Specifické problémy boje s kybernetickou kriminalitou Policejní akademie ČR v Praze FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU Specifické problémy boje s kybernetickou kriminalitou Doc. RNDr. Josef POŽÁR, CSc. RNDr. Václav HNÍK, CSc.

Typy útoků a útočníků kybernetické kriminality

Typy kybernetické kriminality Kybernetický kontraband Kybernetické pronásledování Kybernetický neautorizovaný vstup Kyberterorismus Kybernetický podvod Kybernetická pornografie Kybernetické praní špinavých peněz Kybernetická krádež Kybernetický vandalismus Kybernetická pomluva

Pachatelé kybernetické kriminality Kiddiots/skript – Kiddies – nejnižší úroveň Tvůrce virů Příležitostný hacker Profesionální hacker Phisher Nájemný kybernetický zločinec – nejvyšší cena Organizované skupiny pachatelů kybernetické kriminality

Pachatelé kybernetické kriminality Nejsou všichni elity, jak si to myslíme… …ale v prvé řadě jsou to zločinci. Kybernetická válka Zpravodajské služby HROZBY Teroristé Organizovaný zločin Konkurence (cizí i domácí) Organizované skupiny hackerů „Hacktivisté“ Skuteční hackeři Script Kiddies 5 SCHOPNOSTI 5 5

Hrozby (threats) Prostředky (means) Cíle Konečné cíle (ends) (targets) Teroristické organizace Vraždy Státní organizace Asymetrický konflikt Kybernetický útok Bankovnictví a finance kritická infrastruktura Bezpečnostní výhoda Pracovníci informační války Informační operace Obchod Ekonomická výhoda Státní terorismus Infowar Obyvatelstvo, vlády Politická změna Počítačoví hackeři Logické bomby Kritická infrastruktura Politický vliv a zisk Firmy, finance Finanční zisk Státem sponzorovaný terorismus Přímá akce

profesionální zločinci incidenty útoky události Útočníci Nástroje Zranitelnost Akce Cíle Důsledek Účel hackeři fyzický útok návrhy zkoušky účty vniknutí změny statusu špioni implemen-tace scaning procesy prozrazení informací výměna informací politický zisk razie záplavy data profesionální zločinci zničení informací kofigurace finanční zisk skripty kompo-nenty autenti-zace anonymní uživatel DoS vandalové počítač bypass DDoS toolkit cestovatelé čtení krádež zdrojů distribuční nástroje sítě kopie krádež výměny dat datové zdroje výmaz

Sofistikovanost útoku a znalosti útočníků pharming Vysoká Záchyt paketů DoS phishing sniffers sweepers www attacks automatické scanování GUI back doors síťová diagnostika blokace auditu hijacking Sofistikovanost útoku (nástroje) krádež zranitelnost systému password cracking samoreplikační kódy Nízká luštění hesel 1985 1990 1995 2000 2005

Charakteristika vyšetřování kybernetické kriminality

Charakteristika digitálního místa činu Co je zde, ale nemělo být? Cybercrime Scene Co je zde? Co zde není? Co zde není, ale mělo být? (tj. data, zbytky dat, registry) Co bylo změněno a je různé, ale ještě je zde? (tj. skrytá data, steganografie) Čím bylo pohnuté, ale dosud zde je?

Digitální stopy jsou mnohdy neviditelné, nestálé, značně rozsáhlé a dynamické, tedy proměnlivé v čase i místě spáchání skutku. Důkazní materiál mnohdy nelze zajistit stejně jako ostatní stopy na místě klasického trestného činu. Oběti i pachatele této kriminality nelze často vystopovat. Škody způsobené kybernetickou kriminalitou se obtížně zjišťují a vyčíslují.

K zajištění, analýze a zkoumání digitálních stop K zajištění, analýze a zkoumání digitálních stop jsou nutní vysoce kvalifikovaní policisté vybavení speciálním softwarem a hardwarem. Problémem jsou dlouhé prodlevy, které souvisí s rychlostí a relativní nepozorovatelností počítačového incidentu. Kvalita a včasnost zajištění digitálních stop přitom zásadně rozhodují o úspěchu vyšetřování. Legislativní rámec vyšetřování kybernetické kriminality je dosud nedokonalý, stále existují spíše fragmenty právních norem včetně trestního práva hmotného.

Data se ukládají do struktur počítačových sítí Data se ukládají do struktur počítačových sítí. Data je proto třeba analyzovat (pokud možno) přímo na místě činu (dokud jsou on-line dostupná). Používá se šifrování dat kvalitními algoritmy, které je velmi obtížné nebo dokonce nemožné prolomit. Rozšiřuje se využívání malé a mobilní digitální techniky, kde jsou data uložena v pamětech mikropočítačových systémů a je obtížné je podrobit analýze. Stále častěji bude potřebné již na místě činu rozhodnout o postupu získání takto uložených dat a případně některá data přímo zpřístupnit.

Faktory, určující kriminální situaci v případě kybernetické kriminality Existence či neexistence specifických právních norem k potírání kybernetické kriminality. Nemožnost postihování některých způsobů chování, jež nesou znaky společenské škodlivosti (držení pornografie). Stupeň připravenosti policejních orgánů a orgánů justice k potírání této trestné činnosti. Úroveň rozvoje komunikačních sítí a počítačových systémů, úroveň technické ochrany dat a systémů proti jejich zneužití.

Úroveň kontrolní činnosti a opatření proti možnému zneužití kumulací funkcí pracovníků informačních technologií. Vztah managementu organizací k oznamování jednání naplňujících skutkovou podstatu trestné činnosti v oblasti informačních technologií. Specifičnost prostředí, rychlost a utajenost provedení činu, možnost odstranění stop této činnosti. Specifické postavení typického pachatele kybernetických trestných činů, zvláště: znalosti a dovednosti pachatelů, jejich přístup k programovému vybavení a snadnost či obtížnost dosáhnout vstup do systému (logy apod.).

Strategie na místě činu Vyšetřovací cyklus Zkoumání digitálních stop Charakteristika pachatelů KK Motivace KK Rekonstrukce KK Deduktivní analýza Oběti KK Charakteristika místa činu Modus Operandi KK Mapování KK Forenzní analýza Dynamické digitální důkazy

Schéma vyšetřovacího procesu Přípravná fáze Rekognoskační fáze Vyšetřování fyzického místa činu Fáze zprávy Vyšetřování digitálního místa činu Generování důkazní zprávy

Model vyšetřovacího procesu Oznámení incidentu – obvinění výpověď a důkaz Ukončení svědectví Zpráva Analýza Nástroje Organizace a hledání Řízení případů Redukce Vytěžování dat Nástroje Obnova Uchování Identifikace zajištěných dat Incident/Protokol o ohledání MČ Nástroje Odhad hodnot Oznámení incidentu – obvinění Začátek s oznámením (alert)

Problematika odhalování kybernetické kriminality

Vyšetřovatel kybernetické kriminality by měl: Disponovat potřebným technickým a softwarovým vybavením. Identifikovat hrozby a předcházet incidentům. Identifikovat pachatele a zadržet jej. Spolupracovat s odborníky nestátní sféry. Spolupracovat na mezinárodní úrovni. Sledovat aktuální trendy rozvoje problematiky.

Hlavní problémy vyšetřování kybernetické kriminality (Zdroj informací: resortní materiál „Analýza aktuální úrovně zajištění kybernetické bezpečnosti České republiky“, určen pro jednání Bezpečnostní rady státu.) Nízký personální stav expertů na specializovaných policejních pracovištích, které se podílejí na vyšetřování kybernetické kriminality.

Skupina informační kriminality Policejního prezídia. Oddělení počítačové expertízy Kriminalistického ústavu Praha. Skupina pracovníků Útvaru zvláštních činností, kteří v součinnosti s telekomunikačními operátory dohledávají identitu a dokumentují činnost subjektů vyvíjejících nežádoucí činnost na internetu. Analogická pracoviště na krajských správách PČR.

Nízká znalostní vybavenost všech dalších příslušníků Policie České republiky, kteří se s kybernetickou kriminalitou setkávají. Již nyní příliš vysoký a ještě dále rostoucí objem existujících poznatků (včetně podnětů veřejnosti), které se týkají kybernetické kriminality a které policejní síly nejsou při současné personální situaci schopné v náležité míře prověřovat a dále rozpracovávat. Omezování nevhodnými administrativními předpisy, regulujícími schvalování, instalování a užívání potřebného softwaru i hardwaru. Týká se zvláště forenzních znalců, kteří se specializují na posuzování a zkoumání informačních technologií.

Nedostatečné propojení řady relevantních vnitrostátních databází, čímž mimo jiné dochází k duplikaci řady důležitých personálně a materiálně náročných činností, souvisejících s bojem proti kybernetickým incidentům. Nedostatek specializovaného vybavení (specializovaný a certifikovaný software, dostatečně dimenzovaný hardware apod.). Nevhodné organizační začlenění specializovaných policejních pracovišť a nedostatečné pravomoci jejich vedoucích.

Právní aspekty kybernetické kriminality

Směry legislativy kybernetické kriminality Ochrana údajů a ochrana soukromí. Trestní zákony, týkající se ekonomické kriminality související s využitím počítače. Ochrana duševního vlastnictví. Ochrana před nezákonným či škodlivým obsahem. Trestní právo procesní. Právní regulace bezpečnostních opatření, jako je šifrování či elektronický podpis.

Výzkum a vzdělávání v oblasti kybernetické kriminality

Výzkum V rámci bezpečnostního výzkumu Ministerstva vnitra úspěšně probíhá projekt „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. Naplánován do roku 2010, je žádoucí v projektu pokračovat i po roce 2010. Některá témata výzkumu: Problematika CSIRT (Computer Security Incident Response Team – středisko koordinace reakce na kybernetické incidenty) (zvláště budování standardů a hierarchie řešení bezpečnostní problematiky v sítích).

Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. Standardizace programového vybavení pro forenzní analýzu. Zkoumání sociálně-psychologických faktorů kybernetické kriminality. Analýza právní problematiky kyberprostoru. Stav, úroveň, struktura a dynamika ohrožení ČR kybernetickou kriminalitou a kyberterorismem.

Vzdělávání a výcvik Vysokoškolské vzdělávání Univerzitní – veřejné VŠ – obor informatika. PA ČR v Praze: Ochrana počítačových dat. Bezpečnost informací. Manažerská informatika. Kriminalistická metodika aj. Specializační kurzy pro policisty, vyšetřovatele, experty apod.

Závěry a doporučení Všestranně posilovat, vzdělávat a cvičit specializované policejní týmy podílející se na vyšetřování kybernetické kriminality. Zintenzivnit mezinárodní spolupráci policejních sborů. Harmonizovat právní normy z mezinárodního hlediska. Budovat pracoviště koordinující nouzovou reakci na kybernetické incidenty.