Автор: старший менеджер форензик-группы, руководитель департамента анализа финансовой информации и электронных данных российского отделения PwC Андре Росс.

Согласно статистике аналитической группы IDG, в Европе 90% документооборота компании никогда не ложатся на бумагу – они живут и умирают в электронном виде. Это означает, что когда вы проводите какое-либо расследование финансовой деятельности компании и хотите познакомиться с внутренней документацией, вы увидите только одну из десяти папок с документами. Остальные девять можно посмотреть только если прибегнуть к помощи компьютерных криминалистов.

Для извлечения информации мы используем специальное оборудование, которое делает точную копию содержимого жесткого диска анализируемого компьютера. Отмечу, что процесс происходит без включения компьютера в сеть, поскольку это может негативно повлиять на целостность информации. Вся информация с диска – набор метасимволов – сливается в одно большое хранилище – контейнер, потом с нее делается еще одна копия, и с этой копией мы начинаем работать.

Наша жизнь сейчас настолько тесно связана с разными гаджетами, что практически каждый шаг человека – хочет он этого или нет – можно отследить. К примеру, когда вы делаете фотографию «айфоном», телефон автоматически сохраняет в свойствах снимка координаты места съемки – данные GPS-системы. У меня в практике был случай, когда удалось восстановить из памяти компьютера письмо, которое человек сначала написал, а потом передумал отправлять и не сохранив текста, просто закрыл программу.

И тем более, в наш современный технологический век практически ни одно финансовое преступление не получится раскрыть без использования IT-технологий. Все операционные системы сохраняют достаточное количество информации, пригодной для криминалистов. Вопрос только в том, чтобы эту информацию извлечь.

Расскажу один пример из практики моей работы еще в австралийской полиции (до прихода в PwC Андре Росс долгое время работал в Австралии, в подразделении полиции по расследованию особо важных дел, в департаменте расследования компьютерных преступлений – ред. ЭПС). Нам удалось найти хакера, взломавшего информационную систему одного интернет-магазина и похитившего около 200 тысяч номеров кредитных карт.

Компанию, о которой идет речь, поразила типичная «болезнь роста» – это когда за короткий промежуток времени резко увеличивается объем бизнеса и количество персонала. Управление компанией «как прежде» в этом случае зачастую приводит к проблемам c управлением и безопасностью. По такой классической схеме шел в данном случае и этот интернет-магазин. Из относительно небольшого семейного бизнеса он практически в одночасье перешел в разряд крупных игроков на рынке продажи цветов через сеть интернет. Для поддержки товарооборота была в относительно короткие сроки внедрена система приема и обработки заказов по телефону и через интернет. Для разработки и внедрения привлекалась сторонняя организация, а дальнейшей поддержкой и управлением этой системы занимался внутренний IT-отдел.

Проблема заключалась в низкой квалификации IT-персонала и непонимания руководством того, что эта инфраструктура теперь и стала основой бизнеса.

Через некоторое время банк связался с руководством компании и проинформировал, что организация является местом утечки клиентской кредитной информации.

Банк привлек частных экспертов из Cybertrust и полицию. На начальном этапе проводилась совместная с Cybertrust работа по сбору информации. Были скопированы логи систем информационной безопасности (межсетевой экран – Firewall) и маршрутизаторов, а затем серверных систем. Мы получили около 1 террабайта текстовых логов и несколько терабайтов скопированных компьютерных систем.

При расследовании таких инцидентов необходимы не только знания по компьютерной криминалистике, но и глубокое понимание в области сетевых протоколов серверных систем. Работая с огромным количеством информации невозможно обойтись без помощи различных программ и утилит. При этом не все из них обязательно должны быть дорогими или криминалистическими. К примеру, для обнаружения подозрительных событий можно пользоваться Microsoft Log Parser (бесплатная утилита для работы с текстовыми логами, XML и CSV файлами) и Windows Event Logs, а также DtSearch – для индексирования и быстрого поиска.

Мошенники часто используют внедрение SQL-кода (SQL injection), которое обычно сопровождается множеством запросов к серверу для того чтобы проникнуть в систему (как при подборе ключей к замку). Поиск в логах таких запросов, пришедших с одного IP-адреса (ошибка 500 HTTP) может помочь в обнаружении атаки, установить временные рамки атаки и восстановить события. После этого начинается проверка событий в установленных временных рамках, а также проверка файлов, созданных или измененных в этих промежутках времени.

Справка
500 (Внутренняя ошибка сервера) — код статуса в протоколе HTTP, сообщающий, что серверная программа работает, но встречается с серьезными внутренними ошибками, препятствующими нормальной обработке запроса клиента.

Так мы обнаружили руткит (rootkit) – программу (иногда это бывает набор программ) для закрепления во взломанной системе и сокрытия следов (файлов, процессов, а также самого присутствия руткита в системе). Анализ кода этой программы и поиск через Google отдельных элементов кода привели нас на вьетнамский сайт, где мы нашли пользователя, объясняющего другому человеку, как работает эта программа (на вьетнамском).

Тот же НИК (nick, nickname – имя, кличка человека в сети интернет) обнаружился на другом, игровом портале, но уже с большим количеством деталей и даже номером мобильного телефона. Поиск по номеру привел к имени, потом были найдены адрес и дата рождения. IP-адрес мы запросили у Вьетнамской полиции. По результатам собранной информации дело было передано в Интерпол.

Другой случай из практики. У подозреваемого во время обыска изъяли ноутбук и доставили в лабораторию, однако мошенник использовал для шифрования всего жесткого диска SecurStar DriveCrypt. Компьютер оказался включен, но программа шифрования требовала пароль для доступа. К счастью, ноутбук имел порт Fireware, и можно было воспользоваться специальной программой «Питон» для доступа к памяти компьютера через шлюз Fireware. Оперативная память довольно долгое время содержит не только пароли и ключи шифрования, но и неотправленные и не сохраненные письма. Даже перезагрузка компьютера может не до конца очистить ОЗУ.

Возможно также изменение памяти для того чтобы система принимала любой пароль. Но это более рискованный метод, который может привести к зависанию компьютера.

Сегодня есть более современная версия “Forensic1394” library by Freddie Witherden, которая используется для доступа к памяти.

Итак, после того как память была скопирована, с помощью тестовой машины был обнаружен уникальный пароль (для его поиска использовалась специальная программа WinHex).

Развязка этой истории такова: после получения доступа к информации на ноутбуке, там было найдено несколько тысяч номеров кредитных карт и другая полезная для мошенничества информация. Владелец ноутбука был осужден на 18 месяцев.

Приведу примеры из российской практики.

У руководства одной компании было подозрение в том, что один из менеджеров связан с поставщиком услуг, за которые он отвечает. Набор был такой: предоставление персонала для сервисного центра, бухгалтерские услуги, обслуживание склада, купля-продажа запасных частей и пр. Результаты анализа документации и корпоративных баз не дали ощутимого результата. Тогда на помощь пришли специалисты нашего отдела технической поддержки и анализа финансовой информации и электронных данных, которые сделали посекторную копию жестких дисков менеджера и еще нескольких сотрудников. Используя специальные программы, мы провели анализ информации, содержащейся на жестких дисках по ключевым словам и систематизировали добытые сведения. В процессе анализа систематизированных сведений выяснилось, что менеджер компании, а также главный бухгалтер и еще один сотрудник полностью контролировали деятельность поставщика услуг. Информация, содержащаяся на их компьютерах указывала на то, что они назначали сотрудников контролируемого поставщика на работу, утверждали им зарплату, занимались распределением дивидендов и т.д. Всей этой деятельностью они занимались в рабочее время параллельно с основной работой. По результатам нашей работы клиент принял решение об увольнении трех сотрудников, получив достаточные основания для увольнения в соответствии с законодательством РФ.

В другом случае руководство одной фирмы поставило перед группой форензик PwC задачу выяснить, есть ли какая-либо аффилированность/взаимосвязь между компанией-поставщиком IT-услуг и собственным IT-менеджером, отвечающим за взаимодействие с этой компанией. Мы выяснили, что веб-сайт поставщика IT-услуг был зарегистрирован именно этим IT-менеджером, который также указал в качестве контактного номера свой корпоративный телефон, зарегистрированный на компанию нашего клиента. Наши специалисты при помощи специализированных баз также выяснили, что электронные сообщения, направляемые на электронный адрес поставщика IT-услуг, читаются IT-менеджером и проходят через сервер нашего клиента. Более того, наши специалисты выяснили, что IT-менеджер далее отвечает на эти сообщения также через сервер нашего клиента. В результате проделанного анализа удалось подтвердить взаимосвязь между компанией — поставщиком IT-услуг и IT менеджером. По результатам нашей работы клиент принял решение об увольнении этого сотрудника, получив достаточные основания для увольнения в соответствии с законодательством РФ.