1 Specifické problémy boje s kybernetickou kriminalitou Doc. RNDr. Josef POŽÁR, CSc. RNDr. Václav HNÍK, CSc. Policejní akademie ČR v Praze FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU

2 Typy útoků a útočníků kybernetické kriminality

3 Kybernetický neautorizovaný vstup Kybernetický podvod Kybernetické praní špinavých peněz Kybernetický vandalismus Kybernetické pronásledování Kyberterorismus Kybernetickápornografie Kybernetická krádež Kybernetický kontraband Kybernetická pomluva Typy kybernetické kriminality

4 Pachatelé kybernetické kriminality Kiddiots/skript – Kiddies – nejnižší úroveňKiddiots/skript – Kiddies – nejnižší úroveň Tvůrce virůTvůrce virů Příležitostný hackerPříležitostný hacker Profesionální hackerProfesionální hacker PhisherPhisher Nájemný kybernetický zločinec – nejvyšší cenaNájemný kybernetický zločinec – nejvyšší cena Organizované skupiny pachatelů kybernetické kriminalityOrganizované skupiny pachatelů kybernetické kriminality

5 Pachatelé kybernetické kriminality Nejsou všichni elity, jak si to myslíme… …ale v prvé řadě jsou to zločinci. Script Kiddies Skuteční hackeři Hacktivisté“ „Hacktivisté“ Teroristé Konkurence (cizí i domácí) Organizované skupiny hackerů Zpravodajskéslužby Zpravodajské služby Kybernetická válka HROZBYHROZBY HROZBYHROZBY SCHOPNOSTI Organizovanýzločin Organizovaný zločin

6Hrozby(threats) Prostředky ( means ) Cíle ( targets ) Konečné cíle ( ends ) Teroristické organizace VraždyStátní organizace Asymetrický konflikt Teroristické organizace Kybernetický útok Bankovnictví a finance kritická infrastruktura Bezpečnostní výhoda Pracovníci informační války Informační operace ObchodEkonomická výhoda Státní terorismusInfowarObyvatelstvo, vlády Politická změna Počítačoví hackeřiLogické bombyKritická infrastruktura Politický vliv a zisk Počítačoví hackeřiKybernetický útok Firmy, financeFinanční zisk Státem sponzorovaný terorismus Přímá akceKritická infrastruktura Politická změna

7 Útočníc i Nástroje Zranitelnost AkceCíleDůsledekÚčel hackeři špioni razie profesionální zločinci vandalové cestovatelé fyzický útok výměna informací skripty anonymní uživatel toolkit distribuční nástroje datové zdroje návrhy implemen- tace kofigurace zkoušky scaning záplavy autenti- zace bypass čtení kopie krádež výmaz účty vniknutí změny statusu procesy data kompo- nenty počítač sítě výměny dat prozrazení informací zničení informací DDoS krádež zdrojů DoS politický zisk finanční zisk události útoky incidenty

8 VysokáVysoká Nízká luštění hesel samoreplikační kódy password cracking zranitelnostsystému zranitelnost systému blokace auditu back doors hijacking sweepers sniffers Záchyt paketů GUI automatické scanování DoS www attacks Znalosti útočníků Znalosti útočníků Sofistikovanost útoku (nástroje) Sofistikovanost útoku (nástroje) pharming krádež síťová diagnostika Sofistikovanost útoku a znalosti útočníků phishing

9 Charakteristika vyšetřování kybernetické kriminality

10 Charakteristika digitálního místa činu Co je zde, ale nemělo být? Co zde není? Co zde není, ale mělo být? (tj. data, zbytky dat, registry) Co je zde? Čím bylo pohnuté, ale dosud zde je? ale dosud zde je? Co bylo změněno a je různé, ale ještě je zde? (tj. skrytá data, steganografie) Cybercrime Scene

11 Digitální stopy jsou mnohdy neviditelné, nestálé, značně rozsáhlé a dynamické, tedy proměnlivé v čase i místě spáchání skutku.Digitální stopy jsou mnohdy neviditelné, nestálé, značně rozsáhlé a dynamické, tedy proměnlivé v čase i místě spáchání skutku. Důkazní materiál mnohdy nelze zajistit stejně jako ostatní stopy na místě klasického trestného činu.Důkazní materiál mnohdy nelze zajistit stejně jako ostatní stopy na místě klasického trestného činu. Oběti i pachatele této kriminality nelze často vystopovat.Oběti i pachatele této kriminality nelze často vystopovat. Škody způsobené kybernetickou kriminalitou se obtížně zjišťují a vyčíslují.Škody způsobené kybernetickou kriminalitou se obtížně zjišťují a vyčíslují.

12 K zajištění, analýze a zkoumání digitálních stop jsou nutní vysoce kvalifikovaní policisté vybavení speciálním softwarem a hardwarem.K zajištění, analýze a zkoumání digitálních stop jsou nutní vysoce kvalifikovaní policisté vybavení speciálním softwarem a hardwarem. Problémem jsou dlouhé prodlevy, které souvisí s rychlostí a relativní nepozorovatelností počítačového incidentu. Kvalita a včasnost zajištění digitálních stop přitom zásadně rozhodují o úspěchu vyšetřování.Problémem jsou dlouhé prodlevy, které souvisí s rychlostí a relativní nepozorovatelností počítačového incidentu. Kvalita a včasnost zajištění digitálních stop přitom zásadně rozhodují o úspěchu vyšetřování. Legislativní rámec vyšetřování kybernetické kriminality je dosud nedokonalý, stále existují spíše fragmenty právních norem včetně trestního práva hmotného.Legislativní rámec vyšetřování kybernetické kriminality je dosud nedokonalý, stále existují spíše fragmenty právních norem včetně trestního práva hmotného.

13 Data se ukládají do struktur počítačových sítí. Data je proto třeba analyzovat (pokud možno) přímo na místě činu (dokud jsou on-line dostupná).Data se ukládají do struktur počítačových sítí. Data je proto třeba analyzovat (pokud možno) přímo na místě činu (dokud jsou on-line dostupná). Používá se šifrování dat kvalitními algoritmy, které je velmi obtížné nebo dokonce nemožné prolomit.Používá se šifrování dat kvalitními algoritmy, které je velmi obtížné nebo dokonce nemožné prolomit. Rozšiřuje se využívání malé a mobilní digitální techniky, kde jsou data uložena v pamětech mikropočítačových systémů a je obtížné je podrobit analýze. Stále častěji bude potřebné již na místě činu rozhodnout o postupu získání takto uložených dat a případně některá data přímo zpřístupnit.Rozšiřuje se využívání malé a mobilní digitální techniky, kde jsou data uložena v pamětech mikropočítačových systémů a je obtížné je podrobit analýze. Stále častěji bude potřebné již na místě činu rozhodnout o postupu získání takto uložených dat a případně některá data přímo zpřístupnit.

14 Faktory, určující kriminální situaci v případě kybernetické kriminality Existence či neexistence specifických právních norem k potírání kybernetické kriminality.Existence či neexistence specifických právních norem k potírání kybernetické kriminality. Nemožnost postihování některých způsobů chování, jež nesou znaky společenské škodlivosti (držení pornografie).Nemožnost postihování některých způsobů chování, jež nesou znaky společenské škodlivosti (držení pornografie). Stupeň připravenosti policejních orgánů a orgánů justice k potírání této trestné činnosti.Stupeň připravenosti policejních orgánů a orgánů justice k potírání této trestné činnosti. Úroveň rozvoje komunikačních sítí a počítačových systémů, úroveň technické ochrany dat a systémů proti jejich zneužití.Úroveň rozvoje komunikačních sítí a počítačových systémů, úroveň technické ochrany dat a systémů proti jejich zneužití.

15 Úroveň kontrolní činnosti a opatření proti možnému zneužití kumulací funkcí pracovníků informačních technologií.Úroveň kontrolní činnosti a opatření proti možnému zneužití kumulací funkcí pracovníků informačních technologií. Vztah managementu organizací k oznamování jednání naplňujících skutkovou podstatu trestné činnosti v oblasti informačních technologií.Vztah managementu organizací k oznamování jednání naplňujících skutkovou podstatu trestné činnosti v oblasti informačních technologií. Specifičnost prostředí, rychlost a utajenost provedení činu, možnost odstranění stop této činnosti.Specifičnost prostředí, rychlost a utajenost provedení činu, možnost odstranění stop této činnosti. Specifické postavení typického pachatele kybernetických trestných činů, zvláště:Specifické postavení typického pachatele kybernetických trestných činů, zvláště: –znalosti a dovednosti pachatelů, –jejich přístup k programovému vybavení a –snadnost či obtížnost dosáhnout vstup do systému (logy apod.).

16 Dynamické digitální důkazy Charakteristika pachatelů KK Deduktivní analýza Forenzní analýza Oběti KK Charakteristika místa činu Modus Operandi KK Strategie na místě činu Zkoumání digitálních stop Motivace KKRekonstrukce KK Mapování KK Vyšetřovací cyklus

17 Schéma vyšetřovacího procesu Přípravná fáze Rekognoskační fáze Vyšetřování fyzického místa činu Fáze zprávy Vyšetřování digitálního místa činu Generování důkazní zprávy

18 Model vyšetřovacího procesu Incident/Protokol o ohledání MČ Odhad hodnot Identifikace zajištěných dat Uchování Obnova Vytěžování dat Redukce Organizace a hledání Analýza Oznámení incidentu – obvinění Zpráva výpověď a důkaz Začátek s oznámením (alert) Ukončení svědectví Řízení případů Nástroje

19 Problematika odhalování kybernetické kriminality

Vyšetřovatel kybernetické kriminality by měl: Disponovat potřebným technickým a softwarovým vybavením.Disponovat potřebným technickým a softwarovým vybavením. Identifikovat hrozby a předcházet incidentům.Identifikovat hrozby a předcházet incidentům. Identifikovat pachatele a zadržet jej.Identifikovat pachatele a zadržet jej. Spolupracovat s odborníky nestátní sféry.Spolupracovat s odborníky nestátní sféry. Spolupracovat na mezinárodní úrovni.Spolupracovat na mezinárodní úrovni. Sledovat aktuální trendy rozvoje problematiky.Sledovat aktuální trendy rozvoje problematiky. 20

Hlavní problémy vyšetřování kybernetické kriminality (Zdroj informací: resortní materiál „Analýza aktuální úrovně zajištění kybernetické bezpečnosti České republiky“, určen pro jednání Bezpečnostní rady státu.) Nízký personální stav expertů na specializovaných policejních pracovištích, které se podílejí na vyšetřování kybernetické kriminality. 21

Skupina informační kriminality Policejního prezídia. Oddělení počítačové expertízy Kriminalistického ústavu Praha. Skupina pracovníků Útvaru zvláštních činností, kteří v součinnosti s telekomunikačními operátory dohledávají identitu a dokumentují činnost subjektů vyvíjejících nežádoucí činnost na internetu. Analogická pracoviště na krajských správách PČR. 22

23 Nízká znalostní vybavenost všech dalších příslušníků Policie České republiky, kteří se s kybernetickou kriminalitou setkávají. Již nyní příliš vysoký a ještě dále rostoucí objem existujících poznatků (včetně podnětů veřejnosti), které se týkají kybernetické kriminality a které policejní síly nejsou při současné personální situaci schopné v náležité míře prověřovat a dále rozpracovávat. Omezování nevhodnými administrativními předpisy, regulujícími schvalování, instalování a užívání potřebného softwaru i hardwaru. Týká se zvláště forenzních znalců, kteří se specializují na posuzování a zkoumání informačních technologií.

24 Nedostatečné propojení řady relevantních vnitrostátních databází, čímž mimo jiné dochází k duplikaci řady důležitých personálně a materiálně náročných činností, souvisejících s bojem proti kybernetickým incidentům. Nedostatek specializovaného vybavení (specializovaný a certifikovaný software, dostatečně dimenzovaný hardware apod.). Nevhodné organizační začlenění specializovaných policejních pracovišť a nedostatečné pravomoci jejich vedoucích.

25 Právníaspekty kybernetické kriminality Právní aspekty kybernetické kriminality

26 Směrylegislativykybernetické kriminality Směry legislativy kybernetické kriminality Ochrana údajů a ochrana soukromí.Ochrana údajů a ochrana soukromí. Trestní zákony, týkající se ekonomické kriminality související s využitím počítače.Trestní zákony, týkající se ekonomické kriminality související s využitím počítače. Ochrana duševního vlastnictví.Ochrana duševního vlastnictví. Ochrana před nezákonným či škodlivým obsahem.Ochrana před nezákonným či škodlivým obsahem. Trestní právo procesní.Trestní právo procesní. Právní regulace bezpečnostních opatření, jako je šifrování či elektronický podpis.Právní regulace bezpečnostních opatření, jako je šifrování či elektronický podpis.

27 Výzkum a vzdělávání v oblasti kybernetické kriminality

28 Výzkum V rámci bezpečnostního výzkumu Ministerstva vnitra úspěšně probíhá projekt „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. Naplánován do roku 2010, je žádoucí v projektu pokračovat i po roce Některá témata výzkumu:V rámci bezpečnostního výzkumu Ministerstva vnitra úspěšně probíhá projekt „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. Naplánován do roku 2010, je žádoucí v projektu pokračovat i po roce Některá témata výzkumu: Problematika CSIRT (Computer Security Incident Response Team – středisko koordinace reakce na kybernetické incidenty) (zvláště budování standardů a hierarchie řešení bezpečnostní problematiky v sítích). Problematika CSIRT (Computer Security Incident Response Team – středisko koordinace reakce na kybernetické incidenty) (zvláště budování standardů a hierarchie řešení bezpečnostní problematiky v sítích).

29 Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. Standardizace programového vybavení pro forenzní analýzu. Standardizace programového vybavení pro forenzní analýzu. Zkoumání sociálně-psychologických faktorů kybernetické kriminality. Zkoumání sociálně-psychologických faktorů kybernetické kriminality. Analýza právní problematiky kyberprostoru. Analýza právní problematiky kyberprostoru. Stav, úroveň, struktura a dynamika ohrožení ČR kybernetickou kriminalitou a kyberterorismem. Stav, úroveň, struktura a dynamika ohrožení ČR kybernetickou kriminalitou a kyberterorismem.

30 Vzdělávání a výcvik Vysokoškolské vzdělávání Univerzitní – veřejné VŠ – obor informatika.Vysokoškolské vzdělávání Univerzitní – veřejné VŠ – obor informatika. PA ČR v Praze:PA ČR v Praze: –Ochrana počítačových dat. –Bezpečnost informací. –Manažerská informatika. –Kriminalistická metodika aj. Specializační kurzy pro policisty, vyšetřovatele, experty apod.Specializační kurzy pro policisty, vyšetřovatele, experty apod.

31 Závěry a doporučení Všestranně posilovat, vzdělávat a cvičit specializované policejní týmy podílející se na vyšetřování kybernetické kriminality.Všestranně posilovat, vzdělávat a cvičit specializované policejní týmy podílející se na vyšetřování kybernetické kriminality. Zintenzivnit mezinárodní spolupráci policejních sborů. Harmonizovat právní normy z mezinárodního hlediska.Zintenzivnit mezinárodní spolupráci policejních sborů. Harmonizovat právní normy z mezinárodního hlediska. Budovat pracoviště koordinující nouzovou reakci na kybernetické incidenty.Budovat pracoviště koordinující nouzovou reakci na kybernetické incidenty.