Розслідування комп'ютерних інцидентів

У зв'язку зі швидким розвитком інформаційних технологій і зростанням цінності інформації, що зберігається на електронних носіях, комп'ютери й комп'ютерні мережі все частіше стають об'єктами таких незаконних дій як:

· несанкціоноване вторгнення, хакерськи Dos атаки;

· модифікація, викривлення або знищення баз даних;

· розкрадання або копіювання конфіденційної інформації;

· блокування доступу до інформації й базам даним;

· розкрадання коштів, шахрайство із платіжними засобами (банк-клієнт і ін.);

· використання вірусів і іншого шкідливого програмного забезпечення;

· несанкціоноване використання ПК для організації масових атак і інших шкідливих дій на інші ПК і локальні мережі.

Такі дії піддають організації різним ризикам – фінансових втрат, моральним і правовим. Завдання забезпечення інформаційної безпеки в організації з метою мінімізації зазначених ризиків з однієї сторони вимагає застосування спеціальних систем і заходів, спрямованих на запобігання таких несанкціонованих дій, а з іншого сторони – розслідування що відбувся таких ІТ-інцидентів з метою виявлення каналів витоку інформації, «дір» у системі інформаційної безпеки, виявлення «інсайдерів» і інших порушників безпеки.

Прикладною наукою про розслідування інцидентів і злочинів, пов'язаних з комп'ютерною інформацією, є комп'ютерна криміналістика ("Computer Forensics") . Сам термін "Forensics" є скороченою формою від "Forensics science", тобто судова наука або наука про дослідження доказів, і відбувся від латинського "foren", що означає «мова перед форумом», тобто виступ перед судом. У російській мові поки не встоялося загальновживаного терміна, однак усе частіше вживається термін «форензіка», що означає саме комп'ютерну криміналістику.

При розслідуванні ІТ-інцидентів дуже часто виникає завдання відновлення інформації після таких впливів як: несанкціоноване втручання в роботу ПК і локальних мереж, впливу шкідливих програм, недбалості співробітників, аварій, нещасних випадків, у тому числі й при фізичнім руйнуванні носія. Тому багато відомих компаній по відновленню інформації почали у свій час надавати й послуги з розслідування ІТ-інцидентів (наприклад, американська Ontrack, англійська Vogon і інші) . Не стала виключенням і українська компанія ЕПОС, що почала надавати такі послуги після 15-літнього досвіду в сфері відновлення інформації.

Порядок розслідування ІТ-інцидентів, прийнятий у компанії ЕПОС, базується на відомій моделі, що включає в себе чотири основні етапи:

1. Оцінка ситуації

2. Збір даних

3. Аналіз даних

4. Звіт про розслідування

Етап збору даних є дуже важливим етапом розслідування, у якому доводиться використовувати різні технології, методи, системи й обладнання. На цьому етапі проводиться відновлення інформації з накопичувачів.

Якщо накопичувач несправний, то попередньо проводяться роботи по відбудові його працездатності з використанням спеціальних апаратних і програмних засобів. Враховуючи, що аналіз інформації з електронних носіїв повинен проводитися без внесення будь-яких змін у їхній уміст, те основним елементом при відновленні інформації й збору даних є не руйнуюче копіювання інформації з досліджуваного на проміжний носій. Незважаючи на гадану простоту, операція копіювання даних являє собою непросте технічне завдання й вимагає застосування спеціальних апаратних і програмних засобів, які при розслідуванні ІТ-інцідентів повинні:

ü Забезпечити копіювання всієї інформації на носії, у тому числі й схованої інформації (даних у схованих зонах, вільних блоків, «хвостів» файлів…), тобто створення повного образа накопичувача;

ü Не вносити які-небудь зміни у вміст досліджуваного накопичувача (оригіналу);

ü Мати можливість порівняння (верифікації) копії й оригіналу;

ü Забезпечити необхідну вірогідність копії й оригіналу й виявлення помилок;

ü Забезпечити досить високу швидкість копіювання

Інформація може бути скопійована за допомогою програмних продуктів, наприклад, таких як Encase, а також програм DD зі складу ОС Linux або Freebsd. Однак на практиці фахівці віддають перевагу апаратним засобам.

Одним з відомих портативних багатоінтерфейсних (підтримка інтерфейсів IDE, SATA, SCSI, USB, Firewire) апаратних засобів для неруйнуючого копіювання інформації й створення повного образа жорсткого диска є Imagemasster Solo-3 Forensic.

Для того щоб упевнитися у відповідності копії й оригіналу, використовують режим верифікації. Для забезпечення високої вірогідності верифікації використовують так звані хеш-функції, що представляють собою криптографічні програми перетворення по певному алгоритму вихідної інформації в ключове слово, називане також дайджестом повідомлення. Вважається, що якщо ключове слово збігається, то й скопійована інформація повністю відповідає оригіналу. Так, широко відомий алгоритм MD-5 перетворить вихідну інформацію в 128-бітне, а алгоритм SHA-1, рекомендований для використання в державних установах США, - в 160-бітне слово. Як правило, ключове слово представляється у вигляді 16-річних чисел, наприклад ключове слово для MD-5 являє собою 32 16-річных чисел, яке може виглядати, наприклад, так: d41d8cd98f00b204e9800998ecf8427e.

Обладнання Imagemasster Solo-3 Forensic підтримує різні хеш-функції: MD-5, SHA-1, SHA-2, CKC-32, що дозволяє експертові вибрати найбільш прийнятний алгоритм.

Слід враховувати, що при фізичних руйнуваннях жорсткого диска (вихід з ладу блоку голівок, заклинювання двигуна, подряпини й інші пошкодження поверхонь) не тільки роботи з його відновлення, але найчастіше й операції копіювання повинні проводитися в «чистій» кімнаті з регламентованим змістом пилу в повітрі.

При копіюванні інформації з жорстких дисків, що мають різного роду дефекти й руйнування, особливе значення набуває швидкість копіювання інформації. Дійсно, копіювання образа диска ємністю 1Тб у режимі PIO-4 становить близько 110 годин, а такий час більшість дисків з дефектами просто не зможуть відпрацювати. Тому для копіювання жорстких дисків з дефектами необхідно використовувати апаратні засоби, що мають високу швидкість копіювання й можливість адаптивного копіювання й статистичної обробки результатів читання, що дозволяє зчитувати тільки потрібну інформацію й забезпечити максимально можливий відсоток успішно ліченої інформації.

Сучасне обладнання копіювання даних використовує максимально можливу швидкість, обмежену тільки можливістю інтерфейсу накопичувача. Так обладнання «Дискмастер» виробництва компанії ЕПОС забезпечує максимально можливу швидкість обмежену лише можливістю інтерфейсу ‑ 3,5Гб/с, що дозволяє практично в 10 раз підвищить швидкість копіювання в порівнянні зі стандартними засобами, що працюють у режимі PIO-4. Крім того, на відміну від стандартних засобів, «Дискмастер» має можливість адаптивного читання дефектних секторів.

При копіюванні інформації USB ‑ накопичувачів (флеш-пам'яті, зовнішніх жорстких дисків) необхідно використовувати апаратні блокатори запису, оскільки під ОС Windows відсутня можливість підключення накопичувачів без можливості запису на нього, а під ОС UNIX або Linux хоча і є така можливість, однак найчастіше потрібні відповідні драйвера, щоб накопичувач міг бути пізнаний.

Відновлення й копіювання даних із флеш-носіїв має свої особливості. Так при копіюванні із флеш-накопичувача відсутня можливість копіювання інформації з резервних зон, у яких можуть перебувати, що цікавлять експерта вилучені або зруйновані файли й навіть цілі каталоги.

Для забезпечення гарантованої можливості копіювання всієї інформації, що міститься на флеш-накопичувачі необхідно використовувати спеціальні флеш-рідеры, робота яких заснована на методі прямого доступу до пам'яті. Крім того, дані на флеш-пам'яті записані до кодованому виді.

Для адаптивного читання флеш-пам'яті використовується "EPOS NAND flash reader" . В обладнанні реалізована можливість виправлення помилок при читанні дефектних комірок пам'яті, що дозволяє зчитувати інформацію із флеш-пам'яті з великою кількістю дефектних комірок, зчитати інформацію з яких було неможливе ні за допомогою стандартних, ні за допомогою сучасних спеціальних рідерів, призначених для використання при відновленні даних.

Особливу складність при відновленні інформації із флеш-накопичувачів визначає наявність вбудованих у службову пам'ять флеш-накопичувача алгоритмів кодування. Алгоритми кодування даних є комерційною таємницею виробників флеш-обладнання, оскільки від цього алгоритму залежать такі критично важливі параметри як їхня швидкість роботи й надійність.

Ці алгоритми постійно вдосконалюють, поліпшуючи ті або інші характеристики флеш-накопичувачів, у підсумку чого з'являється безліч різних версій алгоритмів навіть для однієї й тієї ж моделі накопичувача, що ускладнює можливість їх розкриття в прийнятний термін.

Особливо складні алгоритми використовуються в SD-накопичувачах. Для декодування цих алгоритмів необхідно використовувати спеціальні системи декодування, наприклад, "EPOS Irs-flash", яка дозволяє автоматизувати процес розкриття алгоритму кодування даних аналізованої флеш-пам'яті.

Процес збору й відновлення даних може бути утруднений і при використанні паролів. Розкриття пароля не завжди являє собою тривіальне завдання. Так, у ноутбуках деяких виробників є можливість включення пароля для інформації на жорсткому диску на рівні BIOS.

Такий пароль захищає інформацію від несанкціонованого доступу при втраті або крадіжці ноутбука.

Іноді й користувач навмисно або ненавмисно «забуває» пароль. Досить складно розкривати й деякі програмні паролі, наприклад, поставлені на файли RAR або Microsoft Office 2007. Використання програмних засобів для розкриття пароля займає іноді вельми тривалий час навіть при використанні швидкісних комп'ютерів.

Для прискорення розкриття пароля необхідно використовувати апаратні засоби, наприклад такі як COBRA (Code Brake Accelerator) . Одне таке обладнання забезпечує швидкість добору паролю до 2000 паролів у секунду для файлів Microsoft Office-2007 і до 300-500 паролів у секунду для файлів RAR не залежно від продуктивності комп'ютера. Обладнання має гарну масштабованість і дозволяє поєднувати до 4-х таких обладнань в один блок. При цьому швидкість добору паролів зростає практично пропорційно кількості використовуваних пристроїв у блоці. Більше того, можна використовувати кілька таких блоків, підключених через USB до одного комп'ютеру.

Після копіювання й відновлення інформації необхідно забезпечити надійне зберігання отриманих даних. Звичайно робиться кілька копій (мінімум дві) отриманої інформації або дані зберігаються на сервері з відмово стійкою RAID-системою.

З метою запобігання несанкціонованого доступу до інформації копії перебувають у звичайному або так званому «інформаційному» сейфі. Інформаційний сейф «Кольчуга» являє собою систему миттєвого знищення інформації на одному або декількох жорстких дисків в RAID-системі при спробі крадіжки або несанкціонованого фізичного доступу до сервера або ПК.

Команда на знищення інформації може бути подана автоматично або по команді з радіо-брелока або мобільного телефону. Обладнання має автономне джерело живлення й дозволяє робити знищення інформації навіть при відсутності напругі мережі електроживлення.

У такий спосіб розвиток технологій відновлення інформації, розроблення систем і обладнання дозволяє розширити сферу послуг в області розслідування комп'ютерних інцидентів.

Література:

1. Коженевский С.Р., Прокопенко С.Д., ТОВ «ЕПОС»: Безпека зберігання даних на сучасних цифрових носіях http://www.epos.ua/view.php/about_publication

2. Чеховский С.А. ТОВ «ЕПОС»: Відновлення інформації й розслідування комп'ютерних інцидентів http://www.epos.ua/view.php/about_publication

3. Федотов Н.Н. Форензика - компьютерная криминалистика – М.; Юридический мир, 2007. - 360с. – ISBN 5-91159-015-8

4. Фундаментальний посібник з розслідування комп'ютерних подій для Windows (http://www.microsoft.com/rus/technet/security/guidance/disasterrecovery/computer_investigation/default.mspx)

5. Чеховський С.А. - Системи Забезпечення безпеки інформації. -Бізнес і безпека № 2/2008