O probléme prisúdenia

Vo virtuálnom svete sú často k dispozícii len nejasné indície, ktoré vyšetrovateľov pri hľadaní páchateľov kyberzločinov aj tak nakoniec často privedú k záveru „pravdepodobne“. Podozrenie však nie je zločin.
O probléme prisúdenia

Pri snahe prisúdiť kybernetický útok nejakému štátu, skupine či dokonca konkrétnej osobe treba zohľadniť viacero faktorov, ktoré v konečnom dôsledku aj tak nemusia pomôcť.

Zrejme tým najzjavnejším je technická stránka útoku. Každý útočník používa špecifické nástroje, servery a IP adresy, kódy, virtuálne peňaženky… Analýzou takýchto dát sa dá dopracovať k záveru, že daný malvér bol použitý aj pri predchádzajúcich útokoch na podobné ciele, prípadne že jeho časť sa objavila v inom nástroji. Kód môže obsahovať aj isté špecifiká ako komentáre v cudzom jazyku, preklepy, špeciálne názvy premenných a pod, ktoré môžu vyšetrovateľa priblížiť k útočníkovi.

Na druhej strane servery a ich IP adresy nemusia byť smerodajné. Ak má heker k dispozícii botnet, sieť infikovaných počítačov môže byť zneužitá bez vedomia ich majiteľov a tým sa opätovne sťaží hľadanie páchateľa.

V niektorých prípadoch však môže pomôcť rozloženie klávesnice. Počítačový červ Conficker sa napríklad vyhýbal tým počítačom, ktoré mali nastavenú ukrajinčinu. Podobné dôkazné materiály však slúžia len na zúženie množiny možných páchateľov – neukážu prstom na vinníka. Nehovoriac o tom, že vydávať sa za niekoho iného a podvrhnúť domnelé dôkazy nie je vôbec ťažké.

Pri určovaní páchateľa preto treba hľadieť aj na spoločenské, respektíve politické hľadisko: Komu by útok prospel? Má obeť nejakých nepriateľov? Čo vyvolalo útok?

V roku 2016 napadla Svetovú antidopingovú agentúru skupina známa ako Fancy Bear (APT28). Zverejnila dopingové testy 29 atlétov, vrátane Sereny Williamsovej, Petry Kvitovej alebo Chrisa Frooma. Po technickej stránke analýza ukazovala na Rusko – bez motívu by však takéto obvinenie neobstálo. Na(ne)šťastie, v rovnakom čase agentúra riešila ruský štátom sponzorovaný dopingový program, pre ktorý dostali niektorí ruskí športovci zákaz štartovať na Olympijských hrách v Riu de Janeiro. Útok Fancy Bear preto naznačoval, že ide o odplatu Rusov. Lenže Moskva obvinenia dementovala. Minister športu Vitalij Mutko sa vtedy pýtal: „Ako dokážete, že hekermi boli Rusi? Obviňujete Rusko zo všetkého. Teraz je to v móde.“

A mal pravdu. Ani IP adresy, ani možný motív stále nestačia, aby ste od podozrivého mohli žiadať odškodné. Navyše, hoci bola táto skupina už v minulosti podozrievaná z napojenia na Kremeľ a k tomuto útoku sa verejne priznala, oportunizmus v medzinárodných vzťahoch tiež nemožno vylúčiť. Ak sú Američania v tejto chvíli na nože s Rusmi, nejaký útok vedený hakermi z Číny či Iránu cez ruské servery ich dokáže ľahko skryť pod ruskû vlajku.

Pokiaľ to s vyšetrovaním obeť myslí vážne a chce sa dožadovať práva, musí ukázať aj na konkrétne osoby – personálna stránka útoku. Tento problém najlepšie vystihuje klasický vtip: „Na internete nikto nevie, že si pes.“ Používateľ často vystupuje len pod pseudonymom, ktorý môže na jednotlivých webstránkach ľubovoľne meniť. Prenášané dáta alebo IP adresa sa dajú skryť pomocou VPN alebo proxy serverov. Platby za použité služby sa dajú zaplatiť pod falošným menom a/alebo kryptomenami.

V takýchto prípadoch je to doslova o zbieraní omrviniek zanechaných v rôznych kútoch internetu. Niekedy sa to však oplatí. Piatich čínskych hekerov z Comment Crew (APT1) dolapili práve na základe toho, že nedopatrením zanechali za sebou stopy na sociálnych sieťach, rôznych webstránkach a pod. Podpis „ug“ v kódoch v kombinácii s pseudonymami a e-mailovými adresami použitými na diskusných fórach usvedčili vojaka Wanga Donga známeho tiež ako UglyGorilla.

Takýto prípad je skôr výnimkou, keďže väčšinou sa nedá presne určiť charakter útočníka (štátny zamestnanec, znudený tínedžer, „insider“) alebo ich počet. Príkladom sú hektivisti zo skupiny Anonymous, ktorí pôsobia decentralizovane a do jedného útoku sa môže zapojiť stovka ľudí rôznej národnosti, profesie, veku.

Poškodená strana musí preto zvážiť či napáchané škody boli natoľko závažné, aby sa oplatilo spustiť vyšetrovanie po konkrétnych vinníkoch. V medzinárodnom prostredí sa od toho zväčša upúšťa a prstom sa ukáže len na krajinu, ktorá k útoku mala najbližšie. Dôvodov je viacero. Štáty sa musia spoľahnúť často len na seba a podpory sa im dostáva len od vyspelých spojencov. Oporu nenachádzajú ani v medzinárodnom práve, ktoré síce hovorí, že štát je zodpovedný za útok vedený z jeho územia, ale dáta nimi putujú takou rýchlosťou, že je len sotva možné zareagovať v reálnom čase a zabrániť mu. Nevynímajúc povahu internetu, ktorá odstraňuje rozdiely medzi štátom a jednotlivcom a stavia ich tak na rovnakú úroveň.

Jediný Rus, Číňan, Američan či Brazílčan vie už dnes sám spôsobiť veľké škody. 18-ročného Brita Kanea Gamblea začiatkom roku 2018 odsúdili na dva roky do nápravného zariadenia pre mladistvých za to, že zo svojej izby v Leicestershire útočil na predstaviteľov americkej FBI, CIA a ministerstva spravodlivosti, pričom sa mu podarilo získať mimoriadne citlivé informácie o vojenských a spravodajských misiách v Iraku a Afganistane, ktoré neskôr zverejnil na WikiLeaks.

V praxi štáty skôr využívajú pravidlo „oko za oko, zub za zub“. Poškodený štát X reaguje na kyberútok štátu Y rovnakým spôsobom. Takto sa vie poškodený jednak pomstiť a prípadne na oplátku získať aj nejaké dáta, a jednak demonštruje svoje kybernetické sily, ktoré v tomto smere majú pôsobiť odstrašujúco, čo by malo odstrašiť ďalších potenciálnych škodcov.

(Viliam Kaliňák)