1

Specifické problémy boje s Specifické problémy boje s kybernetickou kriminalitoukybernetickou kriminalitou

Doc. RNDr. Josef POŽÁR, CSc.Doc. RNDr. Josef POŽÁR, CSc.RNDr. Václav HNÍK, CSc.RNDr. Václav HNÍK, CSc.

Policejní akademie ČR v PrazePolicejní akademie ČR v PrazeFAKULTA BEZPEČNOSTNÍHO MANAGEMENTUFAKULTA BEZPEČNOSTNÍHO MANAGEMENTU

2

Typy útoků a útočníků kybernetickéTypy útoků a útočníků kybernetické kriminalitykriminality

3

KybernetickýKybernetický neautorizovaný neautorizovaný vstup vstup

KybernetickýKybernetický podvodpodvod

Kybernetické praní Kybernetické praní špinavých penězšpinavých peněz

Kybernetický Kybernetický vandalismusvandalismus

KybernetickéKybernetické pronásledovánípronásledování

KyberterorismusKyberterorismus

Kybernetická Kybernetická pornografiepornografie

Kybernetická krádežKybernetická krádež

Kybernetický kontrabandKybernetický kontraband

Kybernetická pomluvaKybernetická pomluva

Typy kybernetickéTypy kybernetické kriminalitykriminality

4

PachateléPachatelé kybernetickékybernetické kriminalitykriminality

•Kiddiots/skript – Kiddies – Kiddiots/skript – Kiddies – nejnižší úroveňnejnižší úroveň•Tvůrce virůTvůrce virů•Příležitostný hackerPříležitostný hacker•Profesionální hackerProfesionální hacker•PhisherPhisher•Nájemný kybernetický zločinec – Nájemný kybernetický zločinec – nejvyšší cenanejvyšší cena•Organizované skupiny pachatelů kybernetické Organizované skupiny pachatelů kybernetické kriminalitykriminality

5

Pachatelé kybernetické kriminalityPachatelé kybernetické kriminality• Nejsou všichni elity, jak si to myslíme…• …ale v prvé řadě jsou to zločinci.

Script KiddiesScript KiddiesSkuteční hackeřiSkuteční hackeři

„Hacktivisté“Hacktivisté“

TeroristéTeroristé

Konkurence (cizí i domácí)Konkurence (cizí i domácí)

Organizované skupiny hackerůOrganizované skupiny hackerů

ZpravodajskéZpravodajské službyslužbyKybernetickáKybernetická válkaválka

HHRROOZZBBYY

SCHOPNOSTISCHOPNOSTI

OrganizovanýOrganizovaný zločinzločin

6

Hrozby Hrozby (threats)(threats)

ProstředkyProstředky ((meansmeans))

CíleCíle ((targetstargets))

KonečnéKonečné cíle cíle ((endsends))

Teroristické organizace

Vraždy Státní organizace

Asymetrický konflikt

Teroristické organizace

Kybernetický útok

Bankovnictví a finance kritická infrastruktura

Bezpečnostní výhoda

Pracovníci informační války

Informační operace

Obchod Ekonomická výhoda

Státní terorismus Infowar Obyvatelstvo, vlády

Politická změna

Počítačoví hackeři Logické bomby Kritická infrastruktura

Politický vliv a zisk

Počítačoví hackeři Kybernetický útok

Firmy, finance Finanční zisk

Státem sponzorovaný terorismus

Přímá akce Kritická infrastruktura

Politická změna

7

Útočníci Nástroje Zranitelnost Akce Cíle Důsledek Účelhackeři

špioni

razie

profesionální zločinci

vandalové

cestovatelé

fyzický útok

výměna informací

skriptyanonymní uživatel

toolkit

distribuční nástroje

datové zdroje

návrhy

implemen-tace

kofigurace

zkoušky

scaning

záplavy

autenti-zace

bypassčteníkopiekrádežvýmaz

účty vniknutí změny statusu

procesy

data

kompo-nenty

počítač

sítě

výměny dat

prozrazení informací

zničení informací

DDoS

krádež zdrojů

DoS

politický zisk

finanční zisk

událostiútoky

incidenty

8

VysokáVysoká

NízkáNízká19819855 19199090 1991995 20002000 20020055

luštění heselluštění heselsamosamoreplireplikačníkační kódykódy

passwordpassword crackingcrackingzranitelnostzranitelnost systémusystému

blokaceblokace audit audituuback doors

hijackinghijacking

sweeperssweeperssnifferssniffers

ZáchytZáchyt paketůpaketů

GUIaautomatutomatické sické scancanováníování

DoSDoS

www attackswww attacks

Znalosti útočníků

Sofistikovanostútoku

(nástroje)

pharmingpharming

krádežkrádež

síťovásíťová diagnostikadiagnostika

SoSofistikovanostfistikovanost útoku aútoku a znalosti znalosti útočníkůútočníků

phishingphishing

9

Charakteristika vyšetřování Charakteristika vyšetřování kybernetické kriminalitykybernetické kriminality

10

Charakteristika digitálního místa činuCharakteristika digitálního místa činu

Co je zde, aleCo je zde, ale nemělo býtnemělo být??

Co zde není?Co zde není?

Co zde neníCo zde není, , ale mělo býtale mělo být? (? (tj.tj. ddata, ata, zbytky dat, registryzbytky dat, registry))

Co je zde?Co je zde?

Čím bylo pohnutéČím bylo pohnuté,, aleale dosuddosud zdezde jeje??

Co bylo změněno a je různé,Co bylo změněno a je různé,ale ještě je zdeale ještě je zde??

((tjtj. . skrytá dskrytá data, ata, ssteganograteganografiefie))

Cybercrime Scene

11

• Digitální stopy jsou mnohdy neviditelné, nestálé, Digitální stopy jsou mnohdy neviditelné, nestálé, značně rozsáhlé a dynamické, tedy proměnlivé značně rozsáhlé a dynamické, tedy proměnlivé v čase i místě spáchání skutku.v čase i místě spáchání skutku.

• Důkazní materiál mnohdy nelze zajistit stejně Důkazní materiál mnohdy nelze zajistit stejně jako ostatní stopy na místě klasického trestného jako ostatní stopy na místě klasického trestného činu.činu.

• Oběti i pachatele této kriminality nelze často Oběti i pachatele této kriminality nelze často vystopovat.vystopovat.

• Škody způsobené kybernetickou kriminalitou se Škody způsobené kybernetickou kriminalitou se obtížně zjišťují a vyčíslují.obtížně zjišťují a vyčíslují.

12

•K zajištění, analýze a zkoumání digitálních stop K zajištění, analýze a zkoumání digitálních stop jsou nutní vysoce kvalifikovaní policisté jsou nutní vysoce kvalifikovaní policisté

vybavení speciálním softwarem a hardwarem.vybavení speciálním softwarem a hardwarem.•Problémem jsou dlouhé prodlevy, které souvisí Problémem jsou dlouhé prodlevy, které souvisí s rychlostí a relativní nepozorovatelností s rychlostí a relativní nepozorovatelností

počítačového incidentu. Kvalita a včasnost počítačového incidentu. Kvalita a včasnost zajištění digitálních stop přitom zásadně zajištění digitálních stop přitom zásadně rozhodují o úspěchu vyšetřování.rozhodují o úspěchu vyšetřování.•Legislativní rámec vyšetřování kybernetické Legislativní rámec vyšetřování kybernetické

kriminality je dosud kriminality je dosud nedokonalý, stále existují nedokonalý, stále existují spíše fragmenty právních norem včetně spíše fragmenty právních norem včetně trestního trestního práva hmotného.práva hmotného.

13

• Data se ukládají do struktur počítačových sítí. Data Data se ukládají do struktur počítačových sítí. Data je proto třeba analyzovat (pokud možno) přímo na je proto třeba analyzovat (pokud možno) přímo na místě činu (dokud jsou on-line dostupná). místě činu (dokud jsou on-line dostupná).

• Používá se šifrování dat kvalitními algoritmy, které Používá se šifrování dat kvalitními algoritmy, které je velmi obtížné nebo dokonce nemožné prolomit. je velmi obtížné nebo dokonce nemožné prolomit.

• Rozšiřuje se využívání malé a mobilní digitální Rozšiřuje se využívání malé a mobilní digitální techniky, kde jsou data uložena v pamětech techniky, kde jsou data uložena v pamětech mikropočítačových systémů a je obtížné je mikropočítačových systémů a je obtížné je podrobit analýze. Stále častěji bude potřebné již na podrobit analýze. Stále častěji bude potřebné již na místě činu rozhodnout o postupu získání takto místě činu rozhodnout o postupu získání takto uložených dat a případně některá data přímo uložených dat a případně některá data přímo zpřístupnit.zpřístupnit.

14

Faktory, určující kriminální situaci v Faktory, určující kriminální situaci v případě kybernetické kriminalitypřípadě kybernetické kriminality

• Existence či neexistence specifických právních Existence či neexistence specifických právních norem k potírání kybernetické kriminality.norem k potírání kybernetické kriminality.

• Nemožnost postihování některých způsobů Nemožnost postihování některých způsobů chování, jež nesou znaky společenské chování, jež nesou znaky společenské škodlivosti (držení pornografie).škodlivosti (držení pornografie).

• Stupeň připravenosti policejních orgánů a Stupeň připravenosti policejních orgánů a orgánů justice k potírání této trestné činnosti.orgánů justice k potírání této trestné činnosti.

• Úroveň rozvoje komunikačních sítí a Úroveň rozvoje komunikačních sítí a počítačových systémů, úroveň technické počítačových systémů, úroveň technické ochrany dat a systémů proti jejich zneužití.ochrany dat a systémů proti jejich zneužití.

15

• Úroveň kontrolní činnosti a opatření proti Úroveň kontrolní činnosti a opatření proti možnému zneužití kumulací funkcí pracovníků možnému zneužití kumulací funkcí pracovníků informačních technologií.informačních technologií.

• Vztah managementu organizací k oznamování Vztah managementu organizací k oznamování jednání naplňujících skutkovou podstatu trestné jednání naplňujících skutkovou podstatu trestné činnosti v oblasti informačních technologií.činnosti v oblasti informačních technologií.

• Specifičnost prostředí, rychlost a utajenost Specifičnost prostředí, rychlost a utajenost provedení činu, možnost odstranění stop této provedení činu, možnost odstranění stop této činnosti.činnosti.

• Specifické postavení typického pachatele Specifické postavení typického pachatele kybernetických trestných činů, zvláště:kybernetických trestných činů, zvláště:– znalosti a dovednosti pachatelů,znalosti a dovednosti pachatelů,– jejich přístup k programovému vybavení ajejich přístup k programovému vybavení a– snadnost či obtížnost dosáhnout vstup do systému snadnost či obtížnost dosáhnout vstup do systému

(logy apod.).(logy apod.).

16Dynamické digitální důkazy

Charakteristika pachatelů KK

Deduktivní Deduktivní analýzaanalýza

Forenzní analýza

Oběti KKCharakteristika místa činu

Modus Operandi KK

Strategie na místě činu

Zkoumání digitálních stop

Motivace KK Rekonstrukce KK

Mapování KK

Vyšetřovací cyklus

17

Schéma vyšetřovacího procesuSchéma vyšetřovacího procesu

Přípravná Přípravná fázefáze

Rekognoskační Rekognoskační fázefáze

Vyšetřování Vyšetřování fyzického místa činufyzického místa činu

Fáze Fáze zprávyzprávy

Vyšetřování Vyšetřování digitálního místa činudigitálního místa činu

Generování Generování důkazní zprávydůkazní zprávy

18

ModelModel vyšetřovacíhovyšetřovacího procesuprocesu

Incident/Protokol o ohledání MČ

Odhad hodnot

Identifikace zajištěných dat

Uchování

Obnova

Vytěžování dat

Redukce

Organizace a hledání

Analýza

Oznámení incidentu – obvinění

Zpráva

výpověď a důkaz

Začátek s oznámením (alert)

Ukončení svědectví

Řízení případů

Nástroje

Nástroje

Nástroje

19

Problematika odhalování Problematika odhalování kybernetické kriminalitykybernetické kriminality

Vyšetřovatel kybernetické kriminality by měl:Vyšetřovatel kybernetické kriminality by měl:

• Disponovat potřebným technickým a Disponovat potřebným technickým a softwarovým vybavením.softwarovým vybavením.

• Identifikovat hrozby a předcházet incidentům.Identifikovat hrozby a předcházet incidentům.• Identifikovat pachatele a zadržet jej.Identifikovat pachatele a zadržet jej.• Spolupracovat s odborníky nestátní sféry.Spolupracovat s odborníky nestátní sféry.• Spolupracovat na mezinárodní úrovni.Spolupracovat na mezinárodní úrovni.• Sledovat aktuální trendy rozvoje problematiky.Sledovat aktuální trendy rozvoje problematiky.

20

Hlavní problémy vyšetřování kybernetické Hlavní problémy vyšetřování kybernetické kriminalitykriminality

(Zdroj informací: resortní materiál „Analýza aktuální úrovně zajištění kybernetické bezpečnosti České republiky“, určen pro jednání Bezpečnostní rady státu.)

• Nízký personální stav expertů na specializovaných policejních pracovištích, které se podílejí na vyšetřování kybernetické kriminality.

21

Skupina informační kriminality Policejního prezídia.

Oddělení počítačové expertízy Kriminalistického ústavu Praha.

Skupina pracovníků Útvaru zvláštních činností, kteří v součinnosti s telekomunikačními operátory dohledávají identitu a dokumentují činnost subjektů vyvíjejících nežádoucí činnost na internetu.

Analogická pracoviště na krajských správách PČR.

22

23

• Nízká znalostní vybavenost všech dalších příslušníků Policie České republiky, kteří se s kybernetickou kriminalitou setkávají.

• Již nyní příliš vysoký a ještě dále rostoucí objem existujících poznatků (včetně podnětů veřejnosti), které se týkají kybernetické kriminality a které policejní síly nejsou při současné personální situaci schopné v náležité míře prověřovat a dále rozpracovávat.

• Omezování nevhodnými administrativními předpisy, regulujícími schvalování, instalování a užívání potřebného softwaru i hardwaru. Týká se zvláště forenzních znalců, kteří se specializují na posuzování a zkoumání informačních technologií.

24

• Nedostatečné propojení řady relevantních vnitrostátních databází, čímž mimo jiné dochází k duplikaci řady důležitých personálně a materiálně náročných činností, souvisejících s bojem proti kybernetickým incidentům.

• Nedostatek specializovaného vybavení (specializovaný a certifikovaný software, dostatečně dimenzovaný hardware apod.).

• Nevhodné organizační začlenění specializovaných policejních pracovišť a nedostatečné pravomoci jejich vedoucích.

25

PrávníPrávní aspektyaspekty kybernetickékybernetické kriminalitykriminality

26

SměrySměry legislativylegislativy kybernetickékybernetické kriminalitykriminality

• Ochrana údajů a ochrana soukromí.Ochrana údajů a ochrana soukromí.• Trestní zákony, týkající se ekonomické Trestní zákony, týkající se ekonomické

kriminality související s využitím počítače.kriminality související s využitím počítače.• Ochrana duševního vlastnictví.Ochrana duševního vlastnictví.• Ochrana před nezákonným či škodlivým Ochrana před nezákonným či škodlivým

obsahem.obsahem.• Trestní právo procesní.Trestní právo procesní.• Právní regulace bezpečnostních opatření, jako Právní regulace bezpečnostních opatření, jako

je šifrování či elektronický podpis.je šifrování či elektronický podpis.

27

Výzkum a vzdělávání v oblasti Výzkum a vzdělávání v oblasti kybernetické kriminalitykybernetické kriminality

28

VýzkumVýzkum• V rámci bezpečnostního výzkumu V rámci bezpečnostního výzkumu

Ministerstva vnitra úspěšně probíhá projekt Ministerstva vnitra úspěšně probíhá projekt „Problematika kybernetických hrozeb z „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. hlediska bezpečnostních zájmů ČR“. Naplánován do roku 2010, je žádoucí v Naplánován do roku 2010, je žádoucí v projektu pokračovat i po roce 2010. Některá projektu pokračovat i po roce 2010. Některá témata výzkumu:témata výzkumu:

Problematika CSIRT (Computer Security Problematika CSIRT (Computer Security Incident Response Team – středisko Incident Response Team – středisko koordinace reakce na kybernetické incidenty) koordinace reakce na kybernetické incidenty) (zvláště budování standardů a hierarchie (zvláště budování standardů a hierarchie řešení bezpečnostní problematiky v sítích).řešení bezpečnostní problematiky v sítích).

29

Bezpečnostní a spolehlivostní analýza Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. rozsáhlých sítí.

Standardizace programového vybavení pro Standardizace programového vybavení pro forenzní analýzu. forenzní analýzu.

Zkoumání sociálně-psychologických Zkoumání sociálně-psychologických faktorů kybernetické kriminality.faktorů kybernetické kriminality.

Analýza právní problematiky kyberprostoru.Analýza právní problematiky kyberprostoru. Stav, úroveň, struktura a dynamika ohrožení Stav, úroveň, struktura a dynamika ohrožení

ČR kybernetickou kriminalitou a ČR kybernetickou kriminalitou a kyberterorismem.kyberterorismem.

30

Vzdělávání a výcvik

• Vysokoškolské vzdělávání Univerzitní – Vysokoškolské vzdělávání Univerzitní – veřejné VŠ – obor informatika.veřejné VŠ – obor informatika.

• PA ČR v Praze:PA ČR v Praze:– Ochrana počítačových dat.Ochrana počítačových dat.– Bezpečnost informací.Bezpečnost informací.– Manažerská informatika.Manažerská informatika.– Kriminalistická metodika aj.Kriminalistická metodika aj.

• Specializační kurzy pro policisty, Specializační kurzy pro policisty, vyšetřovatele, experty apod.vyšetřovatele, experty apod.

31

Závěry a doporučeníZávěry a doporučení

•Všestranně posilovat, vzdělávat a cvičit Všestranně posilovat, vzdělávat a cvičit specializované policejní týmy podílející se specializované policejní týmy podílející se na vyšetřování kybernetické kriminality.na vyšetřování kybernetické kriminality.•Zintenzivnit mezinárodní spolupráci Zintenzivnit mezinárodní spolupráci

policejních sborů. Harmonizovat právní policejních sborů. Harmonizovat právní normy z mezinárodního hlediska.normy z mezinárodního hlediska.

•Budovat pracoviště koordinující Budovat pracoviště koordinující nouzovou reakci na kybernetické nouzovou reakci na kybernetické incidenty.incidenty.