Ilekroć czytasz nagłówek wiadomości o aresztowaniu lub oskarżeniu cyberprzestępcy, możesz mieć pewność, że większość pracy dochodzeniowej wykonana została przez badaczy z branży antywirusowej, rozsianych po całym świecie.
Obojętne, czy jest to przejęcie i wyłączenie botnetu spamowego, pojmanie członków gangu Koobface, czy aresztowanie cyberprzestępców stojących za trojanem bankowym ZeuS, organy ścigania na całym świecie w bardzo dużym stopniu polegają na umiejętnościach specjalistów ds. bezpieczeństwa — szczególnie z firm antywirusowych — aby prowadzić śledztwa sądowe i uzyskiwać wiarygodne dane, które mogą ostatecznie doprowadzić do skazania cyberprzestępcy.
Jeff Williams wie co nieco o ciężkiej pracy, którą należy wykonać na drodze identyfikacji ataków i prowadzenia badań w dziedzinie środków zaradczych przed rozpoczęciem cyberśledztwa. Przed przyłączeniem się do Dell SecureWorks, Williams pracował jako główny menedżer grupy specjalistów z Microsoft Malware Protection Center (MMPC) i uczestniczył w zamknięciu kilku najważniejszych botnetów, z uwzględnieniem operacji cyberprzestępczych Waledac, ZeuS i Kelihos.
W wywiadzie Williams wyjaśnił, że istnieją różne rodzaje badań, które prawie zawsze zaczynają się w jakimś laboratorium antywirusowym, gdzieś na świecie. „Czasami jest to śledztwo wszczęte przez organy ścigania i to one wskazują drogę, którą powinno podążać dochodzenie. Czasami wynika to z punktu widzenia bezpieczeństwa, kiedy natrafiamy na nową próbkę szkodliwego oprogramowania. Nawet gdy jest to dochodzenie kryminalne, ludzie z organów ścigania przychodzą do nas, aby uzyskać głębsze zrozumienie złośliwego oprogramowania. W Microsofcie naszym priorytetem była ochrona klientów, więc musieliśmy się koncentrować na poznaniu skali problemu, wpływu tego problemu na użytkowników systemów z rodziny Windows i myśleć intensywnie nad sposobem zapewnienia ochrony tym użytkownikom” – wyjaśnia Williams.
Ta praca jest wieloaspektowa. „Ludzie w laboratorium wykonują nieprzyjemną robotę. Rozpoznają istnienie złośliwego oprogramowania, potem rozpoczyna się niewdzięczne zadanie zbierania odpowiednich próbek i branie ich pod lupę inżynierii wstecznej” – tłumaczy Williams. Ta praca obejmuje rozpracowywanie skomplikowanych algorytmów szyfrowania i rozdzielenie protokołów komunikacyjnych plików złośliwego oprogramowania, które mogą być używane do komunikowania się z napastnikami. „Chcemy wiedzieć, jak pliki binarne są kontrolowane przez atakujących, poznać szczegółową infrastrukturę centrum kontroli, wiedzieć gdzie znajdują są węzły, jakie są komendy, które mogą zostać wydane. Wszystko to jest praca, którą wykonuje się w laboratorium antywirusowym. To bardzo ważne zadanie” – kwituje Williams.
Kiedy laboratorium posiada pełne rozeznanie w wewnętrznych funkcjach szkodliwego oprogramowania, implementuje techniczne środki zaradcze — albo za pomocą aktualizacji sygnatur wirusów, albo ulepszając technologie obronne — zanim organy ścigania przystąpią do wykonywania czynności prawnych. „Czasami musisz iść do sądu, aby uzyskać prawo do przejęcia kontroli nad botnetem, więc trzeba w te działania wtajemniczyć organy ścigania i ściśle z nimi współpracować, aby taka operacja była udana” – wyjaśnia Williams.
Costin Raiu, który zarządza Globalnym Zespołem ds. Badań i Analiz (GReAT) w Kaspersky Lab, potwierdza, że dochodzenia w sprawie cyberprzestępstw mogą być bardzo „złożone”. Ekipa Raiu współpracowała z Microsoftem, grupą CrowdStrike, społecznością OpenDNS i innymi jednostkami na polu bezpieczeństwa informacji przy zamknięciu wielu botnetów, a sam Raiu opisuje te działania jako „wielopłaszczyznowe” i bardzo pracochłonne.
„Powiedziałbym, że wiedza badaczy jest czasem tym krytycznym czynnikiem, który decyduje, czy cyberprzestępca trafia za kraty, czy uchodzi wolno” – twierdzi Raiu.
Oprócz przeprowadzania inżynierii wstecznej i wymiany danych z organami ścigania, zespoły badawcze ekspertów ds. zabezpieczeń zazwyczaj ściśle współpracują z globalnymi zespołami reagowania kryzysowego (CERT-ami), aby przejąć lub wyłączyć zhakowane serwery lub „zassać” w operacji sinkholingu domeny w celu zebrania dowodów i danych, które mogą być później użyte w sprawie sądowej.
„Cyberprzestępczość jest niesamowicie skomplikowaną i wieloaspektową dziedziną. To dlatego specjaliści ds. walki ze złośliwym oprogramowaniem są często proszeni o pomoc jako biegli podczas dochodzeń w sprawie przestępstw, które wykorzystują nadużycia technologiczne” – wyjaśnia Raiu.
Ekspertyza cyberbezpieczeństwa w laboratorium antywirusowym często obejmuje tzw. „biały wywiad” – OSINT (http://pl.wikipedia.org/wiki/Bia%C5%82y_wywiad). Ta część śledztwa jest bardzo wyczerpująca i często wymaga mozolnego przeszukiwania sieci WWW z nadludzką dokładnością i cierpliwością, w celu znalezienia jakichś wskazówek, które pomogą połączyć danego napastnika z konkretną operacją cyberprzestępczą.
„Wiele wskaźników w trakcie śledztwa może doprowadzić do poznania tożsamości cyberprzestępcy. Niektóre części próbki kodu mogą zawierać pseudonim lub wykazywać charakterystyczny styl kodowania. Takie informacje mogą być wykorzystywane jako punkt wyjścia do śledzenia cyberprzestępcy” – wyjaśnia Jeff Williams.
Badacze mogą użyć pseudonimu lub wskazówki z kawałka kodu, albo adresu e-mail z rejestracji nazwy domeny, do przeszukiwania społeczności internetowych, takich jak Facebook, Twitter, YouTube, rozmaite Wiki, blogi; czy jakichkolwiek for użytkowników, a więc miejsc, w których potencjalny cybeprzestępca mógł użyć swojego nicka lub adresu e-mail.
W niesławnym przykładzie Koobface, departament bezpieczeństwa Facebooka przeprowadził „biały wywiad” we współpracy ze środowiskiem badaczy bezpieczeństwa i upublicznił nazwiska, zdjęcia i tożsamości ludzi, wobec których zaistniały silne podejrzenia o rozprzestrzenianie ataku w sieci. Informacje te trafiły do mediów jako część operacji „name-and-shame” („nazwisko-i-wstyd”).
„Większość pracy wykonywana jest po stronie technicznej, aby chronić klientów przed skutkami ubocznymi. Ale potem informacje są przekazywane organom ścigania w celu dokonania aresztowań. Jeśli chodzi o końcowe aresztowania i sprawy sądowe przeciw cyberprzestępcom, możecie mieć pewność, że największa część roboty została wykonana w laboratoriach antywirusowych” – informuje Williams.
„Uznanie winy i aresztowania niekoniecznie muszą być częścią początkowych operacji. Ale gdy laboratorium antywirusowe zaczyna zakłócać działania cyberprzestępców i bierze się za ochronę danego ekosystemu, wyniki tej pracy powinny być przekazywane organom ścigania, aby te samodzielnie mogły zająć się aresztowaniami i działaniami prawnymi” – dodaje Williams.
Williams powtarza, że praca społeczności badawczej musi być pracą bardzo wysokiej jakości, ponieważ finalne informacje muszą zostać potem w sposób wiarygodny przedstawione w sądzie.
Badacze cyberbezpieczeństwa często nie wytrzymują opieszałości działań prawnych i powolnych dochodzeń sądowych, szczególnie gdy w grę wchodzą specyficzne ataki, np. operacje z użyciem trojanów bankowych i botnetów, które dokonują oszustw finansowych. To ślimacze tempo zadecydowało o tym, że Facebook dokonał upublicznienia szczegółów dochodzenia Koobface, przed jakimkolwiek działaniem organów ścigania. Jednakże, Williams podkreśla, że sprawy mają się ku lepszemu.
„Na pewno musi zaistnieć lepsza harmonizacja prawa pomiędzy granicami państw. Przestępcy mają świadomość, gdzie prawo jest lżejsze, i w których miejscach na świecie mogą uprawiać swój proceder, aby operować poza radarami organów ścigania i unikać aresztowania. Myślę jednak, że stróże prawa mają coraz lepsze zrozumienie, jak radzić sobie z takimi przypadkami. Widzieliśmy udane sprawy karne, gdzie używane były istniejące przepisy prawne, które nie miały nic wspólnego z cyberprzestępczością” – dodaje Williams, cytując przypadek Zotob, w którym cyberprzestępcy byli ścigani za pranie brudnych pieniędzy, omijanie przepisów podatkowych i oszustwa finansowe.
„Jest to naturalna ewolucja linii obrony i działanie na rzecz podziału, rozbicia i usunięcia grup odpowiedzialnych za cyberprzestępczość. Bez zamknięć [botnetów] pieniądze będą wciąż generowane przez przestępców, a te pieniądze są przecież potem reinwestowane w przyszłe ataki. Bez zakłóceń działalności cyberprzestępców, nie mamy z nimi równych szans. Myślę jednak, że w końcu doszliśmy do punktu, w którym obrońcy osiągnęli wystarczający poziom współpracy, partnerstwa, technologii i wsparcia organów ścigania, aby wreszcie przejść do kontrataku” – puentuje Williams.
Porady