Как заметать следы. Часть 8

Как заметать следы. Часть 8

Окончание. Начало в КГ №50

"Но если ты уже стал на этот путь, то лучше не попадаться, а если попадаться, так не сознаваться, а если сознаваться, то в простом деле, а не организованном".
Виктор Суворов, "Аквариум"

Я счел уместным процитировать выдержку из бестселлера о разведке Бориса Резуна, более известного под псевдонимом Виктор Суворов, так как несколько раз встретил в западных публикациях определение хэкинга как "хакерской разведки" или даже выделение хэкинга в категорию "компьютерной разведки".

V. Под подозрением
Если вы попали под подозрение (полиции и/или администратора), вы должны предпринять специальные меры, чтобы они не смогли найти против вас доказательств.
Замечание: Если администратор думает, что вы хакер, вы — виновны, пока не доказано обратное.
Законы для администраторов ничего не значат (иногда, по моему мнению, разница между хакером и администратором только в том, что компьютер принадлежит последнему). Когда они думают, что вы хакер, вы — виновны, неважно, что говорит адвокат. Они контролируют тебя, твою почту, файлы и, если они достаточно квалифицированны, также все ваши нажатия клавиатуры.
Если к делу привлекли "легавых", ваша телефонная линия тоже может быть под контролем, и вскоре может последовать налет.
Если вы что-то заметили или просто боитесь, что попали под подозрение, тогда ведите себя тише воды, ниже травы. Не проводите никаких активных мероприятий, которые могут как-то указывать на причастность к хэкингу. Лучше всего выждать, по меньшей мере, один-два месяца, ничего особенного не делая.

Предупредите всех ваших друзей, чтобы не посылали вам никаких писем. Пусть письма идут только от "обычных" людей, лучше всего, если это будет "мирная" почта. Вложение в почту посланий, зашифрованных PGP заставит администраторов и "легавых" бить во все колокола.
Порвите со всей деятельностью, пишите какие-нибудь тексты или программируйте инструментарий для всех и ждите, пока все уляжется. Помните о необходимости зашифровать все ваши критичные данные и уничтожить все бумаги с данными об учетных записях, телефонных номерах и т.п. Это самое важное, что ищут "легавые" во время налета на вас.

VI. Задержание
Замечу, что эта маленькая глава касается только этики и основ и не содержит никаких ссылок на текущее законодательство, потому что оно отличается в каждой стране.
В качестве комментария добавлю, что очень полезно изучать действующее законодательство, причем не только уголовный кодекс, а также уголовно-процессуальный, чтобы знать, какие действия правоохранительных органов законны, а какие нет. Во-первых, лучший адвокат человеку — это он сам, во-вторых, доказательства, собранные с нарушением закона, не являются таковыми.
Теперь речь пойдет о мерах, которые следует или не следует предпринимать, как только вам нанесли визит "легавые". Есть две чрезвычайно важные вещи, которые вы должны предпринять:

1. Немедленно найдите адвоката!
Адвокату следует позвонить судье и заявить протест по поводу ордера на арест. Это существенно не поможет, но может создать препятствия в их работе. Адвокат должен разъяснить вам все, что необходимо знать, о том, что "легавые" имеют право делать, а что нет. Адвокату следует написать прошение районному прокурору и/или в полицию с требованием вернуть компьютеры назад так быстро, как это возможно, под предлогом, что они насущно необходимы для работы и тому подобное. Как вы понимаете, гораздо полезнее иметь адвоката под рукой, чем искать его уже после облавы.

2. Никогда не разговаривайте с "легавыми"!
"Легавые" не могут вам ничего обещать. Если они вам говорят, что вас отпустят на все четыре стороны, если вы скажете что надо, не доверяйте им! Достаточной властью на это обладает только районный прокурор. Все, что нужно "легавым", это получить всю необходимую им информацию. Поэтому, если вы скажете им все, у них будет больше информации от вас, и против вас же.
Вам следует всегда отказываться от дачи показаний — скажите им, что вы будете говорить только в присутствии вашего адвоката.
Затем вы должны со своим адвокатом составить план, как выбраться из всего этого дерьма и как свести к минимуму возможные потери.
Постоянно помните: не предавайте своих друзей. Не рассказывайте им никаких секретов. Не взрывайте "сообщество".
Если вы так поступите, это будет иметь последствия бумеранга: ваши приятели и сообщество разозлятся и отомстят, и те парни, которых схватят благодаря вашим показаниям, также начнут говорить… и это даст "легавым" больше информации и о ваших преступлениях!
Заметьте также, что, как только вас единожды схватят — вас обвинят во всем, что случилось на взломанном сайте. Если вы (или ваш адвокат) сможете показать, что у них нет достаточных доказательств того, что вы ответственны за все произошедшие случаи, им будет проблематично создавать из вас образ "злобного хакера", который они постараются живописать в суде. Если вы, к тому же, сможете доказать, что у вас не было возможности совершить некоторые из преступлений, вам вменяемых, ваши шансы на благополучный исход станут выше. Когда судья увидит, что некоторые сделанные против вас обвинения ложные, он будет склонен думать, что, возможно, есть много других ложных обвинений, и перестанет доверять грубо сработанному против вас делу.

Приведу размышления Митника:
"Несмотря на миф, созданный СМИ, я не злонамеренный хакер. Что я делал, не было противозаконным, когда я начинал, но стало преступлением после введения нового законодательства, я же в любом случае продолжал свое и был схвачен. Федеральное правительство так обращалось со мной не из-за преступлений, но желая сделать из меня показательный пример. Я не заслуживал того, чтобы со мной обращались, как с террористом или особо опасным преступником: обыск моего жилища с незаполненным ордером на обыск, заключение в одиночку на месяцы, лишение основных конституционных прав, гарантированных любому обвиняемому в преступлении, отказ не только в поручительстве, но в самих слушаниях по поручительству. Я вынужден был потратить годы на борьбу за получение доказательств своей вины от правительства, чтобы мой адвокат, назначенный судом, мог подготовить мою защиту".
У меня часто спрашивают, могут ли "легавые" или судья заставить вас выдать ваши пароли для PGP, для зашифрованных файлов и/или к жестким дискам. Ситуация отличается в разных странах. Удостоверьтесь, могут ли они принудить вас открыть ваши "закрытые" хранилища.
Если все обстоит именно так, то вам следует скрывать сам факт того, что вы прибегаете к шифрованию ваших данных! Скажите своему адвокату, что вам лучше не выполнять указание выдать ваш пароль: возможно, они получат улики, которые помогут запрятать вас в тюрьму на многие годы.

VII. Программы
Здесь приведен небольшой список программ, которые вам необходимо достать и использовать (лучшие программы!). Не пишите мне по e-mail вопросы, где их можно достать — спрашивайте среди своего "сообщества"! Я только привожу список лучших утилит для изменения журналов регистрации активности (см. разделы III-4 и IV-3). Некоторые программы представляют интерес с точки зрения переадресации telnet (см. раздел IV-2), но есть много других, и большинство компилируются только под UNIX 1-3, так что составлять список бесполезно.
Первым пойдет небольшой глоссарий терминов:
Change (изменить) — изменяет поля в журнале протоколирования на любое, что понадобится.
Delete (удалить) — удаляет, вырезает необходимые записи.
Edit (редактировать) — настоящий редактор для журнала регистрации.
Overwrite (перезаписать) — просто перезаписывает записи байтами с нулевым значением. Не используйте такие утилиты (например, ZAP) — их применение может быть обнаружено.

Корректоры журналов протоколирования активности

Ah-1_0b.tar изменяет записи в информации об учетных записях
Clear.c удаляет записи в журналах utmp, wtmp, lastlog и wtmpx
Cloak2.c изменяет записи в utmp, wtmp и lastlog
Invisible.c перезаписывает utmp, wtmp и lastlog заранее заданными значениями, поэтому это лучше, чем zap. Остерегайтесь: существует много версий inv*.c!
Marryv11.c редактирует utmp, wtmp, lastlog и данные об учетной записи — лучшее из всех!
Wzap.c удаляет записи в wtmp
Wtmped.c удаляет записи в wtmp
Zap.c перезаписывает utmp, wtmp, lastlog. Не применяйте! Может быть обнаружен!
VIII. Послесловие
Последние "вымученные" слова:
Не попадайтесь, помните об этих правилах и "держите ушки на макушке".
Если кто-нибудь пожелает внести некоторые правки, или захочет добавить свои комментарии, или испытывает потребность в дополнительной информации по теме, или даже считает, что что-то упущено, тогда киньте мне сообщение.
В конце статьи приведу последнюю на сегодня фразу Митника: "По прошествии лет я снова и снова попадал в беду, потому что доверял людям, которых считал своими друзьями".

Автор перевода и комментариев Valient Newman,
http://www.geocities.com/werebad/



Компьютерная газета. Статья была опубликована в номере 51 за 2003 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета