БЕЗОПАСНОСТЬ
“Когда специальные агенты появились в моей квартире, я был поражен, насколько плохо они информированы. Было очевидно, что участвующие в обыске люди провели самое минимальное расследование, но уже находясь на месте, не знали, что искать. Сейчас, годы спустя+ рейды по-прежнему проводятся кое-как, все еще изымается ненужное оборудование, а важные доказательства остаются на месте; как и раньше, объектами расследований становятся невиновные, а истинные преступники разгуливают на свободе”. Так начинается книга “Компьютерные преступления и борьба с ними”, написанная Дэвидом Айковом, Карлом Сейгером и Уильямом Фонсторхом на основе учебного руководства для ФБР “Профилактика и расследование компьютерных преступлений”, разработанного группой Национального центра анализа преступлений против личности, входящего в ФБР. Данный комментарий описывает ситуацию, сложившуюся в области расследования компьютерной преступности не только за рубежом, но и в России.
Осенью 1997 г. мне довелось побывать на одной из первых конференций, посвященных безопасности в Интернете, организованной Ассоциацией российских банков. На ней выступил представитель подразделения по борьбе с хищениями при помощи электронных средств Министерства внутренних дел России (прообраз современного Управления “Р”). Один из участников конференции спросил, есть ли в данном подразделении квалифицированные специалисты, которые были бы способны расследовать компьютерные преступления, совершаемые в России. На что последовал потрясающий ответ: “Откуда? У нас же работают одни офицеры!”
Именно на таком принципе до сих пор и существуют отделы по борьбе с компьютерными преступлениями в подразделениях МВД России. Так было в год проведения названной конференции, осталось так и сейчас. Чтобы не быть голословным, сошлюсь на слова руководителя Управления “Р” ГУВД г. Москвы г-на Д. В. Чепчугова, который на конференции “Борьба с преступлениями в сфере высоких технологий и защита интересов легального бизнеса”, прошедшей 12 октября 2000 г., открыто заявил, что в его ведомстве не хватает специалистов в области информационной безопасности. Об этом же в начале 2001 г. говорил и первый заместитель секретаря Совета Безопасности РФ В. П. Шерстюк в своем интервью журналу “Системы безопасности, связи и телекоммуникаций”.
Мне могут возразить, что ситуация изменилась в лучшую сторону. Известно немало уголовных дел в сфере информационных технологий, которые благополучно дошли до суда. Но если приглядеться внимательно, то все совсем не так радужно. Большинство дел связано не с расследованием компьютерных преступлений, а с борьбой с нелегальным оборотом и использованием специальных технических средств, а также с незаконным оборотом радиоэлектронной аппаратуры (например, продажа мобильных телефонов без разрешения). В области компьютерных преступлений успехи намного скромнее. Взять, например, нашумевшую в конце прошлого года кражу из Интернет-магазина “Болеро”. Несмотря на большую рекламу, заслуга российских правоохранительных органов не так уж и велика, так как юный хакер заказывал различные товары, приобретенные с помощью краденых кредитных карт, на свой домашний адрес.
Мне самому не раз приходилось сталкиваться с некомпетентностью сотрудников правоохранительных и судебных органов, которые были не способны не только собрать улики для расследования компьютерного преступления, но и грамотно оформить доказательства, полученные экспертами из других организаций. Связано это с тем, что в учебных заведениях Министерства юстиции, МВД, ФСБ, налоговой полиции и так далее не учат основам расследования инцидентов, связанных с компьютерной безопасностью. Например, изданный в 2000 г. к 25-летию Академии управления МВД России учебник “Специальная техника и информационная безопасность” не содержит никакой информации о расследовании компьютерных преступлений. Кроме того, существует еще ряд факторов, существенно затрудняющих такое расследование в российских организациях.
1. Противоречивость законодательной и нормативной базы. Чего стоит, например, статья 273 УК РФ, которая предусматривает наказание за создание, использование и распространение вредоносных программ для ЭВМ. Пункт 2 данной статьи гласит: “+те же деяния, повлекшие по неосторожности тяжкие последствия+” А если те же деяния осуществлялись злонамеренно и ни о какой неосторожности не может быть и речи? Например, вы случайно получили по электронной почте вирус, точнее, Интернет-червя “Анна Курникова”, “Эммануэль” или “Melissa” и по неосторожности разослали его всем своим друзьям, знакомым и коллегам, что повлекло для них тяжкие последствия. В данном случае согласно второй части статьи 273 УК РФ вам грозит лишение свободы на срок от трех до семи лет. А те же самые действия, выполненные целенаправленно, т. е. со злым умыслом, могут быть охарактеризованы только по первой части этой статьи. И максимум, чем рискует вирусописатель в этом случае, - три года лишения свободы или штраф в размере 500 МРОТ. Аналогичная ситуация и со статьей 274. И хотя я утрирую, но этот пример очень ярко демонстрирует неразбериху с законодательной базой. Кроме того, еще вопрос, можно ли считать вирус “Эммануэль” вредоносной программой. В комментариях к УК говорится, что вредоносной признается программа, приводящая к несанкционированному копированию, уничтожению или блокированию информации. Таким образом, любой вирус с каким-либо визуальным эффектом к подобным программам отнесен быть не может. И следуя такому определению, Интернет-черви с расширением .vbs, которые только рассылают себя по всем адресатам вашей адресной книги, не могут считаться вредоносными, так как запускаются на исполнение самим пользователем. Значит, ни о какой несанкционированности речи быть не может. Как говорится, незнание законов не освобождает от ответственности за их нарушение.
2. Отсутствие опыта и знаний у сотрудников правоохранительных и судебных органов для проведения соответствующих расследований, сбора улик, представления дела в суде и т. д. Как демонстрируют приведенные выше высказывания ответственных лиц, за последние несколько лет ситуация не изменилась.
3. Отсутствие специализированных подразделений в структурах МВД. Если в Москве и других крупных городах такие подразделения созданы, то на периферии с этим намного сложнее. Региональные управления МВД берутся за расследования компьютерных преступлений только в случае крупного материального ущерба.
4. Недостаточная техническая оснащенность подразделений МВД и несогласованность действий между подразделениями, отвечающими за расследование данного вида преступлений, особенно если они совершались из других стран. И здесь тоже хочется сослаться на уже упоминавшуюся конференцию Управления “Р” ГУВД г. Москвы. Рассказав о деятельности вновь образованного в структуре ГУВД управления, Дмитрий Владимирович Чепчугов пригласил всех желающих к дискуссии. И она началась+ Первым вышел на трибуну представитель компании, занимающейся продажей средств, которые непосредственно подпадают под контроль Управления “Р”, - радиостанции и т. п., и преподнес г-ну Чепчугову подарок - комплекс поисковых средств. Поводом для этого подарка послужило то, что г-н Чепчугов в своем выступлении сослался на плохую оснащенность своего подразделения и невозможность эффективно проводить оперативные мероприятия. Потом вышел представитель другой, аналогичной компании и тоже преподнес подарок - компьютер. Я не хочу рассматривать этот случай с этической точки зрения (как можно контролировать компанию, которая делает контролирующему органу подарок), но он лишний раз иллюстрирует, что техническая оснащенность управления по борьбе с преступлениями в сфере высоких технологий оставляет желать много лучшего и оно готово принимать любую помощь даже от контролируемых им организаций.
5. Отсутствие публикаций, раскрывающих данную тему. Российские издательства не балуют искушенную публику материалами на эту тему. Рассмотрение всех известных книг уместилось в одном-единственном обзоре, который был вывешен на сервере Интернет-магазина “оЗон” (www.ozon.ru/detail.cfm/ent=11&id=24183). При этом все перечисленные в нем издания хоть и написаны российскими юристами, но не содержат никакой практической ценности для следователей, расследующих компьютерные преступления.
6. Большое число компьютерных преступлений, совершаемых чуть ли не ежедневно. Тратить ресурсы на сотни сетевых преступлений, ущерб от которых не превышает нескольких тысяч рублей, невыгодно. Лучше спустить это дело на тормозах, чем записывать еще один “висяк” в свой актив. Именно поэтому сотрудники правоохранительных органов занимаются делом только в том случае, если оно может принести некоторую известность и заинтересовать СМИ (например, поимка людей, создавших в Интернет порнографический сервер) или “дорого стоит”. Так, по данным агентства “Инфоарт” в Москве был арестован 19-летний хакер, который взломал десятки кодов пластиковых карточек VISA и снял с чужих банковских счетов более 10 тыс. долл. Об этом рассказывалось в газете “Московский комсомолец” за 20 июня 2000 г. Молодой человек начал свой “бизнес” со взлома краденой карты. Ему удалось найти в Интернете программы взлома PIN-кодов. В дальнейшем хакер различными способами добывал краденые кредитки, в том числе скупая их на рынках. Поймать его долго не удавалось, так как всякий раз хитрец выбирал новый банкомат, но затем его все же вычислили и во время очередной попытки снять деньги с чужой карточки задержали с поличным. Ему грозит до 10 лет лишения свободы с конфискацией имущества.
В целом состояние дел с расследованием преступлений в компьютерной индустрии выглядит не очень обнадеживающе. Это убеждение можно подкрепить примером, известным из Интернета, в частности, с сервера Netoscope.ru и из списка рассылки inroad, посвященного технологиям защиты информации. 2 февраля этого года в Санкт-Петербурге было закончено дело против 22-летнего Александра М., который обвинялся в том, что он причинил имущественный ущерб клиентам нескольких провайдерских компаний, в том числе “Адмирала” и “Ситилайна”, а также распространял “вредоносные программы для ЭВМ” (а именно “троянских коней” для кражи паролей). Молодой человек был приговорен к трем годам лишения свободы (но тут же освобожден по амнистии) и штрафу в размере 300 МРОТ. Далее я буду цитировать факты на основании сервера Netoscope (www.netoscope.ru/news/2001/02/06/1470.html). Шестой отдел питерского ГУВД арестовал Александра М. и изъял у него дома ноутбук и винчестер от домашнего компьютера, содержащий украденные пароли и идентификаторы пользователей, а также лог программы ICQ, в котором обвиняемый поделился со своими знакомыми информацией о краже паролей. Помимо этого в одном из каталогов жесткого диска были найдены программы, охарактеризованные как “вредоносные”. В качестве свидетелей по делу выступали А. Хижняк, технический директор “Адмирала”, и А. Сорокин, генеральный директор “Ситилайна”. Обвиняемый признать вину отказался, но несмотря на это был признан виновным, что не помешало практически сразу освободить его по амнистии. Необходимо отметить, что известный американский хакер Кевин Митник получил четыре года за несоизмеримо больший ущерб. На первый взгляд дело вполне обычное и не имеет каких-либо подводных камней. Но+ это только на первый взгляд. Рассмотрим другую точку зрения - самого обвиняемого, также опубликованную на сервере Netoscope (www.netoscope.ru/news/2001/02/13/1530.html).
Во-первых, Александр рассказывает о расследовании, в результате которого выяснилось, что реальный ущерб пользователям указанных провайдеров - а их было всего трое - составил 708 руб. (менее 30 долл.). На мой взгляд, трехлетнее лишение свободы за такое преступление - цена несопоставимая (если, конечно, суд не хотел сделать этот процесс показательным), с чем согласен и генеральный директор “Ситилайна”. Ну да ладно, оставим это на совести судьи. Что же во-вторых? Как пишет осужденный: “Господин Хижняк в этом деле был разве что не судья. Технический эксперт на обыске, самозваный эксперт на процессуально незаконной экспертизе и главный свидетель по делу+” Я не ставлю под сомнение вину Александра М., но именно тот факт, что г-н Хижняк, выступая по данному делу свидетелем, в то же самое время занимался экспертизой имеющихся улик и проводил обыск у него на дому, ставит под сомнение все дело. Кстати, этот факт подтверждается и самим г-ном Хижняком. Как может пострадавший выступать в качестве главного эксперта? О какой беспристрастности может идти речь?
В-третьих, переписка, служившая одним из основных доказательств несанкционированной деятельности, была, по словам Александра М., добыта незаконно. Журнал регистрации ICQ и учетные записи (идентификаторы и пароли) явились в деле в результате предварительного расследования, не являющегося экспертизой. Сама экспертиза проводилась в лаборатории Игоря Данилова, известного автора антивирусной системы Dr.Web. И никаких паролей, никаких идентификаторов найдено не было. Точнее, не найдено ничего, что могло бы быть с уверенностью отнесено к результатам несанкционированной деятельности, за исключением нескольких программ типа “троянский конь”, которые можно найти на компьютерах многих пользователей. Более того, троянцы Netbus или BackOrifice, идентифицируемые антивирусной системой Kaspersky Antivirus (бывший AVP) как враждебные программы, могут служить вполне санкционированным целям, например для дистационного управления. Не имея возможности проверить достоверность указанных данных, я тем не менее верю в то, что такое могло произойти, так как мне не раз приходилось участвовать в подобных предварительных расследованиях, и факты, приведенные Александром М., не являются чем-то из ряда вон выходящим.
Хотя в обращении к Netoscope Александр сам признает свою вину, он считает, что суд мог бы быть более квалифицированным и непредвзятым: “Приговор есть приговор. Я решил не связываться с нашим судом, самым гуманным судом в мире, у меня уже нет на это времени, я давно не нищий студент и уже имею достаточно денег. Совершенно честно заработанных+ жалко только ноутбук. Чужой он, был у меня в ремонте. И хозяин его ничего не может теперь суду доказать”.
Могу поделиться и своим опытом. Мне довольно часто привозили на исследование компьютеры людей, подозреваемых в совершении компьютерных преступлений. Я не ставлю под сомнение их вину, но при наличии грамотного адвоката все доводы прокурора могли бы быть разнесены в пух и прах. Во-первых, привезенные на анализ компьютеры не были опечатаны (ни системный блок, ни дисководы для дискет и CD-ROM), что позволяет нечистоплотным сотрудникам органов внутренних дел самим внести “недостающие” улики. Во-вторых, не были рассчитаны контрольные суммы всех файлов, находящихся на компьютере. Уже два этих факта не позволяют проводить нормальную экспертизу, так как доказать, что в компьютер не было ничего добавлено после его изъятия, невозможно. Присутствие “вредоносных программ” на компьютере также ничего не доказывает: они могут использоваться в санкционированных целях, как уже упомянутые Netbus и Back Orifice. И наконец, наличие в почтовом ящике писем с паролями и идентификаторами, а точнее, текстовых фрагментов, похожих на пароли пользователей, говорит только о том, что эти сообщения действительно есть в почтовом ящике. Откуда они появились? Их мог прислать ваш недоброжелатель, желая “подставить” вас. Только комплексная экспертиза с привлечением специалистов Интернет-провайдера может однозначно сказать, случайно ли попали эти пароли в почтовый ящик или действительно были украдены. Однако в большинстве случаев этого не происходит. Чтобы еще раз продемонстрировать уровень проведения расследований, могу порекомендовать ссылку на домашнюю страничку одного из следователей курганской прокуратуры, который занимается компьютерной преступностью (kurgan.unets.ru/ ~procur/ my_page.htm).
Остается надеяться, что постепенно ситуация с расследованием компьютерных преступлений улучшится и в российских судах и правоохранительных органах появятся грамотные специалисты, которые, обладая необходимым техническим оснащением, будут применять грамотные законы, не дающие ни малейшего шанса отечественным хакерам.
С независимым экспертом Алексеем Кивиристи можно связаться по e-mail: akiviristi@mail.ru.
