100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №41 "Вину хакера легко доказать"21.05.2009 12:45
Подобный материал:
1   ...   27   28   29   30   31   32   33   34   ...   69

Миф №41 "Вину хакера легко доказать"21.05.2009 12:45


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

«... когда специальные агенты появились в моей квартире, я был поражен, насколько плохо они информированы. Было очевидно, что участвующие в обыске агенты провели самое минимальное расследование, но, уже находясь на месте, не знали, что искать. Сейчас, годы спустя, ... рейды все еще проводятся кое-как, все еще изымается ненужное оборудование, а важные доказательства остаются на месте, объектами расследований все еще становятся невиновные, а истинные преступники разгуливают на свободе». Так начинается книга «Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями» написанная Дэвидом Айковом, Карлом Сейгером и Уильямом Фонсторхом на основе учебного руководства для ФБР «Профилактика и расследование компьютерных преступлений. Учебное руководство», разработанного группой Национального центра анализа преступлений против личности, входящего в ФБР. Данный комментарий описывает ситуацию, сложившуюся в области расследования компьютерной преступности, не только за рубежом, но и в России.

Еще осенью 1997 года мне довелось побывать на одной из первых конференций, посвященной безопасности Internet, и организованной Ассоциацией Российских Банков. На ней выступил представитель подразделения по борьбе с хищениями средств при помощи электронных средств Министерства Внутренних Дел России (прообраз современного Управления «К»). На вопрос одного из участников конференции, есть ли в данном подразделении квалифицированные специалисты, способные расследовать компьютерные преступления, совершаемые в России. На что последовал просто потрясающий ответ: «Откуда? У нас же работают одни офицеры!»

Ситуация, конечно, постепенно изменяется, но до идеальной еще очень далеко. Именно по такому принципу до сих пор существуют многие, особенно региональные, отделы по борьбе с компьютерными преступлениями в подразделениях МВД России. Так было в год проведения названной конференции, так, к сожалению, осталось и сейчас. Чтобы не быть голословным, хочу сослаться на слова тогдашнего руководителя Управления «Р» ГУВД г. Москвы г-на Чепчугова Д.В., который на конференции «Борьба с преступлениями в сфере высоких технологий и защита интересов легального бизнеса», прошедшей 12 октября 2000 г. открыто заявил, что в его ведомстве не хватает специалистов в области информационной безопасности. Об этом же и говорил в начале 2001 года первый заместитель секретаря Совета Безопасности РФ В.П.Шерстюк в своем интервью журналу «Системы безопасности, связи и телекоммуникаций». Об этом же регулярно приходится слышать и на мероприятиях, которые проходят сейчас, а также в личных беседах с сотрудниками, ответственными за борьбу с компьютерными преступлениями.

Мне можно возразить, что ситуация изменилась в лучшую сторону. Известно немало уголовных дел в сфере информационных технологий, которые благополучно дошли до суда. Но если приглядеться внимательно, то все не так радужно. Большинство дел связано не с расследованием компьютерных преступлений, а с борьбой с нелегальным оборотом и использованием специальных технических средств, с незаконным оборотом радиоэлектронных средств (например, продажа мобильных телефонов без разрешения), с детской порнографией в Интернет, а также с нелицензионным ПО и пиратскими CD и DVD. В области компьютерных преступлений успехи намного скромнее.

Мне самому не раз приходилось сталкиваться с не самым высоким уровнем компетентности сотрудников правоохранительных и судебных органов, которые были не способны не только собрать улики, которые бы помогли расследовать компьютерное преступление, но и грамотно оформить доказательства, полученные экспертами из других организаций. Связано это с тем, что в учебных заведениях Министерства Юстиции, МВД, ФСБ, налоговой полиции и так далее, не учат основам расследования инцидентов, связанных с компьютерной безопасностью. Например, изданный в 2000 г. к 25-летию Академии управления МВД России, учебник «Специальная техника и информационная безопасность» не содержит никакой информации о расследовании компьютерных преступлений. Кроме того, существует еще ряд факторов, существенно затрудняющих такое расследование в российских организациях:

1. Противоречивость законодательной и нормативной базы. Чего стоит, например, статья 273 УК РФ, которая предусматривает наказание за создание, использование и распространение вредоносных программ для ЭВМ. Пункт 2 данной статьи гласит: "те же деяния, повлекшие по неосторожности тяжкие последствия...". А если те же деяния осуществлялись злонамеренно, и ни о какой неосторожности речи и быть не может? Например, вы случайно получили по электронной почте вирус, точнее Internet-червя и, по неосторожности, разослали его всем своим друзьям, знакомым и коллегам, что повлекло для них тяжкие последствия. В данном случае, согласно 2-ой части 273 статье УК РФ, вам грозит лишение свободы на срок от трех до семи лет. А те же самые действия, выполненные целенаправленно, т.е. со злым умыслом, могут быть характеризованы только по первой части этой статьи. Максимум, что грозит вирусописателю в этом случае - 3 года лишения свободы или штраф в размере 500 МРОТ. Аналогичная ситуация и со статьей 274. И хотя я немного утрирую, но этот пример очень ярко демонстрирует неразбериху с законодательной базой. Кроме того, еще вопрос: «Можно ли считать вирус <имярек> вредоносной программой?» В комментариях к УК указывается, что вредоносной признается программа, приводящая к несанкционированному копированию, уничтожению или блокированию информации. Т.о. любой вирус с каким-либо визуальным эффектом или рассылающий спам не может быть отнесен к таким программам. И следуя такому определению, Internet-черви с расширением vbs, которые только рассылают себя по всем адресатам вашей адресной книги, не могут быть отнесены к вредоносным, т.к. они запускаются на исполнение самим пользователем, т.е. с его санкции. Таким образом, ни о какой несанкционированности речи быть не может.

2. Отсутствие опыта и знаний у сотрудников правоохранительных и судебных органов для проведения соответствующих расследований, сбора улик, представления дела в суде и т.д. Как демонстрируют приведенные в начале статьи примеры, ситуация не изменилась за последние несколько лет.

3. Отсутствие специализированных подразделений в структурах МВД. Если в Москве и других крупных городах такие подразделения созданы, то на периферии с этим намного сложнее. Региональные управления МВД если и берутся за расследования компьютерных преступлений, то только в случае нанесения крупного материального ущерба.

4. Недостаточная техническая оснащенность подразделений МВД и несогласованность действий между подразделениями, отвечающими за расследование данного вида преступлений, особенно, если они осуществлялись из других стран.

5. Отсутствие публикаций, раскрывающих данную тему. Российские издательства не балуют искушенную публику публикациями на эту тему. Рассмотрение всех известных книг уместилось в одном единственном обзоре, который был опубликован на сервере Internet-магазина «оЗон» (сейчас и этого обзора уже не найти). При этом все перечисленные в этом обзоре книги, написанные российскими юристами, не содержат никакой практической ценности для следователей, расследующих компьютерные преступления.

6. Большое число компьютерных преступлений, которые совершаются чуть ли не ежедневно. Тратить ресурсы на сотни преступлений, которые совершаются в сети и, ущерб от которых не превышает нескольких тысяч рублей, невыгодно. Лучше спустить это дело на тормозах, чем записывать еще один «глухарь» в свой актив. Именно поэтому сотрудники правоохранительных органов занимаются только делами, которые могут принести некоторую известность и заинтересуют СМИ (например, дело с поимкой людей, создавших в сети Internet сервер с порнографией) или «дорогостоящими» делами.

В целом, состояние дел с расследованием преступлений в компьютерной индустрии, выглядит не очень обнадеживающе. Этот тезис можно продемонстрировать на примере расследования, которое подробно освещалось в Internet. И хотя оно датируется 2001-м годом, я хотел бы его рассмотреть, т.к. это один из редких случаев, когда имеются точки зрения двух стороны. К тому же ситуация с тех пор не сильно изменилась.

Итак, начнем. 2 февраля 2001 года в Санкт-Петербурге было закрыто дело против 22-летнего Александра М., который был обвинен в причинении имущественного ущерба клиентам нескольких провайдерских компаний, а также в распространении «вредоносных программ для ЭВМ» (а именно троянских коней для кражи паролей). Александр М. был приговорен к трем годам лишения свободы (но тут же освободили по амнистии) и штрафу в размере 300 МРОТ. Далее я буду цитировать факты на основании сервера Netoscope. 6-ой отдел питерского ГУВД арестовал Александра М. и изъял у него дома notebook и винчестер от домашнего компьютера, на котором были найдены украденные пароли и идентификаторы пользователей, а также лог программы ICQ, в котором обвиняемый поделился со своими знакомыми информацией о краже паролей. Помимо этого, в одном из каталогов жесткого диска были найдены программы, охарактеризованные, как «вредоносные». В качестве свидетелей по делу выступали технический и директор одного оператора связи и генеральный директор другого. Обвиняемый своей вины не признал, но, несмотря на это, был признан виновным, что не помешало практически сразу освободить его по амнистии. Необходимо отметить, что известный американский хакер Кевин Митник получил 4 года за нанесение несоизмеримо большего ущерба. На первый взгляд дело вполне обычное и не имеет каких-либо подводных камней. Но... это только на первый взгляд. Рассмотрим другую точку зрения - самого обвиняемого, которая была также опубликована на сервере Netoscope.

Во-первых, Александр М. рассказывает о расследовании, в результате которого выяснилось, что реальный ущерб пользователям указанных провайдеров, а их было всего трое, составил всего 708 рублей (на тот момент менее 30 долларов). На мой взгляд, 3-х летнее лишение свободы за такое преступление несопоставимая цена (если, конечно, суд не хотел сделать этот процесс показательным), с чем, кстати, согласен и генеральный директор пострадавшего оператора связи. Ну да ладно, оставим это на совести судьи. Рассмотрим другие аспекты. Как пишет Александр М.: «господин <имярек> в этом деле был разве что не судья. Технический эксперт на обыске, самозванный эксперт на процессуально незаконной экспертизе и главный свидетель по делу...». Я не ставлю под сомнение вину Александра М., но только тот факт, что упомянутый гражданин, который выступал свидетелем по данному делу, также являлся человеком, который проводил экспертизу имеющихся улик и проводил обыск на дому Александра М., ставит под сомнение все дело. Кстати этот факт подтверждается и самим этим человеком. Как может пострадавший выступать в качестве главного эксперта? О какой беспристрастности может идти речь в такой ситуации?

В-третьих, переписка, по словам Александра М., которая служила один из основных доказательств несанкционированной деятельности, была добыта незаконно. Журнал регистрации ICQ и учетные записи (идентификаторы и пароли) были добыты в результате предварительного расследования, не являющегося экспертизой. Сама экспертиза проводилась в лаборатории Игоря Данилова, известного автора антивирусной системы Dr.Web. И никаких паролей и идентификаторов найдено не было. Точнее не было найдено ничего, что могло бы быть с уверенностью отнесено к результатам несанкционированной деятельности, за исключением нескольких программ типа «троянский конь», которые могут быть найдены на компьютерах многих пользователей. Троянцы Netbus или BackOrifice, которые идентифицируются антивирусной системой Kaspersky Antivirus, как враждебные программы, могут использоваться и во вполне санкционированных целях, например, для удаленного управления (это классическая проблема в отношении программ двойного назначения). Не имея возможности проверить достоверность указанных данных, я тем не менее верю в то, что такое могло произойти, т.к. я уже упоминал, что мне не раз приходилось участвовать в подобных предварительных исследованиях и факты, приведенные Александром М. не являются нечто из ряда вон выходящим.

Несмотря на то, что в обращении к Netoscope Александр М. сам признает свою вину, он считает, что суд мог бы быть более квалифицированным и непредвзятым -  «приговор есть приговор. Я решил не связываться с нашим судом, самым гуманным судом в мире - у меня уже нет на это времени, я давно не нищий студент, и уже имею достаточно денег. Совершенно честно заработанных... жалко только ноутбук. Чужой он, был у меня в ремонте. И хозяин его ничего не может теперь суду доказать».

Я могу поделиться и своим опытом. Несколько раз мне приходилось участвовать в предварительном расследовании, и мне привозили на исследование компьютеры людей, подозреваемых в совершении компьютерных преступлений. Я не ставлю под сомнение их вину, но при наличии грамотного адвоката все доводы прокурора могли бы быть разнесены в пух и прах. Во-первых, привезенные на анализ компьютеры не были опечатаны (ни системный блок, ни дисководы для дискет и CD-ROM), что позволяет нечистоплотным сотрудникам органов внутренних дел самим внести «недостающие» улики. Во-вторых, не были рассчитаны контрольные суммы всех файлов, находящихся на компьютере. Уже два этих факта не позволяют проводить нормальную экспертизу, т.к. доказать, что на компьютер не было ничего добавлено после его изъятия невозможно. Присутствие «вредоносных программ» на компьютере также ничего не доказывает, т.к. они могут использоваться в санкционированных целях, как уже упоминаемые системы «удаленного мониторинга». И, наконец, наличие в почтовом ящике писем с паролями и идентификаторами, а точнее текстовых фрагментов, похожих на пароли, пользователей говорит только о том, что эти сообщения действительно есть в почтовом ящике. Но откуда они появились? Их мог прислать ваш недоброжелатель, желая «подставить» вас. Только комплексная экспертиза с привлечением специалистов Internet-провайдера может однозначно сказать, случайно ли появились в почтовом ящике эти пароли и действительно ли они украдены у пользователей. В большинстве случаев этого не происходит.

Остается надеяться, что постепенно ситуация с расследованием компьютерных преступлений улучшится и в российских судах и правоохранительных органах появятся грамотные специалисты, которые, обладая необходимой технической оснасткой, будут применять грамотные законы, не дающие ни малейшего шанса отечественным хакерам. В целом, можно отметить, что пока государство не обратит своего внимания на данную проблематику, органы внутренних дел практически ничего не смогут противопоставить квалифицированной компьютерной преступности, которая все чаще становится организованной и международной. Они будут заниматься детской порнографией в Internet, неопытными ворами паролей, незаконными переговорными пунктами и т.д. Но как только дело дойдет до действительно серьезного дела, бессилие правоохранительных органов будет продемонстрировано в полной мере.