Kedden 12. alkalommal is megnyitotta kapuit az ITBN, a 2005 óta futó éves budapesti IT-biztonsági konferencia. Az első nap nyitóelőadását az idei egyik legnevesebb vendég, Vincent Danjean tartotta, aki az Interpol információbiztonsági incidenskezelő egységének vezetője.
Az Interpol fő feladata a 190 tagországa hatóságainak segítése a határokon átívelő nyomozásokban, Danjean digitális részlege pedig ehhez fejleszt digitális eszközöket, illetve koordinálja a nemzetközi kiberbűnözés elleni harcot. Ez a harc pedig egyre nagyobb kihívásokkal jár. 2015-ben 8,8 zettabájt adatunk volt (egy zettabájt ezermillió gigabájt), a becslések [pdf] szerint 2020-ra 44 zettabájt lesz – vagyis röpke öt év alatt megötszöröződik. Közben a mai 3 milliárdos felhasználói szám 4 milliárdra duzzad, és 16,3 milliárd eszköz helyett 24,4 milliárd fog csatlakozni a netre.
Fel vagyunk erre készülve? Megvannak ehhez az eszközeink?
– kérdezte kicsit magától is Danjean, mielőtt felsorolt pár példát, milyen trendek nehezítik a kibernyomozást.
A nyomozók egyik fő feladata, hogy egy-egy bűntényről megállapítják, ki az elkövető. Ez viszont egyre nehezebb manapság, hiszen a profi bűnözők egy sor módszerrel el tudják rejteni a személyazonosságukat: a láthatatlan sötét webre vonulnak, titkosítást és bitcoint használnak. De Danjean szerint a magánszférát védő szigorú szabályozás is nehezíti a dolgukat, az Európai Unió például személyazonosításra alkalmas adatnak tekinti és eszerint szabályozza az internetes forgalmunkról árulkodó IP-címeket.
Tényleg, személyes adat? Az autóitokon a rendszám is személyes adat, zavar, ha valaki látja, miközben parkolsz? Mitől más az IP-cím, ami ráadásul változik is?
Ráadásul a kiberbűnözők egyre ügyesebbek, és Danjean önkritikus megjegyzése szerint sokkal jobban működnek együtt csoportban, mint a nyomozók, úgyhogy van is mit tanulni tőlük, a hatóságoknak is hatékonyabban kellene információt cserélni, és például megosztani a digitális bizonyítékokat az országok között.
Maga a digitális bizonyítékok begyűjtése se egyszerű történet, és nemcsak a titkosítás terjedése miatt. Az egyik új probléma, hogy az azonosított gépek tulajdonosai azt mondják, hiába az ő eszközükről van szó, ők nem követtek el semmit, csak valamilyen kártevővel fertőzték meg a gépüket a bűnözők, és felhasználták a saját céljaikra. Gyakran valóban ez is a helyzet, és ezt nagyon nehéz ellőrizni, szinte lehetetlen kijelenteni, hogy biztosan nem volt egy gépen kártevő program.
Az Interpol külön épített egy hipermodern központot is a kiberbűntények felderítéséhez – és egyben az ehhez szükséges eszközök fejlesztéséhez –, méghozzá Szingapúrban. Ez az IGCI, az Interpol globális innovációs központja. Hivatalosan 2015 áprilisában nyitották meg, de már 2014-től működik.
Innen koordinálták például a Simda nevű botnet lekapcsolását tavaly áprilisban, még éppen a hivatalos avatás előtt. A Simda 190 országban 770 ezer számítógépet fertőzött meg és épített be a zombihálózatába, egyúttal ellopva a tulajdonosok banki adatait is. Volt is mit koordinálni: a rajtaütésben a hálózat 14 központi szerverét kapcsolták le 5 különböző országban egyszerre, az akcióban az Interpolon és a helyi hatóságokon kívül több biztonsági cég is részt vett.
A szingapúri központ három fő funkciót lát el:
Itt működik az Interpol egyik 0-24 órás vezérlő- és koordinációs központja (CCC), állandó kapcsolatban a Lyonban és Buenos Airesben álló másik kettővel. Innen irányítják azokat a nemzetközi nyomozásokat, amelyekben részt vesz az Interpol. A Cyber Fusion Centre elemzői figyelik a netes adatforgalmat, elemzik a fenyegetéseket. A központ szükség esetén digitális nyomrögzítőket küld a helyszínre, hogy segítsék a nyomozók munkáját, például a helyszínen begyűjtött telefonokból nyernek ki adatokat. Az IGCI-ben működtetik a valós időben világszerte elérhető bűnözői adatbázisokat, és eszközöket fejlesztenek a nyomozáshoz.
Az Interpol szorosan együttműködik a magánszektorral is. Olyan szorosan, hogy például a Kaspersky Lab és a Trend Micro biztonsági cégek elemzői be is költöztek a központba, hogy segítsék a nyomozásokat. (Mindkét cég részt vett például a Simda-botnet elleni műveletben). A külsős kutatók is a központban dolgoznak az interpolosokkal, de azért arra figyelni kell, hogy ők mégse tartoznak a hatósághoz, ezért külön helyiséget tartanak fenn nekik.
Közösen dolgozunk velük, de amint mi rendfenntartunk, másik szobába vonulunk és lehúzzuk a rolót
– mondta Danjean.
Folyamatosan tartanak képzéseket és tréningeket is online és a tagországokban is, hogy a nyomozók tudják is használni a rendelkezésükre álló eszközöket, és egyáltalán, hogy ismerjék a kiberveszélyeket, amelyek ellen küzdeniük kell.
Pár elkészült fejlesztésről mesélt is Danjean, amelyek már bármelyik tagországnak elérhetők. Ilyen a Blockchain Explorer, amellyel a legnépszerűbb digitális valuta, a Bitcoin útját tudják követni és elemezni. (A Bitcoin működésének lényegéről ebben a cikkben olvashat röviden. A blockchain pedig a bitcoin-technológia alapját jelentő elosztott adatbázis, gyakorlatilag a tranzakciók nyilvános főkönyve.)
Egy másik fejlesztés a Darknet Training Game. Ennek a lényege, hogy az Interpol létrehozott egy saját mini Tor-hálózatot, amelyet Blackberry telefonokon futtatnak. Van hozzá saját digitális valuta is, amellyel lehet kereskedni a saját feketepiacon. A nyomozók ezen a sötétweb-modellen gyakorolhatnak, hogy aztán majd élesben se ijedjenek meg az igazi sötétben.