DPI-системы не могут ознакомиться с содержимым сетевого пакета. Ознакомиться может только разумное существо, т. е. человек, который и несет ответственность за свои действия согласно законодательству.
> Кстати, прослушивание трафика WiFi сетей это отличный пример. Это абсолютно тоже самое. И гугл был серьёзно оштрафован за это дело.
Тут другая правовая система, совершенно другая ситуация и наказание по другому основанию.
Закон регулирует отношения между людьми, а не машинами. Если человек просматривает чужие HTTP-запросы без разрешения, то он нарушает тайну связи (ст. 23 Конституции РФ). Если это делает машина, то никакого нарушения нет. Фильтрация спама тоже не нарушает тайну переписки до тех пор, пока ее не начинает осуществлять администратор электронной почты :-)
Нужно знать пределы разумного и границы маразма. Логирование MAC-адресов находится в пределах разумного. Хранение видеоряда с камер наблюдения в пределах, обусловленных емкостью накопителей видеорегистраторов, также трудно признать маразмом.
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
> то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
> Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются.
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
> А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
Если ваша логика верна, то следы пальцев рук на месте преступления искать не надо, вряд ли грамотные преступники их будут оставлять. Гильзы тоже не надо искать, как и угнанные автомобили по номерам. И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
> Поэтому собранные у них IP и MAC-адреса мало чем помогут
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Хотелось бы, кстати, отметить, что указанные изменения не только своевременны и полезны, но и позволяют привести оценку экономических рисков банков в соответствие с вступающими в силу положения ФЗ «О НПС» о компенсации физическим лицам похищенных денежных средств.
Во-первых, в указанном Положении, с учетом вносимых изменений, речь идет про идентификацию клиентов. Не про проверку подлинности, т. к. четкое юридическое определение идентификации дано в законе «О ПОД/ФТ». Только ССЗБ-банки будут требовать от клиентов обязательной бумажки с указанием всех IP- и MAC-адресов. Нормальные банки будут собирать такие адреса в процессе работы клиента. Как уже давно и происходит.
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
1. Не думаю, что будет радикальный прирост скорости исследования :)
2. Никак, просто нужно иметь чуть больше терпения и не забывать выключать сжатие при создании образов. А если возникает проблема в емкости диска, куда данные копируются, то в dd (и форках) есть опции «skip=» и «count=».
Все неразрешимые сомнения! Если обвиняемый заявляет, что это не он убийца, а убийцей является его клон (а сам обвиняемый летел на летающей тарелке в момент совершения преступления), то такой аргумент явно не катит :-)
Нотариально заверешенный скриншот – вполне себе доказательство (напоминаю, что в уголовно-процессуальных законодательствах многих стран сказано, что никакое доказательство не имеет заранее установленной силы, поэтому суд обязан всегда оценивать любые предметы и документы с целью определения их достоверности и относимости, а 100-процентной гарантии достоверности доказательства никто никогда не даст, даже чистосердечное признание таковым не является). Любые рассуждения о вероятности подмены интернет-страницы, показываемой нотариусу, – как правило, за гранью маразма (устроить нотариусу MitM-атаку, «взломать» веб-сервер и подменить отображаемое браузеру нотариуса содержимое и т. п.). Подчеркиваю: «как правило» (ничтожная вероятность всегда остается). В остальных случаях можно следовать рекомендациям Н. Н. Федотова: forensics.ru/add.html (привлечь специалиста, который напишет заключение о том, что веб-сайт отдает одинаковый или схожий контент при использовании прокси-серверов).
> Кстати, прослушивание трафика WiFi сетей это отличный пример. Это абсолютно тоже самое. И гугл был серьёзно оштрафован за это дело.
Тут другая правовая система, совершенно другая ситуация и наказание по другому основанию.
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
fixed.
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
2. Никак, просто нужно иметь чуть больше терпения и не забывать выключать сжатие при создании образов. А если возникает проблема в емкости диска, куда данные копируются, то в dd (и форках) есть опции «skip=» и «count=».