Czy organizacja policyjna wyciąga informacje na temat użytkowników od Facebooka, Twittera czy Google? Jaka organizacja zajmuje się wyłapywaniem cyberprzestępców? Na nadesłane pytania odpowiada Witalij Kamliuk.
Kamliuk posiada ponad 1. lat doświadczenia w branży bezpieczeństwa IT i obecnie jest głównym badaczem ds. bezpieczeństwa w Kaspersky Lab. Specjalizuje się w inżynierii wstecznej szkodliwego oprogramowania, informatyce śledczej i dochodzeniami w związku z cyberprzestępstwami. Obecnie Witalij mieszka w Singapurze. Jako członek Digital Forensics Lab pracuje wspólnie z Interpolem, analizując szkodliwe oprogramowanie i pomagając w dochodzeniach.
Czy Interpol (międzynarodowa organizacja policji - dop. red.) wymienia się z dużymi firmami technologicznymi (np. Apple, Google, Facebook, Twitter) jakimiś informacjami na temat poszczególnych osób, ich urządzeń oraz gdzie się znajdują?
Interpol nie potrzebuje Twoich danych, o ile nie jesteś przestępcą. Jeśli zajdzie taka konieczność, w poszczególnych przypadkach pobiera się dane związane z konkretnym przestępstwem zgodnie z lokalnymi przepisami, a sąd wydaje odpowiednie postanowienia. W sytuacjach takich o informacje ubiegają się zawsze lokalne organy ścigania, a nie sam Interpol.
Co jest obecnie największą przeszkodą w zwalczaniu cyberprzestępczości?
Granice między krajami oraz różnice w przepisach. Internet nie ma granic, ale świat fizyczny tak. Możemy szybko pracować w cyberprzestrzeni, ale cała prędkość jest wytracana, gdy dochodzimy do procedur związanych z wnioskami transgranicznymi i pozwoleniami.
Czy żyjemy w cyberwojnie?
Kiedyś wierzyłem, że cyberwojna jest niewidoczna. Jeśli myślicie tak samo - to tak, żyjemy w cyberwojnie. Ale jeśli przyjąć, że wojna zawsze przynosi jawne konsekwencje w świecie fizycznym: masowa destrukcja, ofiary, przemoc, to na szczęście nie żyjemy w cyberwojnie.
Czy kiedyś uda się zatrzymać cyberwojnę? Do dziś wiele mówi się o kradzieży tysięcy dolarów i podobno wojna jest przegrana…
Ludzie dowiedzą się o tym wydarzeniu, a nawet gorszym, i przeżyją. Natura człowieka umożliwia nam dostosowanie się do znacznie większych zmian. Chociaż przestępczość nie skończy się nigdy ani w świecie fizycznym, ani w cyberprzestrzeni. My - ludzie - mamy możliwość zmienić nasze środowisko i sposób życia tak, aby zmniejszyć poziom przestępstw do minimum.
Mamy do dyspozycji coraz więcej technologii, ale widoczne jest także rozpowszechnianie się cyberataków. Na czym polega śledzenie trendów i co analizujecie, aby nie zostać w tyle w stosunku do ewolucji wektorów infekcji w internecie?
Czytuję najnowsze informacje publikowane przez badaczy bezpieczeństwa i na bieżąco interesuję się wszystkimi nowymi technikami ataku i obrony. Jeśli chcesz ochronić swoje zasoby, staraj się zminimalizować powierzchnię potencjalnego ataku. Stosuj zasadę domyślnego odmawiania (podejście znane także jako “tryb odmowy domyślnej”). My jako badacze bezpieczeństwa musimy mieć wiedzę na temat wszystkich zagrożeń z dziedziny IT, a Ty musisz zdecydować o zasobach, które chcesz chronić, i na nich się skupić.
Jak wyglądają prace dochodzeniowe dotyczące cyberprzestępstw? Jakich narzędzi używacie? Czy możesz przedstawić kilka przykładów?
Może się to różnić w zależności od danej sprawy, jednak bardzo często używamy powszechnych technik i narzędzi przeznaczonych do komputerowych prac dochodzeniowych: Encase, Sleuthkit, moduły do odzyskiwania danych, rozpoznawania formatów, a nawet standardowe narzędzia związane z kodem binarnym.
Tworzymy wiele własnych skryptów i narzędzi, czasem nawet wyłącznie z myślą o konkretnej sprawie. Mogą to być narzędzia do rozpakowywania plików, usuwania cyfrowego szumu stosowanego przez przestępców do ukrywania kodu, specjalne rozwiązania do usuwania błędów z kodu, skrypty zrzucające zawartość pamięci, odszyfrowujące pliki itp. Dużo czasu pochłania inżynieria wsteczna. W niektórych przypadkach musimy także mapować infrastrukturę IT, skanować sieci oraz porty. Jeszcze jednym ważnym zadaniem jest tworzenie narzędzi do zamykania botnetów metodą leja (tzw. sinkholing) oraz interpretowania dzienników serwerów.
Ilu złapaliście już hakerów?
Eksperci ds. bezpieczeństwa nie łapią hakerów –. to jest zajęcie dla organów ścigania.
Czy oskarżyliście kiedykolwiek niewinnego człowieka?
Tak, ja robię to bardzo często. Tym niewinnym człowiekiem jestem zazwyczaj ja sam.
Co jest największą przeszkodą w wykrywaniu sygnatur nowych wirusów?
Największym problemem jest niedostępność niektórych próbek. Naprawdę trudno jest uzyskać najrzadsze próbki szkodliwego oprogramowania, które mogą zostać użyte tylko raz, stwarzają zagrożenie porównywalne do szkodliwego oprogramowania, które zainfekowało miliony osób.
Cryptolocker ewoluuje, bo przynosi przestępcom pieniądze. Czy jest jakaś agencja, która śledzi komunikację szkodliwego oprogramowania ze źródłem, aby złapać przestępców? Jeśli tak, to która organizacja międzynarodowa jest odpowiedzialna za ten globalny problem? Lub czy każde państwo ma oddział do walki z cyberprzestępczością, dbający o bezpieczeństwo swoich obywateli?
Nie ma samodzielnej organizacji, która by się tym zajmowała. Internet nie jest własnością jednego podmiotu —. to sieć równych uczestników. Rozwiązaniem może być tutaj zjednoczenie się wszystkich użytkowników globalnej sieci na rzecz przeciwdziałania cyberprzestępczości. Musimy stworzyć ujednolicone prawo internetowe i coś w rodzaju policji internetowej, która będzie miała uprawnienia ponadnarodowe.
