Падпішыся на нашу медыйную рассылку!
Кожны тыдзень атрымлівай на пошту: якасныя магчымасці (гранты, вакансіі, конкурсы, стыпендыі), анонсы івэнтаў (лекцыі, дыскусіі, прэзентацыі, прэс-канферэнцыі) і карысны кантэнт
Гэтую главу дапаможніка GIJN пра кіберзлачынствы і расследаванні ў даркнэце напісала Kэйт Фазіні, рэпарцёрка амерыканскай сеткі кабельнага тэлебачання CNBC, што спецыялізуецца на тэмах тэхналогій і кібербяспекі.
Кіберзлачынства — любая крымінальная дзейнасць, якая здзяйсняецца ў лічбавай сферы. Мы часта атаясамліваем кіберзлачыннасць з хакерствам, што ў дадзеным кантэксце адносіцца да несанкцыянаванага ўваходу ў лічбавае асяроддзе. Але ёсць і шмат іншых відаў злачынстваў — у тым ліку матэрыяльных — якія распаўсюджваюцца на лічбавы свет.
У катэгорыю кіберзлачынстваў трапляе што заўгодна: ад гандлю дзіцячай парнаграфіяй да незаконнага зняцця грошай пры дапамозе інсайдэра ў банку ці крадзяжу зыходнага кода праграмаў. Часта кіберзлачынствы магчымыя, калі парушаецца права на канфідэнцыяльнасць. Напрыклад, калі кампанія няправільна зашыфравала асабістую інфармацыю і гэтыя дадзеныя былі скрадзеныя, тады з боку кампаніі сітуацыя з’яўляецца парушэннем права на канфідэнцыяльнасць спажыўцоў, а з боку тых, хто скраў дадзеныя, гэта — кіберзлачынства.
Адзін з найбольш каштоўных рэсурсаў па журналістыцы кібербяспекі — гэта амерыканская юрыдычная база дадзеных PACER.
Фінансавыя страты з-за кіберзлачынстваў бываюць неверагодна вялікімі, іх складана прадбачыць і падлічыць. Інвестар-мільярдэр Уорэн Бафет казаў, што ён матывуе свой бізнес да таго, каб пазбягаць рынку кіберстрахавання, бо недастаткова дадзеных, каб спрагназаваць магчымыя грашовыя страты. Гэтая скаладанавызначальная рызыка рэзка кантрастуе з нашым разуменнем іншых відаў фінансавых стратаў: з-за стыхійных бедстваў (ураганы ці паводкі) альбо з-за іншых злачынстваў (рабаванне банкаў ці дыверсіі). Прыблізныя ацэнкі такіх крыніц, як McAfee, Cybersecurity Ventures, Інстытута SANS і ФБР, паказваюць, што шкода ад кіберзлачынстваў для бізнесу і ўрадаў вымяраецца трыльёнамі долараў.
Нягледзячы на тое, што пытанні кібербяспекі сёння ў прыярытэце, таемны свет кіберзлачынстваў развіўся настолькі, што нагадвае па структуры звычайны карпаратыўны ўклад. Квітнеюць злачынныя «стартапы» і невялікія групоўкі, мала звязаныя між сабой геаграфічна ці па інтарэсах. Яны крадуць прылады адно ў аднаго, канкуруюць і супрацоўнічаюць — і робяць гэта з тым жа спрытам і амбіцыямі, што стартапы ў Сіліконавай даліне.
Буйныя гульцы імкнуцца аб’яднаць злачынныя інтарэсы ў Азіі, Еўропе, Афрыцы і Амерыцы, выкарыстоўваючы цэнтралізаванае кіраўніцтва, крымінальных вярбоўшчыкаў, якія паводзяць сябе як HR-менеджары. Існуюць нават даволі сюррэалістычныя службы падтрымкі, куды звяртаюцца ахвяры кібермахлярстваў, каб пракансультавацца, як стварыць біткойн-кашалёк для пераводу выкупа.
Значная частка гэтай незаконнай дзейнасці адбываецца ў так званым «даркнэце», схаваным слоі сеткі, даступнай звычайна толькі праз браўзер Tor. У любы дзень вы можаце «падаць заяўку на вакансію» ў «даркнэце», напрыклад, у якасці лакальнага аператара сеткі бота-вымагальніка або кіроўцы Uber, які адмывае грошы з дапамогай несапраўдных паездак, або грашовага «мула» — кур’ера, які абнаяўляе падробленыя дэбетавыя карткі ў банкаматах.
Паколькі многія кіберзлачынныя атакі скончваюцца судовымі працэсамі па крымінальных або грамадзянскіх справах, то адным з самых каштоўных рэсурсаў у журналістыцы кібербяспекі з’яўляецца прававая база дадзеных ЗША PACER (існуюць розныя віды аплаты за карыстанне базай, у залежнасці ад тыпа дакумента). Абрэвіятура PACER азначае «публічны доступ да электронных пратаколаў суда». Чытанне судовых дакументаў, у прыватнасці абвінаваўчых актаў у адносінах да мясцовых і замежных кіберзлачынцаў, можа даць усебаковае ўяўленне аб кібератаках, а таксама паказаць, якія недахопы мае існуючая прававая сістэма, і што ёй перашкаджае, каб прыцягнуць кіберзлачынцаў да адказнасці.
Рэпарцёры мусяць таксама азнаёміцца з пошукавай сістэмай Shodan search engine, дзякуючы якой неадмыслоўцы могуць шукаць падлучаныя прылады, адкрытыя для інтэрнэту.
Дзяржаўныя ўстановы і кампаніі па кібербяспецы, асабліва апошнія, могуць быць каштоўнымі партнёрамі ў выкрыцці інтэрнэт-злачынцаў або ў крыміналістычнай экспертызе злачынства. Аднак журналісты павінны быць уважлівымі з такімі партнёрствамі і адсочваць іншыя бізнесовыя сувязі кампаніі, каб не ўзнікала канфліктаў інтарэсаў або каб яны не выкарыстоўвалі партнёрства ў сваіх інтарэсах.
Кампаніі, якія займаюцца кібербяспекай, часта з задавальненнем супрацоўнічаюць з журналістамі або іншымі грамадскімі праектамі. Гэта забяспечвае ім добрую рэкламу, таму варта ў матэрыяле асцярожна прапісваць ролю кампаніі ў вашым расследаванні.
Абрабаванне постсавецкага банку
Гэтая гісторыя не была апублікаваная ў газеце, але яе апісала фірма па кібербяспецы Trustwave. Гэтая даследчая праца 2017 года добра дэманструе, як раскрыццё і дэтальнае асвятленне кожнай часткі змовы кіберзлачынцаў можа дапамагчы людзям лепш зразумець гэты складаны лічбавы свет. (Копіі для спампоўвання даступныя па запыце толькі ў Trustwave.)
Уцечка дадзеных кліентаў Equifax
Гэты матэрыял пра масіўную ўцечку дадзеных аднаго з найбуйнейшых у ЗША бюро спажывецкага крэдытавання я рабіла для CNBC. Мне ўдалося пераканаць аналітыка па бяспецы — чалавека, які працуе на невысокай пасадзе, але займае важную пазіцыю — апісаць расчараванне ад пошуку велізарнай колькасці дадзеных, скрадзеных у выніку ўзлому Equifax. У той час як парушэнне было прыпісана Кітаю, скрадзеныя дадзеныя ніколі не з’явіліся ў даркнэце або дзе-небудзь яшчэ, што вельмі незвычайна, бо ўзламаныя дадзеныя такога характару звычайна пазней прадаюцца. Гэты матэрыял не раз цытавалі ў Кангрэсе ЗША на слуханнях пра ўцечку з Equifax і з іншых кампаній.
Гэта класічны артыкул Wall Street Journal пра пакуты сумлення дзяржаўнага службоўца, які дапамог стварыць вядомыя простыя паролі з патрабаваннем «літары, лічбы і сімвала», якія мы ўсе ведаем і ненавідзім. Гэтая гісторыя вельмі дапамагла звязаць праблему кібербяспекі з пункту гледжання канчатковага карыстальніка (як нам усім не падабаецца прыдумляць бясконцыя камбінацыі пароляў) з тым, як мала мы разумеем пра кібербяспеку агулам.
Уздым хакерскага войска Паўночнай Карэі
Вычарпальнае расследаванне, якое выйшла за межы гісторыі аднаго ўзлому. Гісторыя New Yorker апісвае адну з самых буйных кіберзлачынных арганізацый: армію хакераў Паўночнай Карэі, якая спансуецца дзяржавай. Нягледзячы на банальную назву, Галоўнае разведвальнае бюро гэтай краіны (RGB) — гэта шматгаловая гідра, што займаецца усім: пачынаючы ад нападаў праграм-вымагальнікаў да банкаўскіх крадзяжоў ці крадзяжоў крыптавалюты. Мяркуецца, што менавіта яны стаялі за адным з самых дзёрзкіх узломаў у гісторыі — кібератакай на Sony Pictures у 2014 годзе. Згодна са справаздачай Арганізацыі Аб’яднаных Нацый аб незаконнай дзейнасці арганізацыі, глабальныя прыбыткі RGB складаюць 2 мільярды долараў, значная частка з якіх ідзе на праграму ўзбраення паўночнакарэйскай арміі. New Yorker паказвае чытачам, як Галоўнае разведвальнае бюро наймае агентаў і затым ажыццяўляе кіберзлачынствы па ўсім свеце.
Асаблівасць расследавання кіберзлачынстваў складаецца ў тым, што адразу пасля атакі мы наўрад ці атрымаем якую-небудзь інфармацыю пра злачынцаў.
Асноўныя адрозненні паміж традыцыйнай злачыннасцю і кіберзлачыннасцю крыюцца ў трох ключавых напрамках: падабенствы і адрозненіі кіберзлачынцаў і традыцыйных злачынцаў, вызначэнне пацярпелых і праблемы, характэрныя менавіта для кіберзлачынстваў.
У традыцыйных злачынствах, незалежна ад таго, гаворым мы аб парушэннях правілаў дарожнага руху або забойствах, злачынцы звычайна жывуць недалёка ад месца злачынства. Нацыянальнае заканадаўства па-рознаму рэгулюе камунікацыю з абвінавачанымі кіберзлачынцамі, але там, дзе такое магчыма, з боку журналіста было б этычна даведацца пункт гледжання самога злачынцы, незалежна ад таго, наколькі справа значная. У ЗША, дзе людзі лічацца невінаватымі, пакуль іх віна не будзе даказаная ў судзе, журналісты, якія не спрабуюць дагрукацца да абвінавачаных, парушаюць журналісцкія стандарты. Нават простага «без каментарыяў» або «са Смітам не атрымалася звязацца пасля некалькіх спроб», або «адвакат спадарыні Мілер адмовіўся ад каментароў» — будзе дастаткова.
Калі прозвішча падазраванага не называюць, напрыклад, у выпадку гвалту ад злачыннай групоўкі, або ў выпадку расавых злачынстваў, — рэпарцёры звычайна збіраюць інфармацыю пра злачынца ў паліцыі і ў жыхароў раёна, дзе адбылося злачынства.
Але пры асвятленні кіберзлачынстваў такое амаль немагчыма. Многія з гэтых чаканняў не апраўдваюцца. «Абвінавачаным» можа быць кіберзлачынная група, якая хваліцца сваім злачынствам анлайн, або адзін чалавек. Злачынства можа быць здзейснена замежным урадам пад выглядам злачыннай групы або асобы. Злачынцам можа быць шпіён аднаго з гэтых урадаў у арганізацыі, або падлетак з падвала ў Хельсінкі.
Recorded Future, галіновае выданне аднайменнай кампаніі па кібербяспецы, нядаўна распавяло пра выпадак, калі былі арыштаваныя 106 чальцоў італьянскай мафіі ў сувязі з шэрагам кіберзлачынстваў, у тым ліку з падменамі SIM-картаў і кампраметацыямі карпаратыўнай электроннай пошты (Business Email Compromise, BEC). Падмена SIM-карт выкарыстоўваецца, каб перахапіць нумар тэлефона ахвяры, каб прайсці падвойную аўтэнтыфікацыю пры ўваходзе на банкаўскі рахунак і здзейсніць махлярства. Кампраметацыя карпаратыўнай пошты таксама прадугледжвае перакананне ахвяр падманным шляхам перавесці махлярам па электроннай пошце грошы. Па дадзеных ФБР, гэтыя злачынствы часта ўзаемазвязаныя і штогод прыносяць мільярдныя страты бізнесу і прыватным асобам.
Аднак асаблівасць расследавання кіберзлачынстваў у тым, што мы наўрад ці знойдзем якую-небудзь інфармацыю пра злачынца адразу пасля атакі. Могуць спатрэбіцца тыдні, месяцы, а часам і гады, каб вызначыць хаця б краіну, з якой адбылася атака. Гэта стварае некалькі праблем для журналіста, які асвятляе злачынства.
У выпадку, калі злачынца невядомы, журналістам варта памятаць пра наступнае:
Усё пералічанае вельмі ўскладняе журналістам пошук злачынцаў, каб даць ім слова. Аднак я прыйшла да высновы, што значна прасцей пераканаць чалавека, які здзейсніў кіберзлачынства, пагаварыць з вамі і растлумачыць свой пункт гледжання і тое, як злачынства выглядала для яго, чым знайсці ахвяру, якая захоча размаўляць. Што прыводзіць нас да наступнай праблемы.
Паколькі асоба таго, хто здзейсніў кіберзлачынства, спачатку можа быць невызначанай, журналісты часта хутка пераключаюць сваю ўвагу на ахвяру — і гэта часта непрывабная карпарацыя або дзяржаўная ўстанова. І тыя, і іншыя могуць выклікаць на сябе шквал грамадскага абурэння з-за рэальнага або ўяўнага правалу іх сістэмы абароны дадзеных прыватных грамадзян і спажыўцоў.
Тым не менш журналісту важна памятаць, што гэтыя структуры з’яўляюцца ахвярамі, і ў іх працуюць людзі, якія могуць таксама з’яўляцца пацярпелымі ад злачынства. Тэхнічныя супрацоўнікі і супрацоўнікі службы бяспекі кампаніі могуць месяцамі ліквідаваць наступствы атакі, асабліва ў выпадку ўстойлівых шкоднасных праграм або праграм-вымагальнікаў. Тэхнікі і інжынеры пацярпелых кампаній нярэдка паведамляюць пра тое, што змагаюцца з посттраўматычным стрэсавым разладам (ПТСР). Іншыя супрацоўнікі цэлымі днямі спяць наўпрост у сваіх офісах і сутыкаюцца з жорсткім пераследам з боку кліентаў або калег, якія вінавацяць іх асабіста ў тым, што адбылося.
Так, некаторыя кампаніі нядбайна ставяцца да бяспекі, некаторыя дрэнна выбіраюць, куды выдаткаваць грошы і каго наняць на ключавыя пасады ў галіне бяспекі або тэхналогій. Так, некаторыя дзяржаўныя ці некамерцыйныя арганізацыі з’яўляюцца дастаткова бюракратычнымі ў сваім падыходзе да кіравання і абапіраюцца на састарэлыя тэхналогіі. Іншыя кампаніі з’яўляюцца даволі сучаснымі і практыкуюць адказнае кіраванне, але дапускаюць адну памылку — і акурат ёй карыстаецца зламыснік.
У той жа час журналісты пакуль занадта часта сціраюць межы паміж ахвярай і злачынцам такім чынам, што такое было б непрымальна ў асвятленні традыцыйных крымінальных справаў. Расследаваць злачынства хутчэй дапаможа разуменне таго, чаму пэўная ахвяра стала мішэнню. Даследаванне ўразлівасці ахвяры з’яўляецца часткай гэтага працэсу, але яно не павінна закрываць той факт, што злачынства здзейсніў іншы суб’ект.
Рэпарцёрам, якія збіраюцца пісаць пра кібербяспеку, трэба атрымаць уяўленне пра ўсіх нацыянальных і міжнародных гульцоў гэтай гісторыі.
Асвятленне кіберзлачыннасці патрабуе дакладнага дэтальнага падыходу. Нягледзячы на тое, што асоба злачынцы або злачынцаў можа быць адразу невідавочнай, крымінальны элемент усё роўна прысутнічае. Журналіст, які займаецца асвятленнем кіберзлачынстваў, павінен стала збіраць інфармацыю аб асобах, арганізацыях або краінах, якія ўдзельнічаюць у атаках. Гэтак жа, як гэта робяць праваахоўныя органы і следчыя.
Вялікую ролю тут граюць надзейныя крыніцы. Каб зразумець, як адбылася атака, журналісту трэба зрабіць усё магчымае, каб атрымаць максімум фактаў (і нават нязначныя – пра кантэкст) ад людзей, якія знаходзяцца найбліжэй да атакі і якія могуць расказаць, што яна азначае і якія меры рэагавання былі прынятыя. Такія крыніцы вельмі цяжка знайсці. Пераканаць супрацоўніка па бяспецы даць каментар складана з-за таго, што ён магчыма можа парушыць у такім выпадку працоўнае пагадненне. Пераканаць былога супрацоўніка службы бяспекі, які, па ўсёй верагоднасці, імкнецца не звязвацца з журналістамі з-за канфідэнцыйнай інфармацыі, — яшчэ цяжэй.
Але рэпарцёры павінны паспрабаваць вызначыць кола асоб, найбольш блізкіх да атакі, і звязацца з імі. Калі даць каментары могуць выключна знешнія эксперты, якія непасрэдна не ведаюць пра інцыдэнт, можна паразмаўляць са спецыялістамі-практыкамі ў галіне кібербяспекі, а не з тэарэтыкамі і навукоўцамі, якія ніколі не былі «на перадавой». Практыкуючыя спецыялісты ў дадзеным выпадку — гэта супрацоўнікі, якія на працягу апошніх 12 месяцаў выконвалі пэўныя ролі ў сферы кібербяспекі.
Распрацоўванне ўласных крыніц сярод глабальных стэйкхолдэраў мае жыццёва важнае значэнне для пытання кібербяспекі.
Яшчэ адно адрозненне асвятлення кіберзлачынстваў ад крымінальнай журналістыкі палягае ў значэнні знешняга свету ў успрыняцці злачынства. Журналістам варта мець уяўленне пра ўсіх мясцовых і замежных дзейных асоб у гісторыі, тады атрымаецца ўсебакова паказаць чытачам прадмет свайго расследавання.
Добры прыклад: у нядаўнім аналітычным артыкуле аб інцыдэнце з праграмамі-вымагальнікамі ў адным тэхаскім горадзе сярод стэйкхолдэраў апынуліся: Тэхаскі ўніверсітэт (і валанцёры з яго), мясцовыя ўпраўленні ФБР, Сакрэтная служба (паколькі там было махлярства з банкаўскімі пераводамі), Дэпартамент нацыянальнай бяспекі і кампанія па рэагаванні на кіберінцыдэнты, якая базуецца ў Вашынгтоне. Паколькі сама кампанія працавала ў нафтагазавай галіне, а ўладальнікі былі з Саудаўскай Аравіі, адтуль таксама прыехалі следчыя. Яны выявілі недахопы ў пэўным праграмным забеспячэнні для кіравання працэсамі, створаным у Францыі. Гэта стала стымулам для ЕЗ пачаць расследаванне разам з Нацыянальным агенцтвам кібербяспекі Францыі. У выніку гэты, на першы позірк, лакальны ўзлом на Паўднёвым Захадзе ЗША выявіў прабелы ў нацыянальнай бяспецы і ў ЗША, і ў Саудаўскай Аравіі, і ў Еўропе, ды і ў любой краіне або кампаніі, якая выкарыстоўвае гэта французскае праграмнае забеспячэнне.
Мая апошняя парада: знаходжанне крыніц сярод глабальных стэйкхолдэраў мае жыццёва важнае значэнне для пытання кібербяспекі. Я дагэтуль шкадую, што недастаткова асвятліла тэму, якая звязаная з розніцай паміж хакерствам падчас выбарчай кампаніі кандыдата ў прэзідэнты ЗША Хілары Клінтан у 2016 годзе і цяперашняга прэзідэнта Францыі Эмануэля Макрона, чыя кампанія адбылася годам пазней. Нягледзячы на тое, што мы шмат ведаем пра расійскае ўмяшальніцтва ў кампанію 2016 году ў ЗША, мы так і не пабачылі поўнай карціны пра тое, як расійцы не змаглі эфектыўна нашкодзіць кампаніі Макрона, які ў выніку перамог на прэзідэнцкіх выбарах у Францыі.
Шмат у чым гэта звязана з інтрыгуючымі і наватарскімі метадамі, якія выкарыстоўваў кіраўнік аддзела кібербяспекі Макрона, каб прадбачыць расійскую дэзінфармацыю і актыўна на яе рэагаваць. Напрыклад, у электронных лістах рассылалась шмат ілжывай інфармацыі, таму што адбылася кібератака, пра якую штаб Макрона ўжо ведаў, і гэта дало ім магчымасць лёгка супрацьстаяць усёй расійскай аперацыі.
Калі б мне ўдалося наладзіць больш глыбокія адносіны з французскім урадам і штабам Макрона, я магла б стварыць больш разгорнуты матэрыял пра памылкі, якія былі зробленыя ў ЗША ў забеспячэнні бяспекі выбараў, і якія не трэба паўтараць. Магчыма, хтосьці з вас, хто цяпер чытае гэты тэкст, напіша такі матэрыял.
Кожны тыдзень атрымлівай на пошту: якасныя магчымасці (гранты, вакансіі, конкурсы, стыпендыі), анонсы івэнтаў (лекцыі, дыскусіі, прэзентацыі, прэс-канферэнцыі) і карысны кантэнт