Содержание статьи
Чаще всего организации сталкиваются с утечками конфиденциальной информации уже по факту случившегося, когда база клиентов, поставщиков, заказчиков или внутренние документы внезапно обнаруживаются в публичном доступе. Кажется, что отыскать в этом случае того, кто устроил слив, практически невозможно, а еще сложнее — доказать его причастность к произошедшему.
info
Статья написана по материалам интервью с Дмитрием Борощуком. Беседовал и готовил финальный текст Валентин Холмогоров.
Дмитрий Борощук уже больше пятнадцати лет занимается сложными вопросами, связанными с безопасностью бизнеса, прежде всего — информационной. И расследование утечек информации, а также поиск виновников этих утечек — одна из практических задач, с которыми Дмитрий регулярно сталкивается на своем личном опыте. Сложности таким расследованиям обычно добавляет и то, что в небольших организациях, как правило, все сотрудники имеют доступ практически к любой служебной информации, поэтому выяснить, кто именно слил тот или иной важный документ в паблик, весьма непросто. Но непросто — не значит невозможно.
В первую очередь следует установить по характерным признакам, была утечка результатом деятельности инсайдеров или все‑таки внешней атаки: возможно, в сеть предприятия вломились злые хакеры, и тогда искать злодея внутри коллектива не имеет ни малейшего смысла. Если же все‑таки здесь постарался кто‑то из своих, для начала нужно выяснить, кто мог иметь доступ к утекшему документу или базе данных (по умолчанию — все сотрудники) и кто из этих людей имел возможность скопировать ценную информацию. Затем нужно максимально сузить круг подозреваемых. Для этого используется ряд специальных приемов и методов, которые Дмитрий Борощук и его коллеги активно используют в своих расследованиях.
Исследуем утечку
Поскольку связанные с утечками инциденты расследуются обычно постфактум, например когда база клиентов уже вовсю продается на черном рынке, прежде всего нужно изучить, в каком виде эта информация попала в публичное поле. Это поможет, во‑первых, определить место первоначального размещения файлов, а во‑вторых, идентифицировать потенциального выгодоприобретателя. Здесь необходимо исследовать канал распространения информации, а именно:
- место публикации утечки;
- дату и время публикации;
- кто разместил данные;
- кошелек или реквизиты для оплаты (если файлы распространяются платно).
Тут нужно учитывать то обстоятельство, что между датой утечки и моментом появления этих файлов в публичном доступе может пройти достаточно продолжительное время. Например, слитые данные могли попытаться продать, но не нашли покупателя, после чего выложили их в паблик. Либо наоборот, нашли, покупатель попользовался этой информацией какое‑то время и выложил ее в сеть, когда она сделалась для него неактуальной. В любом случае место и дата публикации дадут исследователю привязку к моменту, когда эта информация стала доступной, как говорят криминалисты, «неопределенному кругу лиц».
Аватарка и ник распространителя файлов тоже могут служить важным маркером: по ним можно попытаться обнаружить того же человека на разных площадках в интернете, в мессенджерах и социальных сетях. Все эти сведения обезличены, но в совокупности они становятся очень полезным набором сквозных маркеров.
info
Сквозной маркер — это косвенный признак, совокупность которых позволяет идентифицировать человека и привязать учетные записи в интернете к его личности.
Дмитрий Борощук вспоминал случай из практики: у подозреваемого в качестве аватарки использовалась явно уникальная, а не «стоковая» фотография, на которой был запечатлен со спины человек, сидящий на капитанском месте в рубке корабля. Простой поиск по картинке в Google и «Яндексе» позволил отыскать эту же картинку на личной страничке в одной из социальных сетей. Еще один чрезвычайно полезный сквозной маркер — номера банковских карт и электронных кошельков: аналогичный способ получения денег может использоваться подозреваемым не только в этом, но и в других каналах. И дать расследователю ценную зацепку. То же самое касается ников и адресов электронной почты — они могут встречаться в сообщениях на площадках, где опубликованы слитые данные.
Важным сквозным маркером служит также сам текст объявления: в нем могут попадаться характерные языковые обороты или словосочетания, типичные орфографические и синтаксические ошибки. Да и весь текст целиком имеет смысл поискать в «Яндексе» с «Гуглом», хотя бы с целью выяснить, где еще его могли опубликовать.
Изучаем файлы
Продолжаем обогащать нашу коллекцию артефактов, которые помогут нам в расследовании. Следующий шаг — изучение самого файла, в который упакована утечка. Здесь нам пригодятся:
- имя и расширение файла;
- формат файла;
- метаданные, обнаруженные в файле;
- даты создания и изменения;
- хеш‑сумма файла.
Во‑первых, эти сведения позволят нам понять, каким способом файл был получен: экспортирован из CRM или базы данных либо, скажем, просто скопирован из файлообменника. То есть установить способ кражи. Разные приложения и бизнес‑системы предлагают разные инструменты выгрузки данных, и по характерным признакам можно попытаться выяснить, какие из них использовал злоумышленник.
Поиск в интернете, даркнете и «Телеграме» по имени файла даст понимание, насколько широко «расползлась» утечка в сети и на какие именно площадки выкладывал злоумышленник этот файл. Но одной из самых ценных зацепок могут стать хранящиеся в файле метаданные. Казалось бы, похитив интересующую информацию, злоумышленники в первую очередь должны воспользоваться специальным софтом, удаляющим из файлов все служебные данные. На практике же это происходит далеко не всегда.
Однажды к Дмитрию Борощуку обратились представители торговой фирмы, столкнувшейся с весьма нестандартным случаем мошенничества. Эта компания занималась поставками сельхозпродукции из зарубежных стран, и, когда в России начались проблемы с трансграничными платежами из‑за международных санкций, ситуацией решили воспользоваться злоумышленники. Они зарегистрировали домен, отличавшийся от оригинального домена компании двумя переставленными местами символами, и завели на нем почтовые ящики, адреса которых были идентичны тем, что использовались настоящей компанией. При переписке с контрагентами в этой фирме было принято добавлять в копию сразу нескольких менеджеров и руководителей. Мошенники подменили в этом списке получателей сначала один адрес, затем другой и через какое‑то время перевели всю переписку на домен‑дублер. После этого они сообщили контрагентам, что из‑за санкций у продавца изменились реквизиты для оплаты. Разумеется, банковские счета, на которые стали приходить деньги от покупателей, принадлежали жуликам. Провернуть такую хитрую схему мог только инсайдер, который точно знал внутреннюю кухню компании.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее