Архивы: по дате | по разделам | по авторам

Обойдемся без Шерлока Холмса

АрхивОнлайн
автор : Григорий Рудницкий   27.08.2008

Те, кто хоть раз сталкивался с отечественным правосудием, знают - как трудно приходится, когда речь заходит о высоких технологиях. Управляющий директор Kroll Ontrack Марек Сучик рассказал нам о правильной методике засвидетельствования компьютерных преступлений.

В цифровую эпоху и преступления соответствующие. Поэтому необходимы специальные методы их расследования. С одной стороны, в правоохранительных органах работают соответствующие подразделения, такие, как хорошо известное "Управление К", а с другой - немалую помощь могут оказать и ИТ-компании, которые также специализируются на засвидетельствовании таких преступлений. Данная услуга носит название Computer Forensics. О ней нам рассказал управляющий директор компании Kroll Ontrack по Центральной и Восточной Европе Марек Сучик. На один из вопросов также ответил глава российского представительства этой компании Анатолий Рассоленко.

- Что представляет собой услуга по экспертизе компьютерных преступлений, и что в данном направлении делает компания Ontrack?

- Computer Forensics - это достаточно сложно объяснимый термин для неспециалиста. Другими словами его можно расшифровать, как засвидетельствование компьютерных преступлений, или, если хотите, компьютерное засвидетельствование преступлений. Соответственно, мы даем ответы на вопросы: "кто?", "когда?", "что сделал?", а также, во многих случаях - "почему сделал?". Мы даем свидетельство о происходившем.

Сейчас у многих имеется целый ряд не самых простых электронных устройств, таких, как, например, вот этот ваш диктофон. Это мобильные телефоны, ноутбуки и нетбуки, наладонники и т.д. У любого из этих устройств есть встроенная память, которая хранит данные. Соответственно, эти данные включают в себя не только свое основное содержимое, но и служебную информацию, метаданные. Эти метаданные сообщают всю информацию о файле - что с ним делалось, когда он открывался и редактировался и т.д. Говоря о данных, мы имеем в виду файлы. Но, на самом деле, файлы - это только часть данных. Вторую часть данных как раз и представляют собой именно метаданные или, как мы их еще называем "теневые данные" (shadow data). Когда создается любой файл в Word или Excel, при этом генерируется служебная информация о нем, которая затем меняется по мере того, как кто-то открывает файл и делает с ним какие-либо операции. Любое действие пользователя на компьютере или в сети так или иначе регистрируется, причем в нескольких местах. Именно эти следы дают возможность проследить за тем, что происходило.

К примеру, в некой компании топ-менеджмент хочет разобраться в каких-либо проблемах с помощью Computer Forensics. Как это делается? Прежде всего, создаются образы со всех электронных устройств, принадлежащих сотрудникам. Это телефоны, ноутбуки, диктофоны, серверы и т.д. Чтобы четко представлять, что именно произошло, все эти образы должны быть под рукой. И уже исходя из этой собранной информации может быть найден источник проблемы. Мы можем сказать, например, что вот этот файл, который содержит стратегию компании или любую другую ценную коммерческую информацию, был создан тогда-то, затем его скопировали в другое место, затем перенесли на телефон, переслали по электронной почте и т.д. Все это способно дать улики.

- Насколько надежным средством детектирования преступлений являются  методы Computer Forensics? В скольких процентах случаев эта услуга действительно помогает выявить виновных?

- Понимаете ли, это ведь целостный процесс раследования преступлений. Говорить отдельно об эффективности Computer Forensics не имеет смысла. Computer Forensics - это технология. Мы можем назвать какие-то цифры в суде, сообщить о судьбе той или иной информации. Многое зависит от людей, которые занимаются самим расследованием. Если они достаточно умны и понимают, что делают, эффективность может достигать ста процентов.

Приведу пример. Есть подозрение, что было совершено какое-то преступление. Немедленно следует сделать образы со всех электронных устройств. Это должно быть сделано мгновенно и одновременно, так же, как в обычном расследовании снимаются отпечатки пальцев. Допустим, вы убийца, на пистолете ваши отпечатки пальцев, но если кто-то уже прикоснулся к этому пистолету, то ваших следов на нем уже не останется или их будет гораздо меньше.

Вот пример того, как не надо поступать при обнаружении компьютерных преступлений. Одна польская компания должна была быть продана другой компании. Они договорились о цене, а момент продажи должен был состояться через год. Была объявлена цена, но, так как в стране наблюдался бум информационных технологий, эта цена была достаточно высока. Через год произошел кризис, многие ИТ-компании стали банкротами, да и цена этой компании тоже сильно упала. Итак, большая должна была купить маленькую компанию за большие деньги, а стоимость ее на самом деле уже была гораздо ниже. Так вот один из менеджеров этой маленькой компании за спиной у других договорился, что приведет эту маленькую компанию к банкротству. Он стал готовить план, как осуществить это банкротство. Он создавал на своем компьютере презентации, осуществлял с него переписку по данной теме, делал много других не очень умных вещей. Совершенно случайно учредители этой маленькой компании увидели эту презентацию о банкротстве. Первым делом они скопировали всю информацию на сторонние носители, много раз сохранили этот файл на разных устройствах. Отнесли ноутбук того менеджера нотариусу, много раз его включали, показывали презентацию. В конце концов все кончилось тем, что уже не осталось никаких улик. Каждый раз, когда система запускается, создается очень много теневой информации, которая генерируется независимо от каких-либо наших действий. В результате учредители все-таки выиграли суд, но случилось это лет через пять. А если бы они обратились к специалистам по Computer Forensics и сразу же сняли образ, дело можно было бы завершить за пару месяцев. Сам по себе файл - это не улика, а метаданные как раз и являются уликой. Сейчас мы работаем над тем, чтобы государственные и коммерческие структуры знали, что нужно делать в подобной ситуации, чтобы они могли получить все необходимые улики с помощью Computer Forensics.

- Вы сейчас рассказали о том, как не надо поступать в случае обнаружения компьютерных преступлений. А можете привести пример верных действий?

- Первым делом мы разговариваем с клиентом, выясняем все обстоятельства. Пусть это займет пару часов, пару дней или даже пару недель - неважно. Необходимо выяснить, кто это мог сделать, воссоздать окружение и ситуацию. Сразу же после этого мы приходим и снимаем точные образы со всех электронных носителей - от мобильных телефонов до серверов. Каждый образ описывается так называемой контрольной суммой. Это достаточно сложное дело, так как информация со всех устройств должна сниматься одновременно. И если у компании четыре офиса по всему миру- в Москве, Париже, Лондоне и еще где-то, все должно быть синхронизировано по времени. Самое главное, повторяю, это сделать снимок (screenshot).

Многие наши клиенты просят нас делать эти снимки ежеквартально. Пусть у них и нет никаких проблем, но они хотят, чтобы у них было свидетельство. Если что-то произойдет, свидетельство уже будет.

- Кто может гарантировать, что эти снимки являются безупречным доказательством, в которое никто не внес никаких изменений уже потом?

- Репутация нашей компании сама по себе очень важна. И она достаточна для большинства корпоративных случаев. Для суда же важно другое. В юридических делах необходимы два источника. Это отдел полиции, занимающийся расследованием компьютерных преступлений, который просит нашу компанию продублировать у себя информацию и засвидетельствовать. Мы не считаем себя идеальными и лучшими, а результат своей работы всегда можем предоставить для рассмотрения другой компании.

- Анатолий Рассоленко. Могу привести другой пример, аналогичный Computer Forensics. Когда какая-либо компания хочет выйти на IPO, она проводит аудит, проверку своей деятельности. Аудит заказывается у независимой компании. Самыми известными здесь являются представители "большой четверки" - PriceWaterhouse Coopers, KPMG, Deloitte и Ernst and Young. Отчетность, на которой стоят подписи представителей этих компаний, ни у  кого не вызывает сомнения. Репутация этих аудиторов - основная ценность в их бизнесе. Их подписи значат многое. То же самое и в случае с нашей компанией.

- Сколько процентов предлагаемых вами услуг в области Computer Forensics приходится на сотрудничество с правоохранительными органами, а сколько - с коммерческими структурами?

- 90 процентов - корпоративные клиенты, остальное - правоохранительные.

- Есть ли у Ontrack планы по сотрудничеству с российскими правоохранитальными структурами в области Computer Forensics?

- Подобное сотрудничество происходит во всех странах. То же самое мы бы хотели видеть и в России. Это было бы полезно для локального отделенияя Ontrack. Главное для такого рода сотрудничества то, что информация не должна уходить из страны. В России должна быть команда, которая будет этим заниматься. Если говорить о простом восстановлении данных, то в особо сложных случаях мы можем отправить носитель в Европу, то при Computer Forensics подобного происходить не будет.

- Какие компании вы считаете своими конкурентами в области Computer Forensics?

- Это уже упоминавшиеся международные аудиторы PriceWaterhouse Coopers, KPMG и Deloitte. Но в отличие от них мы не даем юридических советов, как поступать с информацией. Наши сильные стороны - технология и опыт. Мы стопроцентно концентрируемся на технологиях, и по технологиям вряд ли кто-то сможет конкурировать с нами.

- Какой объем средств вы собираетесь инвестировать в развитие услуги Computer Forensics в России?

- Основные инвестиции - это люди. У нас уже есть технологии, ПО, оборудование. Повторно изобретать их не нужно.

 

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.