Tag Archive for: securitate

Întâlnește-l pe Jamie și Lumea Internetului

Hei, copii! Să vorbim despre Jamie, care e mult ca voi. Jamie iubește să joace jocuri, să discute cu prietenii și să exploreze internetul. Dar într-o zi, Jamie a primit un email de la cineva necunoscut, oferind un cadou gratuit în schimbul unor detalii personale. Hmm, ce credeți că ar trebui să facă Jamie? Ar trebui să împărtășească informațiile sale pentru un cadou?

Codul Secret al Securității Cibernetice

Securitatea cibernetică este ca și cum ai avea un cod secret care îți păstrează comoara de informații personale în siguranță. Totul este despre protejarea detaliilor tale de persoanele care le-ar putea folosi în mod greșit. Imaginați-vă că informațiile voastre personale sunt o comoară, iar securitatea cibernetică este codul care o încuie în siguranță.

Puterea Parolelor

Aveți un cod secret sau o parolă pentru jocurile sau aplicațiile voastre? Câți dintre voi folosiți aceeași parolă pentru tot? S-ar putea să fie ușor de reținut, dar e ca și cum ai avea o singură cheie pentru fiecare încuietoare din casa ta. Dacă cineva găsește acea cheie, poate deschide totul! Ce-ar fi dacă am crea parole unice și puternice pentru fiecare cont? O parolă puternică este ca un castel puternic – cu cât este mai complexă, cu atât este mai greu pentru hackeri să pătrundă.

Pericolul Străinilor Online

Acum, imaginați-vă că vă jucați jocul online preferat, și cineva vă întreabă adresa pentru a vă trimite un accesoriu de joc. E sigur asta? La fel ca în viața reală, nu toți cei de pe internet sunt prietenoși. Partajarea detaliilor personale, cum ar fi unde locuiți sau numele școlii voastre, poate fi riscantă. E mai bine să păstrăm unele lucruri în secret pe internet.

Atenție la Cadouri și Premii Înșelătoare

Vă amintiți de emailul primit de Jamie? Ofertele pentru cadouri gratuite sau premii pot fi incitante, dar pot fi și trucuri numite încercări de phishing. Hackerii le folosesc pentru a obține informațiile voastre personale. Când primiți mesaje de acest fel, ar trebui să faceți clic pe linkuri sau să descărcați lucruri? Nu! Cel mai bine este să le ignorați și să spuneți unui adult de încredere.

Fii un Supererou al Securității Cibernetice

Securitatea cibernetică s-ar putea să sune complicat, dar este de fapt despre a face alegeri inteligente pentru a-ți păstra informațiile în siguranță. La fel cum nu ai împărtăși un secret cu un străin, nu împărtăși informații personale pe internet fără să te gândești. Data viitoare când introduci o parolă, împărtășești detalii sau ești pe cale să faci clic pe un link, oprește-te și gândește-te: e sigur? Și dacă nu ești sigur, întotdeauna întreabă un adult de încredere.

Deci, ești gata să fii un supererou al securității cibernetice, protejându-ți informațiile personale de răufăcătorii internetului? Acțiunile tale inteligente pot ajuta la menținerea internetului ca un loc distractiv și sigur pentru toată lumea! 🌐🔒🦸‍♀️🦸‍♂️

În ultimii ani, tehnologia smart a revoluționat modul în care agricultura este practicată și gestionată. Utilizarea senzorilor, a IoT (Internet of Things), a inteligenței artificiale (AI) și a altor tehnologii avansate au îmbunătățit eficiența și productivitatea în sectorul agricol. Cu toate acestea, odată cu creșterea utilizării tehnologiei smart în agricultură, a crescut și riscul de atacuri cibernetice asupra sistemelor agricole.

Agricultura inteligentă este o ramură a agriculturii care utilizează tehnologii avansate pentru a îmbunătăți producția și eficiența. Printre tehnologiile smart folosite în agricultură se numără:

  1. Senzori IoT – aceștia colectează date despre temperatură, umiditate, lumină, pH-ul solului, nivelul apei și multe alte aspecte ale mediului înconjurător.
  2. Sisteme de irigare automatizate – acestea utilizează senzori și tehnologie IoT pentru a monitoriza și controla sistemul de irigare în mod automat.
  3. Drone agricole – acestea pot fi folosite pentru a monitoriza terenurile și culturile, pentru a identifica problemele și pentru a oferi informații detaliate despre recoltă.
  4. Sisteme de control al fertilității solului – acestea pot fi utilizate pentru a monitoriza nivelul de nutrienți din sol și pentru a oferi recomandări pentru optimizarea fertilității.
  5. Roboți agricoli – aceștia pot fi utilizați pentru a efectua sarcini repetitive, cum ar fi plantarea și recoltarea, ceea ce reduce costurile și timpul necesar.
  6. Inteligența artificială – poate fi utilizată pentru a analiza datele colectate de senzori și pentru a oferi informații și recomandări pentru îmbunătățirea producției.
  7. Sisteme de management al fermelor – acestea sunt utilizate pentru a monitoriza și gestiona toate aspectele unei ferme, inclusiv inventarul, programarea muncii și gestionarea costurilor.

Un atac cibernetic asupra sistemelor agricole poate cauza probleme grave, cum ar fi pierderea de date, deteriorarea sau distrugerea echipamentelor, întreruperea alimentării cu energie electrică și aprovizionarea cu apă sau chiar sabotarea recoltei.

Beneficiile aduse de utilizarea tehnologiilor smart în agricultură sunt într-un număr destul de mare, dar trebuie să fim conștienți și să acceptăm ideea că acestea pot fi expuse la riscuri de securitate cibernetică. Vom enumera câteva exemple de riscuri asociate în caz de atac cibernetic în agricultură:

  1. Intruziunea în sistemele de control al fermelor – aceasta poate permite unui atacator să controleze și să manipuleze sistemele de irigare, de fertilizare sau de gestionare a recoltei.
  2. Furtul de date – atacatorii pot accesa și fura datele colectate de senzori și alte dispozitive, cum ar fi informațiile despre culturi, ploaie, sol sau alte informații sensibile despre fermă.
  3. Sabotajul echipamentelor – atacatorii pot sabota echipamentele folosite în agricultură inteligentă, cum ar fi dronele, roboții sau alte dispozitive, pentru a împiedica activitățile agricole și a reduce producția.
  4. Ransomware – atacatorii pot bloca accesul la datele și sistemele de control al fermelor și pot cere o răscumpărare pentru a le debloca.
  5. Spionajul industrial – atacatorii pot accesa și copia datele referitoare la producție, tehnologie și alte aspecte importante ale afacerii pentru a le utiliza în beneficiul propriu.

Așa cum deja știm, securitatea cibernetică este ignorata din mai multe direcții, mai ales când se consideră că nu există o asociere relevantă sau se practică acea gândire standard: ”ce să îmi ia mie?”. Așa că vom folosi și noi cel mai bun exemplu de deturnare a acestui tip de găndire: BANII

Deci, cum poți pierde bani datorită unui atac cibernetic asupra tehnologiei smat utilizate în AGRICULTURĂ:

  1. Deteriorarea echipamentelor – Atacatorii pot accesa sistemele de control ale echipamentelor inteligente și le pot manipula în așa fel încât să se deterioreze sau să fie inutilizabile. Aceasta poate duce la costuri suplimentare pentru înlocuirea sau repararea echipamentelor.
  2. Pierderea recoltei – Atacatorii pot accesa și manipula sistemele de irigare, de fertilizare sau de gestionare a recoltei, ceea ce poate duce la pierderi semnificative de recoltă sau chiar la eșecul culturilor.
  3. Încetinirea sau întreruperea activităților agricole – Atacatorii pot bloca accesul la datele și sistemele de control ale fermelor și pot încetini sau întrerupe activitățile agricole, ceea ce poate duce la pierderi de producție sau la costuri suplimentare pentru a compensa pierderile.
  4. Răscumpărarea datelor și sistemelor – Dacă atacatorii utilizează ransomware, proprietarii de ferme pot fi forțați să plătească o răscumpărare pentru a recupera accesul la datele și sistemele lor, ceea ce poate duce la pierderi financiare semnificative.
  5. Pierderea reputației – Un atac cibernetic asupra unei ferme inteligente poate duce la pierderea încrederii clienților și a partenerilor de afaceri, ceea ce poate afecta negativ reputația proprietarilor de ferme și poate duce la pierderi financiare pe termen lung.

Exemplu real:

Utilizarea sistemelor de irigație inteligente fără existența unei autentificări la accesarea panoului de control. Lipsa autentificării permite conectarea la panoul de control al acestor sisteme și modificarea setărilor stabilite de deținători.

Imaginea reprezintă câteva panouri de control al acestor sisteme, la care accesul nu este restricționat cu user și parolă, iar simpla accesare a acestora oferă acces deplin la ceea ce se poate observa și totodată putem lista căteva scenarii:

Cum ar fi dacă:

  • Pe timp de secetă cineva ar face constant modificări în planul de irigare,
  • Pe perioada nopții ar porni toate sistemele și ar consuma excesiv apa,
  • Cineva ar modifica modalitatea de deplasare a sistemului,
  • …etc(nu prea știu cum funcționează exact, dar este clar că se înțelege importanța securizării sistemelor utilizate).

Pentru a reduce riscul de atacuri cibernetice asupra sistemelor agricole, fermierii și proprietarii de ferme trebuie să ia în considerare următoarele măsuri de securitate cibernetică, chiar dacă ”instinctul” le spune să nu își bată capul:

  1. Actualizarea sistemelor și a echipamentelor – Este important să se mențină actualizate toate sistemele și echipamentele utilizate în agricultura inteligentă, astfel încât vulnerabilitățile să fie eliminate. Actualizările constante ale software-ului și hardware-ului pot contribui la reducerea riscului de atacuri cibernetice.
  1. Utilizarea unor parole și a autentificării puternice – Este esențial să se utilizeze parole complexe și autentificare puternică pentru a proteja sistemul de accesul neautorizat. Utilizarea parolelor unice și complexe pentru fiecare cont și a autentificării multifactor poate reduce semnificativ riscul de atacuri cibernetice.
  1. Implementarea criptării datelor – Criptarea datelor este o măsură esențială pentru a proteja informațiile importante. Implementarea criptării datelor poate preveni accesul neautorizat la datele sensibile, inclusiv datele despre recoltă și datele financiare.
  1. Monitorizarea și protejarea rețelei – Monitorizarea și protejarea rețelei sunt esențiale pentru a detecta și preveni atacurile cibernetice. Implementarea unui sistem de monitorizare și protecție a rețelei poate ajuta la identificarea și blocarea atacurilor cibernetice înainte ca acestea să producă daune.
  1. Creșterea nivelului de conștientizare a securității cibernetice – Creșterea nivelului de conștientizare a securității cibernetice este esențială pentru protejarea sistemelor agricole. Toți angajații și colaboratorii trebuie să fie instruiți cu privire la riscurile cibernetice și să înțeleagă importanța utilizării unor practici de securitate adecvate. În plus, proprietarii de ferme trebuie să lucreze împreună cu furnizorii lor de tehnologie smart pentru a asigura securitatea sistemelor și a datelor colectate.

Sperăm să fie de folos informațiile, indiferent de dimensiunea afacerii…. tot a dumneavoastră este și trebuie să aveți în vedere și acest aspect al securității cibernetice!

Securitatea cibernetică a devenit o problemă majoră pentru toate sectoarele economice, inclusiv industria energetică și a gazelor naturale. În contextul actual al creșterii numărului și al intensității atacurilor cibernetice, protejarea infrastructurii critice este o prioritate. În acest articol, vom discuta despre necesitatea securității cibernetice în industria energetică și a gazelor naturale și despre riscurile asociate cu atacurile cibernetice asupra acestora. De asemenea, vom prezenta beneficiile implementării unor măsuri minime de securitate cibernetică și cum Directiva NIS poate ajuta în acest sens.

Industria energetică și a gazelor naturale reprezintă o componentă vitală a infrastructurii critice a oricărei economii. Această industrie implică prelucrarea, stocarea și transportul resurselor energetice, inclusiv petrol, gaze naturale și cărbune, prin intermediul unor rețele și infrastructuri extinse. Atacurile cibernetice asupra acestor infrastructuri pot avea consecințe devastatoare, care pot afecta nu doar producția de energie, ci și economia și societatea în ansamblu.

Conform multiplelor rapoarte, numărul atacurilor cibernetice împotriva industriei energetice a crescut semnificativ în ultimii ani. În 2020, s-a înregistrat o creștere de 4% în numărul total de incidente de securitate cibernetică raportate în sectorul energiei și gazelor naturale, comparativ cu anul anterior.

De asemenea, aceste rapoarte arată că numărul de grupuri de hackeri care vizau infrastructura energetică a crescut de la 5 în 2016 la 9 în 2020, ceea ce indică o tendință îngrijorătoare.

De-a lungul anilor, atacurile cibernetice împotriva infrastructurii critice din industria energetică și a gazelor naturale au avut consecințe grave, cum ar fi întreruperea furnizării de energie și gaze, precum și pierderi financiare semnificative.

Riscurile asociate cu atacurile cibernetice asupra infrastructurii energetice și a gazelor naturale pot fi clasificate în mai multe categorii, inclusiv:

  1. Oprirea sau perturbarea producției de energie sau gaze naturale, ceea ce poate duce la întreruperi ale alimentării cu energie electrică sau la creșterea prețurilor pentru consumatori.
  2. Manipularea datelor și informațiilor critice ale infrastructurii, ceea ce poate duce la pierderi financiare semnificative sau la perturbarea întregii industrii.
  3. Accesul neautorizat la infrastructura critică, ceea ce poate duce la furtul de date și informații critice sau la distrugerea infrastructurii.
  4. Creșterea vulnerabilităților de securitate, ceea ce poate duce la riscuri mai mari de atacuri cibernetice ulterioare.

Pentru a preveni aceste riscuri, este important să implementăm măsuri de securitate cibernetică adecvate în industria energetică și a gazelor naturale. Aceste măsuri includ implementarea unor politici de securitate cibernetică, utilizarea unor soluții de securitate cibernetică avansate, formarea personalului în ceea ce privește securitatea cibernetică și monitorizarea continuă a infrastructurii.

Articolul 5 din Directiva Europeană privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) face referire la sectoarele critice, inclusiv la sectorul energiei și gazelor naturale. Acest articol stipulează că:

„Statele membre asigură că operatorii de servicii esențiale și furnizorii de servicii digitale își stabilesc și își implementează măsuri de securitate adecvate și proporționale care să asigure o protecție ridicată și continuă a rețelelor și sistemelor lor informatice, astfel încât să fie prevenite și reduse la minimum consecințele incidentelor care afectează securitatea rețelelor și a sistemelor lor informatice.”

De asemenea, articolul 8 se referă la cooperarea între statele membre și sectorul privat pentru a identifica și aborda riscurile de securitate cibernetică care afectează infrastructura critică, inclusiv sectorul energiei și gazelor naturale. Acest articol specifică că:

„Statele membre încurajează cooperarea între statele membre și între autoritățile naționale competente și operatorii de servicii esențiale și furnizorii de servicii digitale, precum și alte părți interesate relevante, pentru a identifica și aborda riscurile și vulnerabilitățile semnificative care afectează securitatea rețelelor și a sistemelor informatice care susțin prestarea de servicii esențiale.”

Aceste prevederi din Directiva NIS evidențiază importanța protejării sectorului energetic și a gazelor naturale împotriva atacurilor cibernetice și necesitatea cooperării între statele membre și sectorul privat pentru a aborda această problemă.

Implementarea unor măsuri minime de securitate cibernetică poate aduce beneficii semnificative pentru industria energetică și a gazelor naturale:

  1. Reducerea riscului de pierderi financiare semnificative și de întreruperi ale alimentării cu energie.
  2. Protejarea informațiilor și datelor crit
  3. ice ale infrastructurii, asigurându-se astfel că acestea rămân confidențiale și nu sunt manipulate sau deteriorate de atacuri cibernetice.
  4. Creșterea încrederii consumatorilor și a altor părți interesate în industria energetică și a gazelor naturale.
  5. Respectarea cerințelor de conformitate cu reglementările și standardele de securitate cibernetică.
  6. Pentru a îmbunătăți securitatea cibernetică în industria energetică și a gazelor naturale, Directiva NIS (Directiva privind securitatea rețelelor și a sistemelor informatice) poate fi un instrument util. Directiva NIS a fost introdusă de Uniunea Europeană pentru a asigura o protecție mai bună împotriva atacurilor cibernetice și pentru a spori reziliența infrastructurii critice.
  7. Una dintre cerințele Directivelor NIS este ca operatorii de infrastructură critică, inclusiv operatorii din industria energetică și a gazelor naturale, să efectueze consultanță și audituri NIS autorizate de Autoritatea Națională de Securitate Cibernetică. Acest proces ajută la identificarea vulnerabilităților de securitate cibernetică și la implementarea măsurilor de securitate adecvate.

În concluzie, protejarea sectorului energetic și a gazelor naturale împotriva atacurilor cibernetice este de o importanță critică pentru stabilitatea și siguranța sistemelor de energie și gaze naturale. Este necesară alocarea de resurse financiare adecvate pentru implementarea unor măsuri de securitate cibernetică solide și eficiente, pentru a reduce riscul de atacuri cibernetice și a minimiza consecințele acestora. Este important să tratăm acest subiect cu responsabilitate și să colaborăm cu autoritățile naționale competente, operatorii de servicii esențiale și furnizorii de servicii digitale, precum și alte părți interesate relevante, pentru a identifica și aborda riscurile și vulnerabilitățile semnificative. Prin luarea în considerare a acestor aspecte și aplicarea măsurilor de securitate cibernetică adecvate, putem îmbunătăți securitatea și protecția sectorului energetic și a gazelor naturale și contribui la asigurarea stabilității și siguranței sistemelor noastre energetice.

Inteligenta artificiala (IA) se referă la capacitatea unui sistem de a efectua sarcini specifice care, în mod tradițional, necesită inteligență umană. Acestea includ procesarea limbajului natural, recunoașterea facială, analiza de date și multe altele. Securitatea cibernetică, pe de altă parte, se referă la protejarea sistemelor și rețelelor informatice împotriva atacurilor cibernetice.

Colaborarea dintre IA și securitatea cibernetică poate aduce multe beneficii utilizatorilor de tehnologie și internet. IA poate fi folosită pentru a detecta atacurile cibernetice și pentru a oferi soluții de securitate mai eficiente. De exemplu, algoritmi de învățare automată pot fi antrenați să detecteze modele de trafic suspecte sau comportamente neobișnuite în rețelele informatice. Acestea pot ajuta la identificarea rapidă a atacurilor cibernetice, ceea ce poate duce la o reacție mai rapidă și mai eficientă în gestionarea situațiilor de securitate.

De asemenea, IA poate fi folosită pentru a identifica vulnerabilitățile în sistemele informatice și pentru a oferi soluții de securitate mai bune. Algoritmii de învățare automată pot fi utilizați pentru a analiza codul sursă al aplicațiilor și a identifica eventuale vulnerabilități de securitate. Aceasta poate ajuta la eliminarea acestor vulnerabilități înainte ca acestea să fie exploatate de atacatorii cibernetici.

În general, colaborarea dintre IA și securitatea cibernetică poate duce la o mai mare protecție a datelor personale și a integrității utilizatorilor. Aceasta poate ajuta la prevenirea atacurilor cibernetice și la reducerea impactului acestora asupra utilizatorilor și a sistemelor informatice.

Colaborarea dintre IA și securitatea cibernetică a dus la o serie de realizări importante în domeniul securității informatice, inclusiv:

  1. Detectarea și prevenirea atacurilor cibernetice – IA poate fi utilizată pentru a detecta comportamente neobișnuite în rețelele informatice, identificând astfel potențialele atacuri cibernetice. De asemenea, IA poate fi folosită pentru a dezvolta soluții de securitate mai eficiente pentru a preveni astfel de atacuri.
  2. Îmbunătățirea securității aplicațiilor – IA poate fi utilizată pentru a analiza codul sursă al aplicațiilor și a identifica vulnerabilitățile de securitate. Aceasta poate ajuta la dezvoltarea unor aplicații mai sigure și mai rezistente la atacurile cibernetice.
  3. Îmbunătățirea autentificării – IA poate fi folosită pentru a dezvolta soluții de autentificare mai sigure, cum ar fi autentificarea bazată pe recunoașterea facială sau pe voce. Aceste soluții pot fi mai sigure decât parolele, care pot fi ușor de ghicit sau furat.
  4. Identificarea amenințărilor la securitatea cibernetică – IA poate fi utilizată pentru a identifica modele și tendințe în atacurile cibernetice. Aceste informații pot fi utilizate pentru a dezvolta soluții mai eficiente de securitate cibernetică.
  5. Analiza datelor de securitate – IA poate fi utilizată pentru a analiza datele de securitate, cum ar fi jurnalele de acces și de activitate, pentru a identifica potențialele probleme de securitate. Aceste informații pot fi utilizate pentru a dezvolta soluții mai bune de securitate cibernetică.

Acestea sunt doar câteva exemple de realizări ale colaborării dintre IA și securitatea cibernetică, care au dus la o mai bună protecție a datelor personale și a integrității utilizatorilor.

Există o serie de instrumente cunoscute de securitate cibernetică care utilizează tehnologia Inteligenței Artificiale pentru a îmbunătăți securitatea informațiilor și protejarea datelor personale, printre care se numără:

  1. Darktrace – Este un instrument de securitate cibernetică care utilizează Inteligența Artificială pentru a detecta atacurile cibernetice și pentru a răspunde în timp real, ajutând la prevenirea pierderii de date și a atacurilor cibernetice.
  2. IBM Watson for Cybersecurity – Acesta este un instrument de securitate cibernetică care utilizează tehnologia IBM Watson pentru a identifica și preveni atacurile cibernetice. Folosind analiză avansată a datelor și învățare automată, IBM Watson poate detecta rapid și eficient potențialele amenințări de securitate.
  3. Cylance – Este un instrument de securitate cibernetică care utilizează tehnologia Inteligenței Artificiale pentru a identifica și preveni amenințările cibernetice. Cylance utilizează învățarea automată și analiza comportamentului pentru a identifica și preveni atacurile cibernetice.
  4. McAfee – Este un instrument de securitate cibernetică care utilizează tehnologia Inteligenței Artificiale pentru a proteja datele personale și informațiile de securitate. McAfee utilizează analiza comportamentului și învățarea automată pentru a identifica amenințările de securitate și a preveni pierderile de date.

Analiza unui atac cibernetic complex și eficient

Angheluș AlexandruProdefence
Oana BuzianuWintech

Societatea digitală actuală are nevoie de o disponibilitate continuă a serviciilor și de o protecție eficientă a datelor sensibile. Activele informaționale și serviciile online sunt foarte importante pentru toate organizațiile și sunt vitale pentru crearea unei economii digitale sigure.

Deși atacurile cibernetice vizează fiecare industrie, sectorul financiar este afectat în mod disproporționat, fiind vulnerabil la foarte multe amenințări din ce în ce mai sofisticate, deoarece infractorii cibernetici știu că au acces la sume mari care le autofinanțează activitățile criminale. Securitatea cibernetică în organizațiile din sectorul bancar a devenit din ce în ce mai critică.

Mizele cresc atunci când vorbim despre confidențialitatea, integritatea și disponibilitatea activelor informaționale, precum și despre implementarea unor servicii și aplicații de ultimă generație(Fintech, Blockchain), care conduc la îmbunătățirea rezistenței împotriva amenințărilor cibernetice. Sectorul financiar recunoaște evoluția amenințărilor și riscurilor cibernetice, precum și ritmul accelerat al tehnologiei în permanentă schimbare.

Ca și în cazul altor infrastructuri informaționale, o parte din deciziile și soluțiile adoptate de conducere nu se pot baza strict pe politici și proceduri, ci au la bază incidente de securitate cibernetică cu impact asupra propriilor instituții, sau analize/ rapoarte ale experților în securitate cibernetică.

Toate acestea subliniază necesitatea de a proteja datele și tranzacțiile cu date sensibile și, prin urmare, de a (re)asigura încrederea în sectorul financiar.

Această analiză are ca subiect un atac cibernetic extrem de complex și cu o activitate infracțională foarte ridicată, deși totul pleacă de la o simplă informație găsită pe una dintre platformele monitorizate de echipa ProWin.

Așa cum am menționat în articole anterioare, infractorii cibernetici au ca scop comun obținerea de câștiguri financiare, direct sau indirect. Am scris infractori, deoarece atacurile cibernetice lansate de aceștia se aseamănă cu infracțiunile cunoscute în viața de zi cu zi.
Atacului cibernetic asupra Ministerului Afacerilor Externe nu îi putem atribui o astfel de descriere, pentru că în acest caz nu mai putem discuta despre infracțiune financiară, scopul atacatorilor fiind foarte definit… și anume accesul în infrastructura Ministerului.

Documentul conține informațiile și analiza atacului cibernetic.

Atacul DDOS

Atacul DDOS este o formă de atac cibernetic realizat prin trimiterea excesivă de date către serverul țintă. Pentru realizarea atacului nu este obligatoriu ca atacatorul să fie hacker și să aibă cunoștințe tehnice deosebite, dar impactul asupra țintei va depinde de anumite criterii esențiale.

Este considerat un atac cibernetic deoarece poate produce pagube în toate industriile și mai ales infrasctructurilor serviciilor esențiale.

Atunci când se lansează un astfel de atac trebuie să existe:

  • O țintă clară (nu introduci un IP la nimereală),
  • Un scop clar (faimă, mesaj, daune),
  • Buget(platformă ddos, zombi, echipament, proxy).
  • Sacrificiu (dispozitive/ Ip-uri care devin inutile)

Primele două sunt ușor de înțeles, așa că vom insista doar pe buget și sacrificiu.

Buget.

DDOS-as-a-Service
Realizarea atacurilor DDOS se poate face prin intermediul platformelor care oferă servicii de acest gen. Ca și preț pentru 1 oră de DDOS asupra unui IP vorbim de 10-35$. Un ”atacator” va plăti în funcție de ceea ce dorește ca platforma să facă pentru el (tip, timp, putere). În timpul atacului acesta va accesa o altă platformă de control a funcționalității IP, va copia adresa raportului și se va lăuda cu ”atacul hacking” asupra țintei X.

Servere compromise.
O altă metodă de atac este folosirea serverelor compromise(de aceea se insistă pe securizarea infrastructurilor administrate). Hackerii compromit servere vulnerabile sau prin intermediul verigilor slabe(angajați) și introduc o serie de scripturi pentru persistența accesului, dar și pentru folosirea infrastructurii în desfășurarea unor tipuri de atacuri(ddos, distribuire de malware, campanii phishing etc). De cele mai multe ori aceștia vând accesul la aceste scripturi sau le folosesc pentru platformele mai sus menționate. Dar revenind la subiectul principal, vom sublinia faptul că doritorii de DDOD vor cumpăra accesul la aceste scripturi și le vor folosi după bunul plac.

Zombi
Exact! Ca în filmele cu acei oameni care făceau anumite lucruri fără a exista consimțământ. Așa și în cazul nostru, doar că sunt folosite dispozitivele oamenilor(și aici iar amintesc de necesitatea securizării, dar pentru dispozitivele noastre: pc, telefon, tabletă, router, tv, frigider smart etc). Atacatorii lansează campanii de distribuire a virușilor, iar dispozitivele infectate vor aștepta comenzile hackerului. Aici nu doar timpul de atac este foarte mare, ci și bugetul necesar pentru menținerea accesului.

Echipament/ Proxy
Aplicațiile pentru atacul DDOS nu sunt ceva super complicat și se pot obține ușor, fie fiind cumpărate, fie folosindu-se aplicații piratate/ sparte. Aici factorii importanți sunt lista de IP-uri folosită sau nodurile de redirecționare. De obicei, IP-urile folosite în atacuri cibernetice intră în diferite liste negre și vor fi respinse de mecanismele de apărare dispozitivelor sau infrastructurilor(antivirus, firewall etc), drept urmare, pentru a realiza un atac trebuie ca atacatorul să cumpere liste care să conțină IP-uri bune.

Sacrificiu

Sacrificiul este legat ceea ce am descris la Buget.
Atunci când este efectuat un astfel de atac, Toate IP-urile sunt preluate de mecanismele de apărare și introduse în lista neagră, această listă ajunge să fie folosită de mai multe mecanisme anti hacking și astfel devin inutile.
Sacrificiul vine atunci când se inițiază un astfel de atac.. știind că acele dispozitive sau IP-uri folosite nu vor mai fi bune pentru alte atacuri.

Dar… acest lucru este valabil NUMAI atunci când infrastructurile folosesc mecanisme de apărare împotriva atacurilor cibernetice!!!

Impactul atacurilor DDOS

Trebuie să înțelegem că impactul unui atac DDOS diferă de la infrastructură la infrastructură, depinde de timpul de atac și de mecanismele de apărare.

Impactul asupra unei pagini de prezentare nu se aseamănă cu atacul asupra unui magazin online, deoarece blocarea temporară a accesului la pagina web poate afecta imaginea și corespondența, în schimb magazinul online nu va putea vinde produse în timpul atacului cibernetic.

Infrastructurile cu soluții de apărare implementate vor fi afectate mai puțin sau chiar deloc vizibil, deoarece unele IP-uri vor fi blocate foarte repede, iar unele vor fi direcționate spre ”găurile negre” pregătite pentru astfel de situații.

Ce se poate face pentru evitarea/ stoparea incidentelor.

Exista o serie de măsuri care se pot aplica pentru diminuarea impactului, iar administratorii de rețele pot apela oricând la prietenul Google pentru implementare.

Dar… vom pune în articol câteva idei.

  1. In funcție de buget, se pot achiziționa echipamente anti DDOS sau servicii anti DDOS(traficul va trece prin serverele acestora, iar administratorul doar va fi notificat că a exista un atac, fără a fi afectată infrastructura),
  2. Setarea corectă a permisiunilor și a accesului la infrastructură(white/ black lists),
  3. În funcție de funcționalitatea infrastructurii se pot aplica restricții/ limitări pe timpul nopții,
  4. Dacă activitatea este dedicată utilizatorilor din România, o restricție pe IP este o soluție bună(asta dacă atacatorul nu are IP-uri curate de România),
  5. .. mai completăm dacă ne mai vin idei(încă sunt la jumătatea ceștii de cafea…)

Măsura cea mai interesantă și eficientă este cea ofensivă, dar nu o punem în listă, deoarece x, y, z. Un mecanism de apărare ofensiv ar prelua, în timp real, toate IP-urile folosite în atac și ar trimite către acestea un flux de date care să ducă la blocarea serverelor/ dispozitivelor folosite în atac. În acest caz, atacatorii și dispozitivele acestora vor deveni victime ale propriilor acțiuni, iar țintele acestora nu vor avea de suferit.
Desigur, vor exista victime colaterale, dispozitivele și infrastructurile compromise(folosite de atacatori) fiind afectate pe termen scurt, dar…

Pentru a înțelege mai bine situația, vom folosi un scenariu foarte legat de realitate.

Un magazin online poate funcționa pe un server pe care îl împarte cu alți chiriași sau unul dedicat. Indiferent de situație, acel server face parte dintr-o infrastructură și este echipat cu mecanisme automate de apărare/ protejare.
Pentru face un calcul al impactului și stabilirea unor restricții.. de exemplu pe IP, încât după anumite ore sau pe toată durata acestei perioade doar clienții din România să poată accesa magazinul, trebuie să existe o imagine clară a clienților, pentru a vedea câți clienți sunt din afara țării. În funcție de procentul acestora (5 -10 -15%) și raportat la 30 de zile puteți face o un calcul al sumei pierdute dacă blocați accesul.
Restul de 85%, care provin din România, nu îi vom raporta la 30 de zile, ci la 1-2 zile în care magazinul nu ar mai fi funcțional.
De ce 1-2 zile? Deoarece în cazul unui atac de tip DDOS mecanismele de apărare ale infrastructurii din care face parte serverul magazinului se va proteja și va suspenda întregul server, pentru a nu fi afectate și alte componente ale acestuia.
Mai exact, dimineață veți observa ca magazinul este offline, urmează un schimb de mesaje/ telefoane cu administratorul, acesta discută cu echipa tehnica a infrastructurii și până la urmă magazinul revine la normal, doar că în tot acest timp clienții nu l-au putut accesa și au căutat în altă parte.

Fiind o perioadă dificilă și luând în considerare creșterea numărului de atacuri cibernetice suntem obligați să luăm măsuri mai drastice. Să calculăm posibilele pierderi în cazul unui atac cibernetic și să implementăm măsuri de diminuare a impactului.
Măsuri adaptate la serviciile oferite, posibile pierderi, impact, imagine…buget etc.

Septembrie 2021.

Fortigate VPN leak. Lista a 500.000 de servere a fost făcută publică zilele și toată lumea a început să reacționeze, să încerce remedierea vulnerabilităților care le expuneau datele de acces.

Sursă: CERT-RO – 2021/09/09

Ceea ce trebuie să înțeles, este faptul că vulnerabilitatea a devenit publică cu mult înainte, deci… aceasta a fost exploatată o perioadă bună de timp de câteva grupuri restrânse, iar după publicare a fost exploatată de toți cei interesați și pricepuți la astfel de activități. Acum, la expunerea totală a datelor de acces, serverele vulnerabile sunt exploatate de oricine.

Februarie 2021

Am aflat și căutat informații despre vulnerabilitate, am testat impactul asupra severului de VPN.
Am început analizarea infrastructurii din România, pentru a găsi potențiale servere, asupra cărora ar putea avea impact vulnerabilitatea.
Într-un mod subtil am lansat o avertizare și pe social media, știind că cei interesați vor cere informații despre vulnerabilitate.

Martie 2021.


Am adunat informațiile despre serverele din România care rulează acest serviciu și am trimis avertizarea către Centrul National de Răspuns la Incidente Cibernetice (CERT-RO) , devenit DNSC – Directoratul National de Securitate Cibernetică.

Echipa de răspuns la incidente a preluat informațiile și în regim de urgență s-a trecut la găsirea deținătorilor și implicit avertizarea acestora, cu privire la vulnerabilitatea care afișează datele de logare a utilizatorilor de VPN.

Cei afectați aparțineau sectorului public, dar și privat. Instituții, distribuitori echipamente medicale, agentie turism,  telecomunicații, lanț farmaceutic… plus IP-uri ale căror deținători nu am avut timp să le analizăm, dar echipa CERT-RO s-a ocupat în detaliu.

Un număr impresionant de servere care erau deja exploatate sau urmau să fie, luând în calcul rapiditatea răspândirii informațiilor despre vulnerabilitate și apariția tutorialelor de exploatare.

Revenim la Septembrie 2021.

O listă impresionantă apare public. Lista conține toate serverele care au fost vulnerabile de la apariția publică a CVE-ului, dar și toate datele de logare ale utilizatorilor.

De fapt, știrea apărută pe toate canalele vorbește despre o listă apărută și în mod clar, incă nu o avea toată lumea. Cert este că, mai nou o aveau cei care frecventează anumite platforme hacking, aceștia fiind analiști/ cercetători în securitate cibernetică și desigur, cei care sunt implicați în activități cibernetice ilegale.

„nicxxx:Rad@6464#”,./10443_/RO/136.x.x.x.txt”,”nicxxx:Rad@6464#”, „ip”: „136.x.x.x”

 „uzexxx:12%asdxx”,./10443_/RO/86.x.x.x.txt”,”uzexxx:12%asdxx”, „ip”: „86.x.x.x”

 „delxxx:ote@xx”,./10443_/RO/5.x.x.x.txt”,”delxxx:ote@xx”, „ip”: „5.x.x.x”

 „pexxx:Opxx”,./10443_/RO/86.x.x.x.txt”,”pexxx:Opxx”, „ip”: „86.x.x.x”

 „sixxx:SDxx”,./10443_/RO/86.x.x.x.txt”,”sixxx:SDxx”, „ip”: „86.x.x.x”

 „tdxxx:diPxx”,./10443_/RO/5.x.x.x.txt”,”tdxxx:diPxx”, „ip”: „5.x.x.x”

Acesta a fost moment de panică pentru administratori, IT-iști, centre de Securitate cibernetică etc.
Dar nu și pentru noi… în mod sigur nici pentru DNSC România.

În ceea ce privește România, lista conține serverele trimise de noi catre DNSC..în  Martie 2021, dar și câteva noi.

Iar din auzite, unele entități și-au rezolvat rapid vulnerabilitatea, dar sunt sigur că nu s-au conformat toți!

Din punctul nostru de vedere, situația este următoarea.
Vulnerabilitatea este exploatată de mult timp, deci administratorii nu ar fi putut face ceva, dar, cel puțin din Martie 2021 puteau da curs avertizării inițiate de echipa CERT-RO, pentru a evita compromiterea sau o nouă compromitele, care din acel moment putea veni din partea oricărui doritor de exploatare a serverelor.

Ceea ce nu este foarte discutat, este faptul că toată lumea s-a concentrat pe eliminarea vulnerabilității, dar nimeni nu vorbește despre serverele deja exploatate.
Cu ce au fost infectate? Ce comenzi au fost executate?
Interesant, nu?

În concluzie, atragem atenția asupra importanței comunicării și a conformării, atunci cănd avertizați sau informați despre anumite vulnerabilități. Cei care s-au conformat in Martie, nu au avut motive de panică în Septembrie.

Mulțumesc echipei de răspuns la incidente din cadrul Directoratului Național de Securitate Cibernetică, pentru promptitudinea și seriozitatea de care dau dovadă la fiecare avertizare/ informare trimisă de către echipa Prodefence!!!

Botnet-ul Mirai, pare a nu mai fi un super subiect, deși exploatează o gamă largă de dispozitive aflate online.

Ce face Mirai Botnet? Simplu! Am mai discutat despre el!
https://www.prodefence.ro/mirai-botnet-berbew-backdoor-ip-urile-de-iot-din-romania-folosite-in-activitati-ilegale/

De asemenea, au existat și alte avertizări!


Execută comenzile hackerilor, indiferent care ar fi acestea: scanarea altor dispozitive, furt de date, forțarea datelor de acces, distribuire de malware …etc.
Dar, principala utilizare a fost integrarea acestora într-o armată digitală, deservind la atacuri în masă a altor rețele, cunoscutele atacuri DDOS.
Simplicat la maxim… face ca dispozitivul infectat să devină un sclav al dorințelor hackerilor.

Sursă: imperva.com

Partea interesantă este că botnet-ul se instalează în dispozitive mai puțin securizate și mai puțin verificate de deținători: routere, console gaming, dispozitive smart folosite în locuințe etc, astfel fiind mai greu de detectat activitățile acestuia.

Detecție

Sursă:https://threatmap.checkpoint.com/

Detecția botnet-ului este simțită deseori de deținători, dar ignorată.. din lipsă de educație cibernetică și este trecută la categoria ”..iar face figuri net-ul..”

Când este sesizabilă acțiunea unui botnet?
Atunci când primește comanda de scanare a altor dispozitive sau în cazul unui atac de tip DDOS, deoarece folosește foarte mult trafic.
Dar dacă este setat să acționeze în intervale de timp bazate pe fusul orar, cel mai probabil va folosi traficul atunci când noi suntem la somn sau în afara orelor de muncă.

Avem și 2 variante mai bune de detecție.

Varianta de contractare a unui specialist sau instalarea unei aplicații de monitorizare/ alertare.
Monitorizarea traficului, analizarea acestuia și descoperirea dispozitivului/ lor compromise.
*Această variantă este pentru Instituții, firme private sau persoane care vor sa stie ce se întâmplă cu dispozitivele lor.

Sau folosirea platformelor online, în speranța că IP-ul folosit a fost interceptat ca având activități suspicioase.

Un astfel de tool este Mirai tracker!
Arată ultima activitate stocată și o serie de alte platforme, care sunt sursa tracker-ului.

De exemplu, pentru a găsi IP-urile de România, se adaugă ”RO” în căsuța de Search.

Iar adresa finală va fi: https://mirai.security.gives/index.php?search=RO

*la fel poate fi folosit pentru orice altă țară!

O altă platformă foarte folosită este GreyNoise.

Rezultatele sunt destul de clare. 370 de Ip-uri au sau avut legătură cu semnatura botnet-ului Mirai.

De asemenea, se poate folosi Google search. Se adaugă IP-ul dorit, iar rezultatele vă vor indica prezența acestuia pe anumite platforme.

Pentru evitarea unor situații, cel mai bine este să evitați folosirea unor dispozitive vechi sau care nu permit actualizarea.
Iar dacă totuși ”..iar face figuri net-ul..” prea des, este bine să anunțați firma de la care aveți internet, IT-istul Instituției unde lucrați sau un specialist care să vă îndrume.

Dacă vei alege varianta clasică: ”Nu are ce să îmi ia mie!” și vei ignora, nu faci decât să accepți faptul că ajuți la succesul ilegalităților cibernetice. Casa sau biroul tău, vor fi un punct de trecere deschis, pentru infractorii cibernetici.

În rest, totul ok!

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!