Żyjemy w czasach, w których przekraczamy coraz więcej granic w internecie. Internauci muszą mieć tego świadomość

Tomasz Matuła to dyrektor infrastruktury ICT i Cyberbezpieczeństwa Orange, który z firmą związany jest od czasów, w których znana była pod zupełnie inną nazwą. To człowiek niezwykle skrupulatny, który był w stanie zreformować na ogromną skalę zarówno infrastrukturę rozwiązań, jak i podejście do bezpieczeństwa w Orange. Jego spojrzenie, jeśli chodzi o przeciwdziałanie zagrożeniom w sieci jest dość specyficzne.

Tomasz Domański, Spider's Web: Panie Tomaszu, co było największym zagrożeniem w 2017 r., jeśli chodzi o polski internet?

Tomasz  Matuła, Dyrektor infrastruktury ICT i Cyberbezpieczeństwa, Orange: Trudne pytanie. W 2017 r. z punktu widzenia sieci Orange, największymi zagrożeniami dla sieci stacjonarnych były trojany, wszelkiej maści backdoory, które przejmują kontrolę nad komputerami użytkowników. Szacujemy, że miesięcznie ok. 1,5 proc. komputerów podłączonych na stałe do sieci, wykorzystywana jest przez cyberprzestępców do różnych, nielegalnych działań. Najczęściej dzieje się to przy całkowitej niewiedzy ich właścicieli.

Chodzi o globalne botnety?

Dokładnie tak. Jeśli statystyka nie kłamie, to na tym piętrze przebywa aktualnie kilka osób, których domowe komputery są częścią takiej sieci botów.

A największe niebezpieczeństwa w sieci mobilnej?

Największym problemem mobile są niechciane i bardzo nachalne reklamy, zawierające dość często złośliwe treści. Najczęściej były to trojany.

Z raportu CERT wynika, że w zeszłym roku równie groźnym typem ataku było oprogramowanie ransomware

Zgadza się. Nasza Cybertarcza ochroniła ponad 119 tys. użytkowników przed tego typu infekcją. Trojany były na drugim miejscu.

Czy w porównaniu z raportami za ubiegłe lata możemy mówić o jakichś długotrwałych trendach? Jak z biegiem lat ewoluują cyberprzestępcy?

Najważniejszym orężem cyberprzestępców, od wielu, wielu lat jest socjotechnika. Co więcej, z roku na rok, ona wciąż ewoluuje i jest coraz lepiej wykorzystywana.

Jakiś przykład?

O wiele za dużo. Pamiętam na przykład taką kampanię phishingową, przygotowaną iście po mistrzowsku. Zarówno jeśli chodzi o sam wybór "celów", aż po dobór słownictwa użytego w wiadomościach od przestępców. Jej celem były polskie kancelarie prawne i zdziwiłby się pan ilu prawników dało się na nią nabrać. Chociaż przyznaję, że to dość specyficzny przykład. Często socjotechnika wykorzystywana jest też do sposobu "na szefa".

Na szefa?

Tak. To bardzo prosta i skuteczna  metoda. Przestępcy podszywają się pod prezesa albo jednego z dyrektorów dużej spółki i wysyłają wiadomość do konkretnej osoby z działu księgowości, w którym domagają się natychmiastowego przelewu za taką i taką fakturę na podany przez siebie numer konta.

A jeszcze kilka lat temu mówiono, że phishing wkrótce umrze śmiercią naturalną...

Tak pamiętam. Rozwój technologii miał raz na zawsze rozwiązać ten problem (śmiech). Niestety nic takiego nie miało miejsca. Ta metoda jest zbyt skuteczna w działaniu na ludzkie emocje, co w połączeniu ze stałym podwyższaniem poziomu jakości kampanii phishingowych przez cyberprzestępców sprawia, że zjawisko phishingu ma się coraz lepiej. Nieprawdopodobne jest to, jak wielu z nas z czystej ciekawości otwiera dokument PDF w sprawie przesyłki od kuriera, której nigdy nie zamawialiśmy...

Albo e-mail z wiadomością o niezapłaconym rachunku.

Ta metoda nie ma sobie równych. Mój znajomy od 20 lat, prezes bardzo dużej polskiej spółki, który szczycił się tym, że nie dał się nabrać na tego typu zagrywki niedawno zapłacił 1299 zł za odszyfrowanie danych z jego komputera służbowego. Właśnie przez "niezapłaconą fakturę".

Na tym komputerze zapewne musiało być coś bardzo ważnego.

Zdjęcia jego wnuków. Jego dokumenty służbowe przechowywane są w kilku kopiach zapasowych, na zabezpieczonych serwerach. Natomiast rodzinny album... Wydawało mu się, że przechowywanie go na dobrze zabezpieczonym komputerze służbowym da mu najwyższą gwarancję bezpieczeństwa.

1299 zł, cena promocyjna (śmiech)

Tak (śmiech). Jak już mówiłem, cyberprzestępcy są coraz bardziej profesjonalni. Niektóre grupy prowadzą nawet pomoc dla klientów, którzy nie radzą sobie z odszyfrowaniem zawartości swojego komputera. Po uiszczeniu stosownej opłaty oczywiście. W usługach oferowanych przez takie grupy znajdziemy nawet ataki DDoS [distributed denial of service - przyp. red] na zlecenie.

Właśnie, kto jest najczęstszym celem ataków DDoS?

Gracze. Ja wiem, że to wydaje się strasznie dziwne, ale w gry sieciowe gra wiele osób, które bardzo chętnie psują zabawę innym graczom, zlecając wymierzone w nich ataki DDoS. W promocyjnej cenie i z gwarancją jakości rzecz jasna. Wiele grup gwarantuje nawet zwrot pieniędzy, jeśli ktoś nie jest zadowolony z usługi.

Niesamowite.

I przerażające za razem. Ogólna dostępność tych usług i łatwość, z jaką można z nich skorzystać powoduje moim zdaniem zacieranie się fundamentalnych granic. Żyjemy w czasach, w których - jeśli ktoś kogoś nie lubi - może bardzo łatwo zaszkodzić mu w sieci.

Zostając jeszcze na chwilę przy atakach DDoS. Czytając wasz najnowszy raport CERT, zauważyłem, że ich częstotliwość biła absolutne rekordy w maju i w listopadzie. Czemu akurat wtedy?

Wszystkich Świętych i długi weekend majowy. Mówię serio. Wtedy ludzie mają więcej czasu, więcej grają i... więcej atakują. Do tego listopad zalicza się już do okresu przedświątecznego - tak samo jak znane marki, grupy cyberprzestępców również oferują swoim klientom różne promocje. W tym również na ataki DDoS. Wzmożona aktywność cyberprzestępców jest ściśle skorelowana ze świętami albo różnymi wydarzeniami. Wie pan na przykład, że w 2016 r. liczba ataków nasiliła się po ogłoszeniu programu 500+?

Zaraz. Chce mi pan powiedzieć, że większość ataków DDoS zlecana jest przez domowych użytkowników, którym się nudzi?

No nie do końca. Po prostu jeśli chodzi o ataki na firmy, to mechanizm ten od lat działa, jak w przysłowiowym zegarku. To ciemna strona biznesu - polskie firmy od lat zlecają ataki na swoją bezpośrednią konkurencję.

Przekraczamy granice.

Niestety. To co mnie cieszy, to rosnąca świadomość polskich firm. Mamy coraz więcej klientów, którzy wybierają Orange chociażby ze względu na nasz system automatycznej mitygacji ataków DDoS. Dzięki temu klient nawet nie wie, że w jego serwery ktoś taki atak wycelował.

Ok, phishing, ransomware, trojany, DDoS - to wszystko to klasyka gatunku. Pomówmy o czymś zupełnie nowym. W tegorocznej edycji raportu CERT po raz pierwszy znalazł się tak duży fragment o wykorzystaniu sztucznej inteligencji...

Aktualnie znajdujemy się w bardzo początkowym etapie, jeśli chodzi o wykorzystanie algorytmów maszynowego uczenia się. Sztuczna inteligencja na pewno pomoże nam w tworzeniu lepszych zabezpieczeń. Jednak każdy kij ma dwa końce. Algorytmy tworzone z myślą o ochronie sieciowej infrastruktury będą musiały zmierzyć się z programami zaprojektowanymi z myślą o jej  uszkodzeniu. Nadchodząca era algorytmów na pewno da nam możliwości reagowania w czasie rzeczywistym, proaktywnym na niektóre zagrożenia. Żaden człowiek nie jest w stanie przeanalizować tak szybko tak dużej ilości danych dotyczących ruchu w sieci.

Z tego co wiem, to Orange już wykorzystuje tego typu algorytmy.

Zgadza się. Co miesiąc, w naszej sieci rejestrowane jest ok 10 mld zdarzeń. Wykorzystując algorytmy maszynowego uczenia się, jesteśmy w stanie przeanalizować taki raport w całości, co daje nam ogromną wiedzę na temat potencjalnych zagrożeń czyhających na naszych użytkowników.

Ok, czyli co konkretnie należy do obowiązków sztucznej inteligencji pracującej dla Orange?

Nasza SI na przykład chroni naszą sieć przed dużą liczbą ataków phishingowych. Algorytm na podstawie analizy setki tysięcy maili wysyłanych przez cyberprzestępców doskonale radzi sobie z wyłapywaniem ich części wspólnych, które mogą być potencjalnie niebezpieczne. Od adresów stron ukrytych w treści, po specyficzną składnię, wykorzystywaną w niektórych kampaniach phishingowych. Dzięki sztucznej inteligencji możemy wykonywać taką analizę w czasie rzeczywistym i praktycznie w pełni ją zautomatyzować.

Jak jednak rozumiem, wasze algorytmy nadal nadzorowane są w jakiś sposób przez ludzi?

Tak, mamy jeden z najlepszych zespołów tzw. białych hakerów. Załóżmy, że w sieci pojawia się jakieś nowe, złośliwe oprogramowanie. Zabawa zaczyna się od pobrania jego próbki - coraz częściej robią to nasze algorytmy, ale nie jest to regułą. Następnie nasi eksperci zabierają się za tzw. reverse engineering (inżynierię wsteczną), dzięki której ze skompilowanego kodu da się wyciągnąć jak najwięcej informacji.

Jest to bardzo trudne, zważywszy na metody obfuskacji (zaciemniania kodu) wykorzystywane przez większość złośliwego oprogramowania. Załóżmy jednak, że z takiego kodu udaje się nam wyciągnąć np. adres serwera command & control, dzięki któremu przestępcy mają pełną kontrolę nad zainfekowanymi komputerami. Taki adres następnie blokujemy na poziomie naszych serwerów, dzięki czemu nasi klienci mogą spać spokojnie. To co odróżnia nas od konkurencji to to, że tego typu działania blokujemy w czasie rzeczywistym

Ale ich komputery nadal zainfekowane są koniem trojańskim...

Tak. Co więcej - większość programów tego typu nie jest wykrywane przez oprogramowanie antywirusowe. Na samym początku nie są one bowiem w żaden sposób złośliwe dla komputera. Dzieje się to dopiero później, kiedy taki trojan zaczyna komunikować się ze swoim serwerem command & control. W takich przypadkach wykorzystujemy mechanizmy naszej Cybertarczy.

Systemy Orange wykrywają próbę kontaktu danego komputera z serwerem cyberprzestępców, dzięki czemu możemy błyskawicznie poinformować użytkownika o tym, że jego maszyna została zainfekowana. Warto podkreślić, że ta ochrona została zaimplementowana na poziomie ruchu sieciowego. Takie rozwiązanie jest bardzo często znacznie bardziej skuteczne od ochrony na poziomie programu antywirusowego.

To wszystko dzieje się nadal bez wiedzy użytkownika?

To zależy. Jeśli taki trojan został już uzbrojony, próba łączenia się z naszymi serwerami skutkuje kwarantanną. Czyli przeniesieniem użytkownika z poważnie zagrożonym komputerem do bezpiecznego miejsca w naszej sieci. W oknie przeglądarki pojawia się komunikat, który informuje go, co się dzieje i w jaki sposób poradzić sobie z infekcją.

Czyli wasza tarcza nie tylko chroni, ale też edukuje?

Dokładnie tak. Moim zdaniem zresztą edukacja jest równie ważna jak ochrona. Z naszych statystyk wynika, że ktoś, kto zaliczy taką przygodę, staje się o wiele bardziej świadomym użytkownikiem sieci. To jest kluczowe. Z tego samego powodu publikujemy co roku nasze raporty CERT, pojawiamy się na większości konferencji dotyczących cyberbezpieczeństwa i staramy się wdrażać jak najwięcej programów edukacyjnych związanych z użytkowaniem sieci w naszych Pracowniach Orange. Zarówno dla dzieci i dla seniorów.

Czy edukujecie też swoich pracowników? Orange to w końcu ogromna firma. Nie każdy, kto tutaj pracuje musi znać się jakoś super na komputerach...

Bardzo się cieszę, że ktoś w końcu zadał to pytanie.(śmiech) W Orange Polska pracuje kilkanaście tysięcy pracowników, większość z nich ma dostęp do naszej wewnętrznej infrastruktury - nie możemy pozwolić sobie na to, żeby to lekceważyć. Dlatego też organizujemy cykliczne akcje informacyjne. Oprócz tego przeprowadzamy również "wewnętrzne" kampanie phishingowe dla naszego personelu, dzięki którym prawdziwi cyberprzestępcy nie oszukają ich już tak łatwo.

Brzmi to znacznie ciekawiej, niż ćwiczenia przeciwpożarowe. Co się stanie, kiedy ktoś z Orange da się nabrać na taką akcję i zrobi o jeden klik za daleko?

Tutaj chodzi o edukację, a nie o wystawianie nagan. Zresztą przyznam szczerze, że nasz zespół, który odpowiada za organizację takich ćwiczeń, nie daje nikomu taryfy ulgowej. Wykorzystujemy wizerunek naszych VIP-ów i staramy się, aby ten nasz phishing był jak najbardziej wiarygodny. Dużo ludzi daje się na to nabrać, ale po takiej "nauczce" stają się o wiele bardziej ostrożni. Wielu z nich potem w ramach wolnego czasu podsyła naszym zespołom szybkiego reagowania podejrzane linki i otrzymane przez nich e-maile.

Rozumiem, powiększacie tym samym liczbę wewnętrznych testerów bezpieczeństwa waszej sieci (śmiech).

Poniekąd tak, Nawet najlepiej zabezpieczona sieć na świecie może paść ofiarą ataku w skutek pojedynczego ludzkiego błędu. Starając się zapewnić jak najwyższy poziom bezpieczeństwa naszych użytkowników musimy pamiętać, że nie jest to możliwe, bez udostępniania im - w przystępny sposób oczywiście - jak największej ilości wiedzy związanej z tym tematem. Tyczy się to również naszych pracowników.

Z waszych raportów CERT wynika, że to trochę syzyfowa praca. Przecież co roku trendy dotyczące cyberbezpieczeństwa ulegają zmianie...

Taki już los operatorów.

Zakończmy wróżeniem z kuli. Jaki typ ataków wzrośnie w następnych latach?

Obawiam się, że aktywność cyberterrorystów będzie rosła coraz szybciej. Taki Petya/Not Petya na przykład tylko udawał ransomware. Jeśli przyjrzymy się łącznej kwocie, jaką udało się zebrać jego twórcom w zamian za odszyfrowanie danych zainfekowanych użytkowników, to nie była to strasznie duża suma, w porównaniu do skali ataku. Moim zdaniem Petya czy WannaCry były narzędziami, które miały spowodować zatarcie śladów po wcześniejszych, znacznie poważniejszych atakach.

To jest novum. Wchodzimy w czasy cyberterroryzmu sponsorowanego przez tajne służby. Do tej pory mówiło się o atakach na infrastrukturę krytyczną - wodociągi, energetykę, etc. Okazuje się jednak, że definicja infrastruktury krytycznej w dzisiejszych czasach znacznie się poszerzyła.

Zniszczenie infrastruktury sieciowej odpowiednio dużej liczby firm w danym kraju, doprowadzi do załamania jego gospodarki. Polsce inne szkodliwe oprogramowanie, konkretnie Petya i Notpetya sparaliżowały kilka, bardzo dużych firm logistycznych co spowodowało konkretne straty dla nich. Takich ataków będzie coraz więcej. I będą one coraz lepiej przemyślane i koordynowane.

Tym przerażającym akcentem musimy niestety kończyć. Dziękuję za rozmowę.

Dziękuję.

Tekst powstał we współpracy z Orange.