Cum să îți securizezi aplicațiile – Cazul Biziday explicat de un specialist de la Bitdefender

S-a întâmplat în seara zilei de vineri, 3 martie, cu o zi înainte de marcarea a 40 de ani de la teribilul cutremur din 1977. Panica a cuprins utilizatorii – unii au fugit pe scări, alții au încremenit în case, în vreme ce unii au folosit cele 30 de secunde avute teoretic la dispoziție pentru a se adăposti sub o grindă. Ulterior, jurnalistul Moise Guran, cel care a lansat această aplicație, a anunțat că utilizatorii nu au primit o alertă de cutremur, ci doar un TEXT de alertă de cutremur. După acest incident, 6000 de utilizatori și-au dezinstalat aplicația. Ulterior, jurnalistul Moise Guran a anunțat că aplicatia nu va mai transmite alerte de cutremur.

Cum s-a ajuns aici? În ce condiții devine o aplicație vulnerabilă la atacuri? Andreea Orosz a stat de vorbă cu Liviu Arsene, specialist în  securitate la  BitDefender.

Reporter: În primul rând aș vrea să ne lămuriți, atunci când vorbim despre aplicații, cum funcționează securitatea?

Liviu Arsene: Când este vorba despre aplicații, securitatea poate fi în două locuri. Fie securitatea aplicației în sine, pentru a nu fi vulnerabilă de pe dispozitivul pe care se află instalată aplicația, fie securitatea serverului care transmite informații către aplicație. Există două posibile scenarii de securizare. Cel puțin în cazul aplicației Biziday, se pare că ar fi fost vorba despre o breșă de securitate asupra serverului care trimitea informații către toți utilizatorii care aveau instalată aplicația. În primul rând este important ca accesul la acel server să fie restricționat doar către o mână de oameni care au autorizație specială de a trimite astfel de alerte. Este indicat să existe mai mult decât o simplă parolă prin care accesezi acel server sau acel sistem de notificări. Este recomandat să existe acei doi factori, de exemplu cu sms. Serverele respective trebuie să fie protejate și prin diverse alte tehnologii, cum ar fi sistemele de intrusion detection sau sisteme de firewall. Acestea previn ca un atacator să exploateze o eventuală breșă de securitate și să aibă acces asupra serverelor.

Rep: Din informațiile pe care le avem, în acest caz ce s-a întâmplat?

L.A: Nu știu dacă cei de la Biziday au dezvăluit foarte multe detalii legate de natura breșei de securitate sau care a fost cauza. Au spus că atacul a survenit asupra serverului care trimitea acele alerte. Cel mai probabil va urma o investigație.

Rep: La un moment dat, Moise Guran spunea că problema ar fi fost la Google Cloud. Ce înseamnă acest lucru?

L.A: Este greu de crezut că sistemul Google Cloud ar fi fost spart și folosit pentru a trimite notificări prin aplicația Biziday. Cel mai probabil este vorba despre o vulnerabilitate a accesării la acel sistem de Google Cloud care trimite notificări. Sau cineva a reușit să acceseze sistemul folosind o parolă sau un alt mijloc de autentificare. Este ca și cum cineva mi-ar accesa căsuța de email și s-ar folosi de ea să trimită mailuri către prietenii mei. Nu este vorba despre o breșă de securitate asupra emailului în sine, ci este o breșă de securitate asupra mea, pentru că eu am reușit să îmi fac o parolă foarte slabă, care ar fi putut fi ghicită de oricine. Cam aceasta ar fi analogia.

Rep: Deținătorul unei aplicații are vreo responsabilitate în momentul în care lansează un astfel de produs, în momentul în care vine și pe subiecte sensibile cum este o alertă la cutremur? Nu vorbim despre curs valutar, cu toate că și acesta poate fi foarte important, depinde de ce date sunt transmise. În momentul în care faci o astfel de aplicație și o lansezi pe piață ai vreo responsabilitate să îți setezi niște norme minime de securitate? Unde este reglementată chestiunea?

L.A: În momentul în care faci o astfel de aplicație trebuie să ai un minim de securitate, cel puțin asupra informației pe care o transmiți către clienți și asupra serverului care transmite acele informații. Ești responsabil cu livrarea conținutului către toți cei care folosesc aplicația. Depinde foarte mult de expertiza tehnică și de sistemele care sunt puse la punct, de exemplu serverele care se află în spate și cine le gestionează. Securitatea nu este o chestie atât de simplă precum instalarea unui produs de securitate pe un calculator sau un laptop. Este o chestie mult mai complicată. Orice mică breșă de securitate poate fi folosită pentru a demonta un întreg sistem.

Rep: După acest incident au fost discuții. Una dintre remarci spunea „la ce te poți aștepta de la o aplicație gratuită?”. Fapul că este gratuită sau că are un abonament, că plătești un tarif face diferența la nivel de securitate, de calitate a acelei aplicații?

L.A: Nu neapărat. Faptul că o aplicație este gratuită nu înseamnă că este nesigură sau că informația pe care o livrează nu este de încredere. Există bunele practici de securitate care pot fi și trebuie implementate de orice dezvoltator de aplicații. În cazul de față nu cred că se punea problema că dacă aplicația ar fi fost contra cost nu ar fi ar fi avut parte de aceeași situație.

Este unul dintre cazurile foarte plauzibile. Astfel de sisteme nu sunt doar în aplicații care dau notificări în legătură cu cutremurele. Există sisteme care gestionează centre de termoficare, semafoare, etc.  Majoritatea acestora sunt conectate la internet. Gândiți-vă ce ar însemna o breșă de securitate asupra unui sistem de semafoare, în mijlocul orașului, la prânz. Ar fi un pic de haos, un pic de panică și probabil câteva accidente. Pe de o parte pot fi aspecte negative din cauza panicii, dar nu știu dacă ar fi o lovitură de imagine pentru această aplicație. Este mai mult o lovitură de imagine pentru cei care trebuiau să securizeze respectiva aplicație sau serverele.

Rep: A trimite o alertă legată de un cutremur, o calamitate naturală, depășește granițele unei probleme cu semafoarele într-o zonă restrânsă. Nu zic că acea problemă nu e gravă, dar cutremurul este o calamitate naturală. Să dai drumul necontrolat unei astfel de informații nu ține cumva de securitatea națională?

L.A: Nu știu dacă mă pot pronunța. Nu știu care este entitatea responsabilă de controlul unei astfel de informații. În principiu, cred că ar fi o informație de securitate națională.