Od czasu opublikowania pierwszej części artykułu miałem możliwość przemyślenia  i przedyskutowania moich poglądów na temat profilowania hakerów.

W związku z tym i obecnie wykonywaną pracą chciałbym zastrzec, że prezentowane poniżej uwagi są wyłącznie opinią autora i nie powinny być łączone z jakąkolwiek instytucją.

Pozostaje aktualnym stwierdzenie, że w Polsce w dalszym ciągu profilowanie jest zagadnieniem, o którym można poczytać w literaturze popularnej, np. Katarzyna Bonda w cyklu Cztery Żywioły profilerkę Saszę Załuską uczyniła swoją bohaterką, ale z takim prawdziwym żywym exemplum ciężko się zetknąć na co dzień.

Niniejsza treść jest kontynuacją artykułu „Profilowanie hakerów

Czy potrzebujemy profilerów?

Osobiście zainteresowany jestem profilowaniem hakerów, a pozostałe kwestie związane z profilowaniem, jakkolwiek bardzo ciekawe pozostawiam poza polem rozważań. Miałem przyjemność uczestniczyć w ciekawej konferencji policyjnej, gdzie zaprezentowany został referat nawiązujący do profilowania cyberprzestępców, ale według mojej wiedzy wciąż jest to bardzo rzadką praktyką. Nie chciałbym być też źle zrozumiany i uznany za osobę, która uważa profilowanie hakerów za jedyne lekarstwo. Po prostu uważam to narzędzie za bardzo ciekawe i mogące przynieść wiele przydatnych odpowiedzi. Tych, którzy chcą poznać wszystkie minusy, wady profilowania, odsyłam do ciekawej publikacji Karoliny Olszak-Haubler „Czy profilowanie kryminalne ma podstawy naukowe”. Zastanawiające dla mnie jest to, że wydaje się stosunkowo duże środki – nawet w sektorze publicznym – na bezpieczeństwo teleinformatyczne, a nie bada drugiej strony, tej atakującej. I nie chodzi mi o aspekt jak?, kiedy?, gdzie? kto? (to jest robione) tylko o aspekt dlaczego? I przy okazji dlaczego ten ktoś, to robi, lub zrobił, bądź ewentualnie może zrobić. Na chwilę odbiegając od głównego wątku chciałbym dodać, że nie istnieje żaden system, który pokazywałby zbiorczo w skali całego kraju ilość incydentów  i analizował sposób postępowania (modus operandi) ewentualnych sprawców. Jakieś tam elementy wiedzy są obecne w poszczególnych instytucjach, ale są one ze sobą nie połączone. Kiedyś na tych samych łamach pisałem o braku systemu zarządzania incydentami teleinformatycznymi w całym kraju. Takiego systemu w dalszym ciągu nie ma, są pewne zalążki, które można by oprzeć np. o zbudowaną przez MAC sieć pełnomocników ds. cyberbezpieczeństwa.

Nie jest tajemnicą, że poważne służby państwowe przygotowują analizy ryzyka nie mając twardych danych o zjawiskach z cyberprzestrzeni. Nie prowadzi się akcji informacyjnych, bo nie ma danych i analiz grup cyberprzestępczych. Na konferencji SECURE w tym roku była przedstawiona prezentacja CERT-u NASK-u: „Cyberprzestępczość w Polsce”. Jednym z proponowanych działań na  przyszłość było badanie przyczyn źródłowych cyberprzestępczości. Bardzo mnie to cieszy i będę temu kibicował. Ładnie wydane raporty za 2014 rok Cert Orange Polska i CERT.GOV.PL nie mówią o tym, dlaczego ktoś dopuszcza się działań związanych z naruszeniem cyberbezpieczeństwa innych podmiotów. Słynna służba na trzy litery jest tak zajęta wypełnianiem swoich obowiązków, że nie jest w stanie przygotować jawnych materiałów, które można by upubliczniać i poszerzyć wiedzę społeczeństwa.

Wbrew pozorom,  wszystko to, co wyżej napisałem  ściśle łączy się z zagadnieniem profilowania, gdyż nie mając bazy  do analizy, trudno mówić o wynikających z niej wnioskach.

Jak z powyższych słów wynika, profilowaniem mogą się zajmować ewentualnie jacyś zwariowani pasjonaci, którzy nie mają nic do roboty. Może i by się ich udało gdzieś razem zagonić do wspólnej pracy, ale w dalszym ciągu wracamy do punktu wyjścia. Nie ma w naszym kraju instytucji badawczej, która zajęłaby się takimi sprawami, bo nawet gdyby istniała jakaś fundacja, która byłaby zainteresowana pozyskaniem tego typu wiedzy, to w efekcie ktoś musiałby za to zapłacić. I znowu mamy problem. Najłatwiej jest straszyć hakerami, cybeprzestępcami i innymi złymi ludźmi, bo tak łatwo jest powiedzieć w mediach. Ja osobiście, jak przypuszczam większość osób zajmujących się bezpieczeństwem chcielibyśmy wiedzieć nie tylko przed czym i przed kim mamy się bronić, ale chcielibyśmy  również wiedzieć coś więcej o atakującym, o sposobie jego myślenia, motywacji. Interesuję się profilowaniem, bo powinienem wiedzieć, czy np. ktoś, kto jest właśnie przyjmowany do pracy,  ma takie cechy, że może stwarzać problemy, a może już zatrudnieni mają skłonności, które należałoby przeanalizować. Szukam narzędzi i wiedzy, która może mi pomóc.

Norma „PN-ISO/IEC 27005:2014 Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji” zaleca zwrócenie szczególnej uwagi na źródła zagrożeń osobowych. Dzieli je na 5 grup. (patrz grafika poniżej)

Grupy zagrożeń osobowych

Grupy zagrożeń osobowych

Do każdych z tych grup norma przypisuje motywację. Przy hakerach, crackerach są to: wyzwanie, ego, rebelia, status, pieniądze. Pytanie do czytelnika: skąd autorzy taką wiedzę na temat motywacji mają? Moim zdaniem odpowiedź jest jedna:  kogoś, gdzieś na świecie to interesuje i ktoś to bada, skoro wyniki tych badań znalazły się w międzynarodowej normie. Szkoda, że nie w Polsce.

Profilowanie hakerów wnioski

Jak napisałem na początku, miałem możliwość zrewidowania swoich poglądów na temat profilowania hakerów. Instytucja będąca jednym z pionierów w zakresie profilowania, czyli FBI, w zakresie profilowania hakerów nie podejmuje badań, idzie bardziej w kierunku profilowania przestępstw tzw. białych kołnierzyków. W tym obszarze mieszczą się często cyberprzestępstwa. Inne organizacje również bardziej zwracają  uwagę na zagrożenie ze strony własnych pracowników, tzw insiderów. National Cybersecurity and Communications Integration Center w 2014 r. opublikował „Combating the Insider Threat”. Na gruncie polskim chętnych odsyłam do publikacji Małgorzaty Nyc „Profilowanie w polityce bezpieczeństwa korporacyjnego”. Nie jest nowością, że więcej ataków generalnie pochodzi ze środka niż z zewnątrz organizacji.

Pamiętam wypowiedź Ricka Fergussona (chyba z tamtego roku), który twierdził, że obecnie atakujący jest już w środku organizacji i przed tym musimy się bronić. Całkowicie się z tym zgadzam, bo uważam, że nasza praca – osób odpowiedzialnych za bezpieczeństwo informacji – polega głównie na budowaniu security awareness, jak niektórzy mówią tworzeniu tzw. kultury bezpieczeństwa informacji. Raport Trend Micro o głównych przyczynach wycieków oraz celu pozyskiwania danych osobowych mówi  że np. rozczarowani pracownicy upubliczniają dane z własnej woli. I nie trzeba ich przełamywać (komentarz MG). Można powiedzieć, że dowodzi to też innej tezy. Cyberprzestępczość ewoluuje i w zasadzie prawdziwych hakerów w rozumieniu lat 80 już nie ma. Obecnie mamy do czynienia ze zorganizowanymi organizacjami, grupami, czy nawet jednostkami państwowymi, które wykorzystują narzędzia i metody hakerskie. Nasuwa się więc pytanie, cóż skomplikowanego jest w tym, aby odpowiednio wyedukować potencjalnego kandydata do pracy, wyposażyć go w umiejętności kojarzone z umiejętnościami hakerskimi i umieścić go w interesującej nas instytucji? Narzędzia pracy dostanie gotowe od swoich mocodawców.

Przed takimi zagrożeniami powinniśmy się bronić i do tego można wykorzystać profilowanie hakerów.  Jak pisałem w I części artykułu w przypadku hakerów stworzony profil ma pomóc stworzyć zespół cech osobowościowych, czyli skłonności, upodobań wskazujących, że taka osoba może ewentualnie stanowić bazę, podbudowę do stania się hakerem. Istnieje duże prawdopodobieństwo,  że tak się stanie. I znowu muszę nawiązać do tego, co pisałem wcześniej. Brak wsparcia, brak dużej bazy danych, notującej szereg dokładnie opisanych incydentów utrudnia takie działania.

Przez wiele lat badałem wizerunek medialny hakerów, różnice między stereotypem funkcjonującym w świadomości medialnej, społeczeństwie a rzeczywistością.

Nie miałem takich możliwości jak Raoul Chiesa i nie prowadziłem badań kwestionariuszowych nie przeprowadzałem wywiadów  z byłymi  hakerami. W każdym razie na podstawie własnych doświadczeń studiowanej literatury przedmiotu mogę powiedzieć, że można przygotować kwestionariusz, który będzie weryfikował i badał skłonności badanego. Jak przy każdym profilowaniu bardzo ważną rolę odgrywa tu doświadczenie badającego, sposób prowadzenia rozmowy, znajomość rzeczy. Myślę, że na potrzeby polityki bezpieczeństwa takie profilowanie byłoby już przydatne. Takie działania uznałem za niewystarczające i dlatego szukałem dalej. Czytając publikacje poświęcone  badaniom gier komputerowych, środowiskom ich twórców i producentów znalazłem pewne cechy wspólne dla hakerów, twórców gier oraz graczy. Na podstawie takiej analizy można przygotować oprogramowanie / grę, która  będzie doskonale weryfikować  skłonności badanych do hakingu.

Brak tu miejsca na dokładny opis takiego oprogramowania / gry, ale z moich analiz wynika jednoznacznie, że właśnie mechanizm gry potrafi pokazać, ujawnić cechy typowe lub kluczowe dla osób w jakiś sposób zarażonych ideą hakingu. Wszystkie inne media gubią istotne elementy obrazowania hakera i hakingu, gra zaś jest całością, jest syntezą.