Hotnews a publicat la 14.04.2020 un articol are ilustrează elocvent situația digitalizării statului român. Adrian Vasilache descrie în articol achiziția publică desfășurată de Parchetul de pe Lângă Înalta Curte de Casație și Justiție, care are la bază o procedură de licitație cu o singură asociere de firme drept ofertant, care va trebui să gestioneze atât achiziția de produse (sisteme de calcul, licențe software) cât și partea de instruire personal și cea de dezvoltare de aplicații, baze de date, etc. Din articol, mai aflăm și faptul că un număr considerabil de calculatoare de la Parchetul General și parchetele subordonate rulează Windows XP.

Statul român la vremea ”digitalizării”

Cazul PÎCCJ nu este unic. ANAF se află în aceeași situație, poate într-o situație și mai rea. De fapt, infrastructura învechită și insuficientă nu poate face față nici măcar unei digitalizări parțiale, așa cum frecventele probleme de stabilitate ale Spațiului Privat Virtual o dovedesc. Un alt Frankenstein al digitalizării forțate este cel de la Casa Națională de Asigurări de Sănătate, care are în administrare cardurile naționale de asigurări de sănătate, un alt sistem instabil, care mai mult nu funcționează.

Aceste două proiecte majore demonstrează cum au înțeles, de-a lungul anilor, guvernanții să aplice digitalizarea: fără analize ale patrimoniului existent, fără studii de impact, prin licitații care nu suscită interes pentru mediul de afaceri. Acest tip de abordare a făcut mai mult rău decât bine, punând presiune pe activitatea operatorilor economici și pe cea a medicilor și farmaciștilor care sunt obligați prin lege să folosească cardurile de sănătate.

Aceleași metehne și în timpul pandemiei  Covid-19

Despre provocările digitizării în România am mai discutat, însă niciodată despre cum se transpun ele în contextul actual. Nici în vreme de criză, când toată activitatea care poate fi migrată ajunge în online, statul nu pare să știe de unde să apuce problema. Cel mai mare program de sprijinire a IMM-urilor, IMM INVEST e întârziat de aproape o săptămână. Ministrul Finanțelor Publice dar și FNGCIMM au acuzat un atac cibernetic, primul mergând atât de departe cât să încerce să dea vina pe ”critici”, spunând că aceștia se fac responsabili de atac. În realitate, șansele sunt mult mai mari ca infrastructura învechită să ducă la imposibilitatea de a gestiona un număr mare de utilizatori simultan.

Cyber kill chain la FNGCIMM

În 2011, Lockheed Martin propunea o metodologie pentru studierea și contracararea atacurilor cibernetice. Denumit cyber kill chain, cadrul metodologic presupune 7 pași ai unui atac cibernetic, care se desfășoară în lanț. Întreruperea lanțului în oricare dintre puncte determină atacul să eșueze.

Fără a intra în detalii tehnice, pașii sunt:

  1. Recunoașterea
  2. Înarmarea
  3. Livrarea
  4. Exploatarea
  5. Instalarea
  6. Comandă și control
  7. Acțiuni asupra obiectivelor

Studiu de caz

În pasul de recunoaștere, un potențial atacator adună informații despre țintă. Chiar de la început, explicațiile oficiale (dacă o postare pe Facebook și o suspiciune exprimată de o instituție  fără competențe pe partea de securitate cibernetică se pot numi așa) își pierd sensul. În acest pas, atacatorul de obicei caută angajați ai țintei pe rețelele de socializare, adună cât mai multe detalii despre ei, cum ar fi adresele de email sau detalii personale care pot ulterior duce la identificarea de potențiale parole folosite de aceștia. Cel mai important, atacatorul trebuie să identifice serverele cu acces la internet, altfel neputând să acționeze eficient asupra țintei. Dacă acceptăm această premisă ca adevărată, există două posibilități: fie atacatorul a obținut aceste detalii în mod direct prin nivelului scăzut de securitate în online al angajaților instituției (căutați FNGCIMM pe Facebook, nivelul de informații pe care angajații le fac publice pe profilurile rețelei de socializare online este ridicat), fie prin colaborarea cu cineva din interior. Așa cum vom vedea, ambele variante sunt improbabile.

În pasul de înarmare, atacatorul pregătește instrumentele și structura de comandă și control(C2) pe care urmează să le folosească, în funcție de intenția pe care o are. Acestea pot să fie fișiere ce sunt transmise victimelor prin email sau alte canale, malware sau exploit-uri de tip backdoor.

În pasul de livrare, atacatorul transmite ”arma” pregătită mai devreme prin canalul pe care l-a ales. Din informațiile oficiale știm că la ora 10, când platforma IMM INVEST a fost lansată, au fost aproximativ 397 000 de accesări pe minut. Ceea ce încearcă să sugereze directorul FNGCIMM aici este un atac de tip distributed denial of service, atac care implică mai multe dispozitive care inundă serverele cu informație, în așa fel încât acestea să nu mai poată procesa altceva.

Acest scenariu presupune că atacatorul este profesionist și că are la dispoziție un botnet (mai multe dispozitive conectate la internet, controlate de aceeași persoană prin intermediul unui software C2) pe care îl folosește pentru a copleși serverele. De asemenea, aici putem face prima dată inferența că atacatorul nu este un amator norocos și răbdător ca Guccifer, ci un profesionist capabil să exploateze rețele întregi și să le folosească pentru a își atinge obiectivele.

În pasul de exploatare, atacatorul este exploatată vulnerabilitatea aleasă pentru a penetra sistemul, după care trece la pasul de instalare, unde își creează un punct de persistență, instalează unelte noi, rulează comenzi pentru a deruta sau pentru a își ascunde urmele, ulterior integrând sistemul în pasul următor: de comandă și control, unde deschide canale de comunicare cu infrastructura lui C2.

Complicat, nu? La final, ajungem la acțiunea asupra obiectivelor: care sunt obiectivele asupra cărora atacatorul acționează? Ce poate obține el prin infiltrarea unei platforme menite să permită încărcarea de documente ale IMM-urilor din România? Poate să obțină toate datele privind companiile care se înscriu în program. Date care sunt disponibile la liber pe site-ul Ministerului Finanțelor, sau structurate, contra cost, pe diverse platforme de business intelligence. Putea să le obțină vineri la ora 10, când a trimis peste 397 de mii de SYN-uri către server și a blocat accesul oricui voia sa încarce documente? Nu. De ce presupunem că o persoană pregătită temeinic în a rula astfel de atacuri nu are un obiectiv real? De ce Ministrul Cîțu încearcă să blameze detractorii măsurilor sale (majoritatea având un nivel de cunoștințe digitale la același nivel cu ai lui) pentru un atac sofisticat?

Foarte probabil nu e vorba de niciun atac. Au trecut 5 zile de când platforma a căzut, iar CERT-RO, instituția abilitată, nu a dat niciun comunicat cu privire la natura atacului sau la potențialele efecte pe termen lung. Foarte probabil e vorba de aceeași infrastructură, veche și inadecvată, care nu a rezistat sub ”presiunea” a 200 de conectări. Iar dacă asta e adevărat și soluția nu este înlocuirea acestei păguboase întreprinderi cu ceva modern, ne putem aștepta ca imediat ce se redeschide accesul, să cadă din nou.