Как изъять виртуальный след

Обновлено: 19.05.2024

Группа хакеров в течение нескольких лет проводила фишинговые атаки на клиентов банков в разных регионах мира — злоумышленники штамповали сайты-клоны, стараясь украсть логины и пароли пользователей для входа в интернет-банкинг. Мы взяли один из доменов хакеров, прогнали его через нашу систему автоматизированного графового анализа и нашли ещё 250 вредоносных доменов, которые группа использовала в течение последних четырёх лет.

Одна из главных задач кибераналитиков — находить взаимосвязи между отдельными кибератаками и атрибутировать их с конкретной преступной группой. Изучая технологии и тактики атакующих, кибераналитики смогут строить гипотезы и предотвращать новые инциденты.

Предположим, если на радаре появился фишинговый сайт, через который злоумышленники воруют данные пользователей, наша задача — не просто закрыть этот один сайт, а найти всю сеть, транзакции и серверы, через которые проводились мошеннические операции.

В огромном массиве данных можно найти след, который позволит установить личность хакеров или принадлежащие ему активы (компьютеры, доменные имена).

Большинство хакеров пытаются действовать анонимно. Но из-за человеческого фактора они всё равно оставляют цифровые следы: домены, IP-адреса, SSH-отпечатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты.

Мы нуждались в инструменте, который агрегирует все данные, позволяет удобно искать по ним взаимосвязи и анализировать сетевую инфраструктуру. Сначала мы пошли по простому пути: начали искать варианты для решения наших повседневных задач у различных разработчиков. Но в каждой версии реализации графового анализа нам не хватало данных и глубины их анализа.

На разработку сетевого графа ушло несколько лет. Мы собирали базы, сравнивали множество открытых ресурсов, договаривались с регистраторами доменных имён. Для сбора большого количества данных, например информации о SSL-сертификатах, нам пришлось создавать собственные сервисы, потому что ранее такого инструмента не существовало.

Руководитель департамента системных решений Group-IB

Когда аналитики находят ресурс, связанный с вредоносным программным обеспечением или мошенничеством, они вводят в строку поиска графа домен или IP-адрес. Система найдёт взаимосвязи с другими вредоносными проектами — со старыми фишинговыми сайтами, которые были активны, или с новыми, которые эксплуатируются сейчас или заготовлены для будущих атак.

Другая задача — провести атрибуцию — связать данный ресурс с конкретным киберпреступником или группировкой. И найти новые, ранее незамеченные узлы, которые в будущем будут представлять опасность.

Граф — это не набор старых баз данных. Мы регулярно сканируем интернет, храним исторические и собираем текущие данные, которые обновляются несколько раз в день и индексируются. Используются внутренние сложные алгоритмы очистки графов, позволяющие получить актуальную информацию о требуемой инфраструктуре с учётом времени регистрации доменных имен, SSH-отпечатков, создания серверов и так далее. На текущий момент только информация об IP-адресах превышает 4 млрд записей.

  1. Ввести в поисковую строку домен, IP-адрес, email или SSL-сертификат. Это отправная точка, из которой будет строиться граф.
  2. Выбрать временной интервал — системе нужно понять, когда введённый элемент использовался для вредоносных целей.
  3. Указать глубину шага. Это параметр, который определяет рекурсию графа: один шаг построит от искомого элемента взаимосвязь с другим вредоносным элементом. Как показывает практика, трёх шагов достаточно для первого построения взаимосвязей. Поиск можно углублять, строя новые графы от найденных узлов.
  4. Очистить граф — то есть удалить все нерелевантные элементы. Очистка сильно упрощает жизнь аналитикам: система автоматически фильтрует данные, которые не нужны и ведут по ложному следу.

Вот пример — в 2018 году хакерская группа Cobalt отправляла пользователям электронные письма от лица Нацбанка Казахстана. В письмах были ссылки, по клику на которые скачивался документ. В нём был макрос, который загружал и запускал вредоносный файл. После этого зараженный компьютер связывался с сервером группы и хакеры получали над ним контроль.

Допустим, у аналитиков не было бы возможности получить эти письма и провести полный анализ вредоносных файлов. Нужно добывать информацию другими способами и строить граф. Но это тоже не идеальное решение — граф по поддельному сайту Нацбанка показал более 500 звеньев. Многие из них не имели отношения к хакерской атаке и группировке. Но алгоритм очистки графа понял это и вынес на граф только релевантные звенья — это сократило время на анализ и атрибуцию.

Фото: Unsplash

Совершая любые действия в Сети, пользователь оставляет цифровой след, по которому можно составить его портрет. Можно ли замести цифровой след, кому он интересен и когда анонимность в Сети пойдет вам не на пользу?

Кто собирает информацию о нас

Технологию активного сбора данных о пользователях внедряет в свою работу в первую очередь банковская отрасль. Недавно Сбербанк предложил усилить наказание за продажу информации о клиентах до восьми лет реального срока, однако информация утекает на рынок иногда в результате банального взлома баз данных.

До сих пор для получения банковских услуг от клиентов требуется заполнить анкету, где необходимо указать большое количество персональных сведений. При этом кредитные организации принимают решение о предоставлении услуги на основе информации из множества других источников. Современные банки анализируют клиента на основе более 1 000 параметров, и большую часть этих сведений они получают, изучая поведение пользователя в Сети.

Такая информация ценна не только для банков, но и для любых иных организаций сферы услуг: торговля, туризм, медицина и так далее. Например, если человек купил путевку, ему начинают чаще показывать рекламу страховок ВЗР. Или если вы взяли ипотеку, то для вас будет актуальна реклама мебели, ремонта и так далее, пояснил РБК Трендам Михаил Попов, основатель Talk Bank. Естественно, за такого рода информацией следят и различные государственные органы.

Фото:Leon Neal / Getty Images

Какую информацию о пользователях собирают в Сети

  • Информация для точной идентификации личности клиента (от паспортных данных до биометрических данных).
  • Физическое местонахождение клиента на момент получения банковской услуги.
  • Наличие у клиента гражданств других государств, специальных статусов (инвалид, дипломат и так далее).
  • Финансовое положение и доступная история по доходам и расходам клиента и его ближайшего окружения.
  • Состояние здоровья клиента. При этом сейчас банк гипотетически может получить доступ не только к истории болезней и медицинской карте клиента, но и следить за ежедневной физической активностью клиента и даже прогнозировать потенциальные проблемы с его здоровьем.

Главным документом, который определяет передачу конфиденциальной информации о вас, является соглашение об обработке персональных данных. Его банк предлагает подписать в первую очередь, даже если вы, не являясь его клиентом, только заполняете заявку на кредит.

Фото:Shutterstock

Как реагировать, когда сайт просит ваше согласие на установку cookie?

Cookie - это инструмент, который позволяет вебмастерам отслеживать вашу активность на сайтах. Большую роль он играет при интеграции с социальными сетями, что позволяет отслеживать вас не как некого анонимного посетителя сайта, а как конкретного пользователя социальной сети с понятными параметрами. Здесь персонализации гораздо больше, чем при простой обработке cookie. На практике большинство современных сайтов не будут вас корректно отрабатывать, если вы не согласитесь на использование их cookie. На этом построена и ускорена авторизация, пользовательские сессии и персональные настройки сайта, которые есть у конкретного пользователя. Все это связано с использованием cookie.

Фото:Christina Branco / Unsplash

Какую информацию о себе нельзя выкладывать в Сеть

В первую очередь, это данные, связанные с личными финансами: номер карты, CVV код, коды 3D-Sec, пароли и логины от входа в онлайн-банк и мобильное приложение. Такие данные не стоит не только светить в интернете, но и держать их в заметках или блокноте на компьютере и телефоне.

Не менее осторожными стоит быть с любой личной информацией, которую мы сами размещаем Сети. Выставляя даже пляжные фото, нужно помнить, что для многих компаний это может стать основанием для отказа при приеме на работу, причем явно вам об этом не скажут.

С 1 марта 2021 года в России заработал закон, по которому любые данные, оставленные в социальных сетях, считаются “общедоступными персональными данными”, а значит, мы можем в любой момент потребовать остановить их распространение - немедленно, на законных основаниях.

  • политика;
  • религия;
  • секс-меньшинства;
  • гендерная идентификация;
  • теории заговора;
  • феминизм;
  • бодипозитив.

Фото:Shutterstock

Заметаем следы


Спасет ли VPN?

Кроме того, все официальные VPN-сервисы в России должны регистрироваться в Роскомнадзоре и выполнять его требования. В частности, это разрешение или ограничение доступа к определенной информации. Это означает, что такие VPN сами должны анализировать трафик, который через них проходит. Таким образом, принцип анонимности и нейтральности Интернета в значительной степени нарушается. Это означает, что вы не полностью анонимны, и ваши переходы на запрещенные сайты тоже регистрируют вас как пользователя такого VPN. В дальнейшем эта информация может поступить в другие организации.

Фото:Shutterstock

Когда есть повод идти в суд

Другой вопрос, что дела по таким искам рассматриваются нечасто и наработанной нормативной базы по ним пока что нет. Тем не менее, за относительно недолгую практику рассмотрения дел о краже и использовании персональных данных в интернете Верховный суд, во-первых, постановил, что Роскомнадзор имеет полное право быть представителем неустановленной группы лиц в суде, во-вторых, вправе требовать компенсацию с ответчиков как для истца, так и для ведомства.

Размещение персональных данных в Сети и отказ их удалять являются обоснованным поводом как для обращения как в суд, так и в Роскомнадзор для блокировки ресурса. Причем это касается не только непосредственно персональных данных, но и контента, на который распространяется законодательство в области авторских прав – фото, видео, звук, тексты, книги и так далее. Штрафы за публикацию персональных данных постоянно ужесточаются и для юридических лиц могут составить до ₽1 млн.

Смушкин Александр Борисович, доцент кафедры криминалистического обеспечения расследования преступлений ФГБОУ ВПО "Саратовская государственная юридическая академия", кандидат юридических наук, доцент.

В статье обосновывается необходимость дополнения криминалистической классификации следов такой категорией, как "виртуальные следы". Анализируются точки зрения различных авторов на верное наименование этой категории, предлагается классификация виртуальных следов.

Ключевые слова: виртуальные следы, компьютерно-технические следы, цифровая техника, следовая картина, обнаружение, фиксация и изъятие виртуальных следов.

Virtual traces in criminalistics

The article substantiates the necessity of amplification of criminological classification traces of such category as "virtual traces". Analyzes the point of view of various authors to correct the name of the category, a classification of virtual tracks.

Key words: virtual tracks, computer-technical tracks, digital technique, tracking the picture, detection, fixation and confiscation of virtual tracks.

Новые способы, объекты и средства совершения преступлений требуют своевременного реагирования со стороны ученых-криминалистов. Все чаще компьютерные и иные цифровые электронные устройства становятся средством совершения преступлений.

Подобные преступления оставляют специфическую следовую картину. Кроме непосредственно материальных или идеальных следов, следы действий остаются также в памяти электронных устройств. Поэтому некоторые авторы, основываясь на нововведениях научно-технического прогресса, предлагают дополнить классическую классификацию следов в трасологии в области дифференцирования их в зависимости от их внешнего отображения специфической группой виртуальных следов .

См.: Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002. С. 94 - 119; Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. . канд. юрид. наук. Воронеж, 2005. С. 15 - 17; Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис. . канд. юрид. наук / Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008. С. 13.

Это мнение заслуживает внимания. Виртуальные следы представляют собой следы совершения любых действий (включения, создания, открывания, активации, внесения изменений, удаления) в информационном пространстве компьютерных и иных цифровых устройств, их систем и сетей. В. Мещеряков под виртуальными следами понимает "любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами" . Однако некоторые авторы возражают против применения термина "виртуальные следы", мотивируя свою позицию тем, что "понятие "виртуальный" - устоявшийся термин, применяющийся в квантовой теории поля для характеристики частиц, находящихся в промежуточном состоянии или в состоянии неопределенности (координаты которых и сам факт их существования в данный момент времени можно назвать лишь с определенной долей вероятности). В таком смысле будет понят термин "виртуальный след" любым человеком, знакомым с этим понятием" . Не отрицая указанного значения этого термина, следует все же отметить, что, кроме специалистов-физиков, в основной массе большинство людей (в том числе ученых-криминалистов и практиков - работников правоохранительных органов) термин "виртуальный" применяют и понимают именно в отношении компьютерного, цифрового пространства. Именно в этом понимании используется термин "виртуальность" во многих сферах современной жизни.

Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001. С. 33.
Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? Управление защитой информации. 2003. Т. 7. N 4. С. 468.

Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис. . канд. юрид. наук. М., 2004. С. 18.
Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис. . канд. юрид. наук. М., 2007. С. 11.
См.: Там же. С. 12.
См.: Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис. . канд. юрид. наук. Воронеж: ГОУ ВПО "Воронежский государственный университет", 2010. С. 13.

Интересную классификацию виртуальных следов предложил А. Волеводз: одним из оснований для классификации может являться непосредственный физический носитель "виртуального следа". На таком основании можно выделить:

  1. следы на жестком диске (винчестере), магнитной ленте (стримере), оптическом диске (CD, DVD), на дискете (флоппи диске);
  2. следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;
  3. следы в ОЗУ периферийных устройств (лазерного принтера, например);
  4. следы в ОЗУ компьютерных устройств связи и сетевых устройств;
  5. следы в проводных, радио-оптических и других электромагнитных системах и сетях связи .

А. Семенов дополнил эту классификацию классификацией виртуальных следов по месту их нахождения на 2 группы:

  1. следы на компьютере преступника;
  2. следы на "компьютере-жертве".

На "компьютере-жертве" это:

а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);

б) системный реестр операционной системы;

в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;

г) файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы;

д) файлы конфигурации программ удаленного соединения компьютера с информационной сетью .

См.: Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации // Сибирский юридический вестник. 2004. N 1.

Заслуживает также внимания предложенная Л. Красновой классификация виртуальных следов по механизму следообразования на первичные и вторичные. Первичные следы являются следствием непосредственного воздействия пользователя с использованием какой-либо информационной технологии, а вторичные - следствием воздействия технологических процессов без участия человека и вне его желания .

См.: Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. . канд. юрид. наук. Воронеж, 2005. С. 17.

Любые действия с компьютерными или иными программируемыми устройствами (мобильные телефоны, МР3-плееры, iPhone, iPad и т.д.) получают свое непосредственное отражение в их памяти. Наиболее показательны в этом плане следы в памяти компьютера:

  1. включение, выключение, различные операции с содержимым памяти компьютера (отображаются в журналах администрирования, журналах безопасности и т.д.);
  2. действия с наиболее важными для работы компьютера программами (установка, удаление и т.д.) отражаются в реестре компьютера (reg-файлах);
  3. сведения о работе в сети Интернет, локальных и иных сетях (аккумулируются в так называемых log-файлах);
  4. операции с файлами (отражаются в их свойствах; например, у файлов Microsoft Office в свойствах отражаются время создания, последнего открытия, изменения файла и т.д.).

Виртуальные следы могут послужить доказательствами незаконного проникновения в память компьютера или иного устройства (взлома), доказательствами возможного совершения или планирования определенного преступления конкретным лицом или группой лиц (например, при наличии доступа к терминалу только у определенного лица или группы лиц). Они могут указывать на уровень компьютерной грамотности злоумышленника.

"Компьютерным" преступлениям свойственна предварительная подготовка, написание или приобретение специальных программ для взлома, подготовка и внедрение "троянских" программ, поиск паролей или определение способов беспарольного входа и т.д. При этом написание или тестирование подобных программ будет оставлять виртуальные следы в памяти компьютера злоумышленника.

Способ проникновения в память компьютера или иного устройства (подбор пароля простым перебором или с помощью специальных компьютерных программ, активизация "троянов", позволяющих считать пароли из памяти компьютера или включить беспарольный доступ), а также способ сокрытия следов оставляют следы в памяти компьютера жертвы.

Для всех этих действий могут использоваться программы различного уровня сложности: "стандартные" - которые составлены максимально просто и которые легко найти в сети Интернет или подпольной продаже; "приспособленные" программы - переделанные самим злоумышленником; самостоятельно написанные злоумышленником программы.

В зависимости от сложности и распространенности программ они могут оставить в памяти устройства различные виртуальные следы, позволяющие идентифицировать программу, способ взлома и сокрытия. Обладая подобной информацией, можно сделать вывод о профессиональном уровне злоумышленника.

Определение круга лиц, имеющих доступ к компьютерному устройству и достаточный уровень профессионализма, ограничивает круг подозреваемых.

Каким же образом можно фиксировать виртуальные следы для использования в процессе расследования и доказывания? Фиксация виртуальных следов представляется разумной в следующем порядке:

  1. описание в протоколе следственного действия. В протоколе подлежат отражению следующие сведения: в памяти какого устройства обнаружены виртуальные следы; кому принадлежит устройство; имеет ли устройство выход в сеть Интернет, иные телекоммуникационные или локальные сети; какая оперативная система функционирует на устройстве (Windows XP, Wista, Linux - на компьютере, Windows mobile, Android, Symbian на мобильном телефоне, коммуникаторе и т.д.); в каких файлах обнаружены следы вмешательства, какие именно; когда файл был создан, изменен, открывался последний раз. Во избежание изучения каждого файла компьютера (количество файлов может измеряться сотнями тысяч) к проведению следственного действия необходимо привлекать специалиста (программиста, системного администратора и т.д.);
  2. фотографирование экрана с выведенной информацией о свойствах исследуемых файлов, журналов администрирования, служб безопасности и т.д. Подвидом этого варианта фиксации можно назвать "снимок экрана" (клавиша "Print screen" клавиатуры) с его последующей распечаткой;
  3. изъятие для исследования всего объекта с виртуальными следами.

Таким образом, представляется, что виртуальные следы могут обоснованно занять место в классификации следов, используемой в криминалистике.

Пристатейный библиографический список

  1. Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис. . канд. юрид. наук. Воронеж, ГОУ ВПО "Воронежский государственный университет", 2010.
  2. Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002.
  3. Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. . канд. юрид. наук. Воронеж, 2005.
  4. Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис. . канд. юрид. наук. М., 2007.
  5. Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001.
  6. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002.
  7. Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис. . канд. юрид. наук. М., 2004.
  8. Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис. . канд. юрид. наук. Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008.
  9. Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации // Сибирский юридический вестник. 2004. N 1.
  10. Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? // Управление защитой информации. 2003. Т. 7. N 4.

Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности. --> Мы используем файлы Cookie. Просматривая сайт, Вы принимаете Пользовательское соглашение и Политику конфиденциальности.

Читайте также: