Omul care îi sperie pe hackeri mi-a zis de ce ar trebui să-ți fie cu adevărat frică pe internet

Când a picat Facebook cu produsele adiacente WhatsApp și Instagram pe 4 octombrie, pentru mulți a părut că a picat internetul. Din fericire, nu e adevărat, au fost doar serviciile acestui colos. Din nefericire, pentru acei mulți așa a fost. Internetul e însă mai mult decât atât, dar și fragil – ca multe alte tehnologii create de om. Eugene Kaspersky, fondatorul companiei de securitate cibernetică cu același nume, îl compară cu mașina: „Dacă vrei să ajungi dintr-un punct în altul, iei mașina. Dar e periculoasă. O manevră greșită și faci accident. Așa și cu tehnologia – o avem ca să ne facem treaba mai bine, ne ajută, dar dacă o folosim greșit, există costuri.”

În cazul Facebook, problemele care au persistat câteva ore bune au fost puse și pe seama unui atac – un DDoS (distributed denial-of-service). Deocamdată, nu există informații precise în sensul ăsta, deși e mai probabil să fi fost o eroare umană sau chiar sabotaj intern pe fondul criticilor din interior și exterior că exploatează emoții umane pentru profit.

Momentul „Facebook down” e destul de important, tocmai pentru că produsele companiei reprezintă o parte importantă din lumea digitală, dar și pentru că arată cât de mare e dependența omului modern de tehnologie. Într-un așa context se impune o întrebare: e internetul sigur? Am căutat un răspuns într-o discuție cu Eugene Kaspersky. A văzut ultimele trei decenii din postura de om pasionat de viruși, fondatorul unei companii care furnizează soluții de protecție și chiar promite că poate face o rețea „unhackable”. Am discutat și despre români, firesc, că a avut sau are competitori din țara noastră: Bitdefender (lansat de Softwin în anii ‘90 sub numele AntiVirus eXpert) și RAV Antivirus (creat de Costin Raiu, cel care conduce acum echipa globală de cercetare la Kaspersky, dezvoltat de Gecad Software, cumpărat de Microsoft în 2003 și integrat într-o formă sau alta în Windows).

Ce o să citești mai departe e o trecere prin ce-a fost și va fi cu internetul în cuvintele lui Eugene Kaspersky, dar într-o formă condensată și editată.

În urmă cu câțiva ani, ziceam că duc un război cu virușii și fac asta încă de la finalul anilor ‘80. Între timp, am făcut upgrade: vreau să opresc virușii, dar, în același timp, să fac o lume mai sigură. Acum încă vorbim de securitate cibernetică, dar lumea digitală de mâine are nevoie de imunitate cibernetică, pentru că situația s-a schimbat radical.

În 1989, când am descoperit primul virus – denumit Cascade, care făcea ca literele de pe ecranul unui computer cu DOS să pice toate la bază – am început să devin curios despre cum funcționează, care sunt algoritmii și cum poate fi oprit. Le-am explicat unor colegi treaba asta și cineva mi-a zis că are și el un virus. Pe acesta al doilea l-am analizat, dar era complet diferit, avea altă logică. Așa că am început să colectez viruși de computer. Era un hobby și cel puțin la acel moment nu voiam să fac o afacere din asta. Totuși, am dezvoltat unelte pentru a analiza virușii, am detaliat cum funcționează, ce se întâmplă când virusul ajunge pe computer.

La acea vreme era sistemul shareware de distribuție software: programul, în sine, era gratuit, dar cine voia plătea. Erau însă ingineri care puteau face ceva bani prin programe de-astea. Antivirusul creat de Alan Solomon e un exemplu bun pentru acea perioadă și pentru cum arăta lumea la debutul computerului personal.

Vânarea virușilor s-a dezvoltat însă extraordinar în anii ‘90, ca business, cu jucători ca Avast, Eset sau McAfee și Gecad sau Softwin din România. Ca să nu mai zic de Rusia, unde cred că erau vreo patru-cinci antiviruși. Și cred că o mare parte din avântul ăsta de dezvoltare software se datorează sistemului de educație tehnică din Europa de Est. Aveam, în acea vreme, două milioane de ingineri IT în Rusia. Și situația era similară și în alte țări, inclusiv România.

Ironia face că la mijlocul anilor ‘90 erau multe companii de securitate cibernetică și se credea că problema virușilor și a hackerilor va fi rezolvată curând. Părea simplu să fie înregistrat un virus într-o bază de date și să fie protejate computerele. Atunci am zis că nu e atât de simplu, pentru că printre atacatori sunt și oameni foarte deștepți. Noi, cei din industrie, dezvoltăm soluții, ei dezvoltă atacuri mai bune – până acum încă e valabil. N-aș fi putut intui explozia tehnologiei așa cum e ea azi, dar nevoia de securitate era certă și tocmai de-aia am intrat oficial în business în 1997.

Acum, mai e o chestiune când vine vorba de atacuri și computere, că uneori vina e dată pe utilizator: cea mai slabă verigă a lanțului e în spatele tastaturii. Doar că vina e mai degrabă împărțită 50-50. Când hackerii atacă victimele, folosesc atacuri cu doi vectori: inginerie socială pentru a ataca omul, apoi folosesc vulnerabilități în sistemul dispozitivelor. În cazul oamenilor, aceștia pot fi educați să nu mai fie naivi, să nu mai răspundă la scam, și e un pas în direcția imunizării.

În acest context merită menționată și perioada în care suntem. În primăvara lui 2020, când au fost impuse restricții și s-a trecut la munca de acasă, a fost vizibilă lipsa de pregătire pe zona de securitate cibernetică. Iar când angajații lucrează remote asta înseamnă încă o cale de-a obține acces, poate chiar mai eficientă decât dacă ar fi lucrat în interiorul infrastructurii companiei. Prima schimbare era previzibilă: hackerii au fost mai activi. A doua schimbare pe care am remarcat-o a fost că, deși unele companii au dat faliment și-au ieșit de pe piață, cererea pentru securitate a crescut din partea celorlalți.

În fine, a fost și-o surpriză. Dacă în martie-aprilie atacatorii erau mai activi, în mai activitatea a scăzut. Încă n-am o explicație clară, doar o bănuială: lumea a intrat în lockdown și atacatorii au avut mai puține opțiuni de monetizare. Le-a fost mai greu să călătorească între țări, mai greu să ajungă la bancomate și să obțină propriu-zis bani. Dar a crescut zona de ransomware, că acolo primești plata în Bitcoin.

Avântul cu antiviruși din anii ‘90 s-a diminuat în timp, adică au rămas câteva companii mari, iar celelalte s-au reprofilat sau au fost cumpărate. În cazul meu, am primit ceva oferte la finalul anilor ‘90 și începutul anilor 2000, dar n-am vândut, pentru că încă mă distrez în industria asta. Însă asta e doar o felie din tortul mai mare. Înainte de toate e vorba de impact. În domeniul ăsta faci ceva important, de care oamenii au nevoie și apoi, poate chiar faci lumea mai bună. Totodată, trebuie să fii profesionist, că nu e joacă. Mai mult, trebuie să fii vizibil, să creezi ceva care-i mai bun decât ce oferă alții – un business ca ăsta trebuie să genereze bani, că ai nevoie să investești, să dezvolți mai multe produse. Și, sigur, trebuie să fie distractiv și trebuie să-ți placă. Așa arată tortul de partea cealaltă a atacurilor cibernetice.

Amenințările care tot apar sunt însă și unul dintre motivele pentru care-mi place ce fac, că nu e niciodată la fel. În anii ‘80-’90, viruși erau primitivi, iar la mijlocul anilor ‘90, deși internetul începea să fie disponibil, atacatorii încă nu îl exploatau. A devenit de interes undeva prin 1998-1999. Însă pe vremea aia nu era vorba despre cyber crime, ci erau huligani. Nu făceau viruși pentru bani, ci, în general, pentru distracție. Lucrurile s-au schimbat la începutul anilor 2000, pentru că s-a produs o schimbare mare în societate: au venit banii pe internet.

În anii ‘90 nu existau bani pe internet, nu exista mobile banking, nu exista comerțul online din prezent – nu erau disponibile serviciile care implică bani și pe care le folosim enorm în prezent. Și așa a apărut criminalitatea cibernetică. Evoluția spațiului ăstuia digital se derulează mai rapid ca niciodată, la fel și tehnicile și tacticile atacatorilor.

De la joacă au devenit profesioniști și mai departe au creat grupări profesioniste. Acum sunt la nivelul la care pot ataca industrii, companii, state, elemente industriale. Mă neliniștește posibilitatea unui atac asupra sistemelor industriale. În 2021 am văzut foarte bine cât de grav e odată cu cazul Colonial Pipeline.

Dacă virușii de tip ransomware pot fi ținuți sub control, cel mai rău scenariu e atacul asupra infrastructurii. Asta și pentru că depindem de astfel de sisteme, de la energie și rețele electrice la transport. Și acum sunt mulți hackeri mercenari, care-și mută atenția spre sectorul industrial. Ăsta e primul lucru de care mi-e teamă.

În sectorul industrial, chiar și enterprise, și în structurile instituțiilor de stat e ceea ce descriem ca „zoo”. Sunt atât de multe sisteme despre care nu știe nimeni precis cât de sigure sunt, în ce stadiu se regăsesc, încât e ca la o grădină zoologică, dar cu echipamente de care depind lucruri foarte importante. Ce trebuie să facem e să dezvoltăm. Și să fie un circuit. Întâi, audit de securitate care să arate câte dispozitive există în rețeaua respectivă. Apoi, penetration test ca să fie identificată cea mai slabă verigă. Urmează dezvoltarea și implementarea scenariilor de securitate: care-i cel mai rău lucru care se poate întâmpla. Trebuie făcut apoi un plan de acțiune și înlocuite sistemele vechi sau componentele vulnerabile. Odată ce toate astea sunt făcute, ciclul o ia de la capăt.

Companiile și statele trebuie să investească mai multe în securitate cibernetică. Dacă nu fac asta, hackerii vor ataca la un moment. De fapt, există doar două opțiuni: investești în sistem sau dai faliment din cauza atacurilor.

Când vorbim de sectorul industrial, de companii mari, atacurile sunt imprevizibile și securitatea cibernetică nu acoperă riscul, ci îl diminuează, protejează sistemul, însă daunele pot fi însemnate. Noi cei din sectorul protecției putem garanta o protecție ridicată companiilor mici și utilizatorilor individuali, dar la nivel mai mare e vorba de ce ziceam înainte: imunitate.

Infrastructurile și sistemele trebuie construite din start ca fiind sigure. Trebuie să avem o platformă prin care astfel de entități să fie imune în fața hackerilor. Până la urmă, începe să fie vorba de-o infrastructură și la nivel individual prin ecosistemul Internet of Things: frigider, aspirator, bec, espressor, prize, încuietori la uși, mașină de spălat și alte gadgeturi smart. Sunt prea multe dispozitive conectate între ele și vulnerabile. Poate fi făcut un antivirus pentru fiecare în parte, dar cine va administra așa ceva, acasă? Pe computer, pe telefon descarci software de securitate și asta e, dar dacă trebuie s-o faci de 20 de ori, pentru diverse dispozitive, înnebunești.

Asta a fost și ideea din spatele sistemului de operare KasperskyOS anunțat în 2016 și a unui hardware – posibil și un telefon securizat, cândva – care să nu poată fi atacat și la care să se conecteze diverse alte dispozitive care au nevoie de protecție, dar nu poate fi asigurată individual. Este o soluție „unhackable” cu sistem de operare care nu se bazează pe Linux (sau altceva). Pentru spargerea propriu-zisă ar fi nevoie de un computer cuantic și, din fericire, deocamdată nu-i la îndemâna hackerilor.

E o soluție pentru sisteme care au funcționalități limitate și pe acelea le fac repetitiv. Aici se impune și o împărțire a dispozitivelor în – flexibile, pentru nevoile tale ca individ sau companie care pot rămâne cu sisteme de operare clasice și cele mai puțin flexibile, industriale și din sfera IoT care trebuie să fie sigure by design.

Deocamdată nu putem discuta de construirea unui internet mai bun. Poate în viitor vom avea alte protocoale, alte arhitecturi, dar nu curând. Nu e ceva ce s-ar putea întâmpla în deceniul ăsta. Și uneori se pune problema dacă suntem în război cibernetic. Eu folosesc noțiunea de război când e între state și e declarat. Deocamdată, n-aș zice că e cazul. Chiar și așa, și cu tot ce-am zis până acum, trăim într-o lume cu mulți atacatori și spionaj. Sper că nu va deveni un cyber war între state, pentru că daunele și urmările sunt imprevizibile. Al doilea lucru de care mi-e teamă e dezvoltarea terorismului și sabotajului cibernetic.

De numelui fondatorului Kaspersky sau de companie sunt legate și câteva acuzații. Cea mai frecventă: colaborează cu autoritățile ruse. În 2017, Statele Unite ale Americii prin entități ca FBI au cerut companiilor să nu mai folosească produsele Kaspersky. Compania a negat acuzațiile și a prezentat câteva explicații. Doi ani mai târziu, Uniunea Europeană a spus că nu a găsit dovezi că aplicațiile companiei ar prezenta riscuri de securitate. În 2020, Kaspersky a anunțat că a mutat centrul de procesare a datelor din Rusia în Elveția în continuarea demersului de transparentizare, care include trecerea prin audit făcut de terți și dezvăluirea codului sursă. În 2013, Eugene Kaspersky susținea că nu are legături cu guvernul de la Kremlin, dar colaborează cu FSB (serviciul de informații rus) și poliția specializată în cyber crime, cum face și în alte țări în care sunt cazuri de infracțiuni digitale. În 2017, a zis că ar pleca din Moscova dacă Rusia i-ar cere să spioneze.