Документирование цифровых атак

У документирования инцидентов цифровой безопасности может быть несколько целей. Зачем может понадобиться фиксировать подробности того, что происходит во время атаки?

• Вы станете лучше понимаеть ситуацию и примете более адекватные решения для самозащиты.
• Соберёте детали, которые будут нужны экспертам-айтишникам и юристам для вашей поддержки.
• Определите шаблоны, которые применяет злоумышленник, и вычислите дополнительные угрозы.
• Приведёте ваше психологическое состояние в порядок и разберётесь с тем, как атака влияет на ваши эмоции.

Собираете ли вы данные для себя или для тех, кто будет потом оказывать вам техническую и юридическую поддержку, аккуратное документирование инцидента поможет лучше понять:

• масштаб и направленность атаки: это разовое действие или повторяющийся шаблон, атака направлена именно на вас или на более широкий круг людей;
• суть и привычки злоумышленника: это один человек или часть организованной структуры; черпает информацию из открытых источников в интернете или заполучил доступ к приватным данным; тактики, технологии и т.д.;
• приведут ли ваши ответные действия к снижению физических или онлайновых угроз или, напротив, усилят их.

Когда начнёте собирать данные, задумайтесь над следующими вопросами.

• Какова основная цель документирования: упорядочить собственные переживания или разобраться в том, что происходит?
• Вы хотите получить техническую поддержку для того, чтобы остановить атаку? Обратите внимание на этот раздел Digital First Aid Kit: здесь перечислены организации CiviCERT, которые могут прийти на помощь.
• Собираетесь ли вы предпринять шаги юридического характера?

В зависимости от ваших целей сбор данных может производиться немножко по-разному. Если вам нужно собрать данные для юридического преследования злоумышленника, понадобится собирать определённые типы данных, чтобы их принял суд. Например, телефонные номера и метки времени. Тому, кто будет заниматься сбором технических доказательств, придётся иметь дело с дополнительными свидетельствами, такими как веб-адреса (URL), никнеймы пользователей, скриншоты. В следующих разделах мы подробнее расскажем, как следует собирать информацию в отдельных случаях.

Позаботьтесь о своем психологическом благополучии

Работа с информацией об инцидентах цифровой безопасности может вызывать/усиливать стресс. Ваше физическое и эмоциональное состояние — приоритет (неважно, с какими материалами вы собираетесь работать). Документирование не должно вызывать дополнительный стресс. Давайте посмотрим, что тут можно сделать.

• Документировать и записывать данные можно самыми разными способами. Выбирайте только те, которые для вас удобны и поддерживают главные цели вашей работы по документированию.
• Документирование цифровых атак — задача эмоционально ресурсоёмкая. Она может вызвать травматичные воспоминания. Если вы чувствуете перегрузку, подумайте о том, чтобы передать работу по документированию коллеге, другу, доверенному лицу или мониторинговой группе. Они смогут заняться документированием, а вы не будете травмированы вторично.
• Если под атакой целая команда, пусть документированием займётся несколько человек по очереди. Очень важно добиться согласия между ними. Документация должна продолжаться так долго, как договорятся вовлечённые в процесс люди.
• Ещё советы о том, как вам могут помочь друзья и члены семьи.

При документировании цифровых инцидентов или случаев агрессии на гендерной почве не избежать сбора информации об угрозах. Документирование должно быть не только рациональным и технически корректным. Оно должно помочь вам с помощью текста, изображений, аудио, видео и, возможно, разных артистичных приёмов зафиксировать, как вы чувствовали себя после каждой атаки. Мы советуем делать это офлайн и не забывать заботиться о своей частной жизни.

Подготовьтесь к документированию

Хорошо, мы обратили внимание на своё благополучие. Но это не всё. Перед тем, как фиксировать информацию, создайте “карту” всех связанных с атакой данных. Это поможет сориентироваться, на какие детали обратить внимание при документировании.

Самым важным рабочим элементом при документировании является организованная запись (лог). Для юридических или технических целей полезен лог с ключевыми деталями. Например, такой лог позволит обнаружить и подтвердить шаблон поведения злоумышленника. Если же вы собираете данные для того, чтобы привести в комфортное состояние самого себя, хватит обычного и не особенно структурированного текста. Вам предстоит выбрать между более или менее структурированным логом, между текстовым документом и электронной таблицей. Можно вести журнал записей и на бумаге. Выбор за вами.

Все действия в цифровом мире оставляют следы (метаданные). Время, продолжительность, адреса отправителей и получателей, и пр. Ваши устройства сами ведут логи, в которые записывают такие метаданные. Это же делают операторы связи и социальные сети, провайдеры доступа к интернету и многие другие. Анализ логов может дать эксперту-юристу или "компьютерщику" важные данные для определения личности злоумышленника. Например, если мы зафиксируем 20 звонков на конкретный номер телефона за короткий период времени, это может подкрепить жалобу о домогательствах.

Организованный, структурированный лог помогает распознать шаблоны атаки. Они, в свою очередь, помогут юристу подготовить судебный иск, а IT-специалисту — блокировать атаку и защитить ваши устройства.

Ниже мы приводим пример данных, которые полезно собирать в большинстве случаев. Но каждая ситуация имеет свои особенности. Можете скопировать эти поля в таблицу или документ своего лога и добавить другие поля по необходимости.

Дата	Время	Email или телефон злоумышленника	Связанные события	Имена и названия (в т.ч. аккаунтов) злоумышленника	Тип инцидента	Использованные злоумышленником технологии

Вот пара примеров того, как вести логи:

• Шаблон для лога от горячей линии по цифровой безопасности Access Now
• Шаблон для лога по инцидентам агрессии по мотивам гендера от Acoso.online

Помимо лога храните всё, что связано с событием или инцидентом в папке (папках). Сюда относятся и собственно логи, и любые цифровые свидетельства, всё, что вы скачали, экспортировали, что попало на ваши скриншоты. Даже те факты, которые не имеют юридической значимости, могут оказаться полезными. Например, позволяет оценить характер атаки и планировать ответные действия.

Обеспечьте безопасность собранной информации. Лучше хранить данные на собственных устройствах (не только онлайн/в облаке). Защищайте данные с помощью шифрования. Держите их в спрятанных папках или скрытых логических дисках, если возможно. Вы ведь не хотите потерять эти данные или сделать их общедоступными.

В соцсетях постарайтесь не блокировать, не игнорировать аккаунты, с которых идёт атака, и не жаловаться на них, пока не соберёте всю нужную вам информацию. Поспешные действия могут помешать документированию. Если же вы уже заблокировали какой-то аккаунт в соцсети или пожаловались на него, ничего страшного. Аккаунт можно разблокировать или продолжить документирование с аккаунта кого-нибудь из ваших друзей либо коллег.

Делайте скриншоты

Нельзя недооценивать значимость скриншотов, сделанных во время атаки. (Их можете делать не только вы, но и кто-то из ваших единомышленников). Цифровые сообщения легко потерять, да так, что и следов не найдёшь. Твиты из Twitter или сообщения WhatsApp можно восстановить только с помощью администрации этих ресурсов. Вам, скорее всего, придётся долго ждать ответа (если вообще дождётесь).

Не знаете, как делать скриншот? Воспользуйтесь обычным поиском "как сделать скриншот" и добавьте в строку производителя, модель и операционную систему. Например, "Samsung Galaxy S21 Android как сделать скриншот".

Если делаете скриншот содержимого окна браузера, важно включать адресную строку (URL). Адресная строка находится в верхней части браузера. Иногда браузеры скрывают её и показывают только при перемотке с помощью мыши. Адрес удостоверяет, что домогательства происходили в определённом месте, и это полезно как для юристов, так и для IT-специалистов. Ниже вы видите пример скриншота, где сохранён URL.

Документирование для юридических целей

Юридические ответные меры не всегда обязательны и необходимы. Собираетесь ли вы вообще предпринять какие-то шаги юридического характера? Не подвергнут ли они вас дополнительному риску? Достаточно ли у вас ресурсов, в частности, времени? Способствуют ли эти шаги вашему благополучию?

Если вы решили отправиться с вашим делом в суд, обратитесь за консультацией к юристу или юридической организации, которой вы доверяете. Плохой юридический совет может только добавить стресса. Не ввязывайтесь в юридические баталии сами по себе, без поддержки. По крайней мере, пока на 100% не уверены в своих действиях.

В большинстве юрисдикций адвокату придётся продемонстрировать, что зафиксированный факт имеет отношение к делу, объяснить, как эта информация была получена и проверена, удостоверить, что это было совершено законным путём, что сбор данных был необходим для целей судебного процесса, и что все собранные данные могут быть приняты судом. Когда юрист всё это сделает, суд может принять информацию в качестве доказательства.

Мы дадим несколько рекомендаций о том, что нужно для юристу для успеха.

• Важно собирать данные быстро, с самого начала атаки. Данные могут быть удалены в любой момент как отправителем, так и администрацией соцсети. Тогда "вытащить" их станет куда труднее.
• Нужно документировать детали, даже если инцидент кажется незначительным. Это может оказаться частью большего плана, криминальный характер которого окажется заметен только когда атака подойдёт к концу.
• Можете попросить владельцев сервисов или провайдеров доступа к интернету сохранить для вас данные о цифровой атаке. Это возможно на короткий срок (несколько недель, может быть, месяц). О том, как это сделать, можно прочесть в материале Without My Consent’s information on filing a litigation hold request.
• Данные о дате/времени и веб-адреса важны для принятия судом собранной вами информации в качестве доказательства. Юристу приходится демонстрировать, что сообщение отправлено с устройства А на устройство Б в определённый день и определённое время с использованием конкретных инструментов.
• Для юристов важно, чтобы данные не были подделаны, что они находились в надёжных руках с момента сохранения, и что они аутентичны. В этом смысле скриншоты и распечатки электронных писем не считаются юридически приемлемыми доказательствами.

По этой причине вам может быть разумнее обратиться к эксперту, скажем, к нотариусу или в компанию, которая обладает возможностью подтверждать цифровые данные. Такие компании часто бывают более дешёвым решением, чем сертифицированные нотариусы. К кому бы вы ни обратились, у этого лица или компании должно при необходимости хватать технического опыта для выполнения следующих действий:

• подтверждение даты/времени;
• удостоверение того, что такой-то контент существует или не существует (например, сравнивая ваши скриншоты и прочие собранные данные с оригинальным источником), подтверждение того, что ваше свидетельство не подделано;
• удостоверение того, что цифровые сертификаты соответствуют URL;
• проверка личностей, например, удостоверение, что некое лицо действительно числится в списке клиентов социальной сети, имеет в этой сети аккаунт с таким-то ником, и с этого ника ведётся атака;
• подтверждение владения телефонным номером в WhatsApp-чате.

Приготовьтесь к тому, что не все собранные вами доказательства будут допущены судом. Изучите юридические процедуры в делах, связанных с цифровыми угрозами в вашей стране и регионе. Это поможет решить, как действовать дальше.

Документирование случаев нарушений прав человека

Если вам нужно документировать нарушения прав человека, в частности, сохранить или скопировать материалы, которые администрации соцсетей активно удаляют, вам может пригодиться помощь организаций вроде Mnemonic.

Как сохранить доказательства для юридических групп и цифровых исследователей

Мы поговорили о скриншотах, но есть и другие соображения о том, как эффективнее сохранять доказательства для тех людей, которые будут вам помогать в техническом или юридическом смысле.

• Логи звонков. Номера входящих и исходящих звонков хранятся в базе на вашем мобильном телефоне,
  • Можете сделать скриншот этого лога.
  • Можно также сохранить логи, сделав резервную копию всего телефона или с помощью специальных приложений, которые позволяют скачивать логи.
• Текстовые сообщения (SMS). В большинстве мобильных телефонов есть возможность делать резервную копию SMS-сообщений сразу в облако. Или же вы можете сделать скриншоты. Ни то, ни другое не пройдёт в суде без дополнительной верификации, но эти данные всё равно важны для документирования атак.
  • Android. Если ваш телефон не умеет делать резервные копии SMS-сообщений, можно использовать приложение SMS Backup & restore.
  • iOS: Включите резервное копирование сообщений здесь: iCloud в Настройках > [ваше пользовательское имя] > Управление хранилищем > Резервное копирование. Нажмите на имя устройства, которое вы используется, и активируйте резервое копирование сообщений.
• Запись звонков. В новых телефонах есть функия записи звонка. Выясните, насколько это законно в вашей стране или местной юрисдикции — записывать телефонные звонки. Нужно ли для этого согласие обеих сторон разговора? Только одной стороны? Иногда такая запись может быть и вовсе незаконной. Если она законна, можете настроить телефон так, чтобы запись включалась автоматически при ответе на входящий звонок, а ваш собеседник не получал бы никаких уведомлений.
  • Android. Зайдите в Settings > Phone > Call recording settings. Тут вы можете активировать автоматическую запись всех телефонных звонков, в том числе от неизвестных людей, или только с определённых номеров. Если на вашем устройстве этой опции нет, можете скачать приложение вроде Call Recorder.
  • iOs. Apple более жёстко относится к записи телефонных разговоров. Эта опция по умолчанию заблокирована. Придётся устанавливать приложение типа RecMe.
• Email. У каждого электронного письма есть заголовок. В нём содержится информация об отправителе и о том, как письмо было послано. Что-то вроде марки и почтового штемпеля на обычной почте.
  • О том, как читать и сохранять заголовки email, можно прочесть в руководстве Computer Incident Response Center Luxembourg (CIRCL).
  • Если вы располагаете временем, можете настроить email на скачивание всех сообщений в программе-клиенте вроде Thunderbird по протоколу POP3. Инструкции по настройке почтового аккаунта в Thunderbird можно увидеть в официальной документации.
• Фотографии. У всех изображений есть теги EXIF — метаданные, которые могут сообщить, где и когда был сделан снимок.
  • Вы можете сохранять изображения с веб-сайтов (или полученные в чате) так, чтобы сохранять EXIF-теги (если вы просто сделаете скриншот, теги оригинальных изображений не сохранятся). Нажмите на изображение и удерживайте на мобильном устройстве, либо щелкните правой кнопкой мыши на компьютере (control на Mac, клавиша меню в Windows).
• Веб-сайты. Скачать веб-страницу полностью может оказаться хорошей идеей. Это будет полезно тем, кто планирует вам помогать.
  • Если страница с домогательствами открыта для публичного просмотра (иначе говоря, вам не нужно никуда залогиниваться, чтобы её увидеть), попробуйте указать адрес этой страницы в Wayback Machine. Так вы сохраните страницу, зафиксируете дату сохранения и сможете вернуться к этой сохранённой странице позже.
  • На скриншотах деталей меньше, но они тоже могут содержать важную информацию.
• WhatsApp. Чаты WhatsApp можно скачать в текстовом формате или с медиафайлами-вложениями. Они также по умолчанию сохраняются в виде резервной копии в iCloud или Google Drive.
  • Следуйте инструкциям для экспорта истории отдельного индивидуального или группового чата здесь.
• Telegram. Для экспорта Telegram-чатов понадобится десктопное приложение. Вы можете выбрать формат и время, за которое нужно экспортировать чаты. Telegram сохранит их в HTML. Инструкции см. здесь.
• Facebook Messenger. Войдите в свой аккаунт Facebook. Выберите "Настройки" > "Ваша информация на Facebook" > "Скачивание информации профиля". Появится много опций. Выберите "Сообщения". Facebook понадобится время, чтобы создать файл, он сообщит, когда всё будет готово для скачивания.
• Если вам нужно сохранить в качестве доказательств видео, подготовьте внешний накопитель (жёсткий диск, USB-флешку, SD-карту) с достаточным запасом свободного пространства. Возможно, понадобится программа для записи видео с экрана. Среди подходящих программ для Windows можно упомянуть The Camera, XBox Game Bar, Snipping Tool. Для Mac — Quicktime. Чтобы сохранять видео, вы также можете использовать браузерный плагин типа Video DownloadHelper.
• Иногда атака носит масштабный характер. Например, множество пользователей пишут с определённым хэштегом, или публикуется сразу большое число комментариев онлайн. В таком случае вам может понадобиться помощь команды специалистов по безопасности, исследователей или университетские мощности, чтобы собирать и обрабатывать большое количество данных. За такой помощью рекомендуем обращаться в организации Citizen Lab, Fundacion Karisma’s K-Lab (по-испански), Meedan, Stanford Internet Observatory и Oxford Internet Institute.
• Файлы-вложения, которые приходят вам вместе с вредоносными сообщениями, тоже имеют ценность как доказательства. Ни при каких обстоятельствах не щёлкайте по ним и не открывайте их. Помочь разобраться с ними может доверенный технический консультант. Он безопасно переправит эти файлы специалистам, которые сумеют их изучить.
  • Можно использовать инструмент Danger Zone для конвертирования потенциально опасных PDF-файлов, офисных документов и изображений в безопасные PDF-файлы.
• Если речь идёт о таргетированной атаке, когда на ваше устройство пытаются внедрить шпионское приложение, либо конкретно вам присылаю вредоносное письмо, следует собрать больше технических данных. Важно определиться, когда собирать информацию самому, а когда оставить это дело экспертам. Если вы не уверены, как лучше поступить, обратитесь к консультанту, которому доверяете.
  • Если устройство включено, пусть остаётся включённым. Если отключено, пусть так и будет. Когда вы включаете или выключаете устройство, вы рискуете потерять важную информацию. В исключительно важных ситуациях, а также когда требуются юридические доказательства, лучше всего привлечь экспертов-исследователей перед тем, как включать или отключать устройство.
  • Думаете, что на устройстве может быть какой-либо вредоносный код? Сфотографируйте устройство. Опишите его внешнее состояние, место, где вы его обнаружили, когда впервые заподозрили неладное. На устройстве есть какие-нибудь вмятины или царапины? Оно влажное? Рядом видны какие-нибудь инструменты, с помощью которых устройство могли вскрыть?
  • Храните и устройство, и данные, которые удалось из него извлечь, в безопасности.
  • Способ извлечения данных из устройства зависит от типа устройства. "Вытащить" данные из ноутбука — не то же самое, что "вытащить" их из смартфона. Для каждого устройства нужны соответствующие инструменты и знания.
• При сборе данных в связи с таргетированной атакой часто оказываются нужны системные логи, которые ваш телефон или компьютер пишут автоматически. Технический эксперт, который помогает вам со сбором данных, может поинтересоваться таким логом. Эксперт безопасно извлечёт метаданные и файлы-вложения и отправит аналитикам для дальнейшего изучения.
  • Чтобы сохранить метаданные, держите устройство подальше от других систем хранения данных, отключите wifi и Bluetooth, отключите проводную сеть и никогда не редактируйте лог-файлы.
  • Не подключайте флешку и не пытайтесь скопировать лог-файлы на неё.
  • В этих файлах может находиться информация о состоянии файлов на устройстве (например, о том, кто и когда имел доступ к этим файлам) или о самом устройстве (скажем, была ли команда на отключение устройства, стирание данных, или кто-то пытался скопировать файлы на другое устройство).