Vyšetřování kybernetických zločinů

Široké využití počítačů v nejrůznějších oborech lidské činnosti s sebou mj. přináší i nové druhy kriminalit...


Široké využití počítačů v nejrůznějších oborech lidské činnosti s sebou mj.
přináší i nové druhy kriminality. Jejími prostředky jsou jak vlastní počítače,
tak komunikační cesty (především internet), jejich oběťmi pak prodejci,
zaměstnavatelé, obchodní partneři a další subjekty.Deborah Radcliffová
Abychom si ukázali možné přístupy volené při vyšetřování elektronických
zločinů, analyzujme tři konkrétní případy organizací, které se musely vyrovnat
s kriminálními činy, jež je postihly.

Případ podivných účtů
Případ zneužitých kreditních karet začal poměrně prostě: Najednou se v databázi
firmy PayPal, jež se zabývá zpracováním on-line plateb, objevilo příliš mnoho
panů Hudsenů a Stivensonů, kteří si u ní zakládali účty. Na ty prostřednictvím
platebních karet (jak se později ukázalo kradených) poukazovali nemalé částky.
John Kothanek, hlavní vyšetřovatel podvodů PayPalu, následně objevil 8 dalších
jmen, pod nimiž byly zakládány skupiny 40 a více účtů, následně využívaných k
nákupům počítačových produktů v aukcích na eBay.com. Společnost PayPal ihned
zmrazila prostředky, které byly používány k placení tohoto zboží (všechno mělo
putovat na adresy kdesi v Rusku) a zahájila vyšetřování. Brzy nato jeden z
obchodníků firmy ohlásil, že byl při své práci najednou přesměrován na falešné
stránky, v jejichž adrese bylo zaměněno označení PayPal za PayPaI. Kothankův
tým zapojil do práce sniffovací software, který odchytával pakety provozu na
falešném webu. Ukázalo se, že jeho provozovatel využíval svého webu k
odchytávání přihlašovacích informací zákazníků PayPalu.
Vyšetřovatelé poté porovnali údaje v databázi PayPalu s IP adresou PayPaI a
zjistili, že všechny přístupy k podezřelým účtům byly činěny právě z ní.
Následně využili nástrojů TraceRoute (www.tracert.com) a Sam Spade
(www.samspade.com) a nalezli spojení mezi adresou v Rusku, na kterou mělo být
zasíláno zboží, a serverem PayPaI. Pachatelé provedli prostřednictvím
ukradených kreditních karet platby za více než 100 000 dolarů (více než 3,6
milionu Kč) a společnost PayPal byla povinna tyto ztráty nahradit. Pachatelé
typicky nakupovali drahé zboží, jako počítače a šperky, takže je mohli snadno
přeprodat dále. Po zmrazení podezřelých účtů byla společnost PayPal zavalena
e-maily a telefonáty od pachatelů, kteří se dožadovali jejich odblokování.
"Byli neuvěřitelně nestoudní," popisuje situaci Kothanek. "Domnívali se, že na
ně nemůžeme, protože jsou v Rusku." Do jisté míry měli pravdu.
Nedlouho poté však do PayPalu zavolali agenti FBI, kteří vyšetřovali další
podobné případy. Podezřelé již dostali do vazby předstírali totiž, že jsou
technologickou společností, která jim nabízí lukrativní pracovní místo v
oblasti bezpečnosti. Prostřednictvím forenzního toolkitu EnCase
(www.encase.com) Kothankův tým pomohl FBI najít spojitost mezi událostmi v
PayPalu a dalšími podobnými případy. Jedním z použitých postupů byla i analýza
vymazaných souborů na discích pachatelů.
Podezřelí, Alexej Ivanov a Vasilij Gorčkov, byli obviněni z řady podvodů a nyní
čekají na soud.

Pachatel neznámý
Jednoho krásného dne v polovině loňského léta čekaly Dave Dittricha,
bezpečnostního experta na sítě Washingtonské univerzity, v práci horké chvíle.
Volaly mu stovky zuřivých správců sítě, kteří se dožadovali vysvětlení, proč je
Davova síť s 50 000 uzly zasypává pakety ve stylu útoku DoS
(denial-of-service). "Dotčené stroje jsme vypnuli hned, jak jsme je našli a
zjistili jsme, že v jednom okamžiku 30 našich systémů provádělo útok DoS na 9
000 cílů," vzpomíná Dittrich. Dittrichův tým použil skener Fport společnosti
Foundstone (www.foundstone.com/rdlabs/tools.php?category=Intrusion+Detection),
a objevil tak adresáře a programy, které jsou ve Windows (tedy operačním
systému, který ve své síti využívá) "neobvyklé". Skenování rovněž ukázalo, že
všechny tyto programy komunikují s internetem prostřednictvím neobvyklých portů
s vysokými čísly, jejichž využití rovněž není ve standardní konfiguraci
obvyklé. "To nás přimělo, abychom nastavili sniffery na tyto porty a sledovali
jejich provoz," vysvětluje Dittrich. V praxi jeho tým nasadil freewarový
sniffer TCPDump (www.tcpdump.org), který zachytil neobvyklý provoz na IRC
(Internet Relay Chat), jehož prostřednictvím přicházely příkazy k zahájení
útoků DoS. Dittrich tedy odpojil dotčené systémy od sítě, zkontaktoval všechny,
kteří se stali cíli útoků, zformátoval disky postižených strojů a použil
patche, které mají odstranit slabinu, jíž útočník využil ke své činnosti.
Pachatel průniku zůstal neznámý.

Ukradené výkresy
Útok ale nemusí přicházet jen zvenčí to ostatně ukazuje případ jistého
inženýra, který jednoho dne opustil svého dosavadního zaměstnavatele (označme
si ho třeba jako "firmu A", skutečné jméno není možné zveřejnit).
Když se zmíněný muž objevil u společnosti B, shodou okolností konkurenta firmy
A, která měla v následujícím období měsíční příjmy podstatně vyšší, než
odpovídalo její dosavadní pozici na trhu, začali mít představitelé společnosti
A obavy, zda se část intelektuálního vlastnictví jejich firmy nedostala ke
konkurenci.
Vyšetřovatelé objevili v počítači podezřelého znaky kopírování souborů na
vyjímatelná média, nicméně skutečné důkazy protiprávního jednání nenašli. Po
povolení soudu proto zkoumali domácí počítač podezřelého. Použili vyhledávací
utilitu FileListPro (ta zjistí, kdy byl soubor vytvořen, modifikován nebo
smazán), jež nalezla soubory s výkresy, u kterých bylo zjevné, že si je
podezřelý zkopíroval do svého domácího počítače až po opuštění firmy A.
Podezřelý ale tvrdil, že vestavěné hodiny reálného času v jeho počítači zlobily
a soubory byly kopírovány ještě v době, kdy byl zaměstnancem společnosti A.
Brzy se však ukázalo, že realita s jeho tvrzením neměla příliš společného: Ve
stejné době, kdy prováděl kopírování, totiž odesílal nějaké dopisy a na nich
bylo datum a čas správně. Výsledkem celého vyšetřování bylo soudní opatření,
které společnosti B zakazovalo vyrábět produkty založené na intelektuálním
vlastnictví firmy A.

Základní otázky
V průběhu vyšetřování digitálních zločinů je třeba odpovědět na tyto otázky:
- Jak se někdo dostal do systému?
- Které konkrétní subsystémy byly útokem dotčeny a jak?
- Jak to napravit?
- Jak zabránit tomu, aby se průnik v budoucnosti opakoval?









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.