“Jurnalism” despre securitate cibernetică – analiză pe text

Unix Auto este poate cel mai mare distribuitor de piese auto din România. Pentru cine a intrat de câteva ori într-un magazin de piese auto sau într-un service, ați văzut probabil că abilitățile în utilizarea unui calculator se rezumă la activități basic, neavând competențe să creeze rețele securizate sau politici și protocoale de securitate. În schimb pe piese auto rup . Nu e nimic greșit până aici, doar că în cazul în care nu ai competențe de a utiliza un sistem și de a te proteja eficient, atunci trebuie delegată intern treaba asta. Ai nevoie de un geek care să știe ce este un SSL și de ce parola nu trebuie să aibă numai 4 caractere.

Cum era de așteptat, pe 30.03.2021 Unix Auto a primit o vizită din partea unor băieți cu foarte mult timp liber care au criptat fișierele de pe serverul Unix Auto. Toate poveștile trecute frumos la auditurile ISO cum că ar exista un plan de continuitate al afacerii, analiză de risc, sunt povești pentru copii. Asta îmi place maxim la auditurile pe ISO 27001, că toți spun că pot restabili sistemele în maxim 24 ore – 72 ore, dar când au ars două data centere OVH am văzut firme de milioane de euro din RO care erau fost căzute 4 zile și apoi încă două săptămâni funcționau cu ușor handicap pentru că nu recuperaseră toate datele și nu aveau backup-uri ușor de reinstalat.

Foaia Transilvana, o fițuică online a încercat să publice în grabă un articol ce să acopere știrea acestui incident de securitate. După trei zile de la publicare articolul este scris la fel de prost.

Menționează Unix Auto ca fiind cel mai mare furnizor de piese auto din Transilvania. Probabil dacă mai e preluată știrea asta de două ori va ajunge cel mai mare producător de piese auto din Valahia.

“Firma UNIX Auto SRL a avut în anul 2019, o cifră de afaceri de ordinul sutelor de milioane de euro. Cu toate astea, este evident că societatea nu a investit prea mult sau deloc în protecția serverelor.

Astfel, în 2019, firma a avut o cifră de afaceri de 387.1 milioane de lei, adică peste 79 de milioane de euro. La final de an, Unix Auto SRL a anunțat și o pierdere care nu este prea credibilă de 7.62 milioane de lei, adică peste 1.4 milioane de euro.”

Sutele erau de fapt zeci, dar editorul a suferit o amnezie de la o propoziție la alta. Iar pierderea “necredibilă”… Așa e când fata de la meteo și băiatul de la sport își dau cu părerea pe teme economice.

În cele din urmă, cei de la Unix Auto SRL au primit un mesaj prin care li se solicită o sumă imensă de bani, care să fie plătită într-un anume cont, pentru a-și putea folosi în continuare bazele de date care conțin zeci de mii de profile auto, de la mașini și până la camioane de diferite mărimi.

Care este suma va rămâne o dilemă. Știm că este imensă. Acum, această sumă imensă poate fi imensă pentru unii sau bani de buzunar pentru alții. Știu firme care au plătit în 10 minute 3.000  € pe un ransomware, bani care pentru service-ul de la colțul străzii este o sumă imensă.

Am anunțat autorităților. Este o autoritate care răspunde de toată treaba asta.

Nimic mai greșit! Nu autoritatea răspunde pentru faptul că nu există sau a fost încălcată o politică de securitate. Autoritatea are dreptul de a controla, supraveghea și să ofere sprijin de specialitate, oricare ar fi ea.

Dacă ne referim la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, atunci ăia sunt mai nepricepuți în utilizarea unui calculator decât un angajat UNIX Auto și nu au nicio competență să răspundă ci doar să constate încălcările de securitate și să aplice amenzi dacă date cu caracter personal au fost compromise. Bine, acum nu credeți și voi tot ce se scrie în presă sau prezintă Autoritatea la conferințe. Lui Telekom i-a aplicat o amendă de numai 3.000 €, deși Telekom alerga în fundul gol pe internet (link aici).

Dacă ne referim la CERT din nou, nu știu ce să zic pentru că nu CERT răspunde pentru ce are Unix Auto în ogradă. Ei pot să faciliteze niște comunicări între părți, să ofere sprijin la nivel consultativ dar nu o să se ducă Anton Rog cu o trupă de comando să ia cheia de decriptare de la ruși.

Ce este însă interesant, dacă într-adevăr a spus lucrul ăsta un reprezentant al Unix Auto, este faptul că nici acum când sunt cu chiloții în vine, Unix Auto nu lasă garda jos și în aroganța lor de necunoscători ai mediului ăsta … întunecat … caută să paseze responsabilitatea la alții. Nu oaie, nu răspunde nimeni de toată treaba asta ci TU ești responsabil!

Nu cunosc dacă s-au solicitat despăgubiri, serverele noastre sunt in Ungaria.

Nu am înțeles ce treabă are locația fizică a serverelor. Pot fi oriunde, atacatorului nefiindu-i rușine să ceară o recompensă / despăgubire doar pentru că nu a știut să ceară mici în ungurește. Și totuși … la începutul articolului este menționat faptul că “au primit un mesaj prin care li se solicită o sumă imensă de bani“. Păi cum e până la urmă? Despăgubirea în contextul ăsta este clar o referință la recompensă, nu la despăgubiri din partea vreunui proprietar de Dacie care a rămas cu mașina pe rampă pentru că nu a putut să comande service-ul o planetară.

Exclusiv! Cel mai mare furnizor de piese auto din Transilvania, șantajat de hackeri. Activitatea este complet paralizată.

Titlul este bombastic, dar URL-ul este de forma https://foaiatransilvana.ro/2021/04/01/cel-mai-mare-furnizor-de-piese-auto-din-transilvania-santajat-de-kackeri-sunt-vizati-hackerii-din-rusia/ . Poate ne explică băiatul de la sport ce este un Kacker. E unul care de ca*ă pe cei cu securitate slabă, este un cracker, un hacker … Nu știu, eu doar întreb că sunt de ceva mulți ani în domeniu și de Kacker nu am auzit până acum. Nu putem spune nici că ar fi un typo pt că tasta K nu e lângă H în Română. Pe rusă probabil e diferit.

<p>Pe ușa de la <a href=”https://www.diicot.ro/“>Unix</a> Auto SRL a fost lipit un anunț prin care clienții sunt anunțați că firma este sub un atac informatic. […]</p>

Cum articolul pare servit, ca valiza găsită pe câmp, cineva avea o datorie pe la DIICOT și a promis că va pune backlink către ei. Altfel e ilogic să scrii o știre despre un Unix Auto și să pui pe cuvântul Unix link către DIICOT. Am simțit și aprecierea la prea-slăvitul partid mai jos unde era o datorie și către S.R.I. (“În decursul ultimului an Serviciul Român de Informații a lansat mai multe apeluri). Nu aveau cum să scrie un articol despre un incident de securitate dar să nu menționeze despre S.R.I. Mă ustură creierul după ce am citit articolul de două ori. Nimic despre CERT, nimic despre Bitdefender, SecureWorks și alte companii ce au echipe specializate, dar către DIICOT trebuia un backlink și o mențiune legată de S.R.I. Cât o fi costat articolul ăsta?

Până la urmă ce fel de atac a fost? Nu știm precis 🙂 pentru că fata de la meteo a enumerat niște posibile atacuri în articol, de la lockscreen ransomware până la crypto-ransomware.

Din păcate ăsta e nivelul. Un articol care crează confuzie și nu transmite nimic în afara faptului că Unix Auto are sistemul informatic compromis.

unix auto hacked

Actualizare articol 05.04.2021

Dacă Foaia Transilvana era cumva o fițuică online, astăzi alephnews.ro vine să întărească ideea și să confirme faptul că sunt jurnaliști care nu au un minim de decență de a se limita în a scrie articole pe teme la care să se priceapă cât de cât. În goana după atingerea targetului de articole pe zi, sunt o parte din jurnaliști catalogați ca fiind postaci și asta trage destul de mult în jos modul în care publicul cititor adună la un loc toți jurnaliștii. Sunt jurnaliști care fac cinste meseriei, dar dacă cei mai vocali sunt postacii, atunci mă tem că percepția cititorilor va fi că toți jurnaliștii sunt niște postaci care scriu la comandă fără să treacă informațiile prin filtrul minții.

Am văzut astăzi pe LinkedIn un articol share-uit de pe alephnews.ro unde era menționat CERT-RO. Acum, știu că oamenii ăia au o politică de asociere a imaginii cu persoane sau firme ce au potențial în industria de cyber security, nu se asociază chiar cu orice Floricica Dansatoarea. Dar, standardele mai și scad, oamenii se schimbă, cert este că materialul de pe alephnews (link aici) a trebuit să îl citesc de două ori și să ascult video-ul de 2-3 ori până să înțeleg că băiatul de la rubrica de Sport a început să scrie despre cyber security pentru că este cool, e la modă și pare a fi ceva inteligent.

Și nu, nu glumesc, cel care a publicat materialul este Catalin Costache, care în urmă cu câteva zile își dădea cu părerea despre meciul Armenia – România.

Aș vrea să fac analiză pe text dar e fundamental greșit, în totalitate.

  • Dacă întâmpini o astfel de situație apelează la CERT.RO, la numărul 911. Nu știu ce filme americane a văzut gogul ăsta, ce scenarii de Matrix și-a făcut în cap dar 911 e numărul de urgente din Statele Unite ale Americii. Zero documentare. Stă prost cu auzul pentru că Radu Stănescu a spus 1911, dar oare nu era deontologic să verifice informațiile înainte de a publica articolul? Un simplu Google search după cuvintele cheie “CERT număr telefon” ar fi afișat mai multe știri acoperite de către jurnaliști cu carte de muncă, unde numărul corect este 1911.
  • Textul este simplu, pare a fi un text pentru persoane necunoscătoare în tainele internetului și mega panicoase. La fel ca în cazul Unix Auto, articolul nu spune absolut nimic în afară de faptul că fițuica online a mai bifat un articol iar specialiștii în cyber security au mai bifat o prezență online .
  • Alex Angheluș de la ProDefence ridică o problemă și spune că platformele online folosite în școala online nu au fost pregătite unui flux atât de mare de participanți. Apa e udă. Cerul e albastru. Pe LinkedIn stergem comentariile pt că știm ce grav am dat-o în bară. Ca să încheie apoteotic, spune că “nimeni nu a fost pregătit pentru un flux atât de mare de participanți și nimeni nu a fost pregătit pentru astfel de atacuri”. Care atacuri? Ce filme văd ăștia pe bulgari? Dacă știi ceva, zi până la capăt, dar asumat! Altfel, orice gog iese mâine și declară pentru fițuicile online că nimeni nu a fost pregătit pentru atacurile de la statiile de epurare a apei. Man, știi ceva, zi cu subiect și predicat, nu arunca așa în aer ideea că sunt atacurti pe bandă rulantă la niște platforme, dar nimeni nu știe care sunt platformele alea, nimeni nu își asumă nimic din ce spune. E exact ca reportajele alea de la televizor unde se menționează că într-un supermarket au gpsit carne stricată, dar nimeni nu vrea să supere sponsorul.
  • alephnews continuă articolul și spune că Alexandru este elev în clasa a 12-a. Wait. What? Pai parcă avea firmă de cyber security, în poze pare să se îndrepte spre un 40 de ani, cum e clasa a 12-a? Adică da, e posibil tehnic, dar parcă nu ar fi cazul să spună treaba asta. Abia apoi, dupa un scroll de reclamă și alte articole recomandate aflăm că Alexandru e de fapt un anume Alexandru Bubu 🙂 și Bubu ăsta e elevul de clasa a 12-a. Băi băiatule…cine a gândit structura asta de articol? După ce a apăsat pe butonul de publish, autorul s-a dus la baie și nu a mai verificat ce inepții a publicat? Ăștia nu știu să corecteze un articol în funcție de elementele din pagină, să adapteze contentul astfel încât firul narativ să fie cursiv?
  • Apoi aflăm că dacă platforma nu este bine securizată, hackerii se pot infiltra în baza de date a instituțiilor și pot cere recompense materiale. Și sumele nu sunt mici. Pot ajunge până la câteva milioane de dolari. Apa e udă, cerul e albastru. Oamenii ăștia rescriu aceleași informații auzite pe la alții din nou și din nou , dar fără să le treacă prin filtrul minții. Pentru ei hackerii se infiltrează și cer milioane de dolari. Aici am simțit că îmi lăcrimează creierul. Păi dacă s-a infiltrat, înseamnă că stă ascuns. Obiectivul lui nu este să ceară încă recompensă, are alt scop în agendă cum ar fi colectare de date, campanii de phishing, poate fi doar un pas din active recon, sunt multe ipoteze. Atunci când se ajunge la recompensă atacatorul nu mai este un simplu actor infiltrat ci a căpătat acces deplin, a criptat sau copiat și sters datele, a făcut un deface ca să își anunțe intenția, este discuție amplă ce nu poate fi rezumată din topor la fraza din articol. Acum, din nou, nu știu ce filme au văzut cu milioane de dolari, dar în viața reală ransomware-ul este mult mai mic.
  • Într-un final vine Radu Stănescu, ceva consultant senior pe securitatea informației pe la Parlamentul European. Am încercat, chiar am încercat să țin pasul cu gramatica lui, dar probabil că fiind plecat de 5 ani din România nu mai știe atât de bine cum e cu acordurile, unde se pune virgula. Există un motiv pentru care companiile mari, cum ar fi Oracle, nu permit angajașilor să iasă public și să spună tot ce le trece prin minte. Ai nevoie de un vocabular un pic antrenat înainte să scoți ceva pe sticlă. Radu este prezentat ca fiind cel care vine cu o soluție care poate preveni atacurile cibernetice viitoare. Pleonasm, previne atacuri viitoare, dar trecem peste, era băiatul de la sport obosit. Ei bine, Radu Stănescu încearcă să spună că orice atac cibernetic trebuie raportat către CERT. Omul are o poveste, are o agendă, trebuia să apară undeva și să preaslăvească o instituție guvernamentală. Dar nimic despre Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Atenție, că aici este o linie subțire ce se reflectă în terminologia folosită. Radu spune că pentru furtul de date să fie notificat CERT. Nimic mai greșit. Repet, înțeleg, oamenii au o agendă, dar cineva trebuie să sancționeze derapajele astea pentru că după două – trei articole ca maneaua asta, cititorii o să aibă impresia că cei care lucrează în Cyber Security sunt ori analfabeți funcționali ori rău intenționați. Către CERT te poți îndrepta cu titlul de recomandare. Nu obligatoriu. Acolo sunt oameni care teoretic au o experiență, au văzut și încapsulat multe atacuri la viața lor. În schimb, dacă vorbim de furt de date sunt două instituții guvernamentale către care victima trebuie să se îndrepte: ANSPDCP și Serviciul de Investigatii Criminale din cadrul Politiei Române. De acolo pleacă mai departe cu propunere catre DIICOT dacă este cazul. Atâta timp cât nu este plângere oficială nu existp nicio infracțiune. CERT nu este Poliția Română, CERT nu sparge ușile hackerilor și nici nu îi aduce în fața justiției.
4 Comments
  1. Sunt din Cluj dar de ziarul asta nu am auzit niciodata. M-am uitat sa vad cine e in “redactie” si pare a fi Vasile Manu. Il suspectam de profesionalism pana acum sau e doar o confuzie de nume

    • Mihai Soica a mai primit exclusivitati pe care le ciordea de la altii https://www.ziardecluj.ro/mihai-prodan-jurnalistul-toparlan

      “Mihai Soica si Horea Soica, jurnalisti hoti, s-au servit din exclusivitatea noastra. Unul detine Foaia Transilvana, altul Stiri de Cluj, asa buni frati sunt, ca se concureaza. Sa le fie rusine, nu aveam asteptari de la ei. Horicoaie, tot e bine ca ne-ai furat, fiindca in procesul intentat, o sa mai avem un argument in fata judecatorului, ca sa ii aratam ca esti un hot imputit.”

  2. deci d-aia era inchis vineri la unix :)))

  3. poate cu ocazia asta mai fac si ei curat in ograda. mi se pare ca e picat in vreo 4 tari unix auto si pedeapsa deja au primit-o prin blocarea operatiunilor timp de o saptamana, poate chiar mai aspru decat i-a pedepsit COVID-ul. Era haos ce aveau acolo, domenii vechi nefunctionale (oldwebshop, akademia, eportal),o multitudine de oportunitati

    Leave a reply

    Cristian Iosub