Архивы: по дате | по разделам | по авторам

Конспираторы делятся опытом

Архив
автор : Максим Отставнов   22.06.1999

Анатолий Левенчук недавно в своей колонке пытался сопоставить 1999 год в России и 1994 год в Америке и угадать, наступит ли через три года год 1997-й или 1995-й (или 1861-й?). Может быть, впрочем, что он, наоборот, хотел посмеяться над такими сопоставлениями, но в такую жару ирония плохо воспринимается.

Анатолий Левенчук недавно в своей колонке пытался сопоставить 1999 год в России и 1994 год в Америке и угадать, наступит ли через три года год 1997-й или 1995-й (или 1861-й?). Может быть, впрочем, что он, наоборот, хотел посмеяться над такими сопоставлениями, но в такую жару ирония плохо воспринимается.

Если продолжать эту линию сопоставлений, я бы рискнул назвать еще один год: 1990-й. В 1990-91 гг. в США была предпринята попытка вывести телекоммуникации за пределы правового поля, лишив их участников базовых гражданских прав и свобод.

Чтобы понять, насколько это было серьезно, стоит вспомнить об операции "Солнечный зайчик", проведенной Secret Service в крупных американских городах, с огромным количеством незаконно изъятой техники и стрельбой из автоматического оружия по детям. Или - "дело" Крега Нейдорфа (Craig Neidorf), издателя электронного журнала "Phrack", которого ФБР пыталось посадить на 60 лет в тюрьму за правду о степени "защищенности" телефонных сетей.

Им очень хотелось представить любого владеющего элементарными навыками работы с компьютерными системами и сетями потенциальным преступником. Но они не поняли, что правила уже поменялись.
Сеть выступила как предметом заботы "электронных" активистов нового поколения, так и технологической платформой для их объединения и координации усилий. С относительно небольшими затратами новому антитоталитарному движению удалось отбить в Америке серию атак на права и свободы в телекоммуникациях, включая такие серьезные, как Clipper или системы несанкционированного доступа к частной информации, подобные СОРМ-2.

Многие средства массовой информации приложили огромные усилия, чтобы хотя бы контуры этой проблематики обозначились в общественном сознании и чтобы был осознан хотя бы порядок сложности области, стягивающей воедино правовые, культурные и технологические моменты. Стоит вспомнить, например, ежемесячник "Wired", поднявшийся (как позднее, отчасти, и еженедельник "Компьютерра" в России) на волне интереса к социальным эффектам компьютерных и сетевых технологий. "Wired" теперь стал более "легким чтением", но остается одним из лучших, на мой взгляд, "компьютерных" изданий мира (см. www.wired.com).

В то же время, дурная журналистика сыграла во всем этом весьма неприглядную роль. Чем дольше я работаю в журналистике, тем чаще мне вспоминается реплика из какого-то американского боевика: "You're worse than shit, you're a media man!" ("Ты - хуже, чем дерьмо, ты - человек из масс-медиа!"). Именно с подачи журналистов слово hacker стало употребляться (в том числе и невежественными полицейскими чинами) в значении cracker, и я подозреваю, что нелепейший термин "компьютерное преступление" имеет те же корни.

(Интересно, как бы отнеслись слесари к характеристике взлома с помощью отмычки как "слесарного преступления"?)

Аналогия с 1990 годом, в любом случае, неприятна. Ждут ли нас испытания, подобные операции "Солнечный зайчик"? Фабрикуются ли уже сейчас в недрах отечественных Secret Service и ФБР (ФСБ и МВД) дела о "хакерах" и "компьютерных преступлениях"? Я не знаю.

11 июня нашим коллегам из немецкого "Телеполиса" удалось взять интервью у человека, редко появляющегося перед журналистами, - председателя рабочей группы "Большой Восьмерки" по высокотехнологичным преступлениям Скотта Чарни (Scott Charney). Полный текст интервью можно найти на www.heise.de/tp/deutsch/inhalt/te/2937/1.html.

Корреспондент "Телеполиса" Кристиана Шульцки-Хаддути (Christiane Schulzki-Haddouti) задала Чарни, в частности, такой вопрос: "Если американский гражданин делает что-то незаконное с точки зрения законов США, используя российского провайдера, власти США попросят российских коллег о помощи, а российская полиция осуществит доступ к серверу без судебного ордера, каковой требуется в США, - не возникнут ли юридические проблемы?" Чарни признал, что возникнут, но углубляться в тему не стал.

Зато он рассказал о принятой в Америке практике "замораживания и сохранения" данных провайдерами по требованию полицейской службы: если пользователь подозревается в противозаконных действиях, у полиции (местной или ФБР) есть полномочия обязать провайдера сохранить копию данных пользователя на срок до 90 дней и тем временем добиваться подписания ордера, который позволил бы им ознакомиться с содержанием "замороженных" данных.

Чарни считает, что было бы полезно принять соответствующее регулирование и в остальных странах "Восьмерки", поскольку при международном расследовании часто требуется получать судебные санкции более чем в одной стране, а это требует времени.

Интервью Чарни оставляет впечатление о нем, как о технически грамотном и эрудированном человеке, понимающем всю сложность стоящих перед его подкомитетом задач, но понимающем также и необходимость четкой отработки всех правовых норм.

Однако обстановка конспирации, окружающая даже самые невинные технические аспекты взаимодействия в рамках подкомитета по Hi-Tech Crime, заставляет предположить, что не у всех организаций, сотрудничающих в его составе, все в порядке с законностью или по крайней мере с технической грамотностью.

Впрочем, о последней судите сами. Ниже следует весьма забавный фрагмент приложения к программе очередной встречи Подкомитета G8 по высокотехнологичной преступности, разосланной правоохранительным органам стран-членов "Восьмерки" (в том числе, разумеется, и российским). "Контрольное задание" подготовлено в Министерстве юстиции США. Текст в квадратных скобках добавлен нами при переводе.

Обратите внимание на последнее предложение в первом абзаце ("Распространение ответов... будет строго ограничено персоналом..."). У нас до сих пор нет аутентичной копии результатов опроса. Конспирация...

 
КОНТРОЛЬНОЕ ЗАДАНИЕ
DOJ-AAG, CRIMINAL

Это контрольное задание должно послужить обмену информацией по некоторым процедурным вопросам и средствам расследования (investigative tools), связанным с расследованием компьютерных преступлений и компьютерной судебной экспертизы. Оно не направлено на выяснение подробностей, связанных с юридическими/нормативными аспектами деятельности респондентов. Распространение ответов, собранных в результате этого контрольного задания, будет строго ограничено персоналом правительств и правоохранительных органов, связанным с расследованием высокотехнологичных преступлений.

Задание включает определенные вопросы, сформулированные так, чтобы помочь респондентам поделиться приемами расследования. Однако заданные вопросы не должны ограничивать респондентов в плане того, о каких средствах или приемах (включая специфическое оборудование, обеспечение или доменные имена [Sic!]), не описанных в задании, они могли бы рассказать, при условии, что таковые доказали свою успешность в реальных ситуациях.

Гипотетическое расследование

Провайдер услуг Internet сообщил об отказе системы в результате хакерской активности. Система состоит из сети, развернутой в окружении Windows NT. Владелец потерпевшей компании предоставил копии сообщений электронной почты, содержащих информацию от хакера, касающуюся его мотивов и размаха хакерской активности.

- Сообщение .1 (э/почта с сайта [в домене] .edu)

* Респонденты должны включить сайты, специфичные для их страны, и методы трассировки, специфичные для этих сайтов, в порядке сообщения дополнительных сведений [коллегам] следователям. Например, японский коллега предложил включить информацию о других доменных именах того же типа, таких как ac.jp в Японии.

- Сообщение .2 (э/почта с сайта бесплатных почтовых услуг (Juno, Hotmail и т. п.) с прикрепленным документом Word).

- Сообщение .3 (э/почта с анонимного римэйлера).

[Вопросы]

А - Какая полезная для расследования информация доступна из заголовка каждого из этих сообщений?

Б - Какие средства вы используете для трассировки/идентификации информации?

а) Укажите программное обеспечение или сайт Internet, с помощью которых можно идентифицировать почтовый сервер.

В - Документ Word, присоединенный ко второму сообщению, при попытке его открыть запрашивает пароль. Как вы идентифицируете метод шифрования/парольной защиты? Документ "Word" [Sic!] выбран как пример программного обеспечения с коммерчески доступным (через Access Data Software) средством взлома. Пожалуйста, включите всю известную вам информацию о коммерчески или бесплатно доступном программном обеспечении и приемах, показавших себя успешными в полном анализе защищенных паролем или зашифрованных данных.

Г - Вы обнаружили, что документ защищен с использованием проприетарной опции Microsoft Word. Как вы получите доступ к исходному тексту файла? (Перечислите используемое программное/аппаратное обеспечение.)

Д - Что бы вы посоветовали использовать потерпевшей компании для записи (мониторинга нажатия клавиш/протоколирования) дополнительной активности в качестве свидетельств? (Перечислите все рекомендуемое программное обеспечение или сетевые средства.)

...

[Второй набор вопросов для окружения UNIX]

...Е - Перечислите вопросы для опроса системного администратора потерпевшей компании, ответы на которые представят ценность для расследования. (Перечислите вопросы и свидетельское значение запрашиваемой информации.)

Расследованием установлено, что существует сайт Internet, на котором размещена информация о потерпевшей компании и сообщение для пользователей о том, что потерпевшая компания уязвима для атак. Как вы идентифицируете источник сайта [Sic!]? Какая информация о сайте доступна средствами Internet (дата размещения информации, количество доступов к сайту и т. п.)?

Ж - Перечислите все средства для исследования этого вопроса вместе с адресами Web-сайтов, если это возможно.

З - Расследование привело к необходимости просить потерпевшую компанию вступить в коммуникацию с хакером посредством сообщения э/почты на его адрес на hotmail. Как вы организуете эту коммуникацию для обеспечения отслеживания данных о хакере?

И - Расследование показало, что подозреваемый пользуется также chat-коммуникацией в Internet. Как вы получите дополнительную информацию об использовании им программного обеспечения для chat-коммуникации? Какую информацию, связанную с такой его активностью, вы будете искать на компьютере подозреваемого?

Расследование и полученные в его ходе данные позволили вам получить информацию, достаточную для подготовки ордера на обыск в жилище подозреваемого. До того, как исполнить ордер с целью изъятия компьютерного оборудования хакера, ответьте на следующие вопросы:

Й - Каковы основные моменты совещания, которое вы проведете со всеми членами следственной бригады?

К - Какие средства необходимо взять с собой на место проведения обыска для облегчения изъятия компьютерного оборудования и какие процедуры необходимо выполнить?

Л - Какие вопросы следует задать подозреваемому во время опроса и почему?

а) для получения информации о хакерской активности;
б) для получения информации, которая поможет обыскать компьютерное оборудование хакера.

В результате обыска в качестве доказательств изъяты:

Один настольный компьютер Hewlett Packard 400mhz в следующей конфигурации:

- 2 жестких диска: 10 gig [Sic!] IDE Seagate и 18 gig SCSI Maxtor;
- 128 mg [Sic!] RAM;
- флоппи-привод 3-1/2;
- 36x CD rom привод.

Один блокнотный компьютер Compaq 266 mhz в следующей конфигурации:

- один жесткий диск 8-gig;
- 96 mg RAM;
- флоппи-привод 3-1/2;
- 36x CD rom привод;
150 дискет.
25 CD/s.
Привод Iomega Zip с 5 (100 mg) zip-дисками.
Пишущий CD-привод.
8-мм ленты с приводом.

М - Во время обыска компьютер Hewlett Packard обнаружен включенным и соединенным с сайтом Internet. Что вы сделаете с ним до изъятия и транспортировки в свой офис?

Н - Какие предосторожности вы соблюдете до транспортировки его в свой офис для обеспечения защиты свидетельств?

О - Изъятые свидетельства переданы судебным экспертам для исследования.

а) Компьютер Hewlett Packard оказался защищенным паролем в CMOS. Какие шаги вы предпримете для исследования данных на двух жестких дисках, изъятых вместе с этой машиной?

Перечислите все оборудование и обеспечение, использованное для исследования компьютера, и объясните предпринятые шаги. Перечислите поставщиков использованного коммерческого программного и аппаратного обеспечения и оцените доступность средств, производимых правительством.

- Сохранение образа дисков;
- защита данных от записи;
- проверка программ-вирусов;
- опись содержания;
- просмотр удаленных файлов;
- просмотр свободного места;
- просмотр скрытых файлов;
- просмотр содержимого всех файлов.

Объясните все использованные возможности, которые обеспечивают просмотр или повышают аккуратность просмотра с учетом объема дисков.

- Просмотр графических файлов;
- просмотр содержимого временных файлов;
- просмотр Internet-кэша.

б) Наколенный компьютер Compaq найден в нерабочем состоянии. Попытаетесь ли вы отремонтировать компьютер? Если он остается в нерабочем состоянии, что вы предпримете для просмотра содержимого жесткого диска? (Вопрос относится к приемам, применяемым при исследовании как нерабочих жестких дисков, так и нерабочих блоков компьютерных систем.)

в) Какие процедуры вы используете для просмотра содержимого 150-ти дисков?

- Сохранение образа;
- опись содержимого;
- просмотр файлов.
г) Какие процедуры вы используете для просмотра содержимого компакт-дисков?

д) Обнаружено, что zip-диски защищены паролем с использованием проприетарной утилиты компании Iomega. Какие шаги вы предпримете для обхода пароля, защиты данных от записи и просмотра данных?

е) Обнаружено, что ленты содержат файлы резервных копий. Какие шаги вы предпримете для просмотра содержимого? Восстановите ли данные полностью?

П - Приведите план подготовки, проводимой для судебных экспертов.

Р - Приведите список рабочих групп (национальных и международных) или организаций, в работе которых принимает участие ваша служба в связи с компьютерной судебной экспертизой и компьютерными преступлениями.

Респонденты могут также перечислить средства расследования и приемы, относящиеся к другим формам электронных свидетельств, включая, но не ограничиваясь следующими:

- сотовые телефоны;
- электронные органайзеры;
- пейджеры;
- Jaz-диски,
- супердиски [Sic!];
- компьютеры Macintosh (Imacs [Sic!]);
- хакерские инструменты;
- цветные копиры с принтерным интерфейсом.

Ответы на данный опросный лист должны быть не позднее 30 апреля 1999 г. получены по адресу:

U.S. Secret Service
Attn: ATSAIC Mary Riley
1800 G Street, NW Room 942
Washington, DC 20223
Telephone: 202-435-5728
Fax: 202-435-7607
Email: mriley@usss.treas.gov




© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.