Atacuri cibernetice - vulnerabilitati in crestere

Vulnerabilitati in crestere - atacuri cibernetice

Black Ice: The Invisible Threat of Cyber-Terror, o carte publicata in 2003 scris de catre Dan Verton ziarist Computerworld si fost ofiter de informatii, descrie exercitiul din 1997 sub numele de cod 'Eligibile Receiver', realizat de Agentia Nationala de Securitate (NSA). Exercitiul a inceput cand functionari NSA au instruit 'Echipa rosie' de treizeci si cinci de hackeri pentru a incerca sa sparga si sa perturbe sistemele de securitate nationala ale SUA. Lor li s-a spus sa joace rolul de hackeri angajati de catre serviciile secrete nord-coreene, si principalul lor obiectiv a fost acela de a prelua Comanda Pacifica din Hawaii. Li s-a permis sa patrunda in orice retea din Pentagon, dar le-a fost interzisa incalcarea normelor legale ale SUA, si puteau utiliza numai software-ul care putea fi descarcat gratuit de pe Internet. Au inceput prin cartografierea retelelor si obtinerea de parole dobandite prin 'atacuri prin forta bruta' (un proces incercre-eroare de decodare a datelor criptate, cum ar fi parole sau chei de criptare care incearca toate combinatiile posibile). De cele mai multe ori au folosit tactici simple, cum ar fi apelarea unor persoane prin telefon, pretinzand a fi tehnicieni sau oficiali de rang inalt, si cerandu-le parolele. Hackerii au reusit sa obtina accesul la zeci de sisteme critice detinute de Pentagon. Dupa ce au intrat in sisteme, acestia au putut cu usurinta crea conturi de utilizator, au putut sterge conturile existente, formatat harddisk-uri, au preluat datele stocate, au oprit sau blocat sisteme. Au spart retea de aparare relativ usuor si au facut acest lucru, fara a fi localizati sau identificati de catre autoritati.

Rezultatele au socat organizatorii. In primul rand, Echipa Rosie a aratat ca a fost posibila patrunderea in sistemul de comanda si control al gruparii militare Pacifice. In al doilea rand, oficialii NSA care au examinat rezultatele experimentului au constatat ca o mare parte a sectorului privat de infrastructura din Statele Unite, cum ar fi de telecomunicatii si retelele de energie electrica, ar putea fi usor invadate si abuzate in acelasi mod.

Vulnerabilitatea din industria energetica se afla in centrul Black Ice. Verton sustine ca sectorul de energie al Americii ar putea fi primul joc de domino ce ar cadea in plasa unui atac strategic "CyberTerrorist" impotriva Statelor Unite. Cartea exploreaza in mod inspaimantator modul in care impactul unui astfel de atac ar putea rivaliza, sau chiar depasi, consecintele unui atac traditional. Verton sustine ca in fiecare an, un numar mare de companii de utilitati din Statele Unite se confrunta cu aproximativ 1 milion de intruziuni. Datele colectate de Riptech - o societate din Virginia specializata in securitate sistemelor de informare si financiare - in legatura cu atcurile cibernetice in timpul celor sase luni ininte de atacurile de la 9/11, companii din industria energetica au suferit intruziuni de doua ori mai multe, vand ca rezultate un numarul mare de interventii imediate in medie de 12.5 / companie.

Potrivit Symantec, unul dintre cei mai mari lideri in domeniul securitatii, noi vulnerabilitati la sunt descoperite tot timpul. Compania a raportat ca numarul de 'gauri software' (defecte de software de securitate care sa permita hackerilor exploatarea sistemului) a crescut cu 80% in anul 2002. Totusi, Symantec a sustinut ca nu a fost inregistrat un atac. Acest lucru poate reflecta faptul ca teroristii nu au inca know-how-ul necesar. Alternativ, s-ar putea ilustra ca hackerii nu sunt simpatizanti ai obiectivelor organizatiilor teroriste - dar daca si-ar uni fortele, rezultatele ar putea fi devastatoare.

La fel de ingrijoratoare este posibilitatea ca teroristii insisi sa proiecteze software pentru agentii guvernamentale. Remarcabil, ca Denning descrie in 'Is Cyber Terror Next?' cel putin un exemplu de o astfel de situatie cunoscuta ca au avut loc:

In martie 2000, Departamentul de Politie Metropolitana al Japoniei a raportat ca un software de sistem procurat de politie pentru a urmari 150 de vehicule, inclusiv autoturisme nemarcate, a fost dezvoltate de catre cultul Aum Shinryko, acelasi grup care generat incidentul produs la metroul din Tokyo, produs in 1995, finalizat cu moarte a 12 persoane. La data descoperirii, cultul a primit date clasificate referitoare la 115 de vehicule urmarite. Mai mult, cultul a dezvoltat software-ul pentru cel putin 80 de firme japoneze si 10 agentii guvernamentale. Ei au lucrat ca subcontractori ai altor firme, ceea ce face aproape imposibil pentru organizatiile sa stie cine a fost implicat in dezvoltare de software. Ca subcontractanti, cultul ar putea avea instalati cai troieni pentru a lansa sau facilita atacuri teroriste la o data ulterioara.

In ciuda incalcarii masurilor de securitate in urma 9/11, un sondaj pe aproape patru sute de profesionisti IT efectuat de Business Software Alliance in iunie 2002 a evidentiat o ingrijorare raspandita. (A se vedea Robyn Greenspan, 'Cyberterrorism il privesc Pro', Internetnews.com, 16 august 2002.). Aproximativ jumatate (49%), din profesionistii IT au fost de parere ca un atac este posibil, si mai mult de jumatate (55%), au declarat ca riscul unui atac de mare amploare in Statele Unite ale Americii a crescut de la 9/11. Cifra a sarit la 59% dintre respondenti cei care sunt in sarcina lor seuritate retelelor companiei. Saptezeci si doua de la suta au fost de acord cu afirmatia 'nu exista un decalaj intre amenintarea unei intreruperi majore a unui atac si capacitatea guvernului de a se apara impotriva sa,' si rata acordului a crescut de la 84% dintre respondenti, care detin cele mai multe cunostinte despre securitatea. Cei intervievati s-au preocupat de atacuri nu doar asupra guvernului, ci si obiectivelor sectorului privat. Aproape trei sferturi (74%) considera ca nationale de institutii financiare, cum ar fi marile banci nationale ar fi probabil obiective in urmatorii ani, si in jur de 2 considera ca atacurile au fost susceptibile de a fi lansate in urmatoarele douasprezece luni catre sistemele de calcul care sustin retele de comunicatii (de exemplu, telefoane si Internet), infrastructura de transport (de exemplu, controlul traficului aerian sistemele de calcul), si utilitare (de exemplu, statii de apa, baraje).

Proiect: Lucrari practice la disciplina "BAZELE CONTABILITATII" Document online: Proiectarea unei aplicatii informatice de contabilitate de gestiune intr-o unitate neproductiva

destination:String contine destinatia trenului (numele garii)

trainInStation:Boolean arata daca trenul este intr-o gara sau nu

currentStation:Station arata care este ultima gara in care a fost trenul

gps:GPS este obiectul GPS folosit pentru a afla locatia unde este trenul la un moment dat

Contine urmatoarele metode:

move():void muta trenul de pe un segment de linie pe urmatorul segment de linie

getId():String returneaza id-ul trenului respectiv

getDestination():String returneaza destinatia trenului

enterStation():void este apelata cand trenul intra intr-o statie; contine operatii de setare a senzorilor si update-are a GPS-ului

exitStation():void este apelata cand trenul iese dintr-o statie

Clasa RailSegment - simuleaza un segment de linie de cale ferata

Contine atributul

sensor:Boolean care reprezinta senzorul segmentului; ia valoarea true sau false in functie de pozitia trenului; este setat de catre obiectele de tip Train

Contine metodele:

setSensor():void care seteaza valoarea senzorului

getSensor()

Aceste studii, impreuna interesul enorm al mass-media in aceasta tema, au alimentat temerile populare in legatura terorismul cibernetic. Un studiu efectuat de Pew Internet and American Life Project a constatat ca in 2003 aproape jumatate din o mie de americani au fost ingrijorat ca teroristii ar putea lansa atacuri prin intermediul retelelor de calculatoare. Studiu a aratat ca 11 la suta dintre respondenti au fost 'foarte ingrijorati' si 38 la suta au fost 'oarecum ingrijorati' despre un atac lansat prin retele de calculatoare.