Z Rajem Samani, dyrektorem technicznym (CTO) na Europę, Bliski Wschód i Afrykę (EMEA) w Intel Security, doradcą w European Cybercrime Centre EC3, rozmawiamy o usługach typu Cybercrime-as-a-Service, konieczności zmiany XIX-wiecznych sposobów walki z przestępcami wieku XXI, tradycyjnych przestępcach, którzy masowo przenoszą się do cyberświata, oraz zachowaniu prywatności we współczesnym świecie i wartości, jaką stanowią nasze dane osobowe.
Jakie są największe zagrożenia, z którymi mierzymy się dziś w cyberprzestrzeni? Przestępcy atakują z wielu stron i wiele platform, z których korzystamy…
Przed 3 laty byłem jednym z autorów analizy „Cybercrime Exposed, Cybercrime-as-a-Service”. Jednym z głównych jej wniosków jest to, że współczesny cyberprzestępca nie musi właściwie posiadać żadnej wiedzy technicznej! Wystarczy komputer i fundusze na ten cel. Jeśli popatrzymy na to, jak świat ewoluował przez ostatnie 3 lata, to okazuje się, że usługi typu Cybercrime-as-a-Service nabrały jeszcze większego znaczenia w świecie przestępczym.
Wszystko, co chcemy zrobić – czy to będzie przygotowanie złośliwego oprogramowania typu ransomware, atak typu DDoS – dostępne jest teraz online. Usługi te oferowane w modelu cloud computing są tak łatwe, że wystarczy zaznaczyć, z jakich usług chce się skorzystać, i dokonać płatności. Jednocześnie oferty serwisów oferujących ataki typu DDoS pojawiają się na pierwszej stronie wyszukiwania w Google. Ceny zaś zaczynają się już od 2 USD, to mniej niż cena kawy.
Jeśli jesteś uczciwy i prowadzisz własny biznes, wydajesz setki tysięcy dolarów na marketing, obniżanie cen i wiele innych działań, aby pokonać konkurentów. To trudna i skomplikowana walka. Tymczasem wystarczy pójść do dowolnej kafejki internetowej i wydać 2 USD, aby unieruchomić stronę internetową konkurenta…
Czy to oznacza, że gwałtownie rośnie liczba osób, które stosują metody cyberprzestępców?
Jeden z moich pierwszych artykułów, napisany jeszcze w roku 2006, dotyczył robaka Zotob. Gdy w roku 2005 Microsoft wprowadził kolejną aktualizację Windows, już po 2 dniach dostępny był malware, który wykorzystywał pojawiające się w niej błędy. Wcześniej zajmowało to przestępcom do 6 miesięcy, jak w przypadku wirusa Nimda. Stworzenie robaka Zotob było jednym z pierwszych przykładów zastosowania usługi typu Cybercrime-as-a-Service. Programistę, któremu to zlecono, ostatecznie złapano. Rozpoznano, że to jego dzieło, po kodzie źródłowym tego robaka.
Obecnie odnalezienie autora złośliwego oprogramowania jest dużo trudniejsze. Nie zna się nawet osoby, której zleca się tego typu usługi. Osoba ta z drugiej strony nie wie, kto jest zamawiającym. Ta anonimowość spowodowała m.in., że – jak wynika z jednego z ostatnich McAfee Threat Report – liczba ataków typu ransomware wzrosła o 58% tylko w ciągu kwartału. Dlaczego? Dziś praktycznie każdy może zalogować się na odpowiedni serwis, zamówić „kampanię” ransomware i zarabiać na tym. Jeden z cybergangów zarobił w ten sposób w ciągu 10 tygodni 76 tys. USD. Czy potrzebowali do tego zaawansowanej wiedzy technologicznej? Nie! Zarabiali prawie 8000 USD tygodniowo dzięki usłudze, do której dostęp może mieć nawet dziecko.
Kogo wobec tego ściga dziś Europol? Osoby, które korzystają z usług typu Cybercrime-as-a-Service, czy przestępców stojących za tego typu serwisami?
Współpracujemy z wieloma krajami i ich służbami. Dzięki temu udało nam się np. zamknąć sieć BeeBone Botnet. W ciągu ostatniego roku zlikwidowaliśmy także takie sieci, jak Ramnit i Simda. Aresztowano m.in. właścicieli forum dla hakerów – Darkode, czy członków grupy Lizard Squad oferującego usługi DDoS – Lizard Stresser. A to tylko niektóre przykłady. Mamy więc do czynienia z ogromną kampanią przeciwko cyberprzestępcom, wspieraną nie tylko przez rządy, lecz także firmy zajmujące się bezpieczeństwem, takie jak Intel Security.
Wymienione przykłady pokazują, jak dobrze działa współpraca sektora publicznego i komercyjnego. Stała się ona koniecznością. Zagrożenia ciągle ewoluują, a przestępczość przenosi się ze świata realnego do świata wirtualnego. W 2011 roku o 23% spadła w Stanach Zjednoczonych liczba napadów na banki. Dlaczego tak się dzieje? Czy maleje zainteresowanie przestępców tego typu rabunkami? Nie, oni po prostu stali się cyberprzestępcami.
Dlaczego tak się dzieje?
Po pierwsze, mamy do czynienia z coraz większą liczbą tradycyjnych przestępców, którzy przenoszą działalność do cyberświata. Po drugie, coraz łatwiej jest zamówić usługę typu Cybercrime-as-a-Service. „Tradycyjne”, zorganizowane grupy przestępcze korzystają z outsourcingu usług umożliwiających dokonywanie cyberprzestępstw. Stąd taki wzrost liczby usług Cybercrime-as-a-Service. Dlaczego grupy te przestają się zajmować dotychczasową działalnością? Bo dokonywanie przestępstw w cyberświecie jest prostsze, bezpieczniejsze – nikt np. nas nie postrzeli – a poza tym trudniej jest złapać osoby, które zajmują się cyberprzestępstwami. Mogą one schronić się przed stróżami prawa w krajach, które np. nie przewidują ekstradycji za tego typu przestępstwa.
To wszystko zmienia świat przestępczy. Dlatego też tak szybko rośnie liczba zagrożeń i tak szybko one ewoluują. Dziś przestępcy napadają na banki, wykorzystując dysk USB, a nie pistolet. Swoją drogą niedawno jeden z przestępców wszedł de facto do banku z dyskiem USB, próbując podłączyć go do znajdującego się w nim komputera, aby wgrać złośliwe oprogramowanie.
Podczas konferencji organizacji The Global Initiative against Transnational Organized Crime stwierdziłem, że cyberprzestępstwa to nowy etap rozwoju tradycyjnej przestępczości. Zapytano mnie, co mam na myśli, przecież to taka sama nielegalna działalność, z jaką mamy do czynienia od wieków? Poproszono mnie, abym podał choć jeden przykład cyberprzestępstwa, które nie istniało wcześniej. Opowiedziałem o atakach typu DDoS. W odpowiedzi usłyszałem, że to przestępstwo znane od lat, tylko że kiedyś witryny sklepowe niszczono kamieniem…
Czy świat, w którym dziś żyjemy, jest więc mniej bezpieczny niż kiedyś?
Należałoby sobie wcześniej odpowiedzieć na pytanie, czy chcielibyśmy żyć w świecie z większą liczbą napadów na banki czy włamań do ich sieci komputerowych? Jeśli by zapytać o to policjantów, odpowiedzieliby, że oczywiście w świecie tradycyjnych napadów. Wówczas bowiem nie ma problemu z określeniem jurysdykcji, której podlega dany przestępca. Ponadto gdy policja zareaguje odpowiednio szybko, można go od razu aresztować.
W jaki jednak sposób policja kraju, którego bank okradziono, ma aresztować i oskarżyć przestępcę, który znajduje się na drugim krańcu świata? Nie może, bo znajduje się on poza ich jurysdykcją. Walczymy z przestępcami z XXI wieku narzędziami z wieku XIX! Składa się na to właśnie tradycyjna koncepcja podziału jurysdykcji uzależnionej od obowiązujących granic państw. Tymczasem świat przestępczy zmienił się w ciągu ostatnich 20 lat dramatycznie. Przez tysiące lat, jeśli chciało się dokonać przestępstwa, trzeba było być w danym miejscu. Dziś można być na innym kontynencie.
Jak powinny zmienić się narzędzia walki z cyberprzestępcami, skoro obecnie walczymy metodami rodem z XIX wieku?
Musimy działać wspólnie, bo internet stanowił będzie bardziej znaczącą część życia nas wszystkich, a w szczególności naszych dzieci. Kolejne pokolenia będą korzystać z wielu innych usług tylko online. Każdy element ich życia będzie więc uzależniony od bezpieczeństwa transakcji internetowych. Trochę przerażające jest to, że w tak dużym stopniu polegamy dziś na nich. Pokazują to np. efekty tzw. Operacji Troy, czyli szpiegowskiego cyberataku na infrastrukturę krytyczną w Korei Południowej. Dokonała tego grupa Dark Seoul. W efekcie jej działań w marcu 2013 roku niedostępne były np. wszystkie bankomaty w Korei Południowej. Nie można było także korzystać z internetu. To w znaczącym stopniu zaburzyło życie mieszkańców tego kraju. Pomyślmy, że w ciągu 20 lat będziemy w jeszcze większym stopniu uzależnieni od internetu i stojącej za nim infrastruktury.
Dlatego często jeżdżę z wykładami do szkół, aby przekonywać młodych ludzi do wybrania kierunków technicznych, dołączenia do walki z cyberprzestępcami. Tłumaczę, jak ważna jest ona dla ich pokolenia. Konieczna jest także edukacja obywateli. Dzięki temu osoby, których komputery już zostały zarażone przez malware, będą wiedziały, co zrobić, aby go usunąć. W efekcie zmniejszać się będą sieci botnet wykorzystywane przez cyberprzestępców do ataków na całym świecie.
Jedyny jednak sposób, w jaki możemy walczyć z cyberprzestępcami, to partnerstwo publiczno-prywatne. Nikt nie jest w stanie wygrać tej walki w pojedynkę. Także my w Intel Securitys staramy się brać czynny udział w walce z cyberprzestępczością. Dostrzegamy konieczność takich działań. Ja np. działam jako doradca w European Cybercrime Centre – EC3 – stanowiącej część Europolu.
Jak wygląda taka współpraca pomiędzy państwami i firmami komercyjnymi?
Opowiem to na przykładzie działań zmierzających do zlikwidowania sieci BeeBone Botnet. Ich koordynacją zajmował się zespół Joint Cybercrime Action Taskforce – J-CAT – działający w European Cybercrime Centre. W jednym pokoju w J-CAT – aby zapewnić jak najbardziej efektywny sposób komunikacji – pracują przedstawiciele krajów Unii Europejskiej, ale także USA – reprezentowanego przez FBI i Secret Service – oraz rządów Kolumbii, Australii i Kanady.
W przypadku BeeBone Botnet, operacją kierował The Dutch National High Tech Crime Unit – NHTCU – wspierany przez EC3 oraz FBI i Departament Sprawiedliwości USA. Wstępną analizę zagrożenia przeprowadzili specjaliści z Kaspersky Lab. Narzędzie do usuwania złośliwego oprogramowania z zarażonych komputerów przygotował US-CERT. Następnie dystrybuowane było ono przez największych producentów rozwiązań antywirusowych, w tym Intel Security i Symantec. Informację o jego dostępności rozpropagowali dziennikarze. Łącznie informacja ta pojawiła się w kilku tysiącach serwisów na całym świecie. Na końcu byli zaś użytkownicy, którzy skorzystali z oprogramowania do usuwania malware ze swoich komputerów.
Na walkę z BeeBone Botnet złożył się ogromny, wspólny wysiłek dziesiątków tysięcy ludzi na całym świecie. Tego po prostu nie da się dokonać na własną rękę. Nie traktujemy tego jak działalności komercyjnej, żaden z uczestników nie zarabia na tym pieniędzy. To jest coś, co po prostu musimy zrobić dla naszego wspólnego bezpieczeństwa.
Czy można więc powiedzieć, że organizacje międzynarodowe nauczyły się już współpracować ze sobą?
Widać to w skuteczności naszych działań. Współpracują zarówno instytucje państwowe, jak i firmy komercyjne, takie jak Intel Security. W Security Innovation Alliance zrzeszonych jest ponad 140 firm. I nie ma od tego odwrotu. Dlaczego? Co 6 sekund powstaje nowy malware, a liczba ataków typu ransomware rośnie o ponad 50% co kwartał! Gdy analizowaliśmy BeeBone Botnet, okazało się, że dystrybuowany przez tę sieć złośliwy kod zmieniał się 45 razy dziennie! To złośliwe oprogramowanie wykorzystuje nazwę użytkownika i numer seryjny dysku twardego jego komputera do tego, aby się zmieniać. Tak więc mój komputer byłby zarażony inną wersją malware niż Pana. A to tylko jeden malware. Na zarażonym komputerze może być ich nawet 50.
Cyberprzestępcy często w komunikacji wykorzystują zamknięte sieci, takie jak TOR. Czy ich likwidacja ułatwiłaby pracę służb zajmujących się cyberbezpieczeństwem, utrudniłaby działanie przestępcom?
To znakomite pytanie. Trzeba jednak pamiętać, że technologia nie jest zła sama w sobie. Nie jest też dobra. Pomijając negatywne opinie na temat TOR i innych zamkniętych sieci, zrobiły one także dużo dobrego. Osoby, które pomagają nam w zwalczaniu cyberprzestępczości, wykorzystują je do zachowania anonimowości. To jak z samochodem, możemy użyć go do dostarczenia pomocy humanitarnej albo do napadu na bank. Nie możemy jednak obwinić jego producenta za to, że samochód został wykorzystany w przestępstwie. Podobnie z twórcami sieci TOR. To nie ich pomysł jest zły. Po prostu niektórzy ludzie wykorzystują go w złych celach.
A propos anonimowości. Coraz częściej pojawiają się informacje, że np. firmy ubezpieczeniowe będą zbierać wiedzę na temat tego, w jaki sposób jeździmy samochodem i na tej podstawie oferować nam zniżki lub zwiększenie kosztów ubezpieczenia…
… i wielu osobom to w ogóle nie przeszkadza. Ale dotykamy tu ważnego problemu prywatności we współczesnym świecie. Tak naprawdę nigdy nie mieliśmy do czynienia z całkowitą prywatnością, nawet przed tak ogromnym upowszechnieniem się internetu. Notabene antropolog Bradley J. Adams już w roku 1954 – w czasie podróży do małej wioski rybackiej na północy Norwegii – ukuł termin „social network”. Internet nadał jedynie temu zjawisku większej skali. Przyspieszył także sposób, w jaki informacje są wymieniane między nami. Już wcześniej jednak nasza prywatność była naruszana. Nasi znajomi robią to za każdym razem, gdy rozmawiają o nas. Nie mieliśmy dotąd – i nigdy nie będziemy mieli – do czynienia ze 100-proc. prywatnością.
Niemniej jednak nasza wizja prywatności i to, w jaki sposób ją postrzegamy, musi się zmienić. Jak będzie wyglądać w XXI wieku? Z pewnością pojęcie to dla naszych dzieci będzie znaczyć zupełnie co innego niż dla nas. Myśląc o prywatności w przyszłości, musimy brać pod uwagę trzy rzeczy. Po pierwsze, chodzi o naszą świadomą zgodę na zbieranie danych na nasz temat. Dziś często godzimy się na coś, co opisane jest w regulaminach obejmujących dziesiątki stron maszynopisu. Być może zamiast tego powinniśmy udzielać zgody na podanie informacji w jednym, konkretnym celu?
Z tym wiąże się druga rzecz – transparentność. Jeśli dany serwis zobowiąże się co do tego, w jaki sposób przetwarza nasze dane, to nie powinniśmy mieć najmniejszych obaw, że tak właśnie jest. Niestety, dziś często nie ma tej transparentności. Czy ktokolwiek z nas wie, jakie informacje przechowują na nasz temat firmy oraz w jakim celu je wykorzystują? I ile jest takich firm? Dziesiątki? Setki? Tysiące? Jaka to skala, pokazuje chociażby liczba aplikacji na naszym smartfonie. Czy wiem jednak, jakie dane pobierają? Zapewne nie bardzo zdajemy sobie z tego sprawę. Często korzystam z Deezera do słuchania muzyki, ale nie wiem, czy np. nie ma on dostępu do listy moich kontaktów. Gdzie wysyła zbierane dane? Z kim je dzieli? Może właściciel tej aplikacji jest członkiem jakiegoś programu partnerskiego, którego członkowie wymieniają między sobą informacje na temat swoich użytkowników? To tylko potwierdza moją tezę o braku transparentności. Przykładem jest śledztwo duńskiego rządu przeciwko właścicielowi aplikacji WhatsApp, który zbierał znacznie więcej danych, niż zapisał to w regulaminie. Z kolei BBC wyświetliło program o organizacjach humanitarnych. Często proszą one o wypełnienie formularza osobowego. Jak się okazuje, niektóre z nich sprzedają te dane. Zarabiają na informacjach na nasz temat, nie oferując nam nic w zamian.
I tu dochodzimy do trzeciej rzeczy, czyli korzyści, którą otrzymujemy. Czy bylibyśmy zadowoleni z tego, że towarzystwo ubezpieczeniowe zbiera dane za każdym razem, gdy wsiądziemy do naszego samochodu – informacje o tym, gdzie jeździmy i jak szybko? Raczej nie. Gdybyśmy jednak otrzymali bezpłatne ubezpieczenie do końca naszego życia tylko dlatego, że dzielimy się tymi danymi, to sytuacja wyglądałaby zapewne inaczej.
Tak więc oczekiwana korzyść, transparentność i na końcu zgoda na przetwarzanie konkretnych informacji na nasz temat to podstawy prywatności we współczesnym świecie. Jeśli wiem, jaką korzyść uzyskam z podzielenia się ściśle określoną informacją na swój temat, to zgodzę się na jej przetwarzanie. Tymczasem żyjemy w świecie, w którym nie otrzymujemy żadnej korzyści z przetwarzania naszych danych. Jednocześnie dane osobowe to nowego rodzaju „paliwo” – jak ropa kiedyś – napędzające cyfrową gospodarkę. Gdy YouTube został przejęty przez Google, każdy użytkownik wyceniany był na ok. 20 USD. Gdy przejmowano Instagram, było to już 30 USD. Każdy użytkownik WhatsApp został zaś wyceniony na ok. 42 USD. Wartość zbieranych o nas informacji rośnie bardzo szybko. Ile ma z tego pojedynczy użytkownik? Mniej niż zero.
Według danych World Economic Forum, wartość gospodarki opartej na naszych danych osobowych wyniesie w 2020 roku aż 1 trylion euro! A wycena ta dotyczy tylko rynku europejskiego. Tymczasem dziś oddajemy informacje na nasz temat za przysłowiowego cukierka. Co się stanie, gdy ta cyfrowa gospodarka nadejdzie, a my nie będziemy już mieli nic „na sprzedaż”? Producenci samochodów w Europie Zachodniej oferują od 5% do 10% zniżki za możliwość stałego przekazywania danych z zakupionych samochodów, w tym o stylu naszej jazdy. Widać więc, jak dużo są one warte i jak bardzo należy dbać o dane osobowe. Nie wiadomo także, czy będą one bezpieczne. Ja nie instaluję np. rzeczy, których nie potrzebuję. Nie przekazuję również więcej informacji niż te, które są wymagane przez dany serwis. Moja córka – a ma ona 10 lat – także uważa na to, jakie dane udostępnia.
W Europie może pojawić się wkrótce nowe zagrożenie, którym będą inteligentne sieci energetyczne i inteligentne liczniki energii – smart grids i smart metering…
To kolejna sfera życia, którą powinniśmy chronić. Z jednej strony nie ma odwrotu od wdrożenia tego typu rozwiązań. Nie mamy wyjścia ze względu na kurczące się zasoby naturalne. Musimy więc wykorzystywać te, które pozostały, w jak najbardziej efektywny sposób. Jednocześnie technologie takie jak smart grids i smart metering niosą nowe ryzyka. Podobnie jak z autonomicznymi samochodami. Z jednej strony ograniczamy ryzyko wypadków spowodowanych przez ludzi, z drugiej -wzrasta ryzyko „zhakowania” takiego samochodu. Nie może nas to jednak powstrzymywać przed dalszym postępem technologicznym. Niemniej bezpieczeństwo powinno być dodatkowym bodźcem dla innowacji.
Rozmawiał Adam Jadczak
Ceny za stworzenie złośliwego oprogramowania wykorzystującego luki zero-day
Adobe Reader: 5–30 tys. USD
Mac OS X: 20-50 tys. USD
Android: 30–60 tys. USD
Flash / Java Browser Plug-ins: 40–100 tys. USD
Microsoft Word: 50–100 tys. USD
Windows: 60–120 tys. USD
Firefox / Safari: 60–150 tys. USD
Chrome / Internet Explorer: 80–200 tys. USD
iOS: 100–250 tys. USD