Ghidul reporterului pentru investigarea crimei organizate: Criminalitatea cibernetică

Acest capitol, care se focusează pe criminalitatea cibernetică și investigarea pe dark web, a fost scris de Kate Fazzini, o reporteră de tehnologie care reflectă tematica securității cibernetice pentru rețeaua americană de televiziune prin cablu CNBC. 

Criminalitatea cibernetică este orice activitate infracțională comisă într-un spațiu digital. Deseori credem că criminalitatea cibernetică are definiția clasică de „hacker”, care în acest context se referă la conectarea neautorizată la mediul digital, totuși, există mai multe tipuri de infracțiuni, inclusiv infracțiuni fizice care se extind în lumea digitală.

Traficul de pornografie infantilă, insiderul bancar care modifică baza de date a bancomatului pentru a retrage ilicit fonduri, furtul codului sursă: toate aceste infracțiuni se încadrează în categoria infracțiunilor „cibernetice”. Crima cibernetică, atunci când este comisă cu succes, încalcă adesea viața privată. De exemplu, atunci când o companie a criptat necorespunzător informațiile cu caracter personal și datele sunt furate, asta e o încălcare a vieții private a consumatorilor comisă de companie și o infracțiune cibernetică comisă de persoanele care au furat datele.

Una dintre resursele cele mai valoroase în jurnalismul de securitate cibernetică este baza de date juridică americană PACER.

Pierderile financiare în urma criminalității cibernetice sunt astronomice și foarte dificil de prezis sau de calculat. Investitorul și miliardarul Warren Buffett a comentat în trecut că își gestionează afacerile în așa fel încât să evite piața asigurărilor cibernetice, deoarece nu există suficiente date pentru a prognoza câți bani ar putea fi pierduți. Acest risc greu de evaluat contrastează puternic cu înțelegerea altor tipuri de pierderi financiare cauzate de dezastrele naturale, cum ar fi uraganele sau inundațiile, de alte activități infracționale, cum ar fi jafurile bancare sau sabotajul fizic. Estimările aproximative din diverse surse, inclusiv McAfee, Cybersecurity Ventures, Sans Institute și FBI, indică daune de trilioane de dolari aduse guvernelor și mediului de afaceri ca urmare a criminalității cibernetice.

În pofida acestei schimbări evidente și rapide a agendei noastre de securitate, lumea interlopă în domeniul securității cibernetice este structurată surprinzător de asemănător cu modul în care este structurată lumea corporativă. „Start-up-urile” criminale ale bandelor mici care sunt slab conectate din punct de vedere geografic sau al interesului comun, pot prospera, fura unelte unul de la altul, pot concura și colabora, toate cu o agilitate și o ambiție comparabile cu cele din Silicon Valley. Jucătorii mai mari din lumea interlopă încearcă să unească interesele criminale din Asia, Europa, Africa și din  cele două Americi, folosind conducerea centralizată, recrutorii criminali care se comportă ca directorii de resurse umane și chiar versiuni surrealiste ale birourilor de asistență pentru clienți, la care victimele apelează pentru a învăța cum să obțină un portofel Bitcoin, pentru a-l folosi în plățile de răscumpărare.

O mare parte din această activitate ilicită provine sau are loc pe ceea ce a fost numit „dark web”, un nivel ascuns al web-ului, de obicei accesibil doar prin intermediul browser-ului Tor. Pe dark web oricând puteți „aplica” pentru locuri vacante de operator de bot de răscumpărare (ransomware),  de șofer Uber care spală banii proveniți din câștigurile cibernetice ilicite cu curse false sau pentru funcția de „catâr” de bani – curier care folosește un card bancar fals pentru a extrage fraudulos numerar din bancomate.

Potențiale surse 

• Cercetătorii academici. O serie de centre universitare monitorizează și urmăresc atacurile online și pot oferi indici utili în cazuri specifice. Carnegie Mellon este cea mai renumită dintre acestea în Statele Unite și este reședința Computer Emergency Response Team (CERT), care este responsabilă pentru emiterea alertelor critice de vulnerabilitate. Universitatea Cambridge din Marea Britanie are și ea un centru de criminalitate cibernetică.
  
• Companiile de securitate cibernetică. Companii precum McAfee, Crowdstrike, Carbon Black, FireEye și marii furnizori de servicii cloud ca Amazon, Microsoft și Google au multe echipe de criminaliști care monitorizează cele mai recente atacuri. Este mult mai ușor de angajat una dintre aceste companii, pentru a discuta despre tipurile de atacuri pe care acestea le cunosc. Rețineți, totuși, că ele au interese comerciale în aceste afaceri. Acest lucru nu înseamnă că nu sunt experți, dar țineți minte că pot exista conflicte de interese care le pot denatura obiectivitatea. Acesta este motivul pentru care este întotdeauna important să vă adresați personalului de securitate cibernetică de la companiile care au fost atacate, pentru a vă completa înțelegerea a ceea ce s-a întâmplat. Aceste surse pot fi mult mai dificil de găsit, dar oferă o perspectivă importantă relatărilor dvs.
  
• Oficialii guvernamentali. Doar în SUA, cel puțin 20 de departamente și agenții federale au personal dedicat criminalității cibernetice. Agenția pentru Securitate Cibernetică și Infrastructură (CISA) a Departamentului pentru Securitate Internă este probabil cea mai prietenoasă cu presa, având o misiune activă de a implica publicul. Departamentul de combatere a criminalității informatice al FBI produce statistici valoroase și imparțiale, care pot ajuta la completarea articolelor cu informații concrete, imparțiale despre atacurile cibernetice și costul acestora. Serviciul Secret al SUA și Departamentul de Trezorerie al SUA sunt alte surse de luat în considerare. Agențiile guvernamentale similare din țările din întreaga lume ar putea, de asemenea, să vă fie de folos. În Marea Britanie, Centrul Național de Securitate Cibernetică are o echipă de presă care lucrează cu jurnaliștii. Europol are propriul centru european de combatere a criminalității cibernetice. În Japonia, Centrul Național de Prevenire și Politici Strategice în domeniul Securității Cibernetice (NISC) a anunțat recent că înființează un birou dedicat, pentru a face față criminalității cibernetice. ONU are un program de combatere a criminalității cibernetice, ca parte a Biroului său pentru droguri și criminalitate.
  
• Victimele. Victime ale criminalității cibernetice pot fi nu doar persoane în parte, dar și diferite instituții, facțiuni, guverne, platforme social media etc. Este foarte important de interacționat cu ele pentru a discuta despre experiența lor privitor la atacurile cibernetice. La fel, toate relatările privind un atac cibernetic ar trebui să includă o rugăminte către victime de a comenta atacul și/sau o explicație, în caz de refuz, a motivului pentru care ele au refuzat să comenteze. Rețineți că primele impresii despre amploarea și daunele cauzate de un atac cibernetic pot fi înșelătoare. Din experiența mea, se întâmplă frecvent ca un incident care poate părea grav la început, să nu fie periculos pentru corporație, în timp ce altele care inițial par inofensive, să fie extrem de prejudicioase.

Sfaturi & Instrumente

Deoarece multe atacuri cibernetice ajung în sălile de judecată din SUA – fie ca proceduri penale, fie ca procese civile – una dintre cele mai valoroase resurse în jurnalismul de securitate cibernetică este baza de date juridică americană PACER (taxele se aplică în dependență de documentele căutate), un acronim pentru „Accesul public la înregistrările electronice ale instanțelor”. Citirea dosarelor juridice, în special a acuzațiilor privind infractorii cibernetici interni sau străini, poate oferi o imagine clară a atacurilor cibernetice și poate evidenția, de asemenea, limitele cadrelor juridice existente în urmărirea penală a acestora. Reporterii ar trebui, de asemenea, să se familiarizeze cu motorul de căutare Shodan, prin care nespecialiștii pot căuta dispozitive conectate care sunt deschise internetului.

Agențiile guvernamentale și companiile de securitate cibernetică, în special cele din urmă, pot fi parteneri valoroși în demascarea infractorilor online sau în examinarea criminalistică a unei infracțiuni. Jurnaliștii ar trebui să aibă grijă să monitorizeze aceste relații, verificând dacă sursele lor nu au alte legături de afaceri sau conflicte de interese, pentru a evita obținerea informațiilor false. Companiile de securitate cibernetică sunt adesea bucuroase să coopereze cu jurnaliștii sau cu alte structuri de servicii publice, deoarece acestea le oferă o bună publicitate. În acest sens, ar trebui să aveți grijă să reflectați, de asemenea, rolul respectivelor companii în oricare dintre reportajele dvs.

Studii de caz

Jaful unor bănci post-sovietice

Această istorie nu a fost publicată în ziare, dar a fost descrisă de o companie de cercetare în domeniul securității cibernetice numită „Trustwave”. În această lucrare de cercetare, realizată în 2017, se arată clar felul în care reflectarea detaliată și relatarea fiecărei părți a unei conspirații criminale cibernetice îi poate ajuta pe oameni să înțeleagă mai bine această complexă lume digitală (copii ce pot fi descărcate on-line sunt disponibile la cerere doar la Trustwave).

Încălcarea securității datelor consumatorilor Equifax

Acest material despre încălcarea masivă a securității datelor de către unul dintre cele mai mari birouri de credit de consum din SUA l-am realizat pentru CNBC. Am reușit să conving un analist de securitate – o persoană care lucra la o „poziție joasă”, dar avea un rol practic și critic – să descrie frustrările căutării volumului enorm de date furate din Equifax. În timp ce frauda a fost atribuită Chinei, datele furate nu au fost găsite nici pe dark web, nici în altă parte, ceea ce este oarecum neobișnuit: datele furate de așa natură sunt vândute într-un anumit mod mai târziu. Această istorie a fost citată deseori de legislatori în audierile Congresului SUA privind Equifax și alte infracțiuni.

Istoria cu parolele NIST

Acest material este un longread clasic Wall Street Journal despre regretele unui angajat guvernamental care a ajutat la crearea cerințelor de parolă pe care le cunoaștem și le detestăm cu toții – literă, număr și simbol. Această istorie a fost foarte importantă pentru a lega problema securității cibernetice din perspectiva unui utilizator final, așa cum ne place la toți să venim cu combinații nesfârșite de parole, cu scenariul de ansamblu despre cât de puțin noi înțelegem despre securitatea cibernetică în general.

Ascensiunea armatei de hackeri a Coreei de Nord

O investigație amplă care a analizat nu doar originile unei singure spargeri de date, dar a reflectat într-un articol din New Yorker dosarul uneia din cele mai mari organizații criminale cibernetice din lume: armata de hackeri nord-coreeni sponsorizată de stat. În pofida numelui său înșelător de banal –  Biroul General de Recunoaștere al Coreei de Nord, aceasta este o fiară cu mai multe capete care se ocupă cu de toate: de la atacuri cibernetice de răscumpărare (ransomware), jafuri bancare, până la furturi de criptomonedă. Se presupune că acest birou se află în spatele uneia dintre cele mai îndrăznețe spargeri de date din istorie – atacul asupra Sony Pictures din 2014.

Un raport al Organizației Națiunilor Unite privind activitățile ilicite ale acestei organizații estimează pierderile globale produse la 2 miliarde de dolari, dintre care o mare parte este folosită pentru programul de dezvoltare a armelor al armatei nord-coreene. Apoi New Yorker îi duce pe cititori în culise, la felul cum Biroul General de Recunoaștere al Coreei de Nord recrutează agenți și, în cele din urmă, își desfășoară operațiunile sale criminale cibernetice în întreaga lume.

Strategii de investigare

Investigațiile criminale cibernetice sunt de așa natură, că este puțin probabil să aflăm imediat după atac careva informație despre atacator.

Principalele diferențe între criminalitatea tradițională și cea cibernetică sunt în trei domenii-cheie: modul în care infractorii cibernetici se compară cu cei tradiționali, modul în care sunt definite victimele criminalității cibernetice și modul în care apar cele mai critice probleme emergente ale criminalității cibernetice comparativ cu cele ale criminalității tradiționale.

Criminalii

În criminalitatea tradițională – fie că vorbim despre încălcări ale traficului rutier sau omucidere – criminalii trăiesc, de obicei, aproape de locul crimei. Legislațiile naționale diferă însă atunci când vine vorba despre accesul la criminalii cibernetici acuzați, dar atunci când este posibil, ar fi etic ca jurnaliștii să obțină punctul de vedere al criminalului, indiferent cât de nesemnificativ este cazul. În SUA, unde oamenii sunt considerați nevinovați până la proba contrarie, jurnaliștii care nu încearcă să ajungă la acuzați comit malpraxis. Chiar și un „niciun comentariu” sau „Domnul Smith nu a putut fi găsit după mai multe încercări”, sau „avocatul dnei Miller a refuzat să comenteze” va fi suficient.

În cazul în care numele suspectului nu e numit, cum ar fi în cazul banditismului sau al infracțiunilor rasiale, atunci reporterii trebuie să obțină informații despre infractor de la poliție și de la comunitatea în care a avut loc infracțiunea.

În reflectarea criminalității cibernetice aceste oportunități apar rar. Multe dintre aceste așteptări nu se adeveresc. „Acuzatul” poate fi un grup de criminali cibernetici care se laudă cu o crimă online sau poate fi o persoană fizică. Crima poate fi săvârșită de un guvern străin sub auspiciile unui grup infracțional proxy sau al unei persoane fizice. Crima poate fi comisă de un spion din cadrul unei organizații ce aparține unuia dintre aceste guverne sau poate fi lansată de un adolescent dintr-un subsol din Helsinki.

Recorded Future – o publicație a unei companii de securitate cibernetică cu același nume, a evidențiat recent un caz în care 106 membri ai mafiei italiene au fost arestați în legătură cu o serie de activități de criminalitate cibernetică, inclusiv legate de schimbarea cartelelor SIM și schemele de compromitere a e-mailurilor de afaceri (BEC). Schimbarea cartelei SIM implică utilizarea frauduloasă a cartelelor SIM pentru a schimba identitatea telefonului, a obține factorul al doilea de autentificare și a scoate ilicit banii victimei din bancă, în timp ce compromiterea e-mailurilor de afaceri (BEC) implică, printre altele, convingerea victimelor să transfere criminalilor fonduri prin e-mail. Aceste crime sunt adesea interconectate și duc la pierderi de miliarde de dolari în fiecare an, atât pentru persoanele juridice, cât și pentru cele fizice, potrivit FBI.

Investigațiile criminale cibernetice sunt de așa natură, că este puțin probabil să aflăm imediat după atac informații despre atacator. Poate dura săptămâni, luni sau uneori ani pentru a identifica doar țara din care a pornit atacul. Acest lucru prezintă mai multe provocări pentru un jurnalist care investighează crima. Atunci când se confruntă cu ambiguitatea criminalului, jurnaliștii ar trebui să fie atenți la următoarele:

• Investigațiile cibernetice sunt foarte departe de a fi o știință exactă. Afirmațiile anchetatorilor sau experților, potrivit cărora în crimă ar fi fost implicat un anumit criminal – fie că e un organ de stat, un grup de „hackeri” sau o persoană, sunt adesea greșite, mai ales atunci când se fac imediat după incident. Aceste afirmații ar trebui tratate cu prudență.
  
• Infractorii cibernetici folosesc mai multe straturi pentru a-și masca identitățile, în special în timpul atacurilor sofisticate. Informațiile inițiale despre un hacker suspectat de infracțiune ar trebui tratate ca o posibilă cale greșită. Reporterii ar trebui să aibă grijă să informeze publicul cu privire la durata preconizată a investigației.

Acest lucru face ca partea penală a ecuației crimei cibernetice să fie extrem de dificilă. Cu toate acestea, am constatat că este mult mai ușor să convingi pe cineva care a comis o infracțiune cibernetică să vorbească cu tine, să-și explice punctul de vedere și cum arată comiterea infracțiunii din punctul lui de vedere, decât să găsești o victimă dispusă să vorbească, fapt ce ne conduce spre următoarea noastră problemă.

Victimele

Deoarece identitatea autorului unei crime cibernetice poate să nu fie clară la început, jurnaliștii își redirecționează rapid atenția către victimă – adesea ea fiind o corporație neatrăgătoare sau o agenție guvernamentală, ambele putând să sufere în urma protestelor publice din cauza lacunelor pe care le au în protecția datelor reale sau percepute ale cetățenilor privați sau ale consumatorilor.

Cu toate acestea, este important ca un jurnalist să rețină faptul că aceste entități sunt totuși victime și în ele lucrează persoane care ar putea fi afectate de crimă. Angajații din departamentele de tehnologie și securitate ale unei companii care a fost atacată pot petrece luni de zile pentru a remedia un atac, în special în cazul malware-ului persistent sau al ransomware-ului. Inginerii și tehnicienii companiilor victime au raportat tulburări de stres post-traumatic (PTSD). Alții dorm în birourile lor zile în șir și se confruntă cu hărțuirea vicioasă din partea clienților sau a colegilor care îi învinovățesc personal pentru atac.

Este adevărat, unele companii sunt neglijente în ceea ce privește securitatea, iar unele fac alegeri proaste cu privire la modul în care decid să-și cheltuiască banii și pe cine să angajeze pentru roluri cheie în departamentele de securitate și tehnologie. În același timp, unele organizații guvernamentale și non-profit sunt greoaie în abordarea lor de management și se bazează pe tehnologii învechite. Altele sunt destul de moderne și practică un management responsabil, dar fac o singură eroare și infractorul se folosește de aceasta.

Cu toate acestea, jurnaliștii încă estompează prea des granița dintre victimă și agresor într-o măsură care nu ar fi acceptabilă în jurnalistica criminală tradițională. Înțelegerea victimei și a motivului pentru care ea a fost supusă atacului ne poate ajuta să înțelegem crima. Examinarea vulnerabilităților victimei face parte din acest proces, dar asta nu ar trebui să ascundă faptul că totuși o altă parte a comis infracțiunea.

Reporterii care realizează un material jurnalistic privind securitatea cibernetică trebuie să înțeleagă cine sunt actorii naționali și internaționali implicați.

Prin urmare, reportajele cu privire la criminalitatea cibernetică necesită o abordare deosebit de meticuloasă. Deși identitatea criminalului sau a criminalilor poate să nu fie evidentă, dar crima totuși rămâne crimă. Obținerea informației despre persoana, entitatea sau țara implicată în atac ar trebui să fie o responsabilitate permanentă a unui jurnalist de investigare a criminalității cibernetice, la fel ca și pentru autoritățile de aplicare a legii și pentru alți investigatori.

Aici este foarte importantă sursa solidă de informații. Pentru a înțelege cum a avut loc o infracțiune, reporterii ar trebui să facă tot posibilul să obțină detalii, chiar și cele mai mici, de la persoanele care sunt cele mai apropiate de infracțiune și care pot explica ce a însemnat infracțiunea și ce măsuri au fost luate după săvârșirea ei. Aceste surse sunt foarte greu de găsit. Este dificil să convingi un angajat să încalce un contract de muncă pentru a vorbi despre infracțiune, dar este și mai greu să convingi un angajat experimentat din securitate, care cel mai probabil va evita să comunice cu jurnaliștii în privința informațiilor confidențiale.

Reporterii ar trebui să depună eforturi pentru a stabili cercul celor mai apropiate de infracțiune persoane și să ia legătura cu ele. Dacă singurii experți disponibili pentru comentarii sunt din exterior, care nu cunosc direct incidentul, reporterii ar trebui să aleagă preferențial practicieni în domeniul securității cibernetice și nu teoreticieni sau academicieni care nu au avut cazuri practice. Practicieni, în astfel de cazuri, pot fi considerați specialiștii care au avut roluri practice în securitatea cibernetică în ultimele 12 luni.

„Pentru investigarea criminalității cibernetice este vitală cultivarea surselor de informație în cadrul părților interesate (stakeholders) la nivel mondial.”

Lumea externă 

Un alt aspect în care reflectarea securității cibernetice diferă față de reflectarea infracțiunilor tradiționale este importanța relativă a lumii externe pentru modul în care este percepută o anumită infracțiune.

Reporterii care realizează un material jurnalistic privind securitatea cibernetică trebuie să înțeleagă cine sunt actorii naționali și internaționali implicați, pentru a oferi cititorilor o înțelegere deplină a subiectului.

Un exemplu bun: în reportajul recent de analiză și expertiză a unui incident ransomware dintr-un oraș din Texas, printre stakeholders au fost universitatea din Texas (inclusiv voluntari ), birourile locale FBI, Serviciul Secret (din motivul prezenței în acest caz a fraudelor cu transferuri bancare), Departamentul pentru Securitate Internă și o companie de reacție la incidente cibernetice cu sediul în Washington, DC. Pentru că această companie era implicată în industria de petrol și gaze și era deținută de Arabia Saudită, această țară a trimis și ea anchetatori. Echipa saudită a descoperit deficiențe într-un anumit software de inginerie a proceselor creat în Franța, determinând UE să înceapă investigațiile, împreună cu Agenția Națională pentru Securitate Cibernetică a guvernului francez. Ca urmare, acest incident cibernetic, aparent izolat în sud-vestul SUA, a declanșat probleme de securitate națională atât în SUA, cât și în Arabia Saudită, precum și în orice altă țară sau companie care utilizează acest software francez.

Ultimul meu sfat:  cultivarea surselor în cadrul părților interesate (stakeholders) globale este vitală pentru problema securității cibernetice. Regret până acum că nu am reflectat mai bine diferențele dintre spargerea de date în timpul prezidențialelor americane cu Hillary Clinton din 2016 și cea din timpul alegerii actualului președinte francez, Emmanuel Macron, a cărui campanie a fost un an mai târziu. Deși știm multe despre infiltrarea rusă în prima din aceste două campanii, nu am avut niciodată istoria completă a modului în care rușii au încercat, dar nu au reușit să dăuneze efectiv campaniei lui Macron, care a câștigat președinția franceză.

O mare parte din această istorie are legătură cu tehnicile interesante și inovative folosite de șeful securității cibernetice a lui Macron pentru a anticipa dezinformarea rusă și pentru a răspunde proactiv la aceasta. Respectivele tehnici au inclus distribuirea de informații false pe e-mailuri, despre care stafful de campanie al lui Macron știa că sunt deja sparte și, astfel, a putut să nege public cu ușurință întreaga operațiune. Dacă aș fi reușit să cultiv relații mai profunde în cadrul guvernului francez și al oficiului campaniei electorale, aș fi reușit să creez o istorie mai deplină despre greșelile făcute de SUA în securitatea electorală care nu trebuie să se repete. Poate că unul dintre voi o va scrie.

Vezi și:

• Ghidul reporterului pentru investigarea crimei organizate: Spălarea banilor și criminalitatea financiară – Ziarul de Gardă (zdg.md)
• Dezvăluirea activelor. Cum pot găsi jurnaliștii din R. Moldova proprietățile ascunse ale funcționarilor. Sfaturi practice