В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Расследование инцидентов (включая расследование преступлений в информационной сфере) - хорошо известный раздел информационной безопасности. Как правило, цели таких расследований одинаковы вне зависимости от типа киберпреступления:
Расследование, как правило, проводится с огромным количеством данных, которое сейчас исчисляется десятками терабайтов, для их обработки требуются программно-аппаратные средства, что привело к появлению новой научной дисциплины - копьютерно-технической экспертизы (digital frenksinks), "компьютерной криминалистики". Существует несколько определений данному понятию, и одно из них - использование проверенных научных методов с целью предохранения, сбора, анализа цифровых вещественных доказательств, с тем чтобы восстановить события, произошедшие во время правонарушения.
Существует несколько моделей, описывающих процесс анализа цифровых данных для судебных целей. Было предложено порядка 12 разных моделей, но в настоящее время одной из наиболее общепринятых является так называемая улучшенная модель цифрового процесса, предложенная Брайаном Керером и Юджином Паффаром в 2003 г.
Компьютер, цифровые устройства, мобильные телефоны, iPad, iPod и так далее рассматриваются как отдельное место преступления. После того, как вы извлекли и сохранили данные, хранящиеся на этих устройствах, вы точно так же проводите изначальный анализ того, что же находится на жестком диске или в мобильном телефоне, документируете и после этого определяете зоны дальнейшего осмотра, которые уже углубленно изучаются.
В настоящее время объем жестких дисков постоянно увеличивается, кроме того, одна и та же ОС Windows XP просуществовала как минимум 7 лет, это дало возможность экспертам выработать стандартные методики анализа систем, которые могли быть изучены в течение короткого периода времени. Сейчас существует 8 разных ОС для мобильных устройств, они активно противодействуют тому, чтобы из них извлекали информацию, и самое сложное, что версии этих ОС постоянно обновляются, что делает проблематичным разработку стандартных методов для анализа этих систем.
Облачные сервисы, заменяющие автономные цифровые устройства, должны обеспечить сходный уровень криминалистической готовности. Однако это требует преодоления проблем, связанных с объединением ресурсов, мультиарендой и эластичностью инфраструктуры облачных вычислений. Необходим повышенный уровень взаимодействия с органами внутренних дел и корпорациями, которые являются провайдерами облачных сервисов.
Другая проблема заключается в том, что если данные находятся на вашем компьютере, то хакер или вредоносное ПО, которое попало к вам в систему, могут их увести и передать тому, кто будет их использовать в нечестных целях. Поэтому количество данных, хранящихся именно на компьютере, тоже стало уменьшаться. Кроме того, преступники стали гораздо аккуратнее и стараются оставлять как можно меньше следов в ПК и мобильных телефонах.
Кроме того, из системы с полным шифрованием жесткого диска, если она выключена и у вас нет пароля, очень трудно извлечь данные, поэтому расследование таких систем возможно, когда такая система находится на месте преступления во включенном состоянии. Проблема еще и в том, что большинство сотрудников оперативных групп не имеют специального образования и им требуется помощь специалистов, а их количество ограничено, что требует широкого обучения оперативников именно на уровне извлечения данных из живых компьютеров.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012