Кібербезпека проти корупції: як вирахували топ-крота в НАБУ

Шпигунсько-детективну історія розкажу сьогодні.
Про те, як завдяки (не)знанням нюансів кібербезпеки, НАБУ знайшли топ-крота у своїй власній організації.

Фабула історії: вже багато років у НАБУ здогадувалися, що у них є «кріт», причому на самому вищому рівні. На це вказували безрезультатні обшуки у підозрюваних по кільком резонансним справам та відсутність очікуваних доказів у вилучених девайсах. А такі докази полюбому мали б бути, адже встановлені учасники злочинної групи точно між собою спілкувалися.
Не буду переказувати суть справи, все це розписано у великій статті «Дзеркала тижня» 
Мене ж вочевидь зачепила технічна складова цієї історії.

Отже, у одного високопоставленого підозрюваного детективи НАБУ вилучили IPhone «останньої моделі», але очікуваних доказів у ньому не знайшли: усі чати були вичищені, була «встановлена система захисту» (щоб це не означало), не було сім-карти. Чувака професійно готували до можливих обшуків.
Технічні фахівці НАБУ «вскрили» залочений смартфон (через «міжнародних партнерів»), але листування з іншими фігурантами не знайшли. І так пролежав той айфон в НАБУ близько року.
А потім цю справу передали іншому детективу, який вирішив придивився до змісту розлоченого партнерами апарату уважніше і у галереї знімків побачив якісь скріншоти якогось листування.
І виявив, що це якраз скріншоти того листування, яке так шукали раніше. Звісно, ці скріншоти підозрюваний також видалив, але їх відновили під час технічного дослідження.
І ось ми підійшли до самої суті цієї справи: що, власне, сталося.
Я вже багато разів розказував, що коли користувач видаляє щось зі свого смартфону – насправді воно не видаляється. Ці файли лише помічаються операційною системою як начебто «видалені», але фактично вони залишаються в системі, просто не показуються користувачу. Відповідно, існують спеціальні програми, які відновлюють такі «видалені» файли.

Саме тому на тимчасово окупованих територіях вкрай не бажано проходити ворожі блокпости з «почищеним» смартфоном: поверхневу перевірки він пройде, але поглиблену – ні, ЙР може відновити фоточки з українськими прапорами і кинути на підвал.
І саме цей важливий нюанс допоміг прискіпливому детективові НАБУ поступово (десь протягом півроку) зібрати докупи розкидані по всьому телефону скріни, відновити таким чином листування між підозрюваними та зрозуміти хто ж був кротом у керівництві НАБУ.
Думаю, це сталося так: посередник лінився копіювати текст від одного джерела та пересилати їх до іншого і тому просто робив скріншоти і пересилав їх «адресату». Ці скріншоти він потім добросовісно видалив зі свого девайсу, але не дуже розумівся у технічних нюансах, що кінець кінцем допомогло викрити аж цілого першого заступника директора НАБУ, який зливав інформацію підозрюваним.

Без сумніву, у цих реальних подіях є все для голлівудського блокбастеру: багаторічне розслідування топ-корупції у політичній еліті країни, високопоставлений «кріт» в антикорупційній структурі, чесний принциповий детектив, шалений тиск на нього, конфлікт між антикорупційними структурами через все це - та фінальний хеппі-енд перемоги Добра. Стосовно останнього я поки не впевнений, але кінцівка фільму має бути саме такою.
Хоча особисто у мене залишаються питання чому технічний підрозділ НАБУ одразу не звернув увагу на скріншоти листувань, які так не схожі на звичайні фотографії - але то вже таке, дрібниці.

Головний висновок для всіх нас: технічні можливості умовного Добра наразі переважають можливості корупційного Зла у сучасній Україні. І це гарні новини.

Менш гарні новини: навіть наглухо залочений iPhone останньої моделі тепер вже не є проблемою для «міжнародних партнерів». Ех-х, а були ж часи…

І зовсім неочевидний висновок: покращувати свої знання у кібербезпеці варто усім. Бо хтозна коли, де і як воно тобі знадобиться ;-)
(У цьому місці була б логічна реклама моєї школи кібербезпеки, але її поки не існує)