Наконец-то пришел следователь — чуть полноватый мужик слегка за тридцать, в дорогом, но безвкусном костюме в полоску.

— Зовут меня Александр Евгеньевич. Фамилия — Сушко, — представился он.

— Я вас уже заждался, — мне представляться не было необходимости: весь отдел «К» меня не только знал, но и тихо ненавидел.

— Понимаю. Хочешь знать, как на вас вышли?

— А я знаю: договорились с комитетчиками, провели обыск у меня дома, получили доступ к моему компьютеру — вот тебе и уголовное дело.

— Ну а зачем ты им свои пароли сказал?! — Сушко развел руками. — Не назови их, и никакого дела не было бы — на сегодняшний день нереально расшифровать пароли такой длины.

— Чекисты — продажные сволочи. Знали ведь, что я помогаю им в расследовании дела «оборотней» из вашего ведомства, и все равно меня в «топку» вкинули…

— Ну а что — компромат они от тебя уже получили, а теперь еще и посадили как преступника. Одним выстрелом двух зайцев убили. Понимаешь теперь, что это за ведомство?

— Рыцари с горячим сердцем и чистыми руками… Да уж… Скопище предателей… А генпрокуратура… про этих я вообще молчу — они закон используют исключительно так, как им сейчас выгодно.

— Получается, что…

— …что самым «белым и пушистым» из всех оказалось МВД… Вы хоть свою мусорскую сущность не скрываете, а кагэбэшники — такие же уроды, но прикрываются высокими материями.

— Вот-вот. Но изначально я имел в виду не это и не тебя — я про то, как вышли на след вашей группировки.

— Какой группировки, если я один сижу?!

— Американцы считают иначе. Ты их пресс-релиз читал? — то, с каким трудом Сушко выговаривал слова типа «пресс-релиз», выдавало его пролетарское происхождение, которое он тщательно скрывал.

— Да, видел — Марина Михайловна приносила, — мы с адвокатом переглянулись.

— Взгляни теперь на другой документ, — следак залез в свой портфель и протянул мне Обвинительный меморандум по делу «Соединенные Штаты против Альберта Гонсалеса».

— В эту организацию, по нашим сведениям, входил и ты, — добавил он. — А вот еще взгляни, — Сушко достал из необъятной папки какой-то документ со штампом американского суда.

— Старо как мир: нашли слабое звено, вселили в него ложную надежду, тот всех и сдал. Методы работы америкосов, как я погляжу, не сильно отличаются от ваших.

— Человеческая психология вообще не сильно изменилась за тысячелетия… Ты в курсе, что Секретная служба США платила Гонсалесу $75 тыс. в год?

— Это еще за что?! — слова Сушко меня заинтересовали.

— Ты про операцию Firewall слышал?

— Кроме того, что в ходе ее были арестованы несколько десятков наиболее известных американских кардеров, мне ничего не известно, — напряг я свою память.

— В мае 2004 года Cumbajohnny, один из администраторов форума ShadowCrew, сделал предложение, которое привлекло внимание многих форумчан, — предлагалось воспользоваться услугами приватного, только для мемберов ShadowCrew, VPN-сервиса. Ты знаешь, что это такое?

— Virtual private network — виртуальная частная сеть, обычно используется для обеспечения доступа к корпоративной сети из домов работников. Но кардеров VPN привлекает по другой причине: каждый байт трафика от их компьютера будет зашифрован, что является гарантией защиты от сниффинга — все попытки спецслужб отследить активность пользователей не продвинутся дальше дата-центра, в котором установлен VPN-сервер.

— Да, верно. Но VPN-сервер имеет один известный многим недостаток: все переданное через сеть можно отследить с центрального узла, часто не зашифрованного и уязвимого для прослушивания. «Если ФБР или другое правительственное агентство захотят, они могут прийти в дата-центр, изменить настройки конфигурации VPN-сервера и записывать все логи наших действий», — написал на форуме один из участников ShadowCrew. «Никто не прикоснется к VPN без моего ведома», — успокоил форумчан Cumbajohnny. Чего не знали пользователи ShadowCrew, так это того, что девятью месяцами ранее нью-йоркская полиция задержала Альберта «Cumbajohnny» Гонсалеса возле банкомата при попытке снять деньги с чужой карточки. Агенты Secret Service допросили его и очень скоро вывели на чистую воду: двадцатиоднолетний сын кубинских эмигрантов снимал апартаменты за $700, имел $12 тыс. задолженности по кредитной карте и официально нигде не работал. В итоге Секретная служба склонила Альберта стать информатором. VPN-сервис был очень удачной выдумкой агентства. Оборудование было закуплено на деньги федералов, и они получили ордера на запись действий всех пользователей. Таким образом, VPN-сервис «только для кардеров» стал приглашением в ловушку. Самые серьезные фигуры ShadowCrew попали в сеть, раскинутую Секретной службой. Да еще и платили за это от $30 до 50 в месяц. За свою работу Гонсалес получал от правительства США $75 тыс. в год. С апреля 2003-го по октябрь 2004 года агенты Secret Service пристально наблюдали за активностью на ShadowCrew, собирая материалы для арестов. Правда, однажды операция чуть не сорвалась — хакер Ethics взломал сеть сотового оператора T-Mobile, украл служебные документы с КПК одного из агентов Секретной службы и выложил на сайте свидетельства, что за форумом следят. Но Гонсалесу, к тому времени возглавившему ShadowCrew, удалось свести все подозрения на нет. 26 октября 2004 года по всему миру были арестованы двадцать шесть наиболее активных участников кардерского сообщества, сам ShadowCrew прекратил существование, а информатор вернулся в родной Майами. Как тебе, а?

— В семье не без урода… А как выяснилось, что Максик был связан с Гонсалесом? Насколько мне известно, он работал с Джоннихеллом…

— Секретная служба проанализировала аккаунт Ястремского в платежной системе E-gold и увидела, что в период с февраля по май 2006 года Maksik перевел $410 750 на аккаунт Segvec. Федералы потянули за эту ниточку и вскоре выяснили, что поставщиком дампов для Максика был Альберт Гонсалес, он же Segvec. Кроме этого, при первой регистрации своего ICQ Альберт указал электронный адрес [email protected]eefnet.ru. Никнейм soupnazi был знаком федералам еще со времен первого ареста Альберта Гонсалеса.

— Вот протокол осмотра твоего компьютера, — Сушко снова залез в свой черный, казавшийся бездонным, кожаный портфель и извлек на свет тридцать два машинописных листа, скрепленных между собой.

Я бегло просмотрел документ: «Для обнаружения и фиксации следов преступления в ходе осмотра использовался служебный компьютер, на котором установлены: операционная система Linux, стандартный набор программ Linux, а также операционная система Microsoft Windows XP Professional SP2, стандартный пакет программ Microsoft Office XP, программа WriteBlocker, блокирующая внесение каких-либо изменений информации на подключаемых НЖМД (накопителях на жестких магнитных дисках); а также программно-аппаратный комплекс EnCase. Винчестер подключен к служебному компьютеру. С использованием программы WriteBlocker XP version 6.10 заблокирована возможность записи информации на подключаемые к служебному компьютеру машинные носители информации. Далее производился осмотр содержимого носителя с использованием аналитического программного комплекса I Look Investigator v 8.0.14.

— EnCase, FastBlock, WriteBlocker, I Look Investigator… При расследовании моих прошлых преступлений ничего из этого не фигурировало… — задумчиво произнес я.

— Вспомнил прошлогодний снег: то было в 2004-м, а сейчас уже, слава богу, — Сушко посмотрел на свои часы, — 2008-й. Вы начинаете все больше использовать компьютеры — нам требуются все более изощренные инструменты, чтобы вас поймать. Многие и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы…

— Ну для меня-то это не новость. Ладно, что это за программно-аппаратный комплекс EnCase?

— Эталон компьютерной экспертизы. Американская разработка. Компьютер с установленным программным обеспечением EnCase, которое очень успешно восстанавливает удаленные данные.

— А устройство FastBlock что такое?

— Процесс компьютерной экспертизы обычно разбит на три фазы: поиск улик, их анализ и отчет. Этап поиска улик подразумевает перенос данных с носителя (дискеты, флешки, жесткого диска) на компьютер эксперта. При этом необходимо гарантировать, что на оригинальный носитель запись произведена не будет. Потому как Windows, например, производит запись на любое устройство при его подключении.

FastBlock — аппаратное средство, которое блокирует внесение изменений информации на НЖМД — накопители на жестких магнитных дисках и позволяет безопасно перенести содержимое жесткого диска подозреваемого на компьютер эксперта. Дальше за дело принимается EnCase.

— ?..

— «Прога» работает практически с любыми видами носителей. Скажем, с флеш-карт для цифровых камер можно восстановить фотографии. Удаленные письма EnCase тоже восстанавливает.

— Все это можно делать и бесплатными утилитами, например Knoppix-STD и Penguin Sleuth Kit…

— Все так, но в случаях использования EnCase на кону часто стоят миллионы или даже миллиарды долларов. Поэтому ее цена в несколько тысяч долларов оправданна. Американцы, помимо EnCase, также Forensic Toolkit (FTK) используют.

— Есть ли способ обойти EnCase?

— Если не считать физического уничтожения всех жестких дисков, CD, флешек и дискет, то способов очень немного. Обрати внимание, что я имею в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костер может быть недостаточно. Во многих случаях придется превратить носитель в пепел.

Иногда злоумышленники — и непосредственно ты — пытаются затруднить экспертизу, изменяя расширения файлов. Если переименовать файл, допустим, passport.jpg в test.txt, то Windows откроет в Блокноте бессмысленный текст. EnCase же позволяет определить принадлежность файла определенной программе. Сокрытие информации внутри картинок или музыки EnCase также обнаружит.

— ?..

— Существуют тысячи способов включить сообщение, звук или изображение в другой файл. Это называется стеганографией. Многие хакеры уверены, что если спрятать секретные сведения в. avi или. wav-файлы, их не найдет и сам Господь. Однако мало кто знает, что используемые в большинстве случаев алгоритмы стеганографии давно устарели и вероятность обнаружения ваших личных, глубоко припрятанных данных близка к 100 %.

— Есть инструменты, которые позволяют полностью удалить файлы с жесткого диска, — я использовал Eraser. Стандартное удаление в Windows стирает только информацию, используемую для доступа к файлам, — сами данные в файлах остаются без изменений. Eraser или BestCrypt Wipe стирают информацию, используемую для доступа к файлам, и поверх всех данных записывают нули. Стандарт уничтожения магнитных носителей Министерства обороны США предусматривает семипроходное стирание — нули поверх данных записываются семь раз…

— Однако для того, чтобы EnCase не смогла восстановить удаленные подобным образом файлы, запись поверх данных надо бы произвести раз тридцать пять… — мы восстановили все твои удаленные файлы. Надо было чаще дефрагментировать жесткий диск, на котором раньше находилась конфиденциальная информация, так как процесс дефрагментации позволяет более надежно удалять остатки информации, которая могла быть стерта недостаточно эффективно. Да и форматировать крипты, хотя бы время от времени, тоже бы не помешало.

Твоей ошибкой также стало то, что многие файлы ты называл типа price for us, our price — косвенная улика, что преступление совершено в соучастии…

— Не могу понять, какого хрена история сообщений в &RQ сохранилась, я ведь ее точно не сохранял…

— И техника порой ведет себя непредсказуемо… и идеальных преступлений не бывает…

— А что за I Look Investigator?

— Программа для всестороннего анализа образов компьютерных жестких дисков. Ладно, Сергей, а теперь ты мне кое-что расскажи.

— ?..

— Когда мои опера зашли в твою квартиру, шифрованные диски (контейнеры TrueCrypt) на твоем ноутбуке были открыты. Опера скопировали их содержимое на диск С, но когда привезли ноутбук в отдел, на диске С уже ничего не было. Почему?

— Все просто. Вот скажи мне: для чего вы из наших компов жесткие диски вынимаете и для исследования подключаете их к своим машинам? Не проще ли экспертизу прямо на наших компьютерах проводить?

— Ну-у… ты ведь можешь в своем компе «логическую бомбу» установить, которая сработает при выполнении (или, наоборот, при невыполнении) каких-то действий и уничтожит всю критическую информацию.

— Ты, я вижу, теорию знаешь, а вот с практикой у ваших оперов не очень. На моем ноутбуке была установлена программа Deep Freeze, которая полностью «замораживает» любой диск на твой выбор. Поставил «винду» и весь необходимый софт — антивирусы там всякие и «фаерволлы», настроил систему под себя — и «заморозил» системный диск. Ни один вирус, троян или хакер не смогут закрепиться в твоем компе. А если и смогут, то лишь до первой перезагрузки.

— Разве ты включал свой ноут после того, как мои сотрудники там похозяйничали?!

— Ага. Под предлогом того, что для корректного отключения флешки надо бы отключить ее из-под «винды» функцией «безопасное извлечение устройства». Опера не возражали. А диск С, на который они скопировали содержимое моих криптоконтейнеров, как раз и оказался системным…

— Вот уроды! — Сушко зло сплюнул.