Компьютерная криминалистика - Юрий Губанов - Точка - 2014-08-03
А. ПЛЮЩЕВ: Добрый вечер, вы слушаете радиостанцию «Эхо Москвы», в эфире программа «Точка». Александр Плющев, Сергей Оселедько.
С. ОСЕЛЕДЬКО: Добрый вечер.
А. ПЛЮЩЕВ: Да. И мы сегодня такую тему избрали, которая, казалось бы, должна у нас появляться, может быть, там, раз в месяц, или раз в два месяца, или раз в неделю, я не знаю, но появляется крайне редко. Я не знаю, почему, с чем это связано, но тем не менее. Условно она звучит так: «Компьютерная криминалистика». В гостях у нас основатель компании Belkasoft из Санкт-Петербурга Юрий Губанов. Юрий, добрый вечер.
Ю. ГУБАНОВ: Здравствуйте.
А. ПЛЮЩЕВ: Специально к нам приехал из Санкт-Петербурга. Видит бог, мы договаривались заранее очень об этом интервью, и вообще не знали о многих событиях. Ну, например, об аресте сына депутата Селезнева. И, надо сказать, уже с того момента тоже прошло достаточно много времени, но тем не менее. Вот как специалист по, значит, компьютерной безопасности, компьютерной криминалистике, поясните нам. Смотрите, берут, есть человек какой-нибудь, неважно, там, сын он депутата, не сын, внук. Отдыхает себе человек где-нибудь на Мальдивах, неважно. Вдруг его берут и увозят на Гуам и предъявляют там обвинение в компьютерном преступлении. Вообще каким образом можно это доказать, в принципе? Что будет использоваться в качестве доказательной базы?
Ю. ГУБАНОВ: Глядите, когда человек что-то делает с компьютером, что-то делает с телефоном, ну, вообще когда человек что-то делает, он оставляет следы того, чего он делает. Это справедливо и в реальном мире: вы оставляете отпечатки пальцев, отпечатки ног, дышите, у вас, там, кровь течет или что-нибудь такое. Ровно то же самое происходит с цифровыми устройствами. Вы залогинились на сайт – это уже отразилось на вашем телефоне, на вашем компьютере, лэптопе. Вы что-то скачали, вы запустили файл – все это можно определить уже постфактум, имея ваше устройство. То есть, если люди, которые работают с товарищем, изъяли у него его цифровое устройство, они могут, в общем, достаточно полно понять, чем он занимался с помощью этих устройств.
А. ПЛЮЩЕВ: Но, может быть, он занимался не с их помощью, например.
С. ОСЕЛЕДЬКО: Может быть, это не его устройства.
А. ПЛЮЩЕВ: Да, условно говоря, у меня есть компьютер, который я практически никогда не выношу за пределы дома своего, вот, и не беру его в отпуск. Я с него могу что-нибудь одно такое делать, знаете ли, а в отпуске у меня с собой может быть совершенно другой прибор. И как потом доказать? И вообще, даже не в том смысле, как доказать, а как понять, что за теми или иными действиями в сети – ну, действия понятно, как видны, да? – стоит конкретный человек? Как он вычисляется? Ну ладно в блог там кто-нибудь под ником пишет, и его как-то раскрыть – это еще более-менее. А за какими-то действиями, там, я не знаю, вскрытие карт, ну, вскрытие банковских счетов, там, я не знаю, похищение личных данных и так далее – как это все?
Ю. ГУБАНОВ: В конце концов, конечно, физически нужно как-то протянуть цепочку к человеку, да? То есть, если он пользовался некоторым компьютером с некоторым IP-адресом, то нужно, в конце концов, обнаружить этот компьютер, доказать, что этот компьютер имел в какой-то момент времени вот тот самый IP-адрес. Просто так, не имея компьютера или телефона, с которого это делалось, это, конечно, доказать сложно.
Что имеет человек, исследователь, который хочет доказать то или иное преступление? Он может узнать… ну, он может увидеть, что на такую-то систему с такого-то IP-адреса была какая-то атака, да? В общем-то, и все. Он может узнать, какие действия были на компьютере жертвы. И ему после этого нужно доказать, что вот эти действия были с конкретно того компьютера конкретно тем человеком сделаны. То есть, без расследования в физическом мире, конечно, это доказать невозможно.
Но при этом есть заблуждение о том, что цифровое устройство, вот я зашел со своего компьютера, и я могу быть анонимным совершенно.
А. ПЛЮЩЕВ: О, это отдельная тема, поговорим о ней.
С. ОСЕЛЕДЬКО: В предвкушении.
А. ПЛЮЩЕВ: Сережа, Сережа подготовил целый пул вопросов по этому поводу. Я единственное хочу, что называется, добить именно этот фрагмент. Понятно, что люди, они же не дураки действительно, они, так или иначе, хоть немножко, но маскируются. Вероятно, существует целый набор каких-то инструментов, как для маскировки, так и для демаскировки. И это целая наука, о которой мы, вероятно, в том числе и будем говорить.
Ну что, самое время как раз спросить….
С. ОСЕЛЕДЬКО: Ну, смотрите, что у нас получается, правильно ли я понимаю, что основных вопросов, которые перед компьютерной криминалистикой стоят, два? Первый вопрос – это как связать конкретный IP-адрес, условно говоря, с конкретным человеком. Насколько я понимаю, здесь необходимо иметь доступ к устройству, да? Либо… то есть, какие еще есть проблемы, для того чтобы связать человека с конкретным IP? То есть, как обходятся такие вещи? Как доказать, что именно я был за этим устройством? Стоит компьютер у меня дома, да? У меня там большая семья. А может быть, это злоумышленник пробрался, сел за мой компьютер и как бы нажимал все эти кнопки. То есть, как эта связь происходит? И здесь это технологический вопрос или это вопрос больше такой для следователя?
Ю. ГУБАНОВ: Давайте мы немножко некоторую базу сделаем. Чуть-чуть отступим на шаг назад. То есть, во-первых, не совсем верно говорить, что единственная задача – это связать некоторый IP…
С. ОСЕЛЕДЬКО: Нет, одна из.
Ю. ГУБАНОВ: … да, с некоторым человеком.
С. ОСЕЛЕДЬКО: Это два мира, виртуальный и реальный. Ответственность несет человек из реального мира, а субъектами компьютерного преступления являются некие объекты из виртуального мира. И поэтому связать просто на уровне логики – это очень важная задача, одна из.
Ю. ГУБАНОВ: Тоже не совсем верно, что преступление, оно только в онлайне, да? То есть, можно говорить о нескольких типах преступлений, которые можно расследовать с помощью именно компьютерной, цифровой (более точно) криминалистики. Есть преступления, которые делаются онлайн – это вот фрод, это мошенничество, снятие денег с карт. Тут действительно важно проследить, что у человека вот такой-то IP…
С. ОСЕЛЕДЬКО: Сейчас, после того, как президент подписал весь комплекс законов, принятых Думой в весеннюю сессию, лайк экстремистского комментария, в смысле экстремистского поста в соцсети, может на пять лет тянуть, собственно. Поэтому, не только фрод…
Ю. ГУБАНОВ: Что подпадает под определение преступления – это отдельный вопрос. Но я хотел вот еще что сказать. Это только одна часть преступления, которую можно обсуждать. Вторая часть – это преступления, которые, так или иначе, затрагивали некоторое цифровое устройство. Не обязательно я пошел и украл миллион долларов, причем пошел, не выходя из квартиры, да? А я мог просто, я мог… давайте не буду говорить «я», кто-то, кто-то мог пойти…
А. ПЛЮЩЕВ: На себе не показывают.
Ю. ГУБАНОВ: Да. Кто-то пошел и убил старуху-процентщицу топором.
С. ОСЕЛЕДЬКО: Но в кармане был Айфон.
Ю. ГУБАНОВ: Но в кармане был Айфон, и он сделал селфи, может быть, а может быть, не селфи, а сделал твит оттуда с геолокацией. И так далее. То есть, он не совершал преступления в интернете, он не делал чего-то вот такого, с чего мы начали разговор. Но при этом у него были какие-то устройства, или, может быть, он с этой старухой переписывался в Контакте, или, может быть, в Outlook почту послал. То есть, тут компьютер, цифровое устройство не были орудием, но они при этом могут пролить свет на то, что было. И это отдельный пласт.
И тут уже можно не говорить об IP-адресах и так далее, потому что пришли к этому некоторому, скажем, студенту домой по наводке соседей, может быть, и изъяли у него все, что у него есть: компьютер, лэптоп, Айфон, камеру GoPro, там, навигатор, mp3-плеер, Google Glass и так далее. Вот все эти устройства у него изъяли, если у него они были, конечно. Вот. И дальше уже начинают исследовать, что там было. И, возможно, какие-то данные, которые есть внутри, они как раз докажут какие-то факты, был ли он в принципе знаком с этой старухой или нет. И перед следователем, а точнее перед экспертом, перед ним ставится вопрос: то есть, вот кто-то, оперативный работник изъял Google Glass, жесткий диск, лэптоп, Айфон и так далее. И он спрашивает: правда ли внутри этого устройства была какая-нибудь переписка между вот этим и этим человеком? Были ли там следы того-то и того-то? И эксперт, он уже… он может вообще не знать каких-то подробностей, кто к кому приходил и где что изъято, он отвечает на вопросы, поставленные следователем. Это не обязательно Рэмбо, который ходит с автоматом по улицам, то есть, это очень часто люди лет 40-50, в очках, которые сидят целый день за компьютером и исследуют вот эти носители.
С. ОСЕЛЕДЬКО: Я правильно понимаю, что ваша компания в первую очередь оказывает услуги вот такой экспертизы?
Ю. ГУБАНОВ: Нет, мы не оказываем услуги, мы делаем продукт, который помогает исследовать те или иные носители, те или иные…
С. ОСЕЛЕДЬКО: А что он умеет? Что умеет делать ваш продукт, например, с моим Айпадом?
Ю. ГУБАНОВ: Ваш Айпад, - можно вытащить из него данные с помощью… ну, либо сделав бэкап, резервную копию – «бэкап» сейчас нельзя говорить…
А. ПЛЮЩЕВ: Еще не приняли этот закон, так что, не торопитесь. Хотя с тех пор, как мы записываем, до того момента…
Ю. ГУБАНОВ: … как мы выйдем…
А. ПЛЮЩЕВ: … может быть.
Ю. ГУБАНОВ: Закон у нас имеет обратное действие.
А. ПЛЮЩЕВ: Вроде Дума на каникулах.
Ю. ГУБАНОВ: Вот. Вторая вещь – есть специализированные железки, ну, и софт тоже, который может вытягивать данные из планшетов, телефонов, обходя вот эту схему с бэкапом. Иногда это дает больше данных. Ну, мы конкретно этим не занимаемся, но есть известные компании, и в Москве есть, кстати, коллеги, которые этим занимаются. Ну, и оттуда, в общем, можно вытащить практически все про вас: ваши фотографии, ваши контакты, историю ваших звонков. Что там еще может быть у вас нехорошего?
С. ОСЕЛЕДЬКО: Нет, а что, конкретно что может быть? Можно вытащить, например, все перемещения моего Айпада?
Ю. ГУБАНОВ: С геолокацией сложный вопрос. Я не совсем специалист по перемещениям. Но если вы делали фотографии, скажем – вот это можно посмотреть…
С. ОСЕЛЕДЬКО: Если я делал, а потом удалил?
Ю. ГУБАНОВ: Если делали, потом удалили – тоже хороший вопрос.
А. ПЛЮЩЕВ: Да, насчет удаленных данных очень интересно.
С. ОСЕЛЕДЬКО: То, что так лежит на Айпаде – как бы не большое дело. Хочется понять, в принципе, такие вот сложные вещи, которые неочевидны для пользователя, какие следы мы оставляем нашими устройствами?
А. ПЛЮЩЕВ: Потому что кажется, что если, там, я не знаю, ты удалил смс-переписку, или переписку в Твиттере в личных сообщениях, в Фейсбуке, во ВКонтакте – что еще может быть? Почту удалил, да? То вроде ее как и нет.
С. ОСЕЛЕДЬКО: А если сделал сброс всех настроек устройства, к примеру, вообще?
А. ПЛЮЩЕВ: Например.
С. ОСЕЛЕДЬКО: К настройкам по умолчанию. Что остается? Вы колитесь, рассказывайте, самое интересное.
Ю. ГУБАНОВ: Очень хороший и большой, объемный вопрос. Давайте я скажу так…
А. ПЛЮЩЕВ: Мы никуда не торопимся, отвечайте.
Ю. ГУБАНОВ: Есть разные устройства, и специфика того, что хранится, что удаляется и как удаляется, очень сильно зависит. Я могу привести несколько примеров. Ну, скажем, смски, вы сказали. Во многих мобильных устройствах смски хранятся в базе данных. База данных, если это имеет значение – обычно это SQLite так называемый, но, наверное, это неважно, да, такие подробности.
Возможно, вы знаете, что когда кто-то удаляет файл с диска, с обычного диска, сейчас не говорю про мобильники, этот файл там все еще остается. Просто в некоторой табличке ставится галочка, что этот файл удален. И это приводит к тому, что когда пишется новый файл, он может занять место вот этого удаленного. Но если он не пишется, то этот файл можно восстановить. Возможно, вы это делали, есть… каждый, наверное, удалял что-то, диплом, например, в ночь перед дипломом, и искал срочно софт, который может восстановить эти данные. Вот. Это что касается файлов. А вот база данных, которую я упомянул, она тоже немножко похожа на жесткий диск. Когда вы удаляете оттуда данные, на самом деле они не удаляются сразу, они помещаются в некоторую промежуточную область, которая потом перезаписывается новыми данными. И может так получиться, что вот эти удаленные смски, они не заместились новыми – их можно восстановить.
С. ОСЕЛЕДЬКО: А если заместились – нельзя.
Ю. ГУБАНОВ: Если заместились – нельзя.
С. ОСЕЛЕДЬКО: То есть, я правильно понимаю, что если на устройстве мало свободного места, ну, просто…
А. ПЛЮЩЕВ: То это более секьюрно.
С. ОСЕЛЕДЬКО: Да.
Ю. ГУБАНОВ: Можно отдельно обсудить советы…
С. ОСЕЛЕДЬКО: Нас будет интересовать, да, пособие для начинающего хакера.
А. ПЛЮЩЕВ: Нет, ну, подожди, с одной стороны, так. А с другой стороны, это же и личная безопасность информационная. Поскольку если это могут сделать правоохранительные органы, с которыми наверняка сотрудничает компания Belkasoft или любая другая, то это могут сделать и какие-нибудь злоумышленники.
С. ОСЕЛЕДЬКО: Плохие парни.
А. ПЛЮЩЕВ: Которые просто купили или даже похитили ваш продукт, или чей-нибудь другой, или разработали сами.
Ю. ГУБАНОВ: Естественно, тут симметрия полная: если может сделать кто-то, может сделать кто-то другой. Одна из маленьких, небольших защит – что софт достаточно дорогой, и просто так купить его будет жалковато. Ну, украсть. Но так как софт очень специализированные, то просто так найти к нему какие-то кряки, хаки будет достаточно сложно. Мы как-то проводили эксперимент, на торрентах пытались искать, но, как правило, первые сто страниц – это просто всякие вирусы, потому что там этот кряк, который 2 мегабайта или гигабайта даже занимает – явно это что-то не то. Вот. А дальше первых нескольких страниц как-то всегда было лень. Поэтому, сложновато будет найти взломанную версию, я сомневаюсь, что она существует. А полная версия – это удовольствие достаточно дорогое.
Но, в принципе, вопрос, в общем, достаточно правильный. То, что называется цифровой криминалистикой, по-английски forensics. А то, что обратное, называется anti-forensics. То есть, те действия, которые приводят к тому, что меньше данных остается на устройствах. И делают это не только злые хакеры, делают и обычные компании, производители разных устройств и продуктов, просто чтобы защитить своих пользователей, может быть, от как раз каких-то нелегальных что ли действий против них. И, ну, вот есть такое, есть шифрация, BitLocker, TrueCrypt, есть всякие безопасные удаления, есть инструменты для безопасного удаления и так далее. Но если смотреть на вопрос в комплексе, то вы можете удалить те данные, или этот тип данных, или этот тип данных. Но если вы не являетесь каким-то очень высококвалифицированным человеком технически, то сложно, все данные, которые говорят о вашей активности, удалить очень сложно. Вот я знаю все, как, скажем, функционирует наш инструмент, который достает очень много разных типов данных, и я очень сомневаюсь…
С. ОСЕЛЕДЬКО: Все-таки перечислите, какие. То есть, что он достанет? Смски все удаленные, изображения…
Ю. ГУБАНОВ: Ну, давайте, да. Чаты в инстант-мэссенджерах – как это сказать в условиях запрета? В средствах мгновенного обмена сообщениями.
С. ОСЕЛЕДЬКО: Сразу вопрос: а Телеграм настолько безопасный от этого, насколько об этом говорят? Есть ли более безопасные чаты, менее безопасные чаты, мессэнджеры?
Ю. ГУБАНОВ: Когда мы говорим про Телеграм или про, скажем, Скайп, который тоже любят за то, что он безопасный, да? До того, как Майкрософт его купила и стала со всеми сотрудничать. Мы говорим о безопасности передачи данных. То есть, если кто-то будет подслушивать, перехватит трафик, то он не сможет расшифровать. Там трафик шифрованный, а шифрация там хорошая. И то же самое относительно Телеграма. Но если у кого-то есть устройство с вашей историей…
С. ОСЕЛЕДЬКО: То ничего не поможет.
Ю. ГУБАНОВ: Да. Я не помню, какой там формат, но мы Телеграм поддерживаем. Там, наверное, либо SQLite, либо pList, но, опять-таки, это технические подробности. Все, что хранится у вас на телефоне, оно, в общем, прекрасно достается, мы это умеем делать. И вот таких средств обмена сообщениями, их много сотен. Мы стараемся поддержать все популярные.
С. ОСЕЛЕДЬКО: То есть, все сообщения.
Ю. ГУБАНОВ: Да, все сообщения. В зависимости от устройства, ну, с компьютера вы смску можете послать, но только с помощью специальных средств, не встроенных в компьютер. Это могут быть смски, можно посмотреть, какие у вас были картинки, как-то их посортировать, поанализировать. Например, автоматически найти все лица, или порнографические картинки, или, скажем, отсканированный текст, что иногда важно, если вы разглашали какие-нибудь секреты, пересылали, там, отсканированные документы. Вот. Можно посмотреть, какое было видео, восстановить удаленное видео. Можно всякие системные вещи очень хитро повосстанавливать. Ну, опять-таки, я не знаю, насколько можно углубляться, все ли слушатели знают слово «реестр», или «джамп-лист». Но это некоторые системные данные, которые могут сказать, когда вы заходили, логинились, скажем, на компьютер, кода устанавливали обновление или софт, когда вы открывали документ Ворда или картинку. Если вы переводили время системное зачем-то. И так далее. То есть, в общем-то…
С. ОСЕЛЕДЬКО: То есть, система помнит все.
Ю. ГУБАНОВ: Если не все, то очень многое. И действительно иногда удивляешься, насколько много. У меня есть любимый пример. У нас есть девушка-тестер, она купила себе домой подержанный компьютер. И однажды она работала из дома и запустила наш продукт, собственно, на своем компьютере, чтобы потестировать, так как работала из дома. И, к своему удивлению, она увидела какие-то сообщения Скайпа, которые показались ей незнакомыми. Ну, не разговаривала я с такими людьми и не слала такие сообщения. Вот. Она очень заинтересовалась. И оказалось, что эти сообщения сделаны предыдущими владельцами компьютера. Они были удалены, компьютер использовался после покупки порядка года. То есть, уже вероятность того, что они могли быть перезаписаны много раз, она была, в общем, огромная. Но все равно какие-то сообщения все-таки выжили и вот были прочитаны – конечно, не специально, но так получилось.
И, кстати, это нас приводит к еще одному приложению, если говорить о коммерческих применениях. Знаете, например, что один из способов получения информации о некоторых компаниях, недобросовестная всякая конкуренция – просто из мусорного ящика рядом с компанией вытащить жесткий диск и повосстанавливать. Вот это тоже, если говорить о злонамеренном использовании, всякая конкурентная разведка – вот одно из таких применений. То есть, действительно прошел год, а столько информации было найдено относительно только Скайпа. Что там еще можно было найти – можно только догадываться.
А. ПЛЮЩЕВ: Восстановление прибора, восстановление гаджета до заводских установок так называемое, оно позволяет ли избавиться от какой-нибудь информации?
Ю. ГУБАНОВ: Позволяет, но вот это зависит от гаджета, что у него внутри за память…
С. ОСЕЛЕДЬКО: Это был мой следующий вопрос.
А. ПЛЮЩЕВ: Прости.
С. ОСЕЛЕДЬКО: Какая операционная система мобильная более, скажем так, безопасная с точки зрения вашего софта: iOS, или Андроид, или, может, Windows Phone?
Ю. ГУБАНОВ: Я не самый большой специалист по мобильной криминалистике…
С. ОСЕЛЕДЬКО: MacOS или?..
Ю. ГУБАНОВ: В Москве есть прекрасная компания Oxygen Forensic, которую вы тоже можете пригласить, раз уж вы собрались каждый месяц делать такие разговоры. Вот. Они скажут гораздо больше. Насколько я понимаю, пятый iOS, который шифрованный, и бэкапы там шифруются как-то хорошо, вот, он достаточно безопасный.
С. ОСЕЛЕДЬКО: Начиная с пятой версии?
А. ПЛЮЩЕВ: Начиная с пятой.
С. ОСЕЛЕДЬКО: Сейчас седьмой, собирается восьмой появиться скоро.
Ю. ГУБАНОВ: Ну, вот с какой-то, начиная с какой-то – по-моему, с пятого все-таки там хорошая шифрация. Но тут врать не буду, не самый большой специалист.
С. ОСЕЛЕДЬКО: Ок. Значит, мы разобрались… то есть, для того чтобы связать реального человека с виртуальным аккаунтом, необходим физический доступ к устройству. А следующий вопрос касался… насколько это все работает с облачными всякими нашими технологиями? Потому что мы все сейчас не только же на устройствах, мы же все синхронизируемся с облаками. То есть, есть, там, Gmail, Фейсбук, там, Твиттер, Инстаграм и так далее. Насколько сейчас есть доступ, условно говоря, у экспертов компьютерной криминалистики к этому всему? Потому что, ну, хорошо, а если устройства нет? То есть, можно это со стороны облака зайти?
Ю. ГУБАНОВ: Тоже очень большой, объемный вопрос. Есть несколько способов получить информацию из облака. Ну, точнее так: информацию, которая с облаком синхронизируется. Во-первых, в лучшем случае на устройстве все-таки есть какая-то информация, чтобы вы могли работать оффлайн. Какая-то последняя история может быть. Она тоже может храниться в каких-то базах данных, каких-то файликах. И, имея устройство, можно ее восстановить.
Во-вторых, если все-таки ее там нету и исследователь каким-то образом знает пароль человека, полученный с помощью признательных показаний или терморектального криптоанализа, то он в некоторых условиях может просто залогиниться под пользователем. Тут вопрос сложный юридически, то есть, когда это можно, когда – нет. Это зависит от страны, от юрисдикции. Где-то это можно, где-то это no-no, нельзя-нельзя. И зависит от ситуации, то есть, дальше пойдет это дело в суд или это какие-то внутренние, не знаю, расследования против шпиенов и так далее. То есть, в зависимости от юрисдикции, можно это или нельзя, в зависимости от того, какое это дело, при некоторых условиях эксперт может просто залогиниться под человеком, зная пароль, и просто вытащить оттуда все данные.
С. ОСЕЛЕДЬКО: А можно сразу вопрос? Именно по этой причине, из-за юридических и трансграничных ограничений у нас сейчас планируется, чтобы все компании, которые хранят персональные данные пользователей, имели свои сервера на территории России и так далее? Просто чтобы эту задачу облегчить?
Ю. ГУБАНОВ: Это то, что я хотел продолжить. Действительно, наводит на размышления. Третий способ получить информацию – это, собственно, прийти к провайдеру облака и сказать: вот у нас тут есть такой человек, подозреваемый в…
С. ОСЕЛЕДЬКО: Зачем приходить? Все провайдеры в России, они обязаны сами заранее открыть дверь и как бы…
Ю. ГУБАНОВ: Да, если провайдер… вы не можете пойти в Фейсбук и сказать… вам нужно до него хотя бы доехать, доехать до Штатов и сказать: вот у меня постановление российского суда, я должен изъять у вас вот этот компьютер, потому что там хранятся данные такого-то такого-то пользователя. Это представить достаточно сложно, правда? Но понятно, что американские правоохранители могут пойти к Фейсбуку, и они это делают, и каждая компания, и Фейсбук, и Гугл, по-моему, и Эппл, они публикуют каждый год, сколько было случаев обращения правоохранителей и сколько они удовлетворили. То есть, там у них, естественно, есть какое-то взаимодействие. Понятно, что наши правоохранители не могут так сделать, потому что Фейсбук там где-то в Кремниевой долине. Вот. Возможно, это одна из причин. Но я не могу залезть в голову к нашим законодателям…
С. ОСЕЛЕДЬКО: Но ваш софт не позволяет такие вещи делать?
Ю. ГУБАНОВ: Наш софт это не позволяет делать.
С. ОСЕЛЕДЬКО: Вы только с устройствами работаете.
Ю. ГУБАНОВ: Да. Я давайте вот через минуту скажу, как мы работаем, есть несколько подходов. Скажу только, что есть еще одна прекрасная московская компания под названием ElcomSoft, которая для яблочных устройств умеет вытягивать данные из, соответственно, из их iCloud, и этим очень сильно популярна. Я был на конференции в Штатах пару недель назад, месяца полтора назад, и на докладе, посвященном исследованию iOS, несмотря на то, что там не было представителя компании, название звучало через каждые пять минут.
С. ОСЕЛЕДЬКО: Следующий вопрос: а много ли, вообще сколько вас на темной стороне силы?
Ю. ГУБАНОВ: Ну, почему темной? Я потом, может быть, расскажу светлые примеры, вы поймете, что это светлая сторона силы.
Рынок не очень большой. В мире существует, ну, там, сотня-другая, наверное, компаний, которые этим занимаются, крупных из них штук пять, наверное. В России их очень мало, по крайней мере те, которые известны за рубежом, их 4: 3 московские и мы, из Питера. Так что, мы, естественно, не только знаем всех в России, всех четырех, но и, в общем-то, всех за рубежом, потому что сто человек – это не так много. В общем, встречаемся на конференциях. Иногда бывает так, что в одном городе встретились, через три дня – в другом. О, привет, давно не виделись. То есть, действительно достаточно узкий рынок, все друг друга знают.
С. ОСЕЛЕДЬКО: Ну так а насчет примеров? Раз уж заинтриговали.
Ю. ГУБАНОВ: Да. Примеров…
С. ОСЕЛЕДЬКО: Расследований, в которых вы принимали участие, пару детективных историй специально для наших слушателей.
Ю. ГУБАНОВ: Давайте расскажу две разные истории. Одна история такая. Она не криминальная, то есть, там не было преступления, к счастью, не дошло до этого, она просто как, так сказать, небольшая история с хэппи эндом. Девочка поссорилась, подросток, поссорилась с родителями, ушла из дома. Ну, естественно, через некоторое время родители заволновались, стали обзванивать друзей-подруг, школу, кружки – нигде никого нету. Обратились в милицию, милиция пришла, ну, сделали какие-то мероприятия, которые они обычно делают – никаких зацепок. Естественно, посмотрели ноутбук девочкин, который оказался включенным. Залезли ВКонтакте, залезли куда-то еще, в почту – не знаю подробностей таких. Ничего не нашли. Ну, там все вроде как было залогинено. После этого запустили наш продукт и немножко поисследовали. И обнаружили вот какую интересную вещь. У девочки оказался еще один аккаунт ВКонтакте. Это был какой-то взрослый мужчина, ну, точнее, ее аватар. То есть, это была она же, притворялась там вот этим товарищем. И уже там, расковыряв с помощью нашего софта пароль и залогинившись, они увидели переписку, что эта девочка на самом деле договорилась с подругой, что она ее примет у себя и наврет, что вот ее нет. Вот такая маленькая история, но немножко неочевидная, потому что вот про этот второй аккаунт никто не знал, и догадаться так вот просто было бы сложно. Вот. Да, но, к счастью, это вот все было в течение одного или двух дней, поэтому никаких криминальных вещей не возникло.
Другая история была недавно, там уже криминальная история была по полной. Это была история в Хорватии. Полиция расследовала случай педофилии, и у них был некоторый подозреваемый, вернее, несколько, и нужно было связать вот эти случаи с конкретным человеком. Вот. И тоже у человека было пять винчестеров, пять жестких дисков, разных устройств: какие-то мобильные устройства, лэптоп – точный перечень я не помню, но, в общем, много всего. И вот на одном из жестких дисков нашлись обличающие чаты, обличающая почта, ну, и какие-то изображения. И мы этим очень гордимся, потому что нам пришло официальное письмо из полиции Хорватии.
А дело тут в том, что, ну, это достаточно чувствительная область в принципе, вот эти все исследования, и очень мало кто говорит, по крайней мере официально… ну, неофициально бывает, а вот официально чтобы сказали, что вот мы раскрыли такое преступление – это клещами не вытащить, потому что обычно все-таки это какая-то секретность, где-то кто-то что-то запретил, где-то это нельзя по закону и так далее. И у нас очень небольшое количество вещей, про которые можем официально говорить. Вот про это мы можем официально говорить. И там было доказано 13 эпизодов преступления, раскрыли, посадили, написали отчет, нам сказали спасибо.
И вот что касается темной стороны силы – наоборот, это такие вещи очень нас вдохновляют, нас радует, что мы все-таки работаем как раз на то, чтобы сделать мир лучше, и это не вот слова в кавычках. Как говорят многие стартаперы: я, там, написал календарь, который будет помогать вам делать мир лучше. А тут мы видим просто реальное применение из первых рук, вот от наших заказчиков.
А. ПЛЮЩЕВ: Я напомню, Юрий Губанов, основатель компании Belkasoft из Санкт-Петербурга, у нас здесь в эфире, говорим о компьютерной криминалистике. Я вот что хотел спросить. Я все возвращаюсь к тому, как заметать следы, естественно, а вы на этом фоне можете наоборот сказать, что это бессмысленно и бесполезно. Есть же еще такая штука, как шифрование данных. Вот. Что с ним?
Ю. ГУБАНОВ: Да, действительно, шифрование…
А. ПЛЮЩЕВ: Если человек применяет шифрование.
Ю. ГУБАНОВ: Шифрование данных – действительно это одна из больших проблем. То есть, проблем на самом деле две: облака, ну, покуда они все еще не в России, да? И шифрование. Действительно две большие проблемы, и они кое-как их пытаются решать, но они от этого меньше не становятся. Шифрование становится все сильнее и сильнее, BitLocker, TrueCrypt, особенно если особенно хитрые люди могут сделать, скажем, шифрованный диск, на нем виртуальная машина и так далее, можно как-то это все друг в друга вложить, делать снапшоты. Ну ладно, не буду углубляться в подробности, потому что придется использовать иностранные слова. Но действительно есть какие-то вот такие техники шифрования виртуалки и некоторые другие, которые могут позволить затруднить расследование. И действительно, когда шифрация сильная, даже самые лучшие средства дешифрации будут работать миллиарды лет.
Я вот уже упоминал ElcomSoft, есть еще вторая московская компания Passware – они обе занимаются… ведущие компании в мире, не только в России, по дешифрации. И они поддерживают достаточно изощренные методы дешифрации. Во-первых, это распределенные методы. Можно поставить десять компьютеров, и не просто компьютеров, в этих компьютерах будет много графических карт. Графические карты хороши тем, что можно распараллеливать вот вычисления, типа дешифрации. И там будут какие-то бешеные миллионы паролей в секунду перебираться. Но из-за того, что ключи шифрации длинные, это все равно займет, ну, может быть, не миллиарды лет, а миллионы лет, и это, в общем-то, не сильно поможет. Есть прочие способы убыстрить дешифрацию с помощью различных хитрых трюков, каких-то предпосчитанных значений – но, опять-таки, это техника. Основная идея в том, что если шифрация сильная, то вам должно сильно повезти, чтобы дешифровать некоторый диск.
Но есть и способы, как с этим бороться. Один из способов заключается в том, что если компьютер, на котором используется шифрация, был найден включенным – а в этом есть некоторая вероятность, да? Если вы ушли за хлебом, в этот момент…
А. ПЛЮЩЕВ: Надо взять с поличным, взять на месте преступления.
Ю. ГУБАНОВ: Нет, ну, можно… вот эти ключи шифрования, они могут храниться в оперативной памяти компьютера. У нас есть инструмент, который позволяет сделать образ оперативной памяти, и потом, имея этот образ и диск, можно смонтировать, то есть, подключить и расшифровать.
А. ПЛЮЩЕВ: То есть если шифруешься – выключай.
С. ОСЕЛЕДЬКО: Уходя, гасите свет.
Ю. ГУБАНОВ: Да. Но тут тоже есть, борются по-разному. Вот, скажем, по-моему, это в Англии недавно приняли закон, ну, вот из разряда как наши нынешние законодатели принимают. Если ты не смог сказать свой пароль от некоторого устройства, файла или диска, ну, если ты подозреваемый, если есть легальные основания у тебя его требовать, и ты его, ну, скажем, «забыл», то ты можешь автоматически стать виновным. То есть, иметь плохую память в Англии, если я не ошибаюсь, не очень хорошо.
А. ПЛЮЩЕВ: Как? А если 1Password…
С. ОСЕЛЕДЬКО: Да, 1Password, генератор паролей. Я не помню ни один практически, кроме пароля от 1Password.
Ю. ГУБАНОВ: Ну, вот нужно либо пароль от 1Password, либо бумажку, где у вас записан. Ну, опять-таки, это из разряда баек, которые я слышал. Я читал новость перепечатанную…
С. ОСЕЛЕДЬКО: Следующим законом в осеннюю сессию будет закон о том, что пользователь обязан помнить все пароли.
А. ПЛЮЩЕВ: Не могу не попросить вас как специалиста прокомментировать две вещи, два новостных таких сюжета. Первый, может быть, более комичный – это когда сторонник Навального Георгий Албуров, он подозревается в краже плаката с забора. Вот. В Перми, кажется, да? И картины, как ее еще называют, и так далее. И при обыске у него изъяли компьютерную технику. Как вы полагаете, вот вообще даже абстрагируясь от Навального, Албурова и плаката, как вы полагаете, в расследовании подобного преступления, подобного рода преступления, Айфон и компьютер чем могут помочь? Ю. ГУБАНОВ: Ну, может быть, он написал письмо: я завтра еду в Пермь красть картины.
А. ПЛЮЩЕВ: Изобличающее его.
Ю. ГУБАНОВ: Да, да. Или, может быть, у него селфи на фоне того, как он снимает эту картину. Но, в принципе, конечно, это в качестве шутки. То есть, естественно, устройства должны изыматься тогда, когда есть существенные основания полагать, что они как-то участвовали в преступлении.
С. ОСЕЛЕДЬКО: Так сейчас же, по-моему, в любом преступлении есть существенное основание полагать, что человек пользуется компьютерной техникой. У нас степень проникновения интернета и смартфонов такова, что ничего удивительного нет, что изымают при краже плаката с забора.
Ю. ГУБАНОВ: Если человек пошел и топором стукнул старуху-процентщицу, то не нужно у него изымать компьютер, потому что можно изъять у него топор, и на нем отпечатки пальцев и кровь старухи-процентщицы. Если человек действительно подозревается в том, что он, скажем, делал карточки, если он кардер, и обналичивал деньги, куда-то переводил с помощью компьютера…
А. ПЛЮЩЕВ: Ну, вы же сами в начале говорили, что вовсе не обязательно устройство должно быть инструментом, вовсе не обязательно, оно может быть свидетелем, оно может быть инструментом для того, чтобы отследить.
Ну, и вторая вещь, которую я бы хотел у вас попросить прокомментировать – это как раз закон, принятый Госдумой, подписанный уже президентом, о запрете хранения личных данных, значит, за рубежом. Вот. Он чего и кого касается? С вашей вот стороны, с вашей точки зрения. И насколько это, может быть, поможет и в вашей работе, и в работе правоохранителей, которые пользуются вашими услугами?
Ю. ГУБАНОВ: Пока очень сложно комментировать этот закон, тем более что перспективы, открывающиеся с помощью этого закона, они достаточно пугающие. Я, скажем, как человек, который очень много ездит по всяким конференциям, я постоянно покупаю онлайн билеты…
А. ПЛЮЩЕВ: Вроде говорят, что это не подпадает, то, что по договору, и, вроде бы, не подпадет. Вот мы с вами просто затрагивали, смотрите, какую историю. Хранение данных в облаке, например, собственных. Не в смысле то, что ты паспорт отправляешь в гостиницу, а в смысле того, что ты… ну, там, тот же самый Фейсбук, тот же самый, не знаю, Gmail. И то вроде, говорят, не подпадает, потому что это как бы по договору с пользователем, по оферте – и все нормально. Но, может быть, есть какие-то вещи – там вот говорят о банковских данных – которые бы действительно стоило хранить здесь. Что вы думаете по этому поводу?
Ю. ГУБАНОВ: Ну, начнем с того, что действительно если данные будут храниться здесь, в нашей юрисдикции, то, конечно, к ним доступиться легче. Это такая вещь очевидная. Вместо того чтобы ехать в Фейсбук и пытаться доказать, что действительно вот эта бумажка имеет право на то, чтобы изъять какой-то диск с данными пользователя, можно прийти к нашей компании… Ну, и тем более мы уже говорили, что можно и не приходить даже, а просто попросить прислать все эти данные, которые уже и так хранятся. Вот. Это насчет того, станет ли проще. Какой был второй вопрос?
С. ОСЕЛЕДЬКО: У меня есть вопрос. Вот все, о чем мы говорили до сего момента, касалось ситуации, когда так или иначе есть подозреваемый, да? То есть, мы можем взять либо устройство, либо получить доступ к аккаунтам этого человека в облаке. Но очень важно для меня еще понять такую вещь. А когда подозреваемого нет, ну, вот еще нет, условно говоря, есть какая-то история. Как в этом случае действуют компьютерные криминалисты, условно говоря? То есть, с одной стороны, нам известно, что проникновение осуществлялось с такого-то IP-адреса. И как бы и что? Да? То есть, где нам искать человека, который в этот момент был с этим IP-адресом? И второй, как бы вторая вещь: а если еще используются всякие анонимайзеры, специально заточенные на то, чтобы всячески маскировать этот IP-адрес? То есть, как здесь быть? Стало понятно, что если есть устройство ваше, то шансов скрыться уже минимум, да? Только уж какие-то совсем доступные очень небольшому количеству людей. А вот как бы в открытом поле-то что делать? Как поймали-то вот этого сына депутата?
Ю. ГУБАНОВ: Ну, как поймали – я сказать не могу, нужно спрашивать у тех, кто ловил. Но действительно, когда нету подозреваемого, должно быть какое-то другое... То есть, у нас, мы говорим о том, что есть преступники, есть жертвы. То есть, если нету преступника, есть жертва, и можно поисследовать, что там происходило. У нас были такие случаи, когда… ну, мы сейчас говорим про криминалистику в том смысле, что – ну, до сих пор говорили – в том смысле, что есть какое-то уголовное преступление. А бывают преступления, или даже не преступления, а просто какие-то корпоративные инциденты, что называется, то есть, когда внутри какой-то компании, например, разгласили какую-нибудь коммерческую информацию. Может даже вообще не быть преступления, просто нарушение договора. Это тоже отдельный пласт применения такого рода продуктов, когда вы работаете внутри компании, в которой что-то произошло. Вот. И у нас были случаи, когда наш софт использовался в расследовании краж денег из банков. Мы сами лично этим не занимались, но есть еще одна прекрасная компания московская, которую я могу упомянуть – Group-IB, с которой вы, кстати, часто общаетесь…
А. ПЛЮЩЕВ: Да, бывает, бывает.
Ю. ГУБАНОВ: Илья Сачков у вас экспертом… как только звонЯт кому-то по телефону… или в Москве звОнят, да? А. ПЛЮЩЕВ: Нет, звонЯт, вы что, вы что! Что такое говорите-то вообще!
Ю. ГУБАНОВ: Это шутка, да: Как звонЯт в Питере, как звОнят в Москве. Ну да ладно. Вот экспертом у вас часто выступает по таким делам Илья, и они нашими заказчиками являются. И как раз вот одно из применений, про которые мы можем говорить, там, был опубликован отчет по этому делу, и они писали, как они использовали наш софт для расследования. Там была очень хитрая история. Они обнаружили данные, которые были нужны, которые вывели, в итоге, на преступника, под… опять-таки, как бы не удариться в технические подробности. Ну, под некоторым системным логином, который обычно не используется для того, чтобы входить в систему. Обычно вы используете каких-то юзеров, администратора или какой-то такой. Они обнаружили следы взлома, в частности IP-адреса, вот под системным логином. И поначалу они этого не сделали, потому что, ну, как-то это кажется нелогичным и редко встречается. Ну, вот с помощью софта они это обнаружили. Вот. Как они дальше прослеживают связь IP и преступника – вот это лучше, наверное, действительно спрашивать у Ильи, они в этом деле очень много собак съели.
А. ПЛЮЩЕВ: Ближе к концу, наверное, имеет смысл поговорить немного о будущем. Как вы полагаете, в будущем компьютерные расследования, вот преступления, касающиеся компьютерной криминалистики, будет проводить сложнее или труднее? Сложнее или труднее (смеется). Сложнее или проще?
Ю. ГУБАНОВ: Сложнее или труднее, да. Естественно, есть два мира, которые… один пытается скрыть информацию, другой пытается получить. И более-менее они естественным образом должны находиться в балансе. Сложно представить, что вот какая-то темная сторона победит или светлая сторона победит. Есть две проблемы, которые мы с вами обсудили: облака, шифрации. Ну, есть какие-то еще другие проблемы, которых мы сегодня не коснулись, которые затрудняют исследования и расследования. Но есть и какие-то положительные вещи. В частности, информации становится больше, экспоненциально больше. Вот если перечислять устройства, которые могут быть у среднеобеспеченного человека – это компьютер дома, компьютер на работе, может быть, если есть. Планшет, телефон. Может быть, не один телефон. Там, смартфон, один, второй, обычный, кнопочный телефон. Там, mp3-плеер, камера, или GoPro, если человек экстримом занимается. Google Glass, принтер, сканер. Если человеку повезло в жизни, и он добился всего…
С. ОСЕЛЕДЬКО: Холодильник с доступом к интернету.
Ю. ГУБАНОВ: Да, холодильник, система Умный дом…
А. ПЛЮЩЕВ: Пылесос.
Ю. ГУБАНОВ: Могу рассказать про систему Умный дом историю. Компьютеризация яхты, вертолета и так далее. И вот информации на этих устройствах хранится очень много. Вы зашифровали одно, вы стерли другое, а у вас осталась какая-нибудь система Умный дом, которая вас сдала. Ну, у нас времени не очень много, да, осталось? Вкратце. Человек говорил, что его нету дома. А система Умный дом меряет расход воды. И обнаружилось, что там кто-то принимал душ. Ну, и дальше уже дело техники.
А. ПЛЮЩЕВ: Это действительно страшное дело. Я вот хочу свои пять копеек внести. Однажды хорошо знакомый нашим слушателям Павел Кушелев, который часто появляется здесь, ведущий телепрограммы Вести.net, он однажды мне показывал программу, по-моему, входящую в оболочку Самсунга, которая отслеживает температуру окружающей среды, значит, твой сон, не сон. Ну, такой, типа, здоровье. И он мне показывает, и я говорю: слушай, а я вижу, что ты спал с открытым окном. Он говорит: как ты это понял? Я говорю: смотри, вот твоя активность закончилась в пять утра, ты лег в пять утра спать. И в это же время резко понизилась температура – ты просто открыл окно. Это же очевидно. И он был потрясен вообще, как этот вывод очень простой…
А. ПЛЮЩЕВ: Шерлок Холмс и доктор Ватсон в 21-м веке.
А. ПЛЮЩЕВ: Ну, так просто, как этот вывод – я не был у него в квартире, разумеется, в этот момент – можно сделать, просто взглянув в телефон. Вот эти штуки действительно нас могут сдавать очень здорово.
Ю. ГУБАНОВ: Да, то есть, тут, конечно, нужно следить. Но что хорошего? Покуда вы добросовестный человек, вам нечего бояться, что кто-то обнаружит, что вы спали с открытым окном, да? Если вот вы негодяй, то, ну что ж, такова жизнь.
Еще одна история, если есть время.
А. ПЛЮЩЕВ: Да-да, пожалуйста.
Ю. ГУБАНОВ: Тоже из немножко необычных. Понятно, что вы сотрете данные с компьютера, там, телефон к заводским настройкам можете сбросить. Но вот была история с бортовым компьютером. У человека украли дорогостоящую картину, застрахованную на сколько-то там сотен тысяч долларов. Он весь несчастный пришел в полицию. Ну, естественно, стали искать. Вот. И в какой-то момент зачем-то почему-то – наверное, у них возникло некоторое подозрение – они стали исследовать самого этого человека. Вот. И, в частности, его бортовой компьютер его машины. Вот. И обнаружили, что в день или в ночь похищения человек уезжал на этой машине, и рядом с ним сиденье было занято, то есть, там кто-то сидел. Посмотрели, какую-то нашли камеру городского слежения, увидели, что там вроде человека нету. И вот такими косвенными способами обнаружили, что человек на самом деле эту картину сам и вывез.
А. ПЛЮЩЕВ: Куча интересных примеров, и наверняка еще продолжим с разными представителями компаний или структур, которые касаются компьютерной криминалистики. Тему эту мы, мне кажется, только открыли для наших слушателей – может быть, поздновато, но тем не менее. У нас сегодня был Юрий Губанов, основатель компании Belkasoft. Спасибо большое, Юрий.
Ю. ГУБАНОВ: Спасибо за приглашение.
А. ПЛЮЩЕВ: Ну, и мы с Сергеем Оселедько прощаемся с вами. Я Александр Плющев. Счастливо.
С. ОСЕЛЕДЬКО: Пока.