Kryminaliści Internet i pieniądze

Przestępstwa w Internecie w coraz większym stopniu stają się dziełem grup zorganizowanych profesjonalistów. Ponieważ takie przestępstwa dokonywane są zazwyczaj w niezwykle szybkim tempie i mają na ogół charakter międzynarodowy, bardzo trudno je zwalczyć.

Przestępstwa w Internecie w coraz większym stopniu stają się dziełem grup zorganizowanych profesjonalistów. Ponieważ takie przestępstwa dokonywane są zazwyczaj w niezwykle szybkim tempie i mają na ogół charakter międzynarodowy, bardzo trudno je zwalczyć.

Internet coraz bardziej przypomina rzeczywisty świat z jego jasną, ale i ciemną stroną. Staje się miejscem zarówno do prowadzenia biznesu, jak i działalności przestępczej. To pole aktywności już nie dla drobnych wandali piszących dla sławy wirusy i trojany, ale dla zorganizowanych profesjonalistów stosujących bonety, masowy spyware czy zaawansowane techniki przechwytywania poufnych informacji. Chodzi już nie tyle o zrobienie jakiejś szkody użytkownikowi sieci, ile o jego ograbienie. Chodzi o pieniądze. W sieci działa już cały czarny rynek, gdzie można kupić hasła do routerów czy całe podsieci, działające jak zombie, często bez wiedzy ich właścicieli. Wielu użytkowników nawet nie wie, że na ich komputerach działają trudne do usunięcia programy, które przechwytują i przesyłają dalej wszystko, co użytkownik wprowadza z klawiatur, w tym identyfikatory i hasła uwierzytelniające wejście do systemów.

Źródło wszelkiego zła

Głównym zagrożeniem w dzisiejszym Internecie pozostaje szkodliwy, złośliwy kod - zarówno sam w sobie, jako taki, jak również jako narzędzie w rękach osób dokonujących przestępczej działalności w sieci. Zgodnie z danymi podawanymi przez Computer Security Institute oraz FBI (zob. CSI/FBI 2005 Computer Crime and Security Sur-vey), właśnie złośliwy kod był przyczyną największych strat w wymiarze finansowym i zajmuje czołową pozycję w rankingu zagrożeń.

Dzieje się tak nie bez przyczyny - wirusy, trojany itd. są wykorzystywane jako budulec i fundament różnorodnych przestępstw komputerowych. Dzięki nim cyberkryminaliści mogą wykradać dane do uwierzytelniania przy logowaniu się na serwisy internetowe, np. do witryn banków elektronicznych, są także w stanie budować rozbudowane sieci służące do wysyłania spamu. Podstawą zdecydowanej większości przestępstw jest zatem odpowiednio spreparowany kod, w takiej czy innej postaci.

Jewgienij Kaspersky

Jewgienij Kaspersky

Podziemie komputerowe staje się coraz bardziej polem działania dla kryminalistów. Aktywnych w tym podziemiu można przypisać do trzech podstawowych grup - wandali, drobnych złodziejaszków oraz profesjonalnych przestępców. Do 2003 r. dominowali przedstawiciele pierwszej z tych grup - dzieciaki zafascynowane tym, że napisany przez nich wirus może wyrządzić szkody tysiącom czy milionom użytkowników na całym świecie. Miarą sukcesu było wówczas zainteresowanie ze strony firm antywirusowych - taki młodzieniec, autor wirusa, czuł się dumny, że "Kaspersky Lab przyznał temu wirusowi status poważnego zagrożenia".

Począwszy od końca lat 90. w Internecie coraz aktywniejsi stali się złodzieje, z których większość wywodziła się właśnie z grupy chuliganów, którzy zorientowali się, że Internet to nie tylko miejsce, w którym można błysnąć przed podobnymi sobie, ale również pole aktywności rosnących rzesz niedoświadczonych i nieświadomych czyhających niebezpieczeństw użytkowników. Można ich było łatwo oskubać z pieniędzy - prawdziwych czy elektronicznych. Nieśmiałe eksperymenty na tym polu rychło czynią z wandala okazyjnego przestępcę, działającego jednak w ograniczonej skali, z dala od zorganizowanej, globalnej przestępczości. Niestety, od jakichś 2 lat coraz aktywniejsi stają się profesjonaliści. Są oni w stanie zatrudniać wysokiej klasy specjalistów, którzy potrafią m.in. wykorzystywać psychologiczną analizę odmiennego podejścia do różnych grup społecznych użytkowników Internetu. Skala działania jest tutaj oczywiście globalna.

Oczywiście można się spierać o skalę zjawiska i zasoby, jakie mają do dyspozycji takie zorganizowane grupy cyberprzestępczości, ale co do jednego nie ma wątpliwości - w ciągu ostatnich lat dokonują się bardzo poważne zmiany w obszarze zagrożeń sieciowych. Głównym problemem nie są już uzdolnione dzieciaki czy studenci informatyki, ale doskonale wyszkoleni i przygotowani przestępcy, którzy działają w jednym konkretnym celu - zarobienia pieniędzy w Internecie. Dopiero teraz zaczniemy dostrzegać, że te ostrzeżenia, formułowane od niedawna przez ekspertów, m.in. z firm antywirusowych, stają się rzeczywistością.

Tak więc przestępczość w dzisiejszym Internecie oparta jest na dwóch nogach: efektywnych technikach rozpowszechniania złośliwego kodu oraz na zorganizowanym charakterze przestępczości sieciowej. Pierwsza z nich to oczywiście dobrze znane zjawiska, jak: spam, kradzież danych w bankowości elektronicznej czy handlu elektronicznym itd., ale druga z nich sprawia, że te zagrożenia przetwarzane są na sposoby zarabiania całkiem realnych pieniędzy.

Zmienność zagrożeń

Proporcje przestępców w sieci

Proporcje przestępców w sieci

Statystyki agend i instytucji zajmujących się bezpieczeństwem sieciowym w różnych zakątkach naszego globu są ze sobą zgodne - w ciągu ostatnich lat byliśmy świadkami istotnych zmian aktywności sieciowych przestępców. Szkody powodowane złośliwym kodem stale rosną, aczkolwiek jednocześnie spada liczba rejestrowanych incydentów wywołanych przez wirusy. Wygląda na to, że atakujący przeszli od technik ekstensywnych do intensywnych. Nasze własne badania statystyczne pozwalają na postawienie tezy, że w ciągu 3-4 ostatnich lat zmniejsza się skala epidemii wywołanych przez wirusy, ale jest to wynikiem zmiany taktyki atakujących i stosowanych przez nich sposobów postępowania. To rzecz bardzo istotna, na ile te zmiany są wynikiem postępu po stronie firm antywirusowych i wzrostu efektywności działania agend rządowych zajmujących się ściganiem przestępstw komputerowych.

Firmom antywirusowym udało się efektywnie przeciwdziałać grożącym epidemiom sieciowym w ub.r. głównie dzięki temu, że istotnie spadł czas przygotowania szczepionek na nowe wirusy (wg danych podawanych przez University of Magdeburg -http://www.av-test.org - spadł on z wielu godzin do 30-40 min). W naszym laboratorium wirusowym w Kapersky Lab udaje się nam to już w ciągu 15-20 min (http://www.kapersky.com/viruswatch ).

Oczywiście liczy się sumaryczny czas wykrycia zagrożenia, przygotowania szczepionki i jej dystrybucji. Firmom antywirusowym udało się istotnie skrócić czas dostarczania aktualizacji do swoich narzędzi. Nowe wirusy i inne techniki ataków sieciowych wykrywane są w sposób aktywny, poprzez wykorzystanie heurystyk przy analizie ruchu w sieci, zaawansowane monitorowanie szkieletu Internetu, budowę pułapek (honeypots). Moja firma starała się zrobić wiele, by przyspieszyć realizację wewnętrznych zadań, polegających głównie na analizie podejrzanych obiektów i przygotowywaniu środków zaradczych - dopracowaliśmy się własnych narzędzi analizy binarnej, dzięki którym możemy się chwalić jednymi z najlepszych czasów reakcji.

Oczywiście firmy zajmujące się wytwarzaniem oprogramowania antywirusowego nie rozwiążą wszystkich problemów. Pozostaje wiele do zrobienia dla aparatu ścigania i wymiaru sprawiedliwości, by łapać odpowiedzialnych za cyberprzestępstwa i później sprawić, by faktycznie odpowiadali karnie za popełnione czyny. Tutaj duże znaczenie miała akcja Microsoftu, który zaoferował znaczące nagrody dla tych, którzy przyczynią się do aresztowania twórców wirusów komputerowych. Wszelki sceptycyzm w tej mierze powinien się rozwiać z chwilą skazania twórców wirusów Sasser i NetSky. W wielu krajach toczą się postępowania związane z kradzieżami numerów kart kredytowych, które to kradzieże dotyczą sieci. Pojawiły się także nowe rozwiązania prawne pozwalające na efektywniejszą walkę ze spamerami. Połączony wysiłek firm antywirusowych i agend rządowych zajmujących się ściganiem przestępstw komputerowych sprawił, że spadła ostatnio liczba zainfekowanych komputerów. Ale środowiska przestępcze oczywiście nie pozostały bierne i zmieniły nieco taktykę swojego postępowania - zamiast ogólnoświatowych działań starają się one skupiać na skali lokalnej, np. wprowadzając wirusy do małej podsieci, zamiast robić to w skali kraju czy kontynentu. Wtedy znacznie trudniej firmom antywirusowym wykryć i zneutralizować zagrożenie. Inaczej też odbywa się infekowanie komputerów - dawniej wykorzystywana była do tego głównie poczta elektroniczna, dzisiaj spam w połączeniu z przejętymi serwerami WWW .

Wartość przestępstw interetowych

Wartość przestępstw interetowych

Z drugiej strony widać, że twórcy wirusów zaczynają ze sobą współpracować, ale także rywalizować. Tutaj widać swoiste wojny wirusowe, zainicjowane w 2004 r. przez autorów Bagle, Mydoom i NetSky - często pojawiają się np. nowsze wersje wirusów zawierające komunikaty przeznaczone dla innych grup twórców, czy kod zwalczający kody wirusów innej grupy. Rzecz jasna oznacza to, że użytkownicy, na ogół nie mając o tym żadnej wiedzy, udostępniają część swoich zasobów komputerowych na pole prowadzenia takich bitew.

Twórcy wirusów mają także nową taktykę wykorzystującą brak faktycznej współpracy pomiędzy firmami antywirusowymi. Wykorzystywane są tutaj funkcjonalności tych programów w zakresie blokowania najbardziej popularnych wirusów na zainfekowanych komputerach - szuka się luk i błędów właśnie w oprogramowaniu antywirusowym. Oczywiście powstają też programy, które udają , antyspamowe czy też usuwające szpiegów (spyware).

Co nas czeka w przyszłości?

To kluczowe pytanie. Możemy jednak przewidywać ze stosunkowo dużą dokładnością, w jaki sposób rozwiną się zagrożenia w Internecie. Następnym logicznym krokiem ze strony atakujących jest wykorzystanie nowych platform, takich jak smartfony i telefony komórkowe.

Zagrożenia będą tu podobne jak w przypadku starych systemów IT: kradzież poufnych informacji, utrata danych, spam i ataki DoS. To się stanie wtedy, gdy osiągnięta zostanie masa krytyczna liczby użytkowników takich urządzeń. Sądząc po dynamice wzrostu tego rynku i informacjach o pierwszych eksperymentach twórców wirusów na te nowe platformy, można sądzić, że stanie się to za jakieś 2-3 lata. Co więcej, całkiem możliwe, że zaraz po inteligentnych komunikatorach uwaga przestępców zwróci się w stronę inteligentnych domów, gdzie za kilka lat wiele urządzeń będzie skomputeryzowanych, połączonych w sieć i wyposażonych w elementy sztucznej inteligencji.

Spodziewamy się również tego, że wraz z upływem czasu sieciowe grupy kryminalne staną się bardziej złożone, zorganizowane i strukturalizowane, co w połączeniu z nowymi rozwiązaniami technologicznymi pozwoli im na znacznie efektywniejsze działania w Internecie.

Oczywiście nie tylko świat tych "złych" się rozwija, cały czas przecież pracują firmy antywirusowe, eksperci ds. bezpieczeństwa sieci i agendy rządowe.

Zmagania trwają i nie są rozstrzygnięte, nowe zabezpieczenia idą łeb w łeb z nowymi zagrożeniami.

Sieciowi szantażyści

Jednym z ostatnich trendów sieciowej przestępczości są listy ze swoistą formą szantażu. Włamywacze szukają słabych punktów serwera WWW, włamują się na niego, kopiują zawartość i kasują dane z serwera. Jego właściciel otrzymuje e-mail, że jeśli zapłaci określoną sumę, to odzyska dane. Stosuje się również ataki na dostępne zasoby, w tym najczęściej spotykany atak DoS (Denial of Service). Tutaj mamy do czynienia z czymś na kształt znanego z działań mafii rosyjskiej "reketu" - "Nie damy ci spokoju, dopóki się nam nie będziesz opłacał". Serwer WWW dopóty jest blokowany, dopóki jego właściciel nie dogada się z przestępcami. Powszechnie stosuje się także bardziej prymitywne metody, np. wykorzystanie podłączonych do komputera linii telefonicznych do dzwonienia na drogie numery międzynarodowe o podwyższonej płatności (oczywiście po uprzednim nieautoryzowanym wejściu na komputer danego użytkownika, który może sobie zdać sprawę z powagi sytuacji dopiero po otrzymaniu gigantycznego rachunku od operatora telekomunikacyjnego za połączenia z wyspami Cooka).

Jewgienij jest jednym z najważniejszych na świecie ekspertów w zakresie ochrony antywirusowej. Założyciel firmy Kaspersky Lab. Autor wielu artykułów, występuje na licznych konferencjach na całym świecie. Członek Computer Antivirus Researchers Organization (CARO); organizacji zrzeszającej ekspertów z całego świata.

Jewgienij Kaspersky jest gościem specjalnym XXI Jesiennej Szkoły Polskiego Towarzystwa Informatycznego (http://www.mragowo.pti.org.pl ), która odbędzie się 5-9 grudnia br. w Wiśle.

(oprac. peg)