3 июля 2015

INTERPOL Global Complex for Innovation — будущее борьбы с киберпреступностью

Бизнес

Огромное футуристическое здание по адресу Napier Road 18 в Сингапуре выплывает из джунглей, словно космический корабль. Как написано на сайте проектировщиков здания, особая изогнутая форма здания Глобального центра инноваций ИНТЕРПОЛа с одной стороны позволяет выполнить предъявленное заказчиками требование уместить его на выделенном участке земли, а с другой – обеспечивает «идеальное» расположение относительно солнца в течение всего дня. Финальный облик здания также учел еще одно требование заказчиков: ни одно дерево в районе застройке не было спилено. Вот так сингапурцы заботятся об окружающей среде.

Сколь необычно и свежо здание выгляди снаружи, столь же пресно и минималистично оно внутри.  Острые углы, квадратные формы, белые стены – минимум деталей, максимум простоты: и лишь несколько ярких пятен городских джунглей, пялящихся в большие квадратные окна холла, разбавляют пресную картину.

Таков Комплекс внутри на первый взгляд. После короткой проверки службой безопасности, мы проходим на территорию комплекса. Серьезный парень в костюме с гарнитурой в ухе подходит к нам и с просьбой не снимать его, приглашает следовать за ним на небольшую экскурсию по местам, где творится будущее расследований киберпреступлений.

Cyber Fusion Center

Первая остановка: Сyber Fusion Center. Дать точный русский перевод этому названию затруднительно, проще описать. Если снаружи здание IGCI – космический корабль пришельцев, то CFC – его мостик. Просторное помещение с дюжиной рабочих мест и четырьмя большими дисплеями, объединенными в один на стене. Рабочее место руководителя центра – на небольшом возвышении.  На экранах демонстрируется самая последняя информация о новых киберугрозах, полученная со всего мира. Будучи одним из партнеров ИНТЕРПОЛа, «Лаборатория Касперского» представляет центру статистику о самых распространенных киберугрозах и вредоносных эпидемиях. Именно эта информация, вместе с данными от других партнеров организации, демонстрируется на экранах «мостика», давая его обитателям ясное представление о текущей ситуации с безопасностью в киберпространстве.

Как объясняет глава CFC Пол Уорд, главное назначение Cyber Fusion Center в том, чтобы объединить в одном месте правильных специалистов, которые могли бы помочь бороться с киберпреступлениями. Представители правоохранительных органов и эксперты по информационной безопасности работают здесь сообща, чтобы устранить традиционную проблему, существовавшую прежде в сфере расследования киберпреступлений. Суть проблемы в следующем: даже если эксперты по информационной безопасности достаточно быстро исследуют новые киберугрозы и делятся информацией о них с правоохранительными органами, последние – в силу отсутствия достаточного количества ресурсов и ряда других трудностей – не всегда в состоянии отреагировать оперативно. В CFC все иначе: правоохранители и эксперты работают здесь в формате спина к спине и практически лишены необходимости проходить через десятки бюрократических, временных и географических преград, возникающих в обычном случае. Для сотрудников CFC это не проблема: правоохранители и «безопасники» имеют возможность обмениваться полезной информацией и экспертизой незамедлительно после получения данных – все ради скорого и эффективного расследования киберпреступлений.

Хорошим примером того, как будет в дальнейшем работать IGCI в целом и Cyber Fusion Center в частности стала проведенная относительно недавно операция по закрытию ботнета Simda. В апрелями усилиями группы частных и государственных организаций, в которую входила «Лаборатория Касперского», TrendMicro, Microsoft, ФБР, а также представители правоохранительных органов Нидерландов и России и ряд других участников, был обезврежен ботнет, угрожавший десяткам тысяч пользователей в 190 странах.  Всего участникам операции удалось взять контроль над 14 серверами управления, расположенными в Нидерландах, США, Люксембурге, Польше и России.

Главным «нервным узлом» операции выступил как раз Cyber Fusion Center, и хотя будет лукавством сказать, что все судьбоносные решения относительно операции принимались физически в этом центре, он, однако, послужил связующим звеном для всех участников операции: через него велись предварительные обсуждения деталей операции, а когда настало время – IGCI и Cyber Fusion Center в частности, послужили синхронизаторам процесса отключения ботнета. Собственно, это одна из ключевых задач, для которых был открыт IGCI и устроен Cyber Fusion Center.

Тем временем, экскурсия продолжается. Следующая остановка – Департамент исследований и разработок.

wide

Департамент исследований и разработок

Департамент исследований и разработок IGCI примерно втрое меньше, чем Cyber Fusion Center, однако, его значимость для всего центра ничуть не меньше, чем значение CFC.  Примерно треть небольшой комнаты заставлено различным оборудованием, непонятного обывателю назначения. Загадочные кривые и «пироги» выведены на два больших экрана у дальней стены. На офисных столах вдоль другой стены, выставлена дюжина компьютеров Raspberry Pi, соединенных между собой проводами и шнурами. Как объясняет Кристиан Карам, исследователь киберугроз из ИНТЕРПОЛа, это инсталляция-симулятор сети Tor, с развернутой поверх системой криптовалюты. Ведущий эксперт по безопасности «Лаборатории Касперского» Виталий Камлюк, работающий в данный момент в ИНТЕРПОЛе и собственными руками строивший инсталляцию, добавляет, что это не просто «приближенный симулятор», а реальная Tor-сеть и реальная крипто-валюта, построенные на тех же технологиях, на которых работают Tor и Bitcoin.

Основное назначение инсталляции – обучать полицейских тому, как устроены и как работают подобные технологии. Такие тренинги – насущная необходимость сейчас, поскольку все больше и больше преступников используют преимущества анонимизации, которые дают подобные технологии, для сокрытия следов преступлений. Для того чтобы эффективно собирать доказательства и раскрывать злодеяния, полицейским нужно хорошо представлять с чем они имеют дело.

Собственная анонимная сеть и криптовалюта – не единственный проект, созданный в Департаменте исследований и разработок IGCI. Еще один пример плодов ежедневной деятельности местных сотрудников – исследование уязвимостей Blockchain – технологии, лежащей в основе почти всех современных криптовалют. Как выяснили исследователи, эта технология может быть использована киберпреступниками для надежного хранения вредоносного кода. Целью исследования было привлечь внимание сообщества экспертов по информационной безопасности к проблеме и решить ее до того, как преступники начнут использовать уязвимость.

Проводя подобные исследования,  Департамент исследований и разработок старается предотвратить будущие киберпреступления. Однако когда преступление уже совершено, в дело вступает Лаборатория цифровой криминалистики.

Лаборатория цифровой криминалистики

Главная область ответственности Лаборатории – сбор цифровых доказательств преступлений. Лаборатория заставлена оборудованием для анализа данных с цифровых носителей: жестких дисков, мобильных телефонов и прочих устройств. Специальная установка, в которой анализируют мобильные устройства с коммуникационными возможностями (смартфоны и планшеты) оборудована клеткой Фарадея, экранирующей любые радиосигналы. Это сделано для того, чтобы при включении исследуемое устройство не получило команды на удаленное уничтожение данных и доказательства не были бы потеряны.

Сотрудники лаборатории активно участвовали в операции «Strikeback», проведенной весной 2014 года. Тогда при активном содействии правоохранительных органов нескольких стран, было арестовано 58 подозреваемых в сексуальном шантаже против десятков жертв по всему миру. Преступники сначала похищали различными методами личные фотографии с устройств частных пользователей, а потом вымогали у них деньги, угрожая в противном случае опубликовать интимные фотографии в сети. В некоторых случаях размер требуемого выкупа доходил до 15 тысяч долларов. Всего в ходе операции было изъято и проанализировано около 250 единиц цифровых доказательств – все при активном участии специалистов Лаборатории.

Пока операция «Strikeback» — самое громкое дело, в котором довелось поучаствовать специалистам по цифровой криминалистике IGCI, однако множество новых дел находится в разработке прямо сейчас, а кроме того – сотрудники лаборатории вовлечены в ряд других важных задач. В частности, лаборатория служит местом для обучения сотрудников полиции со всего мира.

Кроме того, в конце 2014 года в Лаборатории появились рабочие станции для профессионального анализа вредоносного ПО, обнаруженного входе расследования дел, которые ведет ИНТЕРПОЛ. За их установку и поддержку отвечает «Лаборатория Касперского» и Виталий Камлюк лично.  Каждое рабочее место укомплектовано двумя компьютерами. Один – «обычный», подключенный к интернету ПК с набором программного обеспечения для анализа вредоносных программ; другой – изолированный от внешнего мира испытательный стенд, который используется для запуска ПО в реальных условиях. Как объясняет Камлюк, использование такого компьютера – единственный способ досконально изучить, как работает вредоносная программа, так как абсолютное большинство вредоносного ПО снабжено механизмами обнаружения виртуального окружения, которое исследователи киберугроз используют для анализа, и в этом случае прекращает всякую подозрительную активность.

По словам представителей ИНТЕРПОЛа, в современном мире все больше и больше регистрируется преступлений, при совершении которых используется вредоносное программное обеспечение, и поэтому оборудование и экспертиза для анализа подобного ПО – очень нужный и появившийся вовремя элемент Лаборатории цифровой криминалистики.

Тем временем, краткая экскурсия по IGCI подходит к концу. Очевидно, далеко не все интересные места центра были продемонстрированы гостям: десятки дверей, снабженных биометрическими замками, которые наблюдаешь, когда идешь по коридорам здания, недвусмысленно на э то намекают.

Однако и того, что было показано, достаточно, чтобы понять, что, как и во многих других областях, Сингапур далеко впереди остального мира, когда речь заходит о лучших практиках в области расследования киберпреступлений. IGCI – это целиком и полностью про самые эффективные и продвинутые методы расследования киберпреступлений на глобальном уровне. И Сингапур, который, часто называют городом будущего, — это идеальное место для начала операции по превращению мира в свободное от киберугроз место.