Компании все чаще нанимают на работу компьютерных детективов

Кое-что в работе платежной системы компании PayPal показалось ее руководству подозрительным. В конце 2000 года множество новых учетных записей оказались открыты под одними и теми же фамилиями — Хадсен и Стивенсон. Служба безопасности PayPal занялась расследованием.

Дэйв Дитрих: «Я пришел в сферу безопасности, потому что мне нравится самостоятельно выявлять всю подноготную глубинных процессов и докапываться до истины»

Выяснилось, что обладатели счетов с этими учетными записями закупили на eBay компьютерной техники почти на 100 тыс. долл. Кроме того, судя по всему, злоумышленники собирались получить наличные по кредитным картам с украденными номерами. Для этого соответствующие депозиты планировалось разместить в виде оплаты на счетах PayPal, а затем перевести их на независимый банковский счет.

Сотрудники Федерального бюро расследований запросили разрешения на доступ к компьютерам двух российских граждан, на которых, как предполагалось, хранилась учетная информация PayPal. Основываясь на доказательствах, собранных PayPal, ФБР в мае прошлого года предъявило Алексею Иванову и Василию Горшкову обвинение в электронном мошенничестве.

По свидетельству аналитиков Gartner, после внедрения в PayPal системы раннего предупреждения, базирующейся на сравнении шаблонов, доля мошеннических операций сократилась до 0,5%, тогда как в области электронного бизнеса средний показатель составляет от 1,3% до 2,6%.

«Применение подобных средств имеет для нас жизненно важное значение, — отметил Кен Миллер, руководитель службы безопасности компании PayPal, специализирующейся на обработке электронных платежей. В подчинении Миллера сегодня находятся 75 человек. — Многие наши конкуренты несли от мошенничеств такие потери, что вынуждены были прекратить свою деятельность. Нам же за последнее время удалось заметно сократить количество таких случаев».

Сегодня все больше и больше доказательств противоправной деятельности удается собрать путем обработки компьютерных данных.

«Специалисты по компьютерной безопасности все чаще приглашаются различными организациями, чтобы выяснить, каким образом злоумышленникам удается проникать в систему, на какие компоненты они способны оказывать воздействие и что можно сделать для предотвращения подобных инцидентов в будущем», — подчеркнул главный аналитик компании @Stake по вопросам компьютерным расследований Джон Тан.

Розыскная работа и обследование систем — совершенно разные виды деятельности, но тем не менее у них есть много общего.

Специалисты в этих областях должны обладать глубокими знаниями компьютерных и сетевых технологий, способностью к аналитическому мышлению, склонностью к освоению новых направлений, выходящих за рамки повседневной рутины, знаниями хакерского инструментария, а также профессиональным чутьем и умением находить злоумышленников среди сотрудников самой компании.

Важными моментами представляются также практика участия в проведении расследований, юридические знания, опыт работы в банковских институтах или правоохранительных органах.

«С помощью свободно распространяемых или коммерческих инструментальных средств кибердетективы создают ?моментальный снимок? компьютерной системы, после чего ищут интересующие их сведения в популярных приложениях, в файловых системах, на жестких дисках, где даже удаленные данные сохраняются вплоть до перезаписи», — пояснил вице-президент ведущего поставщика услуг Internet-хостинга Exodus Communications по вопросам борьбы с кибертерроризмом Чарльз Нил.

«Возьмем, к примеру, недавний случай, когда клиент заподозрил сотрудников собственного ИТ-отдела во вредительстве, — вспоминает Тан. — Тщательное изучение файловой структуры, электронной почты и даже незанятого пространства подозрительных жестких дисков помогло представителям службы безопасности выйти на злоумышленника. Им оказался бывший служащий компании, недовольный своим увольнением».

Профессиональное чутье для работников службы безопасности очень важно. Им чаще всего обладают люди, имеющие опыт работы в правоохранительных органах, такие как специальный агент ФБР Нил Уанс. В свое время Нил занимался расследованием деятельности небезызвестного Кевина Митника и хакера, скрывавшегося под псевдонимом Mafiaboy.

Впрочем, нужны и прирожденные технари, подобные Дэйву Дитриху. Старший инженер по вопросам безопасности, работающий в Университете штата Вашингтон, хорошо известен в среде компьютерных детективов, в том числе благодаря опубликованному им подробному описанию вирусов и технологий атак. Его работу трудно переоценить.

«Я пришел в сферу безопасности, потому что мне нравится самостоятельно выявлять всю подноготную глубинных процессов и докапываться до истины, — рассказывает Дитрих. Прежде чем получить в университете должность системного администратора, он работал в корпорации Boeing и досконально изучил язык Си и ОС Unix. — Количество вверенных мне компьютеров, которым угрожает опасность, постоянно растет, и я стараюсь уделять все более серьезное внимание вопросам безопасности и хакерским инструментам. При помощи методов обратного проектирования я выявляю и обезвреживаю вирусы, кроме того, я углубляю свои знания, постоянно читая специальную литературу».

На страже техники и закона

Компании все чаще приглашают на работу специалистов, помогающих выявить случаи мошенничества, кражи интеллектуальной собственности и злоупотреблений со стороны персонала.

«Помимо прочего сотрудники службы безопасности следят и за добросовестным выполнением служащими своих обязанностей», — отметил Майкл Андерсон, президент компании New Technologies, оказывающей консультационные услуги в вопросах предотвращения компьютерных преступлений.

«Люди, работающие в данной области, должны не только знать, в каком месте сети следует искать соответствующие улики, но и уметь своевременно получить доказательства противозаконной деятельности. А поскольку доказательства, возможно, придется предъявить в суде, добывать их следует законными средствами. К сбору необходимых сведений и их обобщению нужно относиться с особой тщательностью, придерживаясь при этом стандартных процедур», — подчеркнул Том Арнольд, директор компании CyberSource, специализирующейся на обработке онлайновых платежей и управлении рисками.

«Изучая следы киберпреступления, мы должны определить, где находятся деньги, где размещена информация о кредитных картах, кто предоставляет мошенникам услуги хостинга, кто оказывает им содействие и т.д., — пояснил Крис Брэндон, президент компании Brandon Internet Services. — Мы собираем и регистрируем доказательства нарушений и отсылаем эти данные клиентам или властям, предоставляя им возможность самостоятельно провести необходимую проверку и разобраться с нарушителями».

В частном секторе расследования часто строятся на основе неформальных отношений заинтересованных сторон, а не на базе юридических норм и международного законодательства.

«Когда я, работая в ФБР, обращался к специалистам UUNet с просьбой сообщить мне IP-адреса, с которых осуществлялась атака на нас, они в свою очередь просили прислать официальную повестку, — вспоминал Нил. — Сегодня UUNet тесно сотрудничает с нами. Времена изменились, и теперь уже они нуждаются в нашей помощи».


Расследования в Internet

Используя свой опыт, накопленный в борьбе с компьютерными мошенниками, специалисты компании PayPal разработали в середине лета прошлого года систему раннего предупреждения, после внедрения которой количество случаев несанкционированного проникновения в систему заметно сократилось. В конце октября директор по технологиям PayPal Макс Левшин расшифровал переговоры, которые вели по каналу IRC похитители номеров кредитных карт из России. Вот отрывок.

Похититель № 1: Как обстоят дела с PayPal? Я попытался ввести туда несколько номеров свежих кредитных карт, но их немедленно заблокировали!

Похититель № 2: Сейчас они видят каждую мелочь. Раньше у меня была там учетная запись, все шло прекрасно. Но после того как мне переслали немного денег, они заблокировали мой счет. Короче, с PayPal больше связываться не стоит.

Похититель № 3: Пора искать что-то другое.


Будущим детективам

Несмотря на повышенный интерес к компьютерным детективам, в последнее время проявляемый предприятиями, рабочие места специалистам в данной области предлагаются не так уж часто.

Так считает Трэйси Ленцнер, президент кадрового агентства LenznerGroup, специализирующегося на вакансиях, связанных с обеспечением безопасности.

Сегодня в базе данных этого агентства находятся более 100 подобных резюме, однако клиенты заявок пока не присылают. Впрочем, как руководитель кадрового агентства, так и кандидаты на рабочие места полагают, что уже скоро ситуация изменится.

Уровень зарплаты

Опытный аналитик, работающий в области компьютерной безопасности, может получать от 85 тыс. до 120 тыс. долл. в год. Руководители — от 110 тыс. до 160 тыс. долл. в год плюс 10% за консультации.

Предъявляемые требования
  • Компьютерные расследования. Нужны способности к системному анализу и умение получать необходимые сведения на основе изучения нераспределенного дискового пространства (в котором удаленные файлы хранятся до тех пор, пока поверх их не будет записана другая информация), временных файлов, шестнадцатеричных файлов, файлов журналов, каталогов, данных прикладных программ (например, электронная почта, Microsoft Word и Excel), а также аппаратных компонентов (постоянная память и флэш-память BIOS). Специалисты по компьютерным расследованиям должны хорошо знать процедуры и инструментальные средства, предназначенные для создания электронных образов системы и документального оформления полученных доказательств. Компьютерные детективы часто выступают в качестве свидетелей в гражданских делах, а также занимаются расследованием случаев несанкционированного проникновения в систему, злоупотреблений со стороны персонала и краж интеллектуальной собственности.
  • Обследование сети. К данной области причисляется контроль вторжений извне и утечки интеллектуальной собственности через IP-сети и другие источники, осуществляемый путем анализа IP-адресов, системных журналов и заголовков пакетов. Необходимо уметь устанавливать модули проверки текущего состояния сети (ПО, предназначенное для контроля и регистрации событий в системных журналах), средства наблюдения и определения имен доменов. Нужно поддерживать постоянный контакт с владельцами магистралей связи, с операторами и поставщиками услуг хостинга.

Поделитесь материалом с коллегами и друзьями