De ce sunt hackerii rusi si chinezi vinovati pentru toate relele din lume?

Inca o stire despre hackerii rusi: “Dezvăluiri. Hackerii ruși au testat o nouă armă în atacul asupra TV5“. Spre deosebire de alte articole unde doar ma dau cu parerea, in cazul articolului de fata mentionez ca am o parere solida si sper ca viitoarea mea carte despre hacking sa o dovedeasca si prin vanzari.

In primul rand, tehnic, nu se poate dovedi cine este sursa unui atac. Tehnic si legal, un atacator poate fi identificat doar atunci cand pe baza unor investigatii solide, sunt gasite asupra atacatorului dovezi fizice la fel de solide si in plus atacatorul recunoaste fapta sau din mandrie prosteasca se lauda la altii si astfel este prins.

Sa luam un caz clasic: Guccifer, faimosul “hacker” roman care este condamnat in SUA pentru ca a spart emailul lui Hillary Clinton si al altor politicieni americani. In primul rand, pentru a clarifica situatia, Guccifer nu este hacker, ci cracker.

Cracking-ul presupune tentativele de spargere a unei parole prin diverse metode sau unelte. De exemplu, spargerea unui adrese de email prin incercarea de diverse combinatii, pe care le-am extras dintr-o documentare cu privire la victima este de fapt cracking. Folosirea unui program care incearca sa penetreze accesul la un site intr-o zona protejata, folosind parole generate aleator dintr-o lista generica de parole, este de asemenea o operatiune de cracking. Daca insa modific programul astfel incat sa tina cont de particularitatile site-ului respectiv, pot spune ca sunt hacker. Cracking-ul este un mic subdomeniu al hacking-ului, operatiunea de cracking fiind doar una dintre multiplele tehnici folosite de hacker. Singurul motiv pentru care a fost identificat si ulterior prins Guccifer este ca el a fost cracker si nu hacker. Nestiind sa foloseasca unelte speciale prin care sa isi ascunda identitatea, Guccifer a fost prin facil, fiind nevoie de o singura informatie: IP-ul si data calculatorului de la care a fost spart contul, o informatie pe care Yahoo! a furnizat-o fara probleme autoritatilor americane, avand in vedere stransa colaborare intre marile companii din IT si serviciile secrete ale tuturor tarilor.

Metoda deci prin care poate fi identificata sursa unui atac, este in primul rand adresa IP de la care se intreprinde acea comunicare. Aceasta este singura informatie prin care probabil in general, toate atacurile din lume sunt puse pe seama hackerilor rusi sau chinezi.

Cum au loc insa atacurile de hacking si cum se pot ascunde urmele? Principala informatie cu privire la un atacator, este adresa IP de unde s-a initiat comunicarea prin care s-a lansat catre tinta atacul. Cum aceasta IP nu poate fi falsificata (este publica in orice comunicare), evident ca nici un hacker serios nu lanseaza atacuri de la calculatorul sau de acasa cu adresa fixa. Fac aceasta doar crackerii inconstienti sau nepasatori (cum probabil este Guccifer). Multi crackeri poate chiar doresc sa fie prinsi pentru faima si satisfactie. Hackerii seriosi, care nu doresc sa dea nici cele mai mici indicii cine si de unde sunt, nu lanseaza atacuri de la propriul calculator. Ei pot sparge un alt calculator si pot lansa atacuri de la acel calculator, vina cazand deci pe altcineva. Prin spargerea unui calculator, sa intelegem simplist preluarea controlului acelui calculator. O data preluat, evident se poate sparge un alt calculator de la acest calculator si tot asa, in lant, pot sa existe si 10 pasi intre atacatorul initial si un calculator pe care acesta il detine prin legaturile in lant prin care incearca sa isi ascunda urma. Asa se face ca teoretic, un serviciu de securitate din SUA, poate sparte un calculator din Brazilia, pornind de la care poate sparge un calculator din Norvegia, pornind de la care poate sparge un calculator din Noua Zeelanda, pornind de la care poate sparge un calculator din Rusia, pornind de la care poate sparge TV5-ul francez, ca in stirea de la inceputul articolului.

Pe lange adresa IP-ului mai sunt insa si alte modalitati de a afla cateva informatii despre atacator, insa acestea DOAR daca atacatorul doreste. De exemplu, un hacker roman, ar putea sa lase in informatiile sau programele plasate pe un calculator atacat, o poezie de Mihai Eminescu. De aici, nu e greu de dedus ca atacatorul este roman, chiar daca IP-ul poate fi rusesc. Repet insa: aceasta se intampla doar daca doreste atacatorul, prin propria lui initiativa. De fapt prin aceasta informatie este discutabil in ce masura se poate face legatura intre limba informatiilor “lasate” si nationalitatea atacatorului sursa, putand fii vorba doar de o inducere in eroare voita. De exemplu, un atacator roman poate sa atace NSA-ul si sa lase injuraturi in maghiara pentru a-i face pe americani sa creada ca la sursa au fost de vina ungurii.

Intorcandu-ne la IP-uri, de ce majoritatea atacurilor sunt de la IP-uri rusesti si chinezesti? Aceasta tine in primul rand de apartenenta la doua blocuri geopolitice diferite. Niciodata statul rus nu va trada un hacker acuzat in SUA, si nici viceversa. Prin urmare, pentru toti hackerii care vor sa atace tinte din vest, sursele ideale sunt ip-uri din Rusia si China si viceversa. China mai prezinta o particularitate anume: avand in vedere numarul chinezilor, exista mai multi chinezi conectati la internet decat intreaga populatie a SUA. Prin urmare calculatoarelor chinezilor pot fi atacate si folosite ca sursa de atac mult mai frecvent decat calculatoarele romanilor, pur si simplu pe baze statistice.

In final, de dragul adevarului, sa mentionam totusi ca firmele de securitate avansate, pot sa faca investigatii mult mai complexe si sa poata conclude cu o probabilitate mai mare nationalitatea unui atacator, mai ales prin prisma scopului atacului. De exemplu, cand au fost atacate centrifugele de la centralele nucleare iraniene si s-a descoperit ca metoda folosita era una extrem de complexa, care ar fi necesitat investitii imense in dezvoltarea ei, foarte usor s-a tras concluzia ca cei mai interesati in acest atac si de asemenea capabili sa il intreprinda au fost israelienii. Codul si softurile folosite in atac, pot fi clasificate pe baza unor patternuri si coroborand cu atacuri anterioare si cu informatiile de atunci, identitatea poate fi dedusa mai usor. Cand vom auzi data viitoare ca o centrala nucleara din Rusia a fost atacata, si daca vom afla ca firmele de securitate au gasit ca Stuxnet este de vina, nu va fi greu sa deducem cine a fost in spatele atacului. De la un punct anume, calcul risc-beneficiu, nici hackerii nu pot sau nu mai au cum sa se ascunda, atacul in sine fiind indeajuns de important incat sa isi asume riscul deconspirarii.

Este normal ca orice atac nu trebuie neaparat sa aiba un scop sau sens anume. Poate multi hackeri lanseaza atacuri doar de placere. Interesele sunt greu de dedus si totul este speculatie. In cazul atacului asupra conventiei Partidului Democrat din SUA, s-a tot aratat cu degetul inspre rusi. Daca insa gandim la rece, statul rus chiar l-ar prefera pe Donald Trump in locul lui Hillary Clinton? Nu trebuie sa fii mare psiholog ca sa vezi ca Trump este instabil si la cat de ferm si extravagant propune masuri radicale impotriva musulmanilor sau imigrantilor, tot asa s-ar putea intoarce si peste noapte impotriva rusilor si cu cat  miza este mai mare cu atat probabil instabilitatea si mai mare. De unde, este foarte logic ca rusii ar prefera-o pe Clinton, care desi ii tot ameninta cu no-fly-zone in Siria, macar nu va lansa un atac nuclear neprevazut asupra Rusiei, pornind aiurea Al 3-lea Razboi Mondial.

Tot de dragul adevarului, trebuie sa amintim si un aspect: avand in vedere statutul legal in Rusia si China, este greu de crezut ca un atacator din Rusia asupra unor surse din vest, are ceva de pierdut, in sensul ca niciodata nu se va intampla. ca in cazul Romaniei, FBI-ul sa ceara numele persoanei care a folosit IP-ul cutare la data cutare si sa-l obtina automat. De asemenea, niciodata, pe baza doar unor acuzatii (sau chiar si pe baza de dovezi), statul rus nu va extrada un hacker catre americani si nici viceversa. De unde probabil hackerii rusii au garda jos in privinta atacurilor asupra tintelor din vest. Idem la chinezi, unde nici macar legea copyright-ului nu exista.

Toate calculatoarele si telefoanele conectate la interenet pot fi folosite de hackeri pentru a fi surse de lansare a unor atacuri. Toti suntem expusi si sansele cresc cu cat cultura securitatii informatice este mai slab dezvoltata, in sensul ca utilizatorii nu folosesc software legal si descarca programe aiurea, nu folosesc antivirusi, nu sunt constienti de riscurile la care se expun etc. Dovedirea identitatii atacatorului este imposibila, cazurile putine cand se intampla aceasta sunt fie accidente, fie amatorisme, fie acuzatii false sau de ce nu propagandistice.

8 comments

  • E de ajuns sa aiba shell local si restul vine mult mai usor, sunt mult mai multe bug -uri locale decat remote.

    E bine sa tratezi si laptopul la fel, apropo:

    http://www.telegraph.co.uk/technology/2016/06/22/why-has-mark-zuckerberg-taped-over-the-webcam-and-microphone-on/

    Sunt curios pe cand o sa apara si primele telefoane cu clapita la webcam si intrerupator hardware la microfon :))
    Ma mir ca nu s-a gandit inca nimeni la asta.

    AFIK nu exista inca un caz in care cineva sa fi fost condamnat pentru ca pc -ul lui a fost spart si folosit ca baza de atac, insa e posibil ca sub pretextul asta sa se introduca un control mai strict asupra Internetului, vezi si cazul “Wifi doar cu buletinul” care e tot cam pe acolo

  • Nici linux -ul nu e impenetrabil, atat timp cat foloseti de ex. chrome care la gauri de securitate e sita, ca si windows – esti vulnerabil.
    Servicii/kernel – teoretic cat de cat ok, dar nu imposibil, sunt buguri de care se afla la multi ani dupa ce ele au fost gasite si exploatate bine mersi.
    Android nu mai e linux, e un soi de windoze la capitolul de securitate, poate si mai rau.
    Daca nu stii sa-l gestionezi cat de cat – si trebuie experienta IT nitel mai mult peste medie – esti ca o carte deschisa.
    In rest, nu va faceti iluzii ca exista device/sistem de operare impenetrabil la nivel unei agentii gen NSA.
    Cu putina desteptaciune (dar care nu e mainstream) si efort scapi sa zicem de colectare in masa a datelor, dar daca le dai motive sa devii o tinta, esti mancat.

    Iar la majoritatea platformelor care sunt in uz, sunt hackabile de indivizi/organizatii care sunt chiar mult sub nivelul asta.

    • Chrome-ul daca il folosesti pe Linux, nu il folosesti logat ca root, ci ca un user de … browsing …
      Kernelul Linux este probabil cea mai sigura componenta pe care o putem folosi fara sa ne facem singuri un OS. Bine, nu neg ca mai sunt si alte sisteme, dar daca vrei siguranta si independenta fata de corporatii, este de departe prima varianta.

      Android-ul ca android-ul. Indiferent de OS, nu ar trebui sa avem incredere in smartphone-uri si alte gadget-uri si sa le tratam ca dispozitive “open” care sunt mereu ascultate si controlate. Eu imi tratez telefonul ca si cum ar transmite deja live si sunet si video.

      Cred ca la noi riscul cel mai mare e sa ne fie calculatorul utilizat ca tinta de atacuri asupra altora si sa fim noi condamnati. De aceea trebuie sa fim atenti si sa ne protejam la maxim.

  • PS: pe acelasi linie de idei, cat s-o mai putea, merg tot cu windows xp sp3 fara niciun update. Si fara antivirusi. Uite ca de cativa ani buni nu m-a mai atacat nimeni. Inainte – cand xp inca mai era popular – erau rafale de flood pe diverse porturi si fara un zone alarm nu prea puteam sta. Fire-wall-ul din xp era pistol cu apa. Acum, cred ca astia ca mine sunt considerati dinozauri si nu-i mai ataca nimeni 🙂

    Bine, nici nu folosesc cine stie ce tehnologii noi sau aparate sofisticate. Just the good-ol’ pc !

    • flood-ul pe porturi e probabil blocat de ISP; scanarea porturilor va ramane, dar routerele au acum firewall embedded

  • Foarte interesant materialul, multumim!

    Chiar cu antivirusi, eu tot n-as baga mana in foc ca la nevoie, cata vreme am calculatorul conectat la net, serviciile de securitate nu-si vor face de cap cu calculatorul meu daca vor vrea. Ba chiar sunt convins ca cu fiecare generatie de windows s-au multiplicat tehnicile de control de la distanta si deschizaturile secrete (back-doors), incat nu m-ar mira ca un antivirus sa considere o operatie normala scurgerea de informatie afara pe anumite porturi sau tunele. Sau poate chiar sa nici n-o observe, intrucat e impachetata in cine stie ce servicii de update. Pe sistemul: iti mai updatezi tu un patch de securitate, mai dam si noi un refresh la ce-ai mai facut tu in ultima luna.

    Asta la windows desktop. Ca la android deja e pe fata. User improvement program aduna tot ce face telefonul pentru imbunatatirea experientei dumneavoastra. Anonim, sigur-sigur, da sa stie si ei !

    PS: Mi-am luat prin mai a.c. un telefon chinezesc, Redmi, cu un Android modificat de chinezei, ca sa mai stie si ei ce fac eu, nu doar americanii. Si ma amuz ca moare de oftica google update service, pentru ca chinezii au dat modificat androidul si pot sa dezactivez o gramada de permisiuni pe care la Samsung si alte scule nu le poti atinge, cum ar fi sa-ti citeasca contactele sau locatia, ori sa-ti activeze camera. Sa vezi cum tipa mereu goagal ca nu stie exact unde ma aflu si ma tot intreaba daca imi poate imbunatati experienta activandu-mi gps-ul si wifi-ul !!! Si eu, niet si niet ! Bine, tot afla ei ca sunt pe undeva prin Bucuresti, dupa antenele gsm, dar macar asa, sa nu stie la centimetru, ci la kilometru.

    • da, exista backdoor-uri si vulnerabilitati zero day exploatate de servicii pentru windowze si mac; nu si pentru linux insa, dar totul e chestiune de cost: cate resurse sa aloce pentru tine; despre Android, poti bloca fara probleme locatia si din “original” nu doar din chinezesc, are drepturile din ce in ce mai bine gestionate

  • Te straduiesti degeaba, 99.99% din cei care au internet sunt din categoria “feisbuc user”.

    Nu vor pricepe mare lucru si tot media oficiala va fi mai credibila, daca “americanii” zic ca “rusii sunt” atunci asa trebuie sa fie, doar ei sunt cei mai dasteptzi de pe planeta, right?

    Chiar si daca nu sunt credibili 100% daca atat cat sunt paralizeaza sansele ca o majoritate semnificativa sa ia o atitudine contrara directa, este ok.
    Si chiar si cand se gasesc unii sa ia atitudine, atitudinea poate fi si ea manipulata, deturnata, divizata etc.

    Cam asa functioneaza mass-media & Internetul.

Leave a Reply to Adrian S Cancel reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.