Običajna prispodoba, ki jo uporabljamo, je, da smo internetni gasilci. Ljudje nam lahko prijavijo kakršnokoli zlorabo, ki jo opazijo. Na podlagi te prijave opravimo prvo oceno, da sploh vidimo, za kaj gre, nato incident kategoriziramo in na podlagi tega ukrepamo. Določene stvari zaznamo tudi sami, imamo pa tudi mednarodne kanale, preko katerih si izmenjujemo informacije. Reakcija na incidente je naša osnovna dejavnost, imamo pa še drugo vlogo – skrb za ozaveščanje in izobraževanje, torej za preventivo.
Kaj sploh je incident in kakšen je vaš reakcijski čas?Pri bolj enostavnem primeru, recimo kraji identitete na facebooku, lahko to z nasvetom rešimo v enem samem dnevu. Pri klasičnem vdoru v strežnik z analizo dogodka najdemo varnostno luknjo in način napada, kar zahteva nekoliko več dela. Pri phishing straneh, preko katerih kradejo gesla, odstranitev s spleta včasih dosežemo le nekaj ur po prejetju obvestila. Sledenje botnetu je že težje – običajno pomeni analizo programske kode in omrežne komunikacije ter vključitev v sam botnet, kar časovno pomeni tudi nekaj tednov. Pri ddos-napadih z onemogočanjem pa smo uspešni šele po več ponovitvah napada, ko iz drobcev sledi na omrežju začnemo sestavljati mozaik, za katerim se skriva storilec. Lahko pa gre za akcijo, kot je bila ta zadnja, ko je policija tudi na podlagi naših informacij izvedla dvanajst hišnih preiskav zaradi izpraznitve bančnih računov. Ta preiskava je potekala od lanskega aprila do konca marca letos, torej skoraj eno leto.
Kaj hočem reči: incidenti so si po naravi zelo različni, vsekakor pa se potrudimo, da se odzovemo v roku enega dneva, sploh če gre za situacijo, ki zahteva takojšnji odgovor. Če pa gre za kakšno bolj splošno vprašanje, smo nekoliko bolj sproščeni in si vzamemo kakšen dan več.
Če poenostavim, vaša glavna funkcija je, da na spletu lovite »slabe fante«?Tako je, to je naša primarna funkcija. Tudi preventivno delovanje je zraslo iz lovljenja hekerjev, če malo karikiram. Počasi se je utrdilo zavedanje, da lahko preventiva pomaga pri preprečevanju incidentov, tako kot na vseh drugih področjih.
Pa prestopnike iščete aktivno ali to prepuščate policistom?Uradni pregon je delo policije, mi teh pooblastil nimamo. Naša naloga je, da ugotovimo vzroke, zakaj je do nekega varnostnega incidenta prišlo, od kod prihaja napad in kako preprečiti njegove nadaljnje pojave. Vsekakor pa s policijo v procesu iskanja storilcev sodelujemo, vemo namreč, kakšni ukrepi nas lahko pripeljejo do dokazov, policija pa ima pooblastila, da tudi od drugih akterjev zahteva polno sodelovanje in izročitev določenih podatkov.
Bi rekli, da ste uspešni pri svojem delu?Moram reči, da sem bil kar zadovoljen, ko sem prejel priznanje FBI, to priznanje jemljem točno tako, kot dokaz, da to, kar počnemo, počnemo na ustrezen način.
Kako velika je vaša ekipa?Za zdaj smo samo štirje, trije smo zadolženi na incidente, sodelavka pa skrbi za program ozaveščanja varninainternetu.si.
Je to za Slovenijo dovolj?Ni. Razpeti smo do svojih skrajnih zmožnosti. Na prevzemanje dodatnih nalog ne moremo niti pomisliti. Že nekaj let zapored opažamo porast incidentov za 50 do 60 odstotkov na leto, tako da nujno potrebujemo okrepitve.
Koliko primerov ste imeli lani?Lani smo obdelali 1250 incidentov, kar takole čez palec pomeni, da je vsak od nas obdelal približno 400 incidentov. Pomanjkanje kadra se lahko pokaže predvsem pri večjih, dalj časa trajajočih incidentih, ki zahtevajo več pozornosti, zmanjka namreč časa za globlje preučevanje.
Kaj trenutno predstavlja največjo nevarnost za povprečnega uporabnika na spletu?Povprečen uporabnik je najbolj izpostavljen raznoraznim goljufijam, to je tista grožnja, ki zajema najširše število ljudi. Gre za klasične tako imenovane nigerijske prevare, ki se jim dostikrat smejimo, vseeno pa njihovih žrtev ni malo. Lani smo imeli tudi okoli sto primerov izsiljevalskih virusov, ki vam zaklenejo računalnik. Na zaslon dobite obvestilo, da je računalnik lahko ponovno vaš, če na ta in ta račun nakažete denar. Znesek je lahko petdeset ali sto evrov, uporabnik pa naj bi po plačilu po elektronski pošti prejel kodo za odklep. Torej, goljufije, izsiljevalski virusi, na pohodu pa so tudi trojanci za krajo denarja prek spletnega bančništva. Najbolj znani predstavniki tovrstnih trojancev, kot je na primer SpyEye, ki so bili napisani za znane tuje banke, so začeli ciljati tudi komitente naših največjih bank.
Zakaj šele zdaj?Menimo, da zaradi majhnosti naših bank v globalnem merilu za organizirani kriminal, ki naroča pisanje tovrstnih programov, doslej nismo bili zanimivi. Investicija se jim je prej povrnila pri velikih svetovnih bankah, ujeli so večje število posameznikov. Do nedavnega je bila ovira tudi jezik; danes imate orodja, kot je google translate, in tudi polomljena slovenščina poveča možnosti, da bo nekdo kliknil na povezavo in okužil svoj računalnik.
Postali smo torej tarče tujih goljufov?Lani smo zabeležili tako primere domače hekerske združbe kot tudi različne poskuse iz tujine. Razlogov za paniko ni, vsekakor pa je to nekaj, o čemer bomo morali v prihodnje razmišljati.
Kako pride do okužbe s trojanci?Najbolj razširjena načina sta dva. Prvi, povsem trivialen, je elektronska pošta. V nabiralnik prejmete sporočilo s priponko, ki je sestavljeno tako, da jo boste kliknili. Škoda je narejena. Mnogi uporabniki sploh ne preberejo sporočila, ki se jim pojavi ob kliku na priponko, temveč samo čim hitreje potrdijo ukaz. Drugi način smo v slovenščino prevedli kot »okužbo v mimohodu«. Gre za to, da kriminalci vdrejo v spletna mesta, ki jih obiskuje veliko število uporabnikov. Namesto da bi naredili večjo škodo, zgolj podtaknejo manjši element, ki vodi na neki oddaljen strežnik, od koder se nato ob obisku tega spletnega mesta preko luknje v brskalniku na računalnik obiskovalca naloži virus. Ta nato prestreza gesla za elektronsko pošto ali za bančništvo, vaš računalnik pa lahko na daljavo izkoristijo tudi za številna druga opravila, na primer pošiljanje neželene elektronske pošte ali celo izvajanje ddos-napadov.
En sam škodljiv program ti torej krade podatke, prazni bančne račune, obenem pa tvoj računalnik izkoristi še za druge naloge?Da, virus, trojanec, internetni črv in druge oblike zlonamerne kode, ki smo jih včasih razlikovali, so konvergirali v eno samo multifunkcijsko napravo, ki jo lahko upravljajo na daljavo.
Kako poteka njihovo preučevanje?Če nam uspe dobiti kakšen primerek, imamo v ta namen manjši laboratorij – nekaj računalnikov, ki niso povezani v internet – kamor spustimo tega črva in opazujemo njegovo obnašanje: kam se poskuša namestiti, kaj napada, naredimo lahko tudi reverzni inženiring kode. Na ta način lahko pridemo do nadzornih strežnikov, z nekaj sreče pa celo do operaterjev nadzornih strežnikov.
Omenila sva že omrežja okuženih računalnikov, ki jih zlonamerni programerji uporabljajo za razpošiljanje neželene pošte. Z elektronsko pošto, ki nam ponuja viagro in najrazličnejše preparate, se sooča praktično vsak uporabnik spleta. Kdo stoji za tem početjem?Za tem je organizirani kriminal, večina sledi pa vodi v Rusijo.
Zakaj prav v Rusijo?Zato, ker so tam ugodni pogoji za razcvet tovrstnih »poslovnih modelov«. Ni regulacije niti pregona. Ne gre pa samo za viagro, temveč za celo podtalno industrijo zdravil. Farmacevtske tovarne, recimo v Indiji, v tretji izmeni delajo enaka zdravila kot v prvih dveh za naročnika v Rusiji. Bistvo pri problemu neželene pošte pa je, da določeno število ljudi še vedno odpre tiste povezave. Ljudje na črnem trgu kupujejo zdravila, ki jih nujno potrebujejo, dobijo pa jih bistveno ceneje. Nobenega drugega razloga ne more biti, da zadeva funkcionira. Če bi neželeno pošto vsi ignorirali, bi izginila. Se pa tudi Rusija prebuja, vendar počasi. Ameriški novinar Brian Krebs, ki se ukvarja s kiberkriminalom, je veliko pisal o povezavah poslovnežev, ki se ukvarjajo z omenjenim početjem, z ruskimi lokalnimi politiki.
To je verjetno tudi eden od razlogov, da je Rusija toliko časa spala?O tem lahko samo ugibava, vendar se nekateri zaključki ponujajo kar sami od sebe.
Katere države so še raj za tovrstne kriminalce?Nigerijske prevare, ne boste verjeli, dejansko vodijo v Nigerijo in Gano, sledi ciljanih napadov pa praktično vedno kažejo v smer Kitajske. Če sva prej govorila o široko trosenih napadih, ki želijo ujeti kar največje možno število žrtev, imajo ciljani napadi za tarčo točno določen računalnik ali osebo z imenom in priimkom.
Zdaj sva s področja organiziranega kriminala prešla na državne igralce, vendar se v to smer seli tudi težišče kibernetskih napadov, kajne?Da, eden prvih takšnih primerov je bil Stuxnet, virus, ki je onesposobil centrifuge v jedrski elektrarni v Natancu, kjer naj bi Iran domnevno razvijal jedrsko orožje. Ta nam je dejansko odprl oči. Ameriški predsednik Barack Obama je potem posredno priznal, da za tem napadom stojijo ZDA.
Kakšni pa so nameni Kitajske? Veliko prahu dvignilo je odkritje posebne hekerske enote za kibernetsko vojskovanje, ki naj bi jo sponzorirala kitajska armada.Njihov cilj je predvsem špijonaža. Američani trdijo, da naj bi na ta način pridobili zaupne podatke iz podjetja Lockheed Martin, ki proizvaja orožje za vojsko ZDA. Ciljane napade, ki so izvirali s kitajskih strežnikov, smo zaznali tudi pri nekaterih naših državnih uradnikih.
Slovenskih?Da. Ko smo jih analizirali, smo ugotovili, da v večini primerov ni prišlo do izpostavljenosti občutljivih podatkov in ni nastala nobena škoda. Nismo pa mi njihova primarna tarča, do določene mere smo zanje zanimivi zaradi članstva v EU, tarče so bili ljudje, zaposleni na različnih ministrstvih, ki sodelujejo v različnih mednarodnih delovnih skupinah. Tako jih tudi najdejo, na podlagi objavljenih seznamov udeležencev sestankov.
Tuje države v vedno večji meri novačijo hekerje, ZDA so napovedale občutno povečanje enot za kibernetsko varnost. Kaj pa slovenska država?Vojska ima v generalštabu oddelek za informacijsko tehnologijo, tudi oni se zavedajo, da bo treba na tem področju v prihodnje več delati. Na splošno pa je pri nas še veliko priložnosti za izboljšave.
Je slovenska hekerska scena pri nas dovolj razvita, da bi se iz tega bazena lahko kadrovsko napajala vojska, Sova, nenazadnje SI-CERT?Na splošno je tega znanja pri nas dovolj, poznamo posameznike, ki so sposobni, ki imajo talent in znanje. Sem optimist. Če bi dobili dovoljenje za zaposlitev novih kadrov, bi gotovo našli ljudi, ki bi lahko zelo kvalitetno opravljali svoje delo.
Občutek imam, da veliko programerjev s tem znanjem prihaja iz Maribora in okolice. Dober primer je razvpiti Iserdo, domnevni pisec botneta Mariposa. Je kaj na tem?Rekel bi, da se v Mariboru to pojavlja iz drugih vzrokov, predvsem ekonomskih in družbenih. Te razmere ljudi silijo, da hitreje prestopijo na »temno stran«, če lahko uporabim to prispodobo.
Je zlonamerna koda orodje oziroma orožje 21. stoletja?Je. Definitivno. Vedno večji poudarek se daje škodljivi kodi, tako da je jasno, da bomo morali temu prilagoditi svoje kapacitete tudi na državni ravni. Je pa vprašanje, kako dobro zaznavo imamo na tem področju, postavlja se tudi vprašanje, kaj narediti v primeru veliko bolj sofisticiranih napadov, ki bi se lahko zgodili. Država bo morala temu nameniti posebno pozornost. Treba bo pridobiti strokovnjake, ki bodo tem nalogam kos.
Koliko je pri nas napadov, ki ostanejo neodkriti?Tega pa ne morem vedeti, ker so neodkriti, če se nekoliko pošalim. V povprečju in zelo čez palec bi rekel, da zaznamo kakšno polovico, pri ciljanih napadih verjetno še manj kot pol. Je pa to seveda samo moj občutek.
Če bi vsi uporabniki uporabljali požarne zidove in protivirusne programe, bi te nadloge izginile?Ne. Protivirusni programi so vsekakor nuja, vendar tudi ti, ki pišejo viruse, svoje izdelke najprej preizkusijo na protivirusnih programih. Gre za večno tekmo med zlonamernimi programerji in strokovnjaki za spletno varnost. Zelo pomembno je, da ima vsak uporabnik neko osnovno spletno higieno, da pazi, kako se obnaša, na kaj klika. V svoji sobi, kjer udobno sedimo in se varno počutimo, nimamo razvitih mehanizmov, ki jih imamo v fizičnem svetu, da bi lahko ocenili neko tveganje.
Iz naslonjača težko ocenimo tudi posledice izgube zasebnosti...Zdaj korakamo v zelo čudno smer, z računalništvom v oblaku dejansko izgubljamo lastništvo nad svojimi podatki, ne vemo niti, kje so, niti kdo vse ima dostop do teh podatkov. Podjetja, kot je Google, nam prinesejo vse na pladnju, mi pa jim prostovoljno predamo vse podatke, ne da bi dobro premislili, kaj so negativne plati tega. Veliko prijav dobimo glede kršenja zasebnosti na facebooku, in potem začudene odzive ljudi v stilu: Kako ne morete ukazati facebooku, naj nekaj ukrene? Zato, ker je Facebook družba iz ZDA v zasebni lasti. Z uporabo njihovih storitev sprejmete njihove pogoje uporabe, in potem ste jim prepuščeni na milost in nemilost v skladu s temi pogoji uporabe.
Veliko se govori o tako imenovani direktivi o spletnih piškotkih.Da, razumem razloge zanjo in strinjam se, da je to sledenje uporabnikov s strani velikih internetnih podjetij, s čimer ta ustvarjajo profit, za nas uporabnike lahko slaba stvar. Dvomim pa, da bo ta direktiva pripomogla k temu, da bomo na spletu bolj varni. Za uporabnike to pomeni zgolj še eno pojavno okno, ki ga bo večina, kot sva že prej ugotovila, samo na hitro potrdila, ne da bi ga sploh prebrala. Dvomim, da bo imela direktiva kakšen učinek na našo zasebnost in varnost, prinesla pa bo nekaj dodatnega dela za upravljalce spletnih mest.
Če bi lahko uporabnikom spleta dali en sam nasvet, kakšen bi bil?Predvsem to, da preden prek spleta nakažejo denar, naj malo razmislijo, komu ga nakazujejo in na kakšen način. In naj bodo zelo konservativni pri tem, ko sprejemajo zelo ugodne ponudbe na spletu. To je nevarnost številka ena za najbolj širok krog spletnih uporabnikov. Dokaj enostavno se da zaščititi tudi pred krajo gesel za elektronsko pošto ali facebook. Navadno gre za ljudi, ki se poznajo in se želijo drug drugemu maščevati. Tukaj bi izpostavil predvsem bivše fante. Moj nasvet dekletom bi bil: ko se neka romantična zveza prekine, takoj zamenjajte gesla za facebook in gmail. Nič vas ne stane, lahko pa vam prihrani mnogo nevšečnosti.