Интервью у специалиста по кибербезопасности

Я думаю, что многим было бы интересно узнать как работают специалисты по кибербезопасности, как вычисляют мошенников и наркодилеров в сети. Специально для вас я делюсь этим интервью.

Как ты попал туда?

Помог хороший знакомый в полиции, предложил устроиться к ним в отдел по кибербезопасности. После университета выбора у меня не было и я согласился. 

Что ты делал в самом начале?

В компьютерах я разбираюсь хорошо, поэтому посадили меня составлять запросы провайдерам, хостерам и подобным организациям. На самом деле это пустая формальность, бумажка требуется в качестве доказательства. Пробить IP адрес можно было и без официального запроса, например ростелеком выдавал информацию о владельце по одному телефонному звонку, естественно официально такой процедуры нет, но есть договорённость.

Как происходил сбор доказательств?

Собирал доказательства я одной кнопкой prtscr, отправлял их на подпись с печатью и подшивал в папочку. В большинстве случаев я просто делал скриншоты сайтов с детской порнографией и экстремистскими материалами, но бывали задачи и посложнее, такие как чтение переписки и просмотр видео или фото, но об этом чуть позже. Как только насобирал достаточно доказательств - отправлял запрос провайдеру, провайдер отвечал очень быстро и давал бумагу с данными о владельце IP адреса, а именно ФИО, адресом, паспортными данными и MAC адресом устройства.

Как вы искали преступников?

Преступники бывают разные, экстремистов ищут в одном месте, педофилов в другом, мошенников в третьем. Самые глупые - педофилы, которые распространяли диск с детской порнографией в программах DC++ (раньше были очень популярны), одним этим действием они вешали на себя 242 статью (распространение). К слову сказать, вычислять таких было делом техники, часто рядом на диске я находил личные фотографии по которым можно было с уверенностью сказать, что человек без лица с ЦП видео или фото тот же самый, что и на обычном фото, бывало и документы лежали. Если ничего нет - искал файлы с паролями от популярных браузеров (при условие что расшарен диск с браузером), зачастую там были аккаунты владельца компьютера и это тоже шло в доказательную базу.

Как происходило задержание преступников?

Всё начинается рано утром, обычно в 6 утра. В начале возле дома преступника паркуется грузовой микроавтобус (как автолайн или маршрутка) с группой захвата. Затем подкатывает машина с оперативниками и все очень тихо поднимаются на этаж. Автомобили тем временем отъезжают на соседнюю улицу. Жильцов квартиры просят открыть дверь под любым предлогом: пожар, соседи с низу, газовая служба. Если повезло и дверь открыли - вламывается группа захвата, укладывает всех на пол, проверяет что бы всё было "чисто" и только после этого заходят оперативники.

Что насчёт сбора улик?

Описывают всю технику, самое важное: устройство с MAC адресом который засветился у провайдера, обычно это роутер. Так же изымают компьютер или ноутбук. Если владелец выдержал все попытки узнать пароль - компьютер отправляют на экспертизу. 

Как происходит экспертиза?

Вы думаете эксперты будут подбирать пароль? Нет. Они вытаскивают хард, подключают его к своему компьютеру и тупо смотрят файлы. Если на HDD найден криптоконтейнер - его никто не будет расшифровывать, у них нет суперкомпьютеров под это дело.

На этом интервью подошло к концу. Надеюсь, что вам понравилось и данная информация была полезной.СТ