— Что нас может спасти от ревизии? — Простите, не нас, а Вас! — От ревизии нас может спасти только кража. — Со взломом, или без? — Ну, естественно, со взломом! — Статья 89, пункт 2. До шести лет. Не пойдёт. — Так ведь кражи не будет. — Всё уже украдено до нас. |
Обратился ко мне потенциальный клиент. И стал он осторожно выяснять, не смогу ли я провести расследование компьютерного инцидента. Конечно, смогу. А к чему все эти намёки и недосказанности? Дело в том, что расследование требуется... не совсем обычное...
В ходе последующей беседы медленно, натужно, но уверенно проявляется презабавная ситуация из фильма «Операция "Ы"». А именно: всё уже украдено до нас, требуются лишь явные следы компьютерного взлома, подтверждаемые заключением специалиста. А то людям надо за убытки отчитываться то ли перед кредитором, то ли перед акционерами, а истинную причину называть не хочется. Пусть это будет хакер, который нас взломал. Других же взламывают, а мы чем хуже?
Отказавшись от предложенной аферы, ваш покорный слуга задумался. Соорудить фиктивные следы взлома – задача, в принципе, разрешимая. А когда есть гарантия, что повторной экспертизы/аудита не будет – то и вовсе лёгкая. Можно даже и не сооружать ничего, а просто написать фиктивный акт исследования.
Такое на моей памяти было. В 2004 году по одному хакерскому делу защита заподозрила, что эксперт нагнал пурги в своём заключении, очень уж много там было внутренних противоречий. Я как специалист это подтвердил. На удивление легко защита добилась от судьи назначения повторной экспертизы жёсткого диска, который хранился опечатанным при уголовном деле. Очень быстро стало ясно, откуда такая лёгкость. Хранившийся диск оказался непригоден к использованию: кто-то, не нарушая упаковки, потыкал гвоздиком сквозь отверстие для выравнивания давления на корпусе НЖМД. И – привет вещдокам! Акт экспертизы остался единственным доказательством. Человек сел.
Мне представляется, что при любом компьютерном расследовании надо сохранять криминалистическую копию изучаемых данных. Не просто желательно , а необходимо. Отсутствие такой копии должно быть основанием для признания экспертизы несостоятельной.
