Okup w bitcoinach omawiany na URDI 2015

19 listopada 2015 roku zakończyła się konferencja związana z informatyką śledczą (propagowaną w Polsce już od 10 lat), na której poruszano zarówno kwestie ?digital investigations?, jak i zagadnienia z zakresu bezpieczeństwa. Patronat nad imprezą objęło Ministerstwo Sprawiedliwości i Prokuratura Generalna. Organizatorem było Stowarzyszenie Instytut Informatyki Śledczej. Imprezę wsparło wiele podmiotów zajmujących się komercyjnie poruszanymi na konferencji zagadnieniami, czyli elementami ?Ultimate Response and Digital Investigations?. Stąd też pierwsze wprowadzające prelekcje dotyczyły kwestii założeń obrony cybernetycznej (Piotr Serwadczak) oraz informatyki śledczej (Przemysław Krejza). Oczywiście poruszono też na wstępie problem dowodów z zatrutego drzewa związku z nowelizacją Kodeksu Postępowania Karnego (Jarosław Góra) i incydentów (Piotr Szeptyński). Po tak wyczerpującym wstępie słuchaczy podzielono na dwie grupy ? w zależności od potrzeb i upodobań można było wybrać ścieżkę ?Ultimate Response? oraz ?Digital Investigations?.

Największym zaskoczeniem była jednak dla nas ostatnia prelekcje dnia drugiego odbywające się w ramach ścieżki ?Ultimate Response?. Prowadził ją Grzegorz Idzikowski wraz z asystentem (obydwoje z E&Y z działu Forensic Technology and Discovery Services). Temat wystąpienia brzmiał ?W odpowiedzi na incydenty? i był podzielony na dwie części. O ile pierwsza część była dość ogólna, o tyle druga dotyczyła konkretnego case study. Prelegenci z E&Y wybrali coś ze swojego doświadczenia. Jedna wysoko postawiona persona w ich przedsiębiorstwie miała pecha i jej stacja robocza została zainfekowana dość specyficznym programem szyfrującym dane i żądającym okupu w bitcoinach (pisaliśmy o tym problemie tutaj ? w Polsce była to plaga w pewnym momencie). Poruszany przez pracowników E&Y kazus został szczegółowo rozłożony na części pierwsze. Z ich badania wynikało, że  najpierw ofiara ściągnęła z podejrzanej strony (tutaj właścicielem domeny okazała się spółka na Cyprze, będąca naturalnie słupem) trojana nie zwracając uwagi, że plik miał rozszerzenie ?exe?. Potem sytuacja była do przewidzenia ? zainstalował się program szyfrujące dane i żądający okupu w bitcoinach. Pozostało więc zdecydować się co zrobić. Ostatecznie pracownicy E&Y ściągnęli ze strony Kasperskiego program do odszyfrowania danych, a wszystko skończyło jak trzeba ? nikt nie uległ żądaniom programu-terrorysty. W tej chwili prelegenci zwrócili uwagę, że pracują nad sprawą. Pewne jest, że atak nastąpił z Rosji. Całość prezentacji była ujęta w dość ciekawy graficznie sposób. Oczywiście przykład złośliwego programu szyfrującego był tylko tłem dla omówienia zagadnienia. Niemniej interesujące wydało się nam nawiązanie do BTC.

Nawiązując do podjętego przez prelegentów tematu oraz reszty prelekcji należy zwrócić uwagę, że aż 55% incydentów związanych jest z obejściem systemów bezpieczeństwa. Najsłabszym elementem obrony cybernetycznej jest bowiem ciągle człowiek. Choć wydaje się to nudne jedynie szkolenia oraz monitoring pracowników pozwala uniknąć problemów tego typu.

Poza tym wspomniano o bankowości mobilnej – dokładnie o problemie wpisywania haseł dostępu do kont bankowych. Zgodnie z postanowieniami między użytkownikami telefonów komórkowych, a producentami spora część danych – w tym hasła – przetrzymywane są na serwerach producenta urządzenia mobilnego. Nieodpowiednio napisana aplikacja spowoduje, że niewidoczne z pozoru hasło, może być czytelne na obcym dla nas serwerze. Nie od dziś jednak wiadomo, że era m-cyfryzacji wiąże się z różnorodnymi problemami związanymi z aplikacjami (zarówno od strony technicznej, jak i prawnej). Warto jednak o tym pamiętać – bezpieczeństwo znaków w polu tekstowym może nie zawsze być wystarczające. Była to zresztą jedna z “tips&tricks” w wykonaniu Michała Tatara, który pokazywał, jak łatwo wyciągać dane z telefonu komórkowego.

Całą konferencję należy uznać za udaną. Miejmy nadzieję, że za rok będzie równie ciekawie!