Relacja z Ataków Sieciowych 2015

Tydzień temu mia­łem przy­jem­ność brać udział – po raz pierw­szy nie jako orga­ni­za­tor – w V edy­cji kon­fe­ren­cji Ata­ki Sie­cio­we w Toru­niu. Tra­dy­cyj­nie orga­ni­za­to­rem było Stu­denc­kie Koło Nauko­we Pra­wa Nowych Tech­no­lo­gii dzia­ła­ją­ce na WPiA UMK, dru­gi rok z rzę­du współ­or­ga­ni­za­to­rem było rów­nież Cen­trum Badań nad Cyber­prze­stęp­czo­ścią – cał­ko­wi­cie uni­ka­to­wa orga­ni­za­cja w ska­li nasze­go kra­ju. Impre­za uda­ła się, a nawet – z per­spek­ty­wy poprzed­nich edy­cji – mogę śmia­ło powie­dzieć, że weszła na jesz­cze wyż­szy poziom. Dziś podzie­lę się z Tobą kil­ko­ma reflek­sja­mi na temat pierw­sze­go dnia konferencji.

Kon­fe­ren­cję – nie­mal­że już tra­dy­cyj­nie – otwo­rzył Pro­fe­sor Andrzej Adam­ski wystą­pie­niem na temat gro­ma­dze­nia danych tele­ko­mu­ni­ka­cyj­nych w kon­tek­ście ochro­ny praw pod­sta­wo­wych i bez­pie­czeń­stwa publicz­ne­go. Temat ten jako bar­dzo cie­ka­wy i zło­żo­ny pozwo­lę sobie uczy­nić kolej­nym wpi­sem na blo­gu – w szcze­gól­no­ści, że chciał­bym się po czę­ści odnieść do tego co mówił Pan Pro­fe­sor w kon­tek­ście ostat­nich publi­ka­cji m.in. fun­da­cji Panop­ty­kon czy tego o czym roz­ma­wia­li­śmy bli­sko rok temu pod­czas majo­we­go semi­na­rium Cen­trum Badań nad Cyber­prze­stęp­czo­ścią w Toru­niu, w któ­rym mia­łem oka­zję uczest­ni­czyć, a z któ­re­go rela­cji na blo­gu nigdy nie uda­ło mi się dokończyć 😉

Kolej­ne wystą­pie­nie, któ­re miał wygło­sić Pro­fe­sor Woj­ciech Filip­kow­ski z Bia­łe­go­sto­ku nie­ste­ty nie doszło do skut­ku – Pan Pro­fe­sor z waż­nych powo­dów oso­bi­stych nie dotarł osta­tecz­nie do Toru­nia. Co cie­ka­we – to była chy­ba pierw­sza edy­cja Ata­ków Sie­cio­wych, w któ­rej wystą­pił pro­blem z obec­no­ścią jakie­go­kol­wiek pre­le­gen­ta, i nie­ste­ty pro­blem ten poja­wił się w więk­szej ska­li. Już na tydzień przed wyda­rze­niem było wia­do­mo, że nie weź­mie w nim udzia­łu p. Bill Tup­man z powo­du cho­ro­by płuc, potem oka­za­ło się rów­nież, iż nie dotarł tak­że p. Grze­gorz Krze­miń­ski z Insty­tu­tu Bez­pie­czeń­stwa i Informacji.

Następ­nie mia­ło miej­sce jed­no z bar­dziej ocze­ki­wa­nych prze­ze mnie wystą­pień – Pan Koman­dor Porucz­nik Wie­sław Goź­dzie­wicz z Mary­nar­ki Wojen­nej RP, pra­cu­ją­cy jako rad­ca praw­ny w bazie Joint For­ce Tra­ining Cen­tre NATO w Byd­gosz­czy. Wystą­pie­nie doty­czy­ło tego jak mają się zasa­dy uży­cia siły przez pod­mio­ty pry­wat­ne wobec tych uży­wa­nych przez pań­stwa w cyber­prze­strze­ni, czym róż­ni się woj­na od dzia­łań wojen­nych – w szcze­gól­no­ści tych mają­cych miej­sce w cyber­prze­strze­ni. Wykład był nie­sa­mo­wi­cie mery­to­rycz­ny, poka­zał bar­dzo dużą bie­głość Pana Koman­do­ra w spra­wach zwią­za­nych z sze­ro­ko rozu­mia­nym sty­kiem zagro­żeń, cyber­prze­strze­ni, sił zbroj­nych i pra­wa – w tym pra­wa mię­dzy­na­ro­do­we­go. Mowa była rów­nież o dok­try­nie cyber­wo­jen­nej NATO i ofi­cjal­nym (!) bra­ku zaan­ga­żo­wa­nia w dzia­ła­nia ofen­syw­ne soju­szu w cyber­prze­strze­ni. Zgod­nie z zało­że­nia­mi, sojusz sku­pia się m.in. na koope­ra­cji mają­cej zapew­nić obro­nę sie­ci tele­in­for­ma­tycz­nych oraz cyber­bez­pie­czeń­stwo dla Państw Człon­kow­skich. Swo­ją dro­gą bar­dzo cie­ka­we były roz­wa­ża­nia Pana Koman­do­ra doty­czą­ce sta­tu­su kom­ba­tan­ta w przy­pad­ku osób, któ­re bio­rą udział w wal­kach w spo­sób zdal­ny, czę­sto będąc odda­lo­ny­mi o tysią­ce kilo­me­trów od miej­sca pro­wa­dze­nia dzia­łań. Tym wywo­dem Pan Koman­dor prze­szedł do kwe­stii zwią­za­nych z przy­szło­ścią dzia­łań wojen­nych w cyber­prze­strze­ni wska­zu­jąc, iż moż­li­we jest, że obszar ten będzie klu­czo­wy w kon­flik­tach mają­cych miej­sce w XXI wieku.

Trze­cie wystą­pie­nie zosta­ło przy­go­to­wa­ne przez zaprzy­jaź­nio­ne­go już z Orga­ni­za­to­ra­mi Pana Miro­sła­wa Maja z Fun­da­cji Bez­piecz­na Cyber­prze­strzeń. Pan Miro­sław oma­wiał zagro­że­nia, któ­re w opi­nii pol­skich eks­per­tów od cyber­bez­pie­czeń­stwa, będą klu­czo­wy­mi pro­ble­ma­mi w 2015 roku. Sam raport poja­wił się jakiś czas temu i oso­by zain­te­re­so­wa­ne zachę­cam do zapo­zna­nia się z nim – jest dostęp­ny tutaj. Swo­ją dro­gą doku­ment ten chcia­łem sko­men­to­wać jakiś czas temu na blo­gu, ale tra­dy­cyj­nie brak cza­su osta­tecz­nie zade­cy­do­wał o tym, że nie podzie­li­łem się moimi reflek­sja­mi na jego temat.

Ostat­nie wystą­pie­nie w pierw­szym blo­ku zosta­ło wygło­szo­ne przez dr hab. inż. Micha­ła Cho­ra­sia, któ­ry opo­wia­dał o rezul­ta­tach euro­pej­skich pro­jek­tów celo­wa­nych w cyber­prze­stęp­ców w ramach pro­jek­tu CAMINO. Po krót­kiej prze­rwie swo­je wystą­pie­nie wygło­si­li pp. pod­puł­kow­nik Micha­el D. Tay­lor (Armia Sta­nów Zjed­no­czo­nych, NATO) i James J. Kage­le (Ofi­cer Bez­pie­czeń­stwa Infor­ma­cji JFTC, NATO). Wystą­pie­nie było nie­sa­mo­wi­cie inte­re­su­ją­ce, myślę że szcze­gól­nie doce­ni­ły je oso­by zaj­mu­ją­cych się zawo­do­wo sty­kiem cyber­bez­pie­czeń­stwa, pro­gra­mo­wa­nia oraz infor­ma­ty­ki. To jakie prak­ty­ki w tym zakre­sie posia­da sojusz pół­noc­no­atlan­tyc­ki zasłu­gu­je na pochwa­łę oraz naśladownictwo.

Dru­gie wystą­pie­niem w dru­gim blo­ku przed­sta­wił p. Prze­my­sław Krej­za z Media­Re­co­ve­ry. Wystą­pie­nie to doty­czy­ło metod budo­wy Secu­ri­ty Ope­ra­tion Cen­ter w orga­ni­za­cjach. Wyda­je mi się, że to co mówił Prze­mek w pew­nym sen­sie kore­spon­do­wa­ło z kolej­nym wystą­pie­niem – moim, w trak­cie któ­re­go towa­rzy­szył mi mec. Woj­ciech Wyja­tek. Co cie­ka­we – na sali była jed­na oso­ba, któ­ra przy­zna­ła, że świad­czy usłu­gi wywia­du cyber­ne­tycz­ne­go na zasa­dach komer­cyj­nych. Jak więc widać, i jak to pod­kre­śla­łem pod­czas wystą­pie­nia – to usłu­gi mają­ce już teraz wzię­cie, a per­spek­ty­wicz­nie sta­no­wią­ce bar­dzo lukra­tyw­ny oba­szar do roz­wo­ju kolej­nych przed­się­biorstw. Wię­cej o naszym wystą­pie­niu możesz prze­czy­tać tutaj. Blok zamknął Łukasz Sie­wier­ski z CERT Pol­ska, któ­ry opo­wie­dział o naszym rodzi­mym zło­śli­wym opro­gra­mo­wa­niu. Co cie­ka­we, moż­na było się dowie­dzieć jak CERT Pol­ska defi­niu­je nasze rodzi­me pro­duk­ty – po pierw­sze uży­wa­ją one ser­wi­sów z tyl­ko pol­ską wer­sją języ­ko­wą (np. pocz­ty na One­cie)[!!!], po dru­gie – róż­ne ele­men­ty zagro­żeń ope­ru­ją popraw­ną pol­sz­czy­zną i po trze­cie – są nasta­wio­ne na typo­wo pol­ską ban­ko­wość inter­ne­to­wą, któ­ra ma swo­ją spe­cy­fi­kę. Łukasz opo­wie­dział mię­dzy inny­mi o szkod­ni­kach, któ­re pod­mie­nia­ły nume­ry rachun­ków ban­ko­wych, a zara­ża­ły m.in. poprzez maile o… uszko­dzo­nej kabi­nie prysz­ni­co­wej (to nie żart pri­ma­april­li­so­wy). Mówił też oczy­wi­ście o jak­że popu­lar­nym Bana­tri­xie, czy pod­ra­bia­niu przez cyber­prze­stęp­ców inne­go popu­lar­ne­go zagro­że­nia – VBKli­pa. Co cie­ka­we, CERT Pol­ska wyróż­nił 3 linie kodu, każ­dą pocho­dzą­ca od trzech róż­nych pol­skich pro­gra­mi­stów. Cza­sem kil­ka zagro­żeń posia­da­ło cechy cha­rak­te­ry­stycz­ne, któ­re pozwa­la­ją przy­pi­sać im tego same­go twór­ce. Abs­tra­hu­jąc – naj­praw­do­po­dob­niej jed­nym z tych auto­rów jest opi­sy­wa­ny jakiś czas temu na Zaufa­nej Trze­ciej Stro­nie Tho­mas. Z cie­ka­wo­stek wska­zy­wa­no na oszu­sta, któ­ry doła­do­wy­wał swój adres Bit­co­ina­mi pocho­dzą­cy­mi z wyłu­dzo­nych SMSów pre­mium. Wie­le na tym nie zaro­bił (jakieś 650 zł na czy­sto), więc jest to raczej cie­ka­wost­ka przyrodnicza 😉

Trze­ci blok otwo­rzył Pro­fe­sor Arka­diusz Lach, któ­ry opo­wia­dał o obo­wiąz­ku noty­fi­ka­cji naru­szeń w Pol­sce i na świe­cie. Jest to bez wąt­pie­nia jed­no z tych zagad­nień, któ­re­mu będę chciał w przy­szło­ści poświę­cić rów­nież osob­ny wpis na blogu.

Kolej­ne wystą­pie­nie – nie­zwy­kle prak­tycz­ne – przed­sta­wił Pan Jakub Pepłoń­ski – Kie­row­nik ds. współ­pra­cy z orga­na­mi ści­ga­nia Gru­py Alle­gro. Nie­ste­ty – zapew­ne ku roz­cza­ro­wa­niu czę­ści moich czy­tel­ni­ków z ToRe­pu­blic, nie za wie­le było w tym wszyst­kim infor­ma­cji na temat tego, co zro­bić by szem­ra­ne inte­re­sy na Alle­gro szły tak spraw­nie jak daw­niej. Nie­mniej moż­na było poznać głów­ne pro­ble­my Gru­py Alle­gro, któ­re są zwią­za­ne z ser­wi­sa­mi Alle­gro, OLX, oto­Mo­to i PayU. Jak pod­kre­ślał Pan Jakub to co odróż­nia Alle­gro od innych plat­form, to współ­pra­ca w poszu­ki­wa­niu prze­stęp­ców będą­cych Pola­ka­mi. W eBay czy Ama­zo­nie taka sytu­acja jest trak­to­wa­na jako nie­zwy­kle kom­for­to­wa dla orga­nów ści­ga­nia. Jed­nak­że z racji tego, że Gru­pa Alle­gro dzia­ła bar­dziej lokal­nie to może pozwo­lić sobie na lep­szą koope­ra­cję lokal­ną. Jak pod­kre­ślał Pan Jakub – Alle­gro musi się uczyć swo­ich użyt­kow­ni­ków i robią to za pomo­cą kil­ku narzędzi:

1. moni­to­ru­ją­cych – Alle­gro od swo­je­go zara­nia nie mia­ło roz­wią­zań anty­frau­do­wych, sami je roz­wi­ja­li i wypra­co­wa­li w ramach pio­nu bez­pie­czeń­stwa trans­ak­cyj­ne­go, bar­dzo dużo cza­su poświę­ci­li na wdra­ża­nie sys­te­mów samo­uczą­cych się na pod­sta­wie wła­śnie moni­to­rin­gu – roz­wią­za­nie to wyni­ka bowiem z fak­tu, iż prze­twa­rza­ją tyle trans­ak­cji, że sta­je się nie­zwy­kle trud­ne wykry­cie cze­goś ręcznie;
2. współ­pra­cy z użyt­kow­ni­ka­mi – jest to narzę­dzie nie­do­ce­nia­ne przez wie­le osób; czę­sto bowiem użyt­kow­ni­cy sami dają znać, że coś jest nie tak i dzię­ki temu Alle­gro uda­je się być krok do przo­du i mini­ma­li­zo­wać ska­lę cyber­prze­stępstw; czę­sto gdy jakieś zagro­że­nia zaczy­na być sze­ro­ko opi­sy­wa­ne przez użyt­kow­ni­ków w sie­ci to Alle­gro od już to wie, bo użyt­kow­ni­cy po pro­stu o tym do nich piszą;
3. współ­pra­ca z orga­na­mi ści­ga­nia – Pan Jakub nie krył tutaj, że uzna­je Alle­gro za pre­kur­so­ra otwar­tej komu­ni­ka­cji doty­czą­cej poten­cjal­nych zagro­żeń; zespół współ­pra­cy z orga­na­mi ścią­ga­nia w dużej mie­rze zaj­mu­je się odpo­wie­dzia­mi na wnio­ski z wszyst­kich ser­wi­sów Gru­py Alle­gro w Pol­sce (a tych jest kil­ka­dzie­siąt); skła­da­ją rów­nież jako Gru­pa zawia­do­mie­nia o popeł­nie­niu prze­stęp­stwa w sytu­acjach gdy sta­ją się pokrzyw­dzo­ny­mi (pochwa­lić tutaj muszę to, iż nie cho­wa­ją gło­wy w pia­sek jak wie­le innych orga­ni­za­cji, któ­rym za bar­dzo zale­ży na zapo­bie­że­niu utra­ty wize­run­ku orga­ni­za­cji odpor­nej na wszel­kie dzia­ła­nia prze­stęp­cze); naj­waż­niej­sza ich zda­niem jest jed­nak współ­pra­ca szko­le­nio­wa z orga­na­mi ści­ga­nia, gdzie dostrze­ga­ją nama­cal­ny pro­gres – orga­ny zacho­wu­ją się coraz czę­ściej part­ner­sko, for­ma­li­zu­ją for­my współ­pra­cy oraz anga­żu­ją wszyst­kie szko­ły poli­cji w Polsce;
4. bez­pie­czeńś­two IT - któ­re – jak to w dużych fir­mach – jest wydzie­lo­ne z dzia­łu Pana Kuby; natu­ral­ny roz­dział na oso­by zaj­mu­ją­ce się bez­pie­czeń­stwem trans­ak­cyj­nym od tych, któ­re zaj­mu­ją się bez­pie­czeń­stwem apli­ka­cji czy bez­pie­czeń­stwem IT daje po pro­stu wymier­ne skutki;

Zda­niem Pana Jaku­ba Alle­gro jest cenio­ne za poziom bez­pie­czeń­stwa, któ­ry zapew­nia bowiem w efek­cie opi­sa­nych wyżej dzia­łań uda­ło im się utrzy­mać odse­tek frau­do­wy na 0,04% (czy­li 4 oszu­stwa na 10 tysię­cy trans­ak­cji!). Nie­ste­ty jako Gru­pa Alle­gro wyda­ją oni coraz wię­cej na zapew­nie­nie bez­pie­czeń­stwa swo­im użyt­kow­ni­kom na dotych­cza­so­wym pozio­mie. Pan Jakub wspo­mi­nał, że gdy roz­po­czął pra­cę w jego dzia­le były 3 oso­by. Dziś jest ich ponad 100.

Omó­wio­ne zosta­ły też obec­nie naj­bar­dziej dotkli­we pro­ble­my Gru­py Allegro:

1. kla­sycz­ne oszu­stwa – czy­li ktoś wysta­wia coś, cze­go nie ma – to nadal naj­bar­dziej powszech­na for­ma popeł­nia­nia prze­stępstw poprzez sam ser­wis Allegro;
2. oszu­stwa zwią­za­ne z wyko­rzy­sta­niem funk­cjo­nal­no­ści ser­wi­su – tutaj kró­lu­ją pacz­ki wysy­ła­ne do Nige­rii na sku­tek oka­za­nia fał­szy­wych potwier­dzeń doko­na­nia płat­no­ści (czy­li klasyka);
3. kra­dzie­że toż­sa­mo­ści – to zda­niem Pana Jaku­ba naj­bar­dziej per­spek­ty­wicz­ne z przed­się­wzięć i jed­no­cze­śnie to, któ­re wyko­rzy­stu­je naj­bar­dziej zna­ne meto­dy, w tym phi­shing i pharming;
4. zło­te inte­re­sy – to nowość w tym zesta­wie­niu, obec­na od nie­daw­na – przy­kła­do­wo fał­szy­we ofer­ty pra­cy, któ­re za pośred­nic­twem róż­no­ra­kich modus ope­ran­di dopro­wa­dza­ją do popeł­nie­nia przestępstwa;
5. naru­sze­nia praw wła­sno­ści inte­lek­tu­al­nej – Gru­pa Alle­gro posia­da pro­gram współ­pra­cy z wła­ści­cie­la­mi marek; dzię­ki temu roz­wią­za­niu Gru­pa w cią­gu kil­ku­na­stu minut udzie­la odpo­wie­dzi w zgło­sze­niach spraw pole­ga­ją­cych na han­dlu podróbkami;
6. nie­do­sta­tecz­na wery­fi­ka­cja użyt­kow­ni­ków przez róż­ne insty­tu­cje trze­cie, któ­re w połą­cze­niu z ano­ni­mo­wy­mi (lub pseu­do­ano­ni­mo­wy­mi) środ­ka­mi płat­ni­czy­mi oraz sie­cią TOR uła­twia­ją doko­ny­wa­nie przestępstw.

Nie spo­sób też zigno­ro­wać, to co powie­dział Pan Jakub w odnie­sie­niu do pol­skie­go pra­wa. Oso­bi­ście z jego zda­niem się zga­dzam, choć czę­sto zaprze­cza tej tezie wie­le osób, z któ­ry­mi roz­ma­wiam. Cho­dzi o to, że gene­ral­nie mamy dobre pra­wo ale zupeł­nie leży pro­ces egze­kwo­wa­nia, któ­ry ma czę­sto cha­rak­ter wręcz lote­ryj­ny. Z doświad­czeń Gru­py wyni­ka, że cza­sem róż­ne sądy czy pro­ku­ra­tu­ry są w sta­nie dojść do bar­dzo róż­nych wnio­sków na pod­sta­wie tego same­go mate­ria­łu dowo­do­we­go. To chy­ba ogól­ny pro­blem bra­ku wspól­nej kon­cep­cji wal­ki z cyber­prze­stęp­czo­ścią, co potwier­dza fakt, iż Alle­gro współ­pra­cu­jąc z poli­cyj­ny­mi zespo­ła­mi spe­cja­li­zu­ją­cy­mi się w wal­ce z cyber­prze­stęp­czo­ścią ma pro­blem, by taką współ­pra­cę nawią­zać z jakąś sen­sow­ną gru­pą repre­zen­tu­ją­cą pro­ku­ra­tu­rę. Od sie­bie dodam, że pro­blem egze­kwo­wa­nia pra­wa wyni­ka z głów­nych 3 przy­czyn – bra­ku pie­nię­dzy, bra­ku odpo­wied­nio wyszko­lo­nych kadr (nie mówi­my o poli­cjan­tach) oraz bar­dzo sła­bym dosto­so­wa­niu kodek­su postę­po­wa­nia kar­ne­go do cha­rak­te­ru cyberprzestępczości.

Pierw­szy dzień kon­fe­ren­cji zakoń­czy­ło wystą­pie­nie Pana Toma­sza Soczyń­skie­go – Zastęp­cy Dyrek­to­ra Depar­ta­men­tu Infor­ma­ty­ki w Biu­rze Gene­ral­ne­go Inspek­to­ra Ochro­ny Danych Oso­bo­wych, doty­ka­ją­ce tema­ty­ki inter­ne­tu rze­czy, lecz to chy­ba temat na odręb­ny wpis.

Mam nadzie­ję, że w tele­gra­ficz­nym skró­cie przed­sta­wi­łem Tobie to, co cie­kaw­sze i zwią­za­ne z pierw­szym dniem Ata­ków Sie­cio­wych 2015. Pod­su­mo­wu­jąc – głów­nym trzem orga­ni­za­to­rom – dwóm Pau­li­nom i Kami­lo­wi, gra­tu­lu­ję wytrwa­ło­ści i suk­ce­su. Cie­szę się bar­dzo, że to co robi­li­śmy pod­czas stu­diów jest kon­ty­nu­owa­ne. Mam nadzie­ję, że Ata­ki 2016 będą jesz­cze lepsze! ;>