Невыдуманные истории о расследовании компьютерных преступлений.

Все чаще фирмам, имеющим отношение к интеллектуальной собственности и обслуживанию клиентов в интерактивном режиме, приходится прибегать к услугам кибердетективов, чтобы расследовать электронные преступления и выявлять случаи злоупотребления среди персонала.

«К нам обращаются, обнаружив на своих серверах деструктивные программы, при утечке важной информации или домогательствах, а то и даже столкнувшись с киберсквоттерами», — заметил вице-президент компании Predictive Systems Эд Скаудис, яркий представитель так называемых «этичных хакеров».

Конкретные методы разыскной деятельности зависят от вида проводимого расследования. Некоторые детективные агентства (например, Brandon Internet Services) просто сканируют Сеть или ищут нужную информацию в других общедоступных электронных хранилищах.

Представители крупного бизнеса при помощи кибердетективов устанавливают в своих системах механизмы оповещения, которые помогают выявлять и задерживать тех, кто занимается взломом компьютерных сетей.

Чтобы получить представление о существующих видах киберрасследований и о средствах, которые применяются при их проведении, мы решили рассмотреть три способа борьбы с компьютерными преступлениями.

Подделка учетных записей

  • Для поимки двух выходцев из России, активно занимавшихся похищением номеров кредитных карт, был задействован следующий метод анализа информации в Internet и базах данных.

Сотрудники службы безопасности компании PayPal, владельца системы электронных платежей, обнаружили подозрительно много счетов, открытых людьми с фамилиями Хадсен и Стивенсон.

Руководитель подразделения компьютерных расследований PayPal Джон Котанек, в прошлом офицер военной разведки, заметил, что заведено уже более 40 учетных записей, с помощью которых на аукционе eBay.com приобреталась компьютерная техника. PayPal заморозила фонды, через которые на eBay заказывались товары для России, и начала расследование.

Один из партнеров PayPal сообщил, что его трафик перенаправили на фальсифицированный сайт PayPaI. Сотрудники Котанека установили специализированное программное обеспечение, регистрирующее все пересылаемые туда пакеты. Расследование показало, что владельцы фальсифицированного сайта использовали его для сбора информации об именах и паролях клиентов PayPal. С помощью программных средств удалось выявить фактический IP-адрес злоумышленника и отыскать все соответствующие записи в базе данных PayPal. Оказалось, что все заинтересовавшие службу безопасности учетные записи были открыты с того же IP-адреса.

Используя две свободно распространяемые программы — TraceRoute (www.tracert.com) и Sam Spade (www.samspade.org), сотрудники, занимавшиеся расследованием, выявили связь между фальсифицированным адресом сервера PayPal и адресами в России, по которым планировалось доставить заказанный товар. А между тем от компаний, обслуживавших кредитные карты, зарегистрированные на подозрительных счетах, поступали все новые и новые запросы. Выяснилось, что с помощью украденных номеров кредитных карт мошенники положили себе в карман более 100 тыс. долл., и PayPal предстояло полностью возместить нанесенный ими ущерб.

После того как PayPal заморозила деньги на счетах, от мошенников стали поступать телефонные звонки и электронные письма с требованиями их разблокировать.

«Они вели себя просто вызывающе, — вспоминал Котанек. — Им казалось, что в России мы никогда не сможем их достать».

Но обернулось по-иному. Агенты ФБР, представившись сотрудниками технологической компании, предложили подозреваемым работу в области компьютерной безопасности и вызвали их в США на собеседование. Там мошенники были арестованы.

Используя набор инструментальных средств EnCase (www.encase.com), команда Котанека помогла ФБР собрать необходимые доказательства. Проанализировав свободное пространство на образах жестких дисков подозреваемых на наличие подозрительных слов и шаблонов, сотрудники PayPal нашли удаленные файлы, на месте которых еще не была размещена другая информация.

«Нам удалось установить связь между IP-адресом их компьютера, кредитными картами, которые они зарегистрировали в нашей системе, и скриптами Perl, которые применялись для открытия счетов в нашей системе», — сообщил Котанек.

В мае Алексею Иванову и Василию Горшкову было предъявлено обвинение в электронном мошенничестве. В сентябре правоохранительные органы доказали причастность Горшкова к совершению 20 подобных операций. В отношении Иванова расследование продолжается.

Зомбирование компьютеров

  • Следующий рассказ о том, как обследование сети помогло сотрудникам Вашингтонского университета ликвидировать последствия взлома их систем.

Шквал звонков обрушился 1 июля. Шокированным коллегам Дэйва Дитриха, отвечающим за администрирование сети, насчитывающей 50 тыс. узлов, срочно пришлось отражать внезапную атаку. Сеть подверглась сканированию и наводнилась пакетами, вызывающими отказ в обслуживании (DoS — denial of service).

«Мы сразу же отключали атакованные компьютеры, — вспоминал Дитрих, старший инженер по безопасности Вашингтонского университета. — Но оказалось, что злоумышленники взломали более 30 наших систем и обрушили DoS-атаки сразу на 9 тыс. целей».

С помощью сканера Fport, разработанного компанией Foundstone (www.foundstone.com/rdlabs), Дитрих и его коллеги нашли каталоги и имена файлов, которых не должно было быть в операционной системе Windows, установленной на компьютерах сети. Программа показала также, что обращения ко всем необычным каталогам и файлам осуществлялись через один и тот же активный порт, который не использовался в стандартной конфигурации.

«Это навело меня на мысль прослушать сетевой трафик, проходящий через этот порт, что я и сделал при помощи специальной программы», — отметил Дитрих.

Для решения данной задачи он выбрал свободно распространяемую программу TCPDump (www.tcpdump.org), которая регистрировала весь необычный трафик, проходивший через подсистемы перенаправления Internet Relay Chat и инициировавший DoS-атаку. Дитрих отключил подозрительные машины от сети и вместе со своей командой из 40 человек потратил две недели на установление контактов с пользователями 9106 пострадавших компьютеров, на переформатирование жестких дисков и на устранение брешей в системе безопасности, через которые злоумышленники проникли в систему.

«Для того чтобы выяснить, какие деструктивные программы присутствуют в системе и как они функционируют, нам пришлось потратить массу времени на детальное обследование сети и серверов, — сообщил Дитрих. — Вот почему я решил опубликовать результаты нашей работы. Надеюсь, они помогут другим укрепить собственные системы безопасности».

Нечистый на руку инженер

  • А теперь расскажу о том, каким образом тщательное обследование компьютеров помогло одной компании сохранить свою интеллектуальную собственность и предотвратить ее несанкционированное использование.

Один инженер, в отношении которого велось служебное расследование, был уволен из компании (назовем ее компанией A). Когда в сентябре он перешел в конкурирующую компанию B и ему положили оклад, который на 10 тыс. долл. превышал среднюю зарплату в соответствующей сфере, у представителей компании A возникло подозрение, что какая-то часть их интеллектуальной собственности оказалась в руках конкурента. Руководство компании A приняло решение направить иск в суд и обратилось в компьютерное детективное агентство New Technologies.

В подобных случаях необходимо тщательно соблюдать законность всех процедур, иначе доказательства в суде теряют свою силу. Вместе с тем доказательства должны быть достаточно убедительными, поэтому прежде всего сотрудники New Technologies получили зеркальный образ серверов компании A и старого компьютера уволенного сотрудника.

«Эта задача решалась с помощью инструментария SafeBack, позволяющего изучать жесткий диск и определять время совершения той или иной операции без изменения его первоначального содержимого», — отметил начальник лаборатории New Technologies Пол Френч.

Хотя в New Technologies и обнаружили признаки копирования файлов на съемные носители на компьютере инженера в компании A, неопровержимых доказательств противоправной деятельности бывшего служащего у команды Френча не было. Тогда, получив соответствующее разрешение судебных органов, специалисты приступили к обследованию домашнего компьютера подозреваемого.

Используя утилиту файлового поиска FileListPro, они обнаружили, что некоторые чертежи проектов были скопированы на домашний компьютер подозреваемого уже после того, как он покинул компанию. (FileListPro позволяет определить время создания, открытия и изменения файлов.)

Подозреваемый утверждал, что чертежи были скопированы еще в тот период, когда он работал в компании A. Часы на его компьютере просто показывали неправильное время. Однако дата, стоявшая на письме, которое было написано в то же самое время, совпадала с датой, зафиксированной компьютером.

Этих доказательств было вполне достаточно, чтобы получить разрешение на обследование компьютера инженера, который находился у его нового работодателя. Сотрудники, проводившие расследование, обнаружили чертежи, очень похожие на те, которые имелись у компании A, хотя и с некоторыми отличиями. Проведя поиск по ключевым словам, среди которых фигурировали термин «диаграмма» и название компании A, члены команды Френча нашли на новом компьютере инженера следы весьма интересных электронных писем.

В электронной переписке, которая велась между инженером и его подругой, обсуждались вопросы совместного владения диаграммами. В одном из писем, написанных инженером, говорилось, что сыщикам не удастся найти никаких следов, в другом его подруга интересовалась, что делать с теми чертежами, которые были ей переданы.

В результате суд направил соответствующее предписание инженеру и компании, разрабатывавшей свои изделия с использованием чужой интеллектуальной собственности.

«И если теперь они попытаются представить на рынке нечто похожее, немедленно будет возбуждено уголовное дело», — заявил Френч.


Что искать

Проведения киберрасследований призваны дать ответ на следующие вопросы

  • Как удается проникнуть в систему?
  • Какие системы подвергаются атакам и как?
  • Какие нужны исправления?
  • Как предотвратить подобные атаки в будущем?

Источник: Джон Тэн, специалист по киберрасследованиям, Stake

Поделитесь материалом с коллегами и друзьями