Sobota, 10. 11. 2018, 12.00
5 mesecev, 3 tedne
Intervju: Christian Funk, regijski vodja raziskovalcev računalniške varnosti, Kaspersky Lab
"Hekerji so v osnovi samo veliki radovedneži visokih etičnih standardov, a so tudi izjeme"
Bolj ko smo povezani v računalniška in komunikacijska omrežja, bolj smo izpostavljeni tudi raznim računalniškim napadom in računalniškemu vohunjenju. Nekateri napadalci so na preži zgolj za naše bančne račune in kartice, a v teh sivih vodah plava tudi mnogo držav.
Javna skrivnost je, da mnogo držav izvaja računalniško vohunjenje nad posamezniki, ustanovami, podjetji in drugimi državami. Nekatere izmed njih celo nimajo omejitev sredstev, ki jih namenjajo v ta namen, druge pa z najrazličnejšimi načini pridobivajo izvajalce za svoje namene, ki jih največkrat upravičujejo z zagotavljanjem državne varnosti.
Naš sogovornik jih razvršča v tri skupine, v prvi pa so tisti, ki ne bodo varčevali z denarjem in drugimi sredstvi za doseganje svojih ciljev računalniškega vohunjenja.
Christian Funk se največ ukvarja s trendi zlonamerne programske opreme, trendi mobilnih tehnologij in mobilnosti ter napravami v internetu stvari, kjer preučuje predvsem ranljivosti in vprašanja, povezana z zasebnostjo. Posebej strastno preučuje in analizira grožnje, povezane z računalniškimi igrami.
Najbolj ga zanimajo trendi zlonamerne programske opreme, trendi mobilnih tehnologij in mobilnosti ter naprave v internetu stvari, kjer preučuje predvsem ranljivosti in vprašanja, povezana z zasebnostjo. Posebej strastno preučuje in analizira grožnje, povezane z računalniškimi igrami.
"Spremljamo, kaj napadalci delajo in kako delajo, s tem pa se učimo, kako uresničujejo svoje cilje, in ugotavljamo trende napadov in napadalcev."
Funk je redni predavatelj na konferencah računalniške varnosti ter informacijske in komunikacijske tehnologije po vsem svetu. Srečali smo ga v Barceloni na konferenci Kaspersky Next, kjer je podal svoj futuristični pogled na državno sponzorirano računalniško vohunjenje in izpostavil, v čem se tovrstni napadi razlikujejo od običajnih napadov kiberkriminalcev, ki jim je največkrat cilj kakšna hitra zloraba finančnih inštrumentov.
Kako prepoznamo državno sponzoriran kibernapad?
Ko vidimo tehnični kontekst napada, lahko opredelimo verjetnost, s katero lahko trdimo, da je res videti kot tovrstni računalniški napad. Če analiziramo neko večje dogajanje enega samega izvajalca, denimo 50 ali več vzorcev, ki jih lahko povežemo, je to gotovo še en namig. Včasih takšne napade razkrijejo malenkosti: državne napade največkrat izvajajo usposobljeni javni uslužbenci, zato bodo ure, ko so bile ustvarjene zlonamerne datoteke, največkrat kazale na običajen pisarniški delovni čas.
Ali ste v zadnjih letih zaznali večjo pogostost tovrstnih napadov?
Smo, toda nismo sklepali in tudi ne smemo sklepati, da to hkrati pomeni večje število tovrstnih napadov. Morda jih prej le nismo znali odkriti, kajti ves čas se učimo, naše tehnike odkrivanja napredujejo in zato dajejo boljše rezultate. Spremljamo, kaj napadalci delajo in kako delajo, s tem pa se učimo, kako uresničujejo svoje cilje, in ugotavljamo trende napadov in napadalcev. Naša znanja nam omogočajo, da izsledimo in prestrežemo tudi druga podobna dejanja. S tem rušimo trdnjave tovrstnih napadov.
"Napadalci se odlično zavedajo, da jih panoga računalniške varnosti skrbno spremlja in analizira njihova početja in njihovo programje, zato se vedno bolj usmerjajo na tehnike in načine, ki jim dajejo čim več nevidnosti."
Torej dopuščate možnost, da je bilo prej več takih napadov, kot vemo?
Nedvomno jih zdaj odkrivamo več in bolje. Vemo, da je del še neznan, ne vemo pa, kako velik je ta del, ker je to zelo težko opredeliti.
Rekli ste, da z učenjem ugotavljate trende – kakšni so?
Napadalci se odlično zavedajo, da jih panoga računalniške varnosti skrbno spremlja in analizira njihova početja in njihovo programje, zato se vedno bolj usmerjajo na tehnike in načine, ki jim dajejo čim več nevidnosti. Ena od teh tehnik je izraba orodja Powershell, ki je sicer namenjeno konfiguraciji in avtomatizaciji operacijskega sistema Windows. Ukazi iz tega orodja se izvajajo neposredno iz pomnilnika in se ne dotikajo datotečnega sistema, zato po zaključku teh napadov forenzičnim analitikom ostane zelo malo sledov.
Kako jih potem vendarle izsledite?
Veliko nam pomagajo primerjave s programsko kodo zlonamernih programov iz preteklosti. S tem ne le, da bolje razumemo današnje napade, temveč tudi lažje predvidimo bodoče napade. Poleg tega pa se hudobni fantje pogosto lotevajo legitimnih programov za skrbnike, ki so namenjeni dobrim vzdrževalnim nameram, in jih prilagodijo svojim zlim nameram.
Ali bi lahko rekli, da so tisti, ki izvajajo računalniško vohunjenje za državno oblast, veliko bolj podkovani kot navadni kiberkriminalci?
Nedvomno. Morda se sliši absurdno, a ravno to, da vsaj za izhodišče uporabljajo bolj običajno, bolj razširjeno in zakonito programje, jih naredi bolj nevidne, ker je težje najti neka odstopanja, ki bi jih razkrila. Pištolo hitro prepoznate kot orožje, za kuhinjski nož pa prva asociacija najbrž ni morilsko orožje.
"Če napadalec uporabi neko običajno in javno dostopno skrbniško orodje, ki ga neko podjetje že tako ali tako ima v svojem omrežju, bodo skrbniki težje opazili, da so je v omrežju zgodilo nekaj nenavadnega."
Vse z namenom prikrivanja svojih sledov?
Tako je. Če napadalec uporabi neko običajno in javno dostopno skrbniško orodje, ki ga neko podjetje že tako ali tako ima v svojem omrežju, bodo skrbniki težje opazili, da so je v omrežju zgodilo nekaj nenavadnega.
Kaj nam povedo trendi glede tarč državno sponzoriranih kibernapadov?
Vidimo, da so napadi usmerjeni na vse segmente. Veleposlaništva in državni organi so gotovo tarče, a so pogosto tudi podjetja, zlasti visokotehnološka, kjer se dogaja veliko novega. Primera sta gotovo panogi letalske tehnologije in nanotehnologij. Napadalci neredko spreminjajo svoje cilje in interese, kar obseg tarč le še krepi.
Omenili ste, da države lahko razporedimo v tri skupine glede na to, koliko sredstev in zanimanja namenjajo državno sponzoriranem vohunjenju. Katere države so v kateri skupini?
Prva skupina so države ali napadalci, kjer stroški niso ovira. Sofisticiranost orodij in napadov je na najvišji ravni, izrabljajo se pomanjkljivosti, za katere največkrat prej nismo vedeli. Razvrstitev držav niti ni nujno povezana z njihovo velikostjo. Sami lahko ugotovite, katere države bi bile lahko v prvi skupini.
"Pravzaprav me tudi ne zanima, iz katere države prihajajo napadi, zanima me, od katerega subjekta, kajti infrastrukturo lahko postavi kjerkoli."
Vi nam ne boste povedali?
Ne. To tudi ni tako enoznačno. Eno ministrstvo neke države ali vojska te države je lahko v prvi skupini, neko drugo ministrstvo iste države pa v tretji. Ravno zaradi tega nerad govorim o državah, temveč subjektih. En subjekt ni ena država, posamezna država ima lahko več subjektov. Pravzaprav me tudi ne zanima, iz katere države prihajajo napadi, zanima me, od katerega subjekta, kajti infrastrukturo lahko postavi kjerkoli.
Kako verjetno je po vašem mnenju, da bodo vojne prihodnosti samo še kibernetične?
To bi se lahko zgodilo, a kdo sem jaz, da to sodim?
Kaj menite o očitkih, da strokovnjaki računalniške varnosti veste veliko več o obstoju in obsegu računalniških napadov, kot to razkrijete javnosti?
Ne, to preprosto ni res. Vsekakor želimo odkriti, česa vse so subjekti možni, a je naša poglavitna skrb predvsem njihova tehnična zmogljivost, kajti naše poslanstvo je varovati naše naročnike in razširjati znanje o računalniški varnosti. Mi ne ponujamo zgolj izdelkov, kot so naši varnostni programi, temveč tudi storitve, kot so svetovanje in analize.
"Hekerji so v osnovi in v svojem izvirnem pomenu tisti, ki nimajo slabih namenov. Radi razstavljajo programsko kodo na prafaktorje, ker preprosto hočejo vedeti, kako kaj deluje. Saj veste, tisti instinkt legokock, ko hočeš nekaj razstaviti na najmanjše sestavne dele in potem ponovno sestaviti."
Kako verjetno je, da bi neka država, ki je subjekt računalniškega vohunjenja, na svojo stran pridobila strokovnjake računalniške varnosti, ki zdaj opravljajo koristne in nesporne naloge?
Odvisno od etičnih standardov vsakega posameznika. Kaj drugega lahko rečem? Najbrž ni skrivnost, da skoraj vse države sveta izvajajo takšne kibernapadalne programe oziroma kibervohunske dejavnosti in številne izmed njih v ta namen iščejo primerno usposobljene sodelavce kar javno in celo prek medijev. Vsi jih iščejo, vsi bi radi imeli to številčno omejeno skupino strokovnjakov na svoji strani. Toda hekerji so v osnovi in v svojem izvirnem pomenu tisti, ki nimajo slabih namenov. Radi razstavljajo programsko kodo na prafaktorje, ker preprosto hočejo vedeti, kako kaj deluje. Saj veste, tisti instinkt legokock, ko hočeš nekaj razstaviti na najmanjše sestavne dele in potem ponovno sestaviti. Njihovi etični standardi, kar se dobro ve in vidi iz njihovih skupnosti, so zelo visoki, a so tudi posamezniki, ki so izjema.