Textul de mai jos e o sumă de fragmente din interviul pe care șeful departamentului de cercetare de la Bitdefender l-a acordat pentru numărul 91 al revistei exclusiv print CRONICILE Curs de Guvernare.
Despre riscurile și vulnerabilitatea pe care ne-o conferă azi chiar și cele mai simple obiecte inteligente din jurul nostru, chiar din casă, și despre ușurința cu care infractorii cibernetici pot avea acces la datele confidențiale pătrunzând în intimitatea noastră cu ajutorul celor mai banale obiecte cu care ne înconjurăm
AICI- Sumarul numărului 91 al CRONICILOR (și locul de unde poate fi CUMPĂRATĂ ONLINE)
AICI- Ce sunt CRONICILE (și locul de unde poate fi cumpărată online toată colecția)
Redacția)
***
CRONICILE:
Să facem o fotografie, cu cât mai multe detalii concrete cu putință, a riscurilor și vulnerabilităților pe care le dau aparatele inteligente, internetul lucrurilor – din perspectiva de securitate. Cu atât mai mult, cu cât munca de acasă a luat avânt în anul pandemiei, iar câteva din riscurile de securitate pentru companii vin din vulnerabilitățile de securitate pe care le au salariații care lucrează de acasă.
Alex Bălan:
Să ne gândim așa. Cât de securizată este rețeaua noastră de acasă față de rețeaua de la birou? La birou avem echipamente de zeci de mii, dacă nu de sute de mii de dolari, care au grijă de noi. Sunt tot felul de firewalls, sisteme de detecție, de prevenție a atacurilor, pe când acasă avem un router. Echipamentele pe care noi le cumpărăm ca și consumatori acasă nu vor fi la nivelul de securitate al echipamentelor de la o corporație.
La Bitdefender noi avem ceea ce se numește honeypots. Honeypot este un sistem care pretinde că este vulnerabil. Pot să pretind că sunt un Windows 10 fără update-uri. Pot să pretind că sunt un site care rulează o platformă vulnerabilă sau, cum avem noi acum câteva sute, pretindem că suntem niște routere vulnerabile, să vedem cine ne atacă. Și am văzut undeva la vreo șase milioane de echipamente din astea honeypot compromise în decursul a câteva luni.
(……………………………………………)
dacă eu vreau să compromit un om care lucrează de acasă, nu-mi va fi greu. Dar trebuie să mă duc țintit pe omul respectiv pentru că vreau să fur informații din compania aceea. Și nu doar că nu-mi va fi greu, dar s-ar putea să nu fiu nici prins, pentru că nu are sisteme de detecție acasă.
Rețelele wireless de acasă sunt mai puțin securizate, atacurile împotriva rețelelor wireless sunt foarte ușor de efectuat din cauza faptului să standardele pe wireless, unele, sunt vechi de 25 de ani. Pot să vă dau un exemplu. Un lucru puțin știut de către oameni este că, fără să fiu asociat la o rețea wireless, eu pot să văd toate mac adress-urile, deci pot să văd în spectrul wireless 1. Tot ce este asociat la un access point. Tot în spectrul wireless pot să văd cu un terminal neasociat, de exemplu, un laptop sau un telefon ori un televizor, dacă nu este asociat, pot să văd toate rețelele pe care le are în memorie.
CRONICILE:
Există venind din spate un sistem de protecție, o upgradare, o îmbunătățire a zonei de security care să vină în întâmpinarea necesităților ridicate de telemuncă?
Alex Bălan:
Această protecție este strict de suprafață. De când s-a produs Mirai Potnet în 2016, au fost compromise aproximativ 460.000 de echipamente inteligente, în general, routere și camere de supraveghere, și au fost folosite pentru a lansa un atac împotriva mai multor entități din SUA.
Când s-a întâmplat Mirai Potnet s-au dat legi prin diverse țări. Singurul lucru care s-a întâmplat a fost să nu mai existe parole default. Să nu mai existe parola admin admin sau admin 1234 și să oblige utilizatorul să schimbe parola după ce termină configurarea echipamentului.
Dar spun că sunt de suprafață, pentru că în cercetările noastre, noi nici nu ne-am uitat la astea. În testele noastre am reușit să compromitem, de exemplu, echipamente care nici nu aveau conexiune directă din internet. Ele nu erau conectate la internet, dar am exploatat cloudul echipamentului, că sunt foarte multe conectate la cloud acum.
Și un scenariu de atac este în loc să compromit direct echipamentul, că nu am acces direct, că este în casă la cineva, accesez cloudul și încerc să compromit cloudul echipamentului. Dar noi controlăm priza prin telefon. Controlăm becurile prin telefon. Purificatorul de aer vorbește cu cloudul. Cloudul face legătura dintre telefon și terminal. Dacă eu compromit cloudul, pot controla toate echipamentele conectate la el.
Și am demonstrat asta la vreo 4-5 echipamente foarte populare – prize inteligente, niște relee inteligente care se pot monta pe becuri și foarte mulți le folosesc și în România pe niște camere de supraveghere. Ideea este că degeaba forțezi utilizatorul să își schimbe parola la sfârșit, dacă tu ai alte probleme de nu le tratezi.
(…………………………………………..)
CRONICILE:
Priză inteligentă, bec inteligent, cameră de supraveghere, aerul condiționat etc: un om se înconjoară cu ele. Cât de mare este vulnerabilitatea reală a acestor dispozitive și, implicit, transferul ăsta de vulnerabilitate către viața privată a omului? Și, mai departe, pericolul pentru companiile la care lucrezi de acasă?
Alex Bălan:
Să judecăm un exemplu simplu, un scenariu posibil, nu neapărat probabil, dar foarte posibil: tu cumperi o priză. Ți-o instalezi, o folosești și îți aduce un beneficiu în viață pentru că poți să vezi cât consumi, poți să pornești de la distanță echipamentul – are multe beneficii.
Eu de la mine din birou sparg priza respectivă pentru că nu este neapărat cea mai scumpă priză din lume, nu este de la cea mai scumpă firmă din lume, este și ea o priză de 90 de lei. Și eu reușesc să o sparg ușor, trivial. Asta înseamnă că am ajuns în casă.
Din punctul ăla, primul lucru pe care pot să-l fac este să văd setările de rețea ale prizei, asta înseamnă parola de wireless. Apoi, priza aia rulează un sistem de operare, de cele mai multe ori bazat pe Linux. Sunt foarte familiarizat cum funcționează Linux – pot să văd câte calculatoare sunt în rețea, apoi pot să mă apuc să lansez atacuri către calculatoarele din rețea. Și să nu uităm un lucru foarte-foarte important. În rețeaua de acasă, în cele mai multe cazuri, nu există securitate. Dacă tu îți configurezi un server pentru fișiere, să ții pozele și așa mai departe, 99,99% din cazuri nu o să pui parolă pe el, ca să poți să-l accesezi ușor de pe orice telefon, de pe orice calculator. Între echipamentele care comunică într-o rețea de acasă nu prea există securitate deloc.
Pot să intru în celelalte echipamente din casă. Lansez atacuri către laptop, telefon, pentru că sunt în rețea, pentru că eu din priza aia pivotez către celelalte puncte din rețea și fiind în rețea am un grad de încredere foarte mare. Suntem în aceeași rețea, suntem în rețeaua noastră de acasă – o mentalitate care trebuie schimbată, din punctul meu de vedere. Ar trebui să ne tratăm rețelele de acasă și chiar și cele de la firmă ca fiind ostile. Nu știm niciodată cine este în ele. Se pot obține, astfel, parole, certificate, credențiale și așa mai departe.
CRONICILE:
Suntem în primul trimestru din 2021. Scenariul de la care am pornit – cu telemunca și problema dispozitivelor inteligente din casă – interferează și cu chestiunile de securitate privind monitorizarea de marketing, de exemplu, prin Google Ads ș.a.m.d., bazate pe cookie-uri?
Alex Bălan:
Nu prea. În general, marketingul nu are voie să aibă legătură cu securitatea. Are legătură cu privacy-ul, dar nu are legătură cu securitatea, pentru că legislația spune că accesul neautorizat la un sistem informatic se pedepsește cu de la 2 la 6 ani. Un marketer nu are voie să îți spargă ție sau să-ți intercepteze comunicațiile.
Un marketer îți va spune foarte clar, dă-mi și mie datele dacă vrei acces la serviciul ăsta. Și tu decizi. Dacă vrei să ai acces la Facebook, Google, Gmail, îi dai datele.
Toate mailurile din Gmail, de exemplu, sunt citite. Toate. De către sisteme automate care generează reclame relevante, uitându-se cu cine vorbești tu, ce vorbești pe Gmail. Deci nu prea sunt legate lucrurile astea, din nou.
(………………………………………….)
Sunt citite toate informațiile și tot conținutul, și toată interacțiunea. Ați văzut scandalul cu WhatsApp? WhatsApp a actualizat termenii și condițiile din care citezi ce informații trimite serviciul. Echipament iPhone, Android, Samsung, HTC etc, câtă baterie mai ai, sistemul de operare, device operation information, puterea semnalului pe care o ai, adresa IP, ce browser folosești, ce versiune de aplicații, la ce rețea de telefonie ești conectat, ce limbă, ce time zone, informații legate de conexiune, cum ar fi numărul de telefon, furnizorul de telefonie, alți identificatori, inclusiv cel de la Facebook, orice identificator care spune unde mai ești prezent, pe ce altă rețea și astea sunt, așa, un segment mic dintre datele care sunt trimise către WhatsApp.
Adică în ianuarie 2021, WhatsApp spune clar că accepți termenii și condițiile sau nu mai folosești serviciul.
CRONICILE:
Dar chiar dacă ai citi termenii și condițiile, ai putea să renunți la contul de Gmail, să te răzgândești sau ai putea să renunți la serviciul de WhatsApp după ce acolo în ultimii ani ți-ai făcut o rețea?
Alex Bălan:
Confuzia pe care cred că o faceți este să credeți că ele au apărut pentru că le-am spus eu acum. Cu ele ai fost de acord când ai făcut sign up la serviciu. Când ți-ai instalat WhatsApp, el ți-a spus. Gmail a spus asta de când e el. Ăștia sunt termenii și condițiile care ți se dau când îți instalezi prima oară produsul, orice produs ar fi – Facebook, Gmail, Office. Telemetrie e în cazul cel mai fericit. Telemetria se referă la statistici de utilizare. Se colectează informații despre cine și cum folosește produsul respectiv.
(…………………………………………………..)
CRONICILE:
În ce ar consta vulnerabilitatea, odată ce ai consimțit să-ți pui la dispoziția aplicației WhatsApp, Google ș.a.m.d. date de natură privată?
Alex Bălan:
Este o întrebare excelentă, pentru că îmi dă posibilitatea să ating subiectul supply chain attacks și în cine să avem încredere, pentru că trebuie să ne punem întrebarea ca utilizatori ce s-ar întâmpla dacă ar fi compromis serviciul pe care-l folosim și cât de gravă e situația pentru noi.
Eu, de exemplu, nu am o problemă să-i dau lui Google datele. Am acolo informații cu caracter foarte confidențial. Poate am și poze compromițătoare. Și ce? Nu am făcut nimic ilegal. Dacă vine cineva cu mandat la Google, o să vadă niște poze indecente – mare chestie. Dar Google este o organizație care nu-și permite să-i fie compromis nici măcar contul lui Bălan, ceea ce înseamnă că e organizația în care am încredere 100%.
Dar firmei care face prizele alea de care tocmai am vorbit nu i-aș da date cu caracter confidențial în veci. Pentru că știu că datele pe care i le dau s-ar putea să fie compromise, că cineva îi poate sparge.
Sau la ANAF – îi dau date cu caracter confidențial, dar nu le mai consider date cu caracter confidențial. Pentru că în momentul în care mi-am dat CNP-ul unei instituții a statului, știu că CNP-ul ăla deja se duce în 15 alte locuri și un secret care este ținut în mai mult de 2-3 persoane nu mai este un secret.
(…………………………………………………)
***
Interviul integral poate fi citit în nr. 91 al revistei CRONICILE Curs de Guvernare.
Detalii despre acest număr al CRONICILOR și sumarul:
AICI- Sumarul numărului 91 al CRONICILOR (și locul de unde poate fi cumpărată online)
AICI- Ce sunt CRONICILE (și locul de unde poate fi cumpărată online toată colecția)
-Poate fi cumpărat, începând cu data de 04 martie și în chioșcurile Inmedio și în lanțul de librării CĂRTUREȘTI –
CRONICILE Curs de Guvernare: un ghid de navigare prin Istoria vieții tale