Țară de … atentate de …

[update 2014] – Am eliminat la cerere numele din rapoartele DIICOT. Fiecare are dreptul de a gresi si poate primi sansa de a o lua de la capat. Dar cand public numele tau ramane pe undeva pe un site de internet, e deranjant. Cel mai mult am apreciat acel ~te rog~. [/update]

Astăzi la un curs, studenții au avut de prezentat aspecte despre securitatea pe Internet. Fără să fiu surprins prea mult, au lăudat faptele de eroism ale Hackerilor români. :)

Cultura mediatică românească ne dă senzația că hackerii (scuzați hecării) români sunt unii dintre cei mai periculoși din lume. Și chestia asta se propagă… și se propagă… în așa fel încât fiecare end-user care ajunge să știe să deschidă un shell se visează mare hecăr.

Un hacker adevărat este cel care nu este prins… și poate știe presa mai multe date decât știm noi, de reușește să pună infracțiunile într-o lumină pozitivă în ochii noștri… unora … sau majorității.

Hai să vedem date și fapte concrete, asupra dimensiunii fenomenului.

Auction Fraud – Romania – http://www.ic3.gov/crimeschemes.aspx#item-2

Deci avem o metodă proprie de hecăreală (scuzați de escrocherie), care aduce destul de mulți bani în conturile celor care le folosesc. Metoda aceasta este o inovație românească în domeniu, bazându-se pe gena noastră autohtonă de a fura înainte de a munci. De a păcăli. De a șmenui, de a prosti, de a-i face pe fraieri… mamă câte expresii din acestea avem în vocabularul uzual… și cred că nu sunt foarte la curent în domeniu. Dar nu avem prea multe epresii care să spună că s-a făcut un cod, o aplicație, un program, de a depăși o barieră de securitate… adică să depui ceva mai mult efort decât să păcălești niște victime amatoare de chilipiruri pe Internet. Încadrarea acestor tipuri de acțiune se face la nivelul găinăriilor.

Mai rău este că exact ceea ce speculează acest tip de infractori, amatorismul de chilipiruri și lăcomia, sunt cele care-i aduc pe mâna organelor competente. Dacă s-ar opri după anumite sume, șansa de a fi prinși este destul de redusă. Dar se pare că și hecăreala aceasta poate fi un viciu pentru unii.

Și totuși nu suntem deloc în top

În 2007 conform IC3 eram pe locul 5 în lume, după Nigeria ce-i drept, dar în raportul din 2009 al Internet Crime Compliat Center, România nu mai figurează nici la altele. (Toate rapoartele le găsiți la această adresă: http://www.ic3.gov/media/annualreports.aspx)

Deci găinăriile nu contează foarte mult în topurile internaționale ale fraudei informatice. Ceea ce e de bine că nu mai suntem acolo. Sunt din ce în ce mai puțini cei care se lasă prinși :)

La piraterie stăm bine

Se pare totuși că la piraterie stăm destul de bine. Conform raportului BSA pentru 2009, rata pirateriei în România este de 65%, detalii în limba română figurează, într-un raport din mai 2010. Și aici suntem puțin depășiți de tări precum Moldova, țara vecină și prietenă care are o rată a pirateriei de 91%!

Pirateria în schimb nu are legătură cu hacking-ul. Utilizarea unor instrumente pentru descărcare de software fără licență se cheamă furt, nu hacking. Motivația cum că am fi săraci pentru a ne cumpăra soft-ul nu este viabilă. Există alternative gratuite la orice produs software de pe piață, așa că NU trebuie să furi pentru a putea să-ți desfășori în mod normal activitățile pe calculator. Sau să fie o recunoaștere tacită a faptului că unele din cele mai piratate produse sunt mai de calitate, în viziunea utilizatorilor finali, decât acele “adevărate fortărețe” IT, reprezentate de produsele open-source?

Unde raportăm fraudele informatice în România?

Am căutam multe alte informații despre frauda informatică și pe site-urile din Ro… dar nu prea am găsit. Poate nu știu eu să caut, așa că vă rog să mă ajutați prin comentarii.

BSA-ul nu este organism coercitiv, de aceea ar trebui să existe o Poliție Informatică și la noi. În cel mai bun caz pe BSA putem raporta pirateria.

Căutând ceva rapoarte românești despre nivelul fraudei informatice am dat peste un document descărcabil de pe site-ul Poliție Române. Desigur că un Word ascunde multe informații în el, mai ales dacă acestea nu au fost șterse înainte de publicare.

Deci, este un document realizat de autorul internet, pe un calculator al companiei click descărcabil de pe site-ul Poliției Române. Dincolo de bănuielile pe care le am, legate de un subiect de mai sus, cred că vorbim cu certitudine de un cumul de vicii de procedură informatică: (1) pe ”licența de utilizare” a soft-ului sunt convins că nu scria internet și nici click și (2) autorul documentului trebuia să șteargă metadatele înainte de publicarea documentului, sau trebuia să-l publice într-un format general recunoscut și acceptat de toți utilizatorii de calculatoare din România (HTML sau PDF de exemplu).

Mai multe despre riscurile metadatelor în documentele Office găsiți aici: http://addbalance.com/usersguide/metadata.htm sau aici: http://www.metadatarisk.org/index.htm

N-am găsit nimic pe site-ul poliției române așa că am căutat pe DIICOT, dar din păcate nici acolo nu am găsit specificații despre posibilitatea raportării unor cazuri de infracționalitate informatică. Există în structura DIICOT un departament Serviciul de prevenire si combatere a criminalității informatice, dar nu am înțeles foarte bine ce face el. Sau mai este unul și mai pompos: Biroul de combatere a infracțiunilor cu cărți de credit si alte mijloace de plată
electronică si Biroul de combatere a infracțiunilor din domeniul proprietății intelectuale si industriale.

Am găsit totuși niște rapoarte… E ceva pe la pagina 28… pentru anul 2009, poate totuși citește cineva.

Citez:

Județele Olt, Bacău, Vâlcea, Arges, Dolj si Constanța, precum si municipiul Bucuresti continuă să reprezinte zone cu potențial criminogen ridicat pentru criminalitatea informatică, fiind deopotrivă remarcate fapte atât din sfera fraudelor cu cărți de credit, cât si din sfera infracțiunilor informatice „stricto sensu”.

Alte citate dar care sunt super faine din punct de vedere al pseudonumelor:

Procurorii D.I.I.C.O.T. s-au sesizat cu privire la faptul că inculpații <nume-sters-la-cerere>, zis „Ghenosu” sau „Șeri”, <nume-sters-la-cerere>, zis „Călin”, <nume-sters-la-cerere>, zis „Cosco”, <nume-sters-la-cerere>, zis „Adiță” sau „Dică, <nume-sters-la-cerere>, zis „Buratino”, <nume-sters-la-cerere>, zis „Asică”, <nume-sters-la-cerere>, zis „Tigaie”, <nume-sters-la-cerere>, zis „Mască”, <nume-sters-la-cerere>, <nume-sters-la-cerere>, zis „Nistor”, s-au constituit într-un grup infracțional
organizat, care în perioada anului 2008, s-au ocupat cu săvârsirea de infracțiuni privind criminalitatea informatică …

Procurorii D.I.I.C.O.T. au probat activitatea infractională a grupului infractional constituit din inculpații <nume-sters-la-cerere>, zis „Bogus”, <nume-sters-la-cerere>, zis „Alex”, <nume-sters-la-cerere>, <nume-sters-la-cerere>, zis „Vexx”, <nume-sters-la-cerere>, zis „Popică” si „PPK”, <nume-sters-la-cerere>, zis „Itzică”, <nume-sters-la-cerere>, zis „Fizz”, <nume-sters-la-cerere>, zis „Manechin”, de învinuiții <nume-sters-la-cerere>, zis „Danny Vip”, <nume-sters-la-cerere>, zis „Bubu PXS” si <nume-sters-la-cerere>….

Aștia au nume din Couter Strike sau de maneliști ? :)

Așadar dacă sunteți cumva victima unui atac informatic românesc: furt de identitate, spam, etc… personal nu vă pot recomanda decât să sunați la 112 și să așteptați poate vă trimite cineva acolo unde trebuie.

Pe site-ul SRI nu intru să văd dacă au ceva acolo de raportare, pentru că sunt superstițios :) Am ceva foști studenți pe acolo și cred că abia așteaptă să le dau un motiv de trace :) Glumesc. Cred că un serviciu de informații nu are treabă cu fraudele informatice de genul: mi-a spart contul de Yahoo sau de Hotmail, sau am fost umplut de spam, sau cineva mi-a furat IP-ul de la Portal și l-a pus la Imprimanta. Acolo cred că sunt doar probleme de siguranța națională, așa că nu ne amestecăm.

Doar de încheiere nu de concluzie

Succesul escrocherilor informatice vine din educație… în special a victimelor. Succesul acțiunilor de hacking vine tot din educație… exclusiv al atacatorilor.

Din cauza faptului că fiecare dintre noi putem deveni o victimă a escrocilor, vă recomand un scurt ghid realizat undeva prin blogosferă: Topul escrocheriilor de pe Internet, sau dacă doriți să citiți mai mult vizitați pagina Internet Crime Schemes.

De urmărit și: Moredata sai: http://e-crime.ro/ecrime/site/

Să dormiți bine! Popică, Ghenosu, Asică, Hecărel și tot neamul lor veghează la conturile voastre :)

30/11/2010

TechEd 2010 – Berlin – Printre sesiuni (P2)

După cum vă promisesem am revenit cu prezentări.

Forefront Threat Management Gateway 2010 Service Pack 1 Overview
Cybercrime – Clear and Present Danger
BranchCache in Action
DirectAccess with UAG – Under the hood!
Implementing PerformancePoint Services with SharePoint 2010
Analysis with Microsoft PowerPivot
Securing the Cloud: Expert Panel

După o prezentare de Threat Management Gateway in care ni s-a explicat cate facilități poate avea mai mult decât firewall-ul de la Microsoft, am considerat ca trebuie să aprofundez. Așa că mi-am făcut ceva timp și am mers la sala de Laboratoare, în care ai ocazia să lucrezi efectiv cu tehnologiile pe diferite scenarii. Modul de lucru este asemănător cu cel pe care îl puteți găsi pe TechNet Virtual Labs. Acolo m-am jucat puțin cu TMG 2010 și metodele de protecție împotriva malware și am început dar n-am finalizat un laborator de migrare de la SharePoint 2007 la 2010. La cel de TMG în mare parte știam despre ce este vorba, dar am vrut să mă validez iar cel de SharePoint nu era făcut deloc cum trebuie, pentru că nu pornea de la o infrastructură de SP2007 și pas cu pas cum ajungi la cea de 2010 ci era un fel de post-upgrade tasks, uzuale bineînțeles dar dacă nu ai văzut ce era până acolo… n-ai mari șanse să înțelegi ceva :)

Andy Malone ne-a vorbit despre Cybercrime… un subiect cu adevărat provocator. La nivel mondial in Top 10 amenintari majore asupra securitatii umanitatii, pe locul 3 sunt plasate actiunile de criminalitate informatica, pe locul 2 fiind reteaua AlQuaeda.

Marele pericol al retelelor cyberteroriste este dat de Rețelele de tip Botnet, care devin o forță din ce în ce mai mare amenințând securitatea multor sisteme de securitate și nu numai.

O clasificare faina a tehnologiilor de criptare, care strategic trebuie să o luăm în considerare de fiecare dată când ne gândim la securitate (Andy Malone):

Apoi Andy a făcut ceva demonstrații cu niște instrumente de scanare a traficului (Networkminer) și apoi a spart în 3 minute un HDD criptat cu bitlocker folosind Password recovery kit forensic care este un instrument destul de scump. La final ne-a spus că ceea ce ne-a arătat la prezentare sunt informații cu caracter public. Restul instrumentelor sunt clasificate, trăgând un semnal de alarmă destul de dur la adresa utilizatorilor de DC++, Torente și alte p2p, care într-un timp mai lung sau mai scurt devin componente ale rețelelor de tip botnet.

Despre BranchCache… nu am vă spune prea multe. Este un concept pentru companii mari cu filiale mici… cred de fapt că ar putea fi aplicabil foarte fain și la noi… dar vă las pe voi să descoperiți.

John Craddock, aflat la vârsta senectuții, ne-a dat o lecție cu adevărat de ținut minte legată de Forefront UAG. E complicat ca să poți exprima în câteva fraze de blog… ideea e că se pot face lucruri foarte faine cu UAG prin VPN, DirectAccess și infrastructurile IPv6. Oricum, până acum UAG pare singura soluție de rutare a clienților nativi de IPv6 peste o rețea de IPv4.

La prezentarea de Performance Point am aflat foarte multe lucruri noi, dar prezentatorul a căzut în dizgrația sălii pentru că nu prea i-au mers toate demo-urile. Cu siguranță voi testa și eu facilitățile de acolo când voi ajunge la Iasi, pentru că poți realiza analize foarte detaliate și rapoarte destul de faine din diferite tipuri de date, BI într-un cuvânt mai simplu. Ca idee, nici Performance Point nu suportă conectori simultani la surse de date diferite. Mă refer la a putea extrage în același timp datele dintr-un Excel și dintr-o listă SharePoint pentru a face comparații. Poate la versiunea următoare, dacă nu descoperă altcineva între timp.

PowerPivot este o tehnologie la fel de interesantă pentru Business Intelligence. De fapt după cum spuneam mai demult, BI înseamnă să ai un instrument… care poate fi chiar și Excel-ul și să știi ce vrei să obții de la datele respective. Conceptul de sistem expert, sau inteligență artificială care să poată învăța singură ce ar fi mai bine pentru o afacere sau alta nu cred că o sa fie viabilă prea curând. Până atunci ne „limităm” la cât mai multe facilități pe care ni le oferă produsele la ora actuală. La Microsoft conceptul de BI este adresabil la diferite niveluri și pentru multe categorii de produse.

Mike Chan, Marcus Murray, Andy Malone și Mark Russinovich au încheiat prezentările pentru mine, pentru anul acesta, într-o sesiune despre securitatea în Cloud. Formatul conferinței a fost de tip Expert panel care presupune adresarea întrebărilor din sală, un moderator și mai mulți experți în domeniu. A fost fain, dar am o senzație că oamenii nu au spus chiar ce știu. Au fost diplomați dar mai scăpau din când în când câte o glumă… despre securitate și despre cine crede și cine nu crede în ea. A fost interesant dar cred că oboseala a avut un efect de atenuare a efectului de exultare intelectuală pe care ti-l poate oferi o asfel de sesiune.

Înregistrarea video aici: http://www.msteched.com/2010/Europe/SIA317

În loc de încheiere

Nu știu dacă voi mai avea ocazia să ajung vre-odată pe la astfel de evenimente, dar dacă vi se oferă o astfel de ocazie nu o ratați. De asemenea, trebuie să-ți alegi prezentările în cunoștință de cauză. Nu trebuie să fii setat că-ți vei rezolva anumite probleme tehnice de la tine din organizație. În schimb trebuie să vezi spre ce se tinde, să stabilești contacte și să discuți cu cât mai mulți care fac același lucru ca și tine.

Restul contează mai puțin la o astfel de manifestare, sau doar îi dăm noi importanță prea mare. Îmi pare rău că nu am avut ocazia să stau mai mult de vorbă cu ceilalți români, în afară de echipa de la Microsoft Suport cu care m-am înțeles excelent. Scrisesem pe Twitter că ar fi fost o întâlnire românească în Berlin. Am avut și eu invitație dar din anumite rațiuni de interpretare incorectă a faptelor, evenimentelor și intențiilor nu am participat.

Înainte de plecare spre Iași am reciclat sticle de plastic contra cutii de o băutură de cuoare galbenă pe care am savurat-o alături de inginerii de la Microsoft Suport. Dacă aveți vre-o problemă de ordin tehnic cu vre-un produs Windows chiar vă rog să-i sunați! Insistent :)

Mulțumesc încă odată organizatorilor pentru invitație și facultății pentru alte cheltuieli.

12/11/2010

Un pic de inginerie socială

Dacă serverele de mail îşi fac treaba din ce în ce mai bine treaba în protecţia împotriva SPAM-ului şi altor tipuri de mesaje, browser-ele web filtrează din ce în ce mai bine phishing-ul, iată că Web 2.0 ne oferă o nouă formă de inginerie socială care va da şi mai mult de furcă administratorilor de reţele, părinţilor şi altora.

Pe scurt povestea şi apoi interpretările.

Aseară primesc invitaţie pe Facebook de la o anumită persoană. Precaut cum sunt, m-am uitat la profil. Absolvent FEEA!, Iaşi. Contabil. M-am uitat apoi la data naşterii. Promoţia 2008. Search după nume în baza de date… Nixt. Caut mai detaliat… Tot nimic.

Mă uit apoi la poze… (nu se spune fotografii în acest context). Mda! Accept! :)

Dau un mesaj în care i-am transmis că facultatea absolvită este FEAA nu FEEA. Nici un răspuns.

Astăzi apar etichetat într-o fotografie de-a ei. ID-ul de yahoo era trecut acolo, precum şi toţi prietenii etichetaţi.

La ora 00:30 avea 12 prieteni, astăzi la 13:13 are 55 în creştere.

Atunci am realizat că ceva nu este în regulă şi am început săpăturile.

Pe un alt site apare dintr-o altă localitate, cu altă dată de naştere dar acelaşi nume şi fotografie de profil.

După şi mai multe săpături, am decis să trecem la pasul urmator. Contactul pe Messenger.

Surpriză, primesc răspunsuri:

Scopul SpamRobotului era de a mă directa spre pagina de web pe care erau doar nişte legături sponsorizate. Răspunsurile apăreau permanent după 15 – 20 secunde, şi se cunoştea din scriere că nu este un nativ de Engleză.

Acum interpretările

Conform Wikipedia Ingineria socială (engleză Social Engineering) este un termen prin care se înțelege arta de a influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce ‘maestrul’ vrea ca acei "alții" să creadă.

Vladii încearcă în articolul său despre acest topic să explice care sunt tehnicile prin care inginerul social încearcă să extragă informaţii de la voi sau să vă determine să efectuaţi anumite acţiuni.

Într-un alt articol de pe WorldID ni se explică modul în care am putea să ne protejăm împotriva unor acţiuni de acest gen.

Scopul modelului prezentat în acest articol este de a acumula cât mai multe conexiuni pe diferite reţele sociale, prin afişarea unor informaţii aproximativ exacte şi a unor fotografii şi mesaje provocatoare.

Este uşor de acaparat în acest fel persoane de genul masculin. Wow colega mea… Silicoane!… fără a se gândi dacă au fost sau nu colegi :)

Persoanele de genul feminin sunt atrase prin tehnicile de asociere la o comunitate sau alta. Am terminat contabilitate la FEAA în 2008. Victima feminină poate ignora orice alte informaţii, iar fotografiile pot constitui un bun subiect de bărfă: Ai văzut fată, […] aia şi-a pus silicoane (acesta este un mesaj perfect real, autorul şi metoda de obţinere fiind păstrată deliberat confidenţială). E greu totuşi să convingi o victimă feminină să acceseze o pagină de webcam pornografic, dar nu se ştie niciodată. :)

Din punctul meu de vedere inginerul social duce o muncă sisifică. Trebuie să convingă cât mai multă lume să dea un click pe un link. Hai să analizăm rentabilitatea. Să luăm în considerare că un click costă 0,01 USD. Pentru a plăti un Indian pe zi pentru activitatea aceasta (media veniturilor in India este de 2 USD/zi) ai nevoie de 200 de click-uri. Discuţia mea cu Spamerul a durat 5 minute, timp în care am dat de 5 ori click în pagina destinaţie… rezultând 60 de click-uri pe oră ceea ce ar însemna că se pot produce 14,4 USD în 24 de ore. Şi asta dacă vorbeşti cu o singură victimă în acelaşi timp şi dacă un click costă doar 0,01 USD. Plus lista de ID-uri şi e-mailuri valabile.

Dacă te ţii de treabă poţi scoate mai mulţi bani pe lună decât un profesor de liceu român. Şi nici nu încalci nici un fel de regulament sau de lege din nici un stat!

Anul trecut cunoscusem o studentă din România care era plătită cu 450 USD pe lună (plus beneficii din realizări) pentru a citi cărţi în engleză şi a comenta pe forumuri de discuţii specializate, introducând subtil, în context, mesaje către anumite tipuri de medicamente. În lunile bune putea primi până la 1200 USD.

Ne putem proteja în astfel de cazuri?

Unii spun că da! Eu cred că nu. Socializarea face parte din natura noastră, deci într-o zi sigur putem fi victimele unei astfel de tehnici.

Cea mai bună protecţie în astfel de cazuri este educaţia.

A doua atenţia! Suntem sociabili dar facem conexiuni cu persoane pe care le cunoaştem, sau le-am cunoscut. Orice invitaţie pe o reţea socială trebuie verificată şi validată înainte de a o accepta.

O întrebare pertinentă este: Cum protejează reţelele sociale utilizatorii în astfel de cazuri?

Tehnic având în vedere că utilizatorul (răufăcătorul :) ) nu încalcă regulamentul nu ai cum să-ţi dai seama că este un spammer. Greşeala făcută în cazul de faţă de spammer este etichetarea mai multor persoane pe aceeaşi fotografie. Ar putea exista o tehnică de detectare a etichetărilor masive, dar este doar o idee.

Dacă aţi fost victima unui inginer social trebuie să vă eliminaţi din fotografia în care aţi fost etichetat şi să denunţaţi acea fotografie. Apoi eliminaţi spammerul din lista voastră de prieteni pentru a nu-i “infecta” şi pe alţii.

Personal folosesc ingineria socială ori de câte ori am ocazia.

Sintetic tehnica se numeşte: Zâmbind obţii mai mult!

Mergeţi la un ghişeu al statului, la care un/o angajat(ă) cu 25% mai acru(ă) nici măcar nu se uită la voi când spuneţi Bună ziua! Zâmbiţi şi întrebaţi cum merge treaba. Lăsaţi-i de înţeles că îl/o compătimiţi pentru cât de mult are de muncă şi cât de aglomerat este … etc, etc. Veţi pleca cu 25% din timp mai repede decât în mod obişnuit şi în 75% din cazuri cu treaba rezolvată.

Sper că nu v-am stricat această zi minunată de 13 septembrie :)

13/09/2010