Showing posts with label Group-IB. Show all posts
Showing posts with label Group-IB. Show all posts

Wednesday, September 29, 2021

Основатель Group-IB арестован в Москве по подозрению в госизмене

Основателя и генерального директора Group-IB Илью Сачкова арестовали на два месяца по подозрению в госизмене, сообщает «Коммерсант» со ссылкой на пресс-службу Лефортовского суда Москвы. По статье о госизмене господину Сачкову грозит до 20 лет тюрьмы. 

www.group-ib.ru

Group-IB создает программное обеспечение по информбезопасности, сотрудничает с правоохранительными органами в расследовании киберинцидентов, а также оказывает услуги по защите авторских прав в интернете. Решениями Group-IB пользуются крупные российские банки и компании (Сбербанк, Альфа-банк, «МегаФон», «Ростех»). Имеет клиентов, по собственным данным, в более чем 60 странах мира, включая Сингапур, Нидерланды, ОАЭ.

В 2018 году Group-IB открыла представительство в Беларуси. Его возглавил экс-начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета РБ Александр Сушко. 

В компании тогда прогнозировали, что количество киберпреступлений в Республике Беларусь будет увеличиваться, ключевую роль в этом сыграют атаки на банковскую индустрию, а также на криптопроекты и ICO. Кроме мониторинга белорусского рынка информационной безопасности, представительство в Беларуси планировало искать перспективные направления для развития, в том числе за счёт инвестиций, открывать каналы продаж продуктов и услуг компании.

Весной 2020 года ОАЦ сертифицировал продукт Group-IB — систему раннего предупреждения киберугроз Threat Detection System. 

Насколько активно компания работает в Беларуси сейчас, не очень понятно.

В отношении Сачкова избрана мера пресечения в виде заключения под стражу сроком на один месяц 30 суток.

Ранее о задержании Ильи Сачкова сообщали СМИ со ссылкой на источники. Помимо него на связь не выходил и другой совладелец Group-IB, технический директор Дмитрий Волков. В офисе компании в ночь на 29 сентября прошел обыск.

Позже Group-IB опубликовала пресс-релиз, в котором выразила уверенность в невиновности Ильи Сачкова.

«Сотрудники уверены в невиновности своего руководителя и его честной деловой репутации», — пишет компания. Также она сообщает, что руководство на ближайшее время возьмёт на себя Дмитрий Волков.

Ещё пресс-служба Group-IB отмечает, что обслуживание всех клиентов продолжается в штатном режиме, над прояснением ситуации с обыском работают юристы и топ-менеджмент.

https://dev.by/news/founder-group-ib-arrested

Saturday, March 16, 2019

«Group-IB» от Андрея Герасимова

«Group-IB» от Андрея Герасимова

Рассказываем, как ФСБ достаёт информацию беларуских гос. и частных структур



В небольшой матчасти (https://t.me/diableboiteux/193) мы уже поясняли, что информационная безопасность — это не только борьба за умы. Это ещё и сохранность big data — данных служб, ведомств, а также гражданских банков, сотовых операторов, магазинов, провайдеров в тд., всё это описывается в КИБ РБ.
Какая в них ценность? Ну смотря для кого. На уровне опера это работает так:
Вот ваша жена, например, не знает, что в том месяце вы закупались в "Царском золоте" дамскими украшениями и проговорили с абонентом +375 29 (*** ** **) четыре часа короткими перезвонами. Номер, кстати, зарегистрирован на Анастасию Любовскую 2001 года рождения, которая дважды заказывала пиццу на адрес офисного здания напротив вашей работы. Хммм... История транзакций карты расскажет, что после одного такого звонка вы здорово потратились в развлекательном центре крупной сети и, наверняка, видео с камер наблюдения за этот день ещё лежат на серваках. Короче, мы вас не пугаем, и жизнь вам ломать не хотим, а просто просим услугу за молчание — расскажите нам, а что там с [интересуемым]?
Информация данных хоть и не позволяет манипулировать стадом, но в умелых руках есть лярд способов использовать её как угодно во вред. Пример логики опера примитивно-приземлённый и доступен пониманию большинства, на самом деле всё сложней и идёт гораздо дальше бытовых спецслужбистских компроматов.
Короче, как украсть big data, если вам очень надо (может и не очень, но лучше, чтобы было)?
Самый популярный вариант предлагает нам хакнуть систему. Но хак привлекает внимание, оставляет следы, и вообще — это преступление, тебя найдут и накажут.
Но можно ли так хакнуть систему, чтобы жертва ещё заплатила бабки и осталась довольна, нихуя не поняв? В ФСБ вот такую схему придумали.
Но начнём с предыстории.
Был в Беларуси один такой расследователь преступлений в сфере высоких технологий, начальник отдела СК Александр Сушко.
следователь преступлений в сфере высоких технологий, начальник отдела СК Александр Сушко

Хотя там и хватает интересного, но в детали службы углубляться не будем, сократим для нужной в контексте сути — из органов его ушли. Адвокаты многих подследственных, кстати, не раз высказывали подозрения, что доказательная база выглядит поддельной, но ведь кто тут у нас понимает в неясных терминах VPS, DNS, IP etc? Ну да ладно.
Через некоторое время после его ухода из органов в Минске под него открылся филиал российской фирмы Group-IB, где Сушко стал руководителем.
Group-IB это контора-дублёр "Лаборатории Касперского", которая в значительной ступени состоит из работников силовых ведомств, имеет допуск к гос. секретам РФ, её работники принимают участие в задержаниях вместе с ФСБ, и всё в таком духе. Как и "Касперский", Group-IB курируется Центром информационной безопасности ФСБ.
... не только от него :) Слева — начальник Group-IB.
В России эта кибер-дочка ФСБ занимается реальным расследованием преступлений и тд., имеет лицензию на свою деятельность от упомянутого ведомства...

И регулярно пробует объяснить логику наличия чекистов в штате.

Словом, тут понятно: чуваки работают на благо своей Родины, называясь коммерческой фирмой, всё как всегда. В Америке тоже так.
Но чем интерес конторы в Беларуси?
А вот тут очень занимательно: они предлагают гос. и частным организациям проверить их цифровую безопасность за очень привлекательную цену, с милостью альтруиста не жалея скидок. Клиентов выбирают потенциально интересных ФСБ: вроде банков и операторов. Какой механизм "проверки"? Это когда тебе дают легально хакнуть систему, чтобы увидеть в ней дыры.
Чиновники и управляющие доверяют Сушко в связи с его офицерским прошлым, поэтому он легко убеждает гос.структуры и банки заказывать проверку безопасности у Group-IB, уверяя их в самой важности такого подхода.
А вот что происходит с данными после санкционированного взлома заказчик знать не может никак и полагается только на честность проверяющих.
Есть ли там на что полагаться вы уже поняли. Да и в принципе, полагаться на честность ФСБшников — это не те категории, в которых нужно мыслить о информационной безопасности Беларуси, ведь правда?
Вот, например, в Центре информационной безопасности ФСБ напрямую говорят, что иностранным компаниям, да и некоторым своим тоже, в таком тонком деле они не доверяют. Более того, признаются, что, "при необходимости" запрашивают данные (!!!) только у проверенных контор, например — у Group-IB :)))))

Есть ли среди этих "данных по небходимости" беларуские вопрос риторический, адресованный тем, кто уже пустил спецслужбы чужой страны в свои системы, и тем, кто это проворонил.
Ну и, наверное, сейчас вы прочитаете этот текст и ломанётесь на сайт Group-IB, чтобы глянуть, а что это за контора.
Там вас встретит сайт, который сообщает, что всё по-международному серьёзно: Group-IB сотрудничает даже с Майкрософтом (!), Киви, куча ссылок на всякого рода рейтинги (самый поздний из которых составлен в 2015-м, за два года до того, как в мире раздуплили, что Касперский — это инструмент ФСБ, запретив его)
Объясняем: всё это пыль в глаза, а в условный Майкрософт их бы в жизни никто не пустил. По факту всё их сотрудничество с международными системами заключается в выбивании ковриков для мышек на аутсорсе, а конкретно: в отслеживании и блокировке сайтов с палёной виндой или фишинговых копий платёжных систем в России.
Да и как пустить к себе контору, которая прямо признаётся, что "защищает (российское) государство"?
Снова скриншот Медузы, которая всё сделала за нас.

Иронично, что на сайте упоминают только старые публикации Форбс, а про новые — где говорят про связи с ФСБ, забывают.
Скриншот Форбс.

Ну и в завершении портрета ещё один скрин с Медузы, который раскрывает нам руководство Group-IB.
Скриншот Медуза.
Получается, к Спутнику на конференции мы не ходим, но вот сливать инфу киберСпутнику — легко?)
Так же напоминаем всем читателям, что если вы осилили это до конца, следующий ваш шаг — удалить нах с компа Касперский, если он у вас вдруг установлен. Как он крадёт ваши данные в свою "лабораторию" под видом "вредных файлов" первой просекла израильская разведка, взломав самого Касперского. Важно это потому, что если IB-Group приходит за вашими данными как-бы не к вам, то эти — прямо в ваш комп. Структуры связаны.
P.S. Про профиты, извлекаемые упомянутым, наверное, может рассказать и он сам. Но если задумается, то мы подскажем — смотреть нужно в сторону Италии, в небольшой городок Ostia возле Рима ;)

https://telegra.ph/Rasskazyvaem-kak-FSB-dostayot-informaciyu-belaruskih-gos-i-chastnyh-struktur-03-16-3

Tuesday, August 21, 2018

Киберсыщик, возглавлявший управление СК по борьбе с хакерами, и бывшая сотрудница БелТА — об ответственности за пароли

Журналисты, задержанные по «делу БелТА», отпущены, но остаются в статусе подозреваемых. А в самом деле остаётся много вопросов — технических, правовых, этических. Часть из них dev.by задал Александру Сушко — руководителю минского офиса российской частной компании по расследованию киберпреступлений Group-IB.

На эту должность Александр Сушко заступил в прошлом году. До этого он возглавлял управление по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета, то есть знает эту кухню изнутри и имеет профессиональный взгляд на произошедшие события.

В 2017 году Международная ассоциация следователей по финансовым преступлениям назвала Александра Сушко лучшим представителем правоохранительных органов года.
«Если бы в Беларуси была уголовная ответственность юрлица, проблемы бы не возникло»

Александр, на вашей практике ст. 349 (Несанкционированный доступ к компьютерной информации. — Прим. dev.by) часто применялась? В отношении каких дел?

Применялась, и часто. Например, я попрошу у вас телефон. Вот, я его взял и пытаюсь включить: так, пароля нет. Это уже плохо с точки зрения информационной безопасности. Дальше я открываю учётную запись и фотографирую её. Потом мне становится интересно, с кем вы общаетесь в социальных сетях, я захожу в ваш аккаунт и вижу вашу переписку, ленту активности и т. д. В данном случае это — несанкционированный доступ к компьютерной информации, совершённый из личной заинтересованности. Или, например, я получаю доступ к банковскому счёту и смотрю, сколько у вас денег.

Сам факт несанкционированного доступа образует состав преступления с 2001 года, и за это время через суды прошли сотни людей. За доступ к электронной переписке, к аккаунтам в соцсетях, к административной части сайта. Последний кейс был в Витебске: парень получил доступ к кабинету статистики оператора связи и посмотрел, кому звонила его подруга, а после стал предъявлять ей претензии.

Несанкционированный доступ не влечёт таких вредных последствий, как блокирование информации, её уничтожение или изменение. Несанкционированный доступ — это, как правило, средство облегчения совершения иного преступления, но не более того.

По «делу БелТА» не вменяется в вину копирование новостей и их публикация, вменяется просто доступ к информации помимо установленного порядка.

Это преступление относится к категории не представляющих большой общественной опасности. Это самая слабая категория в Уголовном кодексе. Как правило, такие преступления не наказываются лишением свободы, обычно применяются штрафы.

Вы говорите о случаях, действительно имеющих личный характер. А в отношении информационных лент были ли дела?

В отношении информационных лент — нет.

Вы согласны с возбуждением уголовного дела в данном случае?

Я материалов дела не видел, но на основании той информации, что была обнародована, могу сказать: как правоприменитель с 15-летним опытом расследований в этой сфере я уголовное дело по заявлению БелТА возбудил бы. Потому что есть заявление информагентства и есть 15 тысяч доступов, которые совершались на протяжении нескольких лет с разных ip адресов.

Состав преступления есть: кто-то из личной заинтересованности просматривал запрещённую информацию. Запрещённую в том смысле, что она запрещена для просмотра в течение какого-то времени, до тех пор, пока она выходит в открытый доступ, либо запрещена для просмотра теми, кто не владеет паролем.

Но какая личная заинтересованность могла быть у журналистов, проходящих по «делу БелТА»? Новостные ленты журналисты читают в «служебных целях». Почему претензии к ним, а не к их работодателям?

У нас законодательство не предусматривает уголовную ответственность юрлица, хотя в некоторых странах она допускается. Будь у нас прописана эта ответственность, проблема была бы снята: установили, что доступ к ленте осуществлялся в интересах юрлица, организацию привлекли к ответственности — и всё на этом.

Но у нас этого нет, есть вина физлица. Поэтому в ходе следствия выясняются все обстоятельства, в том числе субъективная сторона дела.
«Мы 17 лет ждём разъяснения Пленума Верховного суда»

По-вашему, «дело БелТА» подходит под ч.2 ст. 349, и, несмотря на отсутствие взлома, это киберпреступление?

Здесь не было взлома, могу заявить ответственно, но взлом здесь и не вменяется. Взлом — это статьи 350-351.

Так об этом идёт речь и в ч.1 ст. 349.

Нет, там идёт речь о несанкционированном доступе к информации, хранящейся в компьютерной сети, сопровождающемся нарушением системы защиты. А что такое система защиты? Она может быть технической, когда постороннее лицо не допускается, а самая банальная система защиты — это система авторизации, то есть логин и пароль.

В случае с БелТА эта система и не нарушена.

В чём суть несанкционированного доступа? Без разрешения держателя. Порядок доступа установлен собственником информации: ты заключаешь договор, получаешь реквизиты и право доступа. Если в договоре прописано, что ты имеешь право передавать реквизиты другим лицам, всякая ответственность с тебя снимается. Если же написано, что реквизитами можешь пользоваться только ты либо организация, то в случае нарушения этого порядка возникает ответственность.

А чья ответственность? Третья сторона, которая каким-то образом получила эти реквизиты, вообще не имеет отношения к договору.

Сколько юристов, столько и мнений. Юридическая практика сильно отстаёт от технического развития. Ст. 349 появилась в 2001 году. Неужели за 17 лет ни у кого относительно неё не возникало вопросов? Возникали. Но только у тех, кто с нею сталкивался — следователей, прокуроров, судей, обвиняемых и адвокатов. До истории с журналистами большого публичного интереса к этой статье не было.

Чтобы единообразно толковать статьи в главе 31 УК РБ «Преступления против информационной безопасности», нужно разъяснение Пленума Верховного суда — о том, как применять эту главу.

За 17 лет существования главы разъяснение так и не появилось. Может быть, теперь появится.

На какие вопросы должен ответить Пленум?

В том числе на те, которые мы сейчас с вами обсуждаем. Лица, которые принимают окончательное решение, то есть судьи, должны более подробно описать обстоятельства по каждому квалифицирующему признаку преступления. Что такое личная заинтересованность? Что такое существенный вред? Что такое несанкционированный доступ?

Из доступной информации вы видите в случившемся вину журналистов?

В юридической науке выделяют объективную и субъективную стороны преступления. Действия, выраженные в получении доступа к ленте, были произведены, это объективная сторона. Субъективная сторона — это то, как человек понимает свои действия. Следствие должно выяснить, как человек получил пароль, что он делал в системе БелТА, как он оценивал свои действия.

Например, ему передали эти пароли. Тогда надо узнать, кто и каким образом передал. В этом и заключается расследование. Иногда люди начинают врать ради хорошей картинки, но до мельчайших подробностей всего не придумаешь.

В связи с появлением пояснений, новых обстоятельств уголовное дело в отношении конкретного человека может быть прекращено, и он из подозреваемого может превратиться в свободного человека. Либо дело прекращают в результате деятельного раскаяния. Также человека могут оправдать в суде.

Я могу честно сказать, что за свою практику прекратил больше десятка таких дел. Сначала кажется, что есть основания для привлечения лица к ответственности, а потом выясняется, что они отпадают.

Вводя реквизиты, человек может не догадываться о том, что что-то нарушает. Как защититься от подобных ситуаций?

Любой человек, перед тем, как совершать активные действия с информацией, должен задуматься о том, какие последствия это влечёт. Я не говорю, что те люди, которые использовали пароли БелТА, должны были думать, что совершают преступление. Я говорю просто о «задумчивости»: они должны понимать, что это за информация.
«Один след ведёт в редакцию, другой — к личному компьютеру»

Расскажите о технической стороне таких расследований. Если в договоре с БелТА нет ограничений по количеству ip, как отделяли ip подписчиков от ip сторонних людей? И как в редакциях, где десятки сотрудников, вычисляли нарушителей?

Следователь — этот тот, кто идёт по следу. Стали отслеживать ip адреса и установили, что этот ip выделялся такой-то редакции. Следующий шаг — установить, кто в этой редакции осуществлял доступ.

Как?

Если у вас есть реквизиты доступа, а вы не в офисе, как вы будете смотреть новости?

С личного компьютера?

Вот. Один след приводит в редакцию, а второй — к личному компьютеру сотрудника.

То есть сопоставляли списки сотрудников редакций и владельцев частных ip?

Да. Понять, кто осуществлял доступ — это вопрос техники и времени.

Сколько времени, например, человеко-часов, могла занять эта работа? Не встала ли колом работа всего киберотдела, пока вычисляли журналистов?

Сложно комментировать, не видя материалов дела. Отвлечение ресурсов было, но и по другим делам оно бывает.

«Вообще-то https принято использовать, но ограничений тут никто не ставит»

Давайте поговорим о доступности секретных реквизитов. Если доступ к ленте БелТА совершался годами, можно предположить, что пароли не менялись. Как вы думаете, почему?

В 80% наших организаций отсутствует политика информационной безопасности, поэтому так и происходит. В политике прописывается, что директор контролирует процессы, связанные с информатизацией, назначает лицо, которое следит за сетевой безопасностью. Отдельное лицо может быть ответственно за выделение логинов и паролей. В банках этот процесс хорошо налажен. Есть ли политика информационной безопасности в БелТА? Я не знаю.

Логично предположить, что в информагентстве, которое продаёт свои новости, этот процесс тоже должен быть налажен.

В идеале в любой организации этот процесс должен быть налажен. Ты пришёл и расписался, что тебе выдали логин и пароль. Либо должно быть документальное подтверждение, что тебе их отправили по почте. После этого получатель сам беспокоится о своих паролях, а администратор системы ему напоминает, что пароли раз в несколько месяцев следует менять.

Кроме того, есть технологичные решения: не просто кто-то прописал, что один отвечает, а другой следит, а софт, который сигнализирует, что активность идёт не от вашего пользователя. В нашей компании, например, есть решения, которые позволяют протоколировать действия каждого пользователя в системе.

Бывшая сотрудница БелТА рассказала dev.by на условиях анонимности, что в техподдержке о заходе на ленту сторонних людей знали давно.

— 3-4 года назад часть людей, которые занимаются техподдержкой, знали о том, что сторонние люди заходят на сайт БелТА под чужими паролями, — рассказала dev.by бывшая сотрудница информагентства. — Полгорода знало эти пароли — они ходили по рукам. Эта тема поднималась в БелТА. Периодически были разговоры о том, что «может быть сменить систему» или сделать какие-то ключи, как у Bloomberg и других агентств, или ввести флешки. Но всё это так и осталось разговорами. Я даже не уверена, что все технические сотрудники в них участвовали. Как правило, такие темы обсуждались в кабинетах небольшими группками людей. А потом почему-то решили ничего не менять — просто забили, ну пользуются, и пользуются… Но нельзя сказать, что об этом вообще никто не знал. Об этом знал определённый круг лиц. Я не знаю, доходило ли это до руководства: руководители в «поля» ведь не ходят. Информация в любом случае доходила до менеджера, который руководил техподдержкой. Почему он ничего не предпринял, не позвонил, я не знаю. Честно говоря, меня удивляет: от полного бездействия перешли ко всему этому — для меня это странно.



Если это действительно так, может ли рассматриваться вопрос о бездействии со стороны руководства агентства?

По моему мнению, в ходе расследования эти обстоятельства будут устанавливаться. Будут ли там признаки уголовного преступления либо дисциплинарного проступка, определит следствие и на втором этапе — суд. У меня были дела по несанкционированному доступу, по которым мы писали большие, разгромные представления. Не скажу, что там люди были виноваты (у них была политика информационной безопасности), но мы видели, что преступник получал несанкционированный доступ благодаря отсутствию контроля. В таких случаях иногда людей даже увольняли с работы.

«Даже увольняли» в контексте задержаний и возможных сроков звучит не очень серьёзно.

Я говорю о ситуации, когда в организации все нормативы безопасности прописаны, а отдельный человек просто недоработал. Кроме увольнения, может быть гражданско-правовая ответственность и возмещение ущерба.

Могут возбуждаться и уголовные дела в отношении тех, по чьей вине эта информация гуляла.

Со стороны потерпевшего?

Однозначно. Если есть обстоятельства, подтверждающие, что это сделано умышленно, не приняты меры по обеспечению сохранности информации, то да, это возможно.

Следствие обязано идти по следу до конца, выясняя, каким образом произошла утечка реквизитов БелТА?

Следствие должно устанавливать все обстоятельства, и отягчающие, и смягчающие вину подозреваемого, в том числе и оправдывающие его. Если подозреваемый заявляет что-то и просит это проверить, это должно выполняться. Другое дело, что всё исполнить невозможно: если для проверки надо опросить человека, живущего на Луне, вряд ли кто-то туда полетит.

На сайте БелТа нет https, то есть пароль при отправке передавался в открытом виде. Есть ли у госорганов какие-то стандарты по защите систем управления?

На самом деле, https принято использовать, но ограничений тут никто не ставит. Это право организации — самостоятельно определять политику безопасности. Можно критиковать, можно советовать, но заставить пока нельзя. Поэтому я глубоко убеждён, что такая стратегия информационной безопасности должна разрабатываться на уровне государства, в том числе чтобы потом можно было спросить: а вы соблюли минимальный перечень норм безопасности? Не соблюли — тогда это ваши проблемы, что вас кто-то взломал или осуществил несанкционированный доступ.

Может быть, закон о защите персональных данных и заложит норму о том, что если вы обрабатываете данные, то ваша обязанность — банально иметь «офицера по безопасности» (Security Officer). Но надо понимать, что не всё так просто. У организации может просто не быть денег на внедрение системы безопасности.

Возможно, это дело что-то изменит в общей ситуации.

Как думаете, БелТА уже сменило пароли, или на время следствия всё может быть оставлено как есть, чтобы, например, поймать новых нарушителей?

Не знаю. Многие в прессе уже говорили, что пароли целесообразно менять. И я тоже так думаю.
«В случаях, когда мы всё изымали, я из своих личных денег давал на проезд»

Если несанкционированный доступ не представляет большой общественной опасности, зачем тогда понадобились обыски и задержания, можно ли было провести следственные действия более щадящими способами?

И да, и нет. Да, потому что каждый следователь сам определяет, как ему поступать. От избранной тактики зависит следовая картина. Давайте мы к вам придём и из-за закрытой двери скажем, что сейчас будет обыск. Наверное, мы долго будем стучать и кричать. Это нормальная ситуация: вы не хотите вторжения в свою жизнь, но если не проводить обыск, то просто так к вам войти нельзя. А если есть санкционированное прокурором постановление, то можно ломать запорное устройство.

Задерживать людей было зачем?

Тут решение тоже принимает следователь. Задержание может производиться, чтобы человек не повлиял на электронные доказательства, которые остались в облачных хранилищах. Допустим, мы отпускаем человека, а он удаляет доказательства, содержащиеся в переписке. За 1-2 дня эту информацию можно скачать из облачного аккаунта, и тогда человека можно отпускать.

Насколько я знаю из открытых источников, обыски проводились у большего числа людей, но не всех же задержали.

Представителей госСМИ не задерживали — только частных.

Об этом я ничего не могу сказать. Я хочу сказать, что решение о задержании принимается на месте: вы всё изъяли, человек вам всё рассказал, вы видите, что он ничего не скрывает, и вы его спокойно отпускаете домой.

По поводу доступа к «облакам»: как следователи получают пароли к аккаунтам?

По-разному бывает. Иногда ставится условие: вы даёте реквизиты аккаунта, мы вместе с вами его осматриваем, и вы идёте домой. Другой отказывается: вы меня задержали, пока не бьёте, но, может, сейчас начнёте, я не собираюсь с вами разговаривать. Для этого и предусмотрена временная изоляция, чтобы санкционировать дополнительные действия и осмотреть данные.

А если в изъятой технике нет сохранённых паролей?

Значит, ничего не будет.

Тогда будете бить?

Сейчас уже не те времена. Если вы думаете, что кто-то обязательно хочет кого-то посадить и получить пароли любым способом, то вы ошибаетесь, такого давно нет. Задержание — это некий элемент противоборства, когда одна сторона сопротивляется, а другая хочет получить данные. Садят не для того, чтобы посадить. Садят на время для того, чтобы человек не мог изменить эти данные.

Зачем банковские карточки изымали? А у кого-то и наличные.

(Удивлённо) Все-все-все? Насколько я знаю, карточки осмотрели, переписали и через несколько дней опять отдали. Возможно, изымали, чтобы посмотреть движение средств по счёту: с использованием банковских карт могут совершаться другие преступления в сфере ИТ, например, те же оплаты взлома. А может, там будут карточки иностранного банка? Обычно, когда совершались хищения, мы всегда изымали карточки.


Но какое отношение хищения или взлом имеют к «делу БелТА»?

По статье о должностном преступлении (Действия главреда tut.by Марины Золотовой квалифицируют по признакам ч.2 ст. 425 УК РБ — бездействие должностного лица. — Прим. dev.by), например, предусмотрена конфискация. Кроме того, раз звучат заявления о материальном ущербе, предполагается, что какие-то исковые требования уже есть.

Если бы карты изымали в обеспечение иска, то их бы не вернули.

Следователи должны предусмотреть меры ограничения до суда.

Карточки изымали и у членов семьи. А на что семье жить? Как в этом случае соблюдаются права человека?

Я отвечу за себя. В таких случаях, когда мы всё изымали, я из своих личных денег давал на проезд. Пять рублей — с меня не убудет. Мы проверяли движение по счёту, убеждались, что там нет отмывания или чего-то ещё, связанного с расследуемым преступлением, и тогда карты возвращали.

У журналистов, в редакциях изъяли технику, информацию с неё, наверняка, копируют. Где гарантия, что следователи не станут изучать информацию, которая вообще не имеет отношения к делу «БелТА», и не используют её против СМИ?

А как такую гарантию можно дать? Когда вы открываете чью-то переписку, вы же не знаете, к чему она имеет отношение. Для этого надо её прочитать.

То есть будут открывать и читать всё?

Не обязательно. Всё зависит от того, достаточно ли имеющихся доказательств. Одного, как правило, недостаточно. Если вы нашли 7-10 доказательств, то зачем вам этот компьютер дальше осматривать?

Как думаете, стоит ли задача найти другую интересную информацию относительно деятельности журналистов и СМИ, чтобы когда-нибудь в будущем её использовать?

Откуда мне знать? Я не знаю. Думаю, что нет. Потому что, если бы какая-то информация интересовала следствие, её бы уже получали независимо от этого дела.

По словам гендиректора РУП «БелТА» Ирины Акулович, в правоохранительные органы она обратилась в конце апреля-начале мая, а записанный разговор между «тутбаевцами» Анной Калтыгиной и Мариной Золотовой, как утверждает Марина, состоялся в марте. На каком основании устанавливали прослушку, если заявления тогда ещё не было?

Не знаю.

Зачем было публиковать запись прослушки, выкладывать видео с обысков? Разве это не нарушение законодательства об оперативно-розыскной деятельности?

Я не могу это комментировать. В моих кейсах такого не было. Почему здесь так происходило, я не знаю.


«Прожжёные хакеры могут выйти на новый уровень работы»

Как думаете, не девальвирует ли «дело БелТА» в глазах общества работу управления по расследованию киберпреступлений?

Всё станет известно со временем. Надо дождаться выводов следствия, увидеть, какое решение будет принято, будет ли оно передано в суд, а после этого делать выводы и давать рекомендации.

Разочарование есть у всех. Оно есть у журналистов, по которым, по их мнению, жёстко прошлись. Но если будет «обратка»: мол, следователи плохие, не ловят киберпреступников, а ловят журналистов, то такое же разочарование наступит и у следователей. Мол, не стоит заниматься защитой информации в интернете, не стоит ловить людей, которые такие вещи делают.

Следователи ждут общественной похвалы?

Не обязательно похвалы. Но, как и журналисты, они ждут положительной оценки своей работы. Главное же — то, что те прожжённые хакеры, которые реально взламывают и делают много плохих вещей, могут выйти на новый уровень работы. И тогда нашему обществу будет нехорошо. В той же Украине, Молдове — вал киберпреступлений, которые никто не расследует, потому что у правоохранительных органов нет нужной компетенции.

Я в ваших словах слышу такую логику: на пустом месте раздули «дело БелТА», общество высказало недовольство, следователи фрустирируют и не ловят хакеров.

Нет, абсолютно не так. Я хочу сказать о том, что мы все хотим идти к светлому будущему, помогая друг другу. Никому не пожелаю оказаться в ИВС, тем более девушкам. Понятно, что произошедшее — нехорошо для конкретных людей, но, может, благодаря этому ситуация в целом будет меняться в плане противодействия таким преступлениям. Понимаете?

Нет.

Значит, будут ещё раунды переговоров. Сейчас мы многого не знаем, но, когда материалы дела откроют, станет яснее, и тогда можно будет делать какие-то выводы. Преступление есть, это очевидно. Другое дело — есть ли тут вина каждого из подозреваемых.

Когда пройдёт время и с этим делом наступит ясность, тогда станет понятнее.

https://dev.by/news/o-dele-belta

Monday, March 26, 2018

Минский офис известных киберсыщиков Group-IB возглавит экс-сотрудник СК

Руководителем минского офиса российской частной компании по расследованию киберпреступлений Group-IB станет бывший сотрудник правоохранительных органов Беларуси Александр Сушко, сообщается в пресс-релизе компании.

https://devby.io/news/group-ib-opens-minsk-office-alex-sushko-ro-run-it