În cel de-al 17-le episod al podcastului PlayGround, Dan Cadar a stat de vorbă cu Mădălin Dumitru (CEO SCUT) și Valentin Popa (CTO SCUT), care au demonstrat cât de vulnerabile sunt parolele românilor și au oferit sfaturi concrete pentru protejarea datelor personale. Discuția a acoperit și subiecte avansate precum slăbiciunile blockchain-ului, cursurile de cyberwarfare și tehnicile moderne de atac cibernetic. Folosind date reale dintr-un breach al LinkedIn din 2012, cei doi experți în securitate cibernetică au arătat că marea majoritate a parolelor sunt lipsite de imaginație și pot fi sparte în câteva minute.

Experimentul care arată realitatea și cele mai folosite parole în România

Contextul este alarmant, în ianuarie 2024 a avut loc „Mother of All Breaches”, cea mai mare breșă din istorie, cu peste 26 miliarde de parole furate din multiple platforme. „Gândiți-vă că suntem opt miliarde de locuitori pe planetă și sunt douăzeci și șase de miliarde de parole”, spune Valentin Popa. Cu o rată de utilizare a internetului de 67%, înseamnă că fiecare utilizator are în medie 4 parole compromise.

Pentru demonstrație, Valentin Popa a explicat că echipa SCUT a folosit date din breach-ul LinkedIn din 2012, când peste 6,5 milioane de conturi au fost compromise. „Am luat numai conturile care aveau linkedin.ro ca să vedem conturi din România și sunt în jur de 80.000 de conturi care au fost sparte atunci”, spune Popa.

Rezultatele analizei SCUT arată că cea mai folosită parolă pe domeniile ”.ro” din breach-ul LinkedIn a fost „123456”, folosită de circa 900 de utilizatori, circa 1,1% din totalul analizat. Pe doi se află chiar cuvântul „parola”, iar pe trei „alexandru”. O altă parolă des folosită este „cristina”.

Analiza statistică a parolelor românești a scos la iveală un model nefericit, mulți utilizatori folosesc „pa$$” sau „a$$” ca bază pentru parolele lor, adăugând apoi variații. De asemenea, o practică des întâlnită este folosirea primei litere cu majusculă, urmată de litere mici.

„Am observat că românul ia pattern-ul de la recomandările băncilor și pune prima literă cu majusculă. Asta este un lucru care este destul de ușor de descoperit și acum folosind inteligența artificială poți să generezi astfel de cuvinte pe care să le pui în acel dicționar”, avertizează Dumitru.

Valentin Popa a evidențiat că breach-ul LinkedIn a fost ușurat de folosirea unui algoritm de criptare învechit (SHA-1) fără salt (randomizare suplimentară). „Companiile de securitate pe care ne bazăm nu sunt nici ele cele mai sigure. LinkedIn folosea un algoritm de encripție foarte vechi care este foarte ușor de spart”, explică Popa. Prin comparație, un algoritm modern precum SHA-256 sau SHA-512 împreună cu salt ar fi făcut atacul mult mai dificil.

Trucul cu adresa de email. Cum știi de unde ți-a fost furată parola

Unul dintre cele mai practice sfaturi oferite de Mădălin Dumitru se referă la modul în care poți urmări exact care cont ți-a fost compromis. Trucul constă în adăugarea unui, să-i spunem „identificator”, după adresa ta de email, folosind semnul „+”.

„Când îți faci un cont pe Instagram, poți pune [email protected]. Dacă îți faci un cont pe Facebook, pui [email protected]. Tot ce este după user-ul tău, după plus, îți vine tot la [email protected]”, explică Dumitru.

Această metodă funcționează cu Gmail, Outlook configurat prin Office 365 și cu domeniile proprii de email, dacă ai o companie cu domeniu propriu. Deci dacă ai [email protected], poți folosi [email protected] sau [email protected] și așa mai departe, toate emailurile vor ajunge în căsuța ta de Gmail. Dar nu funcționează cu Yahoo, spre exemplu.

Astfel, dacă primești un email de phishing sau vezi că adresa ta apare într-un breach, vei ști exact care serviciu a fost compromis și vei putea schimba parola respectivă, presupunând că nu refolosești parola. Poți verifica dacă adresa ta apare în vreun breach pe haveibeenpwned.com.

Demonstrația video a arătat cum parolele salvate în browserele clasice (Edge, Chrome, Safari) pot fi extrase cu ușurință folosind un tool executabil. „Browserul creează niște fișiere care sunt criptate cu toate parolele, dar aceste fișiere au tool-uri care le pot decripta”, avertizează Popa.

Cei de la SCUT au vorbit și despre Mimikatz, un script extrem de popular în lumea hacking-ului, programat să extragă credențiale direct din RAM-ul computerului. „El este configurat să meargă targetat și să ia ce e de interes, credențiale, user, parolă. Este foarte inteligent”, explică Mădălin Dumitru.

Problema e că acest tool poate fi modificat să treacă de antivirusurile clasice care se bazează pe semnături. „Până îl detectează primul antivirus și se populează baza de date, malware-ul a plecat demult cu datele tale”, spune Dumitru.

Soluția modernă la problema Mimikatz vine din tehnologiile EDR (Endpoint Detection and Response) care nu mai analizează doar semnătura unui fișier, ci comportamentul acestuia. „Dacă ai un document Word care de fapt e un virus, el ar trebui să ruleze procese specifice Word-ului. Dacă începe să facă altceva, să cripteze date sau să acceseze memoria, acela este un comportament malițios și îl taie”, explică Dumitru.

Valentin Popa insistă pe importanța monitorizării: „Nu e doar partea de blocare, e și partea de monitorizare. Chiar dacă s-a blocat un pic mai târziu, cineva ar trebui să vadă. Ca la medic când îți ies analizele proaste, un medic ar trebui să se uite de ce.”

Un atacator care reușește să execute un malware pe calculatorul tău poate extrage toate parolele salvate în browser și le poate trimite către serverele sale . „Există un trade market, sunt grupări de hackeri care nu fac decât credential harvesting. Prețul la un wallet de bitcoin este zece la sută din valoarea wallet-ului”, spune Popa.

Mai mult, există grupări specializate în „mixing”, care se ocupă cu pierderea urmei banilor. „Ai avut zece bitcoin, acum s-au dus către un wallet, iar din wallet-ul atacatorului există grupări care le transformă în Monero, în Ether, ca să-și piardă urma”, detaliază Dumitru. Astfel se evită software-urile specializate care urmăresc tranzacțiile pentru a preveni finanțarea terorismului.

Soluțiile recomandate de experții SCUT ca alternativă la parole

Mădălin Dumitru recomandă folosirea unui password manager profesional pentru stocarea parolelor. Printre opțiunile menționate se numără: Dashlane, KeePass și LastPass. Este foarte important ca parola master de la password manager să fie una foarte complicată și pe aia trebuie s-o ții minte”, insistă Dumitru.

De asemenea, „2FA ar trebui să fie default pe orice cont”, insistă Valentin Popa. Experții recomandă să folosești aplicații de autentificare (Google Authenticator, Authy, Duo) în loc de SMS-uri, care pot fi interceptate prin tehnici de sim swapping.

Și Passkeys-urile reprezintă o alternativă mai sigură decât parolele clasice. „Sunt mai multe layere de securitate: echipamentul, iCloud-ul tău, seria telefonului. Sunt mai multe elemente care creează o amprentă legată de tine ca persoană”, explică Dumitru.

Experții SCUT recomandă un algoritm pentru generarea unei parole master puternice:

  • Începe cu un semn de punctuație (nu cu literă mare);
  • Al treilea caracter să fie literă mare;
  • Folosește spații în parolă (foarte puțini atacatori testează asta);
  • Penultima literă din cuvânt să fie mare;
  • Lungimea minimă: 12-15 caractere.

„Sau folosește fraze în loc de parole Ana spațiu are spațiu mere (ana are mere), după care faci variații între litere și pui cifre (an1 ar5 mere) deja este o parolă foarte strong și poți să ții minte”, sugerează Popa. O altă metodă creativă ar fi să folosești un vers dintr-o poezie sau chiar dintr-o manea. „Dacă ți-ai pus o strofă dintr-o manea, gata, nici NASA nu-ți mai sparge parola”, glume Dan Cadar.

Pericolul dispozitivelor IoT din casă și al smart meter-elor

Un subiect adesea neglijat este securitatea dispozitivelor inteligente din casă (IoT), de la camere de supraveghere și dispozitive tip baby monitor, până la aspiratoare robot și televizoare smart. „Există un motor de căutare care se numește Shodan, dacă introduci camere de un anumit tip, îți arată toate camerele de supraveghere cu user și parolă default”, spune Mădălin Dumitru.

Soluțiile pentru echipamentele IoT:

  • Schimbă parola default imediat după ce scoți dispozitivul din cutie;
  • Fă regulat update de firmware;
  • Izolează dispozitivele IoT într-o rețea separată – routerele moderne permit crearea mai multor rețele virtuale (VLAN);
  • Cumpără branduri de încredere – evită produsele noname foarte ieftine pentru care securitatea nu e o prioritate.

O informație mai puțin cunoscută este legată de smart meters (contoarele inteligente) care îți calculează consumul de energie, acestea pot dezvălui aproape tot ce ai în casă. „După tipologia de date pe care le transmit, există un pattern și poți să știi exact ce are omul în casă. Poți să-ți dai seama că are televizor LG, diagonala cutare, produs nu știu când, pentru că are un pattern de consum de curent specific”, explică Dumitru. Nu e nevoie de foarte multe date pentru a profila complet un utilizator. „Pe măsură ce automatizăm casele dar lăsăm la o parte securitatea, devine din ce în ce mai periculos”, avertizează expertul.

Datele transmise de aplicațiile Temu și Shein

Mădălin Dumitru menționează că Temu și Shein sunt cele mai descărcate aplicații în România în acest moment, depășind chiar ChatGPT și TikTok. „Un patron de firmă mare de curierat mi-a zis: Mădălin, car pachete din comenzile de pe Temu și Shein, au pârjolit ăștia tot. Magazinele noastre fizice și online au început să sufere grav”, povestește Dumitru.

Problema nu e doar economică, e vorba și de volumul uriaș de date care pleacă către servere din China. „Îmi imaginez cum stă cineva și se uită la o hartă, apasă pe țara respectivă, face zoom și vede pe județ, poți să profilezi o țară întreagă până la utilizatorul individual”, spune Dumitru.

Blockchain-ul, paradoxul imutabilității exploatat de hackeri

Unul dintre subiectele cele mai tehnice discutate în podcast se referă la modul ingenios în care grupările statale, în special din Coreea de Nord, folosesc blockchain-ul pentru a distribui malware. „Coreea de Nord s-a specializat în zona crypto … și sunt foarte buni în a fura wallet-uri. Ei au găsit o metodă prin care să ascundă malware-ul și virusul în blockchain”, explică Dumitru.

Avantajul pentru atacatori vine din caracteristica fundamentală a blockchain-ului: data immutability (imutabilitatea datelor). „Când ei injectează într-un smart contract acest cod malițios, acel malware poate fi distribuit de acolo și tu ca companie de cyber-security nu poți să dai jos serverele respective pentru că e blockchain-ul care este peste tot. Nu poți să blochezi IP-uri”, explică expertul. Concret, atacatorii profită de natura descentralizată și permanentă a blockchain-ului pentru a crea o infrastructură de distribuție a malware-ului care nu poate fi oprită.

Un alt exemplu îngrijorător menționat în podcast se referă la autobuzele electrice cumpărate în Suedia, unde s-a descoperit un kill switch ascuns în software. „Era un mare cyber security risk, puteau fi oprite în trafic”, spune Dan Cadar. „Imaginează-ți că dai o lovitură, apeși pe un buton și totul începe să se blocheze”, adaugă Dumitru, scoțând în evidență pericolul pentru infrastructura critică conectată.

La jumătatea lui noiembrie 2024, s-a înregistrat primul atac cibernetic în care AI-ul a luat decizii autonome. Atacatorii au folosit Claude de la Anthropic pentru a scrie cod malițios și a trece de antivirus.„Atacatorii au reușit să facă modelul respectiv să opereze exact așa cum au dorit ei. Nu e vorba de ceva simplu, vorbim de atacatori statali care au targetat aproximativ 30 de companii”, spune Popa.

Mădălin Dumitru adaugă: „Întotdeauna aceste tehnologii noi sunt adoptate și folosite cu succes prima dată de către răufăcători, după care ceilalți, într-un mod reactiv, încearcă să folosească aceeași tehnologie pentru apărare.”

Cyberwarfare sau când securitatea devine ofensivă

SCUT a organizat recent un curs intensiv de Cyberwarfare pentru aproape 30 de clienți companii, aducând la București instructori din armata americană. „Am avut privilegiul să antrenăm clienții noștri să înțeleagă cum se planifică și cum se execută o operațiune cibernetică ofensivă militară”, povestește Mădălin Dumitru. Diferența de abordare este fundamentală, în timp ce companiile fac cybersecurity (compliance, bifează căsuțe pentru certificări), abordarea militară se concentrează pe cyberdeffence și offense (apărare și atac).

Cursul a fost o revelație pentru participanți, care au înțeles exact cum sunt țintite companiile dintr-un stat inamic și cum gândește un adversar cu resurse militare. „Doctrina militară vizează cyberdeffence și mai ales offense, este o cu totul altă perspectivă decât cea corporatistă”, accentuează CEO-ul SCUT. Un mesaj esențial din training a fost că „noi ca și companii facem parte din scutul național de cyber security, chiar dacă vrem, chiar dacă nu vrem, pentru că avem date ale colegilor noștri, ale clienților noștri, ale altor companii de interes național”, spune Valentin Popa.

Concluzia: fii proactiv ca să nu devii reactiv!

„Tu ca apărător trebuie să nimerești nouăzeci și nouă de ori corect dintr-o sută. Atacatorul are nevoie să reușească doar o dată din o sută”, rezumă Valentin Popa diferența principală dintre atacatori și victimele lor.

Mădălin Dumitru pune accent pe importanța educației în securitate: „Cea mai mare provocare în business-urile online este echilibrul între securitate și simplitate. Am avut surpriza să discut cu bănci la nivel global care nu pot să impună parole de minim 12 caractere pentru că se tem că oamenii abandonează și se mută la concurență.”

Mesajul final al experților SCUT este clar: nu mai putem trata securitatea cibernetică ca pe o opțiune, indiferent că ești persoană fizică, companie privată sau instituție de stat. Cu legislații precum NIS2 care impun standarde minime de securitate și cu atacuri din ce în ce mai sofisticate, fiecare utilizator trebuie să devină conștient de propriile vulnerabilități și să ia măsuri concrete de protecție.

Pentru mai multe informații, SCUT poate fi contactat pe www.scut.com sau la numărul 0712 112 112.