Securitatea informatiei de interes national in era digitala – criminalitatea informatica

1. Intro

Spatiul cibernetic in prezent, este caracterizat de accesul la informatie aproape in mod nelimitat si fara un control aparent, spatiu distribuit in toata lumea ca o planeta fara granite sau trasaturi nationaliste. Evolutia omenirii de la turnurile franceze din era razboaielor napoleonice cu brate rotative de semnalizare, la distribuirea informatiei utilizand unde radio, s-a realizat intr-o perioada extraordinar de scurta, daca aceasta evolutie este raportata la nivelul istoriei modern a umanitatii.

Informatia este definita ca fiind “o reprezentare a realitatii, dar si a reflectiei si a proiectiei realitatii, […] prin intermediul unui set bine precizat si structurat de simboluri, […] accesibile unor dispositive, precum cele de calcul (automate)” (definitie particularizata la subiectul lucrarii, sursa originala: Claude E. Shannon, trad.). Conform acestei definitii particularizate la subiectul lucrarii, informatia este o imagine a realitatii inconjuratoare (si subiectiva conform cu constiinta persoanei/entitatii care emite informatia, la imaginea respectiva). In mediul inconjurator, informatia poate lua multiple forme, insa cu aplicabilitate la prezentul eseu, informatia poate fi structurata uneori in informatie accesibila de catre orice persoana, sau informatie cu caracter secret. Stabilirea caracterului secret, sau a nivelului de secretizare, se numeste procesul de clasificare. Informatia clasificata se refera la “informaţiile, datele, documentele de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii sau diseminării neautorizate, trebuie să fie protejate”. Prin conceptul de „informaţii secrete de stat” se face referire acele informaţii care privesc în mod direct securitatea ţării şi a căror protejare trebuie să fie organizată foarte riguros întrucât divulgarea lor poate prejudicia securitatea naţională. Insa, Constitutia Romaniei garanteaza accesul la informatie, prin intermediul articolului 31, alin. 1 “Dreptul persoanei de a avea acces la orice informaţie de interes public nu poate fi îngrădit.

O importanta mentiune in analiza prezenta, este ca, alaturi de informatie ca mesaj structurat si inteligibil, se ataseaza si idea de mediul  pe care se stocheaza informatia si cum este accesibila. In Legea nr. 182/2002, prin informatii/informatie se intelege “orice documente, date, obiecte sau activitati, indiferent de suport, forma, mod de exprimare sau de punere in circulatie”. Presupune deci, ca orice element de suport, care contine o informatie clasificata, este de asemenea tratat ca o informatie.

Prezenta lucrare face o analiza a conceptului de informatie, in contextul erei moderne a internetului (cyberspace) si a riscurilor asociate pastrarii, transmisiei si colectarii de informatie, utilizand medii digitale, cu accent pe zona de riscuri si securitate informatica (cybersecurity).

2. Scurta analiza a contextului legislativ local si international

In Romania, actele normative importante care reglementeaza protectia informatiilor, sunt:

Constitutia Romaniei (Mon. Oficial nr. 767/31 oct 2013)

Stabileste liberul acces la informatie si nelimitarea accesului la informatiile de interes public, conform cu articolul 31, precum si autonomia serviciilor de presa.  De remarcat este, accentul asupra tipului informatiilor – interes public.

Legea nr. 182 din 2002 pentru protecţia informaţiilor clasificate

In legea 182, importanta este mentiunea de la art. 6, alin (2) si anume “Standardele la care se referă alin. (1) vor fi in concordanta cu interesul naţional, precum si cu criteriile si recomandările NATO.”, precum si alin (3), in care vor prima intotdeauna normele NATO.

 Romania trebuie sa isi alinieze infrastructura necesara transmiterii, prelucrarii si stocarii de informatii clasificate, la nivelul celei tarilor membre NATO din vest.

H.G. nr. 781 din 2002 privind protecţia informaţiilor secrete de serviciu

Stabileste cadrul legislativ pentru protectia informatiilor de tip “secrete de serviciu”. Cadrul legal nu ia in considerare stocarea de documente sau metode de stocare documente, daca aceste documente sunt stocate pe suport digital.

H.G.  nr. 1349 din 2002 privind colectarea, transportul, distribuirea şi protecţia pe teritoriul României a corespondenţei clasificate

Romania a stabilit prin intermediul acestei legi, ca SRI sa fie entitatea responsabila de orgnanizare si raspundere pentru colectarea, transportul, distribuirea si protectia, pe teritoriul Romaniei. SRI va asigura sistemul necesar indeplinirii acestor operatiuni, prin sistem intelegandu-se totalitatea actiunilor care acopera procesul de livrare a corespondentei clasificate.

O.U.G nr.153 din 2002, privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS).

Stabileste infiintarea ORNISS, ca institutie publica in subordinea Guvernului Romaniei, ca autoritate la nivel national in domeniul securitatii informatiilor clasificate. ORNISS este institutia publica responsabila cu:

  • Managementul informatiilor cu titlu „secrete de stat”;
  • Emite autorizatii de acces la informatii cu titlu „secrete de stat”;
  • Este o entitate legislativa;
  • Mentine o lista a tuturor informatiilor clasificate.

H.G. 494 din 11.05.2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO

CERT-RO este infiintat prin H.G. 494 in vederea acoperirii deciziei Curtii Europene, cu privire la actul “Agenda pentru Europa: Incredere si Securitate, Actiunea 38”, in care toate tarile membre trebuie sa aiba infiintate un centru de raspuns rapid la incidente din zona informationala. Atributiile CERT-RO, sunt:

  • Prevenirea, analizarea, identificarea si raspunsul la incidente de securitate informatica in spatiul cibernetic al Romaniei.
  • Punct national de contact in cazul incidentelor de securitate cibernetica si mentinerea legaturilor cu alte institutii nationale sau internationale care executa activitati in domeniul mentinerii securitatii informatice.
  • Dezvoltarea de politici si strategii in domeniul securitatii cibernetice.
  • Consultant al autoritatilor publice, referitoare la infrastructuri si sisteme cibernetice.

Organizatia CERT-RO este alcatuita din reprezentanti ai mai multor entitati nationale care desfasoara activitati in domeniul asigurarii securitatii informatice, si anume:

  • STS (CorisSTS  – https://corisweb.stsisp.ro/ )
  • SRI;
  • MCSI;
  • MApN (CERTMil – https://www.certmil.ro/ );
  • (si altii)
  • Organizatia CERT-RO este vitala in organizarea interna a Romaniei in raspunsul si in pregatirea infrastructurii Romaniei in fata riscurilor viitorului.

H.G. 585 din 13 iunie 2002, pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate din Romania

 H.G. 585 stabileste aprobarea standardelor nationale de protectie a informatiilor clasificate in Romania. Standardele din H.G. 585…

Uniunea Europeana a decis actualizarea legislatiei privind protectia datelor la nivelul UE, prin adoptarea GDPR (679 din 2016). Rolul general al GDPR este de a:

  • Crea un mediu clar asupra exportului datelor asupra cetatenilor UE in afara UE;
  • Asigurarea unui mediu pentru protectia datelor, mult mai eficient;
  • Armonizarea cadrului legal UE cu standardele SUA, asupra pastrarii datelor, dar si asigurarea unei mai bune cooperari intre tarile UE si non-UE;
  • Definirea unui standard minim pentru pastrarea datelor personale, de catre entitati terte;
  • Asigurarea unui cadru de cooperare intre organizatiile de mentinere a ordinii publice nationale ales statelor UE;
  • Asigurarea unei entitati de tip „controller” pentru implementarea si monitorizarea implementarii conditiilor GDPR.

GDPR va modifica foarte multe in mediul IT si doreste sa acorde mai mult control asupra datelor personale, atat populatiei, cat si autoritatilor, in impunerea de conditii si control asupra entitatilor care manipuleaza date personale. Un major avantaj al GDPR este ca toate datele generate in cadrul spatiului UE, sa ramana in zona UE, fara a mai fi exportate in alte zone geografice. Implicatiile GDPR sunt la scara larga si presupun modificari masive in modul in care multe entitati isi desfasoara activitatile in mod curent. Aici mentionam cel putin urmatoarele activitati curente, care nu vor mai putea fi posibile sub GDPR:

  1. Colectarea de date anonime despre utilizatori, preferinte utilizatori si istoric navigatie;
  2. Prelucrarea datelor personale in scopuri comerciale, fara consimtamantul agentilor care o fac;
  3. Mentinerea datelor pe perioade nedeterminate;
  4. Pastrarea datelor in structuri necriptate;

Romania va trebui sa asigure un cadru legislativ pentru a indeplini GDPR si conditiile impuse de UE.

In contextul analizei fenomenului de criminalitate si masurile luate pentru limitarea fenomenului, este important de analizat legislatia altor tari UE, care permit utilizarea de tehnologiilor neconventionale, acces la informatie sau colectarea de informatii pe baza utilizarii unor tehnici neconventionale de tipul hacking, entitatilor care asigura ordinea publica sau impugn legea. Un fenomen din domeniul analitic legal, denumit generic “law lag” de catre Directoratul General pentru Politici Interne al Parlamentului European, apare atunci cand cadrul legislativ nu este actualizat la tehnologiile existente. Acest fenomen de “law lag” in contextul utilizarii unor tehnologii neconventionale de acces al informatiei si-a facut resimtit efectele in tarile UE, cand tari precum Germania, UK sau Franta au accesat prin metode nelegiferate, informatie de pe dispozitive digitale, prin folosirea de metode de tip hacking. Abia in 2016 Franta, Germania si UK, au actualizat legislatia existenta, care sa permita utilizarea informatiei astfel obtinute in instanta sau pentru aplicarea legii. Pentru a observa o diferenta intre mediul legal din Romania si cel similar din alte tari ale UE, se pot mentiona urmatoarele:

  • Legea 731 din 2016, in completarea sectiunii 6, Cap. 2, Titlul XXV din Cartea IV, Cod Procedura Penala, tara: Franta – permite agentiilor guvernamentale din Franta, sa acceseze datele din domeniul digital, in cazul unor conditii care necesita accesul acestor date, fara a astepta in urma metodelor clasice pe baza mandatului.
  • Codul de Procedura Penala, Alin. 20k(1), 1 Ianuarie 2009, tara: Germania – permite autoritatilor publice din Germania sa acceseze in mod explicit, utilizand metode de tip hacking, informatie de pe dispozitive digitale. Exista inclusiv posibilitatea obtinerii de informatii prin interceptarea de comunicatii, cu mult inainte ca informatia sa fie stocata/sa ajunga la destinatie.
  • IPA, Noiembrie 2016, tara: Marea Britanie (UK) – permite accesul informatiilor prin culegerea de date pe terminalele de comunicatie (ca de ex: utilizarea de puncte de colectare informatii de tipul Traffic Access Point, Traffic Splitter, etc.). In prezent, in UK, s-a legalizat fenomenul de colectare de informatii in masa (bulk data collection). Toti ISP (Internet Service Providers) sunt obligati sa mentina istoricul accesului fiecarui IP, ICRs (Internet Connection Records), etc. UK in acest moment este tara membra EU, la momentul scrierii acestui eseu, cu cele mai mari puteri (publice) de colectare date in masa.

In Romania, “law lag” a fost acoperit (temporar) prin adoptarea Legii privind securitatea cibernetica (Legea 580 din 2014), conforma cu Directiva NIS a UE (1148 din 2016). Legislatia a fost insa contestata de catre CCR (prin decizia 17/2005). Conform cu alte tari din CE, Romania in prezent, este descoperita si intr-un oarecare “law lag”, in care colectarea de informatii de pe dispositive digitale, trebuie sa urmeze metode clasice de control si preluare de posibile dovezi (daca analiza se refera doar la contextul obtinerii de probe pentru demonstrarea unei infractiuni).

3. Informatia ca “trade object” pe piata international. Infractionalitatea informatica.

O aplicatie informatica sau un mediu de stocare, fara setul de date care il produce in utilizare, nu are valoare. In realitate, nicio aplicatie informatica nu are valoare fara informatia atasata de aceasta (date personale, date financiare, etc.)

In lumea hackerilor, probabil cel mai cunoscut grup Anonymous (sau orice grup de hackeri), au ca scop accesarea de infrastructura de stocare si transport date, pentru a culege datele de interes: secrete de stat, date personale, conturi de mail, date asociate cardurilor de plata.

Internetul disponibil consumatorului de rand este ca un iceberg, in care doar 8% din informatie este accesata prin metode conventionale. Zona greu accesibila se numeste “dark web”, sau internetul “negru”. In zona de dark web, se pot gasi de la asasini platiti, pana la hackeri specializati in obtinerea de informatii in mod ilegal. Cea mai simpla exemplificare a fenomenului, se poate vedea in imaginea de mai jos:

In zona de Deep Web si Dark Web, informatia primeaza ca sursa principala de transfer de servicii. Un exemplu simplu, este ultima statistica in accesarea de “insider trading” pe forumurile si sistemele de chat dark web.

RSA Security LLC, compania producatoare de solutii in domeniul digital, foarte cunoscute si in Romania, mai ales in domeniul certificatelor digitale si a solutiilor de network security, intr-un raport de forecast (accesibil la https://www.rsa.com/content/dam/pdfs/5-2017/3956-infographic-fri-2017-global-fraud-forecast.pdf) privind efectele criminalitatii cibernetice, mentioneaza ca serviciile de transfer financiare si cele legate de calatorii sunt cele mai afectate, iar marea majoritate a fraudelor au ca origine un dispozitiv mobil. In aceeasi statistica se prezinta ca un atac de tip phishing este lansat odata la 30 de secunde. Tinta atacurilor in general, este obtinerea de informatii in mod fraudulos si utilizarea acestor informatii pentru obtinerea de foloase financiare, de tipul “ransomware”. In aceeasi categorie de criminalitate cibernetica, cel mai recent si vestit atac, WannaCry, aproape a ingenunchiat sistemul de sanatate din UK. Desi efectele sale nu au fost majore din punct de vedere financiar, au aratat slabiciunile in sistemele informationale existente.

In zona “dark web”, traficul de informatii ilegale este estimat la aproape 1 miliard $, doar pe site-ul Silk Road, Evolution si Agora. Un fenomen recent care a sprijinit traficul ilegal de informatie dar si mediul de criminalitate in lumea IT, este adoptia de cripto-moneda. Ratele estimate pe pietele “dark web” pentru permiterea activitatilor ilegale este de 5-10% din totalul tranzactiilor, facand astfel industria de acest gen, extraordinar de profitabila (date statistice conform economist.com). Tot ca suport pentru desfasurarea activitatilor ilegale in zona informatica, este utilizarea de sisteme informatice avansate de mascare a identitatii sau a anonimizarii identitatii online. Un astfel de proiect este proiectul ToR (The Onion Ring Project), care asigura sisteme avansate de anonimizare si mascare a identitatii atacatorului dar si a sursei de conectare. In fapt, toate site-urile din zona “dark web” nu accepta conexiuni directe.

In Romania, cele mai frecvente evenimente de tipul criminalitatii informatice, sunt focusate pe zone financiare si presupun in marea majoritate a cazurilor, fraude bancare sau legate de furtul de date financiare. Tot in Romania insa, sunt si cazuri exceptionale in domeniul hacking si furtului de informatii, precum Guccifer sau Iceman.

Se poate concluziona astfel, ca, domeniul furtului de informatie si lumea hackerilor sau a internetului “interzis” este un domeniu foarte lucrativ cu rezultate financiare substantiale.

4. O descriere scurta a celor mai comune modalitati de hacking

Cele mai comune metode de hacking  utilizate in mod comun de grupari sau indivizi pentru obtinerea de acces sau informatie, in mod fraudulos, sunt:

  • Keylogger – modul care poate capta toate tastele apasate de un utilizator si ce scrie la tastatura, ca apoi sa fie transmise catre hacker sau catre un server anonim.
  • DdoS/DoS – atac cunoscut si sub denumirea de „denial of service”, este un procedeu prin care un server este scos din functiune printr-o procedura numita flooding, catre un port care acccepta conexiuni publice sau catre un port deschis, pana la saturatie, scotand astfel server-ul din uz.
  • Waterhole – atacuri mai specializate si mai rare la nivel general (adica executate la intamplare), sunt reprezentate de atacuri in care hackerii deturneaza in mod specific o locatie geografica, cu scopul de a deturna sau a crea distrugeri persoanelor care acceseaza un serviciu internet la acea locatie.
  • Fake WAP – similar cu Waterhole, dar pentru mobile.
  • Passive (eavesdropping) – monitorizare pasiva a retelelor sau a unitatilor PC pentru a obtine informatie.
  • Phishing
  • Troian/Virus/Malware
  • Clickjacking
  • Cookie Theft
  • Bait and switch

Metodele de mai sus sunt orientative si sisteme complexe de hacking pot avea o multitudine de combinatii care sa creasca eficienta atacurilor.

5. Influenta activitatilor de criminalitate informatizata la nivel regional si mondial

In anul 2016, in data de 15 August, grupul Shadow Brokers a publicat mai multe aplicatii si API-uri care pot fi utilizate ca “arma cibernetica”. API-urile si bucatile de cod puteau fi folosite pentru a putea construi arme cibernetice pentru a accesa retele si infrastructuri guvernamentale, intr-un mod eficient si aproape fara oprire, aceste API-uri fiind utilizate de catre NSA pentru activitati similar. Codul pus in domeniul public ar fi fost produs in perioada 2013-2016. Grupul care a publicat aceste bucati de cod, pare a fi de asemenea legat de Stuxnet si Flame, instrumente de spionaj digitale, de asemenea foarte cunoscute in zona IT. Bucatile de cod si API au fost postate la vanzare apoi pentru o suma de 1,000,000 BTC (bitcoin), suma reprezentand 500,000,000$.

Grupul CrySys a confirmat ca toate API-urile publicate in domeniul public, sunt intr-adevar autentice si apartin US NSA.

Efectele publicarii acestor API-uri in domeniul public nu s-au lasat foarte mult asteptate. Virusul WannaCry a aparut ca effect direct a publicarii acestor API-uri, virus care a reusit sa provoace foarte multe pagube, nu neaparat datorita rascumpararilor cerute de catre grupul care a creat WannaCry (fiind vorba de un ransomware), ci din cauza problemelor cauzate la nivel functional, in cadrul institutiilor afectate.

Pe plan local, in Romania, cazuri celebre de hacking cu scopuri intentionate de a accesa informatii confidentiale asupra unei persoane publice, este cazul Black Cube. Expertii tehnici ai Black Cube Ron Weiner si David Geclowicz, au incercat sa acceseze informatii confidentiale ale sefei DNA, utilizand metode de hacking prin compromiterea adreselor de mail ale apropiatilor sefei DNA si transmiterea de mail-uri de tip phishing. Acest caz de nu a avut efecte colaterale, conform cu presa autohtona, in comparatie cu alte evenimente de hacking déjà prezentate in capitolele anterioare.

Cazul Guccifer este cunoscut din cauza ca a reusit sa penetreze retele informatizate si adrese de mail ale familiei Bush, Rockefeller, Federal Reserve System (US), ajungand in presa internationala. In cazul ICEMAN insa, nu a fost foarte mediatizat, el reusing sa acceseze sistemele NASA Jet Propulsion Laboratory si reusind sa fure informatie in valoare de peste 500,000$.

In Ramnicul Valcea, cei de la NORTON Antivirus au facut (impreuna cu CBS) un documentar si au denumit orasul “Hackerville”, datorita a peste 100 de bande care desfasurau activitati ilegale in domeniul hacking/phishing. Un alt caz cunoscut in domeniul IT security este TINKODE, un hacker roman care a reusit sa sparga Google, US Army, MySQL.com, ORACLE sau Facebook. Romania a devenit cunoscuta ca fiind tara care produce cel mai mare numar de infractori cibernetici din Europa.

6. Concluzii

Legislatia autohtona incepe sa se alinieze treptat la standardele internationale. Recentele modificari legislative la nivelul UE, vor avea de asemenea efecte majore in cazul legislatiei curente.

Metode de hacking pot fi combinate cu efecte mult mai complexe si eficiente in procesul de obtinere informatii confidentiale sau doar pentru a produce pagube materiale.

Se poate spune ca daca un grup de hacker, eficienti in munca pe care o presteaza, vor sa targeteze o persoana in mod intentionat, in lumea internetului nu exista limita in obtinerea de efecte colaterale.

 

Autor: SuperSix

Lasa un comentariu