Srdjan Cvjetović

Sobota,
10. 11. 2018,
12.00

Osveženo pred

5 mesecev, 3 tedne

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 1,10

Natisni članek

Natisni članek

Christian Funk intervju Kaspersky NEXT računalniška varnost zlonamerni programi

Sobota, 10. 11. 2018, 12.00

5 mesecev, 3 tedne

Intervju: Christian Funk, regijski vodja raziskovalcev računalniške varnosti, Kaspersky Lab

"Hekerji so v osnovi samo veliki radovedneži visokih etičnih standardov, a so tudi izjeme"

Srdjan Cvjetović

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 1,10
Christian Funk | Christian Funk je redni predavatelj na konferencah računalniške varnosti ter informacijske in komunikacijske  tehnologije po vsem svetu. Srečali smo ga v Barceloni na konferenci Kaspersky Next, kjer je podal svoj futuristični pogled na državno sponzorirano računalniško vohunjenje.

Christian Funk je redni predavatelj na konferencah računalniške varnosti ter informacijske in komunikacijske tehnologije po vsem svetu. Srečali smo ga v Barceloni na konferenci Kaspersky Next, kjer je podal svoj futuristični pogled na državno sponzorirano računalniško vohunjenje.

Bolj ko smo povezani v računalniška in komunikacijska omrežja, bolj smo izpostavljeni tudi raznim računalniškim napadom in računalniškemu vohunjenju. Nekateri napadalci so na preži zgolj za naše bančne račune in kartice, a v teh sivih vodah plava tudi mnogo držav.

Javna skrivnost je, da mnogo držav izvaja računalniško vohunjenje nad posamezniki, ustanovami, podjetji in drugimi državami. Nekatere izmed njih celo nimajo omejitev sredstev, ki jih namenjajo v ta namen, druge pa z najrazličnejšimi načini pridobivajo izvajalce za svoje namene, ki jih največkrat upravičujejo z zagotavljanjem državne varnosti.

Naš sogovornik jih razvršča v tri skupine, v prvi pa so tisti, ki ne bodo varčevali z denarjem in drugimi sredstvi za doseganje svojih ciljev računalniškega vohunjenja.

Christian Funk se največ ukvarja s trendi zlonamerne programske opreme, trendi mobilnih tehnologij in mobilnosti ter napravami v internetu stvari, kjer preučuje predvsem ranljivosti in vprašanja, povezana z zasebnostjo. Posebej strastno preučuje in analizira grožnje, povezane z računalniškimi igrami. | Foto: Christian Funk se največ ukvarja s trendi zlonamerne programske opreme, trendi mobilnih tehnologij in mobilnosti ter napravami v internetu stvari, kjer preučuje predvsem ranljivosti in vprašanja, povezana z zasebnostjo. Posebej strastno preučuje in analizira grožnje, povezane z računalniškimi igrami.

Christian Funk je od leta 2014 vodja globalnega tima za raziskave in analizo (Global Research & Analysis Team, GReAT) za nemško govoreče države (DACH) v družbi za računalniško varnost Kaspersky Lab. Pridružil se jim je še kot študent pred 11 leti kot mlajši analitik zlonamerne opreme, leta 2008 pa je diplomiral iz računalništva na univerzi v bavarskem mestu Ingolstadt.

Najbolj ga zanimajo trendi zlonamerne programske opreme, trendi mobilnih tehnologij in mobilnosti ter naprave v internetu stvari, kjer preučuje predvsem ranljivosti in vprašanja, povezana z zasebnostjo. Posebej strastno preučuje in analizira grožnje, povezane z računalniškimi igrami.

"Spremljamo, kaj napadalci delajo in kako delajo, s tem pa se učimo, kako uresničujejo svoje cilje, in ugotavljamo trende napadov in napadalcev." | Foto: "Spremljamo, kaj napadalci delajo in kako delajo, s tem pa se učimo, kako uresničujejo svoje cilje, in ugotavljamo trende napadov in napadalcev."

Funk je redni predavatelj na konferencah računalniške varnosti ter informacijske in komunikacijske tehnologije po vsem svetu. Srečali smo ga v Barceloni na konferenci Kaspersky Next, kjer je podal svoj futuristični pogled na državno sponzorirano računalniško vohunjenje in izpostavil, v čem se tovrstni napadi razlikujejo od običajnih napadov kiberkriminalcev, ki jim je največkrat cilj kakšna hitra zloraba finančnih inštrumentov.

David Jacoby, Kaspersky Lab
Novice Kruta resnica: proizvajalcem zabavne elektronike za računalniško varnost preprosto ni mar

Kako prepoznamo državno sponzoriran kibernapad?

Ko vidimo tehnični kontekst napada, lahko opredelimo verjetnost, s katero lahko trdimo, da je res videti kot tovrstni računalniški napad. Če analiziramo neko večje dogajanje enega samega izvajalca, denimo 50 ali več vzorcev, ki jih lahko povežemo, je to gotovo še en namig. Včasih takšne napade razkrijejo malenkosti: državne napade največkrat izvajajo usposobljeni javni uslužbenci, zato bodo ure, ko so bile ustvarjene zlonamerne datoteke, največkrat kazale na običajen pisarniški delovni čas.

Ali ste v zadnjih letih zaznali večjo pogostost tovrstnih napadov?

Smo, toda nismo sklepali in tudi ne smemo sklepati, da to hkrati pomeni večje število tovrstnih napadov. Morda jih prej le nismo znali odkriti, kajti ves čas se učimo, naše tehnike odkrivanja napredujejo in zato dajejo boljše rezultate. Spremljamo, kaj napadalci delajo in kako delajo, s tem pa se učimo, kako uresničujejo svoje cilje, in ugotavljamo trende napadov in napadalcev. Naša znanja nam omogočajo, da izsledimo in prestrežemo tudi druga podobna dejanja. S tem rušimo trdnjave tovrstnih napadov.

"Napadalci se odlično zavedajo, da jih panoga računalniške varnosti skrbno spremlja in analizira njihova početja in njihovo programje, zato se vedno bolj usmerjajo na tehnike in načine, ki jim dajejo čim več nevidnosti." | Foto: "Napadalci se odlično zavedajo, da jih panoga računalniške varnosti skrbno spremlja in analizira njihova početja in njihovo programje, zato se vedno bolj usmerjajo na tehnike in načine, ki jim dajejo čim več nevidnosti."

Torej dopuščate možnost, da je bilo prej več takih napadov, kot vemo?

Nedvomno jih zdaj odkrivamo več in bolje. Vemo, da je del še neznan, ne vemo pa, kako velik je ta del, ker je to zelo težko opredeliti.

Rekli ste, da z učenjem ugotavljate trende – kakšni so?

Napadalci se odlično zavedajo, da jih panoga računalniške varnosti skrbno spremlja in analizira njihova početja in njihovo programje, zato se vedno bolj usmerjajo na tehnike in načine, ki jim dajejo čim več nevidnosti. Ena od teh tehnik je izraba orodja Powershell, ki je sicer namenjeno konfiguraciji in avtomatizaciji operacijskega sistema Windows. Ukazi iz tega orodja se izvajajo neposredno iz pomnilnika in se ne dotikajo datotečnega sistema, zato po zaključku teh napadov forenzičnim analitikom ostane zelo malo sledov.

Novice Vohunski program NSA napreden kot vesoljska postaja

Kako jih potem vendarle izsledite?

Veliko nam pomagajo primerjave s programsko kodo zlonamernih programov iz preteklosti. S tem ne le, da bolje razumemo današnje napade, temveč tudi lažje predvidimo bodoče napade. Poleg tega pa se hudobni fantje pogosto lotevajo legitimnih programov za skrbnike, ki so namenjeni dobrim vzdrževalnim nameram, in jih prilagodijo svojim zlim nameram.

Ali bi lahko rekli, da so tisti, ki izvajajo računalniško vohunjenje za državno oblast, veliko bolj podkovani kot navadni kiberkriminalci?

Nedvomno. Morda se sliši absurdno, a ravno to, da vsaj za izhodišče uporabljajo bolj običajno, bolj razširjeno in zakonito programje, jih naredi bolj nevidne, ker je težje najti neka odstopanja, ki bi jih razkrila. Pištolo hitro prepoznate kot orožje, za kuhinjski nož pa prva asociacija najbrž ni morilsko orožje.

"Če napadalec uporabi neko običajno in javno dostopno skrbniško orodje, ki ga neko podjetje že tako ali tako ima v svojem omrežju, bodo skrbniki težje opazili, da so je v omrežju zgodilo nekaj nenavadnega." | Foto: "Če napadalec uporabi neko običajno in javno dostopno skrbniško orodje, ki ga neko podjetje že tako ali tako ima v svojem omrežju, bodo skrbniki težje opazili, da so je v omrežju zgodilo nekaj nenavadnega."

Vse z namenom prikrivanja svojih sledov?

Tako je. Če napadalec uporabi neko običajno in javno dostopno skrbniško orodje, ki ga neko podjetje že tako ali tako ima v svojem omrežju, bodo skrbniki težje opazili, da so je v omrežju zgodilo nekaj nenavadnega.

Kaj nam povedo trendi glede tarč državno sponzoriranih kibernapadov?

Vidimo, da so napadi usmerjeni na vse segmente. Veleposlaništva in državni organi so gotovo tarče, a so pogosto tudi podjetja, zlasti visokotehnološka, kjer se dogaja veliko novega. Primera sta gotovo panogi letalske tehnologije in nanotehnologij. Napadalci neredko spreminjajo svoje cilje in interese, kar obseg tarč le še krepi.

David Emm, Kaspersky Lab
Novice Verjetno je, da je še veliko število nezakrpanih ranljivosti v sistemih

Omenili ste, da države lahko razporedimo v tri skupine glede na to, koliko sredstev in zanimanja namenjajo državno sponzoriranem vohunjenju. Katere države so v kateri skupini?

Prva skupina so države ali napadalci, kjer stroški niso ovira. Sofisticiranost orodij in napadov je na najvišji ravni, izrabljajo se pomanjkljivosti, za katere največkrat prej nismo vedeli. Razvrstitev držav niti ni nujno povezana z njihovo velikostjo. Sami lahko ugotovite, katere države bi bile lahko v prvi skupini.

"Pravzaprav me tudi ne zanima, iz katere države prihajajo napadi, zanima me, od katerega subjekta, kajti infrastrukturo lahko postavi kjerkoli." | Foto: "Pravzaprav me tudi ne zanima, iz katere države prihajajo napadi, zanima me, od katerega subjekta, kajti infrastrukturo lahko postavi kjerkoli."

Vi nam ne boste povedali?

Ne. To tudi ni tako enoznačno. Eno ministrstvo neke države ali vojska te države je lahko v prvi skupini, neko drugo ministrstvo iste države pa v tretji. Ravno zaradi tega nerad govorim o državah, temveč subjektih. En subjekt ni ena država, posamezna država ima lahko več subjektov. Pravzaprav me tudi ne zanima, iz katere države prihajajo napadi, zanima me, od katerega subjekta, kajti infrastrukturo lahko postavi kjerkoli.

Kako verjetno je po vašem mnenju, da bodo vojne prihodnosti samo še kibernetične?

To bi se lahko zgodilo, a kdo sem jaz, da to sodim?

ZLonamerni program, virus, okužen računalnik
Novice Kar 88 odstotkov računalniških napadov izvira iz zgolj 10 držav

Kaj menite o očitkih, da strokovnjaki računalniške varnosti veste veliko več o obstoju in obsegu računalniških napadov, kot to razkrijete javnosti?

Ne, to preprosto ni res. Vsekakor želimo odkriti, česa vse so subjekti možni, a je naša poglavitna skrb predvsem njihova tehnična zmogljivost, kajti naše poslanstvo je varovati naše naročnike in razširjati znanje o računalniški varnosti. Mi ne ponujamo zgolj izdelkov, kot so naši varnostni programi, temveč tudi storitve, kot so svetovanje in analize.

"Hekerji so v osnovi in v svojem izvirnem pomenu tisti, ki nimajo slabih namenov. Radi razstavljajo programsko kodo na prafaktorje, ker preprosto hočejo vedeti, kako kaj deluje. Saj veste, tisti instinkt legokock, ko hočeš nekaj razstaviti na najmanjše sestavne dele in potem ponovno sestaviti." | Foto: "Hekerji so v osnovi in v svojem izvirnem pomenu tisti, ki nimajo slabih namenov. Radi razstavljajo programsko kodo na prafaktorje, ker preprosto hočejo vedeti, kako kaj deluje. Saj veste, tisti instinkt legokock, ko hočeš nekaj razstaviti na najmanjše sestavne dele in potem ponovno sestaviti."

Kako verjetno je, da bi neka država, ki je subjekt računalniškega vohunjenja, na svojo stran pridobila strokovnjake računalniške varnosti, ki zdaj opravljajo koristne in nesporne naloge?

Odvisno od etičnih standardov vsakega posameznika. Kaj drugega lahko rečem? Najbrž ni skrivnost, da skoraj vse države sveta izvajajo takšne kibernapadalne programe oziroma kibervohunske dejavnosti in številne izmed njih v ta namen iščejo primerno usposobljene sodelavce kar javno in celo prek medijev. Vsi  jih iščejo, vsi bi radi imeli to številčno omejeno skupino strokovnjakov na svoji strani. Toda hekerji so v osnovi in v svojem izvirnem pomenu tisti, ki nimajo slabih namenov. Radi razstavljajo programsko kodo na prafaktorje, ker preprosto hočejo vedeti, kako kaj deluje. Saj veste, tisti instinkt legokock, ko hočeš nekaj razstaviti na najmanjše sestavne dele in potem ponovno sestaviti. Njihovi etični standardi, kar se dobro ve in vidi iz njihovih skupnosti, so zelo visoki, a so tudi posamezniki, ki so izjema.