U beskrajnom ratu za sajber bezbednost, Irfan Ahmed, dr., pruža dobrim momcima digitalne forenzičke alate — i znanje za njihovo korišćenje.
Ahmed je vanredni profesor računarstva i direktor Laboratorije za bezbednosno i forenzičko inženjerstvo u okviru Odseka za računarske nauke VCU Engineering. U SAFE Lab-u, on vodi par projekata koji imaju za cilj da zaštite industrijske sisteme od loših momaka, i pokazuje kako se isti alati napravljeni za istraživanje sajber napada mogu koristiti za ispitivanje drugih zločina.
Sajber napadi na fizičku infrastrukturu mogu biti pokrenuti da izazovu haos ometanjem sistema i/ili držanjem sistema za otkup. Ahmedova SAFE Lab fokusira se na zaštitu industrijskih kontrolnih sistema koji se koriste u radu nuklearnih elektrana, brana, sistema za isporuku električne energije i širokog spektra druge kritične infrastrukture u SAD. Problem nije nov: 2010. godine, Stuknet kompjuterski crv je ciljao centrifuge na Iranski nuklearni objekti pre nego što se oslobode i zaraze „nevine“ računare širom sveta.
Sajber napadi često ciljaju na deo softverske arhitekture poznat kao kontrolna logika, koja prima uputstva od korisnika i predaje ih da ih izvrši programibilni logički kontroler. Na primer, kontrolna logika koja nadgleda cevovod prirodnog gasa može biti programirana da otvori ventil ako sistem otkrije da je pritisak previsok. Programeri mogu da modifikuju kontrolnu logiku — ali isto mogu i napadači.
Jedan od Ahmedovih projekata, pod nazivom „Digitalni forenzički alati i tehnike za istraživanje kontrolnih logičkih napada u industrijskim kontrolnim sistemima“, omogućava mu da napravi uređaje i tehnike koje sajber detektivi mogu da koriste u svojim istragama. On je istakao da su istražne sposobnosti nedovoljno istražena oblast, jer je najveći naglasak stavljen na prevenciju i otkrivanje sajber napada.
„Najbolji scenario je sprečavanje napada na industrijske sisteme“, rekao je Ahmed. „Ali ako se napad desi, šta onda? Ovde pokušavamo da popunimo prazninu u VCU. A znanje koje steknemo u istrazi sajber napada može nam dodatno pomoći da otkrijemo ili čak sprečimo slične napade.“
U svetu sajber-bezbednosti mačke i miša, način na koji kriminalci rade je u stalnoj evoluciji, a Ahmedova SAFE laboratorija posvećuje veliku pažnju najnovijim dešavanjima zlonamernika. Na primer, napadač može izabrati suptilniji pristup od modifikacije originalne kontrolne logike. Metoda napada koja se zove programiranje orijentisano na povratak vidi zlonamernika koristeći postojeći kontrolni logički kod, ali vešto menja sekvencu njegovog izvršavanja. Drugi napadači mogu da ubace zlonamerni softver u drugu oblast kontrolera, programiran da radi neotkriveno dok ne zameni funkciju originalne kontrolne logike.
Napadači uvek smišljaju nove metode, ali svaki napad ostavlja tragove dokaza. SAFE Lab ispituje scenarije napada kroz simulacije. Modeli fizičkih sistema, uključujući lift i sistem transportne trake, smešteni su u laboratoriji kako bi se olakšao rad. Lift je model sa četiri sprata sa unutrašnjim i spoljašnjim tasterima koji se ubacuju u programibilni logički kontroler. Transportna traka je naprednija, opremljena induktivnim, kapacitivnim i fotoelektričnim senzorima i sposobna da sortira predmete.
Alati i metode koje se primenjuju u borbi protiv sajber kriminala mogu biti korisne u pronalaženju drugih zlonamernika. Tu dolazi Ahmedov drugi projekat. On se zove „Obuka o iskustvenoj digitalnoj forenzici integrisana u nauku podataka zasnovana na studijama slučaja iz stvarnog sveta artefakata sajber kriminala“. Ahmed je glavni istraživač, koji radi sa ko-institucijom dr Kostadinom Damevskim, vanrednim profesorom računarskih nauka.
Cilj je da osoblje za sprovođenje zakona bude u toku sa najnovijim trendovima u istrazi sajber kriminala i da se opremi sa najnovijim alatima i tehnikama, uključujući i one razvijene u SAFE Lab.
„Na primer, istražitelji često moraju da pregledaju hiljade slika, mejlova ili ćaskanja, tražeći nešto veoma specifično“, rekao je Ahmed. „Verujemo da im pravi alati za nauku podataka mogu pomoći da suze tu pretragu.“
FBI i druge agencije za sprovođenje zakona već imaju namenske jedinice za sajber otkrivanje; Državna policija Virdžinije ima odeljenje za prikupljanje kompjuterskih dokaza u Ričmondu. Ahmed i Damevski organizuju sesije pokazujući istražiteljima kako tehnike iz nauke o podacima i mašinskog učenja mogu da učine istrage efikasnijim sortiranjem gomila digitalnih dokaza koji su sve više karakteristika modernog kriminala.
