Zvonimir Cvetko Damnjanović je že pred kariero kriminalista pri slovenski policiji razvijal svoje IT-rešitve in vodil podjetje za napredne informacijske tehnologije. Je strokovnjak za kibernetsko kriminaliteto in informacijsko varnost z več kot 13 leti izkušenj. Kot kriminalist se je specializiral za preiskave kibernetskih goljufij, spolnih zlorab otrok in kaznivih dejanj na vidnem pa tudi na temnem spletu. Sodeloval je pri številnih mednarodnih operacijah in predaval na strokovnih konferencah po vsem svetu. Njegovo delo je usmerjeno v zaščito otrok na spletu, boj proti spletnemu kriminalu in razvoj naprednih varnostnih rešitev. Z njim smo se pogovarjali o trenutni situaciji na področju informacijske varnosti, kjer kriminalci prežijo na vsako našo napako.
Kakšne so trenutne varnostne razmere, ali smo po vašem mnenju ljudje glede tega skrbni ali morda vendarle brezbrižni?
Mislim, da je to odsev pozitivnega stanja v družbi, morda je to znamenje, da živimo v družbi, kjer stvari kolikor toliko delujejo ali pa niso tako varnostno obremenjene, po drugi strani pa je naloga nas varnostnih strokovnjakov, da smo obremenjeni s tem, razmišljamo o tem in da se s tem ukvarjamo vsak dan. Kje je meja med indiferenco in dejansko varnostjo, mora vedeti in ugotavljati vsak posameznik pri sebi, mislim pa, da je na tem področju treba še dosti narediti, sploh v Sloveniji.
Ljudje kar nakazujejo desettisoče evrov lažnim bradom pittom?
Ja, ljudje smo kar zanimiv dejavnik za sodobne kriminalce, sploh spletne. Lahko trdim, da vsaka kriminalna združba, ki se ukvarja s spletno pa tudi klasično kriminaliteto, svoje delo začne in konča pri človeškem dejavniku.
So naša podjetja na tem področju ozaveščena?
Mislim, da premalo. Še vedno obstaja ta indiferenca oziroma zaupanje, da živimo v varni družbi, in potem so ljudje presenečeni, ko se zgodijo razne direktorske prevare, pri katerih pokliče direktor in finančniku ukaže nakazilo. Sploh danes, z uporabo umetne inteligence, je tega zelo veliko, in take stvari je zelo lahko ponarediti. Skratka, podjetja so premalo ozaveščena in tudi mi se trudimo z izobraževanji in s penetracijskimi testiranji preverjamo varnost podjetij. In tudi, ko najdemo varnostno luknjo, so začudeni, češ, kako ste pa do tega prišli. V takih primerih jim rečem, ja, seveda, vi ste pošteni in ne razmišljate tako, kot razmišljajo kriminalci. Tu nastane diskrepanca, ko ljudje mislijo, da je na videz vse v najlepšem redu. V resnici pa imajo kriminalci zelo dobro domišljijo, so zelo iznajdljivi in zlahka najdejo te luknje, jih obrnejo, zlorabijo tako, da vam pač vzamejo denar, vi pa ga izgubite.
Smo v času, ko se bodo začele pojavljati tako imenovane deep fake direktorske prevare, skratka, da bo direktor v videoklicu računovodji naročil, naj nakaže sto tisočakov tja pa tja.
Ti časi so že tu. Tovrstne primere smo že obravnavali. Hvala bogu so v zadnjem primeru najprej poklicali nas, pa smo zadeve prej preverili. Direktorja je poklical finančni direktor za neko investicijo na Tajskem, mislim, da je šlo za pet milijonov evrov. To smo na hitro preverili in izkazalo se je, da ni bilo nobene investicije.
Kako veliko mora biti podjetje pri nas, da naj bi imelo zaposlenega varnostnega strokovnjaka?
Menim, da mora podjetje o tem začeti razmišljati že v začetni fazi, še pred inkorporacijo. Tudi če gre za enega samega samozaposlenega, mora začeti razmišljati o tem. Čeprav je na začetku težko vlagati v varnost, imajo lahko nepripravljena podjetja pozneje veliko višje stroške in večja tveganja. Samostojni podjetniki in mala podjetja lahko najamejo zunanje strokovnjake, kar ni tako drago, kot si številni mislijo. Pravilne varnostne nastavitve že na začetku, na primer pri izbiri oblačnih storitev in zaščiti podatkov, lahko dolgoročno prihranijo veliko težav.
Ali imamo pri nas dobre strokovnjake za to? Kolikor vem, ste sodelovali pri pripravi izobraževalnih programov za strokovnjake za informacijsko varnost.
Slovenija je zelo naravoslovno usmerjena država in imamo veliko vrhunskih strokovnjakov. Na žalost ti pogosto niso dovolj cenjeni in zato raje odhajajo v tujino, kjer se znanje in strokovnost bolje vrednotita. Pri nas še vedno prevladuje tako imenovani brain drain oziroma odliv talentov v tujino.
Ste tudi strokovnjak za osint, torej za open source intelligence – za podatke, ki so javno dostopni, in ti podatki so danes pogosto temelj za poznejše informacijske napade. Kaj lahko o posamezniku, denimo o meni, izveste, če se naslonite samo na te javno dostopne podatke?
Ljudje pozabljajo, iz česa je sestavljena ta besedna zveza. Torej vidijo tisti open source, drugo besedo, intelligence, pa preprosto spregledajo. Ni dovolj, da je podatek odprte narave, pomembno je, kaj mi s temi podatki delamo, mi moramo podatke spremeniti v informacije. Kriminalci namreč te podatke spremenijo v lažne informacije. Sam sem preprosto poiskal nekaj vaših fotografij, iz njih sem v nekaj minutah napravil članek s slikami na ponarejeni spletni strani enega večjih slovenskih medijev. Mimogrede, ta članek je v celoti napisan z umetno inteligenco. Bistvo tega članka je, da pritegne bralca, in ker smo ljudje nagnjeni k negativnim vsebinam, smo o vas pač napletli zgodbo, da ste se znašli v zaporu v eni od islamskih držav in zbiramo sredstva, da vam pomagamo. Kot vidite, je spodaj obrazec, kjer lahko ljudje nakažejo denarno pomoč, in del tega obrazca je tudi okence za vnos podatkov o kreditni kartici.
Tako ljudje ostanejo brez denarja. Potrebnih je bilo nekaj minut dela, da smo iz povsem neškodljive naredili škodljivo vsebino, s katero bi lahko zlorabili ljudi. Naj spomnim, da smo že imeli podobne primere, na Facebooku je bilo v preteklosti objavljenih več kot 400 sponzoriranih oglasov s podobno vsebino in določen delež ljudi bo v dobri veri želel pomagati. Po svetu obstajajo klicni centri, kjer kriminalne združbe najamejo veliko dvorano, v njej pa množica delavcev s klici poskuša prepričati naivneže na drugi strani. Kot zanimivost – nekoč sem si vzel čas in se s takim klicateljem pogovarjal uro in 45 minut. Poskušal sem ga prepričati, da je tako dober v poslu, ki ga opravlja, da ga želim zaposliti. Pripravil sem ga že tako daleč, da mi je dal vse svoje osebne podatke, in potem sem v ozadju slišal njegovega menedžerja, ki ga je fizično napadel, nato pa prekinil zvezo.
Ali lahko povprečen uporabnik sam opravi tako analizo? Da take podatke o sebi najde in počisti? Imate vi kakšno tako storitev?
Taka možnost obstaja. Ampak, takole bom rekel: jaz vodim svoje podjetje, vem, kaj so bilance, razumem osnovno računovodstvo, si pa ne delam utvare, da sem strokovnjak s področja ekonomije. Približno ista analogija je v tej zadevi, posameznik lahko poišče, izbrska kakšne stvari za nazaj. Ampak mi znamo tak postopek izpeljati celostno, pregledamo celoten internet, temni in globoki splet, raziščemo stvari, naredimo analizo, kaj se da odstraniti in česa ne, kakšne metode obstajajo za upravljanje teh tveganj. Na koncu ste vsekakor bolj varni, kot ste bili prej.
Obstajajo pa še druge metode zbiranja podatkov. Humint, pa sigint …
Te skovanke so že v osnovi so zelo različne. Če bi delal vašo analizo, bi se v njej znašel tudi mali delček signal intelligence, sigint, ki se nanaša na vašo telefonsko številko. Že samo iz te lahko vidimo vašega operaterja, pa podatek, ki sicer večinoma ni zanesljiv, ali ste trenutno v roamingu, gostovanju. Humint oziroma human intelligence pa se nanaša na zbiranje podatkov od človeških virov.
Kaj lahko naredimo posamezniki in podjetja, da bi čim bolj zmanjšali svojo digitalno sled?
Verjamem, da je za posameznike in podjetja to velik zalogaj zato, ker že v osnovi razmišljajo iz pozitivne naravnanosti in ne razmišljajo, da bi lahko kdorkoli karkoli zlorabil. Treba je spremeniti to miselno naravnanost in se zavedati, kaj lahko nekdo napravi z vašim geslom, ki ga najde na spletu. Kaj pa lahko vse naredi s slikami, ki jih objavite, sploh slikami otrok? Zadnje je zelo sporno področje, ljudje pač radi objavljajo slike svojih otrok in te potem razne kriminalne združbe zbirajo in prodajajo ljudem, ki take podatke iščejo. Tudi tehnologija deepfake lahko iz koščkov informacij ustvari prepričljive prevare, na primer lažne klice, ko otroci kličejo starše na pomoč.
Vi ste razvijali take rešitve za množično ekstrakcijo podatkov s spleta, kaj konkretno ste pri tem delali?
Pri policiji sem to razvijal iz svoje potrebe, ker smo za neko zadevo, ki smo jo preiskovali, šlo je za spolne zlorabe otrok, od Facebooka dobili ogromno količino podatkov. Šlo je za tako veliko količino, da tega z navadnim računalnikom ali pa spletnim iskalnikom preprosto nismo zmogli preiskati. Potreboval sem orodje, ki je bilo zmožno te podatke poindeksirati in jih preiskati. To je bilo pred več kot desetimi leti, danes pa v mojem podjetju Next Sight razvijamo izdelek, ki se imenuje Site Connect. Njegov namen je zbiranje prosto dostopnih podatkov z interneta, vrednotenje teh podatkov in tako imenovani data enrichment. Delamo korelacije med temi podatki, zato da lahko pomagamo preiskovalnim službam, varnostnim organom, da lažje in hitreje rešijo primere, torej večjo količino podatkov strnemo, obdelamo in pripravimo v obliki poročila, ki je primerno ter ustreza vsem standardom, forenzičnim in pravnim, da se lahko uporabi tudi kot dokaz na sodišču.
Je danes programska oprema za uporabo umetne inteligence že toliko dostopna, da bi si lahko skoraj vsako podjetje privoščilo svojo lastno rešitev za denimo ekstrakcijo slik in prepoznavo obrazov?
Da, ampak take stvari jasno prepoveduje zakon. In zelo verjetno bi vas prej ali slej zalotili. Službe, ki se ukvarjajo s tem, te stvari preverjajo. Lahko povem primer, delali smo varnostno preverjanje podjetja našega naročnika, med drugim smo ugotovili, da ima njihova konkurenca prostore v neposredni bližini in da so postavili kamero, ki snema njihova vrata. Da, spremljali so, kdo so njihove stranke, in jim jih nato speljali. To sodi neposredno pod gospodarsko vohunjenje, o katerem se v Sloveniji zelo malo govori ali pa je ne vem iz katerega razloga tabu. Je pa zelo prisotno in na prvi pogled povsem banalna stvar.
Velik del vašega raziskovanja je tako imenovani dark web, temni splet. Kaj je glavna razlika med temnim in navadnim spletom, kot ga vsi poznamo?
Za laika je največja razlika ta, da ni indeksiran, to pomeni, da ni centraliziranega spletnega iskalnika, po katerem lahko iščete. Na temnem spletu morate vedeti, kje iskati stvari. No, potem pa so tu še tehnični vidiki anonimizacije darkneta. Torej, če govorimo tudi konkretno o omrežju Tor, gre za onion routing ali čebulno usmerjenje. Pomeni, da podatki potujejo čez več proksi strežnikov Tor, s čimer se skrije identiteta uporabnika omrežja Tor. Ampak naj povem, da jo je vseeno mogoče odkriti.
Ali podjetje lahko sámo preveri, ali so na temnem spletu kakšni njegovi ukradeni podatki?
To odsvetujem, ker je ogromno kriminalcev in prevarantov, ki prežijo na laične obiskovalce, in ti potem naletijo na storitev, da plačaš 500 dolarjev in dobiš vse podatke o sebi ali o konkurenci in podobno. To so vse goljufije, katerih namen je samo to, da ti vzamejo denar, obljubljenih podatkov pa ne dobiš. Komu boš potem prijavil tako dejanje, če pa si v bistvu poskušal kupiti ilegalno stvar?
Kako to, da uradni organi pregona tega ne morejo presekati, nadzorovati, preprečiti?
Saj je dosti uspešnih operacij, sam sem sodeloval v eni obsežni, preprosto je tega ogromno, stvari bi lahko primerjal s tatvinami koles v Ljubljani. Tatove ujemajo, ves čas jih lovijo, ampak kolesa bodo še vedno kradli. Na spletu je res veliko uporabnikov, ki bi radi na hitro zaslužili nekaj denarja, pa potem iščejo neke bližnjice, kupujejo razne bot farme (omrežja s fiktivnimi uporabniki, ki generirajo fiktivni spletni promet, op. a.) pa orodja za izsiljevalske viruse. Te vrste kriminala so privlačne za to, ker storilci ne vidijo žrtve. Lažje se psihološko distancirajo od žrtve zaradi tega, ker je ne vidijo.
Na temnem spletu sta delovali dve znani tržnici, ena je bila Silk Road, druga Alpha Bay, pa je policiji v mednarodni akciji oboje uspelo zatreti. Je šlo za dolgoročni uspeh ali pa se je takoj pojavilo nekaj novega?
No, pri razkrinkanju Alpha Baya sem celo sodeloval v operaciji Europola leta 2017. Takrat smo o teh dejavnostih zbirali različne podatke. Posledica je bila ta velikanska operacija, kjer je takrat poleg Alpha Baya padlo še približno 16 drugih tržnic. Potem je bilo izpeljanih še 36 podobnih operacij. Ampak ko pade en tak dark market, se pojavi nov, prevzame delež starega … A vseeno se splača. Vedno obstaja neki delež ljudi, ki si reče, aha, tu je policija ukrepala, in potem dobijo neki strah in se teh stvari ne gredo več. To je nekakšen delni uspeh. Z vidika moje prejšnje službe v policiji lahko povem, da je vsak gram mamil, ki se umakne s ceste, uspeh. S tem rešimo kakšno življenje. Vsak naboj, vsaka pištola, ki jo zaplenimo, je uspeh.
Seveda je katero boljše za prikrivanje sledi. Ampak ne želim dajati navodil. Tor je najbolj priljubljen, naslednji je Itopi, ki deluje podobno, tam je Onion Routing, tu je Garlic Routing, Freenet, ki ste ga omenili, pa je namenjen predvsem izmenjavi datotek in varni komunikaciji. Tor in I2P delujeta kot servisa, torej si lahko postaviš servisno spletno stran ali pa tržnico na temnem spletu. Trenutno je še vedno najbolj priljubljen Tor.
Delali ste na področju programske rešitve, ki zaznava in blokira gradiva o spolni zlorabi otrok že kar na sami grafični kartici. Gre torej za neko varnostno pregrado, ki deluje še pred operacijskim sistemom?
To je bil del moje doktorske disertacije, ki je še nisem končal. Imam pa tako imenovani proof of concept. Ko sem se lotil te zadeve, sem uporabil algoritem, ki je danes preveč robusten in bi preveč upočasnil grafično kartico. Danes obstajajo novi modeli umetne inteligence in strojnega učenja, ki so precej bolj fleksibilni, in z nekaj truda je to v celoti izvedljivo. Naloga grafične kartice je, da spreminja digitalne vhodne podatke v nekaj, kar mi kot ljudje prepoznamo kot sliko. In če v grafično kartico vstavimo tak model, lahko na več načinov prepozna sporno sliko, in namesto da jo prikaže, preprosto prikaže črno sliko ali pa izklopi zaslon.
Tako bi lahko zajezili razširjanje takih vsebin, predvsem pa sekundarno viktimizacijo žrtev spolnih zlorab.
Kakšna je po vašem mnenju prihodnost področja kibernetske varnosti? Po vsem sodeč, bo to v prihodnjem letu ali dveh velik bum; pred nedavnim je naš SI-CERT izdal poročilo – v zadnjem letu smo imeli sedem odstotkov več incidentov.
Prepričan sem, da je incidentov v resnici še več, predvsem zato, ker jih ljudje ne prijavljajo in je to velik izziv. To področje bo v prihodnje zelo dinamično. Polno bo izzivov za kader, ki se šola. Šole imajo pač tendenco, da vse zapišejo v nekakšna pravila, v alineje, ki se jih moraš potem naučiti. Kriminalci pa tega ne upoštevajo, njim je vseeno, pomembno je le, da zadeva deluje. Skratka, tranzicija iz šolskega sistema v praktično vpeljavo in reševanje izzivov, ki jih povzročajo razmišljanja kriminalcev, sta lahko velik izziv, če tega ne počneš že od malega.
Se pa vsekakor strinjam. Strokovnjak s področja kibernetske varnosti mora poznati osnove, delovanje omrežij, delovanje raznih protokolov, standardov. Zelo težko pa se je naučiti, kako se te stvari zlorabljajo in kako kriminalci razmišljajo.
Kaj vidite kot največjo težavo v prihodnje?
Mislim, da je to lažji dostop do umetne inteligence. To lahko tudi ponazorim z lokalnim modelom, ki nima etičnih in varnostnih mehanizmov za omejevanje vsebin. Tako lahko na svojem računalniku pridobite načrt za izdelavo strupa, ki ga ne zaznavajo forenzični laboratoriji, ali pa brez vsakega znanja programiranja izdelate programsko kodo, s katero »spoofate« oziroma ponaredite tuj e-naslov. Glavno je, da ni več treba imeti toliko tehničnega znanja, in s tem je kriminal postal precej bolj dostopen.
