Kybernetická kriminalita
15. září 2019
Brno
plk. Mgr. Karel Kuchařík
část I.
právní a legislativní aspekty
2
Kodifikace trestního práva
trestní právo hmotné
zákon č. 40/2009 Sb., trestní zákoník
trestní právo procesní
zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád)
3
1. Zásada řádného a rychlého zákonného procesu
2. Zásada přiměřenosti
3. Zásada oficiality
4. Zásada legality
5. Zásada obžalovací
6. Zásada vyhledávací
7. Zásada zajištění práva na obhajobu
8. Zásada presumpce neviny
9. Zásada volného hodnocení důkazů
10. Zásada ústnosti a bezprostřednosti
11. Zásada veřejnosti
12. Zásada zjištění skutkového stavu bez důvodných pochybností
13. Zásada rychlosti
14. Zásada spolupráce se zájmovými sdruženími občanů
Specifické zásady trestního procesu
4
Činnost policie ČR
zákon č. 273/2008 Sb., o Policii České republiky
5
6
Prostředí informačních technologií v právu
zákon č. 127/2005 Sb. o elektronických komunikacích
zákon č. 480/2004 Sb. o některých službách informační
společnosti
zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o
změně souvisejících zákonů (zákon o kybernetické
bezpečnosti)
7
Prostředí informačních technologií v právu
• rozhodnutí Soudního dvora Evropské unie ze dne 21.
prosince 2016 ve věci Tele2 Sverige (C-203/15), kterým
došlo k upřesnění výkladu e-privacy směrnice (2002/58/ES)
8
Prostředí informačních technologií v právu
rozhodnutí Soudního dvora Evropské unie ze dne 21. prosince 2016 ve věci Tele2 Sverige (C-203/15)
• omezení plošnosti
• jasná a přesná pravidla pro rozsah a použití takového
opatření pro uchování údajů
• omezení přístupu národních orgánů
• přesné vymezení pojmu „závažný trestný čin“
• doba uchování údajů
• ochrana uchovávaných údajů
• uchovávání na území EU
9
Prostředí informačních technologií v právu
rozhodnutí Soudního dvora Evropské unie ze dne 21. prosince 2016 ve věci Tele2 Sverige (C-203/15)
• plošnost činí z data retention funkční nástroj při
vyšetřování závažné trestné činnosti
• tzv. data freezing či jiné obdobné nástroje nejsou
uchovávání schopny plně nahradit
• zacílení na území, osoby omezuje zásadním způsobem
možnost OČTŘ efektivně data využít, navíc obtížně
proveditelné
10
Prostředí informačních technologií v právu
• dne 22. března 2011 plénum Ústavního soudu vyhovělo návrhu skupiny
51 poslanců Poslanecké sněmovny Parlamentu České republiky na
zrušení ustanovení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o
elektronických komunikacích a o změně některých souvisejících zákonů
(zákon o elektronických komunikacích), ve znění pozdějších předpisů, a
vyhlášky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů,
době jejich uchovávání a formě a způsobu jejich předávání orgánům
oprávněným k jejich využívání
vs.
• dne 14. května 2019 plénum Ústavního soudu nevyhovělo návrhu
skupiny poslanců na zrušení ustanovení § 97 odst. 3 a 4 zákona č.
127/2005 Sb., o elektronických komunikacích a o změně některých
souvisejících zákonů, ve znění pozdějších předpisů, § 68 odst. 2 a § 71
písm. a) zákona č. 273/2008 Sb., o Policii České republiky, ve znění
pozdějších předpisů, § 88a zákona č. 141/1961 Sb., trestní řád, ve znění
pozdějších předpisů, a návrh na zrušení vyhlášky č. 357/2012 Sb., o
uchování, předávání a likvidaci provozních a lokalizačních údajů
11
Prostředí informačních technologií v právu
• přestože Ústavní soud neshledal důvody pro zrušení právní úpravy tzv.
data retention a přestože od vyhlášení nálezu sp. zn. Pl. ÚS 24/10 a
přijetí zákona č. 273/2012 Sb. uplynulo jen několik let, neměl by
zákonodárce v době překotného vývoje moderních technologií „usínat na
vavřínech“.
1. současná právní úprava nereflektuje aktuální technologický vývoj a
společenský trend co do způsobu a forem využívání elektronické
komunikace, např. vymezení okruhu povinných subjektů
2. neodpovídá dnešnímu způsobu využívání služeb elektronické
komunikace – povinnost data retention se nevztahuje na
poskytovatele tzv. OTT služeb (např. Facebook, WhatsApp, Skype),
které již víceméně klasický telekomunikační provoz začínají
nahrazovat
12
Úmluva o počítačové kriminalitě
„Convention on Cybercrime“
(Úmluva o počítačové kriminalitě)
Budapešť, Maďarsko, 23. listopadu 2001
Rada Evropy - ETS No. : 185
ze strany ČR - podepsána 9. 2. 2005
účinná v ČR od 1.12.2013
část II.
prostředí a potírání kybernetické
kriminality
13
14
15
16
Zdroj: Mezinárodní telekomunikační unie, 2017
17
Zdroj: Český statistický úřad, 2017
18
Zdroj: Český statistický úřad, 2017
19
Zdroj: Český statistický úřad, 2017
20
Zdroj: Český statistický úřad, 2017
21
Zdroj: Český statistický úřad, 2017
22
Evidence podnikatelů v elektronických
komunikacích podle všeobecného oprávnění
23
Pojem kybernetická kriminalita
trestná činnost, která je páchána v prostředí informačních a
komunikačních technologií včetně počítačových sítí, kdy
předmětem útoku je samotná oblast informačních a
komunikačních technologií nebo je páchána trestná činnost za
výrazného využití informačních a komunikačních technologií,
jakožto významného prostředku k jejímu páchání
v širším slova smyslu chápeme kybernetickou kriminalitu i jako jiná
deliktní jednání, které v daném okamžiku nedosahují intenzity
trestného činu (zejm. přestupky).
24
Zjednodušení útoků v kybernetickém
prostředí
25
Trestné činy ve vztahu k datům, resp.
informacím v rámci informačních technologií
26
§ 182 - Porušení tajemství dopravovaných zpráv
§ 230 – Neoprávněný přístup k počítačovému systému a
nosiči informací
§ 231 - Opatření a přechovávání přístupového
zařízení a hesla k počítačovému systému a
jiných takových dat
§ 232 - Poškození záznamu v počítačovém
systému a na nosiči informací a zásah do
vybavení počítače z nedbalosti
27
Trestné činy, při nichž jsou informační
technologie výrazným prostředkem k
páchání jiných trestných činů
28
Trestné činy, při nichž jsou informační technologie
výrazným prostředkem k páchání jiných trestných činů
• § 209 tr. z. – podvod
• § 270 tr. z. – porušování autorského práva, …
• § 192 tr. z. – výroba a jiné nakládání s dětskou
pornografií
• § 175 tr. z. – vydírání
• § 355 tr. z. – hanobení národa, rasy, …
• § 356 tr. z. – podněcování k nenávisti …
• § 357 tr. z. – šíření poplašné zprávy
• § 184 tr. z. – pomluva
zák. č. 273/2008 Sb., o Policii ČR
ust. § 18 (vyžadování pomoci od osob a
orgánů)
ust. § 39 (rušení provozu el. komunikací)
ust. § 66 (získávání informací z evidencí)
ust. § 68 (pátrání po osobách a věcech)
29
zák. č. 141/1961 Sb. trestní řád
ust. § 8 odst. 1 (vyhovění dožádání)
ust. § 78 (vydání věci)
ust. § 79 (odnětí věci)
ust. § 88 a 88a (odposlech a záznam tel. provozu)
ust. § 89 odst. 2 (důkaz)
ust. § 158d odst. 3 (sledování osob a věcí)
30
31
2017
202 303 registrovaných trestných činů
107 920 objasněných trestných činů (53,35 %)
10 562 214 trvale žijících obyvatel (údaj ze sčítání lidu v roce 2011)
32
Statistika z evidenčního statistického systému
kriminality Policie ČR dle takticko-statistické klasifikace
trestných činů v prostředí sítě internet a v informačních
technologiích (celková)
Statistika Policie ČR
33
Poměr jednotlivých oblastí kybertnetické kriminality
Statistika Policie ČR
34
Vývoj řešení problematiky informační
kriminality u Policie ČR
35
• 1989 – 1998 je veškerá problematika z oblasti počítačové kriminality
řešena vždy jen s ohledem na místní a věcnou příslušnost bez určeného
vnitřního rozdělení specializace
• v roce 1998 vzniká na Policejním prezidiu ČR specializované pracoviště
se zaměřením na trestnou činnost v souvislosti zejména s tzv.
softwarovým pirátstvím
• následně se vměšuje do plněných úkolů i potřeba řešit problematiku
informační kriminality a to zejména s ohledem na stále rozšiřující
počítačovou síť Internet
• počátkem roku 2004, byla provedena analýza vlastní akceschopnosti a
možností řešení případů informační kriminality a kriminality, která ke
svému páchání využívá informačních technologií
• na základě této analýzy byly stanoveny kroky, které povedou k zajištění
profesionálního zabezpečení odhalování a vyšetřování trestné činnosti v
této oblasti
Historie řešení problematiky kybernetické kriminality u
Policie ČR
36
▪ v analýze z roku 2004 bylo počítáno s vytvořením systematizovaných
pracovních míst specialistů i v rámci ostatních součástí Policie České
republiky, aby byla zajištěna dostatečná akceschopnost v boji proti
informační kriminalitě a vznikla odborná podpora ostatních specializací na
lokálních úrovních
▪ veškerá místa zajišťují úkoly v obdobném rozsahu jako centrální
pracoviště, avšak dle své věcné a teritoriální působnosti. Komunikace se
zahraničím, bude zajištěna přes centrální pracoviště, které již nyní je v
nepřetržitém kontaktu s vybranými zahraničními specializovanými
pracovišti
▪ od ledna 2009 došlo k povinnému vytvoření pracovišť informační
kriminality v rámci jednotlivých krajských ředitelství a dobrovolně vznikají
pracoviště na lokálních částech krajů, tedy na územních odborech,
obvodech a městských ředitelstvích
Historie řešení problematiky kybernetické kriminality u
Policie ČR
37
▪ od října 2015 dochází k převedení odboru informační kriminality z
Policejního prezidia ČR na Útvar pro odhalování organizovaného zločinu
SKPV (ÚOOZ SKPV), které se od ledna 2016 přejmenovává na odbor
kybernetické kriminality
▪ od ledna 2016 se rozšiřuje odbor kybernetické kriminality ÚOOZ SKPV o
odbor vyšetřování kybernetické kriminality a analytiky ÚOOZ SKPV (od
srpna 2016 pak je ÚOOZ SKPV včleněno do nového celku a vzniká
Národní centrála proti organizovanému zločinu SKPV – NCOZ SKPV)
Historie řešení problematiky kybernetické kriminality u
Policie ČR
38
Historie řešení problematiky kybernetické kriminality u
Policie ČR
39
Organizační struktura Policie ČR
40
Pracoviště kybernetické a informační kriminality,
včetně servisních a forenzních pracovišť
Rozsah problematiky kybernetické
kriminality
Základním principem činnosti pracovišť je vysoce profesionální zvládnutí
informačních technologií s ohledem na další odborné specializace uvnitř
týmů, které jsou rozděleny na:
• cílené šetření a účast na vyšetřování jednotlivých specializací v rámci
kybernetické kriminality
• podpora a týmová spolupráce při vyšetřování kauz vedených na obecné a
hospodářské linii
• zálohování a dokumentace dat v síti Internet
• cílené rešerše zdrojů v síti Internet
• technická operativní analýza zajištěných stop
• monitorování sítě Internetu
• zpracovávání poznatků
41
zajišťování dat z počítačové sítě internet a ze
zajišťovaných datových médií
42
analýza operativních
informací z počítačové sítě
Internet a ze zajištěných
datových médií
43
odhalování, vyšetřování, monitorování kriminálních
aktivit a zajišťování důkazního materiálu v
informačních technologiích
44
výkon operativní činnosti
v prostředí IT v rámci
útvarů služby kriminální
policie a vyšetřování
45
zajišťování vzájemné přímé
komunikace
komunikace se speciálními
obdobnými pracovišti v
zahraničí
vzájemná koordinace
jednotný systém v České
republice
46
vzdělávací aktivity této problematiky uvnitř Policie ČR,
které mohou být cíleny a strukturovány
47
Koncepce kybernetické kriminality
„Koncepce boje proti organizovanému zločinu na období let 2011 – 2014“
48
„Koncepce rozvoje schopností Policie ČR vyšetřovat počítačovou a
informační kriminalitu“ nově „kybernetickou kriminalitu“
„Koncepce boje proti trestné činnosti v oblasti informačních technologií“
(2001)
• sjednocení náplní práce jednotlivých policistů zařazených na dané
problematice kybernetické kriminality
• omezení činností na straně specializovaných pracovišť a pracovníků
výkonné části služby kriminální policie a vyšetřování, které nesouvisí
přímo s výkonem boje s kybernetickou kriminalitou
• stanovení přímé provázanosti výkonných pracovišť kybernetické
kriminality
• stanovení systémově nejvhodnějšího řešení vztahu odborů
kriminalistické techniky a expertíz jednotlivých krajských ředitelství
včetně tzv. počítačové expertízy a Kriminalistického ústavu
• vytvoření vazeb přímé spolupráce s bezpečnostními složkami a s
prvky kritické infrastruktury a národním a vládním pracovištěm typu
CSIRT/CERT
49
„Koncepce rozvoje schopností Policie ČR vyšetřovat počítačovou
a informační kriminalitu“ nově „kybernetickou kriminalitu“
• personální posílení lokálních výkonných pracovišť služby kriminální
policie a vyšetřování určených pro kybernetickou kriminalitu na
minimální počet
• personální posílení forenzní části složek služby kriminální policie a
vyšetřování republikové a krajské úrovně určených pro tzv.
počítačovou expertízu
• vytvoření motivačního mechanismu pro garanci a zvyšování
odbornosti formou atestací a příplatku za odbornost
• stanovení povinných procesů monitoringu sítě internet v rámci vlastní
iniciativy a vytvoření mechanismu vlastního vyhledávání trestné
činnosti v informačním prostředí, zejména v síti internet
• zavedení plošného operativního vyhodnocování zajištěných digitálních
dat
50
„Koncepce rozvoje schopností Policie ČR vyšetřovat počítačovou
a informační kriminalitu“ nově „kybernetickou kriminalitu“
• nastavení zadávání a vyhodnocování údajů z provozu sítě internet na
straně výkonných složek služby kriminální policie a vyšetřování a
automatizování a centralizování zpracování požadavků u technického
útvaru služby kriminální policie a vyšetřování
• zavedení oprávnění vedení úkolů trestního řízení na straně výkonných
pracovišť kybernetické kriminality
• vytvoření specializačního kurzu pro pracovníky pracovišť kybernetické
kriminality
• uvolnění adekvátních prostředků pro alespoň základní účast na
zahraničních vzdělávacích aktivitách pořádaných zahraničními
bezpečnostními partnery
• nastavení povinné minimální technologické vybavenosti všech
pracovišť kybernetické kriminality
51
• nastavení povinné minimální technologické vybavenosti všech
forenzních pracovišť tzv. počítačové expertízy
• vytvoření jednotných datových úložišť pro výkonnou a forenzní část
služby kriminální policie a vyšetřování
• společné plánování jednotných nákupů pro výkonné pracoviště
informační kriminality a forenzní pracoviště počítačové expertízy
• postupná realizace vzájemné blízkosti dislokací výkonných a
forenzních pracovišť služby kriminální policie a vyšetřování na
jednotlivých úrovních v závislosti na vývoji stávajících dislokací
• přenesení zajišťování výpočetní techniky a dat na pracoviště
kybernetické kriminality
• zajišťování dat z prostředí sítě internet standardizovaným způsobem
osobami k tomu určenými
• vytvoření podmínek pro jazykovou vybavenost a zohlednění při dalším
přijímání
52
53
Hlášení kyberkriminality
V oblasti potírání informační kriminality byla
jako součást získávání poznatků
provozována tzv. Internet Hotline PČR, což
byl fakticky on-line formulář „Hlášení
kyberkriminality“, který byl veřejnosti
zpřístupněn na internetových stránkách
www.policie.cz.
54
Hlášení kyberkriminality
Ukončení provozu HOTLINE
Policejní hotline svoji činnost ukončila 24.
května 2018.
Aktuálně již jen odkaz na www.stoponline.cz
část III.
vývoj, kasuistika a preventivně informační
aktivity
• emailové schránky (hesla)
• počítače – servery
• webové stránky
• VOIP telefonní ústředny
• WIFI
56
Hacking
57
Hacking
58
Spoofing
59
Phishing
14.09.2019 60
Phishing
61
Runsomware
62
Podvodná inzerce
63
Bootnet
64Problematika informační kriminality
DOS, DDOS
65
On-line platby
66
Porušování autorského práva
67
Porušování autorského práva
68
Extrémistické projevy
69
Mravnostní kriminalita
70
Kyberšikana
03. dubna 2018
Virtuální měny a jejich
zneužívání
72
Australská firma inputs.io, provozovala server s
možností vytvoření a provozu bezplatné webové
bitcoinové peněženky. Pro provoz využívala vlastní síť
platebních řetězců. Na vstupy byly implementovány
četné bezpečnostní opatření a představovali okamžité
potvrzení o offchainu bez poplatků s snadno
implementovatelným rozhraním pro vývojáře. Během své
existence společnost zpracovala transakce za více než
235 000 bitcoinů.
V říjnu 2013 pak došlo k zneužití slabiny systému a firma
přišla o více jak 4 tis. bitcoinů. Transakce, kterou se to
stalo, je v blockchainu dohledatelná.
73
https://blockchain.info
74
DOS a DDOS
krypto ransomware
květen 2017 - WannaCry
říjen 2017 - Bad Rabbit
75
Když je klíč uložen na
lokálním počítači,
může ho najít virus,
který ho předá zloději.
Antivirové firmy
registrují šířené
škodlivé kódy, které se
na to specializují.
Nemusí pomoci ani zašifrování citlivých souborů, protože
škodlivý kód – virus v některých případech obsahuje takzvaný
keylogger, který registruje všechny stisky kláves.
76
Podvržené aplikace, které mají
za cíl získat přístupy ke
klientským účtům v rámci
směnáren a burz s virtuálními
měnami a současně i zajistit
přístup k mailovým
autentifikacím a autorizačním
procedurám.
77
Zneužívání strojového výkonu k těžbě bitcoinů
• infikované a nebo cíleně vytvořené webové stránky (na
warezových stránkách The Pirate Bay, jenž bez vědomí
návštěvníků experimentovalo s těžbou bitcoinů pomocí
Javaskriptu
• cloudové účty (u mezinárodních společností Aviva a Gemalto,
které používají cloudové služby u Amazonu, došlo k útoku na
jejich nedostatečně zabezpečených účtů, konkrétně konzolí k
administraci Kubernetesu
78
Útoky na systémy, které se
starají o uživatelské účty v
rámci směnáren a burz s
virtuálními měnami.
Vývojář pod nickem „devops199“ omylem
využil chybu v systému firmy Parity. V
rámci testování ne zcela dokonale
opravené původní chyby systému se stal
na okamžik vlastníkem multi-sig
peněženek téměř sedmi miliard korun v
kryptoměně Ethereum. Když to zjistil, v
panice kód smazal a tím došlo ke ztrátě
přístupů k peněženkám vůbec.
To samé platí i u
nedbalosti se obdobnými
následky.
79
Data v uživatelské
aplikaci spravující
virtuální měny uživatele
mohou být smazána a
nebo kompromitována
• chybně
naprogramovaný
upgrade
• kompromitace klíče
díky chybě v
šifrovacím algoritmu
80
81
82
Po realizaci a uzavření dvou největších trhů dark webu
poslední doby, AlphaBay a Hansa, které využívaly desítky
tisíc prodejců například k prodeji nelegálních drog,
padělaných dokladů a dalších nelegálních produktů bylo v
rámci vyhodnocení letos v červnu uvedeno, že k transakcím
používaly především
Bitcoin
Ethereum
Monero (funkce Ring Confidential Transactions)
Od spuštění těchto trhů v roce 2014 pak byly dle odhadů
provedeny obchody v hodnotě jedné miliardy dolarů.
83
• největším objemem a nárůstem jsou trestné činy spojené s
podvodným jednáním
• krádeže identit
• útoky formou tzv. phishingu
• útoky na mobilní zařízení
• nárůst vyvádění a transferu finančních prostředků do virtuálních
měn
• prolnutí nových technologií tzv. cloudových služeb
• stále aktivní tzv. torrentové služby
• anonymizační služby (botnety, proxy servery, služby typu TOR
atd.)
Vývoj v informační kriminalitě
84
• šíření malware a přechod do mobilních platforem
• projevy nesouhlasu s politickými a jinými veřejnými
názory formou hackerských útoků
• další profesionalizace pachatelů informační
kriminality a propracovanější dělba jednotlivých rolí
• větší zapojení tzv. botnetových sítí
• útoky na tzv. cloudová úložiště dat
• větší možnosti pachatelů veškeré trestné činnosti
zastírat vzájemnou komunikaci či výměnu dat
Bezprostřední očekávání trendů v oblasti informační kriminality
85
decentralizace
P2P (peer to peer)
eDonkey 2000, BitTorrent
Skype
Tor
Bitcoin
86
mobilita internetu
WiFi, mobilní internet
PC, Notebook, Tablet, Smartphone
87
šifrování
šifrování mezi klientem a službou
end to end šifrování
88
překlad adres (Carrier Network Address Grade)
TCP IP v.4 vs. v.6
89
úpravy trestního práva
úpravy mezinárodního práva
úpravy práva v oblasti telekomunikací a
elektronických komunikací
90
šifrování
rozšiřování šifrování
překlad adres
rozšiřování překladu adres
mobilita internetu
narůstající mobilita internetu
decentralizace
rozšiřující decentralizace
?
91
• nový technologický standard zaměřený nejen na
komunikační bezpečnost, ale i na systémovou
bezpečnost
• garance anonymity komunikace
• definování rozsahu a údobí anonymizace a
pseudoanonimizace
• reverzní možnost rekonstrukce komunikace bez on-line
dohledu
• rozšiřování služeb s garantovanou komunikací
• …
92
Prevence a informovanost
https://www.stoponline.cz
93
http://www.linkabezpeci.cz/
Prevence a informovanost
94
https://www.saferinternet.cz/
Prevence a informovanost
95
https://www.e-bezpeci.cz/
Prevence a informovanost
96
„Budoucnost závisí na tom co uděláme v současnosti.“
Mahátma Gándhí