Охота на крысу. Дмитрий Борощук о поиске утечек информации и сборе улик

Ча­ще все­го орга­низа­ции стал­кива­ются с утеч­ками кон­фиден­циаль­ной информа­ции уже по фак­ту слу­чив­шегося, ког­да база кли­ентов, пос­тавщи­ков, заказ­чиков или внут­ренние докумен­ты вне­зап­но обна­ружи­вают­ся в пуб­личном дос­тупе. Кажет­ся, что отыс­кать в этом слу­чае того, кто устро­ил слив, прак­тичес­ки невоз­можно, а еще слож­нее — доказать его при­час­тность к про­изо­шед­шему.

Дмит­рий Борощук уже боль­ше пят­надца­ти лет занима­ется слож­ными воп­росами, свя­зан­ными с безопас­ностью биз­неса, преж­де все­го — информа­цион­ной. И рас­сле­дова­ние уте­чек информа­ции, а так­же поиск винов­ников этих уте­чек — одна из прак­тичес­ких задач, с которы­ми Дмит­рий регуляр­но стал­кива­ется на сво­ем лич­ном опы­те. Слож­ности таким рас­сле­дова­ниям обыч­но добав­ляет и то, что в неболь­ших орга­низа­циях, как пра­вило, все сот­рудни­ки име­ют дос­туп прак­тичес­ки к любой слу­жеб­ной информа­ции, поэто­му выяс­нить, кто имен­но слил тот или иной важ­ный документ в паб­лик, весь­ма неп­росто. Но неп­росто — не зна­чит невоз­можно.

В пер­вую оче­редь сле­дует уста­новить по харак­терным приз­накам, была утеч­ка резуль­татом деятель­нос­ти инсай­деров или все‑таки внеш­ней ата­ки: воз­можно, в сеть пред­при­ятия вло­мились злые хакеры, и тог­да искать зло­дея внут­ри кол­лекти­ва не име­ет ни малей­шего смыс­ла. Если же все‑таки здесь пос­тарал­ся кто‑то из сво­их, для начала нуж­но выяс­нить, кто мог иметь дос­туп к утек­шему докумен­ту или базе дан­ных (по умол­чанию — все сот­рудни­ки) и кто из этих людей имел воз­можность ско­пиро­вать цен­ную информа­цию. Затем нуж­но мак­сималь­но сузить круг подоз­рева­емых. Для это­го исполь­зует­ся ряд спе­циаль­ных при­емов и методов, которые Дмит­рий Борощук и его кол­леги активно исполь­зуют в сво­их рас­сле­дова­ниях.

Исследуем утечку

Пос­коль­ку свя­зан­ные с утеч­ками инци­ден­ты рас­сле­дуют­ся обыч­но пос­тфак­тум, нап­ример ког­да база кли­ентов уже вов­сю про­дает­ся на чер­ном рын­ке, преж­де все­го нуж­но изу­чить, в каком виде эта информа­ция попала в пуб­личное поле. Это поможет, во‑пер­вых, опре­делить мес­то пер­воначаль­ного раз­мещения фай­лов, а во‑вто­рых, иден­тифици­ровать потен­циаль­ного выгодоп­риоб­ретате­ля. Здесь необ­ходимо иссле­довать канал рас­простра­нения информа­ции, а имен­но:

• мес­то пуб­ликации утеч­ки;
• да­ту и вре­мя пуб­ликации;
• кто раз­местил дан­ные;
• ко­шелек или рек­визиты для опла­ты (если фай­лы рас­простра­няют­ся плат­но).

Тут нуж­но учи­тывать то обсто­ятель­ство, что меж­ду датой утеч­ки и момен­том появ­ления этих фай­лов в пуб­личном дос­тупе может прой­ти дос­таточ­но про­дол­житель­ное вре­мя. Нап­ример, сли­тые дан­ные мог­ли попытать­ся про­дать, но не наш­ли покупа­теля, пос­ле чего выложи­ли их в паб­лик. Либо наобо­рот, наш­ли, покупа­тель пополь­зовал­ся этой информа­цией какое‑то вре­мя и выложил ее в сеть, ког­да она сде­лалась для него неак­туаль­ной. В любом слу­чае мес­то и дата пуб­ликации дадут иссле­дова­телю при­вяз­ку к момен­ту, ког­да эта информа­ция ста­ла дос­тупной, как говорят кри­мина­лис­ты, «неоп­ределен­ному кру­гу лиц».

Ава­тар­ка и ник рас­простра­ните­ля фай­лов тоже могут слу­жить важ­ным мар­кером: по ним мож­но попытать­ся обна­ружить того же челове­ка на раз­ных пло­щад­ках в интерне­те, в мес­сен­дже­рах и соци­аль­ных сетях. Все эти све­дения обез­личены, но в совокуп­ности они ста­новят­ся очень полез­ным набором сквоз­ных мар­керов.

Дмит­рий Борощук вспо­минал слу­чай из прак­тики: у подоз­рева­емо­го в качес­тве ава­тар­ки исполь­зовалась явно уни­каль­ная, а не «сто­ковая» фотог­рафия, на которой был запечат­лен со спи­ны человек, сидящий на капитан­ском мес­те в руб­ке кораб­ля. Прос­той поиск по кар­тинке в Google и «Яндексе» поз­волил отыс­кать эту же кар­тинку на лич­ной стра­нич­ке в одной из соци­аль­ных сетей. Еще один чрез­вычай­но полез­ный сквоз­ной мар­кер — номера бан­ков­ских карт и элек­трон­ных кошель­ков: ана­логич­ный спо­соб получе­ния денег может исполь­зовать­ся подоз­рева­емым не толь­ко в этом, но и в дру­гих каналах. И дать рас­сле­дова­телю цен­ную зацеп­ку. То же самое каса­ется ников и адре­сов элек­трон­ной поч­ты — они могут встре­чать­ся в сооб­щени­ях на пло­щад­ках, где опуб­ликова­ны сли­тые дан­ные.

Важ­ным сквоз­ным мар­кером слу­жит так­же сам текст объ­явле­ния: в нем могут попадать­ся харак­терные язы­ковые обо­роты или сло­восо­чета­ния, типич­ные орфогра­фичес­кие и син­такси­чес­кие ошиб­ки. Да и весь текст целиком име­ет смысл поис­кать в «Яндексе» с «Гуг­лом», хотя бы с целью выяс­нить, где еще его мог­ли опуб­ликовать.

Изучаем файлы

Про­дол­жаем обо­гащать нашу кол­лекцию арте­фак­тов, которые помогут нам в рас­сле­дова­нии. Сле­дующий шаг — изу­чение самого фай­ла, в который упа­кова­на утеч­ка. Здесь нам при­годят­ся:

• имя и рас­ширение фай­ла;
• фор­мат фай­ла;
• ме­тадан­ные, обна­ружен­ные в фай­ле;
• да­ты соз­дания и изме­нения;
• хеш‑сум­ма фай­ла.

Во‑пер­вых, эти све­дения поз­волят нам понять, каким спо­собом файл был получен: экспор­тирован из CRM или базы дан­ных либо, ска­жем, прос­то ско­пиро­ван из фай­лооб­менни­ка. То есть уста­новить спо­соб кра­жи. Раз­ные при­ложе­ния и биз­нес‑сис­темы пред­лага­ют раз­ные инс­тру­мен­ты выг­рузки дан­ных, и по харак­терным приз­накам мож­но попытать­ся выяс­нить, какие из них исполь­зовал зло­умыш­ленник.

По­иск в интерне­те, дар­кне­те и «Телег­раме» по име­ни фай­ла даст понима­ние, нас­коль­ко широко «рас­пол­злась» утеч­ка в сети и на какие имен­но пло­щад­ки вык­ладывал зло­умыш­ленник этот файл. Но одной из самых цен­ных зацепок могут стать хра­нящи­еся в фай­ле метадан­ные. Казалось бы, похитив инте­ресу­ющую информа­цию, зло­умыш­ленни­ки в пер­вую оче­редь дол­жны вос­поль­зовать­ся спе­циаль­ным соф­том, уда­ляющим из фай­лов все слу­жеб­ные дан­ные. На прак­тике же это про­исхо­дит далеко не всег­да.

Од­нажды к Дмит­рию Борощу­ку обра­тились пред­ста­вите­ли тор­говой фир­мы, стол­кнув­шей­ся с весь­ма нес­тандар­тным слу­чаем мошен­ничес­тва. Эта ком­пания занима­лась пос­тавка­ми сель­хоз­про­дук­ции из зарубеж­ных стран, и, ког­да в Рос­сии начались проб­лемы с транс­гра­нич­ными пла­тежа­ми из‑за меж­дународ­ных сан­кций, ситу­ацией решили вос­поль­зовать­ся зло­умыш­ленни­ки. Они зарегис­три­рова­ли домен, отли­чав­ший­ся от ори­гиналь­ного домена ком­пании дву­мя перес­тавлен­ными мес­тами сим­волами, и завели на нем поч­товые ящи­ки, адре­са которых были иден­тичны тем, что исполь­зовались нас­тоящей ком­пани­ей. При перепис­ке с кон­тра­ген­тами в этой фир­ме было при­нято добав­лять в копию сра­зу нес­коль­ких менед­жеров и руково­дите­лей. Мошен­ники под­менили в этом спис­ке получа­телей сна­чала один адрес, затем дру­гой и через какое‑то вре­мя переве­ли всю перепис­ку на домен‑дуб­лер. Пос­ле это­го они сооб­щили кон­тра­ген­там, что из‑за сан­кций у про­дав­ца изме­нились рек­визиты для опла­ты. Разуме­ется, бан­ков­ские сче­та, на которые ста­ли при­ходить день­ги от покупа­телей, при­над­лежали жуликам. Про­вер­нуть такую хит­рую схе­му мог толь­ко инсай­дер, который точ­но знал внут­реннюю кух­ню ком­пании.