Николай Николаевич Федотов, главный аналитик компании «InfoWatch»

Расследование инцидентов ИБ:
как организовать обработку жалоб на ваших пользователей?

Жалобы «от» и жалобы «на» – это две большие разницы. Первые – забота клиентской службы и техподдержки, они сигнализируют о качестве IT-услуг. Вторые же несут в себе информацию об инцидентах безопасности.

Место и роль

Обработка жалоб является звеном в системе расследования инцидентов ИБ (превентивные меры, выявление, расследование, реагирование, модернизация защиты). Жалобы, во-первых, позволяют обнаружить инцидент. Во-вторых, работа с жалобщиками – это часть преодоления вредных последствий произошедшего инцидента, то есть часть этапа реагирования.

Казалось бы, существенный инцидент не может остаться незамеченным. Зачем отдельные усилия для обнаружения? С одной стороны, важно узнать о проблеме как можно раньше. С другой стороны, требуется не просто детектировать наличие инцидента, но также установить характер инцидента, его суть, параметры, источник и др. Приведём пример из богатой практики автора. В офисе одного маленького предприятия компьютер заразился троянской программой. Троян создал сокс-сервер, через который злоумышленники начали рассылать спам. Но все эти подробности выяснились сильно потом, а сразу после инцидента никто ничего не заподозрил. Антивирус присутствовал, но троянская программа начала детектироваться антивирусом лишь спустя несколько недель (обычная ситуация, сигнатурные антивирусы всегда на шаг позади). Патч к операционной системе, закрывающий соответствующую уязвимость, вышел ещё позже. Однако рассылка спама не осталась совсем незамеченной. IP-адрес заражённого компьютера на второй день попал в чёрный список типа RBL. И клиент об этом узнал бы почти сразу, если бы его провайдер читал поступающие жалобы. Но он не читал. Поэтому троянская программа без препон работала около месяца. Инцидент был обнаружен лишь после получения предприятием громадного счёта за трафик, сумма которого превышала месячный фонд оплаты труда. В итоге клиент долго и нудно судился с оператором связи, выясняя, кто же должен платить за безобразия, учинённые вредоносной программой. Специалист, обладающий острым и пытливым задним умом, сообразит, что при должном рассмотрении жалоб проблема была бы выявлена много быстрее и, конечно, не нанесла бы такого крупного ущерба.

Итак, обработка жалоб необходима, чтобы:

а) своевременно узнать об инциденте или уязвимости,

б) получить дополнительную информацию об этом инциденте,

в) дать знать заинтересованным лицам (жалобщикам), что инцидент расследуется и тем избежать усугубления вредных последствий.

Кстати, отсутствие ответа на жалобу многими трактуется как отсутствие реакции. И влечёт соответствующий ущерб деловой репутации.

Обычаи и стандарты

Приём и обработка жалоб – древняя традиция Интернета. На эту тему есть также писаные нормы. Вопросы, касающиеся жалоб, затронуты в следующих документах саморегулирования Интернета:

Автор рекомендует их просмотреть и, может быть, даже скомпилировать на основе этих норм свой собственный текст.

В крупных организациях, где жалоб много и часто, где их рассмотрением занимается больше одного сотрудника, рекомендуется этот процесс регламентировать и формализовать. Соответствующий документ, устанавливающий правила обработки поступающих жалоб, может называться «инструкция», «политика», «положение», «процедура» или даже просто «приказ».

При составлении такого документа лучше отталкиваться от практики. (Разумеется, от верной практики, а не той, которая действует, когда начальник в отпуске.) То есть, сначала немного поработать, протоптать тропинки, а уже затем эти дорожки асфальтировать приказами и инструкциями.

Надо отвечать

Далее мы рассмотрим типичные виды жалоб и методы реагирования на них.

Спам от

Непосредственная рассылка спама считается недопустимой. Если ваш IP засветился в маршрутном заголовке спамового сообщения, значит ваш компьютер заразился вредоносной программой и стал одним из агентов ботнета (зомби-сети) – это самый популярный ныне метод рассылок. Возможен и другой вариант – заголовок с вашим IP-адресом поддельный. Для маскировки спамеры иногда добавляют парочку фальшивых «Received» в письмо. Третий вариант – что в вашей сети завёлся настоящий спамер – тоже, в принципе, не исключён.

Пример сообщения электронной почты с подложными маршрутными заголовками (два нижних):


Return-Path: 
Received: from optics.npi.msu.su (optics.npi.msu.su [213.131.9.205])?
        by aihs.fnn.ru (8.13.3/8.13.3) with ESMTP id l86KSeiW044748
        for ; Thu, 6 Sep 2007 22:31:41 +0200 (CEST)?
        (envelope-from hermannMcGillivray@wishcentral.com)?
Received: from 78-56-94-43.ip.zebra.lt (78-56-94-43.ip.zebra.lt [78.56.94.43])?
        by optics.npi.msu.su (optics.npi.msu.su) (MDaemon.PRO.v7.1.1.R)?
        with ESMTP id md50000397705.msg
        for ; Fri, 07 Sep 2007 00:28:59 +0400
Received: from UAB3RM by wishcentral.com with ASMTP id 41202CF4
        for ; Thu, 6 Sep 2007 23:28:05 +0300
Received: from UAB3RM ([179.125.9.57])?
        by wishcentral.com with ESMTP id AAC6D093EA59
        for ; Thu, 6 Sep 2007 23:28:05 +0300
Message-ID: <000c01c7f0c4$64f2f9d0$2b5e384e@UAB3RM>
From: "hermann McGillivray" 
To: 
Subject: noredrab
Date: Thu, 6 Sep 2007 23:27:50 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_0008_01C7F0DD.8A4031D0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
...

Соответственно: троянцев – удалять, поддельные заголовки – объяснять, настоящим спамерам – блокировать 25-й порт.

После разбирательства рекомендуется ответить жалобщику, что причина спама устранена, либо что его жалоба перенаправлена по назначению. Ответ в стиле «пишите в другую инстанцию» не рекомендуется. Сильно раздражает. А перенаправить письмо большого труда не составляет.

Рекламируемые ресурсы

Борцы со спамом знают, что источник рассылки можно выявить. Но его выявление не всегда эффективно, особенно когда речь идёт о зомби-сетях (ботнетах), где тысячи узлов, а отключение нескольких из них никак не повлияет на ход рассылки.

Более эффективно воздействовать на заказчиков спама, которые (в отличие от спамеров) не скрываются, а напротив – указывают свой веб-сайт, e-mail, телефон. Закрывать ресурсы, рекламируемые спамом (т.н. spamvertized ресурсы) – это достаточно распространённая практика среди провайдеров. Проблема в том, что она противоречит закону. Практически невозможно доказать, что владелец сайта заказал рекламу спамерам, а сам он вряд ли признается.

Поэтому при получении жалоб на размещение spamvertized ресурсов провайдер старается неформально договориться с владельцем сайта, чтобы больше такого не было. В случае повторения рекламируемый сайт выживают разными способами – от симуляции технической неисправности до расторжения договора без объяснения причины с возвратом клиенту денег.

Тот провайдер, который станет строго придерживаться буквы закона – будет верить клиентам, что они спам не заказывали, через очень короткое время обнаружит, что превратился в площадку «спамоустойчивого хостинга», а все его клиенты – сплошь продавцы сомнительных медикаментов, услуг по увеличению пенисов, «левых» дипломов и... чего там ещё рекламируют спамом? Такого провайдера ждут серьёзные проблемы со связностью, подключением к сетям, пропуском трафика. Именно поэтому «спамоустойчивым хостингом» занимаются лишь специализированные лавки и берут за эти услуги вдесятеро против обычного хостинга.







Рис.1. На сайтах, которые упоминались в спаме, иногда вешаются уведомления, что хозяева не имеют отношения к произведённой рассылке. Иногда помогает.

НСД

Жалобы по поводу несанкционированного доступа и прочей вредоносной активности, исходящей из вашей сети, это:

К подобного рода жалобам принято прикладывать логи и иные свидетельства того, что сетевая активность действительно имела место и происходит с ваших ресурсов.

Податель жалобы может преследовать одну из следующих целей:

Эти цели редко присутствуют совместно. Обычно ваш корреспондент, приславший запрос, желает чего-то одного из списка. Но не всегда чётко выражает свои мысли, чего же именно. Задача номер один при рассмотрении жалобы – установить, чего же жалобщику надо. Как всякому ясно, прекращение подозрительной активности плохо совмещается с отслеживанием действий злоумышленника, а «доказательства» для технаря и доказательства для суда – это совершенно разные вещи.

Порнография

Распространение порнографии незаконно во многих странах. Практически во всех странах действуют ограничения на эротический контент. В России наказуемо «незаконное изготовление, распространение, рекламирование порнографических материалов» (ст. 242 УК). Ситуацию можно охарактеризовать как неопределённость. Юристы спорят, чем отличается незаконное распространение от «законного распространения» (и бывает ли такое вообще), а также чем отличается порнография от эротики. В связи с неопределённостью, уголовных дел по этой статье возбуждается мало. Тем не менее, некоторый риск существует. Для интернет-ресурсов в том числе.

Более строго относятся во всём мире к порнографическим изображениям заведомо несовершеннолетних (ст. 242.1 УК). Здесь любые сомнения принято толковать не в пользу подозреваемого.

Жалобы на порнографию предпочтительно удовлетворять, то есть, снимать картинки из публичного доступа или замазывать на них отдельные места. Конечно, если ваш бизнес не построен на хостинге контента «для взрослых». В последнем случае лучше сразу наймите человека с юридическим образованием для решения возникающих претензий.

В инициативном порядке проверять свой подведомственный контент на порнографию – плохая практика. Много труда, много недовольства, а снижение рисков ничтожно.

Нарушение авторских прав

Тема крайне актуальная. Не просто модная, а сильно политизированная. Нарушение авторских прав – рычаг давления со стороны развитых стран на те страны, которые интеллектуальной собственности больше потребляют, чем производят. Соответственно, внутренняя политика в этой области диктуется политикой внешней. Закон и практика его применения подчинены политическим соображениям.

Поэтому бывают откровенные перегибы, когда за нарушение авторских прав следует непропорциональное наказание, либо наказывают непричастных. Бывает и наоборот – откровенное попустительство нарушениям с молчаливого согласия госорганов. В настоящее время ситуация в России ближе к первому варианту.

При получении жалоб на нарушение авторских прав (равно как и других прав интеллектуальной собственности – смежных, патентных, на товарный знак и т.д.) владельцу ресурса рекомендуется не брать на себя роль арбитра. И постараться отправить потерпевшего по рельсам законности в соответствующий государственный орган. Потерпевший же, понятное дело, не горит желанием препираться с работниками милиции, ходить на допросы, писать жалобы в прокуратуру, нанимать адвоката и томиться в очередях в арбитражном суде по месту регистрации ответчика. Он желает, чтобы владелец сервера просто отключил пиратский сайт – быстро, эффективно, не хлопотно.

Идти на поводу у жалобщика и просто отключать/стирать/блокировать можно лишь в тех случаях, когда разместивший сомнительную информацию – лицо заведомо бесправное, не склонное жаловаться и не являющееся платёжеспособным клиентом. Например, пользователь бесплатного хостинга под псевдонимом.

С приличными же людьми, а тем более – с юридическими лицами следует обходиться справедливо. Идеальный вариант такой. При получении жалобы запросить лицо, разместившее спорные произведения, приложив к запросу полученную жалобу. И добиться от него чёткого ответа: либо он согласен с нарушением авторских прав и готов убрать контрафактные материалы, либо он настаивает на законности своих действий, и тогда пусть разбирается с подателем жалобы сам в предусмотренном законом порядке. Провайдер же (или владелец сайта, сервера, доменного имени) отстраняется от конфликта и занимает нейтральную позицию, всячески уклоняясь от попыток вовлечь его в спор.

Кряки, сериалы, кейгены и т.п.

Указанные объекты на юридическом языке именуются «устройствами и технологиями для преодоления технических средств защиты авторских прав» (ст. 1299 ГК). Их использование, изготовление, распространение, а также рекламирование запрещено. Однако нарушение указанного запрета не приравнивается к нарушению авторских прав. Ответственность предусмотрена только гражданская. Следовательно, недовольных правообладателей надо посылать на три всем известных буквы – в суд.

Как и в случае с авторскими правами, владелец сайта, хостер или иной провайдер легко может ошибиться в квалификации деяния, в принадлежности авторских прав, в условиях лицензионного договора и т.д.

Как и в случае с авторскими правами, рекомендуется устраниться от участия в споре хозяйствующих субъектов, предложив им решать спор в установленном законом порядке.

Клевета, оскорбления

Если эти действия произошли публично, то есть не в личной переписке, а на ресурсе (форуме, блоге, рассылке, чате), доступном нескольким лицам, то клевета или оскорбление – уголовно наказуемое деяние (ст. 129, 130 УК), а также предмет для гражданского иска. В случае, когда потерпевший желает обратиться в правоохранительные органы, он может попросить владельца ресурса принять меры для сохранения доказательств – копии контента и логов доступа к сайту. В дальнейшем логи передаются правоохранительным органам или изымаются в ходе следственных действий.

Передавать логи потерпевшему нельзя. Во-первых, при такой передаче они не будут иметь доказательной силы1. Во-вторых, подобная передача с большой вероятностью будет расценена как нарушение тайны связи (ст. 138 УК), нарушение тайны частной жизни (ст. 137 УК) или нарушение порядка обработки персональных данных (ст. 13.11 КоАП), что может поставить под удар владельца ресурса, оператора связи, да и самого потерпевшего. В третьих, оскорблённому сведения из логов просто не нужны. Даже если он установит личность грубияна/клеветника, его адрес и другие персональные данные, он не сумеет найти никакого легального применения этой информации.

Фишинг и иное мошенничество

Для случая фишинга крайне важно погасить подложный сайт как можно быстрее. Фишеры собирают свой «урожай» в первые несколько часов с начала рассылки. Таким образом, если хостер или иной провайдер потянет с ликвидацией фишерского сайта хотя бы сутки, то мошенники будут довольны – им дольше и не надо.

Здесь не стоит действовать как в случае с авторскими правами, упираясь в букву закона. Промедление с блокировкой повлечёт существенный ущерб.

К тому же крайне мала вероятность ошибиться, приняв нормальный веб-сайт за фишерский.

При получении жалобы по поводу такого сайта следует просмотреть его, убедиться, что он подложный, направлен на выманивание у пользователей конфиденциальной информации, после чего незамедлительно заблокировать. Будет полезно также сохранить все логи доступа к этому веб-сайту на случай, если правоохранительные органы начнут расследование.

Распространение вирусов

Многие современные вредоносные программы после попадания на компьютер-жертву начинают рассылать себя по сети по всем доступным адресам. Таким образом, нетрудно определить источник вируса. Трудность в том, что скорость рассылки достаточно высокая. Дайте вредоносной программе поработать сутки – и можно считать, что свою задачу она выполнила. Борьбой с вирусами может считаться лишь быстрое реагирование на подобные инциденты.

В то же время, невозможно блокировать трафик компьютера на основании одного лишь голословного утверждения, что он якобы заражён. Сообщение об этом должно содержать убедительные для технического специалиста логи или исходить от заслуживающего доверия источника (CERT, CSIRT, IRT).

Если есть основания полагать наличие вредоносной программы, весь трафик заражённого компьютера блокируется. Не только те порты и протоколы, по которым вирус распространяется. Лучше блокировать все протоколы без исключения. Потому что кроме самораспространения у вредоносной программы могут быть и другие функции, не выявленные сразу – управление, скачивание обновлений, рассылка спама, DoS-атаки и так далее. Когда оператор заражённого компьютера сообщит об излечении, трафик можно разблокировать.

Адат Интернета

Со своими клиентами (пользователями) вы связаны договорными отношениями. Поэтому порядок рассмотрения жалоб от них можно регулировать на основе предварительной договорённости.

А жалобы на ваших клиентов (пользователей) поступают от тех, с кем вы не имеете и не можете иметь договорных отношений. Жалобы эти регулируются исключительно обычаями Интернета. Поэтому в случае вашей неудовлетворительной работы с поступившими доносами меры к вам примут не по закону, а исключительно по понятиям.

Нормы саморегулирования в Сети и офлайновые законы часто противоречат друг другу. Учитывать надо и то, и другое. В работе с жалобами приходится вечно балансировать на грани нарушения законов с одной стороны и сетевых обычаев с другой.

Поэтому чистый технарь для этой работы не очень подходит. Равно как и чистый юрист. «С умным – хлопотно, с дураком – плохо. Нужно что-то среднее, да где ж его взять?»2

Врезки

Цитаты из жалоб, полученных маленьким интернет-провайдером

  «На вашем сервере www.virt-auction.ru осуществляется незаконная деятельность по торговле различными предметами. Продажа предметов запрещена статьёй 13 Конституции Мира Эльдебаофа для любых игроков, кроме Бессмертных. Поэтому на основании п.1 и 18 Устава прошу вас удалить соответствующие аккаунты в течение 24 часов после получения настоящего извещения. С уважением, Магистр Клана Света – Эосфор.»

[Читали вслух всем офисом. Много думали...]

 

 [перевод с английского]

«Я получил вашу отписку в ответ на мою жалобу. И должен заявить следующее. Если вы в ближайшие часы не примете мер против этих преступных спамеров, то я обращусь к сенатору от моего штата. И он заставит вас уважать закон! Ваше заявление, что сервер находится на территории России меня не волнует. Закон один для всех. Если вы не выключите этот сервер, мы сможем отключить его сами. Наши крылатые ракеты имеют точность 10 футов.»

[Почти Задорнов. Только не смешно.]

 

 [перевод с английского]

«Вы – пособники мерзких спамеров и преступников. Ядерная бомба, террористический акт, оружие, героин. Получили? Теперь из-за этого письма вы попадёте на учёт в ФБР – и вам мало не покажется.»

[Отличный образец разрешения конфликта! И главное – все стороны довольны. Включая ФБР.]

 

 [перевод с английского]

«Эта жалоба сгенерирована автоматически. Мне надоело каждый раз жаловаться провайдеру, когда хакеры из вашей сети пытаются вторгнуться в мои частные владения. Поэтому отныне при поступлении на мой домен blars.com каждого незапрошенного IP-пакета будет автоматически отправляться такое письмо на адрес abuse@domain провайдера. По одной жалобе на каждый пакет. Пока вы не наведёте порядок!»

[Прежде чем я успел подумать, руки сами написали:
ping –S 63.161.169.137 –f –c 1000000000 –n –q blars.com
Больше таких автожалоб не приходило.]

 

[перевод с английского]

«Настоятельно требуем прекратить обслуживание сайта www.virgin-girls.com. Размещённые на нём фотографии (перечень приведён ниже) нарушают законодательство. Представляемая мною компания "East-West Miuki Ltd." является обладателем исключительных авторских прав на все указанные изображения.»

[А мы сначала думали, что этого клиента придётся выгнать за порнографию...]

 

Образцы ответов на жалобы

«Проведённое расследование показало, что спам с указанного вами IP-адреса не рассылался. В статистике трафика отсутствуют пакеты, направленные с IP-адресов данного сервера на любые другие IP-адреса на порт 25 (SMTP) за последнюю неделю. Очевидно, маршрутный заголовок полученного вами сообщения был подложный – это распространённая практика спамеров.»

[Статистику мы, конечно, не проверяли, но и так всё ясно. Какой нормальный клиент будет рассылать спам с собственного сервера?]

 

«Владелец веб-сайта утверждает, что размещение на сайте указанных произведений соответствует законам РФ. Он принимает на себя всю ответственность за такое использование произведений. Поскольку вы утверждаете обратное, что исключительные права на произведения принадлежат вам, а их доведение до всеобщего сведения через веб-сайт незаконно, мы констатируем наличие спора. Оператор связи не является полномочной инстанцией для разрешения таких споров. Этот спор следует разрешать в порядке, предусмотренном законодательством РФ. Со своей стороны мы готовы оказать вам всяческое содействие в получении и закреплении доказательств.»

 

«Ваша жалоба принята и зарегистрирована. Будет проведено расследование инцидента безопасности. Для такого расследования необходимо получить от вас дополнительные сведения. А именно: точное время инцидента (с указанием часового пояса), IP-адрес вашего узла, соответствующий ему внешний IP-адрес (если используется NAT), полные логи средства защиты, с помощью которого был зафиксирован инцидент (с указанием порта, протокола и времени каждого пакета/фрейма), сведения о конфигурации вашего компьютера и средств его защиты.»

[Судя по жалобе, этот малолетний чайник не поймёт, что от него требуется и даже скриншот антивируса не сможет снять. А на нет и суда нет.]

 

«К сожалению, ваша жалоба не может быть рассмотрена официально. В соответствии со ст. 6 закона г.Москвы "Об обращениях граждан" (от 18.06.97 № 25), обращения, в которых отсутствуют фамилия и адрес заявителя, не подлежат рассмотрению. Пожалуйста, пришлите вашу жалобу в установленной форме. Вам будет дан ответ по существу в предусмотренный законом срок.»

[аналогичные законы есть во многих субъектах Федерации]

 

«Ваша жалоба касается правонарушений, пресечение и расследование которых относится к компетенции соответствующих государственных органов. Владелец сервера и оператор связи не имеют для расследования нужных полномочий. Проведение расследования и разбирательства неуполномоченным лицом рассматривалось бы как самоуправство. Поэтому ваше письмо было перенаправлено в соответствующий государственный орган по территориальной принадлежности.»

[...то есть, в корзину. Пешы исчо, Павлик Морозов!]

 

[перевод с английского]

«В соответствии с вашей жалобой от 11:07 GMT, указанный вами фишерский веб-сайт закрыт сегодня, в 15:35 MSK (GMT+03:00).»

[Людям явно надо отчитываться за борьбу с фишингом. Вот, пусть порадуются. Во всяком случае, к вечеру этот сайт точно закроют.]

 

[перевод с английского]

«Исполнить вашу просьбу немедленно не представляется возможным. Указанный вами сервер находится в датацентре в Сибири. Там сейчас вечер. Весь персонал уже ушёл пить водку. Поэтому все работы будут проведены в понедельник.»

[Подобная клюква действует только на людей с Запада. Но зато действует безотказно. Они будут безропотно ждать до понедельника.]

 


 

Услуги по составлению жалоб и ответов на жалобы