Većina cyber napadača se ne sastaje po kafićima kako bi dogovorili napad, čak se uživo niti ne poznaju, već to rade na forumima i chatovima gdje kuju planove napada i gdje se nalaze tzv. »kuharice«
O računalnom kriminalu kojem su izloženi svi korisnici interneta i koji poprima neslućene razmjere razgovarali smo sa stalnim sudskim vještakom za informatiku i računalnu forenziku Nikolom Protrkom. Prilika za razgovor ukazala se nakon okruglog stola održanog u sklopu Hrvatskih dana sigurnosti u Opatiji kojem su tema bili upravo cyber napadi na kritičnu infrastrukturu i poslovne subjekte.
Koliko uspješno možemo rasvijetliti cyber zločin?
– Zavisi od dokaza.
A koliko uspješno možemo prikupiti dokaze?
– Zavisi od vrste elektroničkog, odnosno digitalnog dokaza. Dokazi u elektroničkom obliku mogu se nepromijenjeni pohraniti u onolikom broju kopija koliko nam je potrebno za slučaj, i to je njihova prednost. Na takvoj »slici« možemo raditi forenzična ispitivanja, a da pritom ne oštećujemo originalni dokaz. Najvažnije je da se dokaz ne ošteti tijekom postupka prikupljanja, već da bude u izvornom obliku koji se može kasnije u postupku i na sudu prikazati u nepromijenjenom obliku, te potvrditi da nije kompromitiran. Postoji i opcija da se uđe u tzv. »Dark web« gdje kriminalne cyber skupine surađuju i pripremaju napade. Na taj način infiltracije može se doći do bitnih informacija za »modus operandi«.
»Modus« napadača
Kako je rečeno nedavno na Hrvatskim danima sigurnosti na okruglom stolu o cyber napadima na kritičnu infrastrukturu i korporacije, svakom cyber napadaču može se ući u trag, jer svaki napad ostavlja dovoljno tragova za to.
– Budući da skoro svi napadi idu preko mreže, odnosno interneta, takvi napadi ostavljaju trag, odnosno »log« zapise. Ukoliko imamo pristup do tih zapisa, možemo uspješnije slijediti trag napadača. Analizom javnih izvještaja koje su objavile strane zahvaćene napadima, moguće je deducirati par najčešćih »modusa« napadača.
Koliko se brzo može doći do dokaza? Je li neizostavno da postupak vještačenja traje dugo pa samim time proteže i sudski proces?
– Ako se napadači dobro pripreme i ako koriste nove tehnologije, što do sada nisu istraživane ili za koje ne postoji »best practice« u svijetu, onda se mora nešto duže čekati na rješenje. Samo vještačenje ne uzima previše vremena sudskom procesu, jer vještak ima već početne informacije, a nekad i gotove dokaze, koje treba vještačenjem pojasniti sudu.
Može li se kroz forume, ako se prati komunikacija hakera, spriječiti njihove napade?
– Kao što sam spomenuo, komunikacija je izuzetno bitna i smatram da su napadači prisutni na forumima od njihovog interesa, jer je to način komunikacije. Na forumima se nalaze tzv. »kuharice« u kojima su navedeni »recepti« za razne vrste cyber napada, te ukoliko pratimo forume možemo puno toga novog naučiti, a naravno i predvidjeti sadašnje ili buduće prijetnje. Većina cyber napadača se ne sastaje po kafićima kako bi dogovorili napad, čak se uživo niti ne poznaju, već to rade upravo na forumima i chatovima gdje kuju planove za napade. To su dobro zatvorene skupine kojima se može pristupiti samo po preporuci, ali nije nemoguće. To je posao istražitelja i policije, dok sudski vještak dolazi na kraju, kada treba osigurati ili vještačiti dokaze do kojih se došlo.
Nisam ja
Jesu li dokazi prikupljeni na taj način legalni?
– Legalno je ako istražitelji postupaju legalno, odnosno s nalogom. No, na sudu je često pitanje je li određeni dokaz doista potječe od određene osobe, a tu se onda može raditi o prikrivanju, jer se brane na način tvrdeći da se radi o nekom drugom, odnosno da su u pitanju neki drugi počinitelji.
To zasigurno produžuje i usložnjuje cijeli postupak istrage?
– Da svakako. Tada se ide u dodatne analize ukoliko je moguće. Mogućnost ovisi o dostupnosti informacija. Naime, veliki broj istražiteljima »zanimljivih« servera nije u Hrvatskoj, što znači da ne podliježu hrvatskoj jurisdikciji. Zato se mora tražiti međunarodna pravna pomoć od zemlje u kojoj je server lociran. To zna biti popriličan problem. Akteri navedenih napada su relativno bitni ako gledamo atribuciju napada ili otkrivanje aktera za neki upad. Za zaštitu su relativno nebitni, napadačima je dovoljno da otkriju jedan sigurnosni propust da ispune svoj cilj, a obrana mora pokriti sve moguće ranjivosti ili vektore napada.
U Hrvatskoj smo nedavno imali veliki hakerski napad na bankarski sustav.
– Da, tu su bili oštećeni i klijenti i banke, iako se cyber napad fokusirao isključivo na računala korisnika koja su imala komunikaciju s informacijskim sustavima banaka. Dakle, sve se dogodilo na klijentskoj strani.
Rizik spajanja
Na tom primjeru vidjelo se kako ne postoji dovoljna svijest o izloženosti cyber zločinu, zar ne? Je li točno da smo cyber kriminalu danas izloženiji nego terorističkim napadima.
– Već postoji i pojam cyber terorizam! Što se tiče cyber napada tu treba primjetiti kako se sve više uređaja spaja na interent, ne samo onih koji služe u poslovanju, već i onih što se privatno koriste, poput pacemakera koji preko mobitela dojavljuje stanje o napunjenosti baterije. Svaki uređaj koji je na nekakvoj telekomunikacijskoj mreži je ranjiv. Bivši visoki američki dužnosnik Dick Cheney je tražio da se na njegovom pacemaker-uređaju isključi mogućnost bežične komunikacije kako ne bi bio izložen cyber terorističkom napadu.
Veliki broj uređaja što ih svatko ima u svom domu već danas se spaja na internet – od alarma, bojlera, frižidera, videokamera…. A čim su na internetu, onaj kome je stalo da ih napadne imat će tu mogućnost. Postoji i mnogo internet uređaja koje nosimo sa sobom ili na sebi kao što su pametni satovi, pametni mobiteli, Google Glass naočale, i svima je zajedničko da su spojeni na internet. Haker će se potruditi, ovisno o tome koliko mu je stalo da dođe do određenih podataka, te ovisno o razini zaštite što je ti uređaji imaju. Čim više takvih uređaja imamo to smo u većoj opasnosti.
Zaštite nema?