Ptejte se Aleše Padrty, vedoucího forenzní laboratoře FLAB sdružení CESNET

V rozhovoru odpovídá

• 

  Ing. Aleš Padrta, PhD.

  (vedoucí Forenzní laboratoře CESNET)

  V současné době pracuje ve sdružení CESNET, z. s. p. o. jako vedoucí forenzní laboratoře FLAB. Vystudoval kybernetiku se zaměřením na umělou inteligenci, kde se věnoval rozpoznávání obrazu a expertním systémům pro rozpoznávání řečníka. Bezpečnosti v IT se věnuje od roku 2005, kdy začínal na pozici bezpečnostního správce a správce služby DNS na Západočeské univerzitě v Plzni. Zde také zakládá bezpečnostní tým WEBnet Incident Response Team a následně zahajuje spolupráci s CESNET-CERTS, která jej zanedlouho přivádí do sdružení CESNET, z. s. p. o. Kromě vedení forenzní laboratoře a řešení analýz se také věnuje výzkumné, vzdělávací a publikační činnosti.

Dotazy

• Ptá se Luboš

  Jak se změnila počítačová bezpečnost za posledních deset let? Jsou útočníci chytřejší než dříve?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  útočníci jsou z mého pohledu pořád stejní - pořád existují v celém spektru od začátečníků až po experty. Za posledních deset let se jim ale výrazně zvýšil počet možných cílů, tak je o nich také více slyšet.

  A.P.

• Ptá se zvedavec

  Zajímalo by mě, jak vypadá běžný den analytika FLAB. Používáte na analýzu své vlastní nastroje, nebo používáte komerční nastroje typu Ida pro, Ghidra?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  to hodně záleží na zakázce, na které analytik zrovna pracuje a v jaké části její realizace se nachází - předpokládejme tedy, že pokračuje v rozpracované analýze napadeného zařízení.

  Přijde do práce, vyřídí e-maily, podívá se na výsledky nástrojů, které spustil předchozí den (např. takové zpracování disku může trvat hodiny až dny, podle velikosti) a prodiskutuje výsledky s kolegy. Následně potvrdí/zamítne dříve vymyšlené hypotézy o průběhu napadení a také se objeví další hypotézy, které se následně snaží ověřit. Píše si poznámky, co dělal a jaký to mělo výsledek a obvykle si k tomu kreslí schémata pro zachycení skutečnosti co z čeho vyplývá a jak na to přišel. Sděluje zákazníkovi mezivýsledky, které by ho mohly zajímat. Jde na oběd a cestou přemýšlí, kde by se mohly nacházet informace potvrzující některou z nevypořádaných hypotéz. Nachází několik slepých uliček a několik slibných. Hledá informace na Internetu, s pomocí dynamické analýzy provádí pokusy s nalezeným malwarem, zahajuje reverzní analýzu. Cestou domů, při čekání na zelenou na semaforu, přichází na další možné řešení a doma vzdáleně spouští příslušný nástroj, aby si to ověřil. Usíná a zdají se mu sny v assembleru.

  Pro analýzu používáme komerční nástroje, opensourcové a také naše vlastní (obvykle ve formě skriptů).

  A.P.

• Ptá se Petr

  Jak dlouho zpravidla trvá analýza jednoho malware?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  to samozřejmě záleží na konkrétním vzorku a na informacích, které je potřeba analýzou získat. Například určení indikátorů kompromitace je otázka hodin až dní, zatímco kompletní reverzní analýza je práce na týdny.

  A.P.

• Ptá se Lukáš

  Jaká je objasněnost kybernetických útoků? Dostávají se skuteční pachatelé před soud?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  z pohledu naší laboratoře to nejsem schopný říct, protože naše práce končí odpověďmi na položené otázky a jejich zdůvodnění (doložení cesty od analyzovaných podkladů k odpovědi). Další právní kroky si řeší zákazník samostatně.

  Z veřejně dostupných informací vyplývá, že se část kyberkrminálníků dočká zaslouženého trestu, ale vzhledem k celkovému počtu (podle statistik PČR se blíží k 10 000 hlášeným případům ročně) to nevypadá moc povzbudivě. Základní provlém je, že spáchat kyberkriminální čin zabere třeba i pár minut zatímco jeho vyšetření a potrestání výrazně déle.

  A.P.

• Ptá se Rastislav

  Proč v mnoha organizacích, kde je povinný antivirus na Windows, nejsou stejná pravidla vyžadovaná na Linuxu, macOS nebo mobilních zařízeních? Jaký AV byste na tato zařízení doporučil?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  to by měl být důsledek analýzy rizik v jednotlivých organizacích - zřejmě vyhodnotili, že na OS Windows je riziko výskytu malware nebo dopady takového výskytu vyšší než u jiných OS - obvykle to také zavisí na počtu zařízení v organizaci, typu práce a složení uživatelů, kteří s nimi pracují.

  Dnes už bývá antivirus součástí většího celku, obvykle označovaného jako "Endpoint Security", které obsahuje také firewall, pomáhá identifikovat závadné webové stránky, snaží se detekovat ransomware na základě nadměrného šifrovnání souborů, přebírá kontrolu na zabudovanou kamerou, apod. Takže výběr vhodného řešení záleží na konkrétních potřebách organizace nebo uživatele.

  Já bych nerad dělal reklamu konkrétnímu produktu, ale když si vyhledáte top10 endpoint security řešení, tak ve většině žebříčků se v různém pořadí opakují stále ti stejní výrobci. Dnes je skoro standardně v nabídce verze pro OS Windows, GNU/Linux, macOS i mobilní zařízení. Pak si stačí vybrat podle uživatelské přívětivosti a ceny.

  A.P.

• Ptá se Čuba

  Jaký je přibližně poměr placených a open-source nástrojů, které používáte ve své práci? Nějaké doporučení na zajímavý open source?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  komerční nástroje máme v jednotkách kusů, ale jsou to multifunkční nástroje s obrovskými možnostmi, opensource nástrojů jsou desítky, ale zase obvykle mají jen jednu nebo několik málo funkcí. Zajímavý je například INetSim (simulace Internetu pro dynamickou analýzu malware) nebo CaptureBAT (nástroj pro behaviorální analýzu aplikací).

  A.P.

• Ptá se Miriam

  Jsou vysoké školy častým terčem útoků? Zaměřují se na ně útočníci nějak cíleně?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  vysoké školy - z informací, které mám k dispozici - na tom jsou zhruba stejně jako jiné organizace, tj. drtivá většina útoků není nijak cílená a teprve po úspěšném průniku se útočník může (někdy) zaradovat, co že se mu to povedlo za úlovek a přizpůsobí tomu další kroky. Určitá cílenost je vidět například na phishingových kampaních, kdy je zasílaná zpráva i přihlašovací stránka připravena na míru.

  A.P.

• Ptá se Jonáš

  Byl někdy váš klient napaden skrze IoT zařízení? Jaké zařízení to bylo?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  IoT zařízení zatím nebylo součástí žádného námi analyzovaného případu.

  A.P.

• Ptá se Jozef

  Jak se lze stát členem bezpečnostního týmu CESNET? Jaké jsou kladeny požadavky na uchazeče?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  aby nedošlo k mýlce, na úvod bych upřesnil, že sdružení CESNET provozuje bezpečnostní tým CESNET-CERTS a naše laboratoř je součást tohoto týmu (tj. podmnožina). Takže máme dvě různé skupiny požadavků - na obecný bezpečnostní tým a na relativně úzce specializovanou forenzní laboratoř.

  Ideální zájemce o práce ve Forenzní laboratoři má zkušenosti se správou serverů a služeb, má přehled o fungování operačních systémů a sítí, umí programovat, jsou mu blízké bezpečnostní principy a rámcově zná práci bezpečnostních týmů typu CSIRT. Koneckonců, můžete si vyzkoušet naši náborovou hru, kterou jsme používali při minulém rozšiřování týmu a kterou najdte na adrese https://flab.cesnet.cz/game Kromě znalostí musí mít zájemce chuť pracovat a pořád se něco učit a komunikovat s lidmi, musí být samostatný a zodpovědný. Pokud uchazeče při pohovoru vyhodnotíme jako perspektivního, nemusí mít úplně všechny uvedené znalosti.

  CESNET-CERTS se zabývá více oblastmi a záleží k jaké specializaci se dostanete. Aktuálně má náš bezpečností tým dokonce volnou pozici, na kterou se ptáte: https://www.cesnet.cz/sdruzeni/kariera/clen-bezpecnostniho-tymu-cesnet-certs-2/ Zde jsou vstupní (!) požadavky trochu nižsí - orientace v linuxovém prostředí, v základech programování a skriptování, ve správě sítě, dále samostatnost, zodpovědnost a ochota k dalšímu vzdělávání.

  Pokud občas pociťujete sebedestruktivní touhu pomáhat lidem, případně zachraňovat svět, tak je pro vás členství v bezpečnostním týmu to pravé ;-).

  A.P.

• Ptá se Petr

  Chápu, že nemůžete uvádět (NDA) žádné detaily, ale alespoň náznakem - jakž nejsložitější případ jste řešili?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  zatím nejnáročnější byl případ napadeného výrobního provozu, kdy jsme analyzovali několik napadených zařízení současně. Byl to poměrně velký objem dat ke zpracování a také čas hrál kritickou roli (pro bezpečnou obnovu provozu).

  A.P.

• Ptá se John

  Zaznamenáváte bezpečnostní incidenty na mobilních telefonech? Je podle vašich zkušeností bezpečnější Android nebo iOS?

  Odpovídá Ing. Aleš Padrta, PhD.

  Dobrý den,
  přímo v naší laboratoři se analýzou mobilních telefonů nezabýváme, protože na to nemáme vybavení (obsáhnout všechny oblasti pro forenzní analýzu zvládají pouze ty největší laboratoře). O několika incidentech s mobilními telefony vím, tam vždy bylo příčinou chování uživatele.

  Statistiky vypovídající vzorek pro porovnání Androidu s iOS nemám, nicméně se můžeme podívat na obecné vlastnosti obou systémů. Android je opensource a je rozšířen na výrazně více zařízeních než iOS a současně jej používá více výrobců telefonů, kteří si přidávají vlastní součásti a také přistupují různě kvalitně k aktualizacím během životnosti telefonu, dále pro Android vzniká velké množství aplikací, které nejsou precizně kontrolovány. Na druhou stranu iOS je uzavřený, je na zařízeních jednoho výrobce, který navíc přesvědčil své zákazníky, že iTelefony je potřeba měnit často a také ostřeji dohlíží na svůj obchod s aplikacemi.

  Útočník chce maximalizovat svůj zisk při stejné práci, takže je pro něj snazší se zaměřit na rozšířenejší systém, jehož kód může volně získat, u kterého je větší pravděpodobnost, že nebude aktualizovaný a kde je větší pravděpodobnost, že se podaří k uživateli dostat závadnou aplikaci. Takže kvůli způsobu používání má Android horší bezpečnostní pozici, ale z technického hlediska (počet zranitelností) nemusí být mezi iOS a Android výraznější rozdíl.

  A.P.