Cyfrowi kryminaliści spuszczają nam spory łomot. "Ale mamy coś, czego nie mają oni"

Krzysztof Majdan
Cyfrowy świat nam ucieka, coraz trudniej za nim nadążyć, a liczba zagrożeń tylko rośnie. Niedawno stalker dopadł ofiarę, analizując budynki odbite w jej oku na zdjęciu wrzuconym do sieci. O przerażających możliwościach cyfrowych kryminalistów rozmawiam z Chesterem "Chetem" Wisniewskim, szefem analityków bezpieczeństwa w Sophos.
Chester "Chet" Wisniewski, Principal Research Scientist w Sophos Fot. Sophos
Otwieram twojego bloga i trochę mnie zmroziło. Czytam historię o tym, jak stalker znalazł kobietę, analizując odbicia budynków w jej oku - na zdjęciu, które wrzuciła do sieci.

Tak, to lokalna celebrytka, piosenkarka. Mężczyzna namierzył konkretną stację metra w Tokio, a później jej mieszkanie.

Creepy!

Zgadza się. I takich sytuacji będziemy mieć coraz więcej.

Czy ty byś w ogóle pomyślał o czymś takim, że się tak da, zanim poznałeś tę historię?

Oczywiście. Robię to cały czas.

Co, prześladujesz ludzi?

(śmiech) Nie! Za każdym razem, gdy widzę fotografię, szukam ukrytych informacji, powiększam, edytuję w programie. Zdziwiłbyś się, ile na niepozornym zdjęciu można znaleźć – np. rachunki na biurku z danymi finansowymi czy datą urodzenia. Weźmy współczesne telefony z obiektywami 6, 8 czy 10 MP – przy takiej rozdzielczości znajdziesz niemal wszystko. Ludzie często robiąc zdjęcie, nie myślą o tym, jakie informacje zdradzają. Mowa o nieświadomych, nie czystej głupocie.


Czystej głupocie?

Są na Twitterze konta, które podają dalej wyłącznie zdjęcia kart kredytowych wrzucone przez kogoś do sieci.

Siedzi sobie Mark Zuckerberg i opowiada, że chce przejąć kontrolę nad światem. Deepfakes to jeszcze nie problem, ale nim będzie.

Dokładnie, to nieprawdziwe zdarzenie, ale profesjonalnie zrealizowane. Nie do końca wiem, jak temu zaradzić. Wyobrażam sobie, że kamery będą cyfrowo podpisywały zdjęcie, które zrobią. A to, co było sfotografowane lub sfilmowane przed, stanie się niewiarygodne. Na szczęście większość ludzi da się wyedukować, dlatego szukam tych informacji na zdjęciach, to świetne przykłady w szkoleniach.

Ale wiesz, że dla większości ludzi szukanie takich informacji na zdjęciach jest ekstremalnie dziwne?

Wiem.

Prowadzi mnie to do pytania, czy aby być dobrym ekspertem od cyberbezpieczeństwa, trzeba być trochę paranoikiem.

Z grubsza rzecz biorąc, tak.

Coś bez przekonania to mówisz.

Trochę zdrowej paranoi nie zaszkodzi, świadomość, że wszystko dookoła może cię jakoś zdradzić, zarówno jeśli jesteś ekspertem czy zwykłym użytkownikiem. Nie musisz, kierowany paranoją, czegoś robić prewencyjnie, wystarczy, że się będziesz uczyć. Wystarczy, że wiesz, iż zdjęcia mogą zdradzać informacje, więc nie dasz amunicji przestępcom. Voltaire powiedział, że perfekcyjne jest wrogiem dobrego. Podejmujmy dobre decyzje.

Znam takich, którzy mają osobne konta z kartami do wypłat w bankomatach czy zakupów online, osobne komórki, stare, bez internetu, do smsów autoryzacyjnych. U ciebie to się jakoś objawia?

Niespecjalnie. Nie używam Instagrama albo Facebooka świadomie, nie ufam tym zbiorom danych osobowych i reklamowych, zwanych siecią społecznościową. Używam Twittera, by komunikować się ze światem. Do prywatnych wiadomości używam Signal – te dwa światy się nie krzyżują. Nie rezygnuję z wygody technologii, po prostu zarządzam ryzykiem świadomie.

Ty się kiedyś nudzisz w swojej pracy?

Nie, zupełnie nie. Analizujemy wyniki badań, skuteczność naszych narzędzi, wzorce zachowań przestępców, próbujemy przewidzieć ich następny ruch. Część z tego to ofensywne badania.

Ofensywne?

Rozmontowałem głośnik Amazon Echo z asystentem głosowym Alexa, zajął mi połowę kuchni. Chcę dokładnie sprawdzić, jakie informacje i kiedy głośnik wysyła do Amazona, czy słucha ciągle, czy tylko czasami. Żeby to zrobić, musiałem go rozmontować, zrootować i zmodyfikować oprogramowanie.

Znalazłeś coś?

Jeszcze nie.

Jeszcze?

Cokolwiek z tego wyjdzie, czy znajdę coś niewłaściwego czy też nie, opiszę to. Pojawia się wiele oskarżeń czy podejrzeń pod adresem Alexy, ja chcę je rozwiać.
Chester "Chet" Wisniewski, Principal Research Scientist w SophosFot. Sophos
Jak to się u ciebie zaczęło? Byłeś cyfrowym łobuzem, jak Kevin Mitnick?

Ach, Kevin Mitnick, ten to był dopiero. Nie, nie jak on. Zacząłem się tym interesować w latach 80. Stopniowo docierało do mnie, jak łatwo było się wszędzie dostać, zabezpieczenia były fikcją, nikt o nich nie myślał. Ale na serio wziąłem się za to w połowie lat 90. Wcześniej byłem za młody, a po takich zdarzeniach, jak przypadek Kevina Poulsena, dziś redaktora Wired, który odsiedział trochę czasu w więzieniu za hakowanie w młodości, biznes się nagle obudził – że ataki są realne, że straty finansowe są realne. Wszędzie na świecie ta pobudka rozgrywała się podobnie, ale w innym czasie. Wtedy było łatwiej.

Dlaczego łatwiej?

Branża rozwijała się wolniej. Mogłeś stopniowo uczyć się, jak coś jest zbudowane i jak coś działa, by budować mechanizmy obronne, np. pierwsze firewalle. Uczyliśmy się tego na bieżąco. Dziś mamy 20-latka na półmetku studiów, który w 12 czy 18 miesięcy musi nauczyć się tego, co my w 30 lat. Rozwiązania bezpieczeństwa buduje młodsze pokolenie, zastanawiam się, czy nie popełni tych samych błędów, co my. Budowa technologii bez myślenia o bezpieczeństwie, dodawanie zabezpieczeń później, jako warstwy, co jest nieskuteczne. Budowa na mylnym założeniu, które wciąż pokutuje, że jak jesteś już wewnątrz sieci, to jesteś bezpieczny. Tymczasem jeden zhakowany użytkownik oznacza zwykle dostęp do całej sieci.

Świat cyberprzestrzeni, z zagrożeniami i mechanizmami obronnymi, ewoluuje. Wciąż jesteśmy krok w tyle za tymi złymi?


Cóż, poprawiamy się, nie powiem, że nadganiamy, oba sektory idą do przodu.

Na przykład?

Gdybyśmy tu siedzieli 10 lat temu, a ty byś zapytał, jakie jest obecnie największe cyberzagrożenie, odpowiedziałbym, że ataki wykorzystujące podatności przeglądarek, javę, flasha itd. Kiedyś to było 80-90 proc. ataków. Dziś 2 proc.

Dlaczego?

Jesteśmy skuteczniejsi, a użytkownicy – bardziej świadomi. Wciskają ten przycisk aktualizacji systemu, choć to niedogodne. Ludzie zaczęli słuchać, zauważać. Zatem kiedy jesteś na pozycji cyberprzestępcy, atak poprzez przeglądarkę jest bardzo trudny, nie będziesz zawracać sobie tym głowy, zmienisz metodę.

Na jaką?

Email. Zamiast cię frontalnie atakować, próbują cię przechytrzyć, wykiwać. Zatem teraz nasza praca polega na edukacji ludzi, jak to rozpoznać. Rozwijamy się, niestety jesteśmy w tyle. Oba te światy nakręca chciwość.

Co masz na myśli?

Kapitalizm rządzi naszym światem, rządzi też przestępczym światem, choć ma różne oblicza. To, co jest relatywnie nowe po stronie przestępczej, obserwujemy to coraz wyraźniej, to zróżnicowanie i podział obowiązków. Ktoś przekupuje kelnerkę, by kopiowała dane z kart kredytowych. Ona nie będzie ich w domu po godzinach podrabiać. Ty też nie, raczej sprzedasz te dane za połowę wartości komuś, kto jest wyspecjalizowany w ich spieniężaniu – np. wykorzystywaniu tego w sklepach. Specjalizacja się pogłębia, dlatego przestępcy są coraz bardziej skuteczni.

A czy outsourcing czy podział obowiązków nie istniał tam od zawsze w jakiejś formie?

Nie. To znaczy, sytuację powyższą obserwujemy od ok. 20 lat. Nowością jest segmentacja tego środowiska, kiedyś amatorzy byli przemieszani z profesjonalistami, komunikowali się w tych samych miejscach, teraz coraz wyraźniej widać podział. Amatorzy skupiają się na darmowych lub kradzionych narzędziach. Ich ataki są uciążliwe dla ludzi, robią dużo hałasu, ale jest z tego kiepski zarobek. To znaczy, jest ogromna dysproporcja pomiędzy tym, ile robią szumu, a tym, ile w praktyce zarabiają. Nic wyrafinowanego.

A profesjonaliści?

Zwarli szeregi. Wycinają słabe ogniwa, kogoś, kto przez brak umiejętności bądź zapalczywość może ściągnąć na nich organy ścigania. Co więcej, przy danym ataku zaobserwowaliśmy minimum 5 różnych grup, które ze sobą współpracują, tworzą i dystrybuują złośliwe oprogramowanie, mają swoich podwykonawców, którzy np. instalują ransomware na jakiejś próbie organizacji [oprogramowanie blokujące komputer w zamian za okup – przyp. red.]. Nie komunikują się też tam, gdzie wcześniej, gdzie to widzieliśmy. To oznacza, że jest tam jakaś zależność osobowa, zaufanie. Zupełna zmiana modelu.

Jak wcześniej zarabiali profesjonaliści?

Powiedzmy, że ktoś miał botnet, sprzedawał go jako usługę. W stylu: mamy 10 tys. ofiar dziennie, za 2 dol. za pojedynczego użytkownika, rozpowszechnię jakiekolwiek złośliwe oprogramowanie chcesz. To już nieaktualne, świat ten stał się hermetyczny i przez to trudniejszy w rozpracowaniu.

Brzmi, jak opis strony, która w tym konflikcie mocno przegrywa.

Nie jest aż tak źle. Mamy coś, czego nie mają oni.

Co takiego?

Sztuczną inteligencję.

To nasza przewaga?

Tak. Kryminaliści nie używają rozwiązań sztucznej inteligencji czy uczenia maszynowego. Nie mówię oczywiście, że nie zaczną.

Dlaczego teraz nie używają?

Bo nie mają zasobów. Sztuczna inteligencja jest jak pies na służbie, który jest szkolony do wykrywania narkotyków. Mówimy jej: pokaż mi rzeczy, które pachną dziwnie, ale nie są narkotykami, jakie nauczyliśmy cię wykrywać. Sztuczna inteligencja nie wie, czy coś jest dobre czy złe, nie stopniuje, analizuje.

Właśnie, nie wie, co jest dobre, a co złe. Co ich powstrzymuje w użyciu jej do złych celów?

Nie mają naukowców wyspecjalizowanych w analizie wielkich zbiorów danych [data scientists – przyp. Red.]. Jest na nich ogromne zapotrzebowanie. Jako data scientist mogę zarobić dużo pieniędzy, wystarczy mi na spory dom pod miastem i częste wypady z dziećmi do Disneylandu, po co mam ryzykować, pracując dla hakerów? To nam, dobrej stronie, otwiera całkiem nowe pole możliwości. Wiesz, ile próbek złośliwego oprogramowania trafia każdego dnia do laboratoriów Sophos?

Nie wiem. Ile?

Około 450 tysięcy. Tymczasem gdy próbujemy wykryć ransomware, wolumen ataków jest dość niski, 10-15 dziennie. I teraz znajdź w tych 450 tysiącach próbki oprogramowania wykorzystanego przy tych konkretnych atakach. Niemożliwe, człowiek tego nie przerobi, nigdy. Dziś, dzięki analizie danych gromadzonych przez SI, możemy w tym gąszczu danych znaleźć to, czego akurat potrzebujemy. Zatem, upraszczając trochę, tam, gdzie potrzebna brutalna siła, przestępcy mają przewagę, a tam, gdzie w grę wchodzi finezja, to nasz obszar.

Jaki jest obecnie najpowszechniej wykorzystywany rodzaj inżynierii społecznej?

Porywanie wątków. To bardzo niebezpieczne, bo sam mógłbym się na to złapać.

Nawet ty? Jak to działa?

Zamysłem jest zainfekowanie komputera, by dostać się do skrzynki mailowej danej osoby i ją skopiować. Następnie wyszukuje się wątki wiadomości, które mają wiele odpowiedzi i jak najwięcej osób dołączonych do wiadomości. Atakujący wkrada się do wątku, rozsyła np. maila o aktualizacji projektu, a w rzeczywistości to złośliwe oprogramowanie. Przestępca podszywa się pod osobę, której przejął skrzynkę, co dodatkowo uwiarygadnia procedurę. Bo weźmy mail od szefa z aktualizacją – przecież byśmy go otworzyli. Bardzo wielu ludzi się na to nabiera.

Na nigeryjskiego księcia już nie działa?

Działa, to bardzo powszechne, ale uodporniliśmy się na to, jak wspomniałem wcześniej, ludzie się uczą. Powiedzmy, że na 10 adresatów takich wiadomości, tylko 2 da się na to złapać. Gorzej, że ludzie ich nie zgłaszają jako spam czy próbę oszustwa, od razu usuwają. A gdyby zgłaszali, mielibyśmy większe możliwości, by te 2 osoby obronić lub zareagować szybko nawet po tym, gdy pobrali zainfekowane oprogramowanie. Bo problem z inżynierią społeczną jest taki, że technologia nigdy go nie rozwiąże, może ograniczyć, ale nie rozwiąże. Ludzie są ludźmi.

W firmach to też działa?


Tak, jak najbardziej. Tylko nie w wersji na nigeryjskiego księcia, lecz innej. W zeszłym roku ktoś w próbie kradzieży podawał się za naszego dyrektora finansowego. W ogóle rekomendujemy firmom, by wprowadziły pewne procedury – dwustopniową weryfikację, głosem i pismem.

Na przykład?

Dział finansowy w firmie X. Płaci zobowiązania, wykonuje codzienne, normalne operacje. I dostaje maila, że trzeba zmienić numer rachunku w tej czy tamtej płatności. My sugerujemy, by wprowadzić dwa potwierdzenia – dostanie takiego maila, w porządku, ale jeszcze dzwoni do przełożonego, czy aby na pewno. To nic nie kosztuje, to tylko procedura, a ile może zmienić.