Новости / Технологии

Как можно получить информацию с компьютеров «путем удаленного доступа» — спросили экспертов

13.01.2021, 17:16  / remove_red_eye 561   / chat_bubble1

10 декабря парламент принял поправки в Закон «Об оперативно-розыскной деятельности». В частности, речь шла о возможности получать сведения «путем удаленного доступа». Разбираемся, что это значит на практике.

Как можно получить информацию с компьютеров «путем удаленного доступа» — спросили экспертов

Фото: Intex-press

О каком удаленном доступе идет речь?

Как мы писали ранее, 10 декабря в нижней палате белорусского парламента во втором чтении был принят законопроект, который позволит оперативникам использовать средства тайной фиксации информации. Это первая корректировка закона «Об оперативно-розыскной деятельности» после его принятия в 2015 году, пишет tut.by.

Среди новшеств — введение понятия «компьютерная информация» и предоставление сотрудникам, занимающимся оперативно-разыскной деятельностью, возможности создавать и использовать средства «тайного получения и фиксации информации, в том числе с помощью специализированного программного обеспечения», «без чего чрезвычайно трудно эффективно противодействовать преступной деятельности в сети Интернет».

Как говорится в законе, средства негласного получения (фиксации) информации — это технические средства, оборудование, аппаратура, приборы, приспособления, препараты, программные продукты и другие изделия, которые были созданы специально для негласного получения информации при оперативно-розыскной деятельности. Грубо говоря, это устройство или программа, которые позволяют без огласки собирать необходимые данные. Но применять эти средства можно только с санкции прокурора.

Также важные изменения — в проведении контроля в сетях электросвязи (звонки по телефону, переписка по электронной почте и так далее). Если окажется, что находящийся под контролем человек пользуется другим номером телефона или другим адресом электронной почты, то оперативно-разыскная деятельность может быть продолжена и по этим каналам связи без вынесения нового постановления.

Однако наибольшее внимание пользователей привлек «удаленный доступ» в законе. К примеру, он упоминается в ч.1 ст. 15 закона: «…получать безвозмездно сведения из баз данных (учетов), информационных систем путем удаленного доступа и (или) на материальных носителях информации от организаций, которые являются собственниками этих баз данных (учетов), информационных систем, в случаях, установленных законодательными актами, и порядке, определенном законодательством».

И абзац в той же статье, гласящий «собирать и изучать сведения и документы, необходимые для выполнения задач оперативно-розыскной деятельности», дополнился словами «обрабатывать, хранить».

Кроме того, «удаленный доступ» появился в статье 26. «Оперативный осмотр представляет собой обследование жилища и иного законного владения гражданина, помещения, здания, сооружения, транспортного средства, иного объекта и территории организации, участка местности, а также изучение информационных систем, информационных ресурсов, предметов и документов, компьютерной информации, в том числе путем удаленного доступа, в целях получения сведений, необходимых для выполнения задач оперативно-розыскной деятельности», — говорится в законе.

Поправки в закон должны вступить в силу через три месяца после официального опубликования.

Что это может значить?

Фото: Intex-press

Фото: Intex-press

В законе не поясняется, что значит «путем удаленного доступа». Поэтому мы отправили запрос МВД с просьбой разъяснить этот момент. И пока мы не получили официальный ответ, мы можем лишь предполагать, что это может значить.

Более того — согласно ст. 20 обновленного закона, должностные лица после проведения, приостановления или прекращения оперативно-розыскных мероприятий больше не должны указывать в служебном документе наименования средств негласного получения (фиксации) информации и других использованных средств. Так что мы не сможем узнать наименования этих программ или гаджетов из официальных бумаг.

Например, в статье «О правовой регламентации удаленного осмотра» Дмитрия Харевича говорится следующее: «Содержание предложенного тактического комплекса „удаленный осмотр“ можно определить как негласное обследование компьютерной системы или сети и сбор хранящихся в них данных, которые проводятся исполнителем, находящимся вне места расположения указанной системы или сети, с использованием специализированного программного обеспечения в целях получения сведений, необходимых для выполнения задач ОРД (оперативно-разыскной деятельности — прим. TUT.BY)».

В статье «Удаленный осмотр средств компьютерной техники в системе оперативно-розыскных мероприятий» В. И. Каралёка говорится, что основными чертами так называемого удаленного осмотра являются:

1) негласный характер проведения;

2) способ осуществления — удаленное проникновение и осмотр (копирование), при котором инициатор не находится там, где расположено обследуемое средство компьютерной техники (СКТ);

3) средства получения информации — специальные программы, разработанные и используемые инициатором проведения мероприятия;

4) информация, представляющая оперативный интерес, — файлы или данные, хранящиеся на обследуемом устройстве, подключенных к нему носителях информации или удаленных ресурсах, к которым имеется доступ с указанного СКТ.

Также автор отметил, что для лучшего противодействия преступлениям, совершаемым в Сети, было бы хорошо «наделить орган, осуществляющий ОРД, правом разрабатывать специализированное программное обеспечение, предназначенное для негласного сбора информации в компьютерной системе и сети, вносить изменения в существующие компьютерные программы, системы и информацию, хранящуюся в данных системах, компьютерной сети или на машинных носителях, копировать информацию с указанных системы, сети или носителя» (статья вышла в феврале 2020 года, до принятия изменений).

Как это может работать на практике?

Фото: Intex-press

Фото: Intex-press

Конечно, без четкого объяснения МВД здесь сложно что-либо утверждать. Так, по словам руководителя по развитию бизнеса Group-IB в Беларуси Александра Сушко, на практике удаленный доступ можно трактовать по-разному — и как использование специализированных программ для доступа к информации пользователя, и как использование баз данных провайдеров, и как получение доступа непосредственно к самому оборудованию подозреваемого.

Примерно то же говорят и другие специалисты по кибербезопасности — что это может быть что угодно. Так, один из наших собеседников предположил, что на изъятые гаджеты могут устанавливать «шпионское ПО», допустим, «троян» или Pegasus — программу, которая способна читать текстовые сообщения, отслеживать звонки, собирать пароли, получать доступ к микрофону и видеокамере целевого устройства и собирать информацию из приложений.

Другой — что сотрудники силовых структур просто получат разрешение на законодательном уровне получать данные о подозреваемых из любых баз данных любых компаний (согласно статье 15 закона, упомянутой выше). Но что это будут за базы — предположить тоже сложно. Возможно, это позволит получать данные о передвижениях владельцев мобильных телефонов или же распечатка звонков, или детализация по поисковым запросам в Google, или пароль на роутер от провайдера — вариантов очень много.

Третий — что речь идет просто о легализации методов, которые, вероятно, уже используются, например, перехват СМС-сообщений, программы-«шпионы» или прослушка (эта же мысль высказывается и в Telegram-канале «За BYnet»).

Еще один наш собеседник работает в области кибербезопасности, а конкретно, в red teaming — так называется процесс, когда «красная команда» специалистов симулирует атаку хакерской группировки на заказчика, находит слабые места в защите и советует пути их исправления.

Так, изменения в статье 15, касающиеся баз данных, специалист трактует как возможность не только получить базу данных любой организации, но и законно сохранить и использовать ее «для чего угодно и сколько угодно».

Что касается статьи 26, то тут у нашего собеседника два варианта.

— Удаленный доступ в классическом понимании этого понятия (с помощью RDP/TeamViewer/AnyDesk и так далее) в общем случае невозможен, — говорит он. — Я вижу два принципиально разных толкования.

Первое — удаленный доступ означает проведение всего процесса удаленно. Мол, для безопасности лиц — инициаторов процедуры — нам придется допрашивать и судить вас по Skype.

Второе — таким образом пытаются дать «законное» оправдание использованию уязвимостей в ПО для получения удаленного доступа. Как известно, порядка 13% компьютеров на Windows еще используют версию 7, поддержка которой давно прекращена, и существуют известные дыры, которые позволят захватить контроль над системой, в том числе удаленный.

Эта формулировка при желании позволит обходить ст. 349 (несанкционированный доступ к информации), ст. 350 (модификация компьютерной информации), ст. 352 (неправомерное завладение компьютерной информацией) УК РБ. То есть, можно будет законно установить любое вредоносной ПО на любое устройство любого гражданина, используя любые уязвимости, и назвать это «следственные действия». С учетом другой поправки, которая позволяет не получать повторное разрешение прокурора на работу с другими номерами/людьми, это полностью развязывает руки.

Это только у нас, или в других странах такая мера тоже есть?

Как говорится в статье Дмитрия Харевича «О перспективах совершенствования правового регулирования оперативно-розыскной деятельности, направленной на борьбу с терроризмом и экстремизмом в сети Интернет», в других странах в качестве противодействия киберпреступлениям также применяются «негласные мероприятия, связанные с удаленным контролем» того устройства, на котором хранится интересующая оперативников информация.

Так, по его словам, в последние годы соответствующие меры были предусмотрены в законодательстве Великобритании, России, Франции, ФРГ и предложены для рассмотрения в качестве законопроектов в Австрии и Швейцарии.

Рассмотрим пример наших ближайших соседей. В России в федеральный закон «Об оперативно-розыскной деятельности» пункт про получение компьютерной информации был введен только в 2016 году. При этом единой схемы или законченного набора программ для получения компьютерной информации в настоящее время не существует.

Как говорится в статье Радика Мамлеева «Средства и методы осуществления оперативно-разыскного мероприятия получение компьютерной информации», российские оперативники могут скопировать данные с материального носителя (диска, флешки) или же из «облачного» хранилища.

«К техническим средствам осуществления данных способов можно отнести специальные аппаратные и программные средства и программно-аппаратные средства, предназначенные для негласного получения информации. Эти средства позволяют фиксировать потоки данных, циркулирующие в интерфейсах связи, снимать копии данных обмена (дампы памяти) в оперативной памяти, документировать состояние пользовательских интерфейсов, включая копии экранных изображений, последовательности нажатий клавиатуры, аудио и видео», — говорится в статье.

Также эксперт упоминает и удаленный доступ к компьютерному средству, который получил широкое распространение в связи с появлением многочисленных систем так называемого «родительского контроля» — различных программ, которые позволяют отслеживать местоположение телефона, обход блокировки телефона и даже контроль за вызовами, сообщениями и электронной почтой (хотя эта мера находится в «серой зоне» закона). Однако, как правило, чтобы установить подобную программу, необходим физический доступ к устройству.

Как я могу себя защитить?

Так как мы точно не знаем, что именно подразумевается под «удаленным доступом», мы не можем назвать стопроцентно действующих способов. Ограничимся общими рекомендациями.

Прежде всего, помните, что в Сети не существует абсолютной анонимности: всегда есть вероятность, что пользователь оставил «цифровые следы». В идеале лучше вообще не пользоваться гаджетами, что в современном мире, конечно, практически неосуществимо.

Однако есть способы, позволяющие несколько снизить риск. Перечислим некоторые из них:

регулярно обновляйте свое ПО и антивирус. Если вы все еще работаете на Windows 7, смените операционную систему.

Не переходите по подозрительным ссылкам, присланным вам по почте или в личных сообщениях — так вы можете заполучить «троян» на компьютер, который даст стороннему наблюдателю удаленный доступ к вашим данным.

Активируйте в своем мессенджере функции «Облачный пароль» и «Двухшаговая проверка» — так в дополнение к SMS с кодом авторизации вы должны будете обязательно использовать пользовательский пароль, что позволит снизить риск перехвата SMS и, соответственно, доступа хакеров к вашей переписке. При этом для восстановления пароля желательно не пользоваться электронной почтой.

На платформе Telegram Info (новости о мессенджере) представлена подробная информация, как защитить свой аккаунт, а именно — как задать двухфакторную авторизацию и код-пароль.

Регулярно проверяйте активные сессии во всех своих соцсетях и мессенджерах — нет ли посторонних подозрительных устройств? Допустим, в Telegram это можно сделать так: зайти в настройки (три черточки вверху слева), выбрать «Приватность и Безопасность», а затем нажать на «Активные сессии».

Там вы увидите все устройства, которые сейчас имеют доступ к вашему аккаунту.

Личные беседы лучше проводить в секретных чатах (здесь — инструкция для Telegram, здесь — для Viber, и тут — для WhatsApp), желательно с исчезающими сообщениями. Либо же перенести общение в более надежные мессенджеры, например, Signal (который пока не удалось взломать).

Шифруйте cвои устройства: компьютеры, телефоны, жесткие диски и флешки. Способы и программ для этого много. Как пример, вот инструкция для BitLocker в Windows 10 и для CyberSafe.

При возможности не пользуйтесь роутером от провайдера — как нам рассказал специалист по кибербезопаности, помимо крайне нестабильной работы Wi-Fi такие роутеры еще имеют проблемы с безопасностью. Например, всего за два вечера он нашел минимум 5 критических уязвимостей, которые позволят захватить устройство или же «попасть на деньги».

Если вы немного разбираетесь в «железе» можете попробовать самостоятельно перевести провайдерский роутер в режим «bridge», который позволяет двум или более точкам доступа взаимодействовать друг с другом, таким образом, объединяя вместе несколько локальных сетей. В таком случае для домашней сети лучше использовать второй роутер с NAT, причем его портал WAN нужно подключить в LAN роутера провайдера.

Таким образом, если некто взломает ваш провайдерский роутер, он или она увидит только ваш второй роутер, с которым нельзя ничего сделать (если, разумеется, он поддерживается в актуальном состоянии).

И, конечно, лучше не сохраняйте свои пароли в аккаунте Google.

Читайте также: Оперативники смогут легально получать информацию с компьютеров людей через удаленный доступ

Присоединяйтесь к нам в Viber или Telegram, чтобы быть в курсе важнейших событий дня или иметь возможность обсудить тему, которая вас взволновала.

Комментарии

Правила комментирования

Подписаться
Уведомление о
1 Комментарий
большинство голосов
новее старее
Ответы по тексту
Посмотреть все комментарии
злой кот

Для этого дела нужны весьма опытные хакеры)))

Scroll Up