Следователь против хакеров

СОБЫТИЯ И ЛЮДИ
Следователь против хакеров
СЕГОДНЯ МЫ ХОТИМ РАССКАЗАТЬ ВАМ О СЛЕДОВАТЕЛЕ ПО ГСУ ПРИ ГУВД СПБ И ЛО КАПИТАНЕ
МИХАЙЛОВЕ МАКСИМЕ АНАТОЛЬЕВИЧЕ. ПО ИТОГАМ РАБОТЫ, ОН НАГРАЖДЕН ЗНАКОМ «ЛУЧШИЙ
СЛЕДОВАТЕЛЬ». МАКСИМ АНАТОЛЬЕВИЧ ЗАНИМАЕТСЯ РАССЛЕДОВАНИЕМ ПРЕСТУПЛЕНИЙ В СФЕРЕ ВЫСОКИХ
ТЕХНОЛОГИЙ, И НАМ ПРЕДСТАВИЛСЯ УНИКАЛЬНЫЙ ШАНС ЗАДАТЬ ИНТЕРЕСУЮЩИЕ ВОПРОСЫ В СТОЛЬ НОВОЙ
ДЛЯ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ ОБЛАСТИ.
ЮСТИЦИИ
сов, хищением паролей для доступа к сети
«Интернет».
Естественно, чаще всего приходится
иметь дело с «хакерами» последних двух
категорий.
Бытует мнение о том, что «хакеры» делятся на «белых», «серых», «черных», но
я не склонен проводить такое разделение.
В принципе, мотивы преступлений изучаются в ходе следствия, но, к сожалению, даже
«благородные» побуждения не влияют на
квалификацию.
– Максим Анатольевич, для начала краткую биографическую хронологию, если
можно.
– Родился в Петербурге в 1978 году,
после школы поступил на следственный
факультет Санкт-Петербургского Университета МВД РФ, который окончил в 1999 году,
затем работал следователем в СУ при УВД
Кировского района, а с 2001 года – в 6 отделе следственной части ГСУ. Женат, воспитываю двоих детей.
– Что определило выбор специализации – расследование преступлений в сфере
высоких технологий?
– Тут две причины: во-первых, это мое
хобби – увлечение компьютерными технологиями, и в данном случае совпадает с работой, поэтому именно симбиоз увлечений
позволил мне реализовать себя наиболее
эффективно, а во-вторых, компьютерные
преступления очень разнообразны, динамичны, а используемые преступниками
методы мгновенно совершенствуются,
постоянно изобретаются новые, что позволяет, а иногда и заставляет все время
интеллектуально расти, стараться приобретать все новые и новые знания.
– Расскажите об основных направлениях
вашей работы. Какие ситуации приходится
рассматривать чаще всего?
– Если в общем, то приходится рассматривать почти все виды преступлений,
совершенных с помощью компьютерной
техники, глобальной сети «Интернет».
Естественно, наиболее острые проблемы
возникают с электронными платежными
системами, расчетами в сети «Интернет». Вообще встречаются очень разнообразные ситуации: «взлом сайтов»,
незаконные пополнения лицевых счетов
телефонов у операторов сотовой связи,
различные мошенничества, способы которых неисчерпаемы.
– Каков он – «российский хакер»?
– Можно выделить три категории, которые, конечно, очень условны:
1. Умный, образованный, на мелочи не
разменивается, «работает» в сфере кардинга (махинации с кредитными картами),
интернет-банкинга, обычно ведет несколько легальных или полулегальных проектов,
приносящих доход.
2. «Продвинутый» пользователь, знаком
с программированием, «работает» с хищением различных баз, DDOS-атаками.
3. «Скрипкидс», пользуется чужими
наработками, вредоносными программами, движущий мотив – испытать себя,
«хулиганство», занимается «взломами»
сайтов, созданием и модификацией виру-
6
– С какими чаще всего вы встречаетесь
в ходе расследования следственными ситуациями?
– Основная задача – установить место установки оконечного оборудования, использующегося для совершения преступления. Поэтому практически по любому делу возникает
необходимость запрашивать информацию
у провайдеров, хостинг-компаний, производить выемки контента ресурсов глобальной
сети «Интернет», осматривать изъятое в ходе
обысков оборудование. В ряде случаев необходимо проведение судебной компьютерной
экспертизы. Наиболее вероятны ситуации,
когда необходимо выполнить операции по
закреплению добытой информации в виде,
исключающем ее утрату, а также удобном
для дальнейшего исследования, проведения
аналитической работы.
– А какие проблемы возникают?
– Достаточно много случаев, когда на
проведение обыска или выемки необходимо получить судебное решение, на что
требуется время, а время – самый важный фактор для успешного обнаружения и закрепления информации, так как,
например, различные логии (протоколы
сетевых соединений и др.) хранятся ограниченное время, после чего автоматически уничтожаются…. Упущено время – и
практически невозможно найти архивную
копию контента сайта («бэкап») до «взлома» ресурса.
Еще практический пример: место нахождения компьютера установлено, он изъят
и осмотрен, получена интересующая следствие информация, но вот поиск ответа на
ключевой вопрос: «Кто именно находился
за компьютером в момент совершения преступления?» – всегда очень сложен.
Проблемы возникают и с материальным
обеспечением (лично я использую свое
оборудование и носители информации в
служебных целях, периодически оплачиваю
доступ к глобальной сети «Интернет»).
Много вопросов и в правоприменительной практике, некоторые проблемы являются дискуссионными и пробельными с точки
зрения Закона. Например, суд разрешает
контроль переговоров только по делам о
тяжких и особо тяжких преступлениях, к
которым не относятся, скажем, преступления, предусмотренные ч. 1 ст. 272 или ч. 1
ст. 165 УК РФ.
Некоторые следственные и процессуальные действия очень специфичны, например
осмотр ресурсов глобальной сети «Интернет», поисковые мероприятия в сети, закрепление в твердых копиях электронной
информации.
– Расскажите о делах, которые наиболее
запомнились.
– Мною было раскрыто и расследовано
следующее уголовное дело. 19-летний житель города Колпино скачал из глобальной
сети «Интернет» комплект вредоносных
программ, затем организовал их работу
следующим образом: на бесплатном почтовом ящике, где предоставляется небольшой
объем дискового пространства (FTP), разместил вредоносную программу, позволяющую собирать сведения о логине и пароле,
использующихся для получения доступа к
сети «Интернет» посредством модемного
соединения, затем на своем компьютере
запускал еще одну вредоносную программу, которая перебирает диапазон адресов,
используемых лицами, подключенными к
сети «Интернет» через различных провайдеров города, затем пытается найти уязвимость операционной системы и в случае
успеха инициирует исполнение размещенной на FTP программы, которая после сбора
информации и пересылки ее на FTP самоудаляется.
Таким образом он получил более 80 аккаунтов, в частности аккаунт, принадлежащий Прокуратуре Ленинградской области,
и использовал его самостоятельно, а также передал своим знакомым. В результате
чего данной организации причинен ущерб
на несколько тысяч рублей, а также это
привело к неоднократному блокированию
доступа к сети «Интернет» законного пользователя. Одновременно было установлено, что один из сотрудников прокуратуры
также пользовался данным аккаунтом в
личных целях, в связи с чем было выделено уголовное дело.
Расскажу еще об одном деле. Сотрудник одной организации, занимающейся в
Санкт-Петербурге предоставлением услуг
на рынке мобильной связи – продажей мобильных телефонов, приемом платежей
абонентов сотовых операторов, – продавец
одной из торговых точек, который в силу
своих должностных обязанностей занимался
осуществлением приема платежей, скопировал со служебного компьютера уникальные
файлы – идентификаторы торговой точки,
использующиеся законным пользователем –
данной организацией для авторизации и
идентификации торговой точки во внешней
расчетно-платежной системе CyberPlat. Данная система позволяет проводить операции
по переводу платежей между компаниями,
осуществляющими прием платежей от абонентов и сотовыми операторами.
Затем данный сотрудник, используя доступ к глобальной сети «Интернет» из дома
и от своих знакомых и предъявляя незаконно скопированные файлы-идентификаторы
торговой точки, осуществлял в базе CyberPlat
ввод данных о несуществующих платежах,
якобы поступивших на лицевые счета абонентов сотовых операторов. Естественно,
среди этих абонентов были его знакомые и
родственники. Данные действия причинили
ущерб организации – владельцу торговой
точки и кроме того подпали под действия,
предусмотренные ст. 272 Уголовного кодекса, так как ввод данных, по сути, повлек
модификацию данных в базе транзакций
CyberPlat.
– А курьезные случаи были?
– Я рассматривал материал проверки и
установил, что на одном из игровых порталов
в глобальной сети «Интернет» в следствии
ошибки программных средств самого игрового сервера одному молодому человеку
удалось внести на внутриигровой счет для
своего персонажа в игре расчетные единицы
на сумму, эквивалентную 40 миллионам долларов США.
– Расскажите, с какими службами Вы
взаимодействуете в повседневной работе.
– Основное взаимодействие происходит
с 9 отделом УСТМ ГУВД СПб и ЛО (отделом
«К»), также с Бюро специальных технических мероприятий МВД РФ, подразделениями НЦБ Интерпола. Общаюсь с зарубежными коллегами.
Поскольку киберпреступность не знает национальных границ, то приходилось
исполнять международные поручения из
Германии, Англии, Нидерландов, Италии,
Испании, Азербайджана, Латвии. В ходе
исполнения международного поручения
принимали французскую делегацию и в течение недели вели совместную работу, обменивались опытом.
– Как вы видите перспективы данного
направления работы?
– Я разрабатываю концепцию электронного документооборота в практике
следственных органов, формирование дел
в электронной форме. К сожалению, до
реального воплощения моих идей пройдут
долгие годы, но я думаю, все равно это когда-нибудь произойдет. Ведь отличие мечты
от плана как раз и состоит в степени проработанности каждого реального шага в сторону исполнения мечты.
В течение последних 10 лет количество
компьютерных преступлений удваивается
ежегодно, все новые и новые технологии
входят в нашу повседневную жизнь, услуги
доступа в глобальную сеть «Интернет» и компьютерная техника стремительно дешевеют,
что, в конечном счете, приводит к увеличению потенциальных жертв и преступников в
сети «Интернет». Во многих районах города
нет подготовленных сотрудников следственного аппарата, нет наработанных методик, в
связи с чем я считаю, что необходимо создание отделения или отдела в СЧ ГСУ при ГУВД
СПб и ЛО для успешной борьбы с киберпреступностью.
Беседовал СЕРГЕЙ КРЯКВИН
№7–8, апрель–май 2007