Znak Politechniki Warszawskiej

Przepis na walkę z cyberprzestępczością

Już od ok. 10 lat naukowcy z Politechniki Warszawskiej zajmują się metodami, które cyberprzestępcy wykorzystują do ukrywania danych. Zależało im jednak na tym, żeby tę wiedzę wykorzystywać w praktyce i dzięki temu poprawiać bezpieczeństwo zwykłych użytkowników Internetu. Od niedawna będzie to możliwe dzięki inicjatywie dr. hab. inż. Wojciecha Mazurczyka z Instytutu Telekomunikacji Wydziału Elektroniki i Technik Informacyjnych.

Inicjatywa Criminal Use of Information Hiding (CUIng) zrzesza ekspertów z całego świata i z różnych dziedzin

Do inicjatywy Criminal Use of Information Hiding (CUIng) dołączyło już ponad 40 ekspertów z całego świata

Latem 2015 roku dr Mazurczyk postanowił opowiedzieć o swoich badaniach i pomysłach ekspertom z Europolu. Chciał wykorzystać swój pobyt na Politechnice w Delft w Holandii. – Mieszkałem w Hadze i praktycznie codziennie przejeżdżałem obok siedzib różnych organizacji związanych z bezpieczeństwem czy cyberbezpieczeństwem – mówi. – Pomyślałem, że mogę już nie mieć okazji, żeby być tak blisko takich instytucji. Znalazłem kontakt do kilku osób z Europolu i wysłałem im artykuł dotyczący trendów rozwojowych w ukrywaniu informacji.

Tekst "Information Hiding as a Challenge for Malware Detection", napisany wspólnie z dr. Lucą Caviglione z CNR we Włoszech, ukazał się w marcowo-kwietniowym numerze prestiżowego czasopisma "IEEE Security and Privacy Magazine".

Pomysł współpracy 

Dr Mazurczyk długo nie dostawał odpowiedzi na swoją wiadomość do pracowników Europolu. Wreszcie, już pod koniec pobytu w Holandii, został zaproszony na serię spotkań. – Wejście do budynku przypominało te znane z lotnisk: straż, przeszukiwanie… –  wspomina. – Przyszedł po mnie jeden z pracowników. Idziemy, rozmawiamy, wchodzimy do sali, a tam czeka dziesięć osób, każdy w krawacie i z laptopem. Siadam przed nimi ja, pracownik naukowy z Polski, w jedynej – powiedzmy –  półwyjściowej koszuli, jaką ze sobą zabrałem na wyjazd. I zaczynam im opowiadać.

Ludzi z Europolu zainteresowała możliwość przeprowadzenia szkoleń dla swoich pracowników. Przestępstwami z wykorzystaniem technologii zajmuje się bowiem jedna z funkcjonujących tam jednostek – European Cybercrime Center (EC3). Już w czasie pierwszego spotkania dr Mazurczyk przedstawił jednak także pomysł stworzenia inicjatywy do walki z cyberprzestępczością. Chodziło o monitorowanie tego, jak tacy przestępcy wykorzystują techniki ukrywania informacji i opracowanie metod skutecznego przeciwdziałania podobnym praktykom. – Zaproponowałem, żeby zebrać ekspertów z różnych dziedzin: naukowców, pracowników firm, specjalistów ze służb – tłumaczy.

Naukowcy z Politechniki podbijają Europol

W kolejnych miesiącach dr Mazurczyk pomógł Europolowi w stworzeniu krótkich newsletterów na użytek własny służb i wszystkich państw, które współpracują z tą organizacją. – To tzw. cyberbity (Cyber Bits), jedna, maksymalnie dwie strony z podstawową wiedzą o technikach ukrywania informacji przez cyberprzestępców oraz obecnych trendach – wyjaśnia.

W styczniu 2016 r. naukowiec z Politechniki Warszawskiej i inny pracownik Wydziału Elektroniki i Technik Informacyjnych, dr inż. Krzysztof Cabaj, przeprowadzili specjalistyczne szkolenia dla ponad 30 osób z Europolu. Były to wykłady i laboratoria, każde kolejne zadanie było trudniejsze i bardziej skomplikowane od poprzedniego. Zajęcia zebrały bardzo pozytywne recenzje.

Dr Mazurczyk i dr Cabaj uczestniczyli ponadto w spotkaniach grup doradczych działających przy Europolu.

Wciąż trwało też opracowywanie szczegółów związanych z powstaniem międzyśrodowiskowej i międzynarodowej inicjatywy, dzięki której wymiana informacji o działaniach cyberprzestępców stałaby się szybsza.

Ostatecznie 17 czerwca 2016 r. inicjatywa Criminal Use of Information Hiding (CUIng) została oficjalnie powołana. Dr Mazurczyk jest nie tylko jej pomysłodawcą, ale też koordynatorem całego projektu. – Na razie jesteśmy w okresie rozruchu – obecnie jest to już ponad 40 ekspertów z całego świata – mówi. – Idea jest taka, żeby każdy z ekspertów pracował we własnym zakresie, ale żeby informacje oraz doświadczenia między nimi były przekazywane szybko. Mam nadzieję, że taka „mieszanka” ludzi z różnych części świata i różnych środowisk oraz wymiana doświadczeń doprowadzą do tego, że będziemy nawzajem lepiej rozumieć swoje potrzeby i skuteczniej reagować na działania cyberprzestępców. Może zaowocuje to też wspólnymi projektami, np. w ramach unijnego programu Horyzont 2020.

Cyberprzestępcy najczęściej ukrywają dane w obrazkach i ruchu sieciowym

Cyberprzestępcy najczęściej ukrywają dane w obrazkach i ruchu sieciowym

Celem inicjatywy jest też podnoszenie świadomości oraz edukacja w zakresie technik ukrywania danych przez cyberprzestępców. – Na razie widzę CUIng jako zbiór ekspertów, ale dostaję sygnały, że są instytucje, które niewiele na ten temat wiedzą, ale chcą do nas dołączyć, żeby wiedzieć więcej – mówi koordynator projektu.

Wiedza o działaniach wirtualnych przestępców jest szczególnie ważna dla firm, które pracują nad innowacyjnymi projektami. – Jeśli uda się zainfekować choć jeden komputer w sieci firmowej, to możliwe jest powolne, ale systematyczne "sączenie" danych przez dłuższy czas w sposób trudny do wykrycia, aby "wyciągnąć" poufne informacje, co w konsekwencji przełoży się na realną stratę finansową – wyjaśnia dr Mazurczyk.

Wyprzedzają cyberprzestępców

Cyberprzestępcy są coraz bardziej pomysłowi, ale w "wyścigu zbrojeń" wciąż o krok przed nimi starają się być naukowcy. Obecnie stosowane techniki ukrywania informacji są jednak tylko z jednym z elementów, które mogą wykorzystywać cyberprzestępcy.

Korzystają oni z nich, żeby zatuszować swoją "prawdziwą" aktywność. Chętnie ukrywają dane w obrazkach. Zainfekowana grafika ma taką samą jakość wizualną jak przed ukryciem w niej informacji. Dlatego wykrycie nieprawidłowości jest tak trudne. Podpowiedzią dla służb może być duża liczba identycznych obrazków przechowywana na sprawdzanym komputerze.

Coraz chętniej do ukrywania danych wykorzystywany jest też ruch sieciowy. – Załóżmy, że rozmawiamy przez Skype’a – wyjaśnia dr Mazurczyk. – Na pewnym odcinku naszej komunikacji wpina się atakujący i modyfikuje nieznacznie ruch sieciowy, który jest pomiędzy nami przesyłany. Zanim ten ruch dojdzie do celu, przestępcy "wyjmują" sobie to, co wcześniej "doczepili". A wszystko to odbywa się bez naszej wiedzy.

Takie sytuacje są problemem dla służb, bo w Polsce, Europie i na świecie nie ma jeszcze precyzyjnych regulacji, które określają, kogo należy wtedy oskarżyć o popełnienie przestępstwa.

– Są też techniki, które łączą użycie mediów cyfrowych i ruch sieciowy – mówi naukowiec z PW. – Tak jest np. w przypadku telefonii IP, gdzie mamy do czynienia z dźwiękiem oraz ruchem sieciowym.

Cyberprzestępcy mogą też wykorzystać bardzo popularne i teoretycznie bezpieczne narzędzia. – Ostatnio badaliśmy, jak usługi w tzw. chmurze mogą być wykorzystywane do eksfiltracji poufnych danych i zidentyfikowaliśmy tam szereg podatności – mówi naukowiec z PW. Dodaje też, że dla każdej metody stosowanej przez cyberprzestępców tworzy się przeciwmetodę. Sęk w tym, że mogą oni korzystać z tysięcy sposobów na ukrywanie danych. Dlatego tak ważna i cenna jest współpraca specjalistów z różnych dziedzin.

Cyberbezpieczeństwo to branża, która potrzebuje nowych specjalistów. Wciąż ich brakuje, i to w całej Europie. Taka praca niesie jednak też ze sobą ryzyko.

– My służymy wiedzą ekspercką lub przekazujemy informacje służbom, ale nie spotykamy się bezpośrednio z cyberprzestępcami – zaznacza dr Mazurczyk. – Cień ryzyka zawsze istnieje. Ale czy to znaczy, że mamy nie robić nic? 

 

Agnieszka Kapela

Biuro ds. Promocji i Informacji