На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
MS O365 test

Компьютерно-техническая экспертиза. Интервью с разработчиком DeFacto. Часть 1

05.12.2013 / Интервью / Иван Афанасьев

К сожалению, даже в точной на первый взгляд сфере компьютерных технологий обнаруживаются неоднозначные интерпретации очевидных фактов. Особенно если происходит взаимодействие с такой гибкой и субъективной сущностью, как закон. В данном случае речь идет об обнаружении программного обеспечения и признании незаконным факта его использования. Даже если вы как частное лицо, а особенно как представитель лица юридического считаете себя кристально честным пользователем, купившим все ПО у официальных поставщиков, это не может служить гарантией от проверок, изъятий и санкций. Уследить за каждым компьютером, установленным в большой организации, подключенной к Всемирной сети и управляемым непредсказуемым пользователем невозможно. Однако есть люди, которые стремятся, с одной стороны, помочь системным администраторам не нарушать закон, а с другой – облегчить труд экспертов и правоохранительных органов.

Владимир Геннадьевич Коршунов, разработчик и идеолог программного продукта DeFacto, разработанного совместно с ООО "Национальный центр по борьбе с преступлениями в сфере высоких технологий", после публикации обзора этой программы предложил помочь разобраться во всех тонкостях предназначения и использования этого инструмента. Я, наконец, получил возможность посмотреть полную версию DeFacto, за что Владимиру Геннадьевичу большое спасибо. Правда, проводить государственную экспертизу я все равно не имею права. DeFacto – программа, как уже упоминалось, двойственная. Она может быть применена как профилактическое средство для проведения инвентаризации, так и в качестве инструмента для получения источника сведений для экспертиз и принятия решения о наличии или отсутствии нарушения прав. Разобраться более подробно, в чем разница способов применения, в уникальных особенностях работы и в методиках использования попробуем вместе с автором.

Для кого изначально разрабатывалась DeFacto: целенаправленно для правоохранительных органов, экспертных организаций или все-таки для противоположной им стороны – пользователей?

Начну с того, что не вполне корректно противопоставлять пользователей компьютеров правоохранительным органам, они - не враги. Это просто разные категории пользователей одного и того же продукта. Изначально программа DeFacto создавалась для правоохранительных органов, преимущественно для экспертов. Помимо ряда оперативных подразделений, непосредственно занимающихся выявлением преступлений, изъятием техники и другими подобными действиями, есть специальные экспертные отделы (ЭКЦ, ЛСЭ и пр.), в которых работают профессионалы - эксперты. Задача экспертов – проведение экспертиз и исследований по компьютерным преступлениям, в том числе и по нарушениям авторских прав. Именно эксперты ставят подпись под заключением о наличии или отсутствии того или иного программного обеспечения на исследуемом компьютере. Поскольку экспертов не так много, а исследования и их оформление очень трудоемки, то компьютеры могут стоять в очереди на экспертизу много месяцев. Вот для автоматизации ручного труда экспертов и ускорения производства экспертиз изначально создавалась данная программа. Позднее стало понятно, что программа интересна и оперативным сотрудникам, и коммерческим организациям для самопроверки.

В первое время я, как возможно и многие другие, заблуждался по поводу предназначения DeFacto. Желаемое выдавалось за действительное – запустил программу и получил вердикт о том, что ты кристально чист перед законом, либо наоборот – получил список незаконного ПО. Однако DeFacto – это безликий инструмент, который может только помочь в принятии решений, но не является решением как таковым. Расскажите подробнее про этот факт.

Как я говорил ранее, именно эксперт ставит свою подпись под экспертизой и полностью отвечает за ее выводы. Задача программы обнаружить программное обеспечение (установленное или запускаемое), обратить внимание на некоторые подозрительные моменты, собрать всю доступную информацию и, систематизировав ее, показать в удобном виде. Делать выводы - задача человека. Скажем, в медицине ни один диагностический прибор не ставит самостоятельно диагноз (и уж тем более не назначает лечение). Для оценки всех факторов и принятия взвешенного решения всегда требуется человек. Другое дело, что без помощи приборов человеку принять решение гораздо тяжелее, да и займет это больше времени, в случае с DeFacto сроки проведения исследования сокращаются на порядок.

Еще одним важным качеством является воспроизводимость результатов. При повторном исследовании эксперт, используя эти же или другие инструменты, даже вручную, получит точно те же результаты.

Ну а безликость... Я бы скорее назвал эту характеристику объективностью – это один из принципиальных моментов. Если мы будем навязывать экспертам, да и другим категориям пользователей единственно верные выводы, могут наступить достаточно опасные последствия.

Использование DeFacto в качестве экспертной системы подразумевает специальную подготовку, обучение компьютерным экспертизам? Или специалист, работающий, скажем, системным администратором, может сразу эффективно использовать результаты проверки DeFacto?

Таких навыков, какие нужны для проведения полноценной экспертизы, для самопроверки, конечно, не требуется. DeFacto выводит список обнаруженного ПО, выводит предупреждения, на которые необходимо обратить внимание, – тут все понятно. Но помимо использования программы и осмысливания результатов администратор должен еще предпринять ряд организационных действий. Эти действия подробно перечислены в статье на сайте программы, поэтому не буду перечислять их повторно.

Судя по описанию принципов работы DeFacto, это достаточно простая с технической точки зрения разработка. Она сканирует список запускаемых программ, сверяет найденное с базой знаний и формирует отчет. В чем на самом деле вся хитрость?

Простота в данном случае чисто внешняя, и это хорошая оценка нашей работы, означающая, что нам удалось сделать профессиональный инструмент простым и удобным. На самом деле анализируется целый ряд источников (различные области реестра, системные записи об исполняемых файлах, ярлыки запуска, файлы прикладных программ, разнообразные системные файлы). Данные сопоставляются, унифицируются, сводятся в единую таблицу со ссылками на первоисточник и дополняются информацией из разных частей базы знаний. Очень сложная задача – это выявление правильной редакции обнаруженного продукта, например Professional/Home. В DeFacto ей уделено значительное внимание, причем анализируются именно те признаки, которые использует сам продукт для ограничения функциональности. Для множества распространенных продуктов реализованы специальные анализаторы, которые выявляют лицензионные атрибуты (серийные номер, ключи и пр.)

Для экспертов поддерживается сканирование систем, которые находятся на внешнем диске в неактивном состоянии, что является достаточно сложной задачей: поддерживаются работа с реестром Windows всех версий на физическом уровне и трансляция файловых путей. Эксперт видит все данные таким образом, как если бы система была запущена, и это основной для них режим использования DeFacto, поскольку включение системы означает изменение объекта исследования и, по сути, уничтожение части доказательств.


Программы в каталоге Softkey.ru:

Ссылки по теме:

Автор статьи: Иван Афанасьев


Рубрики статей
Все статьи
Аналитика
Программы
Игры
Интернет
Авторские права
Интервью
События в мире ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Ноябрь 2017   »  
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930   
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2017 ЗАО «Софткей»