infowatch (infowatch) wrote,
infowatch
infowatch

Categories:

Неприемлемые методы исследования компьютерной информации

Сегодня мы поднимем тему практически философскую. Но выросла она из вполне будничной задачи: исследовать информацию на машинном носителе и юридически строго доказать, какая именно информация там находится. Обычно такая задача ставится при назначении компьютерной (компьютерно-технической, программно-технической) экспертизы. А также при расследовании инцидентов ИБ. Итак, вопрос стоит: где объективная реальность, а где "Матрица"?

Что видит эксперт?


Эксперт, исследуя компьютерную информацию, ничего не делает собственными руками и ничего не воспринимает собственными глазами. Между экспертом и информацией располагаются многочисленные посредники в виде аппаратных устройств и программ. Причём, эти посредники расположены в несколько слоёв, на каждом из которых возможна случайная ошибка, или сознательно допущенная модификация информации или даже злонамеренное её искажение. Не говоря уже о многократных автоматических преобразованиях.

В некоторых случаях эксперту очевидно влияние используемых инструментов, он может оценить вероятность наличия ошибки, он знает, как проверить достоверность. Но о большинстве программных инструментов этого не скажешь. Таким образом, эксперт становится заложником ряда программ, библиотек и функций, число которых достаточно велико, чтобы один человек мог их все проверить. Или просто охватить мысленным взором.

Возьмём простой пример. Эксперту нужно определить, какие флэш-накопители подключали в прошлом к исследуемому компьютеру с ОС Windows-XP. Он применяет программу «USBDeview», которая ищет эти сведения в реестре ОС. При этом эксперт может отдавать себе отчёт, как распознаётся и подключается накопитель, куда заносятся его данные. А может и не представлять всего этого, а просто использовать рекомендованную программу. Но даже в первом случае эксперт не имеет возможностей убедиться в корректности работы «USBDeview». Вдруг она содержит ошибку, и данные отображаются некорректно? Вдруг она не учитывает какую-то особенность ОС и иногда отображает данные некорректно? Вдруг ОС не всегда записывает искомые сведения в указанном месте?

Тем более, что в списке устранённых ошибок на веб-сайте производителя мы видим некоторые ныне исправленные баги, приводившие в прошлом к некорректной выдаче. Нет гарантии, что больше ошибок не осталось.

Эксперт использует явно (запуская своими руками) не один десяток экспертных программ. Неявно (то есть через системные вызовы и функции ОС) он использует ещё больше. Очевидно, что нет никакой возможности исследовать все эти программы и функции на предмет корректности работы, полноты выдачи, отсутствия НДВ и т.д. Тем более – сертифицировать.

Специалисты знают, в каких условиях работают производители софта: жёсткие сроки, неумелые кадры, индусский аутсорсинг, бюрократия, козни со стороны производителей ОС и оборудования (драйверов), нехватка многообразной техники для тестирования и тому подобные ужасы. В таких условиях ошибки, баги, недоработки, частичная несовместимость и недоделанность – вполне заурядные явления. Даже если работать «по науке», то есть с проджект-менеджментом, техдокументацией, деревом версий, тестировщиками и службой поддержки пользователей. Но зачастую даже этого нет, поскольку утилита написана силами одного человека, выпущена и забыта.

То есть, следует признать, что экспертные программные инструменты по своей корректности и по числу ошибок на тысячу строк кода ничуть не лучше других программ. Они выпускаются в свет под тем же самым печально известным принципом «as is», то есть без малейшей гарантии правильности работы.

От использования некоторых программ эксперт, в принципе, может отказаться. Так, в вышеприведённом примере он мог бы самостоятельно найти в реестре все данные о подключаемых флэшках. Но что значит «самостоятельно»? Всё равно для доступа к компьютерной информации и её интерпретации человеку нужны программы и функции ОС. Не одни, так другие. Тот же редактор реестра «regedit» чем лучше программы «USBDeview»? Он имеет какие-то гарантии? Его писали более квалифицированные индусы? Его корректность проверяли уважаемые специалисты? В нём никогда не находили багов?

Простой отказ от некоторых инструментов ничего не даст. Конечно, 99 программ явно содержит меньше ошибок, чем 100. Но за незначительное снижение вероятности ошибки придётся заплатить существенными затратами времени и сил эксперта. Выполняя эту дополнительную работу, он может допустить дополнительные (уже «человеческие») ошибки. Так что отказ от некоторых программных инструментов вряд ли оправдан.

На взгляд автора, какая-либо сертификация экспертных программ «на степень корректности» невозможна. Однако эксперт (а тем более – сообщество экспертов) имеет все условия, чтобы выбрать из множества доступных такие экспертные программы, у которых вероятность критических ошибок минимальна. Они должны обладать следующими свойствами.
  • Иметь открытые исходники. Например, в вопросах безопасности открытые исходники способствуют выявлению и исправлению уязвимостей, а закрытые, напротив, их сокрытию. Что лучше, не понятно. Когда же дело идёт о корректности работы, открытые исходники однозначно предпочтительнее.
  • Находиться в эксплуатации достаточно давно. Чтобы эксперты имели время для выявления ошибок и иных недостатков.
  • Иметь службу поддержки. Это необходимо для обратной связи, для правильного учёта выявленных ошибок.
  • Иметь список ранее выявленных ошибок. В существование программ без ошибок давно уже никто не верит. Следовательно, если ошибки не исправлялись, значит, они не были найдены, значит, их никто не искал.
  • Использовать как можно меньше библиотек и системных функций с закрытым кодом. Идеально, если б программа работала под управлением открытой и широко используемой ОС.

По указанным свойствам можно вычислить какой-либо рейтинг и в дальнейшем отбирать экспертные программы по нему.

Мы все понимаем, что в сложившихся условиях невозможно юридически строго доказать отсутствие любых ошибок и неточностей в экспертном ПО. Не надо и пытаться этого сделать.

Неприемлема и противоположная крайность – полагаться на любые программы любых авторов, презюмируя корректность их работы.

Что видит судья?


Приведём здесь характерный диалог, поясняющий применимость экспертных программ.

ЗАЩИТНИК: Уважаемый эксперт, в своём заключении вы не указали программное обеспечение, которым пользовались при производстве компьютерно-технической экспертизы. Укажите его.
ЭКСПЕРТ: В соответствии со ст. 204 УПК, я обязан указать в заключении содержание исследований и применённые методики. Содержание: изучение реестра ОС, методика: поиск в реестре ключевых сочетаний символов. Конкретные названия и версии программ я указывать не обязан.
ЗАЩИТНИК: И всё же настаиваю, чтобы вы перечислили используемые программы.
ЭКСПЕРТ: Ваша честь, выбор конкретных программ и оценка их пригодности для проведения исследований – это предмет специальных знаний, которыми я обладаю, а стороны процесса не обладают. Прошу снять вопрос защитника.
СУДЬЯ: Вопрос снимается.
ЗАЩИТНИК: Тогда другой вопрос. Как известно, не имеют силы доказательства, полученные с нарушением любого федерального закона. В частности, с нарушением законодательства об авторском праве. Являлись ли все используемые вами программы лицензионными?
ЭКСПЕРТ: Вопрос не имеет отношения к делу, поскольку в силу ст. 1278 ГК разрешается использовать программы без согласия правообладателя и без выплаты вознаграждения для целей правоприменения. Таким образом, все используемые при проведении судебной экспертизы программы использовались законно, независимо от наличия разрешения правообладателя (то есть лицензии).
ЗАЩИТНИК: Были ли все используемые вами программы сертифицированными?
ЭКСПЕРТ: Прошу уточнить вопрос. Как указано в законе "О техническом регулировании", сертификация - это процесс подтверждения соответствия объектов требованиям стандартов, регламентов и иных документов. Для ответа следует знать, каким именно сертифицирующим органом устанавливалось соответствие. И соответствие какому именно документу.
ОБВИНИТЕЛЬ: Ваша честь, вопрос уважаемого защитника не имеет отношения к делу, поскольку закон "О государственной судебно-экспертной деятельности в Российской Федерации" и УПК не содержат каких-либо требований о сертификации, аттестации или иной проверке соответствия инструментов эксперта.
СУДЬЯ: Вопрос снимается.
ЗАЩИТНИК: В вашем заключении указано, что на компьютере моего подзащитного не обнаружено вредоносных программ. Позиция защиты состоит в том, что инкриминируемые действия совершал вовсе не подсудимый, а неизвестные злоумышленники, воспользовавшиеся его компьютером как посредником. Для этого на компьютере необходимо установить так называемую троянскую программу. Вы утверждаете, что такой программы не
обнаружили?
ЭКСПЕРТ: Да, не обнаружил.
ЗАЩИТНИК: Вы утверждаете это категорично?
ЭКСПЕРТ: Да.
ЗАЩИТНИК: Вы их не обнаружили. Но можете ли вы столь же категорично утверждать, что на компьютере моего подзащитного отсутствовали любые вредоносные программы?
ЭКСПЕРТ: Могу это утверждать лишь предположительно. Я детектировал наличие вредоносных и подозрительных программ при помощи многоядерного антивируса – антивирусной программы. Это самый надёжный из известных способов. Она уверенно обнаруживает все известные вредоносные программы, но ранее не известные может не обнаружить.
ЗАЩИТНИК: То есть, вы допускаете, что на исследуемом компьютере была установлена вредоносная программа, но вы её не обнаружили?
ЭКСПЕРТ: Да, допускаю. Хотя вероятность этого события очень мала.
ОБВИНИТЕЛЬ: Насколько она мала?
ЭКСПЕРТ: Для типичной вредоносной программы её сигнатура появляется в базе антивируса в течение часов или дней после начала распространения. Для некоторых сигнатура может появиться спустя неделю. В очень редких случаях – две-три недели. Сигнатура может появиться в базе одного антивируса значительно раньше, чем в базе другого. Учитывая, что я использовал многоядерный антивирус (то есть фактически три антивируса с тремя независимыми базами), учитывая что с момента изъятия компьютера до момента исследования прошёл месяц, вероятность наличия недетектируемой вредоносной программы можно оценить как ничтожно малую.


Как мы видим, принципиальные вопросы в конце концов могут быть сведены к вопросам о применимости тех или иных программных инструментов. Квалификация эксперта важна не только для проведения исследований, не только для интерпретации результатов, но и для выбора и оценки соответствия чужих программ.

Нетехнические причины


Кроме возможных ошибок, неполноты, несовместимости и т.п. некоторые методы исследования могут иметь и так сказать гуманитарные «противопоказания» к применению. Отчего же некоторые методы, будучи эффективными и технически реализуемыми, могут оказаться неприемлемыми?
  • Поскольку они запрещены законом и, следовательно, влекут соответствующие риски. Как для непосредственных исполнителей, так и для предприятия.
  • Поскольку они аморальны и, следовательно, в случае разглашения принесут ущерб деловой репутации.
  • Поскольку для их применения необходимо предварительное устройство достаточно дорогой системы или предварительный сбор различной информации, что не окупится с учётом вероятности соответствующего инцидента.

Насчёт запрещённых законом методов сбора доказательств надо бы уточнить, что упомянутый запрет может быть абсолютным и относительным. Скажем, перлюстрация электронной почты незаконна для корпоративной службы безопасности*, но законна для правоохранительных органов при наличии судебной санкции. То есть, запрет относительный. А вот использование вредоносных программ (ст. 273 УК) незаконно в любом случае и без оговорок. Поэтому даже правоохранительные или разведывательные органы не имеют права их применять. Даже во время войны. Здесь запрет абсолютный.
[* Есть мнение, что оно будет законным, если работник (пользователь) дал письменное согласие. Однако в этом вопросе мнения юристов расходятся. Некоторые полагают, что такое согласие ничтожно в силу неотчуждаемости прав человека (ст. 17 Конституции).]

Также «условно запрещёнными» можно считать специальные программно-технические средства, предназначенные для негласного получения информации (ч. 3 ст. 138 УК РФ). Их ввоз, производство и применение требует специального разрешения. При его отсутствии полученные доказательства нельзя использовать в гражданском и уголовном процессе.

По третьему пункту стоит сказать о DLP-системах (Data Leakage Protection / Data Leakage Prevention), то есть системах защиты от утечки конфиденциальной информации. Кроме функции предотвращения утечек эти системы также имеют функции архивирования передаваемой по определённым каналам информации, например, всей электронной почты, всех копируемых на флэшки файлов, всех отсылаемых на печать документов и т.д. Подобные архивы крайне полезны при расследовании инцидентов, при сборе доказательств для гражданских дел, а также при расследовании уголовных.

Хотя для полноценных DLP-систем главная функция – это предотвращение утечек в режиме реального времени, функция архивирования также должна быть задействована (насколько позволяет объём хранилища). Чтобы данные из указанного архива имели доказательную силу, предварительно необходимо будет предпринять ряд шагов; обычно они описаны в проектной документации на DLP-систему.

«Технари» и «безопасники»


В заключении следует упомянуть о такой особенности. Технические специалисты в области ИТ, будучи специалистами узкими, обычно не имеют никаких знаний в гуманитарных областях, в частности, в юридической. Поэтому они склонны не замечать или совершенно игнорировать правовые и моральные аспекты использования технических средств. И напротив, юристы обычно не в состоянии понять принципы работы различных информационных технологий и потому они взаимодействуют со специалистами по ИБ крайне неэффективно.

Те и другие иногда склонны применять неприемлемые средства (в одних случаях неэффективные или ненадёжные, в других – недозволенные) или методы. Чтобы избежать этого желательно иметь хотя бы одного эксперта, квалифицированного в двух областях одновременно.


Tags: DLP-система, НДВ, криминалистика
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 11 comments