Când cinismul serviciilor secrete scapă de sub control, securitatea devine terorism

Fenomenul ransomware este rezultatul politicilor de securitate care au ales să întrețină vulnerabilitățile “oportune” în loc să le combată.

Într-o replică fără precedent ca intensitate, Brad Smith – Microsoft President and Chief Legal Officer, acuză adevăratul vinovat pentru atacurile de tip ransomware care au lovit sute de mii de computere în câteva zile

[T]his attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen. And this most recent attack represents a completely unintended but disconcerting link between the two most serious forms of cybersecurity threats in the world today – nation-state action and organized criminal action.

La postura și formația omului, traducerea liberă este brutală: Ați ajuns la fel de periculoși ca teroriștii pe care ziceți că îi combateți!

Nu este primul caz! Anul trecut, Mark Zuckerberg – omul care a făcut Facebook – se fotografia subtil dar lămuritor cu laptopul personal cu camera video acoperită primitiv cu un plasture. Iar Tim Cook de la Apple s-a judecat public cu FBI pentru că nu a acceptat să instaleze o vulnerabilitate intenționată, care să dezactiveze securitatea telefoanelor.

Riscurile sunt documentate într-o întâmplare aproape proverbială. Prin 2003, TSA – agenția federală americană care se ocupă cu siguranța aeroporturilor – a venit cu un plan ingenios: ~Dacă vreți să nu vă mai spargem valizele, cumpărați de la producători care implementează soluția noastră standardizată – încuietori pentru care avem noi un set de “chei master”, cu care le putem descuia elegant. Desigur, avem încredere că nici unul dintre cei 50 de mii de angajați ai noștri nu vor folosi cheile în mod abuziv, nu le vor divulga sau nu le vor pierde.~ Mai bine de un deceniu, planul a mers strună. Până când într-o zi un angajat s-a pozat cu iarba fiarelor în mână în ditamai Washington Post, ca să aibă ce copia oricine ar vrea.

Scuza TSA? “These consumer products are ‘peace of mind’ devices, not part of TSA’s aviation security regime”! Traducere libertină: “Chiar nu ne pasă dacă vă mai fură cineva chestii din bagaje din cauza noastră, cât timp așa vă păzim de teroriști!”

E pe undeva de înțeles tipul ăsta de logică a serviciilor de securitate. Au parte de o legislație favorabilă și de discreție atunci când o depășesc, primesc puteri aproape discreționare; în schimb li se cere să știe chiar și nu se poate ști. Ceea ce pentru restul lumii este o vulnerabilitate, pentru ei e o oportunitate. Iar când nu există vulnerabilități destule, poate deveni oportun să le creezi tu însuți.

Până la un punct este de înțeles – cât timp compromisul e net câștigător asta e business as usual.

Numai că atunci când vine vorba de chestii mai sofisticate decât o încuietoare de valiză, lucrurile încep să scape de sub control. Vulnerabilitatea pe care o întreții devine o amenințare chiar mai mare decât aia de care încerci să te ferești.

Atacul ransomware de acum pare să aibă la bază vulnerabilități documentate de NSA și care au făcut obiectul unor scurgeri de informații (leaks). Au mai fost și unele de la CIA, care sunt la rândul lor foarte utile pentru atacuri individuale – dar ăstea rămân sub radar.

Sigur, e la îndemână să dăm vina pe cei care le-au făcut scăpate, numai că… ele existau oricum! Să crezi că ar fi putut fi dosite la nesfârșit este cel mult o ambiție. Și cu cât se adună mai multe, cu atât rezultatul final este mai dezastruos. La fel cum ransomware exista la rândul său oricum, iar vulnerabilitățile angro sunt doar o metodă de-a scoate mai mulți bani.

S-au dus de mult vremurile romantice când hackerii vandalizau câte un site care i-a zgândărit. Acum, cam totul este pe bani, cu furnizori specializați și consumatori interesați. Iar cei mai interesați cumpărători s-au dovedit serviciile de securitate – nu o fac pentru a îi anunța pe producătorii sistemelor ci pentru a le folosi cu maximă discreție.

Dar poți avea încredere în serviciile de securitate nu le vor abuza, divulga, pierde? Poți să ai încrederea asta în toate serviciile, din toată lumea? Poți măcar să ai încredere că le au pe toate și că nu cumva altcineva (ISIS/Daesh!?) a găsit de cuviință să liciteze chiar mai mult?

Că poate o să ne dăm seama că un atac ransomware nu e chiar cel mai rău lucru care se poate face cu ele – ăsta e barem minim-rațional!

Ce se întâmplă concret la ransomware: Autorii virușilor criptează datele victimei, astfel că le fac inaccesibile, apoi cer bani pentru deblocarea lor. Unele au chiar și call-centere, ca să te îndrume cum să le plătești răscumpărarea.

Dacă te-ai trezit cu computerul blocat sunt destul de puține lucruri pe care le poți face – în afară de a plăti 300 de dolari sau altă sumă fără vreo speranță că va folosi la ceva sau de a îți lua gândul definitiv de la propria muncă.

Dacă vrei să te ferești de infecție, sunt o suită întreagă de precauții – dar primele trei din cele zece sunt back-up, back-up și back-up: tot felul de back-up-uri.

Însă asta funcționează doar la nivel individual – salvare colectivă nu există, cel puțin nu atât timp cât însuși statul este cel care pune paie pe focul unei piețe aproape imposibil de controlat.

Iar problema este muuult mai mare de atât. Mai toate atacurile cibernetice despre care se discută public se referă la cele făcute pe “ușa din față” – adică online. Pentru ele există antidotul securității sporite și active și, în ultimă instanță, al deconectării complete de la rețea. Atunci când se lucrează cu informații critice, sistemul pur și simplu nu are, fizic, internet. Adică este “air-gapped”. Doar că serviciile de securitate (da, inclusiv ale noastre!) au nevoie să penetreze chiar și acolo, și au nevoie de vulnerabilități. Ăstea nu pot fi pur și simplu descoperite, trebuie proiectate de-a dreptul!

Cazurile, chiar și numai cele publice sunt deja prea multe ca să mai poată fi evitat subiectul.

Sigur, știm, “n-avem nimic de ascuns așa că n-avem de că să ne temem”. Eu unul iau în serios o astfel de afirmație doar dacă e însoțită de parola contului principal de e-mail al emitentului. (Nu prostioare gen CNP sau adresa de acasă, că pe ălea le-a pus un polițai pe DC++, ca să descarce filme la schimb, acum vreo 15 ani când le plimbau pe CD de la o secție la alta)

Dar trecând chiar și peste asta…

Când toată sau o bună parte din colecția de vulnerabilități – întreținute deliberat – va intra pe mâinile băieților și-mai-răi, isteria de azi cu ransomware va părea ceva din vremurile romantice, când hackerii erau un soi de eroi ai justiției sociale.

Atunci întrebarea va fi nu “ce aveam de ascuns” ci “ce aveam de pierdut”.


Recomandări

5 thoughts on “Când cinismul serviciilor secrete scapă de sub control, securitatea devine terorism

  1. Jan Valjean

    Putin a acuzat CIA pentru recentele atacuri cibernetice din Europa,inclusiv din Romania.Putin afirma ca cinismul celor de la CIA intrece orice limite,prin acuzarea Rusiei ca a initiat aceste atacuri,la fel ca si in cazul alegerilor prezidentiale din SUA si Franta,cazuri in care tot CIA a fost implicata.

    Reply
  2. mircea

    mare paguba,mai mor si avem unde sa m,ergem la pomana si mancam pa saturate.Ca la Iliescu,Basescu,Constantinescu si Iohannis slabe sperante,astia e unghiisti,adica zgarie branza,niste calici

    Reply
    • mircea

      merg aici si Roman,Boc,Vanghelie,Becali……Becali majeste din furaciunile restituirilor,popii,partidilii,justitia,cand cat nu a trebuit l-a bagat Basescu la hardau lu Petrache

      Reply
  3. STRATEGUL

    Romania de astazi ofera tabloul unei societati haotice, dezorganizate si fara perspective. Institutiile si autoritatile (de invatamint, sanatate, judiciare si administratie publica locala si centrala, de securitate a statului etc), sunt in stadiul DISOLUTIEI TOTALE, datorita atat micii cat si marii coruptii dar si INCOMPETENTEI. CAUZA PRINCIPALA a marii coruptii in Romania este de ORDIN MORAL, ea nu este determinata de nivelul de trai scazut sau de saracie, aceasta se datoreaza LACOMIEI NELIMITATE si RAUTATII UMANE manifestate de catre cei ce si-au asumat obligatia sa administreze satutul si destinele natiunii.
    Dupa ce s-a distrus economia , iar cca 4 milioane de romani au emigrat din cauza saraciei si regimului ANARHIC instalat dupa 1989 dezvoltandu-se in schimb d securismul si mafiotismul in Ro .AR FI NORMAL macar in al doisprezecelea ceas sa inceapa REFACEREA SOCIETATI ROMANESTI IN BAZA UNEI STRATEGII PROGRESISTE CARE SA DEBUTEZE CU INOBILAREA JUSTITIEI SI A SECURITATII statului si nu a MAFIEI.
    UN FOR DE AUDITARE EXTERNA ar trebui sa analizeze cu atentie si daca intre castigurile incomensurabile ale avocatilor si lipsa de eficienta a actului de Justitie din Ro exista legaturi de cauzalitate. Dupa cum rezulta la o prima analiza se observa ca exista o dependenta a veniturilor avocatilor proportional cu scaderea finalitatii judiciare a proceselor. In aceasta ecuatie sunt fenomene extrem de complexe legate de destinatia finala a sumelor. Avocatura rămâne cea mai bine plătită meserie IN CONDITII MISTERIOASE. Un avocat din Capitală a câştigat, anul trecut, nici mai mult nici mai puţin de cateva ZECI DE MILIOANE lei net şi asta după ce şi-a plătit toate contribuţiile la stat, conform datelor furnizate de către DGFPMB. De altfel, şase poziţii din Top 10 cele mai mari venituri declarate în Bucureşti, în 2016, aparţin unor avocaţi. Sisitemul judiciar romanesc se poate eficientiza, FARA A SE APLICA MAI MULTE FAZE ALE PROCESULUI JUDICIAR, si FARA FOLOSIREA INSTITUTIEI AVOCATULUI prin infaptuirea justitiei cu obiectivitate si celeritate precum si cu cheltuieli minime, NUMAI aplicand modelul Sistemului de Justitie CANADIAN, a Tribunalului Electronic, bazat pe stiinta ciberneticii judiciare. Completul de judecata este format dintr-un IT-ist sau cibernetician instruit si din punct de vedere ala cunostintelor juridice, un judecator ce detine si cunostinte IT si un calculator performant cu softul adecvat care valorifica toate probele si expunerile.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *