Фото з відкритих джерел

Оригінал на сайті Mirobase

У цій статті я розповім, що собою являє експертиза, на підставі якої слідчі СБУ вважають, що в них є юридичні підстави обшукувати і вилучати комп'ютерну техніку в таких компаніях, як Dragon Capital і "Укргазвидобування". Також я надам свої висновки і вимоги та опублікую дані незалежних експертиз.

Новини за темою: Департамент перевертнів. Як СБУ знущалася над героєм АТО заради обшуку в Dragon Capital

Через 11 місяців після контрольної закупівлі СБУшники увірвалися до моєї квартири в Києві, забрали документи і печатку моєї компанії, всю техніку моєї сім'ї (ноутбуки, телефони, планшети).

З постанови на обшук я дізнався, що мене звинувачують у незаконному використанні спеціальних технічних засобів на підставі експертизи, здійсненої в Інституті спецтехніки СБУ.

Мої адвокати змогли ознайомитися з документом, що став причиною подальшої історії, яка закінчилася спланованою атакою на найважливіші економічні сектори країни.

Висновок експерта #62/3-419/2 від 14.10.2016

Фото з відкритих джерел

Якщо ви не IT-спеціаліст, то далі вам буде нецікаво читати аж до висновків (вони в кінці статті). У двох словах — експерти визнали спецзасобом не програмне забезпечення, а конкретний комплекс з ПК та ноутбука, на якому встановлено одну з можливих конфігурацій "Стахановця". У разі, якщо комусь підкинути ноутбук, налаштований як робоче місце в мережі підприємства, то власник прав адміністратора цієї мережі зможе отримати доступ до цього ноутбука. Але при цьому не враховується, що точно так само можна налаштувати ці ж ПК і ноутбук навіть без "Стахановця", а за допомогою стандартних засобів операційної системи Windows. Другий висновок: комплекс з того ж ПК (ПК — найголовніший елемент, саме на ньому працює програма і збирається та аналізується інформація) і мобільних телефонів з установленим "Стахановцем" — НЕ є спецзасобом. Третій висновок: дані у зовнішню мережу НЕ передаються.

Новини за темою: Творець софта "Стахановець": Такі програми легально працюють по всьому світу, а СБУ відкрила справу і пропонувала "домовитися"

Тепер детальніше.

Два експерти інституту СБУ, один з досвідом роботи 8 років, другий — 5 років, проводять дослідження з метою відповіді на три питання:

  1. чи належать передані їм пристрої до спецзасобів?
  2. чи дозволяє встановлене на пристроях ПО забезпечити прихований доступ до даних і за яких умов?
  3. чи повідомляє встановлене ПО користувача про передачу інформації на інші технічні пристрої та на зовнішні ip-адреси, і, якщо дані передаються на зовнішні ip-адреси, то встановити, на які саме.

Експерти, використовуючи засекречену методику, здійснюють аналіз і дають відповіді на ці запитання. Очевидно, вивчивши ПК (налаштованого як сервер), з якого здійснюється адміністрування пристроїв (ноутбуків), спочатку експерти зробили висновок, що це стандартна конфігурація комп'ютерної мережі, яку використовують на будь-якому підприємстві, де є комп'ютерна мережа, і визнати це спеціальним технічним засобом (СТС) — це повна утопія.

Але цей висновок не влаштовував слідчих. У них же, як ми пам'ятаємо з історії з Максимом Авраменком, злий начальник, який звільнить їх, а їм треба годувати сім'ю і дітей. Тому придумали таке: експерти розділили обладнання, отримане на контрольній закупівлі, на частини. "Система 1" — ПК у вигляді сервера і ноутбуки і "Система 2" — ПК у вигляді сервера і мобільні телефони. Це приблизно як розділити кухонний комбайн на частини і задаватися питанням, чи не є ріжуча частина блендера холодною зброєю.

Найважливіше запитання — приналежність цих систем до спеціальних технічних засобів. Відповідь на нього дається за двома критеріями — здатність пристрою працювати як спецзасіб і призначення пристрою для саме таких дій.

Отже, висновок за 1-ю частиною, ПК і ноутбуки.

Експерти визнали систему 1 і як здатну бути спецзасобом, і як призначену (спеціально сконструйовану для шпигунської діяльності) для цього.

Давайте розберемося щодо обох критеріїв. Перший критерій: здатність. Відповідально заявляю, що без усякого "Стахановця" будь-який сисадмін зробить за 5 хвилин систему з двох і більше ПК або ноутбуків, налаштувавши їх так, щоб один з них контролювався з іншого — за допомогою... вгадайте чого? Та звичайної операційної системи Windows, просто включивши найпростішу функцію "віддалене адміністрування". Саме так кожен адміністратор кожної компанії працює з парком ПК підприємства. Ця експертиза показує, що ноутбуки ще в запечатаній коробці здатні бути спецзасобом, оскільки Windows там вже був встановлений.

Очевидно, що будь-який сучасний пристрій здатний бути спецзасобом — мобільний телефон або що завгодно з фотокамерою і диктофоном.

Другий критерій — призначення. Цей критерій свідчить про те, що вся задумка авторів програми була спрямована на отримання продукту, призначеного для шпигунської діяльності. Але Mirobase не можна встановити на чийсь чужий комп'ютер, тільки на свій. Як шпигунові з таким працювати? Продукт Mirobase не відрізняється за функціоналом від ObserveIT або Variato360 чи десятків інших продуктів, що продаються в Україні через офіційні канали. Перевірте, забивши хоча б ці назви в Google.

З документів, з яких знято гриф "таємно" лише нещодавно, можна з'ясувати, що Основними ознаками приналежності виробів до СТС є:

  1. мініатюрне виконання виробу в цілому або відокремленого модуля;
  2. конструктивне виконання виробів у вигляді модульних мініатюрних модулів;
  3. використання при проектуванні радіоелектронних виробів схемотехнічних або конструкторських рішень, спрямованих на протидію пошуковим радіоелектронним засобам.

Але ноутбук???

Чи можна зрозуміти експертів? Все-таки ці люди повинні щось розуміти в IT. Їм просто принесли ноутбуки і запитали, чи можна контролювати один пристрій з іншого. По суті змодельована абсолютно безглузда ситуація, в якій якийсь шпигун хоче отримати доступ до вашої інформації, і для цього він вам дає в користування свій ноутбук, сподіваючись, що ви цю вашу інформацію туди перенесете. Експерти відповідають — так, у сферичному просторі у вакуумі це можливо. Але нагадаю, що чисто технічно, для цього навіть не потрібен ніякий "Стахановець".

І визнати програмно-апаратний комплекс зі стандартною клієнт-серверною архітектурою спеціальним технічним засобом, призначеним для шпигунства, — це пряма суперечність здоровому глузду. З цього я роблю висновок, що на експертів чинився тиск з боку СБУ.

Наступне важливе питання — передача даних на зовнішні сервера. Речник СБУ в своєму тріумфальному виступі на брифінгу заявив про відправку даних на сервер ФСБ. Дивимося висновок експертів СБУ: всі дані передаються на внутрішній сервер (у нашому випадку — це ПК). Усі дані зберігаються на ПК, у захищеній базі даних під керуванням субд MsSQL. Чи можна отримати доступ до даних ззовні без дозволу власника? Відповідь експертів — ні, це неможливо. Власник системи при налаштуванні сам вказує адресу, куди передавати дані, і тільки він знає про це. Це все одно, як ви вказуєте на своєму комп'ютері шлях, де саме (в якій папці та на якому диску) зберегти файл.

А тепер порівнюємо висновки експертів з тим, що говорив усім нам речник СБУ Ткачук на брифінгу.

Щоб поставити крапку в цьому питанні, ми здійснили кілька незалежних експертиз. На сьогодні у нас є висновки таких організацій:

  1. Державна служба спеціального зв'язку та захисту інформації України.
  2. Департамент судової експертизи та експертних досліджень підприємства "Інформаційні судові системи" Державної судової адміністрації України (робота експерта з 18-річним досвідом роботи, у тому числі в тому самому Інституті СБУ).
  3. Незалежна компанія ProtectMaster.

Ви, напевно, вже здогадуєтеся, що висновки експертів спростовують заяви Ткачука. Експертні висновки розміщені за посиланням.

Більше того, висновок Держспецзв'язку показує, що Mirobase відповідає всім вимогам нормативних документів системи технічного захисту інформації в Україні, і це дозволяє використовувати Mirobase не тільки в комерційних, а й у державних установах.

Я впевнений, що в СБУ знали про це заздалегідь. Будь-який експерт в області кібербезпеки вам скаже, що спецслужбам і хакерам не потрібен ніякий "Стахановець" для здійснення своїх дій. Згадайте про злом серверів демократичної партії США. Чи там теж був "Стахановець"? Де була ДКІБ, коли "поклали" "Прикарпаттяобленерго"? Запитання без відповідей.

Зате СБУ в особі спікера дозволяє собі відкрито заявляти жахливо брехливу інформацію, просто щоб тимчасово "зберігати розумне обличчя" у скандалі зі спробою захоплення техніки Dragon Capital і "Укргазвидобування". Заявимо — а потім нехай виправдовуються. Відмінна тактика, але підходить тільки в короткостроковому періоді і тільки в разі, якщо тобі начхати на свою репутацію в принципі.

Висновок за 2-ю частиною, ПК і мобільні телефони з установленим на ньому ПО.

Тут експерти не пішли проти здорового глузду, за всіх тих самих умов зробили висновок, що пристрої з установленим "Стахановцем", включаючи той самий ПК, не належать до спецзасобів. Насправді теоретична можливість є точно такою самою, як і з ноутбуками, причому підкинути телефон начебто навіть простіше, ніж ноутбук. Але для обшуків підприємств набагато більше підходять ноутбуки, тому що корпоративні мобільні не такі поширені. Тому очевидно, що висновок спочатку заточено під обшуки і вилучення з метою отримання можливості на рівному місці зупинити БУДЬ-ЯКИЙ бізнес.

Фото з відкритих джерел

У реальності ПО Стахановець (Mirobase), як і всі його аналоги на ринку, використовується в більшості великих компаній для захисту від витоків інформації. Є стандартний перелік завдань, які повинна виконати компанія для захисту конфіденційної інформації. Для захисту від витоків — потрібні кошти для встановлення, що витік стався. Для цього і потрібні такі продукти, як Mirobase: вони дозволяють сигналізувати про витік та надати документальне підтвердження.

Отже, СБУ сфабрикувала контрольну закупівлю, потім отримала вкрай сумнівну експертизу і на її підставі блокує роботу успішних підприємств. А коли їх притискають, вони розуміють, що ця експертиза нікуди не годиться, і висувають маячні ідеї про сервери в РФ і ФСБ. Тим самим вони намагаються приховати свої справжні цілі. Мені сподобалося лаконічне формулювання в заяві Dragon Capital про всю цю ситуацію: "...справляє враження іншої зацікавленості СБУ, ніж просто боротьба зі злочинністю".

Ще один момент — що СБУшники роблять з обладнанням, на які держава виділила гроші. У цьому випадку — близько 70 тис. грн було витрачено на закупівлю ПК, ноутбуків і телефонів. Поки що статус "слідство триває". Але ми можемо зазирнути в реєстр, щоб побачити рішення суду з приводу точно такої самої контрольної закупівлі. Паралізувавши діяльність величезної IT компанії шляхом обшуку та вилучення всієї техніки (того разу прем'єр-міністр не подзвонив - і забрали взагалі все), СБУшники вийшли переможцями. Щоб уникнути катастрофічних збитків і неминучого розорення, компанія була змушена піти на угоду зі слідством, співробітник компанії написав під диктовку визнання та отримав вирок — штраф 51 тис. грн. Що ж сталося з технікою для контрольної закупівлі, купленої за державні гроші? Передали до дитячих будинків? Ні. За рішенням суду техніку знищили. Софт можна деінсталювати за 5 хвилин. Накопичувач можна відформатувати. Але ні — знищили повністю. Коментарі зайві, але уявіть, як СБУшники знищили б 300 комп'ютерів у Dragon Capital і 450 - в "Укргазвидобуванні"...

Фото з відкритих джерел

Ще один чудовий момент — у вироку зазначено, хто саме може отримати доступ до даних у налагодженій системі. І хто ж цей зловмисник? Адміністратор системи! Так і написано — стороння особа — Адміністратор. Вітаю всіх системних адміністраторів країни — ваша діяльність тепер називається: здійснення прихованого доступу до даних користувача.

Фото з відкритих джерел

Отже, я заявляю:

  1. Експертиза про визнання ПО спецзасобом, на яку посилаються слідчі, котрі прийшли в Dragon Capital і "Укргазвидобування", була отримана в результаті сфальсифікованої контрольної закупівлі.
  2. Заява про те, що "Стахановець" передає дані на сервер в Росію, — брехня, це доводять у тексті експертизи інституту СБУ і дані трьох незалежних експертиз, дві з яких виготовлені спеціалізованими державними підприємствами.
  3. Брехливі заяви на брифінгу — це просто відчайдушна і не дуже розумна спроба виправдатися за наїзд на Dragon Capital. Договір з Dragon Capital було вилучено при обшуку в мене вдома, договір з "Укргазвидобуванням" було вилучено при обшуку в одній з компаній-партнерів. Саме так вони зрозуміли, куди їм йти, вибрали найбільші компанії. Дивуюся, як вони не заявилися в Ощадбанк (у них є інформація, що там установлено точно такий самий продукт) і не завалили фінансову систему країни.
  4. Заява речника СБУ ніяк не співвідноситься з тим, що на ринку є безліч аналогічних продуктів і їх використовують тисячі компаній, оскільки це — стандарт інформаційної безпеки для будь-якого підприємства.
  5. Сама експертиза є суперечливою по суті. Експерти розбили комплекс на частини і одну визнали спеціальним технічним засобом, а другу — ні. При цьому основна, серверна, частина — одна і та сама. ПК і мобільні — не СТС, цей самий ПК та ноутбуки — СТС. Це дуже дивний і абсолютно нелогічний висновок. Є ймовірність, що на експертів чинили тиск, щоб вони визнали хоча б комплекс з ноутбуків СТС, щоб були підстави обшукувати будь-які підприємства.
  6. Прошу співробітників ДКІБ СБУ публічно вибачитися за полонення Максима Авраменка. Чому вони цього ще не зробили? Адже було очевидно, ще з анонсу цієї історії, що тема спливе.
  7. Прошу СБУ публічно спростувати озвучену неправдиву інформацію на брифінгу. Якщо ви сумніваєтеся у висновку ваших же експертів (що можна зрозуміти), ознайомтеся з даними незалежних експертиз.
  8. Прошу журналістів, IT-експертів, юристів, слідчих НАБУ звернути увагу на справу за ст. 359, за якою СБУ переслідує мою компанію, компанії моїх партнерів і клієнтів. СБУ створена для того, щоб захищати економічні та науково-технічні інтереси України (див. ст. 2 закону про СБУ) а робиться рівно протилежне - витрачаються державні ресурси даремно, гальмується економіка (26 квітня, в день обшуків, ринок українських акцій впав на 4%), IT-фахівців видавлюють з країни, знижується інвестиційна привабливість України. У КК є ст. 114 Шпигунство, ось за нею можна ловити реальних шпигунів.
  9. Прошу депутатів, журналістів і просто небайдужих людей донести цю інформацію до президента і прем'єр-міністра: Руками СБУ здійснюється послідовна діяльність щодо ослаблення економіки України шляхом спрямованого удару по критично важливих галузях: інформаційні технології, залучення іноземних інвестицій, власний видобуток газу. Вся ця брудна операція, що включає фальсифікації, знущання над людьми, захоплення IT-обладнання у працюючого бізнесу, прикривається заявами про боротьбу з агресією РФ.
  10. Ст. 359 у поточному вигляді не приносить користь суспільству. Вона була включена до КК Кучмою, через кілька місяців після плівок Мельниченка, і була безпрецедентно посилена Януковичем у 2010-му. Подивіться, що відбувається через цю статтю:
  • правопорушення з боку спецслужб;
  • поламані долі простих людей;
  • розорені софтові компанії (вилучена техніка, паралізований бізнес);
  • залишилися без роботи співробітники цих компаній;
  • витік айті фахівців за кордон (де й близько немає такої дикості);
  • розтрати даремно держкоштів;
  • марна розтрата часу співробітників СБУ;
  • вимушена публічна брехня спікера СБУ;
  • наїзди на великий бізнес;
  • падіння інвестиційної привабливості країни;
  • падіння репутації СБУ;
  • ганьба перед міжнародним співтовариством.

У ст. 359 все ще живуть Кучма і Янукович, і вони продовжують тягнути Україну на дно. Шановний президенте, прем'єр-міністре, депутати! Ось прямо зараз ви потрібні цій країні найбільше. Згадайте, заради чого вас обрав народ України, відірвіться від усіх цих дуже важливих чиновницьких турбот і зробіть що-небудь для країни! Якщо не буде жодної реакції, це означає, що ЇМ МОЖНА це робити, а отже, вони продовжать.

Михайло Яхимович

Редакція може не погоджуватися з думкою автора. Якщо ви хочете написати в рубрику "Думка", ознайомтеся з правилами публікацій і пишіть на blog@112.ua.