. Cred că oricine este
bucuros când cineva oferă gratis aşa ceva. Nu va pune prea multe întrebări însă va
zice mulţumesc. Ceea ce nu ştiau acei corporatişti este că pe acel stik aparent
sigilat se află un program malware, un virus, care odată băgat în calculatoarele
marilor corporaţii fură datele interne ale acestora. Pare un lucru banal însă situaţia
a fost foarte gravă.
Iniţial s-a crezut că atacul a fost dat de către un simplu hacker, însă
cercetătorii au descoperită că programul malware a fost defapt rezultatul unei
campanii de spionaj cibernetic purtat de guvernul Nord Coreean. Prin analiză
codurilor folosite şi urmărirea malware-ului utilizat într-o serie de incidente
aparent fără legătură, cercetătorii au putut să urmărească evoluţia tehnicilor
intruşilor şi să ajungă la concluzia că atacurile au reprezentat un atac vizat de către
Coreea de Nord.
4. Tactici, tehnici și proceduri ale atacurilor
Indiferent dacă un atac este direcţionat sau nu, sau dacă atacatorul utilizează
marfă sau instrumente personale, atacurile cibernetice au un segment şi un număr
de etape comune. Unele dintre acestea vor îndeplini obiectivul lor, în timp ce altele
pot fi blocate. Un atac, în special în cazul în care este efectuat de către un adversar
persistent, poate constă în etape repetate. Atacatorul pune în mod constant presiune
pe punctele slabe, exploatându-le la maxim, astfel fiind mai aproape de scopul
final.
Etapele unui atac
O serie de modele de atac descriu etapele unui atac cibernetic (Cyber Kill Chain
produs de Lockheed Martin este un exemplu foarte popular 1). Am adoptat un
model simplificat în această lucrare, care descrie cele patru etape principale
prezente în cele mai multe atacuri informatice:
- Studiu - investigarea şi analizarea informaţiilor disponibile cu privire la ţintă,
în scopul de a identifica potenţiale vulnerabilităţi
- Livrare - ajungerea la un punct într-un sistem în care o vulnerabilitate poate fi
exploatată
- Breșa/Încălcarea - exploatarea vulnerabilităţii/vulnerabilităţi, pentru a obţine o
anumită formă de acces neautorizat
- Infectarea - desfăşurarea activităţilor în cadrul unui sistem care atinge
obiectivul atacatorului.
Atacatorii au demonstrat o varietate de capabilităţi, inclusiv email-uri de
phishing, variante ale BlackEnergy, programe malware şi manipularea
documentelor Microsoft Office care conţineau malware pentru a obţine un punct de
sprijin în tehnologia informaţiei (IT), reţele de electricitate ale companiilor. Ei a
demonstrat capacitatea de a obţine un punct de sprijin şi acreditările de recoltare şi
de informaţii pentru a obţine acces la reţeaua ICS (Industrial Control System).
STUDIUL
Atacatorii vor folosi toate mijloacele disponibile pentru a găsi
vulnerabilităţi tehnice, procedurale sau fizice pe care le pot exploata. Ei vor
folosi informaţii open source, cum ar fi LinkedIn şi Facebook, servicii de
management/căutare de nume de domeniu, şi social-media. Ei vor folosi un set
de unelte, mărfuri şi tehnici, precum şi instrumente de scanare standard de reţea
pentru a colecta şi pentru a evalua orice informaţii despre calculatoarele,
sistemele de securitate ale organizaţiei şi a personalului. Eroarea de utilizator
1
www.lockheedmartin.co.uk/us/what-we-do/information-technology/cyber-security/cyber-
kill-chain.html
poate dezvălui, de asemenea, informaţii care pot fi folosite în atacuri. Erorile
comune includ:
· Eliberarea de informaţii despre reţeaua organizaţiei pe un forum de suport
tehnic;
· Neglijenţă privind eliminarea proprietăţilor ascunse din documente, cum ar fi
autorul, versiunea software şi fişier.
Elemente tehnice ale STUDIULUI: Setările implicite ale sistemelor
informatice pot dezvălui o mulţime de informaţii utile despre software-ul care
rulează pe ele, şi modul în care acestea sunt configurate. Ele pot difuza o serie de
protocoale de reţea şi de canale de comunicare care pot fi exploatate în cazul în
care acestea nu sunt eliminate. Atacatorul va indică instrumente de scanare de reţea
de la reţea, pentru a încerca să identifice oricare dintre următoarele caracteristici:
· Porturi deschise
· Servicii deschise
· Setări implicite
· Aplicaţii vulnerabile a sistemelor de operare
· Mărcile şi modelele de echipamente de reţea
LIVRAREA
În timpul etapei de livrare, atacatorul se va asigura că a ajuns într-o poziţie în
care pote exploata o vulnerabilitate pe care a identificat-o, sau care poate prezenţa
un anumit potenţial. Exemplele includ:
· Încercarea de a avea acces la serviciile online ale unei organizaţii (Atacul din
Ucraina);
· Trimiterea unui e-mail care conţine un link către un site rău intenţionat sau un
ataşament care conţine un cod rău intenţionat (Cazul Sony în 2014);
· Oferind un stick USB infectat (Operaţiunea Dark Seoul în 2013);
· Crearea unui site fals, în speranţa că un utilizator va vizită.
Decizia crucială pentru atacator este de a selecta cea mai bună cale de livrare
pentru software-ul rău intenţionat sau comenzile care vor permite spargerea
sistemelor de securitate. În cazul unui atac DDOS, ar putea fi suficiente pentru că
acestea să facă conexiuni multiple la un calculator, în scopul de a împiedică alte
persoane să acceseze calculatoarele.
BREȘA
Dauna va depinde de natură vulnerabilităţii şi a metodei de exploatare. În
funcţie de metodă această poate permite să:
· Facă modificări care afectează funcţionarea sistemului;
· Accesul la câştig (conturile online);
· Realiza un control complet al computerului unui utilizator, cu o tabletă sau un
smartphone.
După ce a făcut acest lucru, atacatorul ar putea pretinde că este victima,
astfel încât să folosească drepturile de acces pentru a intră mai adânc în sistemele
informatice.
Elemente tehnice ale BRESEI: Datorită vulnerabilităţilor multiple în ceea ce
priveşte sistemele IT, există o diversitate extremă de tehnici şi proceduri ale
încălcării/bresei. Cu toate că atacatorii continuă să dezvolte tehnici noi pentru a
expluata vulnerabilităţile, în mare parte aceştia reuşesc datorită erorilor făcute de
utilizator. Unele tipuri de atac sunt mult mai evidente sau mai uşor de detectat
decât altele. Atacurile DDoS sunt adesea repede observate de către utilizatorii
sistemului, deoarece lupta pentru a avea acces sau pur şi simplu nu se poate utiliza
serviciul vizat. Pe de altă parte, cele mai multe programe malware sunt proiectate
să fie ascunse, acestea fiind greu de detectat de către utilizator sau anumite
mecanisme.
INFECTAREA
În funcţie de motivarea pe care o au, atacatorii pot încerca să exploateze
sistemele, extinzând accesul şi stabilind o prezenţa persistenţa (un proces numit
CONSOLIDARE). Preluarea contului unui utilizator, de obicei, garantează o
prezenţa persistenţa. Preluarea contului de administrator poate reprezenta aşa cum
numesc ei Sfântul Gral, datorită faptului că acest lucru le permite ca doar cu un
singur sistem să instaleze instrumente automate de scanare la mai multe reţele,
preluând controlul mai multor sisteme. Atunci când fac acest lucru ei vor avea o
mare grijă să nu declanşeze procesele de monitorizare a sistemului încercând chiar
să le dezactiveze pentru un timp. În funcţie de obiectivele lor, activităţile pe care le
urmăresc vor fi diferite, dar ele pot include:
· Preluarea informaţiilor care nu s-ar putea accesa, cum ar fi proprietatea
intelectuală sau informaţii sensibile din punct de vedere comercial;
· Modificări în beneficiul lor propriu, cum ar fi crearea de plăti într-un cont
bancar care le controlează;
· Perturbarea funcţionarii normale de afaceri, cum ar fi suprasolicitarea
conexiunii la internet a organizaţiei, astfel încât acestea să nu poată comunica în
exterior, sau ştergerea întregului sistem de operare de la calculatoarele
utilizatorilor.
După infectarea sistemului şi atingerea obiectivului, atacatorii vor îndepărta
cu grijă orice dovadă a prezenţei lor, sau în funcţie de priceprea de care dau dovadă
vor lasă o cale de acces pentru vizite viitoare, sau pentru alte persoane.
2
AnhLab. Inc, este un furnizor de software de securitate din Coreea de Sud. Acesta vinde
software de calculator, cum ar fi software antivirus, securitate on-line, echipamente de rețea de
securitate, cum ar fi amenințarea avansată (malware), inclusiv atac cibernetic, firewall, IPS,
UTM și software-ul de securitate pentru jocuri on-line și pe web mobil.
3
Spear phishing = este un e-mail trucat, care vizează o anumită organizaţie, şi care solicită
accesul neautorizat la date confidenţiale.
4
McAfee, Inc. este o companie americană de software. Unul dintre cele mai importante
produse ale companiei este softul antivirus McAfee.
Fig. 11 Atacul cu malware
Sursa: http://asec.ahnlab.com
5. Măsuri defensive
9
Common Cyber Attacks: Reducing The Impact,
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/400106/
Common_Cyber_Attacks-Reducing_The_Impact.pdf
politicilor de firewall pentru a detecta şi bloca descărcările de executabil precum şi
stoparea comunicării directe a calculatoarelor cu internetul;
· Protecţie malware - stabilirea şi menţinerea apărării malware pentru a detecta
şi a răspunde la codul de atac;
· Administrarea patch-urilor - utilizarea celor mai recente patch-uri pentru a
preveni atacurile care exploatează bug-uri de software;
· Filtre anti-spam şi controlul execuţiei - capabile să prevină utilizatorul de
software-urile necunoscute;
· Configurare sigură - să restricţioneze funcţionalitatea fiecărui dispozitiv,
sistem de operare şi de aplicare la minimul necesar pentru mediul de afaceri pentru
a funcţiona10;
· Parolă - să se asigure că o politică a parolei corespunzătoare care să fie
aplicată;
· Controlul accesului utilizatorului - includ limitarea acesului cu aplicarea
principiului privilegiului11.
În cazul în care un stat sau o organizaţie este pasibilă unui atac cibernetic,
este important că acea structura să arate încredere în forţele proprii punând în
practică aceste controale suplimentare ale securităţii cibernetice:
· Monitorizarea securităţii - pentru a identifica orice activitate suspectă sau
neaşteptată;
· Instruirea utilizatorului (educare şi conştientizare) - personalul ar trebui să
înţeleagă rolul lor în menţinerea organizaţiei sigure şi să raportează orice activitate
neobişnuită;
· Gestionarea incidentelor de securitate - punerea în aplicare a unor planuri
prestabilite că un râspun eficient care va reduce impactul atacului.
Toţi aceşti paşi enumeraţi anterior stabilesc caracteristicile unui regim complet de
gestionare a riscurilor cibernetice. există mai multe scheme eficiente şi
cuprinzătoare dar şi standarde deschise pe care organizaţia le poate aplică pentru a
sprijini o strategie de apărare în profunzime, în cazul în care această abordare nu
este deja pusă în aplicare.
În ceea ce priveşte atacul cibernetic asupra Coreei de Suc din punctul meu de
vedere lucrurile sunt simple. În ciudat atacurilor din 2010 guvernul sud coreean
pare să nu fi luat nici o măsură în ceea ce priveşte securitatea cibernetică, şi spun
asta datorită faptului că şi în atacul din 2013 lucrurile au stat lafel. Atacatorii ştiau
ce au de făcut încă de la început, studiul privind securitatea şi sistemele fiind
practic neschimbate faţă de 2010. Modul în care au acţionat şi în special modul în
care au livrat atacul este foarte banal, însă cu toate acestea atacatorii au profitat de
vulnerabilitatea corporatiştilor împărţind acele stik-uri „maliţioase” în stânga şi în
dreapta profitând la maximum de naivitatea oamenilor. Odată rezolvată şi această
12
Ingineria socială, în contextul securităţii informaţiilor, se referă la manipularea psihologică
a persoanelor, în desfăşurarea de acţiuni sau divulgarea de informaţii confidenţiale.
etapă a împărţirii stik-urilor, livrării malware-ului, era absolut clar că va apărea şi o
breşă, probabilitatea că nici măcar un stik să nu fie activat fiind foarte mică. Şi nu
în ultimul rând, atacul a avut un susces maxim datorită infectării în masă a
sistemelor printr-un virus foarte bine elaborat, căruia este imposibil să-i faci faţă.
Pentru a înţelege mai bine desfăşurarea atacului, precum şi modul în care a
acţionat guvernul corean, am elaborat o analiză SOWT, în care am explicat care au
fost elementele esențiale, ce a fost bine şi ce nu a fost bine din punct de vedere al
managementului riscului din partea statului corean astfel:
Puncte forte (puterea securităţii)
- Software-urile calculatoarelor şi sistemele hardware sunt protejate prin
firewall-uri şi programe anti-virus ceea ce reprezintă un punct forţe;
- Oprirea alimentării cu energie electrică în tot oraşul reprezintă un alt punct
forţe datorită faptului că în acest mod a fost stopată orice tentativă a
atacatorilor de reporni sistemele şi de a fură alte date;
- Capacitatea marilor companii de securitate privind analiză modului în care
s-a făcut infectarea, precum şi identificarea fişierelor cheie din virus;
Puncte slabe
- Incapacitatea guvernului de a învaţă din atacurile anterioare;
- Lipsa culturii de securitate din partea angajaţilor care nu trebuia să accepte
acele stik-uri;
- Folosirea aceluiaş program anti-virus, fără patch-uri speciale;
- Lipsa programelor anti-malware, care să protejeze sistemele în cazul unei
infracţiuni;
- Neactualizarea software-urilor privind protecţia sistemelor;
- Lipsa unei politici de generare a parolelor;
- Lipsa back-urilor privind sistemele critice;
- Lipsa investiţiilor în sisteme de securitate (majoritatea corporaţiilor
folosind programul anti-viris creat de AhnLab).
Oportunităţi
- Crearea de sisteme de securitate în mod regulat, îngreunând astfel modul
de lucru al haker-ilor care sunt nevoiţi să genereze mereu coduri noi pentru a
sparge software-urile;
- Folosirea serviciilor „cloud computing”13;
- Colaborarea cu alte agenţii guvernamentale privind schimbul de informaţii,
ajutor reciproc precum şi lecţii învăţate;
13
Cloud computing este un concept modern în domeniul computerelor și informaticii,
reprezentând un ansamblu distribuit de servicii de calcul, aplicații, acces la informații și stocare
de date, fără ca utilizatorul să aibă nevoie să cunoască amplasarea și configurația fizică a
sistemelor care furnizează aceste servicii.
- Crearea la nivel mondial al unei agenţii unice de răspuns la incidente de
securitate.
Ameninţări
- Conştientizarea de apariţia a noi viruşi de calculator care va uşura muncă
haker-ilor;
- Dezvoltarea atacurilor de phishing;
- Protejarea sistemelor prin folosirea celor mai bune software anti-virus,
precum şi updatarea permanentă a acestora;
- Supravegherea oricaei persoane care intră în legătură directă/indirectă cu
organizaţia (angajaţi, clienţi, competitori);
- Orice abatere cibernetică care va fi în lumina reflectoarelor, va atrage mai
mulţi posibil atacatori.
STRENGHT WEAKNESS