Etický hacker TOMÁŠ ZAŤKO zo spoločnosti Citadelo vysvetľuje, aké náročné môže byť pre políciu vypátrať odosielateľa výhražných e-mailov školám, bankám a predajniam.
Program na hromadné posielanie e-mailov síce zvládne aj začínajúci programátor, existujú však nástroje, ktoré vytvoria zdanie, že operuje napríklad z Thajska, Afriky či Karibiku.
V rozhovore sa dočítate:
- čo polícia zvažuje pri vyšetrovaní výhražných e-mailov,
- či mohol mať páchateľ konkrétny dôvod, prečo si vybral práve ruskú doménu,
- ako sa môže stať, že vyšetrovanie zavedie políciu na opačný koniec sveta.
Polícia zatiaľ nemá páchateľa výhražných e-mailov rozoslaných na 1500 škôl, do bánk a obchodov. Podľa toho, čo o prípade vieme, zdá sa vám, že to urobili amatéri alebo profesionáli?
Už len to, že si tento človek zvolil zahraničný freemail (voľná e-mailová služba, pozn. red.) znamená, že sa minimálne zamyslel nad tým, ako by polícii vyšetrovanie skomplikoval. A treba povedať, že sa zamyslel správne, lebo jej takto prácu naozaj sťaží.
V tejto chvíli sa však nedá z dostupných informácií povedať, ako zdatný bol páchateľ. Najdôležitejšia informácia, ktorú nepoznáme je, či a aké technické metódy použil páchateľ na to, aby schoval, odkiaľ a z akej krajiny to celé zorganizoval.
Ak by sa niekto chcel dobre skryť, ako by to spravil?
Podstatné informácia je, z akej IP adresy človek pristupoval na e-mailový účet, z ktorého prišli školám vyhrážky. Teda – z akého počítača, prípadne z akej siete počítačov to spravil. Ak by to totiž urobil napríklad z počítača v jeho práci, nepôjde o IP adresu jeho počítača, ale celej firmy.
Táto kľúčová informácia o tom, z akej IP adresy aktivita vychádzala, sa momentálne nachádza na ruskom serveri. Slovenská polícia sa k nej nevie dopátrať priamo a musia požiadať ruskú políciu o spoluprácu. Ruská polícia zas musí požiadať firmu, ktorá prevádzkuje e-mailový server, aby dohľadala informácie vedúce k páchateľovi.
Tu však veľmi záleží na tom, čo by sa z týchto informácií zistilo.
Z týchto informácií teda ešte nemusí byť jasné, o ktorý počítač šlo?
Nemusí. Ak by sa však z informácií ruského servera ukázalo, že ide o IP adresu, ktorá patrí slovenskému poskytovateľovi internetu, tak je to pomerne jednoduché. To by mohlo nasvedčovať tomu, že útočník je zo Slovenska a pre políciu bude oveľa jednoduchšie si lokálne v rámci svojej pôsobnosti dohľadať o ňom informácie. Poslali by žiadosť operátorovi – vymyslím si, napríklad Orangeu alebo Telecomu – a oni vedia zistiť, kto v momente odosielania výhražných e-mailov školám danú IP adresu vlastnil. Nejaká domácnosť alebo firma.
Lenže ak útočník vie, ako to funguje, mohol použiť metódu, aby jeho IP adresa ostala ukrytá. Použiť na to môže niečo ako prestupnú stanicu. Napríklad môže použiť tzv. anonymizér – sieť počítačov, ktorých cieľom je skryť IP adresu. V tomto prípade by bolo vypátranie skutočného zdroja veľmi ťažké, dá sa povedať, že až prakticky nemožné.
Alebo mohol využiť jednu z mnohých VPN služieb, ktoré ľuďom poskytujú zabezpečený prístup na internet a popri tom tiež skrývajú IP adresu. Ak by postupoval páchateľ takto, tak firma prevádzkujúca VPN službu by potenciálne mohla informácie o zdroji poskytnúť, ale tie to nerobia veľmi rady. Navyše, páchateľ mohol metódy aj kombinovať a reťaziť.
Čiže by to políciu priviedlo len k ďalšej stope po počítači, odkiaľ však útok naozaj nevychádzal?
Princíp skrytia adresy počítača spočíva v tom, že si páchateľ urobí zväčša viacero prestupných staníc.
V zločineckom prostredí sa napríklad pomerne bežne používa metóda, že si páchatelia vytvoria aj sieť počítačov, ktoré v predstihu nabúrajú. Starší človek niekde na svete používa starší počítač a ani nevie, že slúži ako prestupná stanica na útoky. Potom bývajú ľudia prekvapení, keď im príde polícia vyvaliť dvere.
Útočníci si takto môžu vytvoriť spojenie medzi ich počítačom a počítačom vlastneným niekým v Karibiku, z počítača v Karibiku si zas urobia prestupné spojenie s počítačom v Afrike a potom ešte z počítača v Afrike vytvoria spojenie s počítačom v Thajsku.
Vždy pritom v tomto systéme vidieť až poslednú IP adresu. Čiže ak by podobný postup využili páchatelia poslaných výhražných e-mailov, ruský server by videl iba thajskú adresu. Tu už však hovoríme o pokročilých internetových kriminálnikoch so znalosťami o tom, ktoré krajiny na vyšetrovaní nespolupracujú.
K využitiu VPN služby sa dá bežne dostať – to podobné vyšetrovania nekomplikuje?
Dá. Ale treba povedať, že tieto služby majú legitímne využitie – aby si ich niekto nepredstavoval tak, že sú zlé a treba ich zrušiť. Využívajú ich napríklad ľudia v diktátorských krajinách a disidenti pre prístup na internet, ktorý majú v diktatúrach obmedzený – aby režimy nezistili ich IP adresy.
E-mail prišiel školám z e-mailovej adresy s ruskou doménou. Existuje nejaká technická výhoda pre páchateľov, pre ktorú zvolili práve Rusko? Je ťažšie získať odtiaľ informácie?
Myslím, že je to ťažšie, ale na toto vám neviem odpovedať. Kľúčové je, že je doména v zahraničí a už to je komplikovanejšie.
Firmy poskytujúce e-mailové služby, ako tá v Rusku, bývajú ochotné odovzdávať informácie polícii?
Zvyčajne zvyknú spolupracovať.
Mohlo by ovplyvniť spoluprácu s ruskou políciou to, že Rusko nás po začatí totálnej vojny na Ukrajine považuje za nepriateľský štát?
Toto je mimo mojej expertízy. Určite ale vojna presmerovala zdroje štátu práve na ňu a dá sa predpokladať, že štátne zložky v Rusku, ktoré by mali na takéto veci reagovať, budú zaneprázdnené predovšetkým inými záležitosťami.
Dokázal by takéto hromadné zasielanie vyhrážok zvládnuť jeden človek?
To nie je vôbec problém. Program na takéto zasielanie sa dá veľmi jednoducho naprogramovať, je naozaj dosť triviálny a zvládne ho aj začínajúci programátor. Dokáže vám ho dokonca pomôcť napísať aj umelá inteligencia. A ak by aj nebol takto zdatný a daný človek má dosť času, vedel by e-maily posielať aj manuálne, to by však dlhšie trvalo.
Z vašej skúsenosti – nakoľko býva pátranie po páchateľovi v podobných prípadoch úspešné?
Väčšinou do toho idú dobre pripravení ľudia, hoci nie je technicky náročné zakryť na internete svoju identitu. Treba sa teda pripraviť na to, že tam mohli použiť aj anonymizér. V podobných prípadoch, v ktorých sme aj my pomáhali s vyšetrovaním, sme skôr hľadali nejakú chybu –akoby ihlu v kope sena.
Občas sa totiž darí útočníkov vypátrať vďaka malej chybe. Predstavte si to tak, že anonymizér na chvíľu vypadne – ako keby človek klikol mimo a malý úsek komunikácie prejde do internetu mimo anonymizéra. V takom prípade sa dá odhaliť skutočný zdroj útoku a jeho IP adresa.
Ďalšia možnosť je, že človek, ktorý to spáchal, sa síce pripravil na veľkú akciu, ale jeho skrývanie skončilo iba pri tom, že si zriadil ruskú e-mailovú adresu z dohľadateľného počítača. V takom prípade by identifikácia páchateľa mohla byť úspešná.

Beata
Balogová
