Expert în securitate cibernetică: „Site-ul CNAS și cel al Guvernului, următoarele instituții pe lista hackerilor”
0În urma atacurilor cibernetice care au vizat două instituții importante ale statului, un expert în securitate cibernetică rupe tăcerea. Alex Panait a dezvăluit pentru „Adevărul” numele altor două instituții ale căror site-uri ar putea fi sparte de hackeri. El a explicat cine ar fi putut da lovitura de la Camera Deputaților și cum ar fi acționat, de fapt atacatorii.
Alex Panait are 28 de ani și este din Piatra Neamț. În 2019, a pus bazele unei companii de dezvoltare software, cu accent pe securitate cibernetică iar, în curând, va înființa o sucursală și în America. Tânărul este cel care a digitalizat aproape toate primăriile de la noi din țară și cel care a raportat, în 2021, o breșă de securitate pe platforma ghiseul.ro.
Aproape toate CNP-urile românilor ar putea cădea pe mâinile hackerilor
La CNAS există o problemă de securitate cibernetică raportată de Alex Panait încă de acum șase luni. O problemă care nici până în ziua de azi nu a fost rezolvată. Care sunt riscurile? „Oricând se pot extrage toate CNP-urile românilor care se află în baza de date. Acestea pot fi folosite în alți vectori de atac. De exemplu, pe baza lor se pot face statistici pentru a se afla câți români sunt, de fapt, angajați în România sau pot fi create identități false. De asemenea, există numeroase servicii oferite de stat unde trebuie să folosești CNP-ul. Practic, atacatorul îți poate folosi identitatea la taxe și impozite, pe ghișeu.ro etc”.
Specialistul menționează că nu baza de date în sine ar putea fi spartă. „Pot fi extrase prin această nefuncționalitate a platformei datele din baza de date. Vă pot spune, de exemplu că Marcel Ciolacu s-a înregistrat la medicul de familie pe data de 2 ianuarie 2005”.
Tânărul și-a dat seama că site-ul CNAS este vulnerabil pentru că are cunoștințe solide în domeniu. „Dacă vă spun cum am descoperit breșa, o să vă spun, practic, care este aceasta. Și n-o s-o fac din motive lesne de înțeles. Tot ce pot să spun este că am folosit platforma care orice alt cetățean. Și, pentru că activez în domeniul securității cibernetice, mi-am dat seama că acolo există o problemă. Vulnerabilitățile pe care le-am găsit au fost descoperite întâmplător, nu mi-am dorit eu să le caut”.
Imediat cum le-a descoperit, Alex le-a raportat Directoratului Național de Securitate Cibernetică. „Am fost înștiințat că au trimis mai departe către CNAS, dar nici până în ziua de azi nu s-a luat vreo măsură pentru rezolvarea problemei”.
Motivul? „Ar trebui să oprească un serviciu care este activ pe platformă. Însă, este posibil ca serviciul respectiv să țină și de alte sisteme. Dacă îl închid, le-ar putea închide și pe acelea. Atunci ar fi obligați să facă licitație pentru a cumpăra o nouă tehnologie”, a explicat specialistul. Prin urmare, autoritățile au ales varianta cea mai simplă: să nu se complice și să meargă pe burtă sperând că nu-i va ataca nimeni.
Pe de altă parte, continuă expertul, sistemul de la CNAS este unul foarte vechi. „A fost făcut pe genunchi, de aceea nici nu funcționează cum trebuie. Probabil, le este și frică se se atingă de el, să nu facă și mai multe probleme. Există acest risc. Dacă o mașină nu e reparată în reprezentanță, ci de un mecanic oarecare, dacă tragi de o sârmă aici e posibil să-ți cadă roata în partea cealaltă.”
Breșă de securitate pe site-ul Guvernului. Oricine s-ar putea da Marcel Ciolacu
În România mai sunt și alte instituții vulnerabile la atacuri cibernetice, a mai precizat Alex Panait. „Am găsit o breșă de securitate și pe site-ul Guvernului României pe care am raportat-o. Ideea este că în mediul digital orice oficial din Guvernul României poate fi impersonat”. Ce înseamnă, mai exact, asta? Înseamnă că cineva poate contacta în online oameni în numele altei persoane. Se dă drept acea persoană și nimeni nu-și dă seama de înșelătorie.
În ultimii trei ani, Alex Panait a făcut în jur de zece raportări prin care sesiza autorităților diferite probleme de securitate cu care se confruntau platformele online ale instituțiilor statului. „Au fost probleme minore și toate au fost remediate. Îmi doresc să ajut. Există experți în domeniu care folosesc informațiile în interes propriu, cunoscuții hackeri „black hat”. Există însă și hackerii de bună credință, hackerii „white hat” care dacă observă, o problemă o raportează. E ca și când ești în trafic și vezi pe cineva că are pană la mașină. Îi faci un semn că are pană, nu?”.
Atacul cibernetic de la Camera Deputaților - despre răscumpărare și umilință
În ceea ce privește autorii atacului cibernetic de la Camera Deputaților, Alex Panait a explicat că situația trebuie privită din două puncte de vedere. „Prima variantă este că au avut o breșă de securitate și niște hackeri din afară au luat datele și au cerut suma de 40.000 de euro drept răcumpărare. Aici fac o paranteză: această sumă este una extrem de mică pentru statul român însă, odată plătită, autoritățile își asumă un risc. Și anume ca hackerii să ceară din nou să zicem 100.000 de euro. Și tot așa. Deci, cea mai bună soluție este să nu plătească. Sau, să plătească în speranța că au de-a face cu băieți buni care nu întind coarda. A doua variantă este ceea ce numesc eu „inside job”. Să vă explic: din câte știu eu, la Camera Deputaților este instalat Intranet. Vorbim despre un internet la care sunt conectate doar calculatoarele din instituție. În acest caz, putem presupune că cineva a luat pe un stick datele respective și le-a publicat doar ca să facă un rău politic, să agite apele”.
Informațiile, spune Alex Panait, par a fi luate de pe un calculator sau server la care au acces mai mulți funcționari „Un funcționar ar fi putut să iasă cu stickul din instituție. A pus o răscumpărare ca să aibă și o poveste în spate și să pară că totul e un atac”. De fapt, ar putea fi vorba doar despre un furt clasic.
Datele furate și publicate pe dark web au intrat până acum în posesia a sute de oameni. Vorbim, însă, doar despre o mică parte din ceea ce hackerii au extras în total. „Atacatorii au extras în jur de 250 de giga și au publicat, ca dovadă, un folder de doar 300 de mega. Contracte, documente, date personale, ce mai aveau oamenii pe acolo, și în plus, ca trofeu, buletinele lui Marcel Ciolacu și Kelemen Hunor. Erau, practic, cele mai importante date ca să se asigure că totul va fi bine mediatizat și au șanse să-și primească banii. Dacă ne referim la un atac din afară”.
De ce au cerut hackerii răscumpărare? „Nu neapărat ca să șteargă ce au publicat ci, mai degrabă, ca să nu publice și restul informațiilor pe care le dețin. Informații care costă mai mult de 40.000 de euro. Practic, ei pot vinde datele oricui plătește pentru ele. Dacă din Rusia primesc un e-mail în care li se spune „Îți trimitem 10 bitcoini pentru ele”, ei le trimit fără să mai stea pe gânduri. Le pot vinde pe același principiu și Chinei și oricui mai plătește pentru ele. Faptul că noi am plăti răscumpărarea nu ne garantează că acele date nu vor fi vândute mai departe”.
40.000 de euro nu este o sumă deloc mare. Este chiar ridicolă, spune expertul. „Astfel de date se vând pe milioane de euro. De ce au cerut așa de puțin? Ori ca să fie siguri că vor primi, ori vorbim despre o persoană din sistem care nu știe cât valorează informațiile. Pe de altă parte, datele, am aflat din ce s-a publicat până acum, au fost extrase pe data de 24 ianuarie. E posibil ca hackerii să fi trimis către instituție un mail imediat după atac. Și, pentru că instituția nu a reacționat, le-au publicat, o parte din ele, pentru a crea o și mai mare presiune. Asta, în cazul în care sunt atacatori. Dacă vorbim despre un funcționar din interior, este posibil să fi cerut o sumă atât de mică pentru că pentru un bugetar 40.000 de euro este mult”, a mai explicat Alex Panait.
Poate fi vorba și despre o acțiune prin care cineva încearcă să ne umilească, a continuat expertul. „Rusia, spre exemplu, care are echipe de hacking, să fi descoperit vulnerabilitatea asta și să fi cerut doar 40.000 de euro însă doar ca să ne umilească, să ne transmită că, de fapt, atât valorăm, că nu suntem foarte importanți”.
Atacul de la DNSC, un atac primitiv. „Orice puști îl poate face”
Alex Panait a explicat că, în ceea ce privește atacul cibernetic care a vizat Directoratul Național de Securitate Cibernetică, aici a fost vorba despre ceva minor. „Asta poate să facă și un copil. Și un puști care are 0,1 bitcoini poate să facă treaba asta și să bombardeze orice site din lume cu atacuri de genul ăsta. Este un atac situat pe ramura cea mai de jos. Cred că vrut, mai degrabă, să-i lovească în orgoliu, decât să le creeze probleme adevărate. Ditamai instituția de securitate cibernetică să fie atacată…nu le-a picat bine. Îi deranjează la ego. Dar e un atac primitiv ăsta”.
Pe de altă parte, și atacul de la DNSC poate naște suspiciuni. „Dă bine în contextul actual să spui că uite, am fost atacați și am rezistat eroic. Lumea nu înțelege, de fapt, că atacul DDoS este ceva mic. Vorbim, mai exact, despre niște roboți. De exemplu, Google, care verifică tot internetul, poate fi considerat un DDoS. Dar nu putem spune că un site care primește multe accesări de la Google e atacat cibernetic. Prin urmare, filtrele nu-l blochează pe Google. În schimb, când primim multe accesări din partea altor robiți, atunci da, ne alarmăm”.
Prin urmare, dacă atacul de la DNSC a fost unul insignifiant, de ce a fost anunțat public cu așa mare tam-tam? „Poate încearcă și ei să mai compenseze puțin. Să nu pară că suntem chiar în pamerși din punct de vedere cibernetic și să zică uite, ne apărăm, avem scutul la noi”.
Însă probleme or să tot fie, anunță specialistul. „Pentru că așa funcționează internetul. Singura soluție pentru România este să se schimbe abordarea digitală la nivel național. Să nu mai aibă voie fiecare instituție să-și facă propriul sistem. Pentru că șansele să ai vulnerabilități în zece mii de sisteme sunt mult mai mari decât să ai vulnerabilități într-un singur sistem central”.
Exportăm inteligență pe bandă rulantă, ne vindem resursele în loc să-i folosim la noi în țară, mai spune specialistul. „Este extrem de trist, iar ce s-a întâmplat acum ar trebui să fie un semnal de alarmă. Pe lângă faptul că și-a pierdut Ciolacu buletinul sau s-au pierdut niște contracte la Camera Deputaților. Care, până la urmă, nici nu sunt date de securitate națională. Problema este că suntem de tot râsul. Statul român ar trebui să folosească materia cenușie din țară, nu să o lase să plece peste hotare”.
Cum acționează hackerii „black hat”
Există două tipuri de experți în securitate cibernetică. Cei care urmăresc procedurile și le analizează și a doua categorie, cea a hackerilor care sunt white sau black. (n.r. albi sau negri). „Hackerii sunt cei creativi, care depistează anumite lucruri ce nu sar în ochi experților cu partea procedurală. În timp ce aceștia din urmă spun că totul e în regulă, c elor creativi, în schimb, le vin idei. Aceste vulnerabilități ale instituțiilor se adresează celor creativi”.
Reprezentanții Camerei Deputaților, deși au anunțat autoritățile competente, nu au mai mult de atât ce să facă. Alex Panait crede că vinovații ar putea să nu fie niciodată prinși. Expertul ne-a explicat cum reușesc aceștia, de cele mai multe ori să-și piardă urma și ce traseu urmează pentru a nu fi descoperiți. „Dacă a fost o lovitură internă, atunci, probabil, se va afla cine se face vinovat de această scurgere de date. Dacă a fost atac extern, și băieții știu ce au făcut acolo, autoritățile nu au nici o șansă să-i găsească vreodată. De regulă, astfel de atacuri se fac de pe o rețea de calculatoare. De exemplu, cineva din România se conectează la un calculator din SUA, de pe acela se conectează în China, de acolo în Rusia și de pe cel din Rusia se conectează în Azerbaijan. Și atacul final îl dă de aici. Dacă autoritățile din Azerbaidjan descoperă ce s-a întâmplat acolo, iau IP-urile, văd că la calculatorul respectiv s-a conectat cineva din Rusia. Se duc în Rusia să ia Ip-urile, iar cei de acolo nu le dau că nu au jurisdicție. Și uite cum și-au pierdut urma”, a mai explicat Alex Panait.
„Bani există. Buzunarele se schimbă!”
E rușinos ce s-a întâmplat zilele trecute. „Suntem centrul cyber security al Europei. Când vând prin firma mea programatori români altor companii din America, cu asta mă laud”, a mărturisit Alex. Dacă statul ar gestiona corect banii cetățenilor, că până la urmă sunt banii noștri, ai tuturor, atunci se pot aloca investiții. Numai că aparatul administrativ este extrem de încărcat, foarte multe proceduri, foarte multă birocrație, foarte mulți funcționari publici pe funcții care nu ar trebui să existe. Automat, lucrurile sunt extrem de deficitare. Dacă facem o comparație între cum funcționează un Guvern și o instituție privată, acesta din urma are o mai mare elasticitate. Se pot dezvolta mut mai eficient ceea ce guvernele nu au cum să o facă.
Alex Panait a spus că bani pentru modernizarea platformelor și digitalizare ar exista, însă, din păcate pe noi „ne conduc nu lideri, ci oameni politici”.
Statul român ar fi mult mai câștigat, este de părere expertul, dacă ar avea contracte cu companii din România, cu capital românesc, care să se ocupe de securitatea datelor instituțiilor publioce. „Eu cred foarte mult în parteneriatul stat și mediul privat. Noi, spre exemplu, am dezvoltat soluția prin care am digitalizat toate primăriile din România. Peste 3.200 de primării. Doar ca să demonstrăm că, dacă se vrea, se poate. Am creat prima dată soluția e-PrimăriaTa. După, pentru că am accesat fonduri de la Uniunea Europeană am creat și parteneriate cu universități din SUA. Încercăm să ne extindem pe piețe care sunt mai deschise pentru a folosi ultimele tehnologii în administrația publică.
Se încarcă comentariile...
