Trebao je to biti još jedan normalan dan. Narudžbe stižu iz cijelog svijeta, kao da svatko želi napakostiti svakome. A oni imaju najefikasniji dostupan alat. Webstresser.org – stranica na kojoj se nalazi infrastruktura kojom se mogu izvesti najintenzivniji DDoS napadi – kad je internetska stranica pogođena takvim napadom, znači da napadač namjerno povećava promet sve do granice koju serveri gdje se ta stranica nalazi više ne mogu podnijeti i ruše se. Zajedno sa stranicom. Dok se pristup ponovno ne uspostavi, stranica je nedostupna.
Velika Europolova akcija Power off rezultirala je uhićenjem 19-godišnjeg Zaprešićanina Kristijana Razuma kojemu sada prijeti kazna do osam godina zatvora. Rezultat je i nekoliko uhićenja u susjednoj Srbiji, “pao” je i Razumov kolega administrator Jovan Mirković, uhićuje se u još nizu zemalja. Odgovarat će i korisnici, ozbiljnije vjerojatno power useri, oni koji su za novac napade DDoS-om usmjeravali na one najzaštićenije stranice. Slaba je obrana, navode pravosudna tijela u akciju uključenih zemalja, to što je postojao i sveprisutni Terms of Service koji je upozoravao na mogućnost kažnjavanja za korištenje Webstresserovih usluga.
Administratori Webstresser.org, prema Europolu, zaradili su nekoliko stotina tisuća eura. Jer, već za oko 15 eura moglo se preko njihove stranice izvesti neki manji napad, srušiti kakav blog ili nešto slično ili samo malo napakostiti nekome tko vam ide na živce. Plaćalo se samo pomoću PayPala, a ako bi se plaćalo bitcoinom dobivao se i popust. Ni prvi ni posljednji put da čitamo takve vijesti, zna se da i u Hrvatskoj ima vještih hakera, no ovaj je slučaj ipak svjetskih razmjera. No, pružati “usluge” tog tipa nije i jedini način zarade na internetu. Mislimo prvenstveno na one sumnjive.
Podaci najskuplja roba
Dr. Michael McGuire sa sveučilišta u Surreyu napravio je studiju koja dokazuje da je manipulacija dobivanja podataka kakvu je poduzela Cambridge Analytica samo vrh ledene sante. U 11 mjeseci istraživanja dr. McGuire, koji je viši predavač kriminologije, razgovarao je s brojnim osuđenim kibernetičkim kriminalcima, konzultirao se o podacima sa svjetskim redarstvenim agencijama, financijskim institucijama pa i sam istraživao prateći rad Dark Weba. Zaključci do kojih je došao šokantni su. Nije u pitanju samo Facebook, svjetski kibernetički kriminalci zaradili su 1,5 bilijuna dolara od aktivnosti i na Amazonu ili Instagramu, a od njihova djelovanja nisu zaštićeni ni Airbnb i Uber. Taj je iznos jednak BDP-u Rusije, ističe se u studiji. Da je kibernetički kriminal država, bila bi 13. u svijetu po BDP-u. Više je, zapravo, riječ o tome koja platforma nije zahvaćena nedopuštenim aktivnostima nego koja jest. Konkretno, prema dr. McGuireu, Airbnb i Uber koriste se za transfer novca, Instagram za trgovinu drogom, preko eBaya i Amazona plasira se krivotvorena roba i zaobilaze lokalni zakoni. Također, kompanije o čijim se platformama radi još nisu svjesne o kakvom se zapravo problemu radi, navodi znanstvenik sa sveučilišta u Surreyu. Prema svemu tome, mogućnosti su ostvarenja ilegalne zarade online praktično neograničene. Na kraju, i mogućnosti su tih platforma praktično neograničene.
– Pomoću Googlea ili Applea i Samsunga, dakle, preko telefona, može se pratiti gdje i što tko radi. Također, primjerice, Google ima analitički tim koji vodi Hal Varian i bolje od američkog Ministarstva rada mjeri nezaposlenost. I to doslovno svakodnevno, a zapravo to može u stvarnom vremenu, praktično u minuti jer točno vidi kad je netko počeo na Googleu tražiti poslove ili povlastice za nezaposlene – kaže Vuk Vuković, direktor analitičke kompanije Oraclum Intelligence Systems te doktorand na Oxfordu, te dodaje da Google također ima opcije praćenja sociodemografskih, ali i ekonomskih pokazatelja pojedinaca (s obzirom na povijest pretraživanja) pa se iz toga mogu koristiti razne stvari koje kao podaci imaju visoku vrijednost. Ako korporacije sada ne prepoznaju problem zloporabe svojih platformi, sasvim sigurno znaju kolike su njihove mogućnosti.
– Sve što netko pretražuje na Googleu vrlo je privatno. S jedne strane, na Facebook stavljamo stvari koje želimo da naši prijatelji vide, ali na Googleu pretražujemo vrlo privatne informacije. Većinom su to benigne stvari, ali Google može pratiti i ako netko pretražuje kako sastaviti bombu ili kupiti oružje, sve do malih stvari poput toga je li netko u romantičnoj vezi i slično. Kako se prati promet, tako se mogu pratiti kretanja ljudi u svakom trenutku. Možda to zvuči najstrašnije, no u pravilu gledaju se uzorci kretanja velikog broja ljudi, ne pojedinaca. Ako treba, pojedinca se može pratiti ako je, primjerice, osumnjičen za neki zločin ili je teroristička prijetnja – navodi Vuković. Mogućnosti su, dakle, neslućene već i za nešto vještijeg hakera. Rang-lista najprofitabilnijih ilegalnih online aktivnosti glasi otprilike ovako: ilegalna online tržišta 860 milijardi dolara, krađa poslovnih tajni 500 milijardi, trgovanje podacima 160 milijardi, crimeware-as-a-service, dakle ono čime se bavio Razum iz Zaprešića, 1,6 milijardi, ransomware milijardu dolara. Jednoj od aktivnosti, trgovanju podacima, sada se pokušava doskočiti GDPR-om (General Data Protection Regulation).
– GDPR sprečava korištenje privatnih podataka za takve stvari. Dakle, ako neka tvrtka poput Facebooka ili Googlea primjerice želi prodati privatne podatke trećoj strani, ona to ne može raditi. No, zapravo to ona i ne radi – ona prodaje reklame, odnosno tvrtke klijenti joj kažu koga žele ciljati i Facebook odnosno Google ulaze u svoje baze i traže takve karakteristike. Dakle ne traže pojedinačne osobe, nego one koje odgovaraju opisu, 25-35 godina, žensko, interesi ti i ti – govori Vuk Vuković te se dotiče i etičnosti tih postupaka. – Ako se ne koriste privatni podaci, dakle ime i prezime, već se samo gledaju agregirani trendovi kretanja, onda nema etičkih problema. Ako tvrtka želi znati što svaka pojedinačna osoba zna i hoće, to već ima etičke implikacije – ističe Vuković.
Crimeware je nešto sasvim drugo, kako nam je objasnio komunikacijski stručnjak Marko Rakar.
– Definicija crimewarea je relativno široka i u biti obuhvaća niz klasičnih kriminalnih djela u kojima se samo kao sredstvo ili medij izvršavanja koristilo računalo. Primjerice, ako prodajete drogu preko interneta ili deep weba, ta trgovina bit će uračunata u crimeware. Krađa ili trgovina nekom imovinom, od primjerice ukradene robe preko poslovnih tajni ili baza podataka, poput one od Cambrigde Analytice i Facebooka o kojima smo čitali posljednjih tjedana, također je u definiciji crimewarea. Čisto informatički kriminal, dakle onaj koji se događa isključivo i jedino na internetu i računalnim mrežama razmjerno je malena pojava sa samo nekoliko milijardi dolara udjela od procijenjenih ukupno 1,5 tisuća milijardi dolara crimewarea. “Pravi” računalni crimeware bilo bi preuzimanje korisničkih računa i pljačka novca s bankovnih računa neovsino o tome radi li se o pojedinačnom računu ili o velikoj pljački cijele banke kao što je to bilo u Bangladešu 2016. kad je ukradeno oko milijardu dolara. Sjajan primjer crimewarea je i svježe otkrivena mreža DDOS napadača koja je, čini se, imala masterminda usred Zaprešića – kaže.
Je li doista moguće da kompanije koje upravljaju platformama poput Airbnb-a i Ubera ne uzimaju u obzir zloporabe koje, kako kaže Marko Rakar, mogu biti i krajnje jednostavne.
– Svi elektronički sustavi podložni su nekoj vrsti zloporabe, primjerice jedna od metoda prijenosa novca preko granice su prepaid kreditne kartice koje, za razliku od novčanica, uopće ne morate prijaviti pri prelasku granice. Danas kad možete kreirati virtualne kreditne kartice naravno da je količina zloporaba eksponencijalno narasla. Servisi poput Airbnb-a i Ubera idealni su za pranje novca i legitimni ulaz novca u legalne tokove. Postoje slične prijevare na Amazonu, primjerice kreirate knjigu koja košta 1000 dolara i onda prodate 500 primjeraka... Videoigrice su također mjesto razmjene dobara, mnoge igrice dopuštaju kupnju tokena koje potom u igri možete razmjenjivati za neka virtualna dobra ili između igrača. A tu je i pitanje kriptovaluta čija pseudoanonimnost omogućava naglo seljenje vrijednosti preko potpuno automatizirane mreže – kaže naš komunikacijski stručnjak.
Zarada za umjetnine, vina...
Prema McGuireovoj studiji, na kibernetički kriminal otpada osam do deset posto ukupno opranog ilegalno zarađenog novca u svijetu, svake godine između 80 i 200 milijardi dolara. Virtualne su valute primarno sredstvo koje kibernetički kriminalci koriste za pranje novca, ali među njima više nije najpopularniji bitcoin nego su to manje poznate valute poput monera. Ilegalni se novac pere i igrama, gamingom, gdje su u fokusu Kina i Južna Koreja. To se, primjerice, obavlja kupnjom različitih predmeta u virtualnom svijetu neke konkretne igre. Od elektroničkih sustava plaćanja ističe se PayPal, ali i drugi takvi sustavi, to se ne čini krupnijim iznosima već nizom malih koji neće zapeti za oko nekoj reviziji ili kontroli. Kibernetički kriminalci mogu zarađivati i do dva milijuna dolara godišnje, kao kompanija srednje veličine u mjerilu FTSE250, dakle kao kompanije koje su listane između 101. i 350. mjesta na londonskoj burzi. Oni srednje jaki zarade dvostruku plaću američkog predsjednika, 900.000 dolara godišnje, a već početnici mogu doseći 42.000 USD. Nelegalno zarađen novac troše na različite načine, 30 posto njih ulaže u imovinu ili novac, umjetnine ili vina, 20 posto ulaže u opremu, drugih 20 posto u poroke poput droge ili prostitutki, 15 posto na svakodnevne potrebe, još 15 posto na statusne simbole poput nakita. To govori McGuireova analiza ponašanja stotinu uhićenih kibernetičkih kriminalaca. Jedan od njih zarađivao je 1,7 milijuna dolara godišnje pa je dio toga odlučio potrošiti na put u Las Vegas gdje je potrošio 40.000 dolara na kocku, a još 6000 na najam luksuznih automobila kako bi do kockarnice stigao u stilu. Tri tisuće dolara tjedno jedan je od njih trošio na prostitutke. Nikakvih problema ni za jednog ni za drugog, jer posla za ljude s takvim znanjem ima u izobilju. Sve dok ih ne uhvate. Shvatile su to i online trgovine luksuzne robe koje svoje proizvode i usluge nude i za bitcoine.
– Porezne uprave imaju velikih problema u detekciji takvih kriminalnih djela ili počinitelja iz jednostavnog razloga što počinitelji sami nisu zemljopisno ograničeni i svoj novac troše u međusobno različitim jurisdikcijama koje po definiciji nisu povezane. Transakcija gotovinom od 75.000 kn u Hrvatskoj bi pokrenula postupak provjere porijekla, no ako tu transakciju podijelite na nekoliko dijelova u više pravnih subjekata, transakcija ostane nevidljiva, ako je pritom podijelite i na više zemalja, tada je potpuno neprimjetna. Kreditnim karticama i kriptovalutama možete kupovati bilo gdje u svijetu, možete iskoristiti bilo koji od bankomata ili kupiti bilo koju uslugu. Počinitelji izrone na radaru poreznika i pravosudnih tijela kada krenu u kupnju nekih od reguliranih i praćenih oblika imovine poput nekretnina ili automobila, ulaganja u financijske instrumente, no dok se svode na transakcije i kupnju robe i usluga, dotle su gotovo nevidljivi – kaže Rakar.
Sada znamo da ljudi takvih sposobnosti, ako ih tako možemo i trebamo nazvati, postoje i u Hrvatskoj. O tome koliko je lako takvim vještinama doći do velikog novca svjedoči i činjenica da je kod zaprešićkog hakera uhićenog u operaciji Manufaktura, koja je dio velike međunarodne akcije Power Off, pronađeno više od 163 bitcoina vrijednosti osam i pol milijuna kuna. Sigurno 10 godina znamo da u Hrvatskoj postoji realna opasnost od DDoS napada. Više je puta rušen index.hr, nisu ostali imuni ni webovi naše grupe, rušene su i stranice hrvatske Vlade, i to za prosvjeda 2011., pa i oni koji bi po nekoj logici trebali biti najsigurniji, webovi Hrvatskog telekoma. No, tek sada, eto, vidimo da postoji i odgovarajuća služba koja se bavi takvom vrstom kriminala. S ponosom u policiji ističu da je akciju izvela novoosnovana Služba kibernetičke sigurnosti Uprave kriminalističke policije. Očito je da se ipak računa kako će potrebe za specifičnim znanjima u hvatanju kriminalaca takve vrste sigurno biti.
– Naravno da se takve djelatnosti događaju i u Hrvatskoj, najnovije otkriće jednog od najvećih DDoS mreža čiji je jedan od osnivača ili vlasnika upravo naš građanin to samo dokazuje. Koliko se drugih aktivnosti događa, možemo samo nagađati, ali budući da smo na ruti droge i trgovine ljudima, vjerojatno ima puno takvih operacija i kod nas – smatra Marko Rakar.
