В недрах железа

Эксперты Госкомитета судебных экспертиз рассказали, как исследуют улики, которые оставляют после себя хакеры и другие кибермошенники.

10 млн долларов смогли украсть преступники, внедрившие программу «Андромеда» на сотни компьютеров по всему миру. Деятельность этой международной преступной группировки была пресечена нашими правоохранителями совместно с ФБР. Вредоносную утилиту отправили на экспертизу в ГКСЭ. Среди тех, кто препарировал сложнейшую и умнейшую программу, которая смогла незаметно внедриться на компьютеры пользователей всего мира, был и Андрей Малашкевич, начальник отдела компьютерно-технических экспертиз Государственного комитета судебных экспертиз. Об этом, а также о задачах, которые сегодня решают эксперты этого отдела, он рассказал «СБ. Беларусь сегодня».

Не первый год правоохранители говорят о том, что число преступлений, совершенных в сфере информационных технологий, неуклонно растет. Почувствовали это движение и судебные эксперты ГКСЭ. По словам Андрея Малашкевича, только за полгода эксперты провели около 3 тысяч компьютерно-технических экспертиз по всей стране.

Задача эксперта отдела компьютерно-технических экспертиз — исследовать представленный объект. Работать приходится с железом, то есть оборудованием: системными блоками, оптичеcкими дисками, флеш-накопителями. Как правило, работают специалисты у себя в отделе в окружении десятков компьютеров — бывали экспертизы, во время которых нужно было исследовать по 60 (!) персональных компьютеров. Обычно в таких случаях речь идет об экономических преступлениях.

Особо защищенные системы

Чтобы разбираться в принципах работы бесконечных микросхем, нужно обладать глубинными техническими знаниями. Андрей Малашкевич, рассказывая о сотрудниках отдела, говорит, что здесь работают профессионалы высокого класса: «Большинство экспертов имеют два образования. Первое — техническое, как правило, это БГУ или БГУИР. И второе — специальное. Кандидат для работы в Государственном комитете судебных экспертиз должен в обязательном порядке пройти обучение в ведомственном институте». Среди сотрудников отдела встречаются как молодые специалисты, чей стаж не превышает 10 лет, так и те, кто занимается изучением компьютерных улик уже больше 25 лет. «Но нужно понимать, — говорит Малашкевич, — что любая экспертиза может потребовать новых познаний. Поэтому нам приходится постоянно заниматься самообразованием. В основном изучаем зарубежные сайты. Бывает, что решение какой-то задачи мы можем найти только в интернете».

В помощь экспертам и специализированное программное обеспечение. Малашкевич говорит, что в работе они используют программы мировых производителей, а также российских. В помощь и программы для дешифровки, имеется ряд утилит. Все они приобретены законно, никакого пиратского софта для таких серьезных задач.

Как правило, работа отдела полна текучки: технической работы, которая не требует серьезных познаний (например, найти или сравнить документы), но бывают задачи со звездочкой. «Наиболее интересные — экспертизы программных объектов. Нам необходимо изучить алгоритмы работы программы, понять, что и как она делает. Наша задача — подтвердить или опровергнуть тот факт, что программа считается вредоносной. Для этого эксперту необходимо изучить код программы, ее поведение и сделать выводы», — говорит начальник отдела.

Самый интересный случай, о котором до сих пор любят рассказывать эксперты, — исследование печально знаменитой программы «Андромеда». «Мы должны были, изучив, признать либо не признать ее вредоносной. Она была очень интересная. Имела много функций. Нам предоставили несколько ее вариантов. Было видно, как в каждой новой версии программист развивается и совершенствует ее», — вспоминает Малашкевич. На руках у экспертов был исходный код программы. Он был написан настолько изящно, что позволял троянской программе получать полный доступ к зараженному компьютеру и управлять им: запускать любые приложения, копировать информацию, которую пользователь вводил на клавиатуре, извлекать из браузера пароли. Установка программы была замаскирована: сидя за зараженным компьютером, человек даже не догадывался, что устанавливает шпионское программное обеспечение, не видели ее и антивирусы. Кстати, с тех пор как наши правоохранители вышли на след создателей этой программы, о ней больше ничего не слышно. Не говорят о ней и на специализированных форумах.

Ключ доступа

Работать приходится с разными операционными системами, как с популярными типа Windows, Mac OS, Android, iOS, так и со специфическими. Одна из самых интересных, по мнению эксперта, — «Линукс». «Она встречается, правда, не так часто. Как правило, на компьютерах подготовленных пользователей. Наши специалисты обучены работать и с ней, — говорит Малашкевич. — Также имеется специальное программное обеспечение».

Говоря о специфике отдельных операционных систем, Малашкевич отверг предположение о том, что некоторые из них, например Microsoft, специально внедряют своеобразные жучки, через которые при желании можно получить максимум информации о пользователе: «Это не так. Современные операционные системы сделаны для удобства пользователей и тщательно скрывают ту информацию, которую не должен видеть посторонний человек». Но при необходимости наши эксперты могут получить доступ и к этой информации. Экспертизы проходят не без сложностей. 

Эксперт говорит, что с каждым годом злоумышленники действуют все более изощренными способами и используют различные средства скрытия информации: виртуальные машины, зашифрованные диски и файлы.

Каждая пятая экспертиза, как правило, задача повышенной сложности.

«Каждый год мы наблюдаем рост экспертиз по делам в сфере информационных технологий, несанкционированный доступ, применение вредоносных программ для взлома чужих аккаунтов в сети», — начальник отдела уверен, что многих из этих преступлений можно было бы избежать, будь пользователи более внимательными к личной безопасности.

ПОЛЕЗНО ЗНАТЬ

Как не стать жертвой мошенничества в сети?

1. Используйте антивирусное программное обеспечение и браузер, способные блокировать переход на фишинговые сайты, и не забывайте своевременно их обновлять.
2. Вводите свои персональные данные только на сайтах, использующих защищенное соединение по протоколу HTTPS (в адресе таких сайтов имеется префикс «HTTPS»).
3. Следите за ссылками, открываемыми в браузере. Они могут отличаться от адреса оригинального сайта лишь на один символ. Другие могут содержать недействительную информацию или ошибки. Не доверяйте ссылкам, которые переводят на страницу авторизации. Вводите адрес интернет-магазина или официального сайта банка вручную (можно использовать закладки).
4. Прежде чем вводить данные о карте (или другую существенную информацию) на каком-либо сайте, обязательно читайте отзывы о нем. Никогда не сохраняйте данные о вашей карте в браузере.
5. Не устанавливайте и не запускайте игры и приложения из спам-рассылок.
6. Принимая файлы даже от лучших друзей, обращайте внимание на стиль и манеру общения, не изменились ли они. Попросите друга описать содержимое файла, а лучше позвоните ему для уточнения, что именно он хочет вам отправить. Это актуально и для просьб перечислить деньги на карту.
7. Защитите свои учетные записи от взлома сложными паролями. Лучше если он состоит из 10 знаков и более, содержит заглавные буквы, цифры и символы. Не используйте на своих ресурсах одни и те же пароли. Используйте двухфакторную авторизацию учетных записей, позволяющую идентифицировать пользователя через СМС с кодами или голосовое сообщение, электронный ключ, уведомление от Google, генерируемые приложением коды.
8. Не сообщайте одноразовые пароли и другие данные (пин-код и секретный код карты) людям, которые представляются сотрудниками банка или платежных систем.
9. Не заходите в свои сервисы через открытые Wi-Fi-сети в кафе или на улице. Лучше пользоваться мобильным интернетом. Дело в том, что за таким Wi-Fi могут стоять мошенники, подменяющие адрес сайта на уровне подключения и перенаправляющие вас таким образом на поддельную страницу.
10. И самое главное — не теряйте бдительности!

Источник информации: https://www.sb.by/articles/v-nedrakh-zheleza55.html