The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

02 octombrie 2010

Terorismul Informatic - fictiune sau realitate?

In pregatirea prezentarilor pe care le-am sustinut in cadrul unui seminar NATO avand ca tema terorismul informatic (sau ciber-terorismul) si desfasurat la Kiev, in Ucraina in perioada 26-29 septembrie 2010 - am avut ocazia sa parcurg numeroase documente, carti si rapoarte privitoare la acest subiect, scrise de autori si autoritati din diverse tari si de la nivele diferite. Iata mai jos cateva elemente desprinse atat din literatura de specialitate cat si din discutiile purtate la acest seminar, ca o introducere in studiul fenomenului.


Ce frapeaza cel mai tare in literatura de specialitate este multitudinea de definitii date fenomenului, care difera atat de la un autor la altul, dar si in cadrul aceluiasi stat, de la o autoritate la alta. In acest din urma sector, cele mai multe definitii diferite se regasesc in cadrul agentiilor de securitate ale SUA.

In acelasi timp, exemplele de terorism informatic sunt destul de putine sau aproape inexistente si nu totdeauna concludente - iar acest al doilea aspect deriva nu atat din lipsa unor astfel de atacuri, cat din lipsa definirii unitare. O definire prea stricta risca sa excluda majoritatea faptelor din categoria terorismului informatic. O definire prea larga insa, ajunge sa includa in aceasta categorie majoritatea faptelor ce intra in mod normal in categoria criminalitatii informatice propriu-zise.

Care sunt elementele definitorii ale notiunii de ciber-terorism?
  • atacul informatic menit sa perturbe sau sa intrerupa functionarea unor sisteme informatice si retele
  • sistemele si retelele tinta ar trebui, in principiu, sa faca parte din infrastructura critica - cu impact asupra vietii normale si/sau a economiei 
  • intreruperea sau perturbarea sa aiba rezultate vizibile grave sau sa creeze o stare de pericol cu posibile urmari grave social sau economic
  • sa existe o motivare politica a unui astfel de atac - in numele unei ideologii sau agende politice cu intentia de a crea panica, pericol public, sau sa intimideze

Intrucat nici un sistem informatic nu este 100% sigur iar majoritatea computerelor, inclusiv cele din infrastructura critica sunt conectate intr-un fel sau altul la o retea sau direct la internet, potential pentru astfel de atacuri exista in teorie.

De asemeni, pentru computerele care nu sunt conectate la retea, modalitati de a le infecta exista, spre exemplu prin intermediul unui simplu stick USB virusat.

Majoritatea literaturii din domeniu se incheie aratand faptul ca infrastructura critica - cum ar fi cea care coordoneaza zborurile pe un aeroport, cea care coordoneaza sistemele de producere si transport de energie, sau care controleaza parametrii critici din instalatii industriale - nu este niciodata suficient protejata si poate fi, in teorie, atacata cibernetic.

Pe forumuri se intalnesc frecvent comentarii care sustin ca aceasta literatura este creata de industria de aparare a diverselor state pentru a cere fonduri si voit exagerata de mass-media in cautare de senzational.

Cu toate acestea, atacuri cibernetice importante au loc zilnic si este de multe ori dificil sa identifici motivatia politica din spate pentru a le incadra la terorism, in loc sa fie incadrate la criminalitate informatica. In orice caz, abia la finalul unui atac, daca ancheta ajunge suficient de departe, se va descoperi motivatia (politica sau nu) din spatele atacului.

Iar la factori favorizanti pentru atacurile cibernetice, afara de descoperirea permanenta de noi gauri de securitate in sistemele informatice, gasim aproape in toate cazurile unul care pune in pericol cel mai adesea o retea sau o infrastructura informatica: factorul uman.

Fie ca vorbim de instruire insuficienta sau de sisteme slab configurate, fie ca vorbim de lipsa de politici adecvate de securitate informatica in organizatii - totdeauna gasim in cazurile grave cate un angajat care din necunoastere sau din alte varii motive a facut rabat de la masurile minime de prevedere si a expus infrastructura critica la atacuri informatice.

In plus, spre deosebire de acum cativa ani - o caracteristica a criminalitatii informatice din zilele noastre o reprezinta nivelul de dezvoltare a instrumentelor utilizate si automatizarea atacurilor si a infectarii computerelor pentru a prelua controlul acestora. Retelele botnet de computere ale utilizatorilor casnici si din firme si institutii, infectate si care pot fi programate sa atace simultan din nenumarate colturi ale lumii un serviciu sau o retea conectata la internet au o capacitate de atac demonstrata deja in numeroase ocazii. Pentru a intra la categoria terorismului doar motivatia politica mai este necesara - o organizatie terorista putand inchiria cu usurinta o astfel infrastructura ce poate fi utilizata ca arma cibernetica.

Cel mai des oferit exemplu care poate fi incadrat la ciberterorism si care are botneturile ca instrument este atacul asupra Estoniei in 2007. Mai sunt si alte exemple de situatii in care a existat o urmare deosebit de grava cu impact la nivel social. Incercarile de exemplificare prin cazuri concrete din literatura de specialitate avand ca numitor comun lipsa dovezii unei motivatii politice.

De la teorie la practica
Rezultatele cercetarilor efectuate de firmele de securitate informatica si de catre producatorii de antivirusi din ultimele saptamani au adus un element nou in tot acest peisaj al scenariilor apocaliptice ce se pot gasi in literatura: virusul Stuxnet.

S-a scris mult pe seama acestuia si se va scrie mult in continuare - deoarece prezinta cateva elemente interesante care aduc la realitate scenariile imaginate pana acum doar in teorie referitor la capacitatea de a ataca informatic infrastructura critica a carei functionare defectuoasa poate genera rezultate vizibile si urmari grave precum explozii de instalatii industriale:
  • virusul infecteaza computerele prin stick USB - nefiind nevoie de conexiune la internet
  • se actualizeaza din aproape in aproape in retea prin metoda peer to peer
  • se comporta diferit in functie de tipul de computer pe care l-a infectat - daca nu este un computer care coordoneaza procese industriale, desfasoara doar activitati de multiplicare pentru a raspandi infectia
  • depisteaza daca a fost instalat pe un computer industrial si cauta conexiuni la dispozitivele digitale de coordonare a proceselor industriale
  • reprogrameaza aceste dispozitive de control si le monitorizeaza activitatea
  • ascunde infectarea si reprogramarea dispozitivelor astfel incat operatorul nu detecteaza modificarea comportamentului dispozitivului decat poate cand este prea tarziu
  • virusul a fost descoperit in luna iunie a acestui an - dupa ce a infectat cu succes computere industriale din mai multe tari si continente
  • foloseste pentru a se multiplica 4 vulnerabilitati necunoscute anterior ale sistemului Windows
  • este semnat digital cu certificate apartinand la doua companii importante producatoare de componente PC si drivere pentru acestea (una din ele este Realtek) - Semnatura digitala avea rolul de a le indica programelor antivirus ca programul software provine de la un producator legitim - semnatura aceasta permitand virusului sa treaca usor de una din metodele cele mai raspandite de protectie folosite de antivirusi
Diversi autori au imaginat astfel de scenarii de-a lungul timpului in incercarea de a avertiza asupra a astfel de posibilitati - Stuxnet este primul exemplu concret ca astfel de atacuri sunt posibile. 
Nu voi intra aici in detalii privind presupunerile ce s-au facut referitor la acest virus si posibilele sale tinte.  Mai important mi se pare faptul ca s-a gasit o cale de a ajunge la astfel de sisteme informatice din infrastructura critica si de a le reprograma. 

Chiar daca acest virus care a fost denumit in media "prima arma informatica in adevaratul sens al cuvantului" nu a produs inca o explozie undeva - avem un precedent si exista un obiect de studiu pentru crearea de eventuale alte astfel de programe si variante de atac cu urmari posibil grave.

Prevenire, Justitie, Cooperare
Avand in vedere esenta posibilului fenomen al ciberterorismului - care este cea a atacurilor cibernetice - discutiile despre acest subiect ajung in final la combaterea criminalitatii informatice, la prevenire si la masuri de securitate.

Deseori intalnesc ideea printre cunoscuti ca nu ai ce sa le faci virusilor, ca e prea mare efortul sa incerci sa te protejezi si ca nu mai conteaza oricum impactul asupra persoanei proprii si a datelor acesteia si deci mai bine ne vedem de treaba decat sa avem un minim set de reguli privitoare la securitate in modul personal de lucru.

Tot in discutii individuale se argumenteaza faptul ca un singur utilizator care se protejeaza nu are impact atat de mare la nivel global. Cu toate acestea, comportamentul ce ia in considerare un minim de reguli de securitate atat pe Internet cat si la computerul propriu sau de la birou trebuie sa faca parte din educatia minimala oferita in scoli. Tot atat de necesara este constientizarea necesitatii implementarii de politici de utilizare a infrastructurii IT de catre firme si institutii.

La nivel juridic exista de asemeni factori favorizanti - incepand de la insuficiente cai juridice de cooperare la definirea diferita a faptelor de criminalitate informatica intre diverse state sau in cadrul aceluiasi stat intre organizatii existente - si terminand cu lipsa de armonizare a celorlalte proceduri juridice precum extradarea spre exemplu in unele state. Este un mecanism urias si complex ce implica multa politica si multe texte legislative.

Desi multi si-ar dori ca scenarita sa ramana sterila, din pacate viata ne mai ofera si exemple concrete. Evolutia presupune incercari, greseli si invatarea din greseli. Ar fi de dorit ca greselile sa fie minimale. Dar pentru asta poate e bine sa nu minimizam totusi avertismentele. 

Cititi mai multe despre Stuxnet aici:

3 comentarii:

  1. @Max: a fost instructiv pentru toata lumea. Participare buna. Dialoguri interesante. Dupa parerea mea astfel de contacte trebuiesc inmultite. Cei din fortele de ordine care au participat isi doresc enorm sa faca schimb de experienta practica pe domeniul combaterii criminalitatii informatice, fiind foarte interesati de topicurile discutate si participand activ la discutii.
    Totul depinde insa de vointa politica pana la urma. Principala problema pe care o vad in calea eficientizarii actiunilor de prevenire si combatere fiind mai ca peste tot, armonizarea legislatiilor auxiliare celei care incrimineaza faptele, astfel incat cooperarea internationala sa fie favorizata.

    RăspundețiȘtergere
  2. Nu te supara stii care este problema voastra? Faceti politica in loc de cyber security.
    Numai vorbiti de stuxnet si inteligenta articifial - habar nu aveti cu ce se manaca aveti bunul simt si nu va mai faceti de 2 lei.Maine o sa spuneti ca aveti un centru ca Air Force 24th Cyber War Command Operation Center si o sa se gaseasca 3 fraieri care o sa inceapa sa tremure.Treziti "Mari Hackeri romani "

    RăspundețiȘtergere