specifické problémy boje s kybernetickou kriminalitou
DESCRIPTION
Policejní akademie ČR v Praze FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. Specifické problémy boje s kybernetickou kriminalitou. Doc. RNDr. Josef POŽÁR, CSc. RNDr. Václav HNÍK, CSc. Typy útoků a útočníků kybernetické kriminality. Typy kybernetické kriminality. Kybernetický kontraband. - PowerPoint PPT PresentationTRANSCRIPT
1
Specifické problémy boje s Specifické problémy boje s kybernetickou kriminalitoukybernetickou kriminalitou
Doc. RNDr. Josef POŽÁR, CSc.Doc. RNDr. Josef POŽÁR, CSc.RNDr. Václav HNÍK, CSc.RNDr. Václav HNÍK, CSc.
Policejní akademie ČR v PrazePolicejní akademie ČR v PrazeFAKULTA BEZPEČNOSTNÍHO MANAGEMENTUFAKULTA BEZPEČNOSTNÍHO MANAGEMENTU
2
Typy útoků a útočníků kybernetickéTypy útoků a útočníků kybernetické kriminalitykriminality
3
KybernetickýKybernetický neautorizovaný neautorizovaný vstup vstup
KybernetickýKybernetický podvodpodvod
Kybernetické praní Kybernetické praní špinavých penězšpinavých peněz
Kybernetický Kybernetický vandalismusvandalismus
KybernetickéKybernetické pronásledovánípronásledování
KyberterorismusKyberterorismus
Kybernetická Kybernetická pornografiepornografie
Kybernetická krádežKybernetická krádež
Kybernetický kontrabandKybernetický kontraband
Kybernetická pomluvaKybernetická pomluva
Typy kybernetickéTypy kybernetické kriminalitykriminality
4
PachateléPachatelé kybernetickékybernetické kriminalitykriminality
•Kiddiots/skript – Kiddies – Kiddiots/skript – Kiddies – nejnižší úroveňnejnižší úroveň•Tvůrce virůTvůrce virů•Příležitostný hackerPříležitostný hacker•Profesionální hackerProfesionální hacker•PhisherPhisher•Nájemný kybernetický zločinec – Nájemný kybernetický zločinec – nejvyšší cenanejvyšší cena•Organizované skupiny pachatelů kybernetické Organizované skupiny pachatelů kybernetické kriminalitykriminality
5
Pachatelé kybernetické kriminalityPachatelé kybernetické kriminality• Nejsou všichni elity, jak si to myslíme…• …ale v prvé řadě jsou to zločinci.
Script KiddiesScript KiddiesSkuteční hackeřiSkuteční hackeři
„Hacktivisté“Hacktivisté“
TeroristéTeroristé
Konkurence (cizí i domácí)Konkurence (cizí i domácí)
Organizované skupiny hackerůOrganizované skupiny hackerů
ZpravodajskéZpravodajské službyslužbyKybernetickáKybernetická válkaválka
HHRROOZZBBYY
SCHOPNOSTISCHOPNOSTI
OrganizovanýOrganizovaný zločinzločin
6
Hrozby Hrozby (threats)(threats)
ProstředkyProstředky ((meansmeans))
CíleCíle ((targetstargets))
KonečnéKonečné cíle cíle ((endsends))
Teroristické organizace
Vraždy Státní organizace
Asymetrický konflikt
Teroristické organizace
Kybernetický útok
Bankovnictví a finance kritická infrastruktura
Bezpečnostní výhoda
Pracovníci informační války
Informační operace
Obchod Ekonomická výhoda
Státní terorismus Infowar Obyvatelstvo, vlády
Politická změna
Počítačoví hackeři Logické bomby Kritická infrastruktura
Politický vliv a zisk
Počítačoví hackeři Kybernetický útok
Firmy, finance Finanční zisk
Státem sponzorovaný terorismus
Přímá akce Kritická infrastruktura
Politická změna
7
Útočníci Nástroje Zranitelnost Akce Cíle Důsledek Účelhackeři
špioni
razie
profesionální zločinci
vandalové
cestovatelé
fyzický útok
výměna informací
skriptyanonymní uživatel
toolkit
distribuční nástroje
datové zdroje
návrhy
implemen-tace
kofigurace
zkoušky
scaning
záplavy
autenti-zace
bypassčteníkopiekrádežvýmaz
účty vniknutí změny statusu
procesy
data
kompo-nenty
počítač
sítě
výměny dat
prozrazení informací
zničení informací
DDoS
krádež zdrojů
DoS
politický zisk
finanční zisk
událostiútoky
incidenty
8
VysokáVysoká
NízkáNízká19819855 19199090 1991995 20002000 20020055
luštění heselluštění heselsamosamoreplireplikačníkační kódykódy
passwordpassword crackingcrackingzranitelnostzranitelnost systémusystému
blokaceblokace audit audituuback doors
hijackinghijacking
sweeperssweeperssnifferssniffers
ZáchytZáchyt paketůpaketů
GUIaautomatutomatické sické scancanováníování
DoSDoS
www attackswww attacks
Znalosti útočníků
Sofistikovanostútoku
(nástroje)
pharmingpharming
krádežkrádež
síťovásíťová diagnostikadiagnostika
SoSofistikovanostfistikovanost útoku aútoku a znalosti znalosti útočníkůútočníků
phishingphishing
9
Charakteristika vyšetřování Charakteristika vyšetřování kybernetické kriminalitykybernetické kriminality
10
Charakteristika digitálního místa činuCharakteristika digitálního místa činu
Co je zde, aleCo je zde, ale nemělo býtnemělo být??
Co zde není?Co zde není?
Co zde neníCo zde není, , ale mělo býtale mělo být? (? (tj.tj. ddata, ata, zbytky dat, registryzbytky dat, registry))
Co je zde?Co je zde?
Čím bylo pohnutéČím bylo pohnuté,, aleale dosuddosud zdezde jeje??
Co bylo změněno a je různé,Co bylo změněno a je různé,ale ještě je zdeale ještě je zde??
((tjtj. . skrytá dskrytá data, ata, ssteganograteganografiefie))
Cybercrime Scene
11
• Digitální stopy jsou mnohdy neviditelné, nestálé, Digitální stopy jsou mnohdy neviditelné, nestálé, značně rozsáhlé a dynamické, tedy proměnlivé značně rozsáhlé a dynamické, tedy proměnlivé v čase i místě spáchání skutku.v čase i místě spáchání skutku.
• Důkazní materiál mnohdy nelze zajistit stejně Důkazní materiál mnohdy nelze zajistit stejně jako ostatní stopy na místě klasického trestného jako ostatní stopy na místě klasického trestného činu.činu.
• Oběti i pachatele této kriminality nelze často Oběti i pachatele této kriminality nelze často vystopovat.vystopovat.
• Škody způsobené kybernetickou kriminalitou se Škody způsobené kybernetickou kriminalitou se obtížně zjišťují a vyčíslují.obtížně zjišťují a vyčíslují.
12
•K zajištění, analýze a zkoumání digitálních stop K zajištění, analýze a zkoumání digitálních stop jsou nutní vysoce kvalifikovaní policisté jsou nutní vysoce kvalifikovaní policisté
vybavení speciálním softwarem a hardwarem.vybavení speciálním softwarem a hardwarem.•Problémem jsou dlouhé prodlevy, které souvisí Problémem jsou dlouhé prodlevy, které souvisí s rychlostí a relativní nepozorovatelností s rychlostí a relativní nepozorovatelností
počítačového incidentu. Kvalita a včasnost počítačového incidentu. Kvalita a včasnost zajištění digitálních stop přitom zásadně zajištění digitálních stop přitom zásadně rozhodují o úspěchu vyšetřování.rozhodují o úspěchu vyšetřování.•Legislativní rámec vyšetřování kybernetické Legislativní rámec vyšetřování kybernetické
kriminality je dosud kriminality je dosud nedokonalý, stále existují nedokonalý, stále existují spíše fragmenty právních norem včetně spíše fragmenty právních norem včetně trestního trestního práva hmotného.práva hmotného.
13
• Data se ukládají do struktur počítačových sítí. Data Data se ukládají do struktur počítačových sítí. Data je proto třeba analyzovat (pokud možno) přímo na je proto třeba analyzovat (pokud možno) přímo na místě činu (dokud jsou on-line dostupná). místě činu (dokud jsou on-line dostupná).
• Používá se šifrování dat kvalitními algoritmy, které Používá se šifrování dat kvalitními algoritmy, které je velmi obtížné nebo dokonce nemožné prolomit. je velmi obtížné nebo dokonce nemožné prolomit.
• Rozšiřuje se využívání malé a mobilní digitální Rozšiřuje se využívání malé a mobilní digitální techniky, kde jsou data uložena v pamětech techniky, kde jsou data uložena v pamětech mikropočítačových systémů a je obtížné je mikropočítačových systémů a je obtížné je podrobit analýze. Stále častěji bude potřebné již na podrobit analýze. Stále častěji bude potřebné již na místě činu rozhodnout o postupu získání takto místě činu rozhodnout o postupu získání takto uložených dat a případně některá data přímo uložených dat a případně některá data přímo zpřístupnit.zpřístupnit.
14
Faktory, určující kriminální situaci v Faktory, určující kriminální situaci v případě kybernetické kriminalitypřípadě kybernetické kriminality
• Existence či neexistence specifických právních Existence či neexistence specifických právních norem k potírání kybernetické kriminality.norem k potírání kybernetické kriminality.
• Nemožnost postihování některých způsobů Nemožnost postihování některých způsobů chování, jež nesou znaky společenské chování, jež nesou znaky společenské škodlivosti (držení pornografie).škodlivosti (držení pornografie).
• Stupeň připravenosti policejních orgánů a Stupeň připravenosti policejních orgánů a orgánů justice k potírání této trestné činnosti.orgánů justice k potírání této trestné činnosti.
• Úroveň rozvoje komunikačních sítí a Úroveň rozvoje komunikačních sítí a počítačových systémů, úroveň technické počítačových systémů, úroveň technické ochrany dat a systémů proti jejich zneužití.ochrany dat a systémů proti jejich zneužití.
15
• Úroveň kontrolní činnosti a opatření proti Úroveň kontrolní činnosti a opatření proti možnému zneužití kumulací funkcí pracovníků možnému zneužití kumulací funkcí pracovníků informačních technologií.informačních technologií.
• Vztah managementu organizací k oznamování Vztah managementu organizací k oznamování jednání naplňujících skutkovou podstatu trestné jednání naplňujících skutkovou podstatu trestné činnosti v oblasti informačních technologií.činnosti v oblasti informačních technologií.
• Specifičnost prostředí, rychlost a utajenost Specifičnost prostředí, rychlost a utajenost provedení činu, možnost odstranění stop této provedení činu, možnost odstranění stop této činnosti.činnosti.
• Specifické postavení typického pachatele Specifické postavení typického pachatele kybernetických trestných činů, zvláště:kybernetických trestných činů, zvláště:– znalosti a dovednosti pachatelů,znalosti a dovednosti pachatelů,– jejich přístup k programovému vybavení ajejich přístup k programovému vybavení a– snadnost či obtížnost dosáhnout vstup do systému snadnost či obtížnost dosáhnout vstup do systému
(logy apod.).(logy apod.).
16Dynamické digitální důkazy
Charakteristika pachatelů KK
Deduktivní Deduktivní analýzaanalýza
Forenzní analýza
Oběti KKCharakteristika místa činu
Modus Operandi KK
Strategie na místě činu
Zkoumání digitálních stop
Motivace KK Rekonstrukce KK
Mapování KK
Vyšetřovací cyklus
17
Schéma vyšetřovacího procesuSchéma vyšetřovacího procesu
Přípravná Přípravná fázefáze
Rekognoskační Rekognoskační fázefáze
Vyšetřování Vyšetřování fyzického místa činufyzického místa činu
Fáze Fáze zprávyzprávy
Vyšetřování Vyšetřování digitálního místa činudigitálního místa činu
Generování Generování důkazní zprávydůkazní zprávy
18
ModelModel vyšetřovacíhovyšetřovacího procesuprocesu
Incident/Protokol o ohledání MČ
Odhad hodnot
Identifikace zajištěných dat
Uchování
Obnova
Vytěžování dat
Redukce
Organizace a hledání
Analýza
Oznámení incidentu – obvinění
Zpráva
výpověď a důkaz
Začátek s oznámením (alert)
Ukončení svědectví
Řízení případů
Nástroje
Nástroje
Nástroje
19
Problematika odhalování Problematika odhalování kybernetické kriminalitykybernetické kriminality
Vyšetřovatel kybernetické kriminality by měl:Vyšetřovatel kybernetické kriminality by měl:
• Disponovat potřebným technickým a Disponovat potřebným technickým a softwarovým vybavením.softwarovým vybavením.
• Identifikovat hrozby a předcházet incidentům.Identifikovat hrozby a předcházet incidentům.• Identifikovat pachatele a zadržet jej.Identifikovat pachatele a zadržet jej.• Spolupracovat s odborníky nestátní sféry.Spolupracovat s odborníky nestátní sféry.• Spolupracovat na mezinárodní úrovni.Spolupracovat na mezinárodní úrovni.• Sledovat aktuální trendy rozvoje problematiky.Sledovat aktuální trendy rozvoje problematiky.
20
Hlavní problémy vyšetřování kybernetické Hlavní problémy vyšetřování kybernetické kriminalitykriminality
(Zdroj informací: resortní materiál „Analýza aktuální úrovně zajištění kybernetické bezpečnosti České republiky“, určen pro jednání Bezpečnostní rady státu.)
• Nízký personální stav expertů na specializovaných policejních pracovištích, které se podílejí na vyšetřování kybernetické kriminality.
21
Skupina informační kriminality Policejního prezídia.
Oddělení počítačové expertízy Kriminalistického ústavu Praha.
Skupina pracovníků Útvaru zvláštních činností, kteří v součinnosti s telekomunikačními operátory dohledávají identitu a dokumentují činnost subjektů vyvíjejících nežádoucí činnost na internetu.
Analogická pracoviště na krajských správách PČR.
22
23
• Nízká znalostní vybavenost všech dalších příslušníků Policie České republiky, kteří se s kybernetickou kriminalitou setkávají.
• Již nyní příliš vysoký a ještě dále rostoucí objem existujících poznatků (včetně podnětů veřejnosti), které se týkají kybernetické kriminality a které policejní síly nejsou při současné personální situaci schopné v náležité míře prověřovat a dále rozpracovávat.
• Omezování nevhodnými administrativními předpisy, regulujícími schvalování, instalování a užívání potřebného softwaru i hardwaru. Týká se zvláště forenzních znalců, kteří se specializují na posuzování a zkoumání informačních technologií.
24
• Nedostatečné propojení řady relevantních vnitrostátních databází, čímž mimo jiné dochází k duplikaci řady důležitých personálně a materiálně náročných činností, souvisejících s bojem proti kybernetickým incidentům.
• Nedostatek specializovaného vybavení (specializovaný a certifikovaný software, dostatečně dimenzovaný hardware apod.).
• Nevhodné organizační začlenění specializovaných policejních pracovišť a nedostatečné pravomoci jejich vedoucích.
25
PrávníPrávní aspektyaspekty kybernetickékybernetické kriminalitykriminality
26
SměrySměry legislativylegislativy kybernetickékybernetické kriminalitykriminality
• Ochrana údajů a ochrana soukromí.Ochrana údajů a ochrana soukromí.• Trestní zákony, týkající se ekonomické Trestní zákony, týkající se ekonomické
kriminality související s využitím počítače.kriminality související s využitím počítače.• Ochrana duševního vlastnictví.Ochrana duševního vlastnictví.• Ochrana před nezákonným či škodlivým Ochrana před nezákonným či škodlivým
obsahem.obsahem.• Trestní právo procesní.Trestní právo procesní.• Právní regulace bezpečnostních opatření, jako Právní regulace bezpečnostních opatření, jako
je šifrování či elektronický podpis.je šifrování či elektronický podpis.
27
Výzkum a vzdělávání v oblasti Výzkum a vzdělávání v oblasti kybernetické kriminalitykybernetické kriminality
28
VýzkumVýzkum• V rámci bezpečnostního výzkumu V rámci bezpečnostního výzkumu
Ministerstva vnitra úspěšně probíhá projekt Ministerstva vnitra úspěšně probíhá projekt „Problematika kybernetických hrozeb z „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů ČR“. hlediska bezpečnostních zájmů ČR“. Naplánován do roku 2010, je žádoucí v Naplánován do roku 2010, je žádoucí v projektu pokračovat i po roce 2010. Některá projektu pokračovat i po roce 2010. Některá témata výzkumu:témata výzkumu:
Problematika CSIRT (Computer Security Problematika CSIRT (Computer Security Incident Response Team – středisko Incident Response Team – středisko koordinace reakce na kybernetické incidenty) koordinace reakce na kybernetické incidenty) (zvláště budování standardů a hierarchie (zvláště budování standardů a hierarchie řešení bezpečnostní problematiky v sítích).řešení bezpečnostní problematiky v sítích).
29
Bezpečnostní a spolehlivostní analýza Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. rozsáhlých sítí.
Standardizace programového vybavení pro Standardizace programového vybavení pro forenzní analýzu. forenzní analýzu.
Zkoumání sociálně-psychologických Zkoumání sociálně-psychologických faktorů kybernetické kriminality.faktorů kybernetické kriminality.
Analýza právní problematiky kyberprostoru.Analýza právní problematiky kyberprostoru. Stav, úroveň, struktura a dynamika ohrožení Stav, úroveň, struktura a dynamika ohrožení
ČR kybernetickou kriminalitou a ČR kybernetickou kriminalitou a kyberterorismem.kyberterorismem.
30
Vzdělávání a výcvik
• Vysokoškolské vzdělávání Univerzitní – Vysokoškolské vzdělávání Univerzitní – veřejné VŠ – obor informatika.veřejné VŠ – obor informatika.
• PA ČR v Praze:PA ČR v Praze:– Ochrana počítačových dat.Ochrana počítačových dat.– Bezpečnost informací.Bezpečnost informací.– Manažerská informatika.Manažerská informatika.– Kriminalistická metodika aj.Kriminalistická metodika aj.
• Specializační kurzy pro policisty, Specializační kurzy pro policisty, vyšetřovatele, experty apod.vyšetřovatele, experty apod.
31
Závěry a doporučeníZávěry a doporučení
•Všestranně posilovat, vzdělávat a cvičit Všestranně posilovat, vzdělávat a cvičit specializované policejní týmy podílející se specializované policejní týmy podílející se na vyšetřování kybernetické kriminality.na vyšetřování kybernetické kriminality.•Zintenzivnit mezinárodní spolupráci Zintenzivnit mezinárodní spolupráci
policejních sborů. Harmonizovat právní policejních sborů. Harmonizovat právní normy z mezinárodního hlediska.normy z mezinárodního hlediska.
•Budovat pracoviště koordinující Budovat pracoviště koordinující nouzovou reakci na kybernetické nouzovou reakci na kybernetické incidenty.incidenty.