luni, 2 septembrie 2013

Cât de infectat este internetul din România

Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ( o instituție publică aflată în coordonarea Ministerului pentru Societatea Informațională și finanțată integral de la bugetul de stat, veyi detalii in articolul de AICI ) a prezentat un raport cu privire la alertele de securitate cibernetică primite de institutie în primele 6 luni ale anului 2013. CERT-RO colectează date despre incidente, evenimente sau alerte de securitate cibernetică, din mai multe tipuri de surse.



În funcție de conținutul fiecărei alerte, respectiv problema semnalată, acestea au fost împărțite pe clase și tipuri de alerte, conform tabelului 1.

Alerte informatice Romania in prima jumatate a anului 2103 - sursa: cert.ro


În tabelul și graficul următor sunt prezentați 20 de furnizori de servicii internet (ISP), în rețelele cărora au fost detectate IP-uri care generează trafic malițios, vizibil în internet(sortat după numărul de IP-uri compromise găzduite).


Prezența unui IP compromis/infectat în rețeaua unui ISP nu înseamnă că furnizorul de servicii internet (ISP)se face vinovat de respectivul incident. De cele mai multe ori, IP-ul infectat, care a generat alerta, reprezintă un client al respectivului furnizor de servicii internet, iar responsabilitatea asupra traficului generat, asupra dezinfectării precum și asupra securizării corespunzătoare a sistemului informatic revine în totalitate clientului.


Pentru aproximativ 1.454.935 dintre IP-urile raportate s-a reușit identificarea locației geografice a acestora pe baza serviciului de geo-localizare oferit de MaxMind. Astfel, în tabelul de mai jos regăsiți repartiția IP-urilor semnalate, pe regiuni sau orașe din România.


Alertele primite deseori se referă la domenii ”.ro” afectate de diverse tipuri de incidente. Astfel, pentru perioada de referință, CERT-RO deține date referitoare la 5.678 domenii compromise. Din 691.4194 domenii înregistrate în România, în luna august 2013, numărul reprezintă mai puțin de 1% din totalul domeniilor ”.ro”. Repartiția domeniilor afectate, după tipul de incident, se regăsește în tabelul de mai jos:


În perioada de referință, analiștii CERT-RO au preluat o serie de incidente de securitate cibernetică, raportate direct de către persoane sau organizații din țară sau străinătate, astfel:


În funcție de tipul entității afectate repartiția incidentelor este cea din graficul de mai jos. De menționat este faptul că entitățile afectate nu reprezintă neapărat persoane fizice sau juridice din România.



De asemenea, în funcție de tipul sistemului afectat, repartiția incidentelor de securitate este următoarea:



În data de 25.02.2013 CERT-RO a primit o notificare asupra unei noi amenințări cibernetice denumită ”MiniDuke”, ce face parte din categoria APT-urilor cu grad ridicat de risc, specializat în extragerea de informații în format electronic de pe sistemele informatice ţintă, fiind vizate entităţi din cadrul ”structurilor guvernamentale și instituțiilor de cercetare”. Virusul asociat ameninţării exploata o vulnerabilitate a aplicației Adobe Reader, se propaga prin email, cu ajutorul unor tehnici speciale de inginerie socială, copiind fișiere pe care ulterior le transmitea către atacator. În România au fost detectate 6 victime infectate, iar pentru remedierea situației s-a colaborat cu alte autorități cu competențe legale din România. Atacuri de tip APT au fost identificate și in cursul anului trecut (ROCRA) și au vizat de asemenea
structuri guvernamentale sau ambasade din România.

Concluzii

Din analiza datelor deţinute la nivelul CERT-RO, rezultă faptul că ameninţările, de natură informatică, asupra spațiului cibernetic național s-au diversificat, fiind relevate tendinţe evolutive, atât din perspectivă cantitativă, cât şi din punct de vedere al complexităţii tehnice evidenţiate.

Majoritatea incidentelor analizate de CERT-RO, fie că provin din segmentul alertelor automate sau a celor individuale, se referă la entități din România, victime ale unor atacatori care, de regulă prin exploatarea unor vulnerabilităţi tehnice, au vizat infectarea unor sisteme informatice cu diverse tipuri de aplicaţii malware, în scopul constituirii unor reţele rețele de tip botnet (zombie).

Rețelele de tip botnet sunt folosite pentru lansarea de atacuri asupra altor sisteme informatice, ascunzând identitatea reală a atacatorului. În acest fel, conform statisticilor prezentate în raport, cele 1.546.472 IP-uri naționale folosite de către diverși atacatori în scopuri malițioase, cele câteva mii de URL-uri infectate sau serverele slab securizate ce pot oricând să fie folosite de persoane neautorizate, nu fac decât să susţină afirmațiile potrivit cărora România este exportatoare de malware sau trafic malițios la nivelul rețelei mondiale Internet, fapt semnalat de nenumărate studii publicate de diverse companii de securitate.

Analizând numărul total de IP-uri unice semnalate (1.716.278), în raport cu numărul total de IP-uri alocat României (aprox. 13,5 mil), rezultă că un procent de peste 12,5% din numărul de IP-uri alocate României sunt infectate cu diverse variante de malware, majoritatea sistemelor informatice fiind deținute de utilizatori persoane fizice (home user).

Conform ultimului raport asupra României al Business Software Alliance, rata pirateriei informatice în România, la nivelul anului 2011, a fost de aprox. 63%. Software-ul piratat, deseori descărcat de pe site-uri tip torrent sau hub-uri de DC, conține de cele mai multe ori cod malițios ascuns (rootkits, backdoors etc.) ce poate transforma computerul într-un ”zombie” controlat de către atacator. Practic utilizatorul se bucură de folosirea unui software, care pe lângă funcționalitățile legitime, are și o serie de funcționalități adiționale folosite strict de către atacator în scopuri de el știute.

Astfel, prin victimele din România, folosite ca proxy, sunt desfășurate atacuri asupra unor ținte din afara țării, identitatea reală a atacatorului rămânând ascunsă. În acest context, România nu mai poate fi considerată doar o ţară generatoare de incidente de securitate cibernetică, analiza datelor prezentate demonstrând caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reţeaua Internet în România.

Printre dificultățile întâmpinate în activitatea de răspuns la incidente de securitate cibernetică, se pot menționa lipsa prevederilor legale exprese referitoare la responsabilitățile legate de notificarea, răspunsul, combaterea și eliminarea efectelor incidentelor de securitate de către autoritățile statului sau entitățile din domeniul privat, ceea ce duce la îngreunarea activităților de răspuns în timp real la astfel de incidente. În acest context, cert.ro consideră necesară completarea cadrului normativ național cu prevederile conținute de unele documentele existente la nivel European.


Niciun comentariu despre subiectul „Cât de infectat este internetul din România”:

Trimiteți un comentariu

  ☑ Am citit și accept Regulamentul comentariilor. Pentru discuții despre alte subiecte, utilizați funcția de căutare:


Cele mai citite articole în ultimele 7 zile

Cele mai citite articole în ultimele 30 zile

AKTA (46) Digi Mobil (38) Digi Tv (305) Focus Sat (206) FREESAT (22) iNES (15) Nextgen (68) Orange (169) Orange Tv (100) RCS-RDS (395) Telekom Romania (218) Telekom Tv (192) UPC (215) Vodafone (44)