Witalij Kamliuk posiada ponad 10 lat doświadczenia w branży bezpieczeństwa IT i obecnie jest głównym badaczem ds. bezpieczeństwa w Kaspersky Lab. Specjalizuje się w inżynierii wstecznej szkodliwego oprogramowania, informatyce śledczej i dochodzeniami w związku z cyberprzestępstwami. Obecnie Witalij mieszka w Singapurze. Jako członek Digital Forensics Lab pracuje wspólnie z Interpolem, analizując szkodliwe oprogramowanie i pomagając w dochodzeniach.

Zachęciliśmy naszych czytelników do zadania Witalijowi pytań. Było ich tyle, że musieliśmy podzielić je na kilka sesji. Dzisiaj Witalij odpowie na pytania związane z cyfrowym przeprowadzaniem śledztw oraz współpracą z Interpolem.

Jak ci się podoba Singapur?

Słońce wstaje i zachodzi tutaj codziennie o tej samej porze przez cały rok. Gdy nadchodzi noc, na niebie pojawia się księżyc, ale znajduje się on pod dziwnym kątem. Lato nie ma końca i nie ma zimnej wody w rurach. Pogoda w Singapurze jest jak marzenie senne i kojarzy mi się z filmem „Dzień Świstaka”.

Czy Interpol wymienia się z dużymi firmami technologicznymi (np. Apple, Google, Facebook, Twitter) jakimiś informacjami na temat poszczególnych osób, ich urządzeń oraz gdzie się znajdują?

Interpol nie potrzebuje twoich danych, o ile nie jesteś przestępcą. Jeśli zajdzie taka konieczność, w poszczególnych przypadkach pobiera się dane związane z konkretnym przestępstwem zgodnie z lokalnymi przepisami, a sąd wydaje odpowiednie postanowienia. W sytuacjach takich o informacje ubiegają się zawsze lokalne organy ścigania, a nie sam Interpol.

Co jest obecnie największą przeszkodą w zwalczaniu cyberprzestępczości?

Granice między krajami oraz różnice w przepisach. Internet nie ma granic, ale świat fizyczny tak. Możemy szybko pracować w cyberprzestrzeni, ale cała prędkość jest wytracana, gdy dochodzimy do procedur związanych z wnioskami transgranicznymi i pozwoleniami.

Czy żyjemy w cyberwojnie?

Kiedyś wierzyłem, że cyberwojna jest niewidoczna. Jeśli myślicie tak samo — to tak, żyjemy w cyberwojnie. Ale jeśli przyjąć, że wojna zawsze przynosi jawne konsekwencje w świecie fizycznym: masowa destrukcja, ofiary, przemoc, to na szczęście nie żyjemy w cyberwojnie.

***

Bycie cyberprzestępcą i atakowanie ludzi może zniszczyć twoją reputację na zawsze i nikt już nigdy ci nie zaufa. Nie rób tego.

Jak zaczęła się twoja przygoda z branżą cyberbezpieczeństwa?

Zaimponowali mi hakerzy, cisi magicy, którzy zaglądali do czeluści portali komunikacji komputerowej i urzeczywistniali rzeczy niemożliwe.

Chciałem się nauczyć w to grać, chciałem móc rywalizować z silniejszymi. Mocno interesowały mnie rozgrywki hakerów, ich kodeks postępowania, filozofia i problemy etyczne, więc zacząłem się tego uczyć.

Mamy do dyspozycji coraz więcej technologii, ale widoczne jest także rozpowszechnianie się cyberataków. Na czym polega śledzenie trendów i co analizujecie, aby nie zostać w tyle w stosunku do ewolucji wektorów infekcji w internecie?

Czytuję najnowsze informacje publikowane przez badaczy bezpieczeństwa i na bieżąco interesuję się wszystkimi nowymi technikami ataku i obrony. Jeśli chcesz ochronić swoje zasoby, staraj się zminimalizować powierzchnię potencjalnego ataku. Stosuj zasadę domyślnego odmawiania (podejście znane także jako “tryb odmowy domyślnej”). My jako badacze bezpieczeństwa musimy mieć wiedzę na temat wszystkich zagrożeń z dziedziny IT, a ty musisz zdecydować o zasobach, które chcesz chronić, i na nich się skupić.

Jak wyglądają prace dochodzeniowe dotyczące cyberprzestępstw? Jakich narzędzi używacie? Czy możesz przedstawić kilka przykładów?

Może się to różnić w zależności od danej sprawy, jednak bardzo często używamy powszechnych technik i narzędzi przeznaczonych do komputerowych prac dochodzeniowych: Encase, Sleuthkit, moduły do odzyskiwania danych, rozpoznawania formatów, a nawet standardowe narzędzia związane z kodem binarnym.

Tworzymy wiele własnych skryptów i narzędzi, czasem nawet wyłącznie z myślą o konkretnej sprawie. Mogą to być narzędzia do rozpakowywania plików, usuwania cyfrowego szumu stosowanego przez przestępców do ukrywania kodu, specjalne rozwiązania do usuwania błędów z kodu, skrypty zrzucające zawartość pamięci, odszyfrowujące pliki itp. Dużo czasu pochłania inżynieria wsteczna. W niektórych przypadkach musimy także mapować infrastrukturę IT, skanować sieci oraz porty. Jeszcze jednym ważnym zadaniem jest tworzenie narzędzi do zamykania botnetów metodą leja (tzw. sinkholing) oraz interpretowania dzienników serwerów.

Ilu złapaliście już hakerów?

Eksperci ds. bezpieczeństwa nie łapią hakerów – to jest zajęcie dla organów ścigania.

Czy oskarżyliście kiedykolwiek niewinnego człowieka?

Tak, ja robię to bardzo często. Tym niewinnym człowiekiem jestem zazwyczaj ja sam.

Co jest największą przeszkodą w wykrywaniu sygnatur nowych wirusów?

Największym problemem jest niedostępność niektórych próbek. Naprawdę trudno jest uzyskać najrzadsze próbki szkodliwego oprogramowania, które mogą zostać użyte tylko raz, stwarzają zagrożenie porównywalne do szkodliwego oprogramowania, które zainfekowało miliony osób.

Cryptolocker ewoluuje, bo przynosi przestępcom pieniądze. Czy jest jakaś agencja, która śledzi komunikację szkodliwego oprogramowania ze źródłem, aby złapać przestępców? Jeśli tak, to która organizacja międzynarodowa jest odpowiedzialna za ten globalny problem? Lub czy każde państwo ma oddział do walki z cyberprzestępczością, dbający o bezpieczeństwo swoich obywateli?

Nie ma samodzielnej organizacji, która by się tym zajmowała. Internet nie jest własnością jednego podmiotu — to sieć równych uczestników. Rozwiązaniem może być tutaj zjednoczenie się wszystkich użytkowników globalnej sieci na rzecz przeciwdziałania cyberprzestępczości. Musimy stworzyć ujednolicone prawo internetowe i coś w rodzaju policji internetowej, która będzie miała uprawnienia ponadnarodowe.

Superbohaterowie potrzebują czarnych charakterów. Czy skorzystałbyś z okazji, aby zniszczyć złoczyńców? Jeśli tak, to nie będziesz już więcej superbohaterem. Czy byłbyś gotowy, aby pamięć o tobie zniknęła?

W życiu jest wiele możliwości, aby zostać bohaterem, ale nie taki jest mój cel. Ja wykonuję swoją pracę i zawsze staram się robić to najlepiej, jak potrafię. W takiej sytuacji pewnie straciłbym pracę, ponieważ nie istniałyby cyberprzestępstwa, ale z drugiej strony mógłbym wtedy poświęcać więcej czasu sztuce. Jednak prawdopodobnie w najbliższym czasie taki scenariusz się nie wydarzy, a jeśli nawet odejdę z pracy, będę robił użytek z mojej wiedzy w obszarze dobra, nie zła.

Chciałbym dodać, że największymi bohaterami są tutaj ludzie, o których nikt nie słyszy. To oni zmieniają świat i czynią go lepszym miejscem, ale nikt nie może im nawet za to podziękować. To oni są prawdziwymi bohaterami i mam nadzieję, że niektórzy z nich przeczytają ten artykuł. Dziękuję Wam, niewidzialni przyjaciele!

Co możesz podpowiedzieć studentom, którzy chcieliby podążać tą ścieżką cyberbezpieczeństwa? Co należy zrobić, aby zostać takim ekspertem jak ty i pomagać w zwalczaniu globalnej cyberprzestępczości?

Cóż, moje wskazówki mogę zmieścić w czterech punktach:

1. Dowiedz się, jak działają cyberprzestępstwa, ale nigdy ich nie popełniaj. Nie musisz zrobić czegoś złego, aby zostać ekspertem bezpieczeństwa.
2. Ucz się. Obserwuj, co cię motywuje, i wykorzystaj to. Bądź badaczem swojego ciała i duszy.
3. Dbaj o ciało i umysł. Zdrowe ciało to najlepszy sposób, aby zwiększyć swoją wydajność i zachować sprawność umysłową.
4. Nie powielaj historii ludzi, którym się powiodło — szukaj swojej drogi. Twoje samodzielne myślenie w poszukiwaniu swojego pomysłu lub unikatowego rozwiązania to twoja zaleta. W końcu także dzięki temu jesteś wartościowym człowiekiem.

Źródło: Kaspersky Lab