Preambul
Cybersecurity este o zonă în plină dezvoltare, cu puţine şanse de diminuare într-o lume din ce în ce mai conectată digital. Inteligenţa artificială a fost introdusă în mai toate elementele de infrastructură de securitate. Într-o gândire matură, o echipă destinată să apere anumite elemente de infrastructură trebuie să se gândească la faptul că un grup de atacatori poate face uz de aceleaşi tehnologii ca şi apărătorii. Este deci uşor de văzut că, un grup de entităţi care au acces şi pot face uz de astfel de mijloace, nu mai poate fi aşa de uşor de oprit.
Un exemplu este celebrul caz Cambridge Analytica. Acolo, s-a putut vedea metode utilizate precum ingineria socială în masă, combinată cu metode precum culegerea masivă de date (Big Data), la care se adaugă motoare cu inteligenţă artificială, capabile să analizeze această mare de date şi să genereze atacuri de tip „inginerie socială”.
La aceste sisteme de infrastructură sunt conectate azi toate utilităţile, cel puţin în ţările civilizate care fac uz intensiv de infrastructura IT. Un atac cibernetic masiv poate destabiliza o ţară. Un atac cibernetic masiv care face uz de elemente noi, precum inteligenţa artificială, motoare care generează „fake news” sau colectarea masivă de date prin utilizarea de reţelele sociale (Facebook, Linkedin, Instagram, etc) cu scopul de a crea profile sociale, sporesc probabilitatea de succes a acestor atacuri, în mod considerabil.
Un război permanent
Un alt subiect aflat în plină evoluţie (deşi nu este un element nou apărut), este războiul hibrid. Un razboi cinetic, clasic, se câştigă cu mult înaintea pornirii acestuia. Actorii cu acces la resurse considerabile (precum statele sau corporaţiile multinaţionale) pot şi fac uz în acest moment de tehnologii complexe pentru a executa operaţiuni de spionaj cibernetic, inginerie socială masivă sau atacuri cibernetice complexe.
Trebuie să definim câţiva termeni importanţi pentru a putea înţelege cu adevarat arealul în care trăim în prezent, în era tehnologiei informaţiei. Aceste explicaţii nu sunt neapărat definiţiile oficiale, ci mai degrabă nişte explicaţii generice mai usor de înţeles, în spatele cărora sunt ani de teorie şi de aplicaţii specifice.
– Offensive Security – conceptul se leagă de posibilitatea de a găsi vulnerabilităţi în sistemele informaţionale şi ăn infrastructură, înaintea unor atacatori reali. Echipele specializate în offensive security sunt un mix de specialişti atât în penetrarea fizică a unor birouri, spaţii sau acces la dispozitive protejate prin metode fizice, precum şi specialişti în penetrarea de sisteme şi infrastructuri informatice.
– Systems Thinking – creata in anul 1956 de catre Jay Forrester la MIT Sloan School of Management, fondator al Systems Dynamic Group. Acest sistem de gandire faciliteaza analiza sistemelor in teoria „System of Systems”.
– Vulnerabilitate – o problemă funcţională, slăbiciune sau o eroare de design a unui sistem care facilitează utilizarea fraudulentă a acestuia.
– Artificial Intelligence (AI) – Inteligenţa artificială este un sistem complex de definit, dar ce este important de ştiut este că sistemele de AI pot influenţa negativ sau pozitiv operaţiunile de securitate cibernetică, doar prin simpla utilizare a unor motoare de căutare capabile să detecteze mult mai rapid vulnerabilităţile unui sistem informatic sau de infrastructură.
– Big Data – sisteme specializate de colectare masivă a datelor şi de analizare a acestora.
– Red Team – este (de obicei) un grup independent de persoane care iau un rol adversarial, care sunt comandaţi să testeze sistemele de securitate ale unor entităţi, cu rolul de a găsi vulnerabilităţi înaintea unor atacatori reali. În funcţie de complexitatea activităţilor desfăşurate de un Red Team, se pot identifica urmatoarele nivele de complexitate sau maturitate:
Nivel 1: Evaluare tehnică;
Nivel 2: Red Team Operaţional (execuţia unor atacuri pe baza vulnerabilităţilor descoperite şi identificarea vulnerabilităţilor reale);
Nivel 3: Red Team Analytic – echipa are capacităţi complexe de analiză a sistemelor întregii organizaţii şi dispun de capacităţi complexe tehnologice şi sociale.
Nivel 4: Red Team Organizaţional – echipa are capacităţi extinse şi utilizează mijloace tehnologice şi sociale, capabile să detecteze probleme la nivel organizaţional.
– Război hibrid – o formă de război în care acţiunile cinetice şi non-cinetice sunt combinate. Este un termen foarte des folosit în prezent, în special cu referire la capacităţile de luptă cibernetice ale unor actori statali sau non-statali.
Distanţa nu mai contează azi, iar un actor poate ataca o companie sau un stat indiferent de regiunea în care se află. Războaiele clasice deschise nu mai sunt de actualitate, deoarece un razboi cinetic deschis a devenit extrem de scump şi cumva tot mai ineficient. Războiul cibernetic este însă acum uşor de realizat. Acţiunile cibernetice, dacă sunt bine executate, aduc un profit considerabil şi prezintă riscuri scăzute. Este uşor de înţeles de ce zona securităţii cibernetice începe să aibă o prezenţă atât de mare, într-o lume în care absolut totul începe să aibă o aplicaţie software pentru mobil. Aceste operaţiuni se desfăşoară deja de ani de zile, această formă de conflict fiind deja parte din arsenalul standard al ţărilor oarecum dezvoltate sau grupurilor de interese cu nişte capacităţi financiare rezonabile.
Să ne imaginăm acum un actor statal sau non-statal care dispune de capacitate suficientă pentru a utiliza şi elemente noi precum inteligenţa artificială în acţiunile sale. Aceasta ar fi utilizată în combinaţie cu elementul uman pentru a putea beneficia de viteza cu care un sistem automat poate scana o ţintă, la care să se adauge capacitatea unică (deocamdată) a creierului uman de a reacţiona dinamic pe baza informaţiei agregate. Este uşor de văzut că o astfel de capacitate de a purta un conflict devine subit un avantaj strategic. Ar fi aşadar important să existe şi capacităţi de detecţie similare.
În România există persoane care realizează cercetare în acest domeniu şi crează astfel de soluţii de securitate cibernetică.
Cine eşti?
Sunt Constantin Nica, sunt român, lucrez in domeniul IT şi securitate cibernetică şi în prezent fac consultanţă de profil mai multor companii de software şi instituţii din Uniunea Europeană. Am şi proiectul personal
SuperSix . Un startup. În care impreuna cu mai multi IT-işti facem o soluţie specializată de cybersecurity, cu suportul unui motor de inteligenţă artificială, capabil să sprijine operaţiuni de tip Offensive Security şi Red Team.
Este posibil să-mi spui pentru ce instituţii europene lucrezi?
Nu pot da detalii unde exact lucrez.
Ce e acest nou concept,”Red Team”? E o echipă care atacă sau care apără?
Red Team este specializată doar ofensiv. Rolul defensiv este al unei Blue Team. Acea echipă clasică cu care toată lumea e obişnuită şi care reacţionează la un atac. Rolul unui Red Team este pro-activ. Scopul final este de a supune un sistem la un atac similar cu unul executat din lumea reală.
Poţi să descrii în câţiva paşi cum decurge un atac al unei Red Team?
Exista trei modalităţi de atac/testare: white box, grey box şi black box. White Box – Red Team are acces la toate sistemele, procedurile, arealul de testare pentru compania, sistemul informatic sau ţinta respectivă. Este cel mai uşor şi mai eficient sistem de testare din punct de vedere al timpului şi fondurilor (nu costă foarte mult). Este însă şi cel mai imatur. În viaţa reală, un atacator nu va avea access 100% la întregul tău sistem. Grey Box – Red Team are acces la sistem, dar abordarea este black box. Se pun la dispoziţie întregile seturi de materiale informative, dar testele de penetrare sunt realizate din exterior. Rolul unui test grey box este de a îmbunătăţi procesul de testare prin detectarea problemelor mai rapid. Black Box – Red Team nu are acces la nimic, testele sunt efectuate din afara instituţiei/companiei. Este cel mai matur mod de testare, dar şi cel mai scump şi mai greoi vizavi de timp.
În general, un Red Team va executa următorii paşi pentru a testa sistemele informatice ale unei instituţii sau companii. Va scana sistemele respective în cel puţin două modalităţi: silenţios, pentru a testa capacitatea de detecţie a securităţii acelei companii/instituţii. Şi mai puţin silenţios, pentru a putea măsura timpii de răspuns la alarme, dacă există un sistem de detecţie, daca acel sistem are capacitatea de a descoperi geolocaţii, IPs etc.
Va aduna toate aceste date într-o structura de tip dosar informativ – noi îl numim „case file”. Rolul acestui case file este de a crea o imagine a ţintei din afara organizaţiei. Acest case file conţine date atat despre ţinta în sine (IP-uri, DNS names, site-uri, MX Records, locaţii geografice, ISPs, etc), dar şi date despre orice persoană gasită din cadrul organizaţiei, care se expune public – Facebook, Twitter, absolut orice. Mapăm atât sisteme cât şi persoane dintr-o organizaţie pentru că aşa se pot testa elemente de inginerie socială. De exemplu, vezi unde şi ce a accesat o persoană, apoi dacă şi-a postat o poză pe Facebook cu o maşină nouă, deci e susceptibilă sa dea click pe link-uri legate de întreţinere maşină – pentru noi este vulnerabil la phishing.
Adică intervine un mix între lumea fizică şi datele sistemului.
Da. Nu trebuie uitat că în fluxul de testare al unei Red Team intră şi penetrarea fizică, „intratul pe geam”. O echipă matură poate testa orice element din cadrul unei companii. De la infrastructura IT, la procedurile interne, la cultura şi organizarea unei companii.
Un exemplu foarte bun este asta: un case file care arata ca X grup de angajaţi îşi tot posteazş poze pe Facebook, Twitter sau Instagram. Că se duc în ziua X în barul Y. Se pot face tot felul de scenarii aici, de la cineva care intră în bar pe lângă echipa cu un cititor de carduri de acces şi încearcă să copieze măcar un card pentru a putea intra în sistem. Iar. Supravegherea locului de fumat, vezi ca iese X la fumat, dacă iese… dacă iese îi foloseşti cardul să intri în unitate în locul lui… scenarii sunt. Urmează elemente de supraveghere fizică a locului. Închei aici.
Mai departe, să continui cu ce fac pe partea de infrastructură IT. Pe baza dosarului, se trece la faza de exploatare şi testare efectivă – se încearcă penetrarea sistemelor ţintă. Acum, există şi limitări la ce sisteme poţi ataca. Din experienţă vă zic că majoritatea insituţiilor nu prea doresc sa execuţi atacuri de tip „phishing” sau social engineering.
Dacă reuşesc penetrarea sistemelor respective, intru în faza de persistenţă. Dacă un sistem poate fi penetrat, întrebarea este dacă se poate obţine şi prezenţa permanentă în el. Aceasta inseamnă că un atacator obţine rezidenţă şi drepturi de administrator pe o bucată de infrastructură a ţintei. Dacă da, atunci e clar că sunt probleme majore şi se raportează direct această problemă. De obicei, în cazul acesta se opreşte orice test, nu mai are sens dacă s-a ajuns până la acel nivel.
După finalizarea testelor, se genereaza un raport cu toata execuţia, se prezintă case file-ul, se generează o analiză a datelor şi se menţionează vulnerabilităţile pe baza cărora s-a putut accesa sistemul ţintă. Se spun şi paşii executaţi prin care s-a putut lua controlul asupra unui sistem. Dacă există posibilitatea, se realizează propuneri de îmbunătăţire a securităţii.
Adiţional, dacă în momentul testării se descoperă elemente care arată că un sistem este deja compromis, orice test este oprit şi trebuie raportată problema la autorităţi, companie, etc. Este evident de ce – ultimul care a fost acolo e de obicei de vină.
Nu va asteptati si la ceva reactii negative la ceea ce doriti sa creati? Vorbim totuşi de pătrunderea în secretele companiilor, ale oamenilor, ale statelor? Pare a fi un instrument complex orientat spre un anumit fel de acţiune.
Cei mai mulţi pot interpreta asta eronat. E puţin amuzantă întrebarea. Dacă stăm să ne gândim la superstiţii în timp ce alte ţări deja investesc de cel puţin 3 ani de zile în astfel de tehnologii, am rămâne la stadiul de peşteră şi teritoriu conservat, deoarece pe el traieşte o populaţie aborigenă pe cale de dispariţie. Scopul final este de a aduce în prezent, un viitor care deja se întamplă în alte locuri, mai mult sau mai puţin public.
Trebuie însă făcută diferenţa dintre un atac şi un test de securitate. Rolul unui Red Team nu este acela de a încălca legea. Rolul unui Red Team este de a testa un sistem de securitate, a găsi problemele şi de a le raporta mai departe beneficiarului pentru a le corecta cât mai rapid. Un Red Team nu este o echipă de hacking. Pana acum, un Blue Team reacţiona la evenimente. Este un tip nou de gândire în securitate, în general – acela de pro-activitate. În sistemele guvernamentale şi ale companiilor mari, există Red Teams care au ca rol testarea proactivă denumită generic „Offensive Security”.
Până unde pot merge atacurile? Ma gândesc că de la furt şi spionaj de date până la închis aeroporturi.
Nu există limită pentru un atac. Acum, în viaţa reală, un atac cibernetic sau şi mai rau, un atac cibernetic combinat cu un atac complex de penetrare fizică, poate avea ca ţintă de la informaţia unei instituţii sau companii, până la zona financiară. Nu există limită, iar interesul concurenţei evident că dictează cadrul atacului.
Statul român are astfel de preocupari, din cât cunoşti?
Nu ştiu să îţi răspund la această întrebare.
Cum ai ajuns la ideea de a face o astfel de aplicaţie?
Să zicem că sunt în această regiune de interes de ceva ani şi, ca orice programator cu o pasiune adevarată pentru domeniul în care activează, am zis de ce nu. Fiind un împătimit al studierii conceptelor de cybersecurity, AI, red teaming şi offensive security, am zis că e cazul să creez ceva. Am început să lucrez la această idee de ceva timp împreuna cu nişte buni prieteni, şi ei specializaţi pe zona de securitate, dar mai mult în zona de securitate fizică.
Am văzut că există ţări care deja fac uz general de astfel de tehnologii şi ofensiv şi defensiv. Adiţional, am văzut o nişă şi o lipsă masivă de soluţii în această regiune. Chiar dacă iniţial, rolul motorului de inteligenţă artificială era cu totul altul, sa zicem mai benign, am luat decizia să testez capacităţile în zona de cybersecurity şi să văd rezultatele. Spre surprinderea mea, chiar de la început motorul de inteligenţă artificială a putut executa operaţiuni rudimentare de footprinting şi enumeration, utilizând mici integrări cu nmap şi dnsbuster.
De când faceţi asta?
Am început de mai bine de un an. Tot acest efort este desfăşurat de o mână de oameni pasionaţi de securitate fizică şi cyber şi suportat financiar şi fizic doar de acest grup. Vrem să creăm o soluţie complexă care să acopere atât zona de culegere date, zona de protecţie fizică, zona de cyber, pentru a putea avea o soluţie nivel 4 de Red Team. In acest moment avem opţiuni de OSINT data mining, case files, scanare de vulnerabilităţi prin utilizarea motorului de inteligenţă artificială şi facilitarea integrării cu Metasploit. Dorim sa aducem soluţia la un nivel de complexitate suficient de mare, pentru a putea integra şi SDK-uri precum BurpSuite, sau a învăta motorul de AI suficient de mult ca să ofere rezultatele cele mai bune pentru un scenariu de atac cu probabilitatea cea mai mare pentru o anumită ţintă.
Cum continuaţi?
Deschidem o campanie de finanţare pe indiegogo şi kickstarter sub titulatura de „Project Syndicate”, pentru a putea obţine o finanţare mai consistentă. Dorim să dezvoltăm start-up-ul în România şi, în timp să aducem mai multe concepte pe bază de inteligenţă artificială, în special în zona de securitate cibernetică, în zona practică. Vrem sa dezvoltăm conceptul de Offensive Security şi Red Team, iar într-o perioadă rezonabilă, să depăşim nivelul de start-up. O să continui să prezint ideea proiectului şi la câteva conferinţe naţionale şi internaţionale, unde o să fiu speaker în perioada imediat următoare.