×Закрыть

Как не стать жертвой своего незнания: интервью с экспертом по информационной безопасности

Safety image via Shutterstock.

На одной из конференций в прошлом году, еще до Сноудена, мне удалось задать несколько вопросов человеку, чья профессия — помогать суду определять, есть ли на компе что-то незаконное. Автор ответов пожелал остаться анонимным.

Disclaimer
Этот текст не имеет никакого отношения к проекту «Психология в IT», и я не являюсь экспертом в области информационной безопасности.

HTTPS — насколько это надежно в отечественных условиях?

Трудно сказать однозначно. Если бы гос. провайдер был единственным, то существовала бы реальная угроза. Ведь получить центр сертификации и прослушивать проходящий трафик уже не составляет труда. Нетрудно заклепать сертификатов для MIT (man-in-the-middle), тут хватит всяких гуглов, майлрушечек и т.д. Главное, чтобы корневой сертификат попал в браузеры. А вы часто заглядываете во вкладку сертификата, когда просматриваете сайт с защитой?

Кстати, я так спалил СБУ, когда они нас вели на предмет взяток и прослушивали все наши интернет-каналы, но это уже другая история.

Cкайп надежен или нет?

Сам протокол — да. Я не нашел ничего, что его может декриптонуть в потоке. Но это же Майкрасофт: они с пользователь2пользователь постепенно переходят на пользователь2сервер. Для чата точно, для голоса и видео пока идет соединение только p2p. Плюс, они уже сотрудничали с нашими правоохранительными органами. На исследовании были записи видео, аудио и переписки из чата. Это, конечно же, редкость, но тревожный звоночек для параноика.

Что будет, если у меня дома найдут архив (rar, truecrypt) с паролем, который я не назову?

Для начала им нужно получить ордер на обыск, что для частного лица достаточно проблематично.

Найденные материалы отправляют на экспертизу. Если за 2 месяца ничего не определят, то исход очевиден — не успели, значит отпустят. Частные дела никогда не продлевают.

А если на работе?

Тут все зависит от того, кому принадлежит информация. Опять же экспертиза.

И, кстати, следователь не имеет права копаться в компьютере без специалиста.

По поводу truecrypt — получается, что если у кого-то примонтирован на работе диск с чем-то левым (фотошоп portable + mp3), и следователь не имеет права копаться, то до эксперта компьютер перезагрузится при транспортировке? Так?

Да. Компьютер приходит на исследование «холодным», но это не отменяет факта возможного маски-шоу со специалистом. Хотя это большая редкость.

На столе лежит ноут/смартфон. Если на нем есть инв. номер — то он принадлежит фирме. А если номера нет — его могут забрать?

Могут. Если не хотите чтобы забрали, нужно отвоевывать. Делать упор на «личный», настаивать на проверке, доказывать, что девайс не принадлежит фирме. Но, в любом случае, даже если телефон и ваш, они могут забрать карту памяти.

Меня просят вывернуть карманы/предъявить документы/остаться на работе. Что делать?

Технически можно забить. Но вам могут устроить и «показательную порку», чтобы другим было неповадно. Найдут, к чему можно придраться.

Все, что будет найдено в вашем кармане, не может являться доказательством. Это следует указать в акте или написать отдельным заявлением, взяв подписи свидетелей. В любом случае, присутствие юриста сильно охлаждает пыл органов.

Я работаю через remotedesktop/teamviewer, и меня просят показать, как я работаю с голой машины. Что делать?

Открыть браузер с вконтакте и общаться с друзьями. «Это и есть моя работа, я менеджер по общению с подписчиками». :)

Как оформляется факт изъятия, какие документы должны быть предоставлены?

Все зависит от типа обыска. В основном это акт выемки техники с предприятия. Именно по этому акту вам и будут все возвращать. Если изъяли больше, остаток не вернут. В любом случае, самое правильное — требовать полное описание системников, в индивидуальными номерами каждой комплектующей и т.д.

На моей памяти был случай, когда системник за исключением винта просто подменили после экспертизы. Народ жаловался, но добиться так ничего и не смог, хотя в экспертизе все было и с полным описанием.

У меня с фирмы вынесли технику. Какие временные рамки ее возвращения?

Выбить технику обратно тяжело. Легче купить новую, выйдет дешевле. Сроки возвращения — до 4-6 месяцев. Транспортировать технику от места хранения придется самостоятельно

Если дело было юридически разбито на досудебном исследовании, то вернут практически сразу. Если дело закрыли, а следствие «посеяло», они обязаны со своего кармана возместить.

Имеют ли место изъятие системных блоков из частных квартир, т.е. у частных лиц, а не у компаний?

В моей практике такое было редко, в основном это компы погибших. Было два или три дела, когда СБУ работали по конкретному человеку, получали разрешение на обыск и шли. В основном доказательная база была уже подведена, а техника была нужна всего лишь как еще последнее доказательство для галочки.

Как после изъятия блока гарантировать неприкосновенность коммерческой информации, принадлежащей клиенту, и избежание ее утечки?

Через руки экспертов проходят огромные объемы информации — в среднем от 500 до 700 Тб. Если отмести фильмы, проги, фотки то в сухом остатке примерно 10-20 Тб текста — хотите почитать? Как правило, мы сухо отвечаем на вопросы экспертизы. Смотреть порнуху или читать документы просто некогда. Кроме того с винтов снимается образ. В общем цитирую методику:

«Дублювання досліджуваної інформації (зняття образів) відбувається на окремо приєднаний до стендового комп’ютера експерта носій чи пристрій дублювання інформації на рівні: пристрій у цілому, окремий том, вибірково розділи тому. Перед дублюванням інформації повинні зупинятися процеси запису даних на програмному та, якщо це можливо, на апаратному рівнях на досліджуваний носій інформації. Дубльовані дані можуть мати вигляд копії всіх або обраних розділів на окремому носії чи образу (image) всіх або обраних розділів на носію інформації експерта. Для цього рекомендується використовувати наступне програмне забезпечення з підрахунком контрольної суми:

— ОС Linux, Windows 2003, програмні пакети The Sleuth Kit (TSK), WinHex/X-Ways Forensics, Encase, Forensic Toolkit (FTK), ILook та ін., що використовуються на розсуд експерта;

— підрахунок контрольної суми (криптографічного хеш-коду) MD5, SHA відбувається за допомогою програмних засобів, що обираються на розсуд експерта.

У виключних випадках, коли ємність інформації, що дублюється, перевищує технічні можливості обладнання експерта (чи, наприклад, наявна складна організація розподіленої бази даних, апаратно організованих RAID-масивів) зняття інформації може проводитись як безпосередньо на досліджуваному обладнанні, так і у вигляді віртуального середовища, у якому розгортається досліджувана ОС (наприклад, VM Ware, Virtual PC, VM за технологією Xen та інші ПЗ із відповідними поясненнями їхнього застосування, що надаються в експертному висновку)».

То есть то, что было на носителе, и остается на нем в том же виде. Образ в основном не живет дольше 2-3 дней после выполнения экспертизы — место и еще раз место. Винты по 1-2-3 Тб выходят из строя каждые 11-15 месяцев.

К тому же, по закону мы не имеем права разглашать открытые во время проведения экспертизы факты даже обвиняемому. Примеров нарушения пока не встречал ни у кого из экспертов, и не только нашей специальности. Отсидеть срок по глупости никому не хочется.

Где можно посмотреть размер штрафов за отдельно взятую программу, есть ли подобные списки?

Таких списков нету. Сначала экспертизой определяется что есть, потом считается убыток правообладателю, который вычисляется по коробочной версии. Штраф — это размер платы за лицензию программы + оплата расходов государства на выяснение вашей виновности. В любом случае это так просто не назвать. Все зависит от обстоятельств.

А в вашей конторе везде лицензионное ПО?

Практически. Исключение составляют компьютерщики, т.е. мы. Нам для экспертных нужд нужно ставить много чего. Но, как правило, это виртуалки для исследований, которые не живут больше исследования — 3-4 недели.

В большинстве случаев есть договоренности с компаниями производителями — например, 1С. У нас есть полные версии продуктов без ключей, которые не требуют хаспов, активаций. Часто это разовые запросы, иногда бывают и постоянные продукты, например 1С предприятие всех возможных версий. Есть и постоянные продукты, например X-Ways Forensics. И остальные «Forensics» в основном тоже приобретается на постоянной основе с обслуживанием.

Имеют ли право изымать компьютеры / ноутбуки / телефоны / плееры на проверку ППС на улице?

Нет, и точка. Без понятых, предписания и акта это вымогательство. Если отдадите — считайте подарили.
LinkedIn

12 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Шифрацию дисков и резервирование в удаленные места никто не отменял...
И нет головной боли)

Это всё хорошо, но разве ещё кто-то не использует аппаратный FDE в жёстких дисках при работе с неклассифицированной информацией? Ну тогда ССЗБ.

MIT (man-in-the-middle)
Этой аббревиатуре чего-то не хватает..

Я думаю понял каждый и так. Придирчивость(в данной статье думаю именно так) сейчас не в кассу=\

Хорошая у нас страна, в которой борьба с беспределом ментов покрывает 90% кейсов в информационной безопасности

Статья технически откровенно слабая, да и юридически тоже как-то не очень.

Для ликбеза, в формате которого написана статья, вполне годная.

Я так думаю, этот материал не задумывался как статья, просто автор поговорил со спецом и решил поделиться материалом с коммьюнити

Именно. Я задал вопросы, которые для меня интересны, и выложил ответы.

«...декриптонуть в потоке...» — ну и слова вы используете, чем вам не подходит исконно русское расшифровать?

наверное так легче специалисту. Вообще русские названия различным процессам — большое недоразумение. Зачастую читаешь книгу на русском, потом берешь английскую — так там все понятно становится и парой фраз, а наши переводчики переводят так что становится раз в десять больше всякого нелепого объяснения... ИМХО конечно.

«исконно русское» слово «шифр». :)
таки да, еще Нестор летописец его использовал

Подписаться на комментарии