В 2021 году количество кибератак выросло на 40%, каждую неделю их не меньше тысячи. Причем хакеры не только взламывают аккаунты и крадут личные данные, а атакуют больницы и гидроэлектростанции, даже участвуют в войнах. Защитить от атак и найти преступников пытаются кибердетективы — они собирают технологичные улики и цифровые следы, чтобы задержать хакеров. Об этом рассказывает Светлана Островская, тренер по компьютерной криминалистике в Group-IB.
Читайте «Хайтек» в
Самая распространенная жертва хакеров — финансовые компании. Кто может быть жертвой хакера? Первое, что приходит в голову, — это банки. Все-таки деньги — самый остро стоящий вопрос, особенно в России. Но это не единственная мотивация, а банки — не единственный объект, который интересует хакеров.
Атакуют не только финансовый сектор, но еще и телеком или энергетику. Под угрозой обычные пользователи, маркетплейсы, площадки онлайн-торговли. Никто не защищен — могут взломать счета тех, кто пользуется интернетом и покупает товары. А для обычных пользователей главная угроза — похищение личной информации, угон аккаунтов.
Хакеры бывают разного уровня — от мошенников до спецслужб. Есть несколько уровней взломщиков и у каждого из них свои жертвы.
В первую очередь — обычные мелкие мошенники. Энтузиасты, которые совершают атаки для того, чтобы привлечь внимание, подзаработать, увести у кого-нибудь аккаунт для развлечения, для доказательства того, что «я могу это сделать».
Но есть и организованные группы, которые занимаются атаками профессионально. Они подготавливают многоэтапные целевые атаки и проходят весь процесс от проникновения в организацию до доступа к изолированным сегментам сети, где находятся важные данные, вроде систем карточного процессинга в банках или серверов с критичной информацией.
Следующий уровень — люди, которые атакуют проправительственные сайты, это могут быть спецслужбы и государственные хакеры. Обычно они и взламывают объекты энергетической инфраструктуры и телеком-сектор.
В 2020 году многие такие группы перешли на реальные военные действия, атаки критически важных объектов. Особенно часто атакуют ядерные объекты. Причем это делают в определенных странах — там, где есть военный конфликт, страны-соперники начинают друг друга атаковать. Например, за 2020 год много таких атак было в Иране и Израиле — политическая ситуация отразилась на том, что произошло в киберпространстве.
Русские хакеры — сложившийся образ. Но их влияние преувеличено
Хакеры из России есть, но в США их образ демонизировали. В последнее время очень много слухов и обвинений в сторону русских хакеров. Это связано с тем, что большинство атак проводится на финансовый сектор, например, кражи банковских карт, в основном происходят на территории США. Учитывая отношения двух правительств, многие начинают подозревать в этом русских.
Во время предвыборной гонки и после выборов в США русских хакеров обвиняли во вмешательстве в процесс. С чем это связано, учитывая, что доказательств нет? Иногда хакеры шутят — например, специалист по интернет-технологиям и автор веб-сервиса Russian apache опубликовал вот такой пост.
Он собрал очень много репостов и ответов, многие поддержали шутку.
Или другой пример — досрочное выборы президента США на Госуслугах. Если какой-то человек почитывает русский «Твиттер», зная язык, откуда он может знать, что у нас такой юмор? Вот и складывается картина — русские хакеры, которые сидят в шапке-ушанке с ручным медведем и взламывают Пентагон. На это накладывается представление о том, что русские программисты и разработчики — одни из самых лучших на мировом рынке.
У русских хакеров есть негласное правило — не работать в зоне .ru. Но так делают не все. Это логично и очевидно: не работай там, где живешь. Если работать в зоне .ru и жить в России, то тебя вычислят гораздо быстрее. Большинство тех, кто проводит атаки, следует этому правилу.
Но есть исключение — группировка OldGremlin не соблюдает это правило, они любят рисковать и атакуют российские компании в сфере медицины, здравоохранения и финансов. То есть у них нет конкретных целей — они атакуют совершенно разные организации по всей России. В 2020 году они совершили минимум девять атак, зашифровали целые корпоративные инфраструктуры и требовали за это немалые выкупы.
Для чего хакеры рискуют и занимаются атаками
Хакеры не только хотят заработать, иногда это идеология. Деньги — самая крупная мотивация. Но если мы говорим о проправительственных группировках, то они хотят получить доступ к какой-то суперсекретной информации. Хакеры хотят исследовать ее и передать своему государству, чтобы власти в дальнейшем использовали это в своих целях.
Но мотиваций с каждым годом все больше и больше. Кто-то хочет рискнуть, другие — увидеть мир в огне, третьи — отнять деньги у одних и передать другим. Кто-то хочет доказать, что он может взломать какие-то системы, или потренироваться.
Плюс есть хактивисты — хакеры, которые хотят привлечь внимание к проблеме с помощью атак. Например, группа Anonymous — те самые ребята, которые каждый год проводят акции и атаки в честь жертв Холокоста. Поэтому с каждым годом все сложнее и сложнее определить, в чем реальная мотивация конкретной атаки.
https://youtube.com/watch?v=cbiVxQ42mkk%3Flist%3DPLn4CTt5ibU6csttysWHK-qqiE7Kp4KtIp
Во время пандемии многие перешли на шифровальщики. Так можно получить доступ в финансовую организацию и не мучиться с тем, чтобы попасть в изолированный сегмент сети и разбираться в системе управления. Гораздо проще найти важную информацию, скопировать ее, зашифровать и попросить за это выкуп.
Один из последних трендов — партнерские программы. Например, какая-то группировка открыла доступ в корпоративную сеть организации. Но они ничего с этим не могут сделать, у них нет нужных инструментов. Для этого есть операторы шифровальщиков, у которых есть инструменты для того, чтобы все зашифровать. Почему бы им не объединиться? Одни получают доступ, другие все шифруют, и они делят между собой выкуп.
Все дошло до того, что некоторые операторы шифровальщиков, например, группа Maze, организовала свой картель. Причем тенденцией стало не просто шифрование всего подряд, а только важных данных. Если атакующие видят, что есть бэкапы этой информации, — они ее удаляют или крадут.
Они не просто просят выкуп, а еще и угрожают тем, что данные окажутся в открытом доступе. Это позволяет повышать стоимость данных и вероятность того, что им точно заплатят. У Maze даже есть сайт, где они выкладывают похищенные данные тех компаний, которые отказались им платить.
Те, кто занимается фишингом, тоже перешли на партнерские программы. Пока Россия — единственная страна, где есть этот феномен.
Фишинг в России развивается с каждым годом все сильнее. За последний год выявлено на 118% больше мошеннических ресурсов. Причем сейчас клоны сайтов делают абсолютно под все подряд — ставки на спорт, Netflix, Microsoft, Steam. Из-за того, что у людей недостаточно высокая осведомленность, и из-за того, что они не могут определить, что ссылка мошенническая — количество жертв растет.
Миллиарды долларов, угнанные аккаунты и продажа личных данных
Взломы — огромный рынок, но эта статистика неполная. Общий рынок кардинга в этом году составил почти $2 млрд, но это всего 3% от общего количества атак. В остальных случаях неизвестно, чем закончилась атака — заплатили им или нет, компании предпочитают не распространять такую информацию. Эта крупная сумма, но она даже не близка к реальной цифре.
Если брать первую половину 2020 года, в продаже появилось еще 227 доступов, и это только в открытых источниках. Есть и приватные форумы, данных по ним у нас нет.
Кибердективы предотвращают взломы и ищут преступников. В голову сразу приходят образы реальных детективов, Шерлока Холмса. Но кибердетектив расследует киберпреступления — Холмс мог собрать доказательства, исследовать их, сделать выводы и найти виновного. В киберпространстве ситуация сложнее, нет универсального специалиста, который может сделать все идеально. Поэтому у кибердетектива составной образ.
Что нужно делать, когда происходит атака? Сначала ее нужно обнаружить — для этого есть специальные организации, которые мониторят киберугрозы по всему миру. Сейчас многие компании, которые действительно ценят свою безопасность, держат у себя команду по мониторингу, которая просматривает сообщения о подозрительной активности и проверяют их.
Дальше начинается паника из-за атаки, особенно если есть подозрительный трафик и его удалось выявить. Анализ очень кратковременный, он занимает 1-2 часа. Если за это время не удается собрать информацию, то все передается дальше — специалистам по реагированию на инциденты. Они начинают собирать улики, исследовать цифровые артефакты и пытаются понять, как проникли в организацию, находятся ли они в организации сейчас, на каком этапе атака. В то же время специалисты по расследованиям инцидентов исследуют вредоносный код.
Если компания хочет наказать хакера — нужно собирать улики. Здесь в игру вступает классическая криминалистика. Реагирование на инциденты и криминалистика идут друг за другом, у них используется одна и та же база. Криминалисты собирают цифровые доказательства, анализируют, делают по ним выводы. Эти выводы помогут составить заявление для суда. В ходе судебного разбирательства также будет проводиться экспертиза, к которой привлекут компьютерных криминалистов.
Если есть предположение, кто провел атаку, — что делать дальше? В цифровом пространстве у каждого есть цифровая личность, которая оставляет следы. Есть отдельные специалисты, которые пытаются связать цифровой портрет и реального человека. Это трудоемкий процесс, он занимает очень много времени. Эти специалисты составляют социальные графы и исследуют места, в которых засветились аккаунты и какая информация там была. Они пытаются проанализировать, как происходило общение между злоумышленниками, и ищут маленькие подсказки. Дальше восстанавливают полную картину по крупицам и напрямую работают с органами, которые задерживают хакеров и группировки.
Хакера можно поймать по его цифровым следам. Всегда есть человеческий фактор, какие-то мелкие человеческие ошибки, в основном за счет них как раз и ловят реальных людей. Кто-то, например, награбил столько, что уже некуда было тратить деньги и человек начал без отмывания пересылать деньги, класть близким на телефон. Кто-то там не смог бросить девушку, переписывался с ней и попался. Был случай, когда удалось вычислить всех участников группы, потому что у них была переписка, где они обсуждали свадьбу друга и там были общие фотографии.
Как цифровая гигиена помогает защитить личные данные
Для того, чтобы защитить данные, нужно придерживаться нескольких правил. Большинство пользователей не знакомы с правилами цифровой гигиены, хотя они очень простые. Ничего сложного в том, чтобы использовать разные пароли — нет, но их сложно запомнить. Для этого есть решение: менеджеры паролей. Поэтому очень важно разбираться в этой тематике, следить за своей цифровой гигиеной и повышать свой уровень осведомленности. Я сделала чек-лист: что нужно предпринять прямо сейчас, что нужно делать всегда и что нужно делать регулярно. Но самое главное — действительно обращать внимание на эту проблему, помнить, что это важно, и помнить, что это нужно.
Самое главное заблуждение: «Кому я нужен? Да кто меня будет атаковать?». На самом деле сейчас атакуют всех подряд. Обычным мошенникам нужны аккаунты в социальных сетях, которые затем можно перепродать.
Между киберпреступниками и специалистами по борьбе с ними происходит постоянная гонка. Когда с одной стороны что-то придумывают — другие находят как это обойти. Это бесконечный процесс — вечная битва добра и зла, которая нарастает как снежный ком.
Помните, что хакеры реальны, это не легенда. И им интересны все, и вы — не исключение. Поэтому пользуйтесь чек-листом, следите за своей цифровой гигиеной и будьте осторожны.
Китайский электромобиль с открытым верхом маневрирует как мотоцикл и меняет положение руля
Посмотрите на доисторические лыжи, найденные в норвежском леднике. Археологи теперь ищут их владельца
Посмотрите на цифровое искусство, которое сделали на основе анализа книг Айзека Азимова
Время на прочтение
Веста Матвеева — эксперт в области информационной безопасности компании Group-IB, признанной изданием Business Insider UK одной из 7 самых влиятельных мировых организаций в индустрии кибербезопасности. За 6 лет она провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследования и раскрыла несколько дел.
Веста приехала в Университет Иннополис по приглашению преподавателей и студентов программы магистратуры Разработка безопасных систем и сетей в рамках курса CyberCrime and Forensics. Гостья прочла лекцию о том, как глобализируется киберпреступность, какие тактики и инструменты используются для атак на финансовые и промышленные организации и какими методами пользуются киберкриминалисты для борьбы с хакерами.
Работа
В Group-IB нельзя просто работать с 10 до 19. Перед нами стоит глобальная цель — борьба с преступностью. Мы помогаем бизнесу, государству и другим жертвам кибератак найти тех, кто стоит за преступлением, и довести злоумышленников до скамьи подсудимых. Работая с такими инцидентами каждый день, мы научились понимать, как думают злоумышленники, какие используют методы, тактику и инструменты для взлома. Этот опыт вкупе со знаниями определяет качество реагирования на инциденты информационной безопасности и масштаб последствий атаки. Поэтому я и мои коллеги проводим много времени на работе: обучаемся, читаем, изучаем, исследуем.
Если сравнить лабораторию компьютерной криминалистики, где я работала раньше, и отдел расследований, куда я перешла, то в криминалистике рабочий день менее нормирован. Специалисты там работают с инцидентами, происходящими в реальном времени: оперативно выезжают на место преступления, восстанавливают хронологию атаки, ищут скомпрометированные данные. Нельзя всё бросить и уйти домой, потому что рабочее время закончилось. Аналогичная схема работает во время проведения следственных мероприятий, когда мы, например, участвуем в обыске, исследуя информацию накопителей, образов, серверов с технической точки зрения. Тут всё доводится до конца: если нужно работать сутки — работаем сутки, если несколько дней — значит, несколько дней. Но в остальное время, когда не нужно спасать условный банк, мы работаем в обычном режиме, как все люди.
Проработав в криминалистике 6 лет, мне захотелось попробовать себя в сфере расследований. Здесь другая специфика работы — компьютерные преступления расследуются не быстро. Но и тут, конечно, мы задерживаемся, когда нужно оперативно помочь пострадавшей стороне. Например, к нам обращаются родители или правоохранительные органы, если ребёнок ушел из дома, для анализа его активности в социальных сетях и форумах, чтобы понять, с кем он общался, кто может знать о побеге и его предполагаемом месте нахождения. Другой пример — мощные DDoS-атаки на ресурсы электронной коммерции. Час простоя такого сайта может стоить компании сотни тысяч или миллионы рублей. Поэтому нам нужно оперативно установить источники атаки и блокировать её.
Однако, базовые подходы в нашей работе не меняются, но изменяются инструменты и то, что мы исследуем. Даже данные в операционных системах от версии к версии меняются: структура, формат, подходы. Если раньше все использовали ICQ, переписка в которой хранилась в открытом виде и при проведении экспертизы диска к ней можно было получить доступ, то сейчас многие мессенджеры используют шифрование. Это значительно усложняет получение так называемых цифровых доказательств.
Преступления
Хакер – собирательный образ. Говоря о преступлениях, этот термин используется для простоты лексики, но на самом деле так называют всех специалистов, которые знают, как обходить системы компьютерной безопасности. Самые серьезные преступники в этой сфере делятся на несколько категорий:
В 2010 году Equation Group заразила компьютеры в Иране, чтобы помешать производству ядерного оружия. Это был первый известный случай промышленной атаки, когда злоумышленники получили доступ к оборудованию Siemens, влияя на технологический процесс. Energetic Bear и Black Energy — две другие группы, работающие в области атак на промышленные объекты. Последняя создала инструмент Industroyer, позволяющий контролировать протоколы, по которым общается оборудование, и отправлять им команды. Их достижение — блэкаут на Украине, когда в некоторых регионах страны, отключилось электричества на 75 минут.
Самая крупная сумма хищения, в расследовании которого я участвовала как технический специалист — 700 млн рублей. Сначала деньги идут на оплату всех звеньев преступной группы, обеспечение, поддержку сервисов и инфраструктуры. Оставшуюся часть ключевые участники группы тратят на организацию своей безопасности и предметы роскоши – машины, яхты, квартиры. Лидер группы всегда осознает риски того, чем он занимается, знает, что к нему могут прийти с обыском в любую минуту, поэтому, я думаю, у него никогда не бывает ощущения полной безопасности.
В обысках и при задержании подозреваемого важна внезапность. Хакеры хорошо подкованы технически, и, если не застать их врасплох, они успевают активировать защиту данных на устройствах (например, шифрование), которую сложно обойти, или вовсе уничтожить данные.
Обычно задержание происходит рано, пока человек ещё не успел уйти из дома: в 6—7 утра, или, когда мы уверены, что он точно проснулся и включил компьютер, что зависит от специфики его работы. Если обыск происходит в компании, то оперативная группа приходит к открытию офиса. Методы задержания зависят от фантазии правоохранительных органов: в бизнес-центрах работать легко — достаточно показать, что вы с полицией и вам нужно в определённую компанию. Задержание физического лица — более сложная процедура, потому что подозреваемого нужно побудить открыть дверь, например, представиться курьером. Один раз на моей практике правоохранительные органы проникали в квартиру злоумышленника с крыши на тросах, ломая окна.
Расследования
Существуют злоумышленники, тщательно прорабатывающие техническую реализацию краж. Учитывают, как их будут искать, как работает механизм атаки, меняя способы проникновения. Такие сложные дела очень интересны нам — специалистам, и в моей практике выделяются два таких случая.
Первый случай произошёл в банке, из которого украли деньги. На первый взгляд — обычное дело: получение доступа к автоматизированному рабочему месту клиента Банка России. Такая схема использовалась несколькими группами, начиная с 2013 г. Но, несмотря на понимание всей схемы преступления, в ней было одно отличие. На одном из компьютеров сети хакеры запустили программу-червя, которая работала исключительно в оперативной памяти — сейчас это модно называть fileless (бестелесная программа). Таким образом, злоумышленники получили доступ к каждому компьютеру во всех филиалах организации. Другими словами, они устроили контролируемую бот-сеть внутри банка. Поэтому пока хотя бы один зараженный компьютер будет включён, он снова и снова будет заражать машины компании.
Фрагмент червя, передающегося в момент заражения в сетевом трафике
Встал логичный вопрос: как же почистить сеть? Испробовав технические способы, мы поняли, что лучшее решение в этой ситуации — единовременно выключить все компьютеры во всех филиалах банка, на что банк и согласился. Таким образом, мы добились очистки оперативной памяти, в автозагрузке червя не было. Это было уникальное мероприятие по масштабам. В обычной ситуации мы бы никогда не смогли сразу отключить работоспособность всех серверов компании.
Второй пример, который я считаю одним из интереснейших за время моей работы, — дело группы Cobalt — самой агрессивной и успешной хакерской группы последних лет. Она начала работать в России в 2016 году, атакуя банки и финансовые организации по всему миру. По данным Европола, за все время её работы ей удалось вывести со счетов жертв 1 млрд евро. В работе они использовали вполне легальный инструмент для тестов на проникновение Cobalt Strike. Получая доступ к компьютерам, они могли управлять даже теми машинами, которые не подключены к интернету. Это было не похоже на действия других преступных групп, с которыми мы сталкивались. Члены группы Cobalt постоянно изменяли локации атак, тестировали новые инструменты и почти 2 года оставались неуловимы для киберкриминалистов и правоохранительных органов. Лидера группы арестовали только этой весной в испанском Аликанте. Сейчас он ждет суда.
Инжектированный код полезной нагрузки, предоставляющий доступ по VNC
Расследование — длительный процесс. Самые долгие дела обычно связаны с крупными преступными группами, которые занимаются целевыми атаками, кражами денег через интернет-банк или мобильные приложения финансовых организаций. Они уделяют большое внимание тому, как скрыть свою личность — используют несколько цепочек серверов для доступа к ресурсам, применяют шифрование, постоянно переписывают программы для атак, чтобы обойти антивирусы и системы защиты периметра. Таких людей не найти по одному инциденту. Только по нескольким делам набирается материал, с которым можно работать, но даже тогда процесс поиска длится долго. Чтобы понять, кто стоит за преступлением, нужно полгода (а иногда и больше), ещё обычно более года необходимо для того, чтобы собрать доказательную базу для задержания и обыска.
Но бывает и наоборот. Самое быстрое расследование длилось всего один день. Нам сообщили, что злоумышленники получили доступ к серверам банка. Мы приехали на место и разбирались несколько часов до тех пор, пока не поняли, что один из отделов заказал тест на проникновение, о котором не знали другие. Такие тесты делаются, чтобы оценить защиту инфраструктуры компании. Знает о них обычно руководство, проверяя, как команда отработает ситуацию.
Иногда в работе мы утыкаемся в стену, но, по моему опыту, в ней есть дверь. Именно такие случаи не отпускают: приходишь домой и в своё свободное время ищешь выход из ситуации, думаешь, как распутать дело.
На моем опыте была экспертиза, в которой нужно было доказать, что злоумышленник действительно причастен к инциденту, потому что одно только наличие вредоносной программы на компьютере недостаточно для возбуждения уголовного дела. Этим пользуется защита подозреваемых, выстраивая позицию по принципу: программа не работала на компьютере или подозреваемый не подключался к ней во время инцидента. В этом деле журналы работы программы, предоставляющей удаленный доступ, в зашифрованном виде хранились какое-то время на компьютере жертвы, а потом отправлялись на сервер злоумышленника и удалялись.
Мне потребовалось несколько дней, чтобы понять, как решить задачу: восстановить из свободной области файловой системы журналы работы программы до зашифрования (фрагменты оперативной памяти). Повезло, что не перезаписался и момент инцидента. Это позволило мне доказать, что во время хищения денежных средств злоумышленник подключался к компьютеру параллельно с жертвой.
Наказание
В хакерских группах роли чётко распределены и дробятся, поэтому киберпреступление от начала до конца проводит не один человек. Только лидер группы знает всю схему преступления. Он нанимает помощников под определённые задачи: настроить сервер, написать и распространить программу, обеспечить защиту вредоносного софта от антивирусов. Такими людьми могут оказаться и обыкновенные мальчишки, интересующиеся информационными технологиями, иногда даже не подозревающие, что участвуют в преступной группе.
Как правило, с человеком связывается аноним и предлагает деньги за определённую работу по принципу: «Можешь настроить сервер? — Могу». Скорее всего, организатор и не скажет исполнителю, для чего нужен этот сервер.
Другое дело, когда человек разрабатывает программу, перехватывающую данные. Он знает, что её можно использовать в мошеннических целях. Иногда такие программы покупают у третьего лица и автор не информирован о том, как мошенники её используют: для перехвата пароля к аккаунту Вконтакте или данных банковской карты. Такая же история с человеком, который «криптует» программу от антивирусов — он должен осознавать, что для легальных целей такие программы не создаются. Человека, распространяющего программу, уже можно привлечь по 273 статье УК РФ.
Российское законодательство по уголовному преследованию людей, совершивших киберпреступление, требует доработки. Раньше за такие правонарушения чаще всего давали условные сроки, даже если хакеры похищали значительные суммы денег. Это не пугало и не мотивировало людей отказаться от того, чем они занимаются. С 2014 года положение дел стало лучше, после того как осудили Carberp на реальные большие сроки.
Карьера
Чтобы получить работу в компьютерной криминалистике, у человека должен быть технический бэкграунд. Я закончила МИФИ, факультет «Информационная безопасность», когда в России ещё не обучали криминалистике. Нам преподавали языки программирования, основы системного администрирования и защиты периметра. Мы изучали, как работают вредоносные программы и как преодолевать защитные механизмы операционных систем.
Человеку с техническим опытом, понимающему, как работают операционные системы, как построена сеть, как передаются, крадутся и защищаются данные, хватит знаний, чтобы устроиться на работу в сфере компьютерной криминалистики. При условии, что он углубится в специфику области. В нашей компании есть примеры, когда приходили люди и без технического образования — им было сложнее, потому что сперва пришлось освоить базовые знания.
Тем, кто интересуется криминалистикой, я советую к прочтению File System Forensic Analysis (Brian Carrier) — базовую книгу по работе файловых систем, что важно для области. Network Forensics (Sherri Davidoff) и The Art of Memory Forensics (Michael Hale Ligh) — еще две книги, которые должен изучить каждый уважающий себя криминалист. Для исследования мобильных устройств советую Practical Mobile Forensics (Oleg Skulkin).
Чтобы понимать, что происходит в криминалистике, необходимо читать статьи и блоги об успешных кейсах и личном опыте. Но не нужно ждать, что в интернете будут делиться секретами поимки хакеров — в рамках уголовных дел информация не распространяется. А о том, как люди анализируют данные, можно прочитать на международных и российских ресурсах: блог SANS Institute (также есть курс по криминалистике, выпускают книги и пишут статьи), ForensicFocus и Хабр.
Но самое интересное в моей работе — это решать «загадку»: придумывать нестандартные способы и мыслить нешаблонно, чтобы найти брешь в уловках злоумышленников.
Несколько слов об отраслевой специфике
Киберпреступность — это следствие всеобъемлющей цифровизации современного общества, требующее принятия адекватного противодействия со стороны государства. Она посягает на совершенно разные сферы жизни и общества — имущественные права граждан, объекты критической инфраструктуры, права личности, причиняют ущерб коммерческим организациям и государству в целом. При этом действия киберпреступников становятся все более агрессивными, они принимают меры к тщательному сокрытию следов, сохранению анонимности, продумывают свое поведение так, чтобы максимально осложнить сбор доказательств и избежать ответственности. Эти обстоятельства предопределяют правовую и фактическую сложность доказывания по таким делам.
«Традиционные подходы к расследованию преступлений не позволяют в полной мере противостоять этому качественно новому виду угроз. Необходимым условием успешной работы в этом направлении является понимание сотрудниками правоохранительных органов специфики функционирования киберсферы, ее трансграничного характера, умение работать в информационной среде, коммуницировать с представителями IT-компаний и другими специалистами, знать, как и где искать доказательства, как их фиксировать. И в конце концов грамотно построить диалог с участниками уголовного процесса, допросить свидетелей, подозреваемых и обвиняемых в совершении таких преступлений», — говорит Константин Комарда, руководитель отдела Следственного комитета Российской Федерации по расследованию киберпреступлений и преступлений в сфере высоких технологий.
Многочисленные учреждения, организации, коммерческие предприятия и частные лица внутри страны (и даже за ее пределами), включая органы уголовного правосудия и национальной безопасности, международные организации, частный сектор и организации гражданского общества, могут тем или иным образом участвовать в проведении расследований киберпреступлений.
На сегодняшний день преступления в сфере компьютерной информации являются одним из самых латентных видов преступлений. Процент выявления данного вида преступлений невелик, в том числе по причине того, что зачастую потерпевшим об их совершении ничего не известно либо становится известно лишь со временем. Так, к примеру незаконное копирование информации очень часто остается незамеченным, а введение в компьютер вируса обычно объясняется непреднамеренной ошибкой пользователя. Высокая степень латентности киберпреступлений связана также с тем, что сами пострадавшие (особенно если потерпевшими являются крупные коммерческие организации, банки) не спешат сообщать правоохранительным органам о факте совершения преступления, опасаясь подрыва деловой репутации.
Нежелание сообщать о преступлениях можно объяснить теорией ожидаемой полезности, выдвинутой экономистом Гэри Беккером (1968), которая гласит, что люди участвуют в каких-либо действиях, когда ожидаемая полезность (т.е. выгода) от этих действий превосходит ожидаемую полезность участия в других действиях (Maras, 2016). В контексте киберпреступности, жертвы киберпреступлений не сообщают о киберпреступлении, если ожидаемая полезность такого сообщения является низкой (Maras, 2016).
Проводимые в настоящее время исследования определяют для этого несколько причин, включая чувство стыда и смущения, испытываемые жертвами определенных видов киберпреступлений (например, романтической аферы); репутационные риски, связанные с преданием гласности факта совершения киберпреступления (например, если жертвой киберпреступления является коммерческое предприятие, или если есть угроза утраты доверия со стороны потребителей); отсутствие осознания того, лицо стало жертвой преступления; низкую степень уверенности или ожиданий в отношении способности правоохранительных органов оказать помощь; необходимость расходования слишком большого количества времени и усилий для сообщения о киберпреступлении; и отсутствие осведомленности о том, кому следует сообщать о киберпреступлениях (Wall, 2007; McGuire and Dowling, 2013; Tcherni et al., 2016; Maras, 2016).
Еще одной особенностью киберпреступлений является их трансграничность (иными словами, преступления в киберпространстве чаще всего не ограничены территорией одного государства). Ситуация, когда субъект преступления и потерпевший находятся в разных странах, требует международного сотрудничества. Некоторым препятствием к успешному взаимодействию правоохранительных органов будут особенности в системе внутреннего права разных государств, различная степень разработанности вопроса о киберпреступлениях на законодательном уровне. В настоящее время рядом государств уже были предприняты успешные попытки заключения международных соглашений о сотрудничестве при предупреждении и расследовании преступлений в киберпространстве. Но на сегодняшний момент отсутствует единый (хотя бы для большей части государств) глобальный нормативно-правовой акт, регламентирующий порядок борьбы с киберпреступностью.
Киберпреступность отличается также высокой степенью анонимности преступника. Существующие на сегодняшний день VPN/VPS-сервисы для анонимизации трафика, виртуальные номера мобильных телефонов, криптовалютные кошельки (создание которых не требует внесения паспортных данных) обеспечивают лицу возможность практически полностью скрыть свою личность. Даже если следствию удается идентифицировать то или иное электронное устройство в качестве орудия совершения преступления, установить причастность конкретного лица к совершению (посредством данного устройства) преступления часто становится затруднительно.
Одна из главных проблем расследования киберпреступлений связана с невозможностью точного применения к ним стандартного алгоритма расследования: следственные действия, закрепленные в уголовно-процессуальном законодательстве, при расследовании данного типа преступлений не будут обладать большой эффективностью. Например, осмотр места происшествия, которому обычно придается центральное значение, при расследовании преступлений в киберпространстве будет иметь ряд особенностей. Во-первых, возникает вопрос, что именно будет считаться местом преступления с процессуальной точки зрения (например, в случаях, когда преступником была совершена хакерская атака): место нахождения хакера во время атаки, место написания им вредоносной программы, адрес потерпевшего, место обналичивания денег (при совершении атак на финансовые организации), или какое-либо иное место?
Учитывая, что киберпреступления совершаются в так называемом «виртуальном пространстве», некоторые исследователи предлагают считать местом происшествия определенный диапазон виртуального (информационного) пространства. Даже если принять их точку зрения, то следствие сталкивается со следующей проблемой: как вообще возможно проведение осмотра места происшествия, если на киберпространство не распространяются географические (а, следовательно, и юридические) законы? Сама процедура осмотра места происшествия также сопряжена с рядом особенностей: традиционные методики криминалистической техники здесь безрезультативны, поскольку работа идет не с привычными следами, а электронными (их также называют «цифровыми следами» и выделяют две их разновидности: активные и пассивные следы. К первой категории относится информация, которую пользователь вводит самостоятельно: к примеру, ФИО, дата рождения в социальных сетях, личных кабинетах иных сайтов. А к группе пассивных следов относят следы, оставленные лицом ненамеренно, вследствие работы программного обеспечения).
Примерно также дела обстоят и со следственным экспериментом (с целью выяснения обстановки совершения преступления). При расследовании киберпреступлений данное следственное действие само по себе практически теряет свой смысл, поскольку изменения во внешней обстановке никак не влияют на изменения в кибернетическом пространстве (что и составляет суть киберпреступлений).
Даже такое следственное действие как допрос подозреваемого или обвиняемого в совершении киберпреступления сопряжено с рядом трудностей. Главная проблема здесь заключается в том, что подозреваемый/обвиняемый в процессе допроса практически всегда изъясняется специфическими терминами, трудно воспринимаемыми для человека без соответствующего образования и знаний в сфере компьютерных технологий. Следователю необходимо (с помощью привлечения соответствующего специалиста) перевести данные термины и выражения на юридический язык, при этом сделав их понятными для участников судопроизводства.
Присутствие специалиста во время допроса подозреваемого/обвиняемого может отрицательно сказаться на результатах допроса по ряду причин: во-первых, присутствие специалиста (как и присутствие любого третьего лица) осложняет налаживание психологического контакта между следователем и допрашиваемым лицом, а во-вторых, у подозреваемого/обвиняемого возникает понимание того, что следователь (ведущий производство по его делу) не понимает суть совершенного противоправного деяния и механизм его совершения (вследствие чего у лица возникает мысль о потенциальной возможности ввести следствие в заблуждение). Определенные трудности связаны и с допросом свидетелей. Это обусловлено тем, что основная масса свидетелей не имеет четкого понимания произошедшего вследствие отсутствия специальных знаний.
Практически всегда в рамках расследования дела о киберпреступлениях производится выемка техники (компьютера и периферийного оборудования, иных носителей электронной информации) с целью назначения экспертизы по данным объектам. Следователю на данном этапе приходится прибегать к помощи специалиста, поскольку изъятие и транспортировка данных объектов имеет ряд особенностей. При производстве выемки обязательно присутствие понятых, но они имеют представление лишь об изъятии носителя информации, а не о наличии той или иной криминалистически значимой информации на данном носителе. Также следует отметить, что процесс изъятия осложняется постоянным риском потери информации. Кроме того, процедура выемки осложняется тем, что следователю совместно со специалистом приходится решать вопрос об изъятии каждого конкретного предмета, исходя из необходимости полного и всестороннего исследования с одной стороны, и руководствуясь принципом обоснованной необходимости изъятия с другой стороны (так как компьютеры, мобильные телефоны, являются важными рабочими инструментами представителей многих профессий, и их изъятие на длительный срок может нанести существенный вред интересам лица).
Важным этапом расследования уголовных дел о киберпреступлениях будет назначение компьютерно-технической экспертизы. Вследствие того, что данный вид преступлений появился относительно недавно, количество экспертных учреждений, в которых имеются специалисты данной отрасли, невелико. Из-за этого возникает проблема высокой загруженности данных экспертных учреждений, что влечет за собой увеличение времени выполнения экспертиз. Также немаловажным аспектом назначения компьютерно-технической экспертизы будет постановка следователем грамотных вопросов эксперту, с чем возникают определенные трудности вследствие отсутствия у следователей специальных знаний в области компьютерной техники и информационных технологий.
Публикация подготовлена при поддержке юристов DRC.
По следам кибердетектива
Всем хабровчанам привет!
Мне довелось поучаствовать в конкурсе, довольно редком в своем роде, под названием Cyber Detective. Конкурс проводился при конференции HackIT-2017, в которой также принимал активное участие. Задания основываются на поиске открытой информации в сети. Хочу поделиться опытом, райтапами и впечатлениями.
В подобном CTF участвую впервые. Обычно участвую в CTF формата jeopardy, в которых сразу несколько категорий (Web, Reverse, Crypto, Stego, Pwn и тд). В этом же состязании разработчики сделали практически все задания на категорию Recon и одно задание на Forensic. Но об этом ниже. Изначально участвовать в соревновании не планировал, но заинтересовало задание на социальную инженерию, которое в дальнейшем придало уникальности этому состязанию и заставило играть уже серьезно.
Задания направления Recon, или как их часто называют «задания на OSINT», решаются путем нахождения информации из открытых источников. Для решения таких заданий нужно хорошо уметь пользоваться особенностями поисковых систем, таких как Google, Duckduckgo, Shodan, Censys, знать о различных публичных базах, как правило государственных, прекрасно разбираться в особенностях социальных сетей. Разумеется, никуда без социальной инженерии. И это далеко не все умения, которыми должен владеть квалифицированный интернет-разведчик.
Всего на Cyber Detective было выложено 27 заданий, которые были разбиты на группы. Эти группы, «ветки» имели свою легенду, историю, вокруг которой крутятся задания и решения. Визуальный граф зависимости заданий, взятый с платформы, представлен выше. История раскрывается по мере решения текущей ветки, что куда интереснее, чем читать скудное условие задания на типичном CTF. К каждой истории в среднем относилось 3-4 задания.
Хочу отметить высокий уровень подготовки и продуманности платформы. На многих CTF возникают трения и споры между некоторыми командами и организаторами относительно честности других команд по отношению к правилам участия. Проще говоря — запрещено между командамиучастниками обмениваться флагами. И бывает так, что команда, не заняв желанное призовое место, пытается его получить путем поиска причин и доказательств мошенничества команд-победителей. Это довольно низко и чаще всего не вызывает ничего, кроме презрения и не уважения, так как организаторы сами стараются отлавливать и наказывать нарушителей. Однако в этой платформе, информация о сдаче флага открыта для любого участника, и позволяет любому желающему проанализировать историю сдачи решений другого участника.
Intro
С этой категории начинается решение всех других заданий. Без сдачи одного этого задания нельзя решать все остальные, но так как его решил быстро, проблем никаких не возникло.
Internet Profile
Далее стоило начать решать эту категорию, каждое из заданий оценивалось в 50 баллов. Здесь были простые задания, на которых можно размяться. Задания написаны в том порядке, в котором были опубликованы на сайте, но решались они конечно же не в такой последовательности.
Start
В некоторых социальных сетях есть возможность узнать информацию о странице, в частности, это vk.com, зная email/телефон пользователя, а также его фамилию. Баг это, или фича — сложно сказать, но недочет есть (на hackerone бежать репортить не стоит 🙂 ).
Логично можно подумать, что Марк — это имя, но нет, это фамилия. Это поставило меня в тупик не на долго и не сразу ввел «фамилию». Дальше заходил на ВК, нажимая на «Забыли пароль», ввел номер, фамилию, и получил страницу, которую без проблем можно найти уже через поиск. Вот профиль: Орест Марк
Nick
Тут все элементарно, его ник, это адрес на сайте ВК.
Flag: «0n1zz»
Work
Просмотрев много групп, на которые он подписан, а также бегло глянув на страницу на гитхабе его, пришла идея, что это Microsoft.
Flag: «Microsoft»
Profession
Решил это задание не сразу, продолжая просматривать задания ниже, и извлекая как можно больше информации со страницы, вводил такие значения как Programmer, Developer, и тд. Затем пошел искать парня в других соц. сетях, нашел его Orest Mark. При поиске, в списке профилей или в информации о странице, написано, что он Software Engineer в Microsoft.
Flag: «Software Engineer»
Само название задания наталкивало на то, что именно искать, ответ на Orest Mark странице.
Flag: «orest_mark_87»
Place-1
Вот с этим и следующим заданиями немного пришлось повозиться, так как формально подходило несколько вариантов. На странице к посту прикреплена геометка, которая не подошла. Просмотрев друзей, сразу понятно, что у Марка есть брат, Тенсон Марк, у которого так же есть геометка. Только посмотрев фейсбук, стало ясно откуда он.
Flag: «Sinaia, Romania»
Place-2
Ответ на фейсбук странице, в графе «О себе».
Flag: «Kiel, Germany»
Relatives
Принимая во внимание, что у Марка есть брат, Тенсон Марк, сдаем очередной флаг.
Flag: «Tenson Mark»
Hobby
Уже достаточно изучив этого человека, понятно, что увлекается он гонками. Правильное название флага можно найти в списках групп на ВК странице, или, если детально приглядеться, то увидеть на аватарке его футболку, где и была эта надпись.
Flag: «Speed racing»
Recreation
Помня, что на ВК странице парня к посту была прикреплена геометка, погуглив место, находим решение.
Flag: «Sesena, Spain»
Family Dramas
Сразу же погуглил человека по номеру, пытаться повторить трюк с восстановлением страницы в вк. Гугл выдавал что-то интересное, на первый взгляд, по запросу «0671710968», особенно первая страница. Так и не понял, что это значит. За неимением уже других вариантов решил набрать номер. К моему удивлению, ответила девушка, и сразу сбросил. Задание предполагало применение навыков социальной инженерии, как я понял в последствии, которая помогла бы выведать адрес. Нужно это было сделать не навязчиво, заинтересовав человека. Где-то 20-30 минут думал над легендой, и минут 15 ушло на то, чтобы попрактиковать чтение так, чтобы было не очень заметно, что читаю текст, говоря не навязчиво и не монотонно. Много тонкостей, которые старался учитывать. Вот текст, который составил.
Меня зовут Андрей.
Я представляю движение студентов под названием «World Frendship». Мы занимаемся тем, что объединяем людей, основываясь на взаимопомощи. Помогая в разных жизненных и бытовых вопросах, мы заводим новых знакомых, друзей, а также хотим подарить хоть немного хорошего настроения людям. Хотите поучаствовать?
Тогда я немножко расскажу о нашем движении и о том, что мы, собственно, делаем.
Наше движение организовывает многие проекты. Например, не так давно мы запустили один проект, суть которого в том, чтобы помочь иностранцам найти жилье бесплатно. Идея в том, чтобы завести новые знакомства, иностранных друзей, так же иметь возможность узнать немного о культуре других людей, попрактиковать иностранный язык, ну и так далее. Возможно вы слышали о подобных таких проектах, проводящихся в Англии и США. Вот.
Вам же я хочу предложить поучаствовать в другом проекте под названием «Теплый ужин».
Суть в том, что мы готовим вместе с вами еду и проводим время в веселой обстановке. Как вам предложение?
Смотрите. Вы готовите продукты, а также рецепты блюд, которые хотели бы попробовать. Двое наших студентов, как правило парень и девушка, приезжают к вам и готовят. Затем можно поиграть в какие-то настольные игры, или же пойти на прогулку. Ну как, вы согласны?
Тогда нужно уточнить еще пару моментов. Подскажите, как вас зовут?
И скажите ваш адрес
Адрес узнать удалось. Но пришлось потом перезванивать, так как адрес немного не разобрал, и якобы сейчас уточняю по карте адрес для составления маршрута. Уже в процессе разговора понял, что подаю многовато информации, нужно было больше общения. Тем не менее, как позже признались разработчики, это была лучшая попытка из всех, кто получил и не получил адрес. До Кевина Митника мне конечно же далеко, да и кардингом не занимаюсь, но для первого раза сойдет. Хочу отметить, что именно с этого задания начал решать CTF, привлек необычный и очень интересный формат получения ответа. Думаю, админы не спали сутками, так как участников много, и решают они круглые 24 часа. Как потом мне подсказали, можно было еще в телеграмме написать этому номеру, и так же ответили бы, это сделано, думаю, для иностранцев. Хотя конечно же тут совсем не тот драйв, риск, эмоции. По телефону нужно отвечать быстро на вопросы, которые не мог предусмотреть, и качество ответов зависело от грамотности и продуманности легенды. Получив классный опыт, новые впечатления еще больше хотел продолжать решать. Однако такое интересное задание оценивалось в 100 очков, что не порадовало, не справедливо выделили баллы для этого задания на мой взгляд. До игроков в топе скорборда было далеко, но две бессонные ночи это исправили.
Flag: «Odessa, Palubnaya, 7»