Експерт: Сменете паролите на всички акаунти
Любомир Тулев е приключил Академията на Министерство на вътрешните работи. Магистър по право от ЮЗУ „ Неофит Рилски “. Бил е шпионин в отдел „ Киберпрестъпност “ при ГДБОП-МВР. Участник в стотици интернационалните следствия за киберпрестъпления и криминалистични експертизи в тясно съдействие с ФБР, Европол, Интерпол.
Активен член и обучител в Международната академия за образование по киберпрестъпления. От 2017 година е водещ специалист по киберсигурност в Amatas. Инструктор към интернационалната организация EC Council.
- Неизбежни ли са сходни пробиви и течове на данни като този в Национална агенция за приходите?
- България няма по какъв начин да бъде остров на спокойствието на фона на цялата световна опасност от хакерски атаки. Няма по какъв начин да подсигуряваме 100-процентова киберсигурност. Ако някой каже, че може да я подсигури - сигурно лъже. В тази обстановка би трябвало да поставим оптимални старания, с цел да сведем до най-малко изложеността ни на сходни офанзиви.
А и да не забравяме, че и най-голямата банка в Съединени американски щати Capital One бе хакната още през март. Според авторитетни медии като Си Ен Ен, Би Би Си, Ройтерс става въпрос за теч на данни - на над 100 млн. жители на Съединени американски щати и на още 6 млн. в Канада. Изтеклата информация съдържа Social Security numbers (социалноосигурителни номера), имена и даже номера на кредитни карти. А това не е единственият сходен случай, просто информацията за този съответства по време с теча от Национална агенция за приходите у нас.
Да, казусът с приключването на информация от Национална агенция за приходите е невиждан за България - за първи път ставаме очевидци на теч на данни за 5 милиона души. Но съпоставен със международните мащаби - теч на информация на 5 милиона души е надалеч по-малък, в сравнение с 106 милиона. В никакъв случай не подценявам случилото се с данни в Национална агенция за приходите, само че течове има и в страни, които безспорно отделят доста повече финансови средства за отбрана от нас.
- Бихте ли определил обаче пробива в Национална агенция за приходите като кибертерор?
- Според международните стандарти
хакерите са 6 категории,
3 от които са най-известни - Black Hat, Grey Hat, White Hat: Черни, Сиви и Бели шапки, както е вярното название. У нас получиха известност наименованията Бели, Сиви и Черни хакери.
Всички използваме едни и същи принадлежности, едни и същи техники на офанзива - и Белите шапки, т.е. специалистите по киберсигурност, положителните, и Черните шапки, неприятните. Разликата е в мотивацията, в спазването или не на написаните процедури и правила. Ако ги спазваш, не тестваш пробив в компания или институция без тяхното единодушие и позволение, което те трансформира в Черен хакер и действията ти стават наказуеми.
Разбира се, какво тъкмо е направила въпросната компания, неин чиновник, дали са спазени тези процедури и правила, е въпрос на доказване от способените органи.
Дали това съставлява терористично деяние - аз съм по-скоро песимистичен да го категоризирам по този начин. Но в случай че се потвърди, че чиновник или чиновници са атакували компании, след което са да ги уведомявали за открита накърнимост с оферта за киберсигурност - това е неспазване на етичните правила, сходни дейности са противозаконни.
- Доколко страхът на жителите, чиито данни са изтекли, е състоятелен?
- По-скоро съм податлив да кажа не. В изтеклата информация в този голям масив от данни има имена, ЕГН-та, адреси за някои консуматори, за някои - имейл адреси, пощенски кутии респективно, пароли. За някои има и така наречен данъчна информация за приходи, платени налози. Да, притеснително е, че е изтекла информация за 5 млн. жители. Но
дейностите, които могат да се създадат с едно име и ЕГН, са доста лимитирани
сега.
След вдигналия се медиен звук след тази хакерска офанзива банковите институции няма да си разрешат да провиснал заем без тъкмо съблюдаване на разпоредбите.
И никой нотариус няма да рискува с противозаконни дейности, които да го изложат на заплаха от покачване на обвинявания.
Основание за терзание са по-скоро изтеклите имейл адреси и пароли, употребявани за логване в тази система. Лоша процедура за доста консуматори е да употребяват една и съща ключова дума за разнообразни сметки - поща, профили. Така че бих предложил жителите да си сменят паролите на безусловно всички сметки, които употребяват в своята онлайн еднаквост.
В момента всеки неприятел може да отвори архива, да види паролата, да разбие пощенската кутия на жителя Х и да открадне цялата му преписка, даже
да стартира преписка от негово име.
Това е едната заплаха поради изтеклите пароли, с които жителите са се разпознали при влизане в системата на Национална агенция за приходите.
Друга заплаха е да стартират всеобщо така наречен спам или фишинг акции. Нищо чудно някой от хакерите да яхне вълната и да стартира да праща фишинг мейли до консуматори с апел да кликнат някъде, с цел да ревизират дали техните данни са измежду изтеклите. А след клик на въпросния линк потребителят може да бъде отведен на място, следено от хакер, след което да бъдат източени още техни персонални данни.
А и тази информация може да бъде употребена от конкурентни компании за шантаж.
Телефонни измамници, елементарни крадци също могат да употребяват изтеклата информация за адреси и приходи, с цел да набелязват своите жертви доста по-целенасочено.
Така че сменете паролите и бъдете доста деликатни с всевъзможни получени съмнителни имейли, изключително на тема Национална агенция за приходите.
- Какви са главните уроци от офанзивата?
- Твърди се, че Национална агенция за приходите не са имали нужните имплементирани защитни системи. Ако в действителност се окаже, че не са имали всички тези устройства като Firewall, IDS, IPS и прочие, това значи, че, за жалост, са дали доста елементарен достъп на хора с механически познания и умения да осъществят сходна хакерска офанзива.
Държавата би трябвало влага повече в киберсигурност. Т.е. инсталирането, подновяването на всички тези системи, които боравят с персонални данни на български жители, внедряването на разнообразни хардуерни и софтуерни решения за ревизиране на трафик, за отбрана на тези системи от външни намеси - всичко това е доста належащо да се направи - освен в Национална агенция за приходите, а във всички държавни институции.
Държавата би трябвало да ускори предварителната защита,
да инициира тестванията за навлизане, така наречен пен проби, одити на системите да се вършат постоянно. Излезе информация, че одит на тази система в Национална агенция за приходите не е юридически от години. А съгласно стандартите такива одити би трябвало да се вършат един, даже два пъти годишно.
Притеснява ме дали няма и други Черни шапки, които доста преди този случай са съумели да създадат сходен пробив - на бази данни в други държавни институции, които са държали за тяхна персонална приложимост. И да не престават да ги употребяват!
За страдание, няма по какъв начин да знаем дали нещо сходно не се е случило, в случай че не се прегледат и проучват логовете на трафика на всяка институция, евентуална жертва.
- Достатъчно положителни ли са фрагментите ни, които се занимават с киберсигурност?
- България е една от страните, в която доста международни компании трансферират своите колцентрове и отдели за отбрана.
Страната ни явно се слави с положителни експерти.
Имаме фрагменти, които биха могли да работят за отбрана на сериозни структури. Проблемът още веднъж опира до финанси и мотивация - IT експерти, които работят в държавните институции, за жалост, получават от време на време 3-4 пъти по-малко, в сравнение с биха получили в частна компания на открито. А с изключение на добра заплата положителният експерт има потребност техника и устройства за киберсигурност, за които са нужни обилни средства.
- Белите или Черните шапки са повече у нас?
- В България не са доста фирмите, тясно профилирани в киберсигурност. Може би са 4-5 фирмите с отдели, които се занимават с професионална киберзащита. Това са така наречен Бели шапки, специалисти, призвани да работят за повишение на киберсигурността. Отделно всяка компания разполага с назначени чиновници, които играят ролята на Бели шапки. Ако за тях може да се извлече въпреки приблизителна численост, за жалост, нямаме точна визия какъв брой у нас са Черните, т.е. злонамерените хакери. Със сигурност надали са малко. Известни сме с кадърните си експерти, само че и много постоянно наши хакери биват залавяни при реализиране на така наречен кардинг интервенции, скимиране на кредитни карти, разтрошаване на уеб сайтове. Очевидно
имаме много хора с пристрастености към черно хакерство.
- Как да се пазим в компютърната джунгла?
- В цифровия 21. век няма по какъв начин да избягаме от електронната джунгла, само че би трябвало да създадем всичко допустимо да я защитим от външна злонамерена интервенция. Течове на данни са се случвали, случват се и ще се случват - в Европейски Съюз, в Съединени американски щати, в страни, които влагат доста повече от нас в киберсигурност. Място за суматоха обаче няма. Нужни са ограничения за оптималната отбрана в държавните институции, които боравят с наши персонални данни.
В България от 2018 година работи закон за киберсигурност, само че обособени държавни институции очевидно не съблюдават написаните правила за отбрана. Ако те бяха спазвани, най-малкото щяхме да затрудним значително сходен опит за хакерска интервенция извън.
През 2018 година влезе в действие GDPR Общият правилник за отбрана на персоналните данни на Европейски Съюз, чиято цел е да принуди фирмите и институциите, които боравят с персонални данни, да са много по-ангажирани с тяхното вярно запазване.
Активен член и обучител в Международната академия за образование по киберпрестъпления. От 2017 година е водещ специалист по киберсигурност в Amatas. Инструктор към интернационалната организация EC Council.
- Неизбежни ли са сходни пробиви и течове на данни като този в Национална агенция за приходите?
- България няма по какъв начин да бъде остров на спокойствието на фона на цялата световна опасност от хакерски атаки. Няма по какъв начин да подсигуряваме 100-процентова киберсигурност. Ако някой каже, че може да я подсигури - сигурно лъже. В тази обстановка би трябвало да поставим оптимални старания, с цел да сведем до най-малко изложеността ни на сходни офанзиви.
А и да не забравяме, че и най-голямата банка в Съединени американски щати Capital One бе хакната още през март. Според авторитетни медии като Си Ен Ен, Би Би Си, Ройтерс става въпрос за теч на данни - на над 100 млн. жители на Съединени американски щати и на още 6 млн. в Канада. Изтеклата информация съдържа Social Security numbers (социалноосигурителни номера), имена и даже номера на кредитни карти. А това не е единственият сходен случай, просто информацията за този съответства по време с теча от Национална агенция за приходите у нас.
Да, казусът с приключването на информация от Национална агенция за приходите е невиждан за България - за първи път ставаме очевидци на теч на данни за 5 милиона души. Но съпоставен със международните мащаби - теч на информация на 5 милиона души е надалеч по-малък, в сравнение с 106 милиона. В никакъв случай не подценявам случилото се с данни в Национална агенция за приходите, само че течове има и в страни, които безспорно отделят доста повече финансови средства за отбрана от нас.
- Бихте ли определил обаче пробива в Национална агенция за приходите като кибертерор?
- Според международните стандарти
хакерите са 6 категории,
3 от които са най-известни - Black Hat, Grey Hat, White Hat: Черни, Сиви и Бели шапки, както е вярното название. У нас получиха известност наименованията Бели, Сиви и Черни хакери.
Всички използваме едни и същи принадлежности, едни и същи техники на офанзива - и Белите шапки, т.е. специалистите по киберсигурност, положителните, и Черните шапки, неприятните. Разликата е в мотивацията, в спазването или не на написаните процедури и правила. Ако ги спазваш, не тестваш пробив в компания или институция без тяхното единодушие и позволение, което те трансформира в Черен хакер и действията ти стават наказуеми.
Разбира се, какво тъкмо е направила въпросната компания, неин чиновник, дали са спазени тези процедури и правила, е въпрос на доказване от способените органи.
Дали това съставлява терористично деяние - аз съм по-скоро песимистичен да го категоризирам по този начин. Но в случай че се потвърди, че чиновник или чиновници са атакували компании, след което са да ги уведомявали за открита накърнимост с оферта за киберсигурност - това е неспазване на етичните правила, сходни дейности са противозаконни.
- Доколко страхът на жителите, чиито данни са изтекли, е състоятелен?
- По-скоро съм податлив да кажа не. В изтеклата информация в този голям масив от данни има имена, ЕГН-та, адреси за някои консуматори, за някои - имейл адреси, пощенски кутии респективно, пароли. За някои има и така наречен данъчна информация за приходи, платени налози. Да, притеснително е, че е изтекла информация за 5 млн. жители. Но
дейностите, които могат да се създадат с едно име и ЕГН, са доста лимитирани
сега.
След вдигналия се медиен звук след тази хакерска офанзива банковите институции няма да си разрешат да провиснал заем без тъкмо съблюдаване на разпоредбите.
И никой нотариус няма да рискува с противозаконни дейности, които да го изложат на заплаха от покачване на обвинявания.
Основание за терзание са по-скоро изтеклите имейл адреси и пароли, употребявани за логване в тази система. Лоша процедура за доста консуматори е да употребяват една и съща ключова дума за разнообразни сметки - поща, профили. Така че бих предложил жителите да си сменят паролите на безусловно всички сметки, които употребяват в своята онлайн еднаквост.
В момента всеки неприятел може да отвори архива, да види паролата, да разбие пощенската кутия на жителя Х и да открадне цялата му преписка, даже
да стартира преписка от негово име.
Това е едната заплаха поради изтеклите пароли, с които жителите са се разпознали при влизане в системата на Национална агенция за приходите.
Друга заплаха е да стартират всеобщо така наречен спам или фишинг акции. Нищо чудно някой от хакерите да яхне вълната и да стартира да праща фишинг мейли до консуматори с апел да кликнат някъде, с цел да ревизират дали техните данни са измежду изтеклите. А след клик на въпросния линк потребителят може да бъде отведен на място, следено от хакер, след което да бъдат източени още техни персонални данни.
А и тази информация може да бъде употребена от конкурентни компании за шантаж.
Телефонни измамници, елементарни крадци също могат да употребяват изтеклата информация за адреси и приходи, с цел да набелязват своите жертви доста по-целенасочено.
Така че сменете паролите и бъдете доста деликатни с всевъзможни получени съмнителни имейли, изключително на тема Национална агенция за приходите.
- Какви са главните уроци от офанзивата?
- Твърди се, че Национална агенция за приходите не са имали нужните имплементирани защитни системи. Ако в действителност се окаже, че не са имали всички тези устройства като Firewall, IDS, IPS и прочие, това значи, че, за жалост, са дали доста елементарен достъп на хора с механически познания и умения да осъществят сходна хакерска офанзива.
Държавата би трябвало влага повече в киберсигурност. Т.е. инсталирането, подновяването на всички тези системи, които боравят с персонални данни на български жители, внедряването на разнообразни хардуерни и софтуерни решения за ревизиране на трафик, за отбрана на тези системи от външни намеси - всичко това е доста належащо да се направи - освен в Национална агенция за приходите, а във всички държавни институции.
Държавата би трябвало да ускори предварителната защита,
да инициира тестванията за навлизане, така наречен пен проби, одити на системите да се вършат постоянно. Излезе информация, че одит на тази система в Национална агенция за приходите не е юридически от години. А съгласно стандартите такива одити би трябвало да се вършат един, даже два пъти годишно.
Притеснява ме дали няма и други Черни шапки, които доста преди този случай са съумели да създадат сходен пробив - на бази данни в други държавни институции, които са държали за тяхна персонална приложимост. И да не престават да ги употребяват!
За страдание, няма по какъв начин да знаем дали нещо сходно не се е случило, в случай че не се прегледат и проучват логовете на трафика на всяка институция, евентуална жертва.
- Достатъчно положителни ли са фрагментите ни, които се занимават с киберсигурност?
- България е една от страните, в която доста международни компании трансферират своите колцентрове и отдели за отбрана.
Страната ни явно се слави с положителни експерти.
Имаме фрагменти, които биха могли да работят за отбрана на сериозни структури. Проблемът още веднъж опира до финанси и мотивация - IT експерти, които работят в държавните институции, за жалост, получават от време на време 3-4 пъти по-малко, в сравнение с биха получили в частна компания на открито. А с изключение на добра заплата положителният експерт има потребност техника и устройства за киберсигурност, за които са нужни обилни средства.
- Белите или Черните шапки са повече у нас?
- В България не са доста фирмите, тясно профилирани в киберсигурност. Може би са 4-5 фирмите с отдели, които се занимават с професионална киберзащита. Това са така наречен Бели шапки, специалисти, призвани да работят за повишение на киберсигурността. Отделно всяка компания разполага с назначени чиновници, които играят ролята на Бели шапки. Ако за тях може да се извлече въпреки приблизителна численост, за жалост, нямаме точна визия какъв брой у нас са Черните, т.е. злонамерените хакери. Със сигурност надали са малко. Известни сме с кадърните си експерти, само че и много постоянно наши хакери биват залавяни при реализиране на така наречен кардинг интервенции, скимиране на кредитни карти, разтрошаване на уеб сайтове. Очевидно
имаме много хора с пристрастености към черно хакерство.
- Как да се пазим в компютърната джунгла?
- В цифровия 21. век няма по какъв начин да избягаме от електронната джунгла, само че би трябвало да създадем всичко допустимо да я защитим от външна злонамерена интервенция. Течове на данни са се случвали, случват се и ще се случват - в Европейски Съюз, в Съединени американски щати, в страни, които влагат доста повече от нас в киберсигурност. Място за суматоха обаче няма. Нужни са ограничения за оптималната отбрана в държавните институции, които боравят с наши персонални данни.
В България от 2018 година работи закон за киберсигурност, само че обособени държавни институции очевидно не съблюдават написаните правила за отбрана. Ако те бяха спазвани, най-малкото щяхме да затрудним значително сходен опит за хакерска интервенция извън.
През 2018 година влезе в действие GDPR Общият правилник за отбрана на персоналните данни на Европейски Съюз, чиято цел е да принуди фирмите и институциите, които боравят с персонални данни, да са много по-ангажирани с тяхното вярно запазване.
Източник: marica.bg
КОМЕНТАРИ