Expert na škodlivý kód: Trestné oznámenie sa podáva ťažko, keď nevieme, kto je útočník, obeť alebo či vôbec vznikla škoda

Spoločnosti venujúce sa vývoju bezpečnostného softvéru sa skôr či neskôr stretnú s kybernetickým zločinom. Ich úlohou je koniec koncov chrániť svojich zákazníkov. Čo sa však deje v momente, ak k zločinu dôjde? Akým spôsobom sa podieľajú na vyšetrovaní týchto zločinov a ako funguje spolupráca medzi spoločnosťami a orgánmi činnými v trestnom konaní? O týchto témach sme sa rozprávali s Petrom Košinárom, odborníkom na kybernetickú bezpečnosť spoločnosti ESET.

Produkty ESETu pravidelne zachytávajú podozrivú aktivitu na zariadeniach našich zákazníkov, ktorá teoreticky môže viesť k trestnej činnosti. Čo nasleduje, keď náš produkt zachytí takúto aktivitu? Ako vyhodnocujeme, či sa v danom prípade môže jednať o trestný čin? 

Pri potenciálne škodlivých činnostiach nevyhodnocujeme, či ide o trestný čin, a to z jednoduchého dôvodu. Niečo takéto si vyhodnotiť jednoducho nevieme, pretože nemáme k dispozícií dosť informácií. Navyše na to nemáme ani kompetencie, toto je úloha štátu. Môžeme samozrejme mať nejaké podozrenie, že sa niečo nekalé môže diať – napokon, škodlivý program nezvykne len tak poletovať po internete pre nič za nič – ale čo presne jeho autor v danom konkrétnom prípade sledoval (a teda či je to skutočne trestný čin) sa z našich dát zistiť nedá. To je úloha orgánov činných v trestnom konaní.

Keď nevieme určiť, či ide o trestný čin, čo z našich dát povedať vieme? 

Údaje, ktorými disponujeme, sú čisto technického charakteru a týkajú sa samotného škodlivého kódu. Vieme napríklad, že sme nejaký súbor zachytili a bol označený ako škodlivý. Vieme, že tento konkrétny súbor prišiel obeti e-mailom a volal sa covid_2019.doc.exe, alebo že bol stiahnutý z nejakej konkrétnej URL adresy. Máme aj ďalšie technické údaje o samotnom škodlivom kóde, ale to je zhruba všetko. Na základe týchto informácií nevieme povedať, na aký účel tento kód vznikol. Ak tento program dáva napríklad prístup na ovládanie cudzieho počítača, takmer iste je to niečo škodlivé. Ak by tento prístup niekto zneužil, je možné, že by išlo o trestný čin. Lenže, tým, že sme ho zablokovali, o tom po prvé nevieme, a po druhé sa to ani nestalo, pretože takýto program buď obeti neprišiel, alebo sa nespustil. Ide teda skôr o pokus.

Vieme aspoň povedať, kto je útočníkom? 

Z našich dát nevieme určiť, kto je v takýchto prípadoch útočníkom. Veľakrát dokonca nevieme určiť ani to, kto je vlastne obeť. Tým, že zbierame technické informácie o škodlivom kóde, no neprepájame ich s konkrétnym človekom, takýmito informáciami nedisponujeme. Vieme len to, že takýto program odniekiaľ prišiel, že bol videný niekde na Slovensku. Avšak nevieme povedať, že ho dostal tento konkrétny človek alebo táto konkrétna firma. Keďže tieto informácie nemáme, dokážeme s rozumnou mierou istoty predpovedať len to, že ide o niečo podozrivé. 

Ako teda spolupracujeme s orgánmi činnými v trestnom konaní? 

Keby sme sa spýtali kolegov z právneho oddelenia, povedali by asi nejaké zaklínadlo ako: „Slovenské zákony umožňujú orgánom činným v trestnom konaní žiadať o súčinnosť fyzické a právnické osoby rôznym spôsobom, ktorý sa napríklad líši podľa toho, akých údajov sa má táto súčinnosť týkať. My postupujeme v rámci tohto priestoru, ktorý je presne vymedzený príslušnými zákonmi.“ Nás sa väčšinou pýtajú na technické informácie, ktoré by im pomohli pri vyšetrovaní.

Polícia sa nás napríklad môže spýtať, či sme aj my nezachytili konkrétny podozrivý súbor. Alebo si vypýtať technické informácie konkrétneho škodlivého kódu, ako napríklad čo tento súbor robí. My ho vieme rozobrať a zistiť, čo všetko robiť dokáže. Napríklad, že keď sa spustí, tak niečo nainštaluje do konkrétneho priečinka na počítači, pripojí sa na konkrétny server a odtiaľ očakáva príkazy. Tam to ale často končí, pretože väčšinou škodlivý program sám o sebe neurobí nič zaujímavé. Iba čaká na príkazy od lotra, ktorý občas tieto príkazy pošle. Ak ale program nebeží, tak ani neprijíma žiadne príkazy a nemáme ako uhádnuť, čo by mu jeho autor chcel prikázať.

Naša pomoc teda spočíva v poskytnutí technických informácií o škodlivom kóde?

Áno. Vieme sa ale pozrieť aj na širší kontext a podobnosti medzi rôznymi škodlivými kódmi. Napríklad sa dá zistiť, či sa charakteristiky jedného kódu nepodobajú na nejaký iný kód z minulosti, a tým pádom si ho útočník mohol napríklad kúpiť od niekoho iného, alebo či skôr ide o unikát a pravdepodobne si ho niekto napísal sám. Ak program obsahuje päť správ s perfektnou češtinou, s rozumnou mierou istoty vieme povedať, že ho asi napísal niekto z Česka a nie nejaký bohatý princ z Nigérie. Ten by asi perfektne po česky nepísal. Takéto veci sa dajú zistiť z programu samotného. To sú však všetko technické veci a nehovoria nič o počítači obete, ani o útočníkovi.

Zvykne sa nás s takýmito žiadosťami polícia obracať? 

Áno, stáva sa napríklad to, že nám príde otázka, či sme zachytili nejaký konkrétny program. My sa vieme pozrieť aj na to, či sme niečo podobné nevideli v minulosti a ak nájdeme podobné prípady, postúpime ich naspäť polícií ako potenciálne stopy. Oni môžu následne riešiť, či naozaj spolu súvisia. Stáva sa aj to, že sa v nejakom meste nahlási incident. Na inom mieste a v inom čase nezávisle od tohto incidentu nahlási niekto tú istú alebo podobnú aktivitu a polícia tieto prípady rieši samostatne. V tomto smere vieme pomôcť, keď sa nás na to polícia opýta - vieme zistiť, či dané programy môžu mať nejaké prepojenie, nejaký technický súvis a teda či sa dá predpokladať, že majú spoločného pôvodcu.

Väčšinou teda ESET reaguje na žiadosti orgánov činných v trestnom konaní.

Väčšinou je to tak. Výnimočne sa však môže stať aj to, že na našu vlastnú adresu príde e-mail, v ktorom bola škodlivá príloha a tváril sa, že ho poslal „prezident Slovenskej Republiky“, pričom my tu už hodnú chvíľu máme prezidentku. Na toto môžeme upozorniť políciu, rovnako, ako to môže spraviť hocikto iný, komu takáto falošná správa príde. Obdobne môžeme dať takúto informáciu významnému podniku, keď zachytíme e-mail rozposielaný v jeho mene s niečím škodlivým. Časté je to pri phishingu a bankách. V týchto prípadoch zvykneme kontaktovať priamo dotknutú firmu. 

Väčšinu incidentov riešime s jednotkami CERT (Computer Emergency Response Team) alebo CSIRT (Computer Security Incident Response Team). To sú jednotky, ktoré majú na starosti bezpečnosť štátnych či súkromných systémov. Na Slovensku je ich viacero, jednu má napr. NBÚ, ďalšia je vládna a podobne. Komunikujeme skôr s nimi a oznamujeme im, že niekto koná napríklad v mene predstavenstva nejakej obce, alebo má niekto z tej obce napadnutý počítač. Práve tieto jednotky majú v kompetencií riešiť podobné incidenty a podľa potreby môžu kontaktovať aj orgány činné v trestnom konaní. Takéto situácie sa stávajú raz za pár mesiacov, priama komunikácia s políciou je ešte zriedkavejšia. 

Inými slovami, ESET sa snaží primárne zabrániť útokom a venuje sa výskumu škodlivého kódu. Následne túto expertízu v prípade potreby zdieľa s políciou alebo inými štátnymi organizáciami.

Presne tak, my sa snažíme škodlivý kód najmä zastaviť. Ak je z technického pohľadu zaujímavý, tak ho aj študujeme. Nepracujeme s ním ale tak, že by sme zisťovali, odkiaľ prišiel a na koho útočil. Na to nemáme dáta. Sústredíme sa len na technickú stránku veci, aj keď niekedy sa čo to môže dať uhádnuť. Napríklad ak sa škodlivý súbor volal socpoist_novinky.exe, asi nešlo o útok na americkú jadrovú ponorku.

Avšak, niekto sa nás na tento kód môže opýtať spätne – či už je to slovenská polícia alebo v niektorých prípadoch aj zahraničné orgány činné v trestnom konaní. Oni väčšinou majú nejaké informácie a konkrétne sa nás opýtajú, či im vieme povedať o tom škodlivom kóde niečo ďalšie. Naša expertíza ide po úroveň škodlivého kódu, na hľadanie ľudí sú odborníci inde. Inými slovami, vieme poskytnúť istú súčinnosť vo forme nášho expertného pohľadu. Je tam však jasná hranica. Pokiaľ ide o konkrétne údaje týkajúce sa našich zákazníkov, v takom prípade postupujeme iba v zmysle príslušných medzinárodných dohôd o justičnej pomoci.

Trestné oznámenie teda podať z našich informácií nevieme.

Trestné oznámenie sa podáva ťažko s informáciou že „niekto“ robí „niečo“. Určite niekto niečo robí. My však nevieme povedať, kto to robí a komu. Nevieme či je nejaká obeť alebo škoda, čiže veľmi nemáme čo povedať. Ak ale polícia povie, toto je obeť a u nej sa našiel tento škodlivý kód, potom tieto zistenia môžeme skúsiť spojiť s technickými materiálmi, ktoré máme a zistíme, či z toho niečo vyplýva a či vieme pomôcť.

Navyše, vďaka našim produktom väčšinou obeť nie je, keďže škodlivý kód zablokujeme. O to je náročnejšie hovoriť o skutočnej trestnej činnosti. Ďalšia vec je, že škodlivého kódu je strašne veľa a nie vždy ide o trestnú činnosť. Denne zachytíme státisíce vzoriek a za stotisíce oznámení denne by sa nám polícia asi nepoďakovala.

Predpokladám však, že v nejakých prípadoch ESET koná aj z vlastnej iniciatívy, alebo nie?

Ak sa o nejakom závažnom incidente dozvieme v rozumnej miere, napríklad že na naše konzuláty vo svete je cielený útok, túto informáciu samozrejme posúvame. Avšak nie polícii, ale spomínaným jednotkám CSIRT. Oni to ďalej môžu riešiť s políciou, ak sa takýto incident potvrdí, pretože my to nevieme s istotou ani potvrdiť. Oni môžu spraviť aj fyzickú kontrolu zariadení či serverov. My máme len kvalifikované podozrenie. 

Čo v prípade, ak zaznamenáme napríklad útok na vládne ciele v zahraničí Kontaktujeme tieto jednotky CSIRT v danej krajine? 

Áno, štáty mávajú takéto jednotky. Navyše spolupráca medzi nimi v tejto oblasti pomerne dobre funguje. Ak by sme teda z nejakého dôvodu nevedeli kontaktovať priamo jednotku v danej krajine, oznámili by sme to slovenskej jednotke CSIRT, ktorá by upovedomila partnerskú jednotku v danej krajine.

Ako funguje takáto medzinárodná pomoc?

Máme kolegu, ktorý sa takýmto veciam venuje špecificky. Dokonca občas participuje aj na operáciách typu „take down“, to znamená, že sa podieľa na rozložení siete škodlivých počítačov, tzv. botnetov. Ide o rozloženie technickej infraštruktúry, ktorú využívajú lotri pri svojich útokoch. Ak chcú napríklad  policajné orgány chytiť lotrov, ktorý stoja za páchaním trestnej činnosti, tak sa najskôr začne mapovať technická infraštruktúra. Aké servery sú používané na distribúciu škodlivého kódu, u ktorých poskytovateľov a podobne. My zase vieme povedať, kedy a v akých vlnách bol škodlivý softvér distribuovaný, kedy vznikali jeho nové verzie, aké mali spoločné črty a tak ďalej. Naše informácie sa spoja s tým, čo zistili ďalšie bezpečnostné firmy či poskytovatelia, a tak sa vyskladá komplexný obraz o technickej infraštruktúre útočníkov. 

Na základe týchto zistení sa potom orgány činné v trestnom konaní rozhodnú spraviť akciu a spomínané servery vypnú či zhabú. Tým znefunkčnia celú sieť a nepriamo aj škodlivý kód, pretože nebude toho, kto bude dávať príkazy. My sa teda podieľame na pochopení technickej časti potrebnej k zmapovaniu celej infraštruktúry a fungovania škodlivého kódu a v prípade potreby potom naši kolegovia chodia ako svedkovia na súd, kde sa vyjadrujú ako experti práve k technickej časti fungovania škodlivého kódu.

Na spolupráci teda ESET participuje aktívne.

V rámci spolupráce s orgánmi činnými v trestnom konaní by som spomenul iniciatívu No More Ransom, do ktorej je zapojený EUROPOL a ďalšie národné policajné orgány. Tento projekt na jednom mieste zhromažďuje znalosti o fungovaní šifrovacích potvor, ktoré zašifrujú súbory a následne chcú za ne výpalné. Ide o tzv. ransomvér, teda škodlivý kód zameriavajúci sa na výkupné. Občas sa podarí nájsť chybu v implementácií toho softvéru, takže sa zašifrované súbory dajú dešifrovať bez potreby zaplatenia výkupného. Taktiež sa občas stane, že EUROPOL alebo iný orgán zaistí server, na ktorom sú dáta potrebné na dešifrovanie týchto súborov. V rámci projektu je celé toto know-how zdieľané, z čoho profitujú najmä poškodení používatelia na celom svete, ktorí môžu získať späť svoje dáta zadarmo. 

Ako môže polícia v zahraničí osloviť ESET s tým, že potrebuje technické údaje?

Niekedy sa stáva, že zahraničné orgány činné v trestnom konaní požiadajú naše zahraničné pobočky v danej krajine o informácie v súvislosti s našimi zákazníkmi, ktorí sú napríklad občania tamojšieho štátu, avšak naše pobočky takýmito informáciami nedisponujú. Tie informácie nikdy neboli a nie sú v zahraničí, nachádzajú sa iba na Slovensku. Jediná cesta pre takýto zahraničný orgán činný v trestnom konaní je požiadať formálnou cestou o súčinnosť v rámci medzinárodnej pomoci štátne orgány na Slovensku. Tie nás požiadajú o tieto informácie tiež oficiálnou cestou, väčšinou je to polícia alebo prokuratúra. My teda informácie neposkytujeme zahraničným orgánom činným v trestnom konaní. Vyžiadať si ich môžu iba slovenské orgány a tie ich v rámci medzinárodnej spolupráce môžu poskytnúť zahraničným orgánom, pokiaľ sú samozrejme splnené všetky ďalšie zákonné náležitosti.

Vieme identifikovať, v ktorých krajinách sú podozrivé aktivity hraničiace s trestnou činnosťou najčastejšie?

Ako sme sa rozprávali v úvode, nedá sa to vyčísliť z povahy veci. My nevieme identifikovať, čo môže skončiť trestnou činnosťou. Uvediem príklad. Niekto si stiahne kradnutý softvér a pritom si nainfikuje počítač. Kto páchal trestný čin a komu vznikla škoda? Asi málokto sa bude v tomto prípade sťažovať, že má infikovaný počítač, keď mohol sám porušiť zákon. Ďalším príkladom môže byť tzv. advér, teda škodlivý kód, ktorý používateľom zobrazuje reklamu. Používateľ teda vidí reklamu navyše – je to trestný čin?

Samozrejme, sú aj situácie, kedy sa zdá, že ide naozaj o trestný čin. Avšak kým sa daný plán alebo technika nezrealizuje, niet obete, škody a teda sa čin vlastne nestal. Mohlo by to byť klasifikované možno ako pokus, avšak v tomto prípade dokazovať úmysel je často veľmi náročné. Táto problematika je plná dôležitých detailov a nezodpovedaných otázok, ktoré to komplikujú. Navyše, ako som už spomenul, my nemáme informácie, z ktorých by sme vedeli s určitosťou tvrdiť, kto je obeť, aká škoda vznikla a podobne. Nie je to ani našou úlohou, my sa staráme o kybernetickú bezpečnosť našich zákazníkov.

Hovoril si o spolupráci s tímami CSIRT, políciou i prokuratúrou, spomenul si aj EUROPOL. Niekedy sa pri bezpečnostných firmách spomína aj spolupráca s tajnými službami. Spolupracuje s nimi ESET?

S tajnými službami typu SIS alebo CIA nespolupracujeme, pretože toto nie sú orgány činné v trestnom konaní. Maximálne na nás môže prísť otázka od zahraničnej jednotky CSIRT. Stále ale platí, že vieme poskytnúť len informácie technického rázu, ktoré sa týkajú škodlivého kódu. Teda napríklad, že sa daný škodlivý kód šíril v danej krajine, v akom období to asi bolo a podobne. My pracujeme s CSIRT tímami, políciou, prípadne s našimi zákazníkmi, ktorí nás môžu požiadať o technické informácie v prípade, že dôjde na ich zariadeniach k nejakému incidentu. 

Jedna z vecí, ktorá sa pri tejto téme spomína, je sledovanie toho, čo užívatelia na počítači robia. Že produkty sledujú správanie používateľov. Robia to produkty ESET?

Celkom jednoznačne môžem povedať, že nie v takom zmysle ako je to niekedy prezentované v médiách. Naše produkty naozaj monitorujú a vyhodnocujú správanie bežiacich programov a procesov, aby vedeli vyhodnotiť riziká, ale nie správanie sa používateľov. Navyše o tom nedávajú nikomu vedieť, ani nám. Náš softvér funguje lokálne na danom zariadení a tam sa sám rozhoduje. Vyhodnocuje rôzne aktivity prebiehajúce v systéme a na základe toho sa potom vie zistiť, či je niečo zlé a hodné zablokovania. Používateľovi potom vybehne okno, že sa našlo niečo škodlivé a vtedy nám tú škodlivú vec môže náš softvér poslať – samozrejme, iba pokiaľ mu to používateľ odsúhlasil.

Informácie, ktoré k nám na základe toho prídu, nie sú o tom, čo používateľ robil, ale čo škodlivé náš program zablokoval. A aj tu platí, že ide iba o technické údaje – budeme z nich vedieť, že niečo škodlivé sa tam našlo, ale napríklad nevieme ani len to, u koho konkrétneho to bolo. Takéto informácie skrátka nezbierame. Takže predstava o tom, že ESET má prehľad o tom, ktorý zákazník, čo nakupuje, alebo ktoré webstránky navštevuje, nie je pravdivá. Takéto údaje nepotrebujeme, nemáme a ani nechceme mať. Naše podnikanie je v ochrane našich zákazníkov v digitálnom prostredí, nie monetizácia ich správania sa v tomto prostredí. Dokonca ak narazíme na softvér, ktorý je v tomto smere až príliš aktívny a zberá o používateľovi bez jeho vedomia priveľa informácií, býva to veľmi dobrý dôvod na to, aby sme ho začali chytať ako škodlivý alebo aspoň potenciálne nechcený.

Pomáhame nejako aj bežným ľuďom, napríklad keď im ukradnú mobil, či počítač? 

Áno, aj toto sa deje. V niektorých našich produktoch máme funkciu Anti-Theft, ktorá pomáha pri odcudzení zariadenia. Ak niekto nahlási ukradnutý počítač, na ktorom bol nainštalovaný náš program a táto funkcionalita si aktivoval, dáta z neho môžu pomôcť pri pátraní po zlodejovi. Niekedy sa ale môže dať pomôcť aj bez Anti-Theftu. Náš produkt sa pravidelne aktualizuje a tak sa nás môže polícia pri pátraní po stratenom notebooku opýtať: Odkiaľ sa na vaše servery pripájal minulý mesiac produkt s tou a tou licenciou? Tu samozrejme ide o informácie už úplne nesúvisiace s tým, čo na tom počítači jeho používateľ robil. Je to veľmi podobné, ako keď telekomunikační operátori pomáhajú polícii s odhaľovaním ukradnutých telefónov, ktoré sa prihlásia do siete.