— Да, верно. Но VPN-сервер имеет один известный многим недостаток: все переданное через сеть можно отследить с центрального узла, часто не зашифрованного и уязвимого для прослушивания. «Если ФБР или другое правительственное агентство захотят, они могут прийти в дата-центр, изменить настройки конфигурации VPN-сервера и записывать все логи наших действий», — написал на форуме один из участников ShadowCrew. «Никто не прикоснется к VPN без моего ведома», — успокоил форумчан Cumbajohnny. Чего не знали пользователи ShadowCrew, так это того, что девятью месяцами ранее нью-йоркская полиция задержала Альберта «Cumbajohnny» Гонсалеса возле банкомата при попытке снять деньги с чужой карточки. Агенты Secret Service допросили его и очень скоро вывели на чистую воду: двадцатиоднолетний сын кубинских эмигрантов снимал апартаменты за $700, имел $12 тыс. задолженности по кредитной карте и официально нигде не работал. В итоге Секретная служба склонила Альберта стать информатором. VPN-сервис был очень удачной выдумкой агентства. Оборудование было закуплено на деньги федералов, и они получили ордера на запись действий всех пользователей. Таким образом, VPN-сервис «только для кардеров» стал приглашением в ловушку. Самые серьезные фигуры ShadowCrew попали в сеть, раскинутую Секретной службой. Да еще и платили за это от $30 до 50 в месяц. За свою работу Гонсалес получал от правительства США $75 тыс. в год. С апреля 2003-го по октябрь 2004 года агенты Secret Service пристально наблюдали за активностью на ShadowCrew, собирая материалы для арестов. Правда, однажды операция чуть не сорвалась — хакер Ethics взломал сеть сотового оператора T-Mobile, украл служебные документы с КПК одного из агентов Секретной службы и выложил на сайте свидетельства, что за форумом следят. Но Гонсалесу, к тому времени возглавившему ShadowCrew, удалось свести все подозрения на нет. 26 октября 2004 года по всему миру были арестованы двадцать шесть наиболее активных участников кардерского сообщества, сам ShadowCrew прекратил существование, а информатор вернулся в родной Майами. Как тебе, а?
— В семье не без урода… А как выяснилось, что Максик был связан с Гонсалесом? Насколько мне известно, он работал с Джоннихеллом…
— Секретная служба проанализировала аккаунт Ястремского в платежной системе E-gold и увидела, что в период с февраля по май 2006 года Maksik перевел $410 750 на аккаунт Segvec. Федералы потянули за эту ниточку и вскоре выяснили, что поставщиком дампов для Максика был Альберт Гонсалес, он же Segvec. Кроме этого, при первой регистрации своего ICQ Альберт указал электронный адрес [email protected] Никнейм soupnazi был знаком федералам еще со времен первого ареста Альберта Гонсалеса.
— Вот протокол осмотра твоего компьютера, — Сушко снова залез в свой черный, казавшийся бездонным, кожаный портфель и извлек на свет тридцать два машинописных листа, скрепленных между собой.
Я бегло просмотрел документ: «Для обнаружения и фиксации следов преступления в ходе осмотра использовался служебный компьютер, на котором установлены: операционная система Linux, стандартный набор программ Linux, а также операционная система Microsoft Windows XP Professional SP2, стандартный пакет программ Microsoft Office XP, программа WriteBlocker, блокирующая внесение каких-либо изменений информации на подключаемых НЖМД (накопителях на жестких магнитных дисках); а также программно-аппаратный комплекс EnCase. Винчестер подключен к служебному компьютеру. С использованием программы WriteBlocker XP version 6.10 заблокирована возможность записи информации на подключаемые к служебному компьютеру машинные носители информации. Далее производился осмотр содержимого носителя с использованием аналитического программного комплекса I Look Investigator v 8.0.14.
— EnCase, FastBlock, WriteBlocker, I Look Investigator… При расследовании моих прошлых преступлений ничего из этого не фигурировало… — задумчиво произнес я.
— Вспомнил прошлогодний снег: то было в 2004-м, а сейчас уже, слава богу, — Сушко посмотрел на свои часы, — 2008-й. Вы начинаете все больше использовать компьютеры — нам требуются все более изощренные инструменты, чтобы вас поймать. Многие и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы…
— Ну для меня-то это не новость. Ладно, что это за программно-аппаратный комплекс EnCase?
— Эталон компьютерной экспертизы. Американская разработка. Компьютер с установленным программным обеспечением EnCase, которое очень успешно восстанавливает удаленные данные.
— А устройство FastBlock что такое?
— Процесс компьютерной экспертизы обычно разбит на три фазы: поиск улик, их анализ и отчет. Этап поиска улик подразумевает перенос данных с носителя (дискеты, флешки, жесткого диска) на компьютер эксперта. При этом необходимо гарантировать, что на оригинальный носитель запись произведена не будет. Потому как Windows, например, производит запись на любое устройство при его подключении.
FastBlock — аппаратное средство, которое блокирует внесение изменений информации на НЖМД — накопители на жестких магнитных дисках и позволяет безопасно перенести содержимое жесткого диска подозреваемого на компьютер эксперта. Дальше за дело принимается EnCase.
— ?..
— «Прога» работает практически с любыми видами носителей. Скажем, с флеш-карт для цифровых камер можно восстановить фотографии. Удаленные письма EnCase тоже восстанавливает.
— Все это можно делать и бесплатными утилитами, например Knoppix-STD и Penguin Sleuth Kit…
— Все так, но в случаях использования EnCase на кону часто стоят миллионы или даже миллиарды долларов. Поэтому ее цена в несколько тысяч долларов оправданна. Американцы, помимо EnCase, также Forensic Toolkit (FTK) используют.
— Есть ли способ обойти EnCase?
— Если не считать физического уничтожения всех жестких дисков, CD, флешек и дискет, то способов очень немного. Обрати внимание, что я имею в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костер может быть недостаточно. Во многих случаях придется превратить носитель в пепел.
Иногда злоумышленники — и непосредственно ты — пытаются затруднить экспертизу, изменяя расширения файлов. Если переименовать файл, допустим, passport.jpg в test.txt, то Windows откроет в Блокноте бессмысленный текст. EnCase же позволяет определить принадлежность файла определенной программе. Сокрытие информации внутри картинок или музыки EnCase также обнаружит.
— ?..
— Существуют тысячи способов включить сообщение, звук или изображение в другой файл. Это называется стеганографией. Многие хакеры уверены, что если спрятать секретные сведения в. avi или. wav-файлы, их не найдет и сам Господь. Однако мало кто знает, что используемые в большинстве случаев алгоритмы стеганографии давно устарели и вероятность обнаружения ваших личных, глубоко припрятанных данных близка к 100 %.
