Stoenescu Horia – SAS [601943]

Stoenescu Horia – SAS
Securitatea informa ț iei în mediul virtual
na ț ional – structurile CERT-RO

Capitolul 1. Introducere
În prezent, exist ă o interdependen ț ă destul de mare datorat ă tehnologiei informa ț iei ș i a
comunica ț iilor. Privind oamenii de rând, fiecare individ în parte are acces la foarte mult ă informa ț ie în
cadrul Internetului, putând s ă se informeze cu privire la starea vremii, poate face cump ă r ă turi, poate
viziona filme artistice etc. Spa ț iul acesta poate fi privit drept unul care “ ​ se caracterizeaz ă prin lipsa
frontierelor, dinamism ș i anonimat ​ ” [1]. Acest lucru reprezint ă un avantaj pe care doar cei din prezent îl
de ț in, dar, în acela ș i timp, aduce ș i puncte slabe având în vedere c ă el poate reprezenta din anumite
puncte de vedere o dependen ț ă (putem fi dependen ț i de un anumit serviciu online, de exemplu). În plus,
sistemele companiilor de stat ș i a unor institu ț ii publice încep s ă se mute c ă tre domeniul online,
ad ă ugând posibilitatea, de exemplu, de a face pl ă ț ile mult mai simplu, din fa ț a unui computer sau
dispozitiv mobil. Un astfel de serviciu oferit în online este site-ul ​ ghiseul.ro [2], unde plata taxelor c ă tre
institu ț iile publice înrolate în sistem se pot face online. Una dintre metode este cea cu cardul, iar site-ul
beneficieaz ă de un certificat ​ www.ghiseul.ro ​ , ​ semnat de c ă tre o autoritate de certificare ș i folosit
pentru a asigura plata în siguran ț ă pentru utilizatori (folosind protocolul TLS 1.2). Un atac care
exploateaz ă o vulnerabilitate a TLS-ului poate duce la furtul banilor utilizatorului. Datorit ă unui astfel de
exemplu, institu ț iile statului trebuie s ă fie pregatite pentru atacuri în spa ț iul online, astfel încât fiecare
individ s ă beneficieaze de protec ț ie [3].
În cadrul ​ Strategiei de securitate cibernetic ă a României ​ din anul 2010, se preciza c ă ț ara
depinde de buna func ț ionare a re ț elelor de Internet de care la rându-i depind economia ț ă rii ș i românii
de rând ș i c ă exist ă vulnerabilit ă ț i în ceea ce prive ș te asigurarea unei bune func ț ion ă ri a infrastructurilor
digitale ș i critice. Atacurile la nivel mondial fiind mai frecvente ș i având o complexitate mai mare, este
nevoie de o securizare pentru spa ț iul digital [3]. Unul dintre obiective a fost înfiin ț area unui centru de
exper ț i în domeniul securit ă ț ii cibernetice pentru re ț elele digitale, ​ CERT-RO [3]. Acest lucru s-a întâmplat
în anul 2011, conform HG 494 care privea “ ​ înfiin ț area Centrului Na ț ional de R ă spuns la Incidente de
Securitate Cibernetic ă – CERT-RO” ​ [4] ​ , ​ intrând în coordonarea Ministerului Comunica ț iilor ș i Societ ă ț ii
Informa ț ionale (denumit ​ MCSI ​ ), finan ț at ă integral de la bugetul de stat prin bugetul ministerului. În plus,
exist ă ș i alte institu ț ii ale statului care se implic ă în asigurarea securit ă ț ii cibernetice, cum ar fi Serviciul
Român de Informa ț ii (SRI), Direc ț ia de Investigare a Infrac ț iunilor de Criminalitate Organizat ă ș i
Terorism (DIICOT) sau MCSI [3].
Acronimul CERT inseamn ă ​ Computer Emergency Response Team ​ , care reprezint ă o echip ă de
speciali ș ti care se ocup ă de ​ R ă spunsuri la Urgen ț e Cibernetice. ​ În spa ț iul UE, exist ă o alt ă abreviere,
CSIRT (Computer Security Incident Response Team), care este mai apropiat ă ca traducere de acest
termen: ​ Echipa de Raspuns la Incidente de Securitate Cibernetic ă ​ . Pornind de la asem ă narea cu
echipele care merg s ă intervin ă pentru stingerea unor incendii sau accidente, o astfel de echip ă de
speciali ș ti în securitate poate reduce impactul unor incidente care se afl ă în plin ă desf ă ș urare ș i s ă
1

Stoenescu Horia – SAS
previn ă ca aceastea s ă nu mai produc ă daune în viitor, folosind o instruire a oamenilor despre cum s ă se
comporte în situa ț iile respective ș i a mic ș ora probabilitatea de apari ț ie, folosind m ă suri de protec ț ie [5].
Amenin ț ă rile ș i codurile mali ț ioase pentru utilizatori s-au r ă spândit din ce în ce mai mult, astfel
încât un num ă r mare a fost afectat de acestea. Echipa CERT-RO in ț elege complexitatea lor ș i ac ț ioneaz ă
pentru interven ț ie, pentru a salva ceea ce se mai poate ș i pentru prevenirea apari ț iei pe viitor, precum a
fost men ț ionat ș i în paragraful anterior în cadrul compara ț iei cu alte tipuri de echipe care intervin [5].

Capitolul 2. Activit ă ț ile unui CERT
Echipa din România a ap ă rut pentru a putea r ă spunde în cazul unor evenimente de securitate
cibernetic ă , asigurând servicii ​ reactive (majoritatea lor), dar ș i ​ proactive ​ , folosindu-se de analiza unor
incidente din trecut ș i g ă sind cauzele primare sau modele pe care ele se bazeaz ă . În manualul CSIRT [6]
la capitolul 2.3.1, sunt precizate categoriile pentru serviciile desf ă ș urate de un astfel de centru:
– ​ servicii reactive ​ : servicii care se declan ș eaza în momentul în care exist ă un eveniment sau o
cerere, cum ar fi un cod mali ț ios, o vulnerabilitate a unui sistem, aceasta fiind g ă sit de un sistem de
protec ț ie (IDS). Acest serviciu este considerat drept ​ nucleul ​ unui CSIRT.
– ​ servicii proactive ​ : preg ă tirea pentru protec ț ie ș i asigurarea unui sistem pentru a anticipa
astfel de atacuri sau evenimente, astfel încât ele sa reduc ă probabilitatea de apari ț ie a lui/lor.
– ​ servicii de management pentru calitatea securit ă ț ii ​ : ele sporesc servicii deja existente
pentru tratarea evenimentelor, care sunt de obicei f ă cute de alte arii: audit sau IT. Un CERT aduce
expertiz ă ș i un punct de vedere pentru a putea îmbun ă t ă ț i securitatea ș i a g ă si metode pentru tratare si
evitare/diminuare în viitor.

2.1 Servicii reactive oferite de CERT
În primul rând, ​ alertele ș i avertiz ă rile reprezint ă notific ă ri precum: incidente de securitate aflate
în plin ă desf ă ș urare, atacuri complexe ale re ț elelor (b ă nci, companii care produc energie), noi viru ș i ș i
viermi (eng: ​ viruses and worms ​ ). Pentru acestea, exist ă un proces care presupune notificarea imediat ă
prin telefon, web sau email, a echipei CERT din România, a celor de alte ț ă ri ș i a oamenilor de rând [5].
Spre exemplu, în momentul primirii unei notific ă ri cu privire la un nou tip de malware, echipa
CERT-RO poate fi informat ă de catre un CSIRT al unei companii private. Echipa CERT-RO coopereaz ă cu
diverse organiza ț ii care sunt specializate în malware ș i cu alte CERT-uri pentru a identifica modul de
func ț ionare ș i ac ț iune al acestuia, apoi este necesar ă alertarea organiza ț iilor guvernamentale cu privire
la modul în care el ac ț ioneaz ă ș i ce modalit ă ț i exist ă pentru protec ț ia împotriva lui. Daca aceasta a
produs daune, atunci este necesar ă o reducere a activit ă ț ii acestuia, pentru a se salva ceea ce se mai
poate [5].
În continuare, este important ă explicarea modului în care se face aceast ă tratare a incidentelor
de securitate. Activitatea de baz ă desfa ș urat ă de cei de la CERT este sa intervin ă în cazul apari ț iei unui
eveniment de securitate cibernetic ă (exemple prezentate la începutul paragrafului). Aceasta se poate
face la locul incidentului sau remote (de la distan ț ă ) prin intermediul telefonului, mail-ului sau aplica ț iilor
software. Pentru prima situa ț ie, personalul aflat la locul faptei face o analiz ă a sistemelor care au fost
afectate, face o limitare a pagubelor ș i apoi trece la analiza mai amanun ț it ă a evenimentului pentru a
g ă si din ce cauza s-a declan ș at atacul (care a fost vulnerabilitatea sistemului, ce gre ș eli s-au f ă cut în
2

Stoenescu Horia – SAS
momentul expunerii c ă tre exterior). În plus, se pot culege diverse informa ț ii care pot constitui probe în
eventuala apari ț ie a unei plângeri penale îndreptate asupra unei persoane sau unui grup de persoane
atacatoare sau a unei institu ț ii [5].
Dac ă aceasta deplasare nu este posibil ă (din diferite motive: distan ț a prea lung ă , nu sunt resurse
pentru aceasta etc.), atunci se va face o interven ț ie remote, cu ajutorului personalului IT sau a unor
speciali ș ti în securitate. De asemenea, echipa CERT poate interveni ș i când apare un eveniment major, în
care sunt mai multe organiza ț ii afectate sau complexitatea este una ridicat ă pentru atac ș i sunt necesare
mai multe echipe care sunt specializate pe diverse domenii. CERT trebuie sa aib ă un astfel de serviciu
disponibil, chiar ș i în situa ț ia în care banii sau colectivul de lucru sunt limitate, deoarece aceast ă
interven ț ie la incidente sau urgen ț e de securitate cibernetic ă este ​ nucleul ​ acestei institu ț ii ș i datorit ă
acestui lucru sunt alese denumirile de ​ CERT ​ si ​ CSIRT ​ [5].
Cum a fost precizat înainte, sistemele pot fi afectate de atacuri, deoarece ele prezint ă
imperfec ț iuni, fiind create de c ă tre persoane umane. Putem privi acest aspect din 2 privin ț e:
– primul este legat de felul în care se realizeaz ă o implementare sau o solu ț ie pentru un program
sau un tool. În ea se pot gasi diverse bug-uri care pot fi exploatate (buffer overflow,
neverificarea unor input-uri date programului etc.) din ele generându-se exploit-uri folosibile de
c ă tre mai multe persoane. Acest lucru se poate rezolva prin g ă sirea la timp (sau nu) a
vulnerabilita ț ilor ș i patch-uirea lor. Datorit ă acestui lucru, este foarte important ă aducerea la zi a
sistemelor de operare sau a diferitelor programe sau aplica ț ii folosite.
– cel de-al doilea reprezint ă modul în care un echipament/un sistem de operare/un program sunt
configurate de utilizator/administratori de re ț ea etc. Acest lucru reprezint ă o politic ă , felul în
care ceva trebuie sa func ț ioneze. De cele mai multe ori, aceast ă a doua parte este mai
exploatat ă , fiind ș i mai expus ă unor riscuri mai mari de gre ș eli. În prima parte, se fac teste
am ă nun ț ite ale solu ț iei ș i anumite cazuri mai mici netratate pot fi o vulnerabilitate, care se pot
descoperi ori u ș or, ori foarte greu sau chiar deloc.
Patch-urile amintite mai sus pot intr ă ș i în atribu ț iile persoanelor de la CERT. Sunt necesare
resurse tehnice care sunt specializate în analiza de cod (limbaj înalt – C, C++, Java sau ma ș in ă – Assembly
sau Assembler – ASM), cuno ș tin ț e despre re ț elistic ă , protocoale de comunica ț ie ș i alte domenii adiacente
[5]. Pe lânga ace ș tia, mai exist ă diferite comunit ă ț i care se ocup ă de securitate: persoane din cadrul
academic, furnizori de solu ț ii IT, comunit ă ț i online formate din voluntari (OWASP). Ei le acord ă
speciali ș tilor de la CERT ajutor ș i pot contribui cu siguran ț ă ș i ei la descoperirea unor vulnerabilit ă ț i noi.
În ceea ce prive ș te managementul vulnerabilit ă ț ilor, aceasta înseamn ă un proces în care
informa ț ii despre ce a aparut nou sunt culese ș i dup ă crearea unor patch-uri s ă fie r ă spândite pentru
protec ț ie pentru cei afecta ț i ș i pentru cei care au nevoie de protec ț ie (evit ă un eventual atac). Un
exemplu g ă sit în Ghidul Cert [5], este cel în care se poate g ă si o vulnerabilitate în dispozitivele medicale
folosite pentru a face ventila ț ia artificial ă în s ă lile de interven ț ii chirurgicale sau de terapie intensiv ă . În
momentul în care echipa CERT este informat ă cu privire la acest lucru, ace ș tia iau legatura cu
produc ă torii unor astfel de sisteme pentru a putea dezvolta un pachet care s ă rezolve aceste bug-uri
descoperite. De asemenea, se iau m ă suri pentru a reduce ș ansa ca aceste vulnerabilit ă ț i s ă fie
exploatate de alte persoane (cu inten ț ii rele), colaborând cu angaja ț ii spitalului/spitalelor, f ă cându-se o
monitorizare permanent ă a lor sau o izolare a lor de re ț eaua IT intern ă ș i s ă fie de sine st ă t ă toare (spre
exemplu, configurarea sau monitorizarea s ă fie f ă cute în condi ț ii speciale: acces doar la acel loc,
necesitând o deplasare ș i sa nu existe acces de la distan ț ă ). Pentru o echip ă CERT, aceast ă situa ț ie este
3

Stoenescu Horia – SAS
cât se poate de real ă ș i este de importan ț ă foarte mare, astfel încât via ț a oamenilor depinde de ea.
Folosind acest exemplu, putem vedea cât de important ă este lumea tehnologiei pentru oameni ș i cel
mai important este ca aceasta s ă fie cât mai bine protejat ă .
Pentru aceast ă parte reactiv ă , se desf ă ș oar ă culegerea probelor, astfel încât nu numai
reducerea impactului este important, ci ș i g ă sirea unor probe care ajut ă la descoperirea principalei
cauze pentru care s-a produs atacul ș i la sus ț inerea în fa ț a instan ț ei pentru vinov ă ț ia persoanei / grupului
/ instititu ț iei care a comis atacul. Spre exemplu, g ă sirea fi ș ierelor care au fost instalate pe un computer
în mod direct (stick, CD etc.) sau prin intermediul unui cod mali ț ios, precum troieni, viru ș i sau viermi
informatici poate reprezenta aceast ă culegere. Un alt lucru foarte important este g ă sirea unei posibile
surse a atacului, prin verificare log-urilor de sistem, în care sa fie precizate pachetele care au venit ș i au
plecat spre Internet [5]. Aplicând o filtrare a lor pe baza tipului de atac care a stat la baz ă sau a unei
posibile ore, se poate g ă si o posibil ă surs ă (asta în situa ț ia în care atacatorul nu ș i-a ascuns sursa în
spatele unor alte router-e, caz în care este destul de greu de depistat). De asemenea, atacatorii pot fi
gasi ț i ș i din ceea ce posteaz ă in mediul online, din convorbirile cu ceilal ț i, unii dintre ei dorind s ă se laude
ș i prietenilor sau altor oameni cu ceea pot face (“cat de buni sunt ei ca hacker-i”). Un astfel de exemplu
este Tinkode [8], cel care a reu ș it s ă sparg ă site-urile celor de la NASA ș i a descoperit vulnerabilit ă ț i la
Google, Youtube, Pentagon. Dupa, a postat pe site-ul de socializare Twitter diferite mesaje în care
informa cu privire la ceea ce a facut [9].
Acest proces poate fi derulat doar de c ă tre personal care este specializat în investiga ț ii digitale,
care fac o salvare a datelor în siguran ț ă de pe suportul original pe unul auxiliar (hard disk-uri, SSD-uri,
stick-uri USB etc.), iar datele de pe cel original s ă ram ă n ă a ș a cum au fost ele în momentul începerii
investiga ț iei: data în care fi ș ierele au fost create, modificate, accesate + con ț inutul lor. Uneltele folosite
presupun ca fi ș ierele prob ă s ă fie în forme acceptate de c ă tre juri ș ti, amprentate cu un timestamp
( ș tampil ă de timp) [5].
Echipa CERT are un rol pe durata investig ă rii evenimentelor, cât ș i dup ă , datorit ă experien ț ei de
care aceasta beneficeaz ă . O alt ă paralel ă facut ă în Ghid [5], este cea cu o echip ă care face investiga ț ii
dup ă o crim ă sau un accident, în care se caut ă probe audio ș i video, obiecte care au fost implicate, urme
de violen ț ă .

2.2 Servicii proactive oferite de CERT
Oferirea unor servicii care previn apari ț ia unor evenimente sau diminueaz ă impactul pe care îl
au, duc la crearea unei zone de securitate. Precum în lumea medical ă , se iau m ă suri pentru prevenire,
precum vaccinurile, informarea oamenilor folosind diferite cai: flutura ș i, anun ț uri tv, reclame stradale ș i
o monitorizare a oamenilor, a ș a ș i în cazul securit ă ț ii cibernetice se face o urm ă rire ș i o anun ț are a ceea
ce trebuie f ă cut pentru protec ț ie ​ [5].
Anun ț urile f ă cute pot include noi alerte pentru atacuri, tipuri de vulnerabilit ă ț i ș i tool-uri folosite
pentru atac, ele ducând la securizarea suplimentar ă a unor infrastructuri IT ș i de comunica ț ii, iar
suprafa ț ă de atac pe care un atacator s ă o aib ă s ă fie redus ă (suprafa ț ă de atac însemnând tot ce are
disponibil un atacator pentru a putea face atacul: porturi deschise, parole slabe, vulnerabilit ă ț i ale
sistemului din punct de vedere hardware sau software). Ele pot include ș i o component ă reactiv ă , care
s ă con ț in ă atacuri aflate în plin ă desf ă ș urare ș i una preventiv ă , în care posibile victime s ă fie anun ț ate
pentru a putea începe s ă se protejeze [5].
4

Stoenescu Horia – SAS
Persoanele din CERT trebuie s ă fie informate cu privire la progresele din lumea IT ș i a vectorilor
de atac ce pot rezult ă de aici ș i afecta infrastructurile. Exemple de domenii:
– telecomunica ț ii ​ : 4G, VoIP, IPTV
– energetic ​ : automatizarea proceselor de producere, transport ș i distribu ț ie pentru energie
(folosirea sistemului SCADA – exemplu: CONPET). Sistemele de control încep s ă fie din ce în ce
mai folosite ș i se conecteaz ă la re ț eaua public ă de comunica ț ii, unde pot ap ă rea atacuri
cibernetice. Este de asemenea important faptul c ă un astfel de sector dac ă este atacat (o
infrastructur ă critic ă ), poate duce la pagube foarte mari ș i popula ț ia este afectat ă (pene de
curent, inunda ț ii, explozii) [5].
Pentru proactivitate este necesar ă ș i o analiz ă a situa ț iei curente: testarea sistemelor pentru a
g ă ș i diverse vulnerabilit ă ț i pentru amenin ț ă ri care se cunosc ș i care nu se cunosc înc ă . Este chiar normal ă
ș i crearea unor atacuri care s ă le simuleze pe cele reale, acestea purtând ș i un nume: teste de
penetrare ​ . Tool-uri precum nmap, pmap sau metasploit (din distribu ț ia Kali Linux) se pot folosi.
Avantajul lor este demonstrarea a ceea ce se poate face de c ă tre un atacator informatic. Cu siguran ț ă ,
ele trebuie efectuate de c ă tre o echipa CERT care este specializat ă în asta, nu de un grup care poate
avea inten ț ii rele (pot g ă si vulnerabilit ă ț i si apoi s ă profite de ele) [5]. Dup ă aceste test ă ri, este
important ă tragarea unor concluzii, cum ar fi recomandarea instal ă rii unor solu ț ii de protec ț ie:
– fizice ​ : instalare de firewall-uri (de preferat next generation: Palo Alto Networks) sau IPS-uri ( ș i
IDS-urile pot fi folosite, dar acestea vor face doar simple anun ț uri cu privire la atacuri, în schimb
IPS-urile se comport ă c ă un next gen firewall, uitându-se la con ț inutul aplica ț iei, având ș i un rol
de preven ț ie)
– software ​ : antiviru ș i ș i alte programe
În plus, precum a fost precizat ș i în capitolul 2.1, configurarea este foarte important ă astfel încât
ea trebuie s ă fie conform ă cu cele mai bune practici (date de c ă tre speciali ș iti). De asemenea, CERT se
poate implic ă în mod activ în a configura acele sisteme ș i administra solu ț iile de securitate, în cazul în
care acea companie nu are angaja ț i valabili pentru partea aceasta [5] ​ .
O alt ă latur ă important ă este cea de dezvoltare de unelte de securitate (mai restrâns ă ce-i
drept), în care aplica ț ii complete sau doar plug-in-uri sunt folosite pentru a le extinde pe cele deja
existente (platforme de testare – “Cât de sigur sunt?” sau distribu ț ie de patch-uri). G ă sirea, de exemplu,
a unei vulnerabilit ă ț i la aplica ț ia de monitorizare a unui pacient poate duce la crearea unui tester pentru
g ă ș i ș i alte vulnerabilit ă ț i sau exploit-uri dintr-un spital. Acesta presupune s ă încerce o exploatare a ei,
f ă r ă pagube, pentru demonstrarea a r ă ului care poate fi f ă cut de un atacator real [5] ​ .
Analiz ă log-urilor de sistem, în care se fac diferite corel ă ri între evenimente, se interpreteaz ă ,
indentific ă surse pentru atac aduc cel mai mare impact pozitiv pentru securitate. În momentul g ă sirii
unor tipuri de atacuri sau a unor evenimente anormale, echipa de interven ț ie trebuie alertat ă . Aceste
verific ă ri pot duce la costuri foarte mari ș i necesit ă un nivel ridicat de cunoa ș tere. Datorit ă acestui lucru,
echipele CERT lucreaz ă în mod externalizat fa ț ă de companiile la care se fac cercet ă ri ​ [5].
Echipa CERT î ș i propune s ă fac ă pe baza analizei, o informare a oamenilor ș i companiilor cu
privirea la securitate, într-o form ă avantajoas ă , care s ă fie în ț eleas ă ș i s ă le prezinte ș i recomand ă ri,
ghiduri sau tutoriale. Site-ul oficial cert.ro [10] beneficeaz ă de multe alerte ș i ghiduri care se pot
consulta.

5

Stoenescu Horia – SAS
2.3 Servicii pentru management-ul calit ă ț ii
Servicii suplimentare pot fi oferite, precum analiz ă de risc, elaborare plan pentru a putea exista
continuitate, consultan ț ă de securitate, instruire de personal pentru organiza ț ii, cursuri de securitate IT
ș i certific ă ri ș i evalu ă ri de produse [5]. În continuare, vor fi prezentate mai pe larg acestea.
Pentru primul serviciu de acest tip, echipa care intervine evalueaz ă riscurile care pot impacta o
companie, pe baza experien ț ei acumulate, probabilitatea în care ele pot afecta organiza ț ia ș i impactul pe
care o posibil ă vulnerabilitate l-ar putea avea. În continuare, se face un plan de recuperare în caz de
dezastre, pentru incidente cu impact major ș i pa ș ii care trebuie f ă cu ț i pentru a supravie ț ui în cazul unor
eventuale noi atacuri. Drept exemplu, se poate da cel al luptelor armate, în care persoanele cu
experien ț ă , care au participat în alte lupte, pot spune care sunt amenin ț ă rile ș i riscurile la care se supun
oamenii. În plus, se pot da ș i ni ș te pa ș i pe care trebuie s ă ii urmeze pentru a se asigura supravie ț uirea în
cazul unui atac din partea adversarilor [5] ​ .
Când se fac noi implement ă ri, o echipa CERT poate fi consultat ă cu privire la sporirea securit ă ț ii
lor. Pot exist ă ș i noi politici dezvoltate (partea de configurare de la ​ capitolul 2.1 ​ ) ș i proceduri interne de
organizare, pentru a putea avea o structura intern ă ș i a asigura un management bun pentru securitate.
Informa ț ii utile cu privire la asigurarea securit ă ț ii pentru o aplica ț ie sau sistem se poate face în direct
(cursuri f ă cute fizic) sau prin intermediul Internetului. El este folosit pentru a putea avea un num ă r mai
mic de incidente ș i cât de grave sunt acestea, prin cre ș terea nivelului de con ș tientizare a nivelului de risc
de c ă tre utilizatorii finali. Acesta este folosit pentru înv ă ț area marii mase de oameni, iar pentru
personalul IT ș i cel din zona securit ă ț ii informa ț iei se fac cursuri specifice în care sunt prezentate metode
concrete pentru a putea trata un incident de securitate, felul în care tool-urile se folosesc ș i pa ș ii pe care
trebuie s ă ii fac ă pentru o investiga ț ie ​ [5] ​ .
Nu în ultimul rând, pentru produsele pe care o companie inten ț ioneaz ă s ă le foloseasc ă pentru
protec ț ie, sunt oferite certific ă ri care reprezint ă încrederea pe care o acord ă echipa de speciali ș ti de la
CERT pentru siguran ț ă , cât de util este el cu adev ă rat ș i dac ă se respect ă ceea ce el promite [5] ​ .

Capitolul 3. Tipurile de CERT
Exist ă urm ă toarele categorii de CERT-uri:
– CERT na ț ional
– CERT guvernamental
– CERT academic
– CERT privat

3.1 CERT na ț ional
O astfel de echip ă este una de contact na ț ional folosit ă pentru incidente de securitate
cibernetic ă ș i au rolul coordon ă rii echipelor CERT guvernamentale, în cazul apari ț iei unui incident major
la nivelul ț ă rii. Ele au o autoritate care este impus ă de lege ș i una dat ă de nivelul de preg ă tire al
personalului din cadrul lui. El poate interveni într-o gama destul de larg ă de tipuri de incidente de
securitate cu nivele diferite de complexitate [5] ​ .
Pentru România, CERT-RO însemna ​ Centrul Na ț ional de R ă spuns la Incidente de Securitate
Cibernetic ă ​ , fiind un punct na ț ional de contact cu structurile similare lui. El asigur ă o elaborare ș i o
6

Stoenescu Horia – SAS
împr ă ș tiere a informa ț iilor pentru prevenirea ș i contracararea incidentelor din infrastructurile
cibernetice. Se face de c ă tre acesta ș i partea de analiz ă a ceea ce nu este în regul ă din punct de vedere
tehnic (politici, mod de folosire al echipamentelor) ș i procedural (cum se iau deciziile pentru partea de
securitate). Folosind ceea ce s-a prezentat în capitolul al doilea de mai sus, putem spune despre echipa
CERT-RO c ă ofer ă ​ [5] ​ :
1. servicii publice de tip reactiv
– alerte de securitate – în momentul declan ș ă rii unui atac
– gestiunea unor incidente care reprezint ă un atac cibernetic, existând o cooperare cu alte echipe
CERT sau alte institu ț ii abilitate din punct de vedere cibernetic
– împr ă ș tierea informa ț iilor rezultate dup ă ce se face o investigare, acestea fiind în conformitate
cu acordul avut între CERT ș i p ă r ț ile implicate (se face o filtrare a lor, pentru a nu exista date
confiden ț iale care s ă fie aduse publicului larg ș i de acolo s ă fie folosite de persoane cu inten ț ii
rele pentru a face ș i mai mult r ă u)
2. servicii publice de tip preventiv
– anun ț uri pentru evenimente ap ă rute ș i amenin ț ă ri identificate recent pe plan na ț ional ș i
interna ț ional. Potrivit HG 494/2011 [4], sistemul de alert ă pentru CERT-RO timpuriu ș i de
informare folose ș te conexiuni de date pe care se transporta informa ț ii despre incidente care
sunt identificate prin intermediul senzorilor interni ș i externi. În prezent, se cunoa ș te faptul c ă
mai multe date sunt primite de la cei din exteriorul Românie ​ i.
– persoane/grupuri de persoane/institu ț ii pot cere de la CERT s ă fac ă evalu ă ri ș i audit ă ri (teste de
penetrare ale sistemelor)
– estimarea a vulnerabilit ă ț ilor ș i punerea la dispozi ț ie a unor situa ț ii actualizate în care sunt
documentate încerc ă rile de intruziune prin verificarea log-urilor ș i servicii de localizare pentru
sursele atacului (dac ă este posibil)
3. servicii publice pentru consultan ț ă folosite pentru management-ul calit ă ț ii al serviciilor de
securitate cibernetic ă ​ :
– analizele de risc f ă cute pe infrastructuri la nivel local ș i na ț ional
– preg ă tirea altor echipe CERT, cele de audit pentru companii. Cele pentru infrastructur ă critic ă
na ț ional ă au o prioritate mai mare decât celelalte ​ .
– în cazul apar ț iei unor dezastre s ă se asigure o func ț ionare continu ă ș i o recuperare

3.2 CERT guvernamental
Cel de-al doilea tip este cel de guvernamental, în care sunt asigurate servicii c ă tre agen ț ii
guvernamentale (ministere) sau chiar direct oamenii de rând. Serviciile oferite sunt asem ă n ă toare cu
cele ale primul tip (na ț ional), acestea având aplicabilitate peste sectoarele în care ele se pot impune
(folosind diferite ordine ș i reglement ă ri) [5]. Drept exemple putem lua ​ :
– CERTMIL ​ (Centrul Tehnic Principal de r ă spuns la incidente de securitate cibernetic ă ) care face
parte din structura Ministerului de Ap ă rare Na ț ional ă . Pe site-ul lor [11] este definit centrul
tehnic principal, fiind format din: preg ă tire, detec ț ie + analiz ă , izolare, eradicare ș i recuperare ș i ,
în final, activit ă ț ile post-incident.
7

Stoenescu Horia – SAS
– CORIS-STS ​ (Centrul Opera ț ional de R ă spuns la Incidente de Securitate – Serviciul de
Telecomunica ț ii Speciale) – o entitate desemnat ă s ă previn ă ș i s ă r ă spund ă la incidente de
securitate cibernetic ă pentru sisteme ale STS-ului ș i ale beneficiarilor lor ​ [5,22] ​ .
Pe lâng ă aceste CERT-uri, este nevoie ș i de unele în cadrul companiilor care reprezint ă
infrastructuri cibernetice: Transelectrica, Transgaz, CONPET, Hidroelectrica. Pentru CONPET (specializat ă
în transportul ț i ț eilor c ă tre companii precum Petrom, Lukoil sau Rompetrol) exist ă departamentul de
“Siguran ț ă ș i Administrare a infrastructurilor critice” ​ în care se g ă se ș te ​ BIROUL DE SECURITATE
CIBERNETIC Ă ​ [12], înfiin ț at în anul 2017. La compania Transeletrica exist ă o politic ă folosit ă pentru
domeniul securit ă ț ii informa ț iilor ș i protec ț ie a IC-urilor, pentru a se asigura continuitatea activit ă ț ii
companiei, a reduce daunele ș i preveni + minimiza impactul unui atac de tip cibernetic [13]. În prezent,
nu am g ă sit c ă într-un IC din România s ă existe efectiv un CERT, iar acest lucru ar fi de preferat pentru
viitor. În HG 271/2013 care prive ș te “ ​ Aprobarea strategiei de securitate cibernetic ă ​ ” [14] este precizat
faptul c ă trebuie aplicate profile ș i cerin ț e minime de securitate pentru ICN-uri ș i o prioritate mai mare
este acordat ă acestora în ceea ce prive ș te securizarea lor.
Spre exemplu, în SUA exist ă o entitate pentru a proteja IC-urile pentru a proteja s ă n ă tatea
pacien ț ilor din spitale, în care infrastructuri IT sunt utilizate pentru domeniul medical, precum ș i
echipamentele folosite pentru s ă li de opera ț ii/urgen ț ă (precum exemplul cu ventilatorul care are o
vulnerabilitate ș i trebuie protejat de exterior pentru a nu exist ă atacuri) ș i laboratoare de analize
medicale [5].
Considerând cazul atacului de tip ransomware WannaCry din mai 2017, în care mai mult de
200000 de victime au fost afectate ș i r ă scump ă rarea cerut ă a fost echivalentul în BC (bitcoin) a 300-600$
[15], infrastructurile critice din România au fost vizite acestui atac, dar nu au fost afectate [16] ​ .

3.3 CERT academic
Acestea sunt folosite pentru a furniza servicii ș colilor, liceelor, universit ă ț ilor ș i a institutelor care
se ocup ă de cercetare. Ele sunt conectate la o infrastructur ă de comunica ț ii comun ă , a ș a cum este
RoEduNet CSIRT. El este operat de c ă tre agen ț ia ARNIEC/RoEduNet, a ap ă rut în decembrie 2008 ș i are
ca scop protec ț ia institu ț iilor care sunt conectate la re ț eaua RoEduNet ș i acordarea asisten ț ei pentru
tratarea incidentelor de securitate. Când o institu ț ie solicit ă s ă existe o comunicare c ă tre ter ț i, aceast ă o
poate face [17] ​ .
Drept avantaje, putem spune c ă persoanele care lucreaz ă în loca ț iile protejate au o expertiz ă
tehnic ă de nivel ridicat ș i se pot g ă ș i noi amenin ț ă ri ș i solu ț ii pentru reducere: informa ț ii venite din
lucr ă ri de licen ț ă , de diserta ț ie ș i de doctorat care s ă contribuie la un nivel de expertiz ă mai mare pentru
echipa CERT [5]. Astfel, exist ă o leg ă tur ă strâns ă ș i cooperare între CERT-ul academic ș i institu ț iile
protejate pentru a asigura o protec ț ie cât mai bun ă ​ .

3.4 CERT privat
Din ce în ce mai multe CERT-uri de acest tip apar ș i astfel întreag ă echipe de CERT-uri este mai
puternic ă datorit ă noilor persoane aduse care au o expertiz ă bogat ă în domeniul securit ă ț ii. Acestea pot
fi pentru companii produc ă toare de echipamente hardware sau software, care s ă creeze noi solu ț ii de
protec ț ie pe baza vulnerabilit ă ț ilor descoperite în produsele lor ș i s ă le ofere pie ț ei. Mai pot fi echipe
CERT comerciale care ofer ă cele 3 tipuri principale de servicii amintite în capitolul 2 contra cost [5]. Ele
8

Stoenescu Horia – SAS
reprezint ă un partener foarte important pentru cele 3 tipuri de CERT-uri de mai sus: na ț ional,
guvernamental ș i academic. Unul dintre avantajele constituirii unui astfel de CERT este acela c ă
organismele public ș i privat ă au tendin ț a de cre ș tere exponen ț ial ă , iar echipele CERT din domeniul public
nu pot face fa ț ă , din lipsa de personal sau din pricina resurselor limitate. Într-o companie privat ă în care
exist ă o infrastructur ă IT mare s ă existe o astfel de echipa de r ă spuns care s ă î ș i protejeze propria firma,
dar ș i s ă coopereze cu CERT-ul na ț ional (CERT-RO), acestea primind idei ș i competen ț e pentru a putea
reduce timpul de g ă sire al unei solu ț ii. Se poate, de asemenea, transfer ă experien ț ă de la unii la ceilal ț i,
f ă r ă alte costuri, în final existând un câ ș tig pentru fiecare CERT în parte. Precum se spune în Ghidul Cert,
este c ă o re ț ea de exper ț i cu expertiz ă share-uit ă într-un hub na ț ional [5]. Cre ș terea ei este în func ț ie de
num ă rul de astfel de echipe din domeniul privat ​ .
Exist ă mai multe CERT-uri la nivel na ț ional de tip privat, în domeniile care sunt vizate cu
prioritate mai mare de atacuri cibernetice (bancar, telecomunica ț ii etc.). Ele sunt de cele mai multe ori
derivate din zona de securitate IT, cu speciali ș ti pe partea tehnic ă (cunosc foarte bine infrastructur ă din
spatele companiei) , dar ș i din alte departamente, precum: administrativ, juridic ș i financiar (este nevoie
de o expertiz ă pe scar ă larg ă ) [5] ​ .

Capitolul 4. Raport pentru atacuri din 2016
Precum se spune într-un comunicat de pres ă emis în anul 2016 [18], ​ 2 920 407 de adrese IP
unice din România au fost afectate de incidente de securitate cibernetic ă în acel an. Num ă rul de IP-uri
public alocate în România fiind de ​ 7 540 736 ​ (conform [20]), rezult ă c ă 38.72% din totalul lor a fost
implicat în cel pu ț in o alert ă de securitate, fa ț ă de 26% în anul 2015 (atunci existând ș i mai multe IP-uri
alocate în România). Un num ă r de ​ 110 194 890 de alerte de securitate cibernetic ă ​ au fost colectate ș i
procesate, fiind o cre ș tere cu 61.55% fa ț ă de 2015. Dintre acestea, automate au fost ​ 110 193 527 ​ ș i
restul de ​ 1 363 ​ procesate manual, prin email ticket-ing. Dintre ​ alertele ​ colectate:
– 81.39% (89.68 milioane) au fost colectate din sisteme informatice vulnerabile (securizarea cu
echipamente slab ă sau configurare gre ș it ă /slab efectuat ă ).
– 12.81% (14.12 milioane) sunt din sisteme infectate cu botnet-i
– 10 639 de domenii .ro au fost raportate c ă fiind compromise, în sc ă dere cu 40% fa ț ă de 2015
(atunci fiind 17 088). Din totalul de 896 726 de domenii înregistrate la acel moment (conform
[21]), 421 973 erau active, iar num ă rul celor afectate înseamn ă 1.19% din totalul domeniilor ș i
2.52% din cele active ​ .
Dou ă tipuri de alerte de securitate cibernetic ă sunt colectate de c ă tre CERT (în sens general):
alerte colectate ș i trimise de sisteme automate c ă tre CERT (99% din ele se proceseaz ă automat de
CERT-RO) ș i cele manuale, care sunt în num ă r mult mai mic, dar con ț in informa ț ii mult mai complete
relevante despre incident. Dintre cele automat trimise ș i procesate, sunt trimise mai departe c ă tre
furnizorii de Internet care de ț in sau administreaz ă re ț ele afectate. Pentru aceste alerte, informa ț ii despre
utilizatori nu sunt de ț inute (pe baza adresei IP) de c ă tre CERT, iar acestea pot veni de la furnizorii de
internet (ISP), care au ș i rolul s ă transmit ă alert ă mai departe c ă tre utilizator [19].
Dintre clasele de alert ă , cele întâlnite sunt vulnerabilit ă ț ile (81.29%), botnet-i (12.81%), resurse
compromise (5.36%), malware (0.41%) ș i atacuri cibernetice (0.02%). C ă sisteme de operare afectate,
Linux se afl ă pe prima pozi ț ie (42.95% din ele), apoi fiind urmat de Unix ș i Windows [19] ​ .
9

Stoenescu Horia – SAS
Capitolul 5. Concluzie
Echipele CERT din cele 4 categorii: na ț ionale (CERT-RO), guvernamentale (CERTMIL, CORIS-STS),
academice (RoEduNet-CSIRT) ș i private (mai multe companii din privat), de ț in un rol foarte important în
ceea ce prive ș te limitarea daunelor produse de un incident de securitate cibernetic ă , fiind aduse servicii
c ă tre organiza ț ii din domeniile publice ș i private ș i utilizatorilor de rând. Cele 3 principale servicii oferite
de CERT sunt cele prezentate în capitolul 2: ​ reactive (ac ț iune imediat ă ), ​ proactive ​ (pentru a putea
preveni alte posibile atacuri asupra re ț elei) ș i ​ management al calit ă ț ii proceselor (analiz ă de risc, cursuri
de prevenire pentru persoane obi ș nuite sau speciali ș ti) ​ [5].
De asemenea, o colaborare continue între toate CERT-urile este foarte important ă , deoarece
num ă rul de atacuri în spa ț iul online este din ce în ce mai mare (tendin ț a exponen ț ial ă de cre ș tere),
ducând la pierderi mari ș i având o complexitate mai ridicat ă . Echipele din cadrul CERT men ț in o
cooperare permanent ă cu al ț i speciali ș ti în securitate informatic ă . Este f ă cut ă în Ghid [5], o
recomandare în care organiza ț iile cu ​ procese critice ​ s ă aib ă în vedere construirea unei astfel de echipe
de r ă spuns la incidente sau s ă fac ă o ​ arondare ​ la CERT-ul na ț ional [10] sau la private, academice ș i
guvernamentale.

BIBLIOGRAFIE

[1]: Strategia de securitate cibernetic ă a României ,
https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/StrategiaDeSecuritate
CiberneticaARomaniei.pdf

[2]: Site pentru plata taxe catre stat online, ​ https://www.ghiseul.ro/ghiseul/public

[3]: Securitatea cibernetic ă : O dimensiune important ă a securit ă ț ii na ț ionale a României,

Securitatea cibernetică: O dimensiune importantă a securităţii naţionale a României

[4]: Hot ă rârea nr. 494/2011 privind înfiin ț area Centrului Na ț ional de R ă spuns la Incidente de Securitate
Cibernetic ă – CERT-RO,
https://lege5.ro/Gratuit/gi2tomzugu/hotararea-nr-494-2011-privind-infiintarea-centrului-national-de-ra
spuns-la-incidente-de-securitate-cibernetica-cert-ro

[5]: GHID Referitor la rolul structurilor de tip CERT ș i utilitatea CERT-urilor private,
https://cert.ro/vezi/document/rolul-certurilor-si-utilitatea-celor-private

[6]: Handbook for Computer Security Incident Response Teams (CSIRTs),
https://www.sei.cmu.edu/reports/03hb002.pdf

[7]: RAPORT cu privire la alertele de securitate cibernetic ă procesate de CERT-RO în anul 2016,
https://cert.ro/vezi/document/raport-alerte-cert-ro-2016
10

Stoenescu Horia – SAS

[8]: Tinkode, ​ https://ro.wikipedia.org/wiki/TinKode

[9]: ​ Hackerville Romania Te Iubesc, ​ https://www.youtube.com/watch?v=2Bhu9_8RXL4

[10]: CERT.RO, ​ https://cert.ro/

[11]: Centrul Tehnic Principal de raspuns la incidente de securitate cibernetica, ​ https://www.certmil.ro/

[12]: Organigrama CONPET, ​ http://www.conpet.ro/wp-content/uploads/2017/08/organigrama_new.pdf

[13]: Securitate cibernetica la Transelectrica,
http://www.transelectrica.ro/documents/10179/33158/Declaratia+privind+politica+de+securitate/534e
42c7-a860-414c-ad41-7c68bb7e76a8

[14]: Hot ă rârea nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetic ă a României ș i a
Planului de ac ț iune la nivel na ț ional privind implementarea Sistemului na ț ional de securitate
cibernetic ă ,
https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/StrategiaDeSecuritate
CiberneticaARomaniei.pdf

[15]: WannaCry ransomware attack, ​ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

[16]: Cristian Iordan (SRI): În România nu am avut infrastructuri critice sau institu ț ii afectate de
WannaCry, ​ https://www1.agerpres.ro/cybersecurity/2017/12/08/cristian-iordan-sri-in-romania-nu-am-a
vut-infrastructuri-critice-sau-institutii-afectate-de-wannacry-15-21-07

[17]: RoCSIRT, ​ https://www.csirt.ro/

[18]: Comunicat de pres ă : Aproximativ 3.000.000 (40%) de adrese IP unice din România au fost afectate
de incidente de securitate cibernetic ă în 2016, ​ https://cert.ro/citeste/comunicat-raport-2016

[19]: Raport CERT 2016, ​ https://cert.ro/vezi/document/raport-alerte-cert-ro-2016

[20]: Major IP Address Blocks For Romania, ​ http://www.nirsoft.net/countryip/ro.html

[21]: RoTLD, ​ http://www.rotld.ro/

[22]: CORIS-STS, ​ https://corisweb.stsisp.ro/

11