Другие способы сокрытия улик
Помимо шифрования, в распоряжении современных преступников есть множество инструментов для сокрытия информации.
Преступники или люди, уклоняющиеся от правосудия, часто защищают свои компьютеры от проникновения с помощью пароля. Во время расследования дела об игорным бизнесе, связанном с нью-йоркским криминальными кланами Гамбино, Дженовезе и Коломбо, у букмекеров были обнаружены защищенные паролем компьютеры, использовавшиеся для сокрытия ставок, размер которых превышал 65 миллионов долларов в год (Ramo, 1996). После того как выяснилось, что паролем было имя матери одного из бандитов, полиция обнаружила 10 тысяч цифровых ставок на 10 миллионов долларов.
Другая корпорация, занимающаяся игорным бизнесом, управляла охватывающей три калифорнийских округа сетью связанных сайтов. Глава синдиката работал с документацией, используя коммерческую бухгалтерскую программу и пароль для защиты доступа к своим файлам. Хотя разработчики программы отказались сотрудничать с правоохранительными органами, полиции удалось получить доступ к документам, обнулив пароли в файлах данных. Следователи обнаружили ежедневные записи о ставках, выигрышах и вовлеченных людях и суммы ставок и выплат или долгов и т. д. Распечатанные файлы, содержащие результаты четырех лет работы букмекеров, признаны доказывающими вину по предъявленным пунктам, что налагает на ответчика обязательство производить выплаты штату и государству[69].
Использование паролей наиболее часто встречается в делах о компьютерных преступлениях. Из 299 проверенных CART с апреля по декабрь компьютеров шестьдесят (20%) были защищены паролями, то есть в шесть раз больше, чем шифрованием.
Цифровая компрессия
Цифровая компрессия в основном используется для уменьшения размера файла или передаваемого сообщения без потери данных или, по крайней мере, значащих данных. Наибольшего сжатия можно добиться с аудио, графикой и видео, однако можно значительно сжать даже текст. Компрессия может способствовать сокрытию преступной информации двумя способами. Во-первых, она затрудняет полиции идентификацию и доступ к информации, содержащейся в перехваченных сообщениях или изъятых файлах. Во-вторых, используемая перед шифрованием компрессия может осложнить взлом даже простого шифра. Это связано с тем, что представление сжатой информации менее упорядоченно, чем представление оригинальных данных, это делает их менее чувствительными к технологиям восстановления данных, использующим избыточность языка и мультимедиа.
Стеганография
Стеганографией называют метод сокрытия секретной информации внутри другой информации таким образом, что скрытым оказывается само наличие секретной информации. Один из методов стеганографии заключается в записи секретной информации в младшие биты графических, аудио- и видеофайлов. Существует множество инструментов, работающих на основе этого метода, многие из которых можно бесплатно скачать из Интернета. С помощью таких инструментов пользователь может спрятать информацию, просто перетащив значок файла на графическое изображение. Программа может также при необходимости до сокрытия зашифровать информацию, чтобы обеспечить дополнительную безопасность. Инструменты стеганографии также могут скрывать информацию в аудиофайлах или в секторах на диске, которые нельзя обнаружить стандартными средствами.
Нам известно о нескольких случаях использования стеганографии преступниками. Например, известен случай, когда вор кредитных карт прятал их номера на взломанной веб-странице. Он заменил маркеры изображениями, выглядящими также, но содержащими номера кредитных карт, которые он затем продавал своим сообщникам. Это дело иллюстрирует потенциал использования изображений в качестве «мертвых цифровых тайников» для торговли информацией. О существовании тайника может быть известно только горстке людей.
Стеганография также может быть использована для сокрытия существования файлов на жестком диске компьютера. Росс Андерсон, Роджер Нидхам и Ади Шамир предлагают систему стеганографии, которая делает файл невидимым для всех, кто не знает имени файла и пароля. Взломщик, не располагающий данной информацией, не получит никакого подтверждения существования файла, даже имея полный доступ к программным и аппаратным средствам. Выполнив простые действия, можно скрыть файл в одном или нескольких маскирующих файлах. Маскирующие файлы выбираются введенным паролем пользователя (Anderson, Needham, and Shamir, 1998).
Удаленное хранение
Преступники могут прятать информацию, сохраняя ее на удаленных хостах, например, на сервере Интернет-провайдера (ISP). Джим МакМагон, бывший глава отделения по расследованию высокотехнологических преступлений полицейского департамента Сан-Хосе, сообщил нам о том, что лично сталкивался со случаями, когда подозреваемые хранили информацию на нелокальном диске, зачастую ISP, а иногда и в плохо защищенных от взлома системах непричастной к преступлению третьей стороны. Юджин Шульц, бывший управляющий отдела компьютерных инцидентов министерства энергетики, сообщил, что группа хакеров из Нидерландов украла настолько большой объем информации из компьютеров министерства обороны, что не могла хранить его на своих дисках, поэтому хакеры взломали системы университета Боулинга Грина и университета Чикаго и загрузили туда информацию, рассчитывая позже переправить ее в другое место[70]. Известны случаи, когда компьютерные пираты хранили украденные файлы в скрытых директориях взломанных ими систем.
Информация также может быть спрятана на съемных дисках и храниться удаленно от компьютеров. Дон Дилани, детектив полиции штата Нью-Йорк, в начале 1997 года сообщил нам о том, что при расследовании дела о русской организованной преступной группе, подозреваемой в неуплате налогов в размере 100 миллионов долларов, отмывании денег, незаконной торговле бензином и коррупции на предприятиях, полиция получила ордеры на обыск и изъятие дисков и записей, хранившихся в портфелях и чемоданах в двух расположенных в разных местах офисах. После изматывающего шестимесячного исследования улик следствие установило, что наибольший объем важных доказательств содержался на дискетах. Мошенники работали в Excel, а результаты работы сохраняли на флоппи-дискетах. Следователи извлекли из этого дела урок: нужно производить обыск всех доступных мест и искать диски там, где обычно хранится частная собственность. Носители информации становятся все меньше по размеру, давая преступникам все больше возможностей для сокрытия данных.
Отключение аудита
Большинство систем сохраняют записи о производимых действиях. Злоумышленники, совершающие компьютерные преступления, во многих случаях отключают отслеживание действий или удаляют записи, указывающие на их деятельность. Используемое хакерами средство RootKit, к примеру, содержит набор системных утилит, «тро-янов», скрывающих присутствие хакера и отключающих аудит. Другая программа, ZAP, удаляет записи о произведенных действиях. Оба эти средства можно бесплатно скачать из Интернета.