Jak organizovaný zločin vydělává pomocí technologie

Lidé mne nazývají mnoha jmény. Nikdy mi neříkají CIO, ale předpokládám, že právě jím v podstatě jsem. Možná jsem o něco mladší a pravděpodobně i o něco techničtější než většina lidí na stejné pozici, v zásadě jsem ale také CIO.

Většina mých kolegů nemá ráda počítače. Často jsou jimi přiváděni k šílenství. Nejraději by vzali brokovnici a svá PC nakrmili olovem, jako to onehdy udělal jeden muž z Colorada. Příběh o onom střelci jsem vytiskl a dal jej jednomu z těchto kolegů. Moc se mu líbila hlavně pasáž, kde byl „mrtvý“ počítač demonstrativně pověšen na jednu ze zdí „vrahova“ baru. „Miluju toho chlapa,“ říkal kolega nadšeně a jal se šířit jeho příběh mezi další spolupracovníky. „Tohle prostě musíte vidět. Tuhle zprávu mi dal MIT a vážně stojí za to,“ halekal. Ano, říkají mi MIT, jako té organizaci – Massachusetts Institute of Technology – takže často slýchávám věci jako „Nefunguje to, zavoláme MIT, ten to určitě spraví,“ nebo: „Mám plnou schránku, můžeš mi ji vyčistit, MIT?“.

Ano, potýkám se s úplně stejnými problémy jako vy a ostatní CIO a uživatelé mi také způsobují pokročilou migrénu. Stále dokola mě volají ke stejným záležitostem a v popisu práce mám v podstatě dělání všeho potřebného k „dalšímu růstu společnosti“.

PODVOD S LEVNÝMI AKCIEMI

Spammeři rozpoutali zajímavý a masivní způsob manipulace s hodnotou akcií a cenných papírů na burze. Oč jde? O nevyžádané e-maily typu „pump-and-dump“. Tento typ spamu funguje následovně: Nejmenovaný spammer nakoupí velmi levné akcie. Rozešle miliony e-mailů, které v obsahu podporují koupi, a naláká nové „investory“. Tím se zvýší poptávka a v závěsu samozřejmě také cena akcií. Vychytralý spammer pak akcie prodá, slušně si vydělá, bublina splaskne a ostatní spláčí nad výdělkem.

Tento příběh pojednává o jednom mírně vylepšeném pump-and-dump podvodu. V jeho pozadí stál známý známého. Nejprve si k rozesílání e-mailů pronajal botnet. Zprvu jeho majiteli slíbí fixní měsíční sumu, pak ale obrátí a nabídne podíl z činnosti. Něco ve stylu „Zaruč mi dodání 10 milionů e-mailů každý měsíc a dostaneš pěkných pár procent ze zisku.“

Na to majitel botnetu slyší, a jelikož potřebuje, aby e-maily nebyly zachycené spamovými filtry, jde za klukem, který napsal skvělou aplikaci pro tvorbu obtížněji odhalitelného obrázkového spamu. Mladý programátor dostane pár desítek tisíc a má za úkol vytvořit spam přímo propagující vybrané levné akcie. To celé mu zabere pár desítek minut a vše je připravené ke spuštění.

Známý známého si zřizuje účet v Brazílii, aby mu na něj chodily eventuální platby. Prostřednictvím každého ze svých pobočníků zkupuje levné akcie vybraných společností – každý jich koupí okolo 10 000 za cenu 30 centů na akcii. Pak už jde do akce botnet a začínají se rozesílat upoutávky na tyto cenné papíry. A dobrou zprávou pro našeho spammera je fakt, že všechny tyto obrázkové e-maily obcházejí spamové filtry, neboť ty vyhledávají jen text a zde přitom detekují pouze miliony různých obrázků. A ačkoli jsou všechny jedinečné a různé, každý říká to samé: Kupujte tyhle akcie.

Po nějaké době do kýžených cenných papírů investuje dostatečný počet lidí a jejich cena stoupá. Třicet centů, osmdesát centů, dolar, dva dolary… Spammer a jeho společníci prodávají se ziskem pár set procent, akciová společnost hlásí bankrot a nebohé oběti spamu často přicházejí o všechno. Podvod pump-and-dump, který byl díky obrázkovému spamu ještě úspěšnější.

Vím, nad čím přemýšlíte. Ptáte se, kdo by věřil anonymnímu e-mailu, který hlásá cenový vzestup akcií společnosti XY (o níž navíc nikdo nikdy pořádně neslyšel). Dobrá otázka, také to nevím. Když si ale vezmete, že je rozeslán počet e-mailů rovnající se celkovému stavu naší populace v ČR (přes 10 milionů) a spammerovi k solidnímu výdělku stačí, aby se chytila pouhá tisícovka lidí, tedy pouhých 0,0001 procenta z celkového množství… Inu, myslím, že na světě je podíl naivních jedinců ještě o něco vyšší.

OSOBNÍ ÚDAJE „ZA VŠECHNY PRACHY“

Peníze vládnou světu. A abyste dostali peníze, potřebujete přístup k osobním informacím. Právě ty jsou na černém trhu v současnosti poptávaným artiklem číslo jedna a kupují se obrazně řečeno „na kila“.

Vzpomínáte si na počátek předminulého roku? Tehdy počítačoví piráti ukradli informace asi o 45 milionech platebních kartách používaných americkým maloobchodním řetězcem TJX. Osobně jsem se na tom nepodílel, řekněme, že jsem však byl na pivu s někým, kdo možná do jisté míry ano. Zní to jako loupež století, v podstatě to ale nebylo až tak komplikované. Stačí se držet tří základních věcí. Za prvé je třeba získat přístup zevnitř na místo, kde se pracuje s velkým množstvím osobních dat. Dobrým příkladem budiž třeba právě obchodní řetězec, kde jsou každou sekundu přijímány platební karty zákazníků. Za druhé je nutno investovat do antiforenzních nástrojů, aby člověk hned neskončil v síti expertů pro boj se zločinem. Za třetí, jakmile se dostanete k osobním údajům, chovejte se slušně. K tomuto bodu se ještě vrátím.

V aféře TJX se zločinci dostali k identifikačním údajům zaměstnanců tak, že je zachytili z bezdrátového provozu mezi pokladnami, handheldy pro kontrolu cen a dalšími zařízeními. Já bych na to šel jinak. Na ulici bych rozdával USB klíčenky a postaral bych se o to, aby pár z nich skončilo také u pracovníků obchodu. Nikdo neodmítne věc, která je zdarma, nebo snad ano? Jakmile by zaměstnanci flash paměť zapojili, nainstaloval by se do systému například keylogger či nějaký trojský kůň, který by mi zajistil přístup do sítě. Tradičních cest k získání přístupu je ještě více – prohledávání odpadků za obchodem může vést k nalezení dokumentů s údaji zaměstnanců, personálu lze za přístup k informacím zaplatit přímo apod. – počítače však vše výrazně usnadňují.

Po získání přístupu je čas na pořízení antiforenzních technologií. Může vám být jedno, že vidí, co jste udělal, nesmí však vědět, že jste to byl vy. K dispozici je velké množství softwaru, který umožňuje zamést stopy a učinit vás prakticky neviditelným, zatímco jste v cizím systému. Úžasné je, že mnohé antiforenzní nástroje jsou k dispozici zcela zdarma. Rozeseté jsou doslova po celém internetu. Některé aplikace tedy stáhnete, za jiné zkrátka zaplatíte.

Nyní jste chránění a v systému obchodního řetězce, máte vlastní prográmek, který sbírá osobní informace jeho zákazníků (například údaje z kreditních karet). A jelikož sami nechcete riskovat jejich využíváním, raději je prodáváte třetí straně. Peníze bez rizika? To v žádném případě.Pokud jste udělali až doposud všechno správně, můžete stále ještě narazit. A největší nebezpečí v tomto bodě obnáší vlastní nedisciplinovanost. Mnozí lidé totiž neumějí zacházet s penězi. Zbohatnou a hned začnou nezřízeně utrácet. Podívejte se na případ krádeže informací z TJX. Tam hackeři využívali získané osobní informace k nákupu nesmyslných položek, jako je dárková poukázka za 20 000 dolarů. Jen hlupák by se domníval, že něco takového zůstane bez povšimnutí. Trpělivost nese ovoce i v tomto případě…

OSTATNÍ LIDÉ SÁZEJÍ, MY NE

V současnosti pracujeme na zprovoznění nové služby v Kostarice. Oč jde? Další z řady stránek věnující se sázení na sport a jeho milionům fanoušků. Jak vůbec začít s takovým projektem? Jako u všeho nového je třeba oběhnout spoustu úřadů a zařídit milion věcí. Proto jsem si najal člověka přímo na místě, který tohle dostal na starost. Po získání povolení následovalo nasazení back-endových serverů, podepsání smlouvy s ISP, zajištění zálohování a aktuálně se pracuje na zprovoznění webových stránek a testování celého systému.

Na každém kroku vidím analogii s nasazováním klasických e-commerce projektů. Obdobný postup, stejný druh problémů a podobné požadavky ze strany vedení – „MIT, už jsi ty stránky zprovoznil? Mistrovství světa začíná za pár týdnů. Tehdy už musí všechno jet jako po másle!“ Tak jako tak, jakmile bude naše on-line sázková kancelář v provozu, můžeme očekávat více než solidní návratnost investic, a o to tu jde především.

I ZLOČINCI POTŘEBUJÍ BEZPEČNOST

Investujeme do špičkového zabezpečení, neboť stránky věnující se hazardu stále čelí pokusům o vydírání. Neuběhne den, aby nějaký ruský hacker nespustil DDoS (Distributed Denial-of-Service) útok a za jeho zastavení nepožadoval připsání tučné částky na svůj účet. Šifrujeme úplně všechno a autentizace přístupu uživatelů je velice přísná. Veškeré zabezpečení si obstaráváme sami a nespoléháme přitom na outsourcing nebo třetí stranu. Šéfovi bezpečnosti platím slušné peníze, takových 30 % nad rámec standardu, ale vím, že se to vyplatí. Potkal jsem ho před pár lety na konferenci Black Hat v Las Vegas. Hned se mi zalíbil, protože nebyl jedním z těch vychloubavých floutků, kteří pěli samochválu na své schopnosti. Byl tichý, seděl vzadu, dělal si poznámky a snažil se něčemu přiučit. Okamžitě jsem věděl, že je ten pravý.

Pověřil jsem ho také interní bezpečností. Jeho role je v podstatě CPO (Chief Privacy Officer) pro skupinu lidí, kterým opravdu záleží na „zachování jejich soukromí“. Technologické prostředky – telefony, internet – jsou skvělé k vydělávání peněz, problém však je, že se dnes všechno zaznamenává. Můj bezpečnostní chlapík sám napsal a používá hned několik antiforenzních nástrojů k mazání těchto „nežádoucích“ logů, i díky tomu mohu zodpovědně prohlásit, že se pyšníme lepší ochranou soukromí než leckterá banka. Náš CPO dokáže vypnout GPS v mobilních telefonech a v současnosti pracuje i na vlastní obdobě projektu TOR (The Onion Router), který umožňuje na internetu při komunikaci skrýt vaši identitu, vámi přenášená data i to, kde se právě nacházíte. Všechno, a tím myslím opravdu všechno, je navíc šifrované. K našim datům tak mohou přistupovat jen dva lidé, já a můj muž přes bezpečnost.

HLEDEJTE TALENT

Spolupracuji pouze s lidmi, kteří mi předvedou něco extra. Jednou ke mně přišel muž, který za použití cizích osobních informací nabízel zřízení dočasných mezinárodních mobilních čísel. Je mnoho zájemců, kteří za mobilní telefon „na jedno použití“ zaplatí velké peníze. Proto jsem se s mužem dohodl. On dodal informace a čísla, my se starali o distribuci.

Zeptal jsem se ho, zda aktuálně pracuje ještě na jiných projektech. Natočil ke mně svůj přenosný počítač a ukázal mi vlastní webovou stránku, s jejíž pomocí formou aukce prodává údaje z kreditních karet. Ten muž se mi líbil a já mu nabídl zaměstnání, hned jsme si plácli. Od té doby je v podstatě naším R&D oddělením. Musím ovšem uznat, že mám veliké štěstí na talentované lidi. Mí zaměstnanci jsou technologicky vyspělí, pracovití, myslí inovativně a podnikatelsky. Myslím, že by se neztratili ani v celosvětové konkurenci.

SLADĚNÍ OBCHODNÍCH CÍLŮ A TECHNOLOGIÍ MEZI NÁMI ZLODĚJI

Přes všechny podobnosti je zde jedna věc, ve které se od vás, klasických CIO, odlišuji. Pravidelně čítávám o tom, jaké mají CIO problémy se sladěním technologie s obchodními cíli. To se mě netýká. Mí nadřízení mi nedají ani korunu, pokud si nebudou jistí, že se jim tato investice vrátí. A proč by také měli? Sám bych ani neuvažoval o započetí nejistého projektu. Nejsem dítě, které dostává kapesné na předražené technologické hračky. Krom toho nikdy nepoužívám „CIO žargon“, a netrávím večery tvorbou prezentací v PowerPointu.

Spekulace? Ty nejsou součástí našeho obchodního modelu. Dobrá, možná nejsem stále zásoben nejnovějšími gadgety, ale k čemu také? Co potřebuji, to mám, byznys šlape a šéfové jsou spokojení…