Юрий Губанов
Основатель и владелец компании Belkasoft
Выпускник Санкт-Петербургского государственного университета,
математико-механического факультета, кафедры системного программирования.
Организовал компанию Belkasoft ещё в 2002-м году, будучи аспирантом
университета. Эксперт по цифровой криминалистике, частый докладчик на
известных индустриальных конференциях, таких как EuroForensics, CEIC,
TechoForensics, Department of Defense CyberCrime, China Forensic
Conference и т.д. Автор проекта f-interviews.com. Старший преподаватель
СПбГУ."
На вопросы Anti-Malware.ru любезно согласился ответить Юрий Губанов, основатель и владелец компании Belkasoft, специализирующейся в области компьютерной криминалистики. Это интервью продолжает цикл публикаций "Индустрия в лицах".
Как появилась идея создать систему для расследования инцидентов в сфере информационной безопасности? С чего все начиналось и как было принято решение о создании компании?
Прозвучит, возможно, смешно, но идея пришла постепенно. По образованию я – математик-программист, закончил матмех СПбГУ, кафедру системного программирования, и ни одного курса по информационной безопасности не проходил, что уж даже говорить о компьютерной криминалистике. После аспирантуры, работая тогда программистом в одной уважаемой петербургской IT-компании, я начал искать способы зарабатывать больше, чем будучи наёмным работником. Начиналось всё с shareware, слова "стартап" тогда никто не употреблял. Вместе с несколькими единомышленниками мы стали придумывать идеи и их программировать по ночам.
В какой-то момент, разочарованные несколькими подряд неудачами (одна из них стоила нам почти трёх лет работы), мои коллеги "отвалились", и я остался один. Ну и тут, как водится, началось самое интересное. Один из мелких продуктов, сначала разрабатывавшийся как к плагин к "не пошедшей" системе, а потом оформленный в отдельный софт, стал активно продаваться. Стоил он всего 10 долларов, поэтому особых денег не принёс, но принёс понимание, что есть люди со словами типа "police" или "bundeskriminalamt" в почтовых адресах, которые почему-то сильно моим продуктом интересуются.
Я стал развивать это направление, знакомиться с требованиями рынка, расширять функциональность, выучил слово "forensic", доселе мне неизвестное... ну и стал поднимать цену. Поняв, что есть перспективы, бил в одну точку и от неё уже не отстал.
Ну, а юридически компания была образована ещё спустя некоторое время, когда я понял, что мне пора увольняться с наёмной работы. Решение было непростым, ведь я не бизнесмен и никогда не кормил себя сам. Но глаза боятся, а руки делают, теперь моя компания обеспечивает не только себя, но и моих сотрудников.
Какие продукты разрабатывает и продаёт компания Belkasoft?
Продукты для компьютерной криминалистической экспертизы.
Некоторое время назад у нас было около 20 разных продуктов, но мы сократили их до одного – Belkasoft Evidence Center, выкинув непрофильные продукты и объединив профильные. Это сделано по двум причинам: для большего фокуса на нужды наших основных заказчиков и для лёгкости сопровождения. Один продукт, который можно гибко конфигурировать, куда лучше, чем три продукта с фиксированной функциональностью.
В этом смысле можно сказать, что Evidence Center – это линейка продуктов, которая помогает цифровым криминалистам исследовать компьютерные носители и искать на них активность, могущую содержать улики, доказывающие чью-либо виновность или невиновность.
Каковпринципработы Belkasoft Evidence Center? Как осуществляется процесс расследования и какие доказательства можно собрать с помощью решения?
EvidenceCenter облегчает процесс расследования, убыстряя его и автоматизируя действия, которые требуют слишком высокой компетенции и слишком много времени, если их выполнять вручную. Продукт умеет искать различные истории действий пользователя – чаты, посещённые сайты, письма, активность в социальных сетях, P2P программах или разговоры в онлайн-играх. Поиск можно производить на жёстком диске или прочих типах носителей (флешки, CD и т.п.), а также на специфических для этого рынка источниках: образах, создаваемых, например, популярным продуктом Encase, дампах оперативной памяти, файлах подкачки и гибернации, перехваченному сетевому трафику и так далее.
Расследование, в зависимости от страны, важности и прочих факторов, проходит разными способами. Например, после санкции суда у некоторого негодяя конфискуют компьютер. Из него извлекают жёсткий диск и, вставив в устройство для аппаратной защиты от записи (чтобы ни один бит не мог быть подделан или изменён по неосторожности), подключают к компьютеру исследователя. Далее этот диск "виден" как обычный, с той лишь разницей, что все попытки записи на него окончатся неудачей. Исследователь пытается найти любые интересные данные с помощью арсенала средств, который у него есть. В основном, конечно, интерес представляют документы и почта, в некоторых случаях – картинки и видео, в некоторых – история браузеров. Долгое время не очень большое внимание уделялось чатам, так что со своим продуктом я случайно попал в незанятую нишу.
Есть другой тип расследования, который называется triage. Это вообще-то медицинский термин, который переводится примерно как "медицинская сортировка", когда на месте чрезвычайного происшествия бригада медиков определяет, кому нужна срочная помощь, а кто со своей царапиной может и подождать. Понятно, что в таких условиях крайне важно провести такую сортировку очень быстро, ведь иначе пострадавшие с тяжёлыми травмами могут не дождаться помощи. Поэтому у медиков есть свои правила, как это делать.
Криминалисты позаимствовали этот термин, и называют им сортировку данных или источников данных по важности. Например, есть 20 компьютеров, на которых могут найтись улики, и дефицит времени, потому что подозреваемый либо уже ждёт самолёт на Африку или же истекает срок его задержания, и надо предъявить обвинение. Полный традиционный анализ этих компьютеров может занять не одну неделю, а если учитывать перегруженность экспертов (у которых "лаг" иногда составляет до года!!), то и месяцы. Поэтому надо суметь определить те компьютеры и те данные, которые могут быть важны для расследования. Зачастую эти компьютеры даже не конфискуются, а прямо на месте изучаются с помощью triage-продуктов, которые быстро сканируют носители информации компьютеров на предмет подозрительной активности. Конечно, при таком анализе можно что-то упустить, но в условиях отсутствия времени с этим приходится смириться.
Какие доказательства можно найти? Да любые. Письмо, которое послано человеку, с которым ты будто бы не знаком. Онлайн-чат в MMORPG с признанием в преступлении (см., например, http://www.ingame.msnbc.msn.com/technology/ingame/world-warcraft-chats-tell-murderers-tale-119227). Удалённые файлы с запрещёнными законом изображениями, которые будто бы не были скачаны. Любое действие с компьютером оставляет те или иные следы, и их зачастую можно обнаружить.
Утечки какой информации можно расследовать с помощью Belkasoft Evidence Center: текстовой, графической, мультимедиа?
Мы позволяем искать все упомянутые типы информации, но не совсем корректно говорить об утечках. Основной наш сценарий использования, всё-таки, криминалистическое расследование, когда надо найти информацию о действиях преступника, тогда как утечка – это что-то из области разглашения коммерческого корпоративного секрета (что зачастую не является преступлением). Впрочем, у нас есть и такие заказчики, они обычно нанимают компании типа PricewaterhouseCoopers, Ernst&Young, Deloitte, которые уже и покупают наш софт, чтобы решить проблему расследования утечек конечного заказчика.
Утечки по каким каналам позволяет расследовать Belkasoft Evidence Center? Электронная почта, IM-клиенты, форумы, социальные сети, съемные накопители, принтеры? Как именно осуществляется отбор данных, которые могут заинтересовать следователя? Здесь используются технологии, схожие с инструментами DLP-систем?
Сфера компьютерных криминалистических расследований отличается от DLP, ведь, как правило, расследование проводится уже после того, как произошло правонарушение, и зачастую есть чётко очерченный круг носителей информации, которые надо исследовать. Однако что-то схожее есть. Например, если вспомнить про triage, о котором я уже говорил, то в условиях, когда нужен крайне быстрый результат, могут использоваться эвристики для вычленения потенциально интересных данных, например, сравнение хеш-значений найденного фото- и видео-контента с базой нелегальных фото и видео. Ещё более простой пример – немедленное уведомление эксперта о "стоп-слове" из некоего списка подозрительных слов при извлечении чатов или почты, что помогает эксперту обнаружить наличие подозрительного разговора ещё до окончания полного анализа.
Может ли помочь BelkasoftEvidenceCenter, если злоумышленник попытался "замести следы" – удалил историю переписки и компрометирующие его файлы?
Да, мы используем несколько видов анализа, такие, как, к примеру, "карвинг" (побайтовый анализ носителя информации), а также анализ системных файлов (гибернации, файл подкачки), анализ оперативной памяти. Довольно сложно надёжно удалить информацию отовсюду, для этого надо быть очень квалифицированным специалистом. Даже если некто удалил информацию с помощью специальных программ, которые надёжно затирают её поверх мусорными данными, зачастую уже один факт использования таких программ (который можно определить с помощью статистических методов) говорит о многом.
Ещё один пример: когда ещё был жив интернет-пейджер Google Hello, его часто использовали любители детской порнографии, пересылая через него изображения, что было встроенной функцией этой программы. Сами изображения преступники зачастую удаляли, не зная о том, что формат истории Hello позволял хранение уменьшённой копии изображения, с помощью которой можно было доказать пересылку нелегального контента.
Наконец, что, если правоохранители столкнулись с действительно высоким профессионалом, то что называется skilled offender? Почитайте безумно интересное интервью Чарльза Кохена из полиции Индианаполиса, специалиста по преступлениям в... виртуальных мирах! Я взял это интервью для своего проекта f-interviews, в котором опрашиваю ключевых специалистов в области цифровой криминалистики. Вот это интервью: http://f-interviews.com/2012/01/25/interview-with-charles-cohen/. В нём я задаю Чарльзу ровно тот же вопрос, и Чарльз отвечает, что злоумышленник не может быть искусен во всех вопросах. Если он гений в компьютерах, значит, проколется на подручных или на разговорах по телефону. Конечно, неприятно, что нельзя вычислить его исключительно по цифровой информации, и что надо искать слабое звено, но тут уж никуда не деться.
Приведите, пожалуйста, 1-2 реальных примера (не называя конкретные компании), в которых BelkasoftEvidenceCenter помог не только расследовать утечку конфиденциальной информации, но и собрать необходимую доказательную базу.
Случаев расследования именно утечек я знаю не так много, в связи с нашей спецификой. Кроме того, мало кто признаётся, что расследует именно утечку, ведь это что-то, что обычно до последнего скрывают. У нас был случай, когда наши заказчики в день после увольнения одного из сотрудников должны были срочно определить, не передавал ли он по Skype конфиденциальные данные. Сотрудник перед уходом всё тщательно почистил... точнее, всё, что знал. А знал он не все те места, которые используются Skype, так что через пару часов наши заказчики уже знали всё, что им нужно. Особенностью этой истории было то, что она происходила в другой временной зоне, когда у нас была глубокая ночь, поэтому пришлось бодрствовать, чтобы оказать нужную поддержку заказчикам.
Раз уж надо два примера и раз уж вспомнились ночные бдения, расскажу другую историю. Случилась она на заре моих занятий компьютерными расследованиями, когда я ещё работал на наёмной работе. Дочитывая почту перед тем, как лечь спать, я получил письмо в таком духе: мы, полиция Канады, расследуем убийство первой степени (first degree murder, есть такое понятие за океаном) и нам срочно надо прочитать историю Yahoo Messenger. Но вот что-то ваша программа сбоит в таком-то случае.
Представьте себе реакцию на такое программиста-ботаника, который никогда не имел никакого отношения к силовым структурам и напрочь лишён какого бы то ни было героизма. Убийство! И моя программа не даёт его раскрыть! Конечно, такое письмо кидало в дрожь и взывало к немедленному действию. И вместо того, чтобы спать, я всю ночь переписывался с заказчиком, выяснял детали, отлаживал продукт и к 9 утра выдал ему версию, с помощью которой он успешно собрал доказательства и довёл дело до приговора.
А в 10 утра мне уже надо было вставать, чтобы идти на свою обычную работу.
Очертите, хотя бы примерно, круг потенциальных потребителей BelkasoftEvidenceCenter. Ведь это продукт не массовый, каждой компании он не нужен.
Продукт действительно не массовый. Основной наш пользователь – криминалист, исследующий компьютеры и компьютерные носители информации в различных уголовных делах. Используют его также военные для целей внутренней безопасности. Наконец, бизнес-заказчики расследуют с его помощью утечки информации (постфактум, в отличие от DLP, если я правильно понимаю этот термин).
Есть ещё такой аспект – родительский контроль, когда родители хотят убедиться, что их дитя не подвергается опасности, бродя по интернету. Но таких пользователей у нас немного, вероятно, существуют более специализированные программы для таких целей.
Есть ли Belkasoft Evidence Center конкуренты или данное решение является уникальным? В России подобные системы, насколько я знаю, никто не продает. Или в нашей стране, в отличие от зарубежных стран, подобные системы вообще не пользуются спросом?
Конкуренты есть, но мы пока впереди планеты всей по количеству поддерживаемых артефактов, связанных с интернет-расследованиями. Вообще, в этой области довольно много компаний, хотя рынок и кажется небольшим из общих соображений. Что касается России, то у нас есть ещё три компании, которые продвигают свои продукты на рынке computer forensics. Всё три – московские: Elcomsoft (помните дело про Adobe PDF?) и Passware занимаются восстановлением паролей и расшифровкой данных, а Oxygen Software – исследованиями мобильных устройств. Ни с одной из них мы, по счастью, не конкурируем, так что являемся хорошими друзьями.
Говоря о рынке России, надо сказать, что он пока невелик. Видимо, есть альтернативные способы добычи доказательств. Шучу. Последние года полтора-два российский рынок тоже растёт. Видимо, соответствующие службы осознали, что без использования такого богатого источника информации, как компьютеры, в наше время никуда.
Могут ли использоваться собранные с помощью Belkasoft Evidence Center данные в судебных разбирательствах за рубежом и в нашей стране? Существует ли соответствующая законодательная база, позволяющая использовать эти данные в качестве доказательств? (№ 11)
Все очень сильно зависит от законодательства. Я не большой специалист по тому, что можно, а что нельзя использовать в суде, и, насколько я знаю, в нашей стране это вообще очень слабо проработано. А доказательства, по слухам, принимаются чуть ли не с компьютера, которым через две недели после ареста подозреваемого пользовался полицейский. В Америке такое использование компьютера означало бы – всё, ни единой улики с этого компьютера в суде принято не будет. А у нас – вполне. Впрочем, повторюсь, по слухам.
Основное требование к данным, собранным с помощью любого ПО, для предъявления в суде – это возможность эксперту чётко объяснить, как он пользовался этим ПО, как он защитил данные от изменений, однозначно ли можно интерпретировать данные и, наконец, воспроизводимы ли результаты исследования. Часто для последнего пункта исследователь имеет две программы от разных производителей, чтобы сравнить их выход. Одинаковый выход подтверждает его правоту.
Недавно в штатах прогремел случай, когда у женщины, обвиняемой в убийстве своего ребёнка, нашли в истории браузера около 90 поисковых запросов "хлороформ". 90 раз – не шутка, и это могло послужить основанием для смертного приговора. Однако ПО, которым пользовался эксперт, сработало в этом случае неверно. На деле женщина искала это слово всего лишь единожды, и у неё нашлось правдоподобное объяснение (искала "хлорофилл", поисковик подсказал "хлороформ"). Вот вам и вопрос, можно ли использовать ПО в судебных разбирательствах и как ему доверять. Cross-check совершенно необходим! Если вам любопытны детали – поищите "Casey Anthony", в Google найдётся немало статей, даже в Wikipedia этот случай попал. Особо впечатлительным сразу скажу: она была оправдана.
В чём специфика ваших заказчиков?
На этот вопрос можно отвечать долго. Наша область вообще очень занимательная. К примеру, на одной из больших полицейских выставок в Германии мы очутились прямо посреди игры в солдатики. Мы стояли на стенде, рассказывая про наше ПО, а вокруг, на соседних стендах, лежали пистолеты, автоматы и даже гранатомёты, где-то через 100 метров показывали процедуру разминирования, в дальнем углу стояли устрашающие, нависающие над тобой машины полицейского подавления. Всё это можно было потрогать, в машины можно было залезть, кое-где даже пострелять, а вокруг этого великолепия ходили высокие бритые брутальные немецкие мужчины в форме, иногда со служебными собаками. Впрочем, это были не наши заказчики, наши заказчики – скорее мужчины возраста после 40 и в очках.
Одного из таких экспертов в очках я встретил на одной из конференций в США. Мы "зацепились языками" после моей лекции, и он стал рассказывать про свою работу: как много приходится учиться, чтобы быть в курсе всех последних достижений и методов, как иногда изобретательны разные негодяи. Я посочувствовал ему, предположив, что, наверное, ему психологически очень непросто выступать в суде против этих негодяев, бояться за то, что ему отомстят, да и просто чисто по-человечески, это должен быть невероятный стресс. Когда я это сказал, мой собеседник преобразился, в его глазах заиграли огоньки, он даже выше стал, что ли. И он сказал неожиданную для меня вещь: "Я обожаю это! Я получаю удовольствие от борьбы в суде! Мне приятно видеть, как мои аргументы уничтожают преступника!" Я не ручаюсь за точность слов, но меня, неконфликтного мирного программиста, поразило то, что кому-то может нравиться такая ужасно стрессовая деятельность, как у моего собеседника. Это действительно люди с особым складом ума и с особым характером.
А теперь представьте, как они могут с вами разговаривать, если найдут ошибки в вашем ПО...
Расскажите какую-нибудь смешную историю, связанную с вашей деятельностью?
Я собираю разные смешные поисковые запросы, по которым посетители заходят на наш сайт. Вот, к примеру, такие (с сохранением орфографии):
site:belkasoft.com belkasoft (блестящий запрос, я считаю!)
what words rhyme with cops that have to do with sweets and candy
Why using wikepia or google are not good for forensic investigation
tell a story where you can use word forensic
И мой любимый: how to propose for marriage thru messanger
Спасибо за интервью и с пожеланиями успехов в разработке и бизнесе!