Интервью по вопросам информационной безопасности с судебным экспертом

На одной из конференций в прошлом году, еще до Сноудена, мне удалось задать несколько вопросов человеку, который помогает суду определить, есть ли на компьютере что-то незаконное. Автор ответов пожелал остаться анонимным.

HTTPS — насколько это надежно в отечественных условиях
Ну, тут трудно что-то сказать… если государственный провайдер единственный (слава богу, у нас такого нет), то угроза вполне реальная. Получить центр сертификации и прослушивать проходящий трафик уже не составит труда. Заклепать сертификатов для MIT (man-in-the-middle) не составит труда — хватит всяких гуглов, майлрушечек и т.д., самое главное — чтобы корневой сертификат попал в браузеры.

А вы часто заглядываете во вкладку сертификата, когда просматриваете сайт с защитой? Я так спалил, кстати, СБУ, когда нас вели на предмет взяток, прослушивали все наши интернет-каналы… но это уже другая история.

Уточнение по поводу HTTPS — я правильно понимаю, что сертификаты подтягиваются от интернет-провайдера, лишь бы его сертификаты были подписаны предустановленными в системе?

К примеру, у меня есть домен, корневой сертификат домена. На сервере я могу организовать такой домен, который будет стоять посредине, и получать тот самый поток, представляясь сервером гугла, майла и т.д. Я такое проделывал для прикола у себя — никто не заподозрил. Только сертификат был в корне подписан как наш доменный корневой сертификат.

Cкайп надежен или нет?
Сам протокол — да. Я не нашел ничего, что его может декриптонуть в потоке. Но это же Майкрасофт, они потихоньку уже убивают схему «пользователь-пользователь» и переходят на «пользователь-сервер» (по крайней мере, для чата — точно, для голоса и видео пока идет соединение только «п2п»). + К этому они уже сотрудничали с нашими правоохранительными органами, исследовали записи видео, аудио и чата. Это, конечно, редкость, но тревожный звоночек для параноика.

Что будет, если у меня дома найдут архив (rar, truecrypt) с паролем, который я не назову?
Для начала им нужно получить ордер на обыск, что для частного лица достаточно проблематично. Потом его найти. В худшем случае отправят на экспертизу, 2 месяца пройдет точно. Исход очевиден: не успели — отпустили. Частные дела никогда не продлевают.

А если на работе?
Тут все зависит от того, кому принадлежит информация. Опять же, экспертиза. Следователь не имеет права копаться в компьютере без специалиста (может, конечно, рискнуть, но после нескольких случаев и увольнений вроде побаиваются). Мы, в основном, в зависимости от объема просто пропускаем их — пишем, что есть такой факт, но внимания не акцентируем.
По поводу truecrypt — получается, что если у кого-то примонтирован на работе диск с чем-то левым (портативный фотошоп + mp3), и следователь не имеет права копаться, то до эксперта комп перезагрузится при транспортировке? Так?

Ага. Комп приходит на исследование «холодным», но это не отменяет факта прихода маски-шоу со специалистом, хотя это большая редкость.
На столе лежит ноут/смартфон. Если на нем есть инвентарный номер, он принадлежит фирме. А если номера нет — могут ли его забрать?
Могут. Если не хотите, чтобы забрали — нужно отвоевывать. Делать упор на «личный», настаивать на проверке, что не принадлежит фирме, и т.д. Но в любом случае, даже если телефон и ваш, они могут забрать карту памяти (хотя это редко случается).

Меня просят вывернуть карманы/предъявить документы/остаться на работе. Что делать?
Технически можно забить, но могут устроить и «показательную порку» (найдут, к чему придраться), чтобы другим было неповадно. Если в карманах ничего страшного нет, можете и показать (можно даже с ловушкой — дать им возможность самим покопаться . Всё, что они найдут в вашем кармане, не может являться доказательством, но это самое нужно указать в акте или отдельным заявлением с письменными подписями свидетелей). В любом случае, присутствие Юриста сильно охлаждает пыл маски-шоу.

Я работаю через remotedesktop/teamviewer, и меня просят показать, как я работаю, с голой машины. Что делать?
Открываете браузер с вконтакте и общаетесь с друзьями: «это и есть моя работа, я манагер по общению с подписчиками…» Дальше, думаю, объяснять не нужно

У меня с фирмы вынесли технику. Какие рамки по времени, когда мне ее вернут?
Обратно выбить ее тяжело — легче купить новую (выйдет дешевле). Всё зависит от многих факторов. Как минимум, можно готовиться к 4-6 месяцам. Если смогли разбить дело юридически на досудебном исследовании, то практически сразу. Если дело закрыли, а следствие «посеяло», то они обязаны со своего кармана возместить. Как на практике — не скажу, не сталкивался. Обычно возвращают, но транспортировка от места хранения ляжет на вас.

Имеют ли место изъятие системных блоков из квартир — не у компаний, а у частных лиц?

В моей практике такое было редко, в основном это компы погибших (честно говоря, я в замешательстве от этого, найдите «есть ли переписка с КТУЛХУ?»).
Два или три дела, когда работали по конкретному человеку (СБУ), получали разрешение на обыск и шли. В основном доказательная база была уже подведена, конкретно техника нужна была как последнее доказательство для галочки, по большому счету обыск уже не был нужен.

Как вы гарантируете неприкосновенность коммерческой информации принадлежащей клиенту и избежание ее утечки после изъятия блока?
Объем информации, который проходит через руки эксперта, и текучка… отвечаем сухо на вопросы экспертизы. Смотреть порнуху, читать документы просто некогда. В среднем через эксперта за месяц проходит от 500 до 700 Тб информации. Если отмести фильмы, программы, фотки, то в сухом остатке примерно 10-20 Тб текста — хотите почитать? Кроме того, с винтов снимается образ. В общем, цитирую методику:

Дублювання досліджуваної інформації (зняття образів) відбувається на окремо приєднаний до стендового комп’ютера експерта носій чи пристрій дублювання інформації на рівні: пристрій у цілому, окремий том, вибірково розділи тому. Перед дублюванням інформації повинні зупинятися процеси запису даних на програмному та, якщо це можливо, на апаратному рівнях на досліджуваний носій інформації. Дубльовані дані можуть мати вигляд копії всіх або обраних розділів на окремому носії чи образу (image) всіх або обраних розділів на носію інформації експерта. Для цього рекомендується використовувати наступне програмне забезпечення з підрахунком контрольної суми:

ОС Linux, Windows 2003, програмні пакети The Sleuth Kit (TSK), WinHex/X-Ways Forensics, Encase, Forensic Toolkit (FTK), ILook та ін., що використовуються на розсуд експерта;
підрахунок контрольної суми (криптографічного хеш-коду) MD5, SHA відбувається за допомогою програмних засобів, що обираються на розсуд експерта.
У виключних випадках, коли ємність інформації, що дублюється, перевищує технічні можливості обладнання експерта (чи, наприклад, наявна складна організація розподіленої бази даних, апаратно організованих RAID-масивів) зняття інформації може проводитись як безпосередньо на досліджуваному обладнанні, так і у вигляді віртуального середовища, у якому розгортається досліджувана ОС (наприклад, VM Ware, Virtual PC, VM за технологією Xen та інші ПЗ із відповідними поясненнями їхнього застосування, що надаються в експертному висновку).

Т.е. то, что было на носителе, в таком виде и остается на нем, + образ обычно не живет дольше 2-3 дней после выполнения экспертизы — место, и еще раз место. Винты по 1-2-3 Тб выходят из строя каждые 11-15 месяцев — можешь прикинуть среднюю нагрузку на них.

Плюс по закону мы не имеем права разглашать то, что стало известно во время проведения экспертизы, даже обвиняемому. Примеров нарушения пока не встречал — ни у кого из экспертов не только нашей специальности. Отсидеть срок по глупости никому не хочется. Я думаю, тут всё зависит от цены вопроса, но и способ проведения экспертизы тогда другой, практически публичный. В любом случае, цена подкупа должна превышать цену информации.

Где можно посмотреть размер штрафов за отдельно взятую программу, есть ли подобные списки?
Таких списков нет. Сначала экспертизой определяется, что есть, потом считается убыток правообладателю, который вычисляется по коробочной версии. Считайте, что штраф — это размер платы за лицензию программы + оплата расходов государства на выяснение вашей виновности. В любом случае, это так просто не назвать. Все зависит от обстоятельств.

В вашей конторе везде лицензионное ПО?
Практически. Исключение составляют компьютерщики, т.е. мы — нам для экспертных нужд нужно ставить много чего, но, как правило, это виртуалки для исследований, которые не живут дольше, чем идет исследование — 3-4 недели. В большинстве случаев есть договоренности с компаниями-производителями (например, 1С). У нас есть полные версии продуктов без ключей, которые не требуют хаспов, активаций и т.д. Часто это разовые запросы, но иногда бывают и постоянные продукты — например, 1С-предприятие всех возможных версий.
Отдельно есть, конечно, и постоянные продукты — например, X-Ways Forensics. Ну, и остальное, в основном «… Forensics», приобретается на постоянной основе с обслуживанием.

Как оформляется факт изъятия, какие документы должны быть предоставлены?
Все зависит от типа обыска. В основном это акт изъятия техники у предприятия. Именно по этому акту и будут вам все возвращать. Если изъяли больше, остаток не вернут (могут и вернуть, если это, по их мнению, мусор — чтобы места не занимал). В любом случае, самое правильное — требовать полного описания системников, с индивидуальными номерами каждой комплектующей, и т.д. На моей памяти был случай, когда системник, за исключением винта, просто подменили после экспертизы. Народ жаловался, но добиться вроде так ничего и не смогли, хотя в экспертизе все было, и с полным описанием.

Источник: douua.org