Если ваша логика верна, то следы пальцев рук на месте преступления искать не надо, вряд ли грамотные преступники их будут оставлять. Гильзы тоже не надо искать, как и угнанные автомобили по номерам. И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
> Поэтому собранные у них IP и MAC-адреса мало чем помогут
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Хотелось бы, кстати, отметить, что указанные изменения не только своевременны и полезны, но и позволяют привести оценку экономических рисков банков в соответствие с вступающими в силу положения ФЗ «О НПС» о компенсации физическим лицам похищенных денежных средств.
Во-первых, в указанном Положении, с учетом вносимых изменений, речь идет про идентификацию клиентов. Не про проверку подлинности, т. к. четкое юридическое определение идентификации дано в законе «О ПОД/ФТ». Только ССЗБ-банки будут требовать от клиентов обязательной бумажки с указанием всех IP- и MAC-адресов. Нормальные банки будут собирать такие адреса в процессе работы клиента. Как уже давно и происходит.
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
1. Не думаю, что будет радикальный прирост скорости исследования :)
2. Никак, просто нужно иметь чуть больше терпения и не забывать выключать сжатие при создании образов. А если возникает проблема в емкости диска, куда данные копируются, то в dd (и форках) есть опции «skip=» и «count=».
Все неразрешимые сомнения! Если обвиняемый заявляет, что это не он убийца, а убийцей является его клон (а сам обвиняемый летел на летающей тарелке в момент совершения преступления), то такой аргумент явно не катит :-)
Нотариально заверешенный скриншот – вполне себе доказательство (напоминаю, что в уголовно-процессуальных законодательствах многих стран сказано, что никакое доказательство не имеет заранее установленной силы, поэтому суд обязан всегда оценивать любые предметы и документы с целью определения их достоверности и относимости, а 100-процентной гарантии достоверности доказательства никто никогда не даст, даже чистосердечное признание таковым не является). Любые рассуждения о вероятности подмены интернет-страницы, показываемой нотариусу, – как правило, за гранью маразма (устроить нотариусу MitM-атаку, «взломать» веб-сервер и подменить отображаемое браузеру нотариуса содержимое и т. п.). Подчеркиваю: «как правило» (ничтожная вероятность всегда остается). В остальных случаях можно следовать рекомендациям Н. Н. Федотова: forensics.ru/add.html (привлечь специалиста, который напишет заключение о том, что веб-сайт отдает одинаковый или схожий контент при использовании прокси-серверов).
Статья 58 УПК РФ: Специалист — лицо, обладающее специальными знаниями, привлекаемое к участию в процессуальных действиях в порядке, установленном настоящим Кодексом, для содействия в обнаружении, закреплении и изъятии предметов и документов, применении технических средств в исследовании материалов уголовного дела, для постановки вопросов эксперту, а также для разъяснения сторонам и суду вопросов, входящих в его профессиональную компетенцию.
Независимость специалиста закреплена статьями 61 и 62 УПК РФ.
На заметку брать то, что раньше обыски и выемки часто проводились без участия специалиста (не каждый айтишник согласится проработать весь день за 0 рублей, да еще и с риском не кушать).
Ого, теперь закон требует обязательного присутствия специалиста во время обыска / выемки при изъятии электронных носителей. Раньше его присутствие было необязательным. Адвокаты, берите на заметку :-)
Добропорядочные граждане сетуют на то, что у Кребса есть возможность получать защищенные от публичного просмотра данные WMID. Киберпреступники жалуются, что Кребсу регулярно сливают свежие базы партнерских программ и хакерских форумов, а также регулярно предоставляют доступ на закрытые площадки различной тематики. Где же справедливость? :-)
Такие темы уже мало кого интересуют. Перевод объектов, представляющих интерес для правоохранительных органов, в собственность другого лица с целью защиты их от изъятия в ходе обыска – трюк, известный с доинтернетных времен.
Ваша схема основана на двух допущениях:
1. перед изъятием правоохранительные органы не узнают, что работа ресурса обеспечивается двумя серверами, а не одним;
2. правоохранительные органы в ходе обыска не изымут второй (основной) сервер.
Узнать про существование второго сервера можно исследованием сетевого трафика первого сервера. У полиции есть все правовые основания и технические возможности для проведения данного действия в ходе оперативно-разыскных мероприятий или непосредственно во время обыска перед изъятием.
Аренда (или покупка) основного сервера другим лицом не является препятствием для изъятия этого сервера.
Во-первых, подобный прием уже давно используется преступниками для противодействия следственным действиям (обыску), поэтому следователи игнорируют любые попытки сослаться на то, что, мол, объекты принадлежат не нам, а другой организации, и изымают все, что считают нужным изъять (и следователь имеет на это право, тактика изъятия всех носителей информации не противоречит положениям УПК РФ).
Во-вторых, существуют методические рекомендации Экспертно-криминалистического центра МВД РФ, в которых рекомендуется изымать в ходе обыска все носители информации, вне зависимости от их собственности, включая личные носители информации. Данные рекомендации также не противоречат действующему законодательству и обоснованы только горьким опытом, когда следователь по каким-либо причинам изымает не все носители информации, а затем, по результатам судебной экспертизы, узнает, что самое важное он упустил. Разумеется, с технической точки зрения эти рекомендации устарели (их положения невозможно применять в условиях обыска в датацентрах и крупных организациях, т. к. возможности по транспортировке, хранению и исследованию носителей информации тоже ограничены), но замены им нет.
В-третьих, мне известны случаи неуспешной защиты данных таким образом (веб-сервер принадлежит одной организации, к нему подключены фронт-енды в абузоустойчивых датацентрах, а база данных принадлежит другой организации).
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
fixed.
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
2. Никак, просто нужно иметь чуть больше терпения и не забывать выключать сжатие при создании образов. А если возникает проблема в емкости диска, куда данные копируются, то в dd (и форках) есть опции «skip=» и «count=».
Независимость специалиста закреплена статьями 61 и 62 УПК РФ.
На заметку брать то, что раньше обыски и выемки часто проводились без участия специалиста (не каждый айтишник согласится проработать весь день за 0 рублей, да еще и с риском не кушать).
Нет, это не моя тема :)
1. перед изъятием правоохранительные органы не узнают, что работа ресурса обеспечивается двумя серверами, а не одним;
2. правоохранительные органы в ходе обыска не изымут второй (основной) сервер.
Узнать про существование второго сервера можно исследованием сетевого трафика первого сервера. У полиции есть все правовые основания и технические возможности для проведения данного действия в ходе оперативно-разыскных мероприятий или непосредственно во время обыска перед изъятием.
Аренда (или покупка) основного сервера другим лицом не является препятствием для изъятия этого сервера.
Во-первых, подобный прием уже давно используется преступниками для противодействия следственным действиям (обыску), поэтому следователи игнорируют любые попытки сослаться на то, что, мол, объекты принадлежат не нам, а другой организации, и изымают все, что считают нужным изъять (и следователь имеет на это право, тактика изъятия всех носителей информации не противоречит положениям УПК РФ).
Во-вторых, существуют методические рекомендации Экспертно-криминалистического центра МВД РФ, в которых рекомендуется изымать в ходе обыска все носители информации, вне зависимости от их собственности, включая личные носители информации. Данные рекомендации также не противоречат действующему законодательству и обоснованы только горьким опытом, когда следователь по каким-либо причинам изымает не все носители информации, а затем, по результатам судебной экспертизы, узнает, что самое важное он упустил. Разумеется, с технической точки зрения эти рекомендации устарели (их положения невозможно применять в условиях обыска в датацентрах и крупных организациях, т. к. возможности по транспортировке, хранению и исследованию носителей информации тоже ограничены), но замены им нет.
В-третьих, мне известны случаи неуспешной защиты данных таким образом (веб-сервер принадлежит одной организации, к нему подключены фронт-енды в абузоустойчивых датацентрах, а база данных принадлежит другой организации).