Шпигунсько-детективна історія
Розкажу сьогодні про те, як, завдяки (не)знанням нюансів кібербезпеки, НАБУ знайшли топ-крота у своїй власній організації.
Фабула історії: вже багато років у НАБУ здогадувалися, що у них є «кріт», причому на самому вищому рівні. На це вказували безрезультатні обшуки у підозрюваних по кількох резонансних справах і відсутність очікуваних доказів у вилучених девайсах. А такі докази полюбому мали б бути, адже встановлені учасники злочинної групи точно між собою спілкувалися. Не буду переказувати суть справи, все це розписано у великій статті «Дзеркала тижня».
Мене ж вочевидь зачепила технічна складова цієї історії.
Отже, у одного високопоставленого підозрюваного детективи НАБУ вилучили IPhone «останньої моделі», але очікуваних доказів у ньому не знайшли: усі чати були вичищені, була «встановлена система захисту» (щоб це не означало), не було сім-карти. Чувака професійно готували до можливих обшуків.
Технічні фахівці НАБУ «вскрили» залочений смартфон (через «міжнародних партнерів»), але листування з іншими фігурантами не знайшли. І так пролежав той айфон в НАБУ близько року.
А потім цю справу передали іншому детективу, який вирішив придивитися до змісту розлоченого партнерами апарату уважніше і у галереї знімків побачив якісь скриншоти якогось листування. І виявив, що це якраз скриншоти того листування, яке так шукали раніше. Звісно, ці скриншоти підозрюваний також видалив, але їх відновили під час технічного дослідження.
І ось ми підійшли до самої суті цієї справи: що, власне, сталося.
Я вже багато разів розказував, що коли користувач видаляє щось зі свого смартфону, насправді воно не видаляється. Ці файли лише помічаються операційною системою як начебто «видалені», але фактично вони залишаються в системі, просто не показуються користувачу. Відповідно, існують спеціальні програми, які відновлюють такі «видалені» файли.
Саме тому на тимчасово окупованих територіях вкрай не бажано проходити ворожі блокпости з «почищеним» смартфоном: поверхневу перевірки він пройде, але поглиблену – ні, ЙР може відновити фоточки з українськими прапорами і кинути на підвал.
І саме цей важливий нюанс допоміг прискіпливому детективові НАБУ поступово (десь протягом півроку) зібрати докупи розкидані по всьому телефону скрини, відновити таким чином листування між підозрюваними та зрозуміти, хто ж був кротом у керівництві НАБУ.
Думаю, це сталося так: посередник лінувався копіювати текст від одного джерела та пересилати їх до іншого і тому просто робив скриншоти і пересилав їх «адресату». Ці скриншоти він потім добросовісно видалив зі свого девайсу, але не дуже розумівся у технічних нюансах, що кінець кінцем допомогло викрити аж цілого першого заступника директора НАБУ, який зливав інформацію підозрюваним.
Без сумніву, у цих реальних подіях є все для голлівудського блокбастеру: багаторічне розслідування топ-корупції у політичній еліті країни, високопоставлений «кріт» в антикорупційній структурі, чесний принциповий детектив, шалений тиск на нього, конфлікт між антикорупційними структурами через все це та фінальний хеппі-енд перемоги Добра. Стосовно останнього я поки не впевнений, але кінцівка фільму має бути саме такою.
Хоча особисто у мене залишаються питання чому технічний підрозділ НАБУ одразу не звернув увагу на скриншоти листувань, які так не схожі на звичайні фотографії, але то вже таке, дрібниці.
Головний висновок для всіх нас: технічні можливості умовного Добра наразі переважають можливості корупційного Зла у сучасній Україні. І це гарні новини.
Менш гарні новини: навіть наглухо залочений iPhone останньої моделі тепер вже не є проблемою для «міжнародних партнерів». Ех-х, а були ж часи…
І зовсім неочевидний висновок: покращувати свої знання у кібербезпеці варто усім. Бо хтозна, коли, де і як воно тобі знадобиться 😉 .
(У цьому місці була б логічна реклама моєї школи кібербезпеки, але її поки не існує).
На заставці: Фігуранти кримінальної справи Валенти Резніченко та Юрій Голик. Фото: Дніпропетровська ОДА
