Охота на крысу

Ча­ще все­го орга­низа­ции стал­кива­ются с утеч­ками кон­фиден­циаль­ной информа­ции уже по фак­ту слу­чив­шегося, ког­да база кли­ентов, пос­тавщи­ков, заказ­чиков или внут­ренние докумен­ты вне­зап­но обна­ружи­вают­ся в пуб­личном дос­тупе. Кажет­ся, что отыс­кать в этом слу­чае того, кто устро­ил слив, прак­тичес­ки невоз­можно, а еще слож­нее — доказать его при­час­тность к про­изо­шед­шему.

Дмит­рий Борощук уже боль­ше пят­надца­ти лет занима­ется слож­ными воп­росами, свя­зан­ными с безопас­ностью биз­неса, преж­де все­го — информа­цион­ной. И рас­сле­дова­ние уте­чек информа­ции, а так­же поиск винов­ников этих уте­чек — одна из прак­тичес­ких задач, с которы­ми Дмит­рий регуляр­но стал­кива­ется на сво­ем лич­ном опы­те. Слож­ности таким рас­сле­дова­ниям обыч­но добав­ляет и то, что в неболь­ших орга­низа­циях, как пра­вило, все сот­рудни­ки име­ют дос­туп прак­тичес­ки к любой слу­жеб­ной информа­ции, поэто­му выяс­нить, кто имен­но слил тот или иной важ­ный документ в паб­лик, весь­ма неп­росто. Но неп­росто — не зна­чит невоз­можно.

В пер­вую оче­редь сле­дует уста­новить по харак­терным приз­накам, была утеч­ка резуль­татом деятель­нос­ти инсай­деров или все‑таки внеш­ней ата­ки: воз­можно, в сеть пред­при­ятия вло­мились злые хакеры, и тог­да искать зло­дея внут­ри кол­лекти­ва не име­ет ни малей­шего смыс­ла. Если же все‑таки здесь пос­тарал­ся кто‑то из сво­их, для начала нуж­но выяс­нить, кто мог иметь дос­туп к утек­шему докумен­ту или базе дан­ных (по умол­чанию — все сот­рудни­ки) и кто из этих людей имел воз­можность ско­пиро­вать цен­ную информа­цию. Затем нуж­но мак­сималь­но сузить круг подоз­рева­емых. Для это­го исполь­зует­ся ряд спе­циаль­ных при­емов и методов, которые Дмит­рий Борощук и его кол­леги активно исполь­зуют в сво­их рас­сле­дова­ниях.

Исследуем утечку

Пос­коль­ку свя­зан­ные с утеч­ками инци­ден­ты рас­сле­дуют­ся обыч­но пос­тфак­тум, нап­ример ког­да база кли­ентов уже вов­сю про­дает­ся на чер­ном рын­ке, преж­де все­го нуж­но изу­чить, в каком виде эта информа­ция попала в пуб­личное поле. Это поможет, во‑пер­вых, опре­делить мес­то пер­воначаль­ного раз­мещения фай­лов, а во‑вто­рых, иден­тифици­ровать потен­циаль­ного выгодоп­риоб­ретате­ля. Здесь необ­ходимо иссле­довать канал рас­простра­нения информа­ции, а имен­но:

• мес­то пуб­ликации утеч­ки;
• да­ту и вре­мя пуб­ликации;
• кто раз­местил дан­ные;
• ко­шелек или рек­визиты для опла­ты (если фай­лы рас­простра­няют­ся плат­но).

Тут нуж­но учи­тывать то обсто­ятель­ство, что меж­ду датой утеч­ки и момен­том появ­ления этих фай­лов в пуб­личном дос­тупе может прой­ти дос­таточ­но про­дол­житель­ное вре­мя. Нап­ример, сли­тые дан­ные мог­ли попытать­ся про­дать, но не наш­ли покупа­теля, пос­ле чего выложи­ли их в паб­лик. Либо наобо­рот, наш­ли, покупа­тель пополь­зовал­ся этой информа­цией какое‑то вре­мя и выложил ее в сеть, ког­да она сде­лалась для него неак­туаль­ной. В любом слу­чае мес­то и дата пуб­ликации дадут иссле­дова­телю при­вяз­ку к момен­ту, ког­да эта информа­ция ста­ла дос­тупной, как говорят кри­мина­лис­ты, «неоп­ределен­ному кру­гу лиц».

Ава­тар­ка и ник рас­простра­ните­ля фай­лов тоже могут слу­жить важ­ным мар­кером: по ним мож­но попытать­ся обна­ружить того же челове­ка на раз­ных пло­щад­ках в интерне­те, в мес­сен­дже­рах и соци­аль­ных сетях. Все эти све­дения обез­личены, но в совокуп­ности они ста­новят­ся очень полез­ным набором сквоз­ных мар­керов.

Дмит­рий Борощук вспо­минал слу­чай из прак­тики: у подоз­рева­емо­го в качес­тве ава­тар­ки исполь­зовалась явно уни­каль­ная, а не «сто­ковая» фотог­рафия, на которой был запечат­лен со спи­ны человек, сидящий на капитан­ском мес­те в руб­ке кораб­ля. Прос­той поиск по кар­тинке в Google и «Яндексе» поз­волил отыс­кать эту же кар­тинку на лич­ной стра­нич­ке в одной из соци­аль­ных сетей. Еще один чрез­вычай­но полез­ный сквоз­ной мар­кер — номера бан­ков­ских карт и элек­трон­ных кошель­ков: ана­логич­ный спо­соб получе­ния денег может исполь­зовать­ся подоз­рева­емым не толь­ко в этом, но и в дру­гих каналах. И дать рас­сле­дова­телю цен­ную зацеп­ку. То же самое каса­ется ников и адре­сов элек­трон­ной поч­ты — они могут встре­чать­ся в сооб­щени­ях на пло­щад­ках, где опуб­ликова­ны сли­тые дан­ные.

Важ­ным сквоз­ным мар­кером слу­жит так­же сам текст объ­явле­ния: в нем могут попадать­ся харак­терные язы­ковые обо­роты или сло­восо­чета­ния, типич­ные орфогра­фичес­кие и син­такси­чес­кие ошиб­ки. Да и весь текст целиком име­ет смысл поис­кать в «Яндексе» с «Гуг­лом», хотя бы с целью выяс­нить, где еще его мог­ли опуб­ликовать.

Изучаем файлы

Про­дол­жаем обо­гащать нашу кол­лекцию арте­фак­тов, которые помогут нам в рас­сле­дова­нии. Сле­дующий шаг — изу­чение самого фай­ла, в который упа­кова­на утеч­ка. Здесь нам при­годят­ся:

• имя и рас­ширение фай­ла;
• фор­мат фай­ла;
• ме­тадан­ные, обна­ружен­ные в фай­ле;
• да­ты соз­дания и изме­нения;
• хеш‑сум­ма фай­ла.

Во‑пер­вых, эти све­дения поз­волят нам понять, каким спо­собом файл был получен: экспор­тирован из CRM или базы дан­ных либо, ска­жем, прос­то ско­пиро­ван из фай­лооб­менни­ка. То есть уста­новить спо­соб кра­жи. Раз­ные при­ложе­ния и биз­нес‑сис­темы пред­лага­ют раз­ные инс­тру­мен­ты выг­рузки дан­ных, и по харак­терным приз­накам мож­но попытать­ся выяс­нить, какие из них исполь­зовал зло­умыш­ленник.

По­иск в интерне­те, дар­кне­те и «Телег­раме» по име­ни фай­ла даст понима­ние, нас­коль­ко широко «рас­пол­злась» утеч­ка в сети и на какие имен­но пло­щад­ки вык­ладывал зло­умыш­ленник этот файл. Но одной из самых цен­ных зацепок могут стать хра­нящи­еся в фай­ле метадан­ные. Казалось бы, похитив инте­ресу­ющую информа­цию, зло­умыш­ленни­ки в пер­вую оче­редь дол­жны вос­поль­зовать­ся спе­циаль­ным соф­том, уда­ляющим из фай­лов все слу­жеб­ные дан­ные. На прак­тике же это про­исхо­дит далеко не всег­да.

Од­нажды к Дмит­рию Борощу­ку обра­тились пред­ста­вите­ли тор­говой фир­мы, стол­кнув­шей­ся с весь­ма нес­тандар­тным слу­чаем мошен­ничес­тва. Эта ком­пания занима­лась пос­тавка­ми сель­хоз­про­дук­ции из зарубеж­ных стран, и, ког­да в Рос­сии начались проб­лемы с транс­гра­нич­ными пла­тежа­ми из‑за меж­дународ­ных сан­кций, ситу­ацией решили вос­поль­зовать­ся зло­умыш­ленни­ки. Они зарегис­три­рова­ли домен, отли­чав­ший­ся от ори­гиналь­ного домена ком­пании дву­мя перес­тавлен­ными мес­тами сим­волами, и завели на нем поч­товые ящи­ки, адре­са которых были иден­тичны тем, что исполь­зовались нас­тоящей ком­пани­ей. При перепис­ке с кон­тра­ген­тами в этой фир­ме было при­нято добав­лять в копию сра­зу нес­коль­ких менед­жеров и руково­дите­лей. Мошен­ники под­менили в этом спис­ке получа­телей сна­чала один адрес, затем дру­гой и через какое‑то вре­мя переве­ли всю перепис­ку на домен‑дуб­лер. Пос­ле это­го они сооб­щили кон­тра­ген­там, что из‑за сан­кций у про­дав­ца изме­нились рек­визиты для опла­ты. Разуме­ется, бан­ков­ские сче­та, на которые ста­ли при­ходить день­ги от покупа­телей, при­над­лежали жуликам. Про­вер­нуть такую хит­рую схе­му мог толь­ко инсай­дер, который точ­но знал внут­реннюю кух­ню ком­пании.

Выс­тавля­емые покупа­телям «липовые» сче­та в фор­мате PDF были сде­ланы на осно­ве нас­тоящих фай­лов, которые исполь­зовала тор­говая ком­пания. Вот в них‑то и сох­ранились метадан­ные, выдав­шие информа­цию и о самом зло­умыш­ленни­ке, вно­сив­шем изме­нения в исходный PDF, и о его компь­юте­ре, и о соф­те. Мошен­ником ока­зал­ся быв­ший менед­жер фир­мы, уво­лив­ший­ся отту­да незадол­го до опи­сыва­емо­го инци­ден­та. Конеч­но, утеч­ку может орга­низо­вать умный и опыт­ный зло­дей, который унич­тожит или под­менит слу­жеб­ную информа­цию в фай­лах, и тог­да его след потеря­ется. Но иног­да иссле­дова­телям везет.

На­конец, ана­лиз дат соз­дания и изме­нения фай­ла поз­волит понять, ког­да имен­но он был выг­ружен и ког­да зло­умыш­ленник в пос­ледний раз откры­вал его на редак­тирова­ние, — это даст кос­венную информа­цию о вре­мен­ном диапа­зоне, в пре­делах которо­го про­изош­ла утеч­ка. Ну а хеш поз­волит срав­нить утек­ший файл с исходным и опре­делить, изме­нял­ся ли он вооб­ще.

Изучаем содержимое файла

Нас­тало вре­мя заг­лянуть в сам файл и изу­чить его содер­жимое, а имен­но:

• ис­поль­зуемые поля;
• фор­мат их записи;
• пол­ноту при­сутс­тву­ющих полей;
• да­ту и вре­мя пер­вой записи;
• да­ту и вре­мя пос­ледней записи.

Боль­шинс­тво CRM, из которых чаще все­го и кра­дут инсай­дер­скую информа­цию, выда­ют нем­ного отли­чающуюся информа­цию сот­рудни­кам с раз­ным уров­нем дос­тупа. Нап­ример, у пер­сонала из отде­ла про­даж в базе могут не отоб­ражать­ся одни поля, а у сот­рудни­ков юри­дичес­кого отде­ла — дру­гие. У стар­ших менед­жеров и ста­жеров в выг­рузке будет раз­ный набор полей. Ска­жем, кому‑то дос­тупно пол­ное «досье» на кли­ента, вклю­чая его номер телефо­на, объ­ем и номен­кла­туру пре­дыду­щих заказов и имя домаш­него питом­ца, кому‑то — толь­ко кон­так­тный адрес элек­трон­ной поч­ты.

Ана­лиз утек­шего фай­ла поможет сузить круг подоз­рева­емых до опре­делен­ной груп­пы внут­ренних поль­зовате­лей сис­темы. Ну а дата пер­вой и пос­ледней записи под­ска­жет акту­аль­ность похищен­ных дан­ных, то есть фак­тичес­ки дату, ког­да они были сли­ты. Это — отправ­ная точ­ка, с которой мож­но начинать внут­реннее рас­сле­дова­ние, осо­бен­но если датиров­ка записей сов­пада­ет с датами соз­дания и изме­нения сли­того в паб­лик фай­ла. Таким обра­зом иссле­дова­тель собира­ет информа­цию о «сре­зе» дан­ных, их пол­ноте и, воз­можно, вре­мени получе­ния. На этом эта­пе иссле­дова­тель ста­рает­ся понять, ког­да фак­тичес­ки про­изош­ла утеч­ка и кто гипоте­тичес­ки мог иметь дос­туп к этой информа­ции, исхо­дя из фор­мата записей.

Не­ред­ко уда­ется выяс­нить, что утеч­ка пред­став­ляет собой ком­пиляцию дан­ных из раз­ных источни­ков, часть которых мог­ла находить­ся в сво­бод­ном дос­тупе и рань­ше. Ины­ми сло­вами, нуж­но про­вес­ти верифи­кацию, то есть про­верить одно­род­ность утек­ших дан­ных, что как раз и поз­воля­ет выявить утеч­ки, соб­ранные из нес­коль­ких источни­ков.

Исследуем легитимный источник данных

Не­обхо­димо изу­чить саму сис­тему, из которой были выг­ружены дан­ные, со сле­дующи­ми точ­ками инте­реса:

• ос­новной фор­мат хра­нения дан­ных;
• воз­можные фор­маты получе­ния дан­ных при раз­личных усло­виях их копиро­вания (бэкап, экспорт, пар­синг и так далее).

Это поз­волит опре­делить воз­можный спо­соб и фор­му получен­ной утеч­ки. Пос­ле это­го необ­ходимо вни­матель­но изу­чить сис­тему, из которой мог­ла про­изой­ти утеч­ка дан­ных, и выявить сле­дующие фак­торы:

• пе­речень уров­ней дос­тупа и ролей поль­зовате­лей в сис­теме;
• пе­речень дос­тупных полей для каж­дого уров­ня дос­тупа;
• пе­речень поль­зовате­лей с дос­тупом к утек­шим дан­ных (как активных, так и имев­ших дос­туп на момент утеч­ки).

Цель этих дей­ствий — фик­сация потен­циаль­но при­час­тных учет­ных записей поль­зовате­лей и спо­собов дос­тупа к дан­ным, которые могут находить­ся в «сре­зе» опуб­ликован­ной в интерне­те утеч­ки.

Те­перь необ­ходимо опре­делить вре­мен­ные рам­ки поис­кового лан­дшаф­та, исхо­дя из пол­ноты дан­ных, пред­став­ленных в утеч­ке.

Как пра­вило, отсчет ведет­ся в обратном поряд­ке от момен­та пер­вично­го раз­мещения похищен­ных фай­лов в пуб­личном дос­тупе до (при­мер­но) минус 60 суток от даты пос­ледних вне­сен­ных дан­ных в «сре­зе» утек­шей информа­ции. На текущем эта­пе име­ет смысл про­ана­лизи­ровать:

• ло­ги дос­тупа к целевым дан­ным поль­зовате­лей;
• ло­ги изме­нений в целевом источни­ке дан­ных.

Это поз­волит реконс­тру­иро­вать исто­рию обра­щений к источни­ку целевых дан­ных поль­зовате­лей сис­темы и сузить круг подоз­рева­емых до одно­го‑двух человек.

Какие ваши доказательства?

Пос­ле выяв­ления потен­циаль­ных подоз­рева­емых исполь­зуют­ся стан­дар­тные методы кри­мина­лис­тики, а имен­но иссле­дуют­ся жур­налы опе­раци­онной сис­темы рабоче­го компь­юте­ра сот­рудни­ка. Наша задача — про­ана­лизи­ровать все опе­рации, которые про­исхо­дили с фай­лами на про­тяже­нии вре­мен­ных рамок поис­кового лан­дшаф­та. Таким обра­зом иссле­дова­тель смо­жет понять, вза­имо­дей­ство­вал ли поль­зователь с инте­ресу­ющим его объ­ектом.

Пред­положим, ты уже прак­тичес­ки стоп­роцен­тно нашел зло­дея у себя в ком­пании, но тебе нуж­но соб­рать какие‑то доказа­тель­ства его вины. При этом никаких сис­тем DLP, SIEM или иных заранее нас­тро­енных инс­тру­мен­тов в тво­ем рас­поряже­нии нет, потому что «это дорого и вряд ли ког­да‑либо понадо­бит­ся!». Име­ется толь­ко дос­туп к слу­жеб­ным ноут­буку и смар­тфо­ну пред­полага­емо­го зло­умыш­ленни­ка. Что же делать руково­дите­лю служ­бы безопас­ности, ког­да кажет­ся, что кор­поратив­ный шпи­он уже поч­ти разоб­лачен, и оста­ется толь­ко под­твер­дить это фак­тами?

• Со­бери все носите­ли информа­ции и элек­тро­нику, которая рас­полага­лась на рабочем мес­те пред­полага­емо­го зло­дея. Флеш­ки, внеш­ние жес­ткие дис­ки, ноут­буки, компь­юте­ры, план­шеты и телефо­ны. Конеч­но же, при этом нуж­но находить­ся в рам­ках пра­вово­го поля — это иму­щес­тво дол­жно быть выдано ком­пани­ей «под под­пись» сот­рудни­ка и являть­ся ее собс­твен­ностью.
• Пос­мотри, нет ли на рабочем мес­те записок, блок­нотов и вся­ких бумаг, на которых могут содер­жать­ся не толь­ко пов­седнев­ные рабочие записи, но и что‑то отно­сяще­еся к делу.
• Сде­лай выг­рузку из сис­темы СКУД о при­сутс­твии сот­рудни­ка на рабочем мес­те в пред­полага­емый вре­мен­ной отре­зок про­изо­шед­шего инци­ден­та (если дос­туп к утек­шим дан­ным был открыт толь­ко из физичес­кого перимет­ра ком­пании).
• Сде­лай выг­рузку из сис­темы виде­онаб­людения за вре­мен­ной отре­зок пред­полага­емо­го инци­ден­та (плюс‑минус 15 дней). Хоть это и может казать­ся арха­ичным, но, как показы­вает прак­тика, час­то это ста­новит­ся хорошим под­спорь­ем в рас­сле­дова­нии.
• Заб­локируй дос­туп извне к иссле­дуемой элек­тро­нике — ни в коем слу­чае не давай воз­можнос­ти устрой­ствам под­клю­чить­ся к интерне­ту, что­бы у пред­полага­емо­го зло­умыш­ленни­ка не оста­лось шан­са уда­лен­но унич­тожить сле­ды сво­ей деятель­нос­ти.

За­тем сле­дует соз­дать копию носите­ля информа­ции иссле­дуемо­го устрой­ства для даль­нейше­го изу­чения. Этот шаг необ­ходим для того, что­бы при работе с девай­сом мы слу­чай­но не испорти­ли или не унич­тожили по неос­торож­ности важ­ные арте­фак­ты и в слу­чае необ­ходимос­ти мог­ли вос­ста­новить из копии ранее уда­лен­ные фай­лы. Сде­лать это мож­но при помощи бес­плат­ного инс­тру­мен­та OSFСlone, который пред­став­ляет собой образ заг­рузоч­ной флеш­ки. Кста­ти, для соз­дания самой заг­рузоч­ной флеш­ки мож­но исполь­зовать Rufus. И обра­ти вни­мание, что внеш­ний носитель, который ты будешь исполь­зовать для сох­ранения копии, дол­жен иметь боль­ший объ­ем, чем тот, с которо­го ты эту копию сни­маешь.

Ну а о том, как иссле­довать обра­зы дис­ков на пред­мет поис­ка улик и арте­фак­тов, «Хакер» уже неод­нократ­но пи­сал — здесь тебе поможет опуб­ликован­ный нами цикл ста­тей о форен­зике.

Выводы

В ходе рас­сле­дова­ния внут­ренних уте­чек спе­циалис­ты час­то при­меня­ют так называ­емый «метод ком­понен­тных дан­ных». В рам­ках это­го метода иссле­дуют­ся три вида сущ­ностей:

• объ­ект;
• дей­ствие;
• ка­нал ком­муника­ции.

Объ­ектом может быть что угод­но, вер­нее, фак­тичес­ки все, что отно­сит­ся к делу и что мож­но обоз­начить сущес­тви­тель­ным: сот­рудник, файл, компь­ютер, адрес email, ник, сер­вер, учет­ная запись, ноут­бук, смар­тфон и так далее. Объ­екты вза­имо­дей­ству­ют меж­ду собой: нап­ример, объ­ект «база дан­ных» может иметь связь с объ­ектом «учет­ная запись», и иссле­дова­тель в сос­тоянии сос­тавить спи­сок дей­ствий, отно­сящих­ся к этим двум объ­ектам. Ска­жем, сот­рудник, под­клю­чаясь к базе дан­ных под сво­ей учет­ной записью, получа­ет дос­туп к опре­делен­ным дан­ным, которые затем переме­щает на внеш­ний носитель.

И третье, что необ­ходимо зафик­сировать в ходе рас­сле­дова­ния, — это канал ком­муника­ции: бук­валь­но через какую сре­ду объ­екты вза­имо­дей­ству­ют друг с дру­гом. Это, нап­ример, может быть внут­ренняя про­вод­ная или бес­про­вод­ная сеть пред­при­ятия или интернет. Выс­тро­ив такую под­робную цепоч­ку объ­ектов, их дей­ствий и свя­зан­ных с ними событий, иссле­дова­тель опре­деля­ет, к каким звень­ям этой цепи он может получить дос­туп и какие ее эле­мен­ты могут оставлять логи. Это каса­ется не толь­ко арте­фак­тов в опе­раци­онной сис­теме, но и реаль­ного, физичес­кого мира. Дмит­рий Борощук при­водит такой при­мер: если нуж­но опре­делить, мог ли сот­рудник в какой‑то день ско­пиро­вать файл на флеш­ку, находясь на сво­ем рабочем мес­те, мож­но прос­мотреть записи офис­ной сис­темы виде­онаб­людения. Если в ком­пании исполь­зует­ся сис­тема кон­тро­ля дос­тупа, мож­но выяс­нить, прик­ладывал ли сот­рудник кар­точку‑про­пуск, что­бы вой­ти в помеще­ние. Это поможет выяс­нить, при­сутс­тво­вал ли физичес­ки человек на сво­ем рабочем мес­те в тот день или кто‑то дру­гой вос­поль­зовал­ся его компь­юте­ром и учет­ной записью.

Соб­ранные ком­понен­тные дан­ные рас­кла­дыва­ются по вре­мен­ной линии, в резуль­тате чего иссле­дова­тель получа­ет пол­ную и наг­лядную кар­тину инци­ден­та. Таким обра­зом реконс­тру­ирует­ся цепоч­ка событий, которая и при­водит к разоб­лачению зло­умыш­ленни­ка.

При­веден­ные выше при­меры показы­вают, что информа­цион­ная безопас­ность — это исто­рия не толь­ко про изу­чение логов и ана­лиз фай­лов, но и про события, про­исхо­дящие в реаль­ном мире. А реаль­ный мир порой под­бра­сыва­ет не мень­ше сюр­при­зов, чем «вир­туаль­ный» мир компь­ютер­ных тех­нологий.