Aktualności

"Być zawsze o krok przed cyberprzestępcą"

17 czerwca 2016 oficjalnie ogłoszono  inicjatywę   Criminal Use of Information Hiding (CUIng) , która została utworzona we współpracy z Europolem (European Cybercrime Centre).  Jej pomysłodawcą i koordynatorem jest dr hab. inż. Wojciech Mazurczyk – Pracownik naszego Wydziału i opiekun Koła Naukowego Bezpieczeństwa Informacyjnego.

Zachęcamy do lektury wywiadu z Twórcą tej międzynarodowej inicjatywy!

 

Kiedy zrodził się pomysł utworzenia inicjatywy Criminal Use of Information Hiding (CUIng)?

dr hab. Wojciech Mazurczyk:  Pomysł zrodził się mniej więcej rok temu w lipcu 2015 podczas mojej miesięcznej wizytacji na Politechnice w Delft (Holandia). Mieszkałem w tym czasie Hadze, w której mieszczą się instytucje takie jak Trybunał Sprawiedliwości, Europol czy Hague Security Delta (największy klaster bezpieczeństwa w Europie) oraz wiele firm związanych z bezpieczeństwem informacyjnym i sieciowym. Wizyta w „stolicy cyberbezpieczeństwa”  zainspirowała mnie, aby nawiązać kontakt z EC3 (European Cybercrime Centre), który jest częścią Europolu odpowiedzialną za ściganie cyberprzestępców.

 

Przesłałem im artykuł  Information Hiding as a Challenge for Malware Detection , który napisałem razem z dr Lucą Caviglione z CNR we Włoszech, a który ukazał się w prestiżowym czasopiśmie  IEEE Security and Privacy Magazine  (wydanie 2, Marzec/Kwiecień 2015, str. 89-93 – wersja elektroniczna dostępna TU ) . Zwróciliśmy w nim uwagę na formujący się nowy trend: techniki ukrywania informacji są coraz częściej wykorzystywane przez złośliwe oprogramowanie ( malware ). Dokonaliśmy tam także odpowiednich klasyfikacji i usystematyzowań. Reakcja EC3 była pozytywna i tydzień przed moim wyjazdem odbyła się seria spotkań związanych z tą tematyką. Byli wyraźnie zainteresowani tematem, chcieli wiedzieć więcej i zaprosili do przeprowadzenia szkolenia, które wspólnie z dr. Krzysztofem Cabajem z Instytutu Informatyki poprowadziliśmy w styczniu 2016 r. a które spotkało się z dużym uznaniem.

 

Czyli Europol okazał się dobrym współpracownikiem?

 

W.M.:  EC3 oprócz tropienia i zamykania cyberprzestępców przygląda się także ich metodom działania i stara się także być na bieżąco z najnowszymi trendami. Dotychczas mieli niewiele do czynienia z tematyką ukrywania informacji w sieciach komunikacyjnych, którą my w Instytucie Telekomunikacji WEiTI zajmujemy się razem z prof. Szczypiorskim i prof. Lubaczem już od ponad 10 lat. Wiedza, jaką posiadamy nie zawsze trafia do szerszej grupy odbiorców, a jako naukowcy potrafimy z dużym prawdopodobieństwem przewidzieć, w którą stronę będzie podążać rozwój tego typu rozwiązań. Znamy stan zaawansowania cyberprzestępców i wiemy, jakie rozwiązania proponuje świat naukowy. Obserwujemy, że rozwiązania spotykane w literaturze nieraz dopiero po 3-5 latach pojawiają się w sieci. Inicjatywa  Criminal Use of Information Hiding  jest próbą przekucia dotychczasowych naukowych działań na konkret. Można stworzyć świetną naukową publikację na ten temat, jednak warto starać się, aby to, co odkrywamy wpływało także na życie zwykłych użytkowników sieci.

 

Co użytkownik powinien wiedzieć o technikach ukrywania informacji?

 

W.M.:  Po udanym ataku cyberprzestępcy zazwyczaj starają się jak najdłużej pozostać niewykryci na zainfekowanej maszynie. Ponieważ coraz lepsze są mechanizmy, które mogą zdemaskować ich obecność, to szukają oni ciągle nowych sposobów, żeby uniknąć wykrycia. Jednym z rodzajów tego typu technik jest ukrywanie informacji (w tym steganografia). Tego typu rozwiązania mogą zostać wykorzystane do ukrycia faktu transmisji poufnych danych np. z sieci firm czy instytucji do sieci zewnętrznej. Najprostszym przykładem jest  przesyłanie tajnych informacji za pomocą zdjęć cyfrowych.

Obraz po zastosowaniu metody steganograficznej wygląda tak, jak wcześniej i tylko cyberprzestępca wie, w jaki sposób odzyskać ukryte w nim dane. W naszym zespole skupiamy się przede wszystkim na zagadnieniu ukrywania informacji w ruchu sieciowym tzw. steganografii sieciowej. Przykładowo, w czasie połączenia telefonicznego przez Skype przestępcy mogą wykorzystać związany z nim ruch sieciowy, aby bez naszej wiedzy umieścić tam tajne informacje i „wyciągnąć” je w odpowiednim miejscu w sieci nie przerywając ani nie wpływając na jakość połączenia. W ostatnich latach w Instytucie Telekomunikacji opracowaliśmy wiele pionierskich technik np. dla Skype, telefonii IP, czy sieci Wi-Fi. Dzięki temu, że wiemy jak takie techniki mogą być wykorzystywane w popularnych usługach czy protokołach internetowych, to jesteśmy w stanie wskazać taką podatność oraz opracować metody jej detekcji i przeciwdziałania. 

 

W jaki sposób Criminal Use of Information Hiding zamierza przeciwdziałać przestępczości w sieci? Jakie są główne założenia?

 

W.M.:  Jednym z podstawowych założeń jest podnoszenie świadomości użytkowników oraz personelu odpowiedzalnego za bezpieczeństwo sieci. Okazuje się, że w tym aspekcie poprawy wymagają zarówno służby, jak i instytucje oraz firmy, które najbardziej są najbardziej narażone na wyciek poufnych danych czy innowacyjnych projektów.

Kolejnym zadaniem jest staranie się być zawsze o krok przed cyberprzestępcami. Konieczna jest baczna obserwacja ewolucji wykorzystywanych przez nich technik i na tej podstawie przewidywanie ich kolejnego kroku. A co za tym idzie – przygotowanie jeszcze lepsze techniki przeciwdziałania. Dlatego CUIng zrzesza ekspertów z tak wielu obszarów.

Niezmiernie istotna jest także współpraca oraz wymiana informacji pomiędzy ekspertami pochodzącymi z różnych środowisk. Ich zbliżenie oraz identyfikacja potrzeb mogą przełożyć się na odpowiednie narzędzia do detekcji dedykowane dla służb, firm oraz instytucji. Nie ograniczamy także tej inicjatywy do poziomu Unii Europejskiej – w naszych szeregach są eksperci ze Stanów Zjednoczonych, Kanady, Australii czy Singapuru. Taka współpraca otwiera możliwości współpracy w szerokim zakresie, wspólnego pozyskania funduszy na projekty badawczo-rozwojowe oraz stworzenia niezbędnych narzędzi do wykrywania i przeciwdziałania technikom ukrywania informacji.

Dużą wagę przywiązujemy również do edukacji – przykładem jest szkolenie, jakie przeprowadziliśmy dla Europolu.

 

Czy człowiek może czuć się bezpieczny w sieci?

 

W.M.:  Przeciętnemu użytkownikowi sieci wydaje się, że jest bezpieczniejszy niż to jest w rzeczywistości. W rzeczywistość sieć jest jak dżungla – czyha w niej wiele zagrożeń, wiele podstępnych technik – trzeba być świadomym zagrożeń i stosować odpowiednie narzędzia, żeby umiejętnie ich unikać. Obecnie  niestety przegrywamy walkę z (cyber)przestępcami. Dlaczego? Głównie przez segmentację środowisk i brak przepływu informacji na poziomie służb, firm i instytucji – zarówno w Polsce, w Unii Europejskiej jak i na świecie. Cyberprzestępcy komunikują się szybciej i efektywniej. Przykładowo, widać pewien dysonans na poziomie firm oferujących zabezpieczenia, których głównym celem jest czerpanie zysków z zapewnienia bezpieczeństwa w sieci innym podmiotom. Nie są one chętne, aby dzielić się swoimi produktami z konkurencją. W rezultacie tworzą się wyspy, pomiędzy którymi brak jest przepływu informacji o zagrożeniach oraz elementarnej współpracy. Niewystarczająca jest także współpraca z uczelniami w tym zakresie. Na szczęście ta sytuacja powoli ulega zmianie.

 

Na co przeciętny użytkownik sieci powinien zwracać szczególną uwagę?

 

W.M.:   W ostatnim czasie dużym zagrożeniem jest złośliwe oprogramowanie typu ransomware , którym użytkownik może się zainfekować np. poprzez otwarcie zarażonego załącznika, bądź poprzez wejście na stronę, która padła wcześniej łupem hakerów. Początkowo użytkownik nie jest świadomy infekcji, bo i strona i komputer działają normalnie. Natomiast działając w tle ransomware  przenika do atakowanego komputera i szyfruje dane cenne dla firm, instytucji czy zwykłego użytkownika. Następnie, kiedy proces szyfrowania jest już zakończony użytkownikowi prezentowana jest notatka, w której przestępca za przywrócenie cennych plików żąda zapłaty okupu. Zwykle internetowy bandyta domaga się przelania pieniędzy w postaci kryptowaluty i obiecuje, że w zamian wyśle klucz oraz instrukcje jak odszyfrować dane. Na całym świecie znane są przypadki, gdy zainfekowane zostały szpitale, instytucje, czy jednostki policji. Co martwi, podstawowym rozwiązaniem tej sytuacji było zapłacenie okupu, co tylko zachęca cyberprzestępców do tworzenia kolejnych, bardziej skomplikowanych wersji ransomware’u . Warto także wspomnieć, że również w tym zakresie razem z dr Cabajem współpracujemy z Europolem.

ABC bezpieczeństwa w sieci jest znane: używajmy narzędzi bezpieczeństwa (programy antywirusowe, adblocker’y, firewalle), dbajmy na bieżąco o aktualizacje programów, których używamy oraz systemu operacyjnego , starajmy się nie wchodzić na podejrzane strony internetowe, nie instalujmy oprogramowania z nieznanego źródła, nie otwierajmy załączników z maili jakkolwiek wiarygodnie by one nie wyglądały i róbmy kopie zapasowe najważniejszych danych.

Warto także pamiętać, że w warunkach większej sieci (np. firmowej) możemy mieć świetne i drogie zabezpieczenia, ale i tak w takiej sytuacji to użytkownik pozostaje najsłabszym ogniwem, gdyż zawsze znajdzie się osoba, która otworzy załącznik zawierający złośliwe oprogramowanie. Jedno kliknięcie może zniweczyć cały system zabezpieczeń. Dlatego podnoszenie świadomości użytkowników i „uczulenie” ich na sprawy związane z szeroko rozumianym bezpieczeństwem w sieci jest sprawą kluczową.

 

Racjonalne podejście do tematu zmusza nas do pewnego pesymistycznego realizmu. A optymistyczne refleksje?

 

W.M.:  Będzie lepiej. Oczywiście jeśli zawsze będziemy o krok przed cyberprzestępcami. A jest to będzie możliwe między innymi dzięki takim inicjatywom jak  Criminal Use of Information Hiding .

 

Bardzo dziękujemy za rozmowę!

Zobacz też inny  >>artykuł