Экспертиза №21053

Объектами экспертизы выступил комплекс программно-аппаратных средств, обеспечивающих функционирование систем голосовой связи и доступа к сети Интернет двух организаций. Исследовались как локальное оборудование, так и данные о сетевом взаимодействии.

• Оборудование и программное обеспечение call-центра одной из компаний:

  • Клиентские компьютеры с установленными приложениями для голосовых соединений (X-Lite 4.8.4 76589, Zoiper 3.3 25608, SFLphone 1.3.0).
  • Сервер call-центра, использующий программный комплекс «Asterisk» для обработки исходящих звонков, с внутренним IP-адресом 192.168.100.254 и предоставленным внешним IP-адресом 81.30.178.213.
  • Физические накопители информации (жесткие диски) сервера call-центра, побитные копии которых были созданы для анализа. Равномерный слой пыли внутри системного блока сервера указывал на отсутствие физических манипуляций с жестким диском в течение длительного времени.
  • Коммутационное оборудование внутренней локальной сети (два коммутатора DLink DES-1016A).

• Техническая площадка с оборудованием другой компании, предоставляющей услуги голосовой связи:

  • Линии, сформированные на АТС, предназначенные для передачи голосовых сообщений посредством протокола SIP.
  • Маршрутизатор «Cisco PIX 525», используемый для настройки параметров сети и фильтрации трафика.
  • Коммутатор «CSoftX 3000», предназначенный для детализации звонков и тарификации услуг.
  • Документация: детализация звонков, тарификационные файлы, скриншоты ПО системы управления коммутатором.

• Материалы, предоставленные по запросу суда и полученные в ходе исследования:

  • Копии материалов судебного дела.
  • Лог-файлы входящих и исходящих интернет-соединений, предоставленные интернет-провайдером, содержащие информацию о трафике за определенный период.
  • Акты осмотра call-центра и оборудования для предоставления услуг голосовой связи.

Основной целью проведения данной компьютерно-технической экспертизы являлось установление факта и характера несанкционированного доступа к оборудованию связи, а также определение возможных причин такого доступа и точки входа спорного международного трафика. Сложность работы заключалась в необходимости анализа взаимодействия систем двух разных организаций, использования различных протоколов связи (SIP) и сетевых устройств (маршрутизаторы, коммутаторы, серверы), а также интерпретации данных из разнородных источников, таких как лог-файлы Asterisk, детализация звонков оператора связи и данные интернет-провайдера. Экспертами были применены методы анализа лог-файлов, изучения настроек программного обеспечения и конфигурации сетевого оборудования, а также побитное копирование жестких дисков для последующего исследования их содержимого без изменения первоначальных данных. Значимым нюансом стало установление расхождения во времени фиксации событий в лог-файлах Asterisk и детализации звонков, что потребовало дополнительного сопоставления данных. Исследование проводилось с учетом положений Федеральных законов «О государственной судебно-экспертной деятельности в Российской Федерации» и «О связи», а также специализированной литературы по компьютерной криминалистике и телефонии.

В ходе экспертизы экспертам предстояло определить, был ли несанкционированный доступ вызван действиями или бездействием одной из сторон, или же он произошел независимо от них. Это требовало детального анализа уязвимостей в конфигурации программного обеспечения АТС Asterisk, таких как использование протокола SIP без аутентификации, наличие стандартных портов, слабых паролей на внутренних номерах и открытых незадействованных портов прокси-сервера. Также исследовалась возможность параллельного подключения оборудования. Применялись методы сравнительного анализа данных, полученных из различных источников, для реконструкции последовательности событий и идентификации аномалий в сетевой активности. Эксперты сталкивались с проблемой некорректных данных для авторизации на сервере, что было преодолено путем создания побитной копии жесткого диска для офлайн-анализа. Особое внимание уделялось параметрам конфигурации маршрутизаторов и коммутаторов, регулирующих входящий и исходящий трафик, а также отсутствию ограничений на количество одновременных звонков в настройках АТС, что потенциально могло способствовать реализации злонамеренных действий.

1. Имел ли место факт несанкционированного доступа третьих лиц к оборудованию связи, установленному в одной из компаний, в период времени с 12.12.2015 по 14.12.2015?

2. При положительном ответе на первый вопрос был ли несанкционированный доступ вызван действиями (бездействием) компании (ее сотрудников) или он имел место независимо от действий (бездействия) компании (ее сотрудников)?

3. Возможно ли в рамках реализованной схемы взаимодействия компаний параллельное подключение к оборудованию оператора связи второго комплекта оборудования, аналогичного используемому другой компанией, при условии, что 12.12.2015 г. спорные международные вызовы совершались одновременно с обычными местными?

4. Определить точку входа спорного международного трафика.