Dobri ali slabi fantje?

Eden od zaposlenih pri Nacionalnem odzivnem centru za obravnavo varnostnih incidentov (SI-CERT), Tadej Hren, je na svojem Twitter profilu pokazal, kako pri njih ukrepajo proti lastnikom prikritih omrežij (tim. botnetov). Kot kaže tako, da vdrejo v njihove spletne račune in jih zaklenejo ven :).

Kot izhaja iz tam objavljene zaslonske slike, je SI-CERT preiskoval delovanje določenega prikritega omrežja, ki je računalnike okuževal z HawkEye keyloggerjem. To je pritajeni program, ki zbira pritiske na tipkovnico in tako lovi gesla za spletne storitve, vnesene kreditne kartice, idr. Na žrtvin računalnik pride preko okužene e-poštne priponke.

Zlonamerno aplikacijo so po vsej verjetnosti poganjali v virtualnem računalniku, pri tem pa s programom Wireshark spremljali omrežni promet, ki se je pri tem prožil. Tako so ugotovili, da prestreznik tipkanja zbrane podatke periodično pošilja upravljavcem prikritega omrežja kar po e-pošti, v tem primeru na določen e-poštni naslov pri indijskem spletnem ponudniku e-pošte CCNet1.in. Ob podrobnejšem pregledu pa še, da za varnost e-poštne seje ni bilo najbolje poskrbljeno.

Prestreznik tipkanja je sicer skušal vklopiti šifriranje seje (ukaz STARTTSL), a je - ker strežnik tega ni podpiral (indijski poštni ponudniki pač...) - preprosto nadaljeval brez šifriranja. Nato je zlonamerni program uporabniško ime in geslo za prijavo v poštni strežnik poslal kar po zastarelem in varnostno povsem neprimernem protokolu (SMTP PLAIN AUTH; spet, indijski e-poštni ponudniki...).

Povedano poenostavljeno, uporabniško ime in geslo, kot tudi kasnejše e-sporočilo, so se v omrežje poslali bolj ko ne v nešifrirani obliki.

SI-CERT je te podatke posledično lahko enostavno dekodiral in izluščil iz z Wiresharkom zajetega prometa. Potem ju je, kot se zdi iz tvita, uporabil za prijavo v e-poštni račun. Ko je bil notri, je kojci spremenil geslo, tako da kolovodja prikritega omrežja ni več mogel priti do podatkov, ki so se pošiljali tja. Obenem je lahko potem mirno analiziral, kdo vse je bil okužen in kateri podatki so bili pri tem pokradeni.

Z zadevnim se na prvi pogled ne zdi nič narobe. Pač -- dobri fantje so uspešno prišli na sled slabim fantom ter jim vsaj deloma onemogočili nadaljevanje kriminalne aktivnosti. They hacked the hackers. Tudi sam način njihovega dela ni vprašljiv. Preverjanje zlonamernega programja v kontroliranem okolju, zato da se dožene, kar točno le-to počne, je bolj ko ne standardna tehnika že vse odkar je McAffe v 90h začel delati protivirusnike. Tako ni dvoma, da je SI-CERT kot s strani vlade ustanovljen organ, katerega naloga je zagotoviti enotno in hitro odzivno točko za odziv na prav takšne varnostne incidente, smel raziskovati delovanje zadevnega prikritega omrežja.

Bolj zanimivo - če ne že kar vprašljivo - pa je, ali je SI-CERT smel iti še korak dlje, torej uporabiti dobljene podatke (uporabniško ime in geslo enega od kolovodjinih e-poštnih računov) za vstop v ta e-poštni račun, oz. za spremembo gesla na tem računu. Takšno dejanje namreč predstavlja vdor nepooblaščeni vstop v tuji informacijski sistem. Ni povsem jasno, ali ima SI-CERT pooblastilo za kaj takega. Vsekakor bi bilo čisteje, če bi se omejili zgolj na analizo delovanja prikritega omrežja, nakar bi prijavne podatke za e-poštni račun odstopili v vednost in ravnanje policiji. Ki bi potem, z odredbo sodišča, (najbrž) smela vstopiti v napadalčev račun. Skratka, SI-CERT "analizira", policija "vdira".

A spet, po drugi strani, bi se v tem primeru sploh kaj zgodilo? Bi slovenska policija res našla voljo za pregled nekega indijskega e-poštnega predala na tehnično pravilen in obenem zakonit način? Bi ji uspelo sprožiti mednarodno policijsko preiskavo, preko Interpola vanjo pritegniti indijske kolege, in potem tudi dejansko identificirati tako kolovodje prikritega omrežja kot tudi njegove nesrečne žrtve (ki so vsi skoraj gotovo tujci, tako da slovenska država pravzaprav nimam kakšnega posebnega interesa za kazenski pregon)? In, ali ima slovenska policija za to potrebno znanje, glede na to, da želi svoje forenzično bolj usposobljene sodelavce poslati v zapor?

Končno, ali želimo slovenski policiji v takšnem stanju sploh dovoliti, da se gre hekanje (v ZKP bi si radi zapisali pravico rabe IMSI lovilcev in računalniških trojancev)?

Odpira se torej zanimivo pravno-filozofsko vprašanje: kako daleč lahko gremo pri boju zoper hekerje? Kaj je dovoljeno? Kje so meje? Koliko zaupamo državi, ki nas, kar se tiče spoštovanja naših ustavnih pravic, znova in znova razočara?