суббота, 18 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 7

В этой части рассмотрены следующие вопросы:
  • Компьютерная криминалистика и сбор доказательств
  • Международная организация по компьютерным доказательствам
  • Мотивы, возможности и средства
  • Поведение компьютерных преступников
  • Специалисты по расследованию инцидентов
  • Процесс проведения компьютерной экспертизы


Компьютерная криминалистика (forensics) – это наука и искусство, она требует использовать специальные методы для восстановления, проверки подлинности и анализа электронных данных, связанных с компьютерными преступлениями. В ней объединяются компьютерные науки, информационные технологии и другие технические вопросы с законом. Возможно, вы слышали такие термины, как цифровая криминалистика (digital forensics), сетевая криминалистика (network forensics), обнаружение электронных данных (electronic data discovery), кибер-криминалистика (cyber forensics) и т.п. (ISC)2 использует термин компьютерная криминалистика (computer forensics) в качестве синонима всех вышеперечисленных терминов. Компьютерная криминалистика применяется во всех случаях работы с доказательствами, представленными в цифровой или электронной форме, при хранении или передаче электронных данных. Одно время компьютерную криминалистику отделяли от сетевого анализа и анализа кода, но сейчас все это рассматривается в качетсве цифровых доказательств (digital evidence).

Компьютерная криминалистика является достаточно новым направлением криминалистики. Из-за этого, а также из-за ее сложности, у многих компаний пока недостаточно навыков в этой области. Компьютерная криминалистика не относится непосредственно к компьютерному оборудованию или программному обеспечению. Это набор специальных процедур, предназначенных для реконструкции процесса работы на компьютере, анализа остаточных данных, проведения проверки подлинности данных с помощью средств технического анализа, исследования технических свойств данных. Это в корне отличается от работы системного администратора.

Люди, которые проводят компьютерные расследования, должны иметь необходимую квалификацию в этой области, они должны точно знать, что нужно искать. Перезагрузка атакованной системы или даже простой просмотр файлов на ней, может разрушить доказательства, изменить метки времени на важных файлах, удалить следы, которые мог оставить преступник. Большинство цифровых доказательств имеет короткое время жизни, поэтому они должны быть собраны как можно быстрее с учетом энергонезависимости мест их хранения. Другими словами, наиболее энергозависимые и недолговечные доказательства должны быть собраны первыми. В большинстве случаев, лучше всего отключить атакованную систему от сети, сделать дамп содержимого памяти, после чего выключить систему и сделать побитовый образ ее жесткого диска, а затем проводить экспертизу на основании этой копии. Работа с копией вместо реального диска системы позволит обеспечить сохранность доказательств в оригинальной системе даже в случае, если некоторые действия в процессе расследования разрушат или уничтожат данные. Сохранение в файл дампа содержимого оперативной памяти перед выполнением каких-либо других работ в системе или отключением питания, является очень важным шагом, поскольку в памяти могут находиться ценные улики. Это является одним из способов сбора очень энергозависимой информации. Однако это создает неоднозначную ситуацию, поскольку снятие дампа оперативной памяти или выполнение иного анализа работающей системы может привести к изменениям в системе. Какой бы метод не применялся экспертом для сбора цифровых доказательств, он обязан документировать все свои действия. Это является очень важным аспектом работы с доказательствами.
ПРИМЕЧАНИЕ. Команде экспертов по компьютерной криминалистике требуются специальные инструменты: блокнот для сбора доказательств, контейнеры, фотоаппарат, стикеры для пометки доказательств. Блокнот для сбора доказательств не должен быть простой тетрадкой, позволяющей незаметно вырывать страницы.

Когда ранее в этом Домене мы рассматривали законодательство, мы отмечали, насколько важны стандартизованные отношения и подходы различных стран к компьютерным преступлениям, поскольку такие преступления часто переходят международные границы. То же самое верно и для компьютерной криминалистики. При работе с цифровыми доказательствами должен применяться единообразный подход, чтобы они могли использоваться в различных судах разных стран. Для этих целей была создана международная организация IOCE (International Organization on Computer Evidence – Международная организация по компьютерным доказательствам), задачей которой является разработка международных принципов, связанных с вопросами сбора и обработки цифровых доказательств, приемлемых для судов различных стран. В США есть похожая организация SWDGE (Scientific Working Group on Digital Evidence – Научная рабочая группа по цифровым доказательствам), целью которой является обеспечение единообразного подхода для всего сообщества экспертов по компьютерной криминалистике. Принципы, разработанные IOCE и SWDGE для стандартизированного подхода к работе с компьютерными доказательствами, имеют следующие характерные признаки:
  • Согласованность со всеми правовыми системами
  • Возможность использования общего языка
  • Надежность
  • Трансграничность
  • Возможность подтверждения целостности доказательств
  • Применимость к любым компьютерным доказательствам
  • Применимость на любом уровне, в том числе индивидуальном, уровне государственных учреждений, государственном уровне
Принципы IOCE / SWDGE перечислены ниже:
  1. При работе с цифровыми доказательствами должны быть применимы все основные процессуальные принципы и принципы компьютерной криминалистики.
  2. Действия, выполняемые в процессе сбора цифровых доказательств, не должны изменять эти доказательства.
  3. Допуск к оригинальным цифровым доказательствам может быть предоставлен при необходимости только лицу, прошедшему специальное обучение по работе с ними.
  4. Все действия, связанные со сбором, использованием, хранением или передачей цифровых доказательств, должны быть надлежащим образом задокументированы, а документы должны быть сохранены и доступны для изучения.
  5. Лицо несет ответственность за все действия в отношении цифровых доказательств, которые находятся в его распоряжении.
  6. Любое учреждение, в обязанности которого входит сбор, использование, хранение или передача цифровых доказательств, несет ответственность за соблюдение этих принципов.

Современная компьютерная преступность очень похожа на традиционную. Также как и при расследовании традиционного преступления, для понимания причин совершения компьютерного преступления необходимо понять мотивы, возможности и средства.

Мотив – это ответ на вопрос «кто» и «почему» совершает преступление. Мотивы могут быть обусловлены внешними или внутренними факторами. Человек может находиться в состоянии эмоционального возбуждения, испытывать страх или потребность в адреналине от совершения преступления - все это является факторами его внутреннего состояния. Примерами внешних факторов могут быть финансовые проблемы, болезнь члена семьи и т.п. Понимание мотива преступления является очень важным аспектом при определении круга людей, которые могли совешить его. Например, многие хакерские атаки на сайты с громкими именами осуществлялись лишь для того, чтобы факт нарушения их работы попал во все новости. Однако когда технологии достигнут достаточного уровня для успешного противодействия таким атакам, либо когда подобные факты перестанут привлекать такое внимание, люди перестанут проводить эти атаки, поскольку их мотивация снизится.

Возможность – это то, что делает возможным совершение преступления. Обычно возможности появляются тогда, когда существуют некоторые уязвимости или слабые места. Если у компании нет межсетевого экрана, хакеры имеют все возможности для выполнения своих действий в этой сети. Если компания не осуществляет управление доступом, не ведет или не контролирует журналы регистрации событий, сотрудники получают массу возможностей для хищения денег и обмана компании. После выяснения того, почему человек решил совершить преступление (мотив), нужно проанализировать, что именно дало возможность быть успешным этому преступлению (возможности).

Средства – это то, что нужно преступнику для обеспечения успеха своего преступления. Предположим, вам было поручено расследовать сложное хищение, произошедшее в финансовой компании. Если у вас после проведения предварительной работы осталось только трое подозреваемых, каждый из которых умел пользоваться мышью, клавиатурой и текстовым редактором, но один из них был программистом и системным аналитиком, вы можете сделать вывод, что именно этот человек имел гораздо больше средств для успешного совершения этого преступления, по сравнению с двумя другими.


Как и традиционные преступники, компьютерные преступники имеют свои специфические методы работы (Modus Operandi). Другими словами, у каждого преступника есть свой, особый образ действий при совершении преступления, что может использоваться при расследовании для попытки установления личности преступника. Следователю, расследующему компьютерное преступление (в отличие от расследования традиционного преступления), необходимы хорошие знания информационных технологий. Например, методика работы (образ действий) компьютерного преступника может включать в себя использование определенных хакерских инструментов, нацеленность на определенные системы или сети, одинаковый стиль программирования, похожий текст отправляемых сообщений. В отдельных случаях, это позволяет выявить повторяющийся шаблон поведения. Знание методов работы компьютерных преступников и шаблонов их поведения может быть очень полезным в процессе расследования компьютерных преступлений. Правоохранительные органы могут использовать эту информацию, например, для идентификации других преступлений, совершенных тем же преступником. Методы работы и шаблоны поведения могут давать информацию, которая будет очень полезной при проведении интервью и допросов, а также в суде.

Психологический анализ места преступления (определение профиля) также может проводиться с использованием сведений о методах работы и шаблонах поведения преступника. Определение профиля позволяет понять мысли преступника, что может помочь при определении его личности или, возможно, в определении использованного им инструмента для совершения преступления.
ПРИМЕЧАНИЕ. Принцип обмена Локарда также дает информацию, которую можно использовать при определении профиля. Этот принцип утверждает, что преступник что-то оставляет на месте преступления и что-то берет с собой. Этот принцип лежит в основе криминалистики. Даже для полностью цифрового преступления принцип обмена Локарда помогает в поисках преступника.

Специалисты по расследованию инцидентов (incident investigator, следователь) – это люди другой породы. Многие считают, что они пришли с другой планеты, но это пока не доказано. Они должны уметь выявлять подозрительную и необычную деятельность там, где другие ничего не замечают. Для этого им необходима профессиональная подготовка и большой опыт.

Специалист по расследованию инцидентов может выявить, например, такие подозрительные действия, как сканирование портов или попытки SQL-инъекций, найти важные улики в журнале регистрации событий. Необычную деятельность выявить сложнее. Она может заключаться в увеличении объема сетевого трафика, в участившемся пребывании сотрудника на рабочем месте в нерабочее время, выполнении нестандартных запросов к портам файлового сервера и т.п. Аналогично, если мать подростка почувствовала запах дыма от его пиджака, она может предположить, что он начал курить. Если он обычно каждый вечер играл на своем Xbox, а тут вдруг вечерами стал ходить «в библиотеку», его мать сразу заметит такое необычное поведение и может предположить, что у него появилась подруга.

Специалист по расследованию инцидентов должен хорошо разбираться в процедурах компьютерной экспертизы, сбора доказательств, знать, как проводить анализ ситуации, чтобы понять произошедшее, уметь найти важные улики в системных журналах.
Различные типы исследований, которые должен уметь выполнять специалист по расследованию инцидентов:
  • Сетевой анализ
    • Анализ сетевого взаимодействия
    • Анализ журналов регистрации событий
    • Отслеживание маршрутов (path tracing)
  • Анализ носителей информации
    • Работа с образами дисков
    • Анализ времени создания, изменения, доступа (файлов)
    • Анализ содержимого
    • Анализ свободного дискового пространства
    • Стеганография
  • Анализ программного обеспечения
    • Обратный инжиниринг
    • Исследование вредоносного кода
    • Исследование эксплойтов

Чтобы компьютерная экспертиза (forensics) выполнялась стандартизованным образом, команда должна строго шаг за шагом следовать заранее определенным процедурам. Это позволит не упустить ничего важного и обеспечить приемлемость собранных доказательств для суда. У каждой команды или компании могут быть собственные процедуры, но все они, по существу, должны выполнять одни и те же вещи.
  • Выявление
  • Обеспечение сохранности
  • Сбор
  • Осмотр
  • Анализ
  • Предъявление
  • Принятие решения
ПРИМЕЧАНИЕ. В процесс проведения компьютерной экспертизы включены все основные принципы криминалистики. В том числе определение места преступления, защита окружения от изменений и утраты улик, нахождение улик и потенциальных источников улик, сбор улик. При работе на месте преступления очень важно минимизировать влияние на окружение, однако нужно понимать, что полностью избежать такого влияния невозможно ни для традиционного, ни для компьютерного преступления. Важно минимизировать изменения и документировать все действия, причины их выполнения, а также их влияние на место преступления.
В процессе осмотра и анализа цифровых улик необходимо работать с образами носителей информации, содержащими полные копии данных с оригинальных носителей информации, а не с самими оригинальными носителями. Для этого должны формироваться побитовые копии каждого сектора оригинального носителя информации, включая удаленные файлы, свободное пространство и нераспределенные кластеры. Для создания таких образов могут использоваться специальные инструменты, такие как FTK Imager, EnCase, Safeback или утилита dd в Unix. Обычная функция копирования файлов не позволит создать копию всех областей диска, которые должны быть исследованы при выполнении компьютерной экспертизы.
Контроль места преступления. Независимо от того, является ли преступление традиционным или компьютерным, для обеспечения гарантий целостности улик очень важно контролировать все контакты с ними. Ниже приведены лишь некоторые из шагов, которые должны быть выполнены для защиты места преступления:
  • Только уполномоченным лицам разрешается доступ к месту преступления. Эти лица должны иметь базовые навыки анализа места преступления.
  • Внести в протокол информацию о тех, кто находится на месте преступления.
    • В суде целостность улик может быть подвергнута сомнению, если вокруг них крутилось слишком много людей.
  • Внести в протокол информацию о том, кто последним взаимодействовал с системами.
  • Если на месте преступления происходят изменения, необходимо документировать это. Изменения могут не оказывать негативного влияния на собранные улики, но они могут усложнять проведение расследования преступления.
С оригинальных носителей информации должны быть сделаны две копии: основной образ (контрольная копия, которая хранится в библиотеке) и рабочий образ (используется для проведения сбора и анализа доказательств).

Перед созданием этих образов, следователь должен убедиться, что новые носители информации были надлежащим образом очищены, т.е. не содержат никаких остаточных данных. Неоднократно возникали проблемы из-за того, что новый носитель информации содержал старые данные не очищенные производителем.

Следователь работает с дубликатом носителя информации, поскольку это обеспечивает сохраннность оригинального доказательства, предотвращает его случайное изменение в ходе экспертизы и позволяет повторно создавать дубликаты в случае необходимости. В большинстве случаев данные на компьютере находятся на жестком диске и в энергозависимой памяти. Можно выделить следующие области хранения данных:
  • Регистры и кэш-память
  • Таблицы процессов и кэш ARP
  • Содержимое системной памяти
  • Временные файлы
  • Данных на диске
Чтобы надлежащим образом собрать важные данные с компьютера или другого устройства, нужна большая осторожность и точность. Сотовые телефоны, коммуникаторы, USB-накопители, ноутбуки, карты памяти и другие устройства также могут содержать важные улики.

Получение доказательств с систем в процессе их функционирования, а также с сетевых хранилищ является более сложной задачей, поскольку вы не можете их отключить, чтобы сделать копию жесткого диска. Представьте реакцию руководителя ИТ-департамента, если вы попросите его выключить сервер базы данных или почтовый сервер. Образы подобных систем, а также систем, выполняющих шифрование информации «на лету», должны сниматься в процессе их работы.

Чтобы гарантировать неизменность и целостность исходного образа, нужно рассчитать хэш-функции для файлов и каталогов до и после проведения анализа.
ПРИМЕЧАНИЕ. В журналах регистрации событий должна храниться подробная информация обо всех действиях, системах, периферийных устройствах и их серийных номерах, а также информация о каждом действии экспертов. Это обеспечит возможность проверки доказательств и их применимость в суде. Также следует убедиться, что в компании документированы роли, которые выполняют системы.
ПРИМЕЧАНИЕ. В большинстве случаев, блокнот следователя не может использоваться в суде в качестве доказательства. Он может использоваться следователем, только чтобы освежить свою память о деталях произошедшего.
Инструменты для компьютерной криминалистики. При организации команды экспертов по компьютерной криминалистике, нужно позаботиться об обеспечении ее всеми необходимыми инструментами и вспомогательными средствами. Ниже перечислены наиболее часто используемые предметы, имеющиеся в наборах экспертов по компьютерной криминалистике:
  • Средства для документирования. Метки, наклейки и формы со шкалой времени
  • Инструменты для разборки и извлечения. Антистатические браслеты, щипцы, пинцеты, отвертки, кусачки и т.п.
  • Принадлежности для упаковки и транспортировки. Антистатические мешки, сумки и ленты для доказательств, кабельные стяжки и т.п.
Следующим моментом, имеющим крайне важное значение, является обеспечение надлежащей системы охраны вещественных доказательств (chain of custody). Поскольку доказательства, связанные компьютерными преступлениями, могут быть очень "хрупкими" и легко могут стать непригодными для суда при неправильном обращении с ними, необходимо следовать строгим процедурам сбора, помечать каждый контейнер с доказательствами – без исключений. Кроме того, система охраны вещественных доказательств должна обеспечиваться на всех стадиях жизненного цикла доказательств, начиная с их выявления, заканчивая уничтожением, архивированием или возвращением владельцу.

Процесс изготовления копий данных должен соответствовать определенным стандартам, чтобы обеспечить гарантии качества и надежности. Для этой цели может использоваться специализированное программное обеспечение. Копии должны позволять провести независимую проверку их подлинности, а также должны быть защищены от неумелого обращения.

Каждый отдельный предмет, являющийся уликой, должен быть помечен каким-либо образом с указанием даты, времени, фамилии того, кто его собрал, а также номера дела, если оно уже заведено. При пометке носителей информации нужно позаботиться, чтобы нанесение этих пометок не привело к потере записанной на них информации. Каждый отдельный предмет должен быть запечатан в отдельный контейнер, который должен быть помечен с указанием такой же информации. Контейнер должен быть опечатан лентой для опечатывания доказательств. По возможности, на ленту должны быть нанесены надписи (например, личная подпись) таким образом, чтобы можно было легко выявить факт нарушения целостности этой ленты и вероятного несанкционированного доступа внутрь контейнера.
ПРИМЕЧАНИЕ. Система охраны вещественных доказательств требует, чтобы все доказательства были помечены с указанием информации о том, кто обеспечил их защиту, и кто это проконтролировал.
Провода и кабели должны быть помечены, должна быть сделана фотография системы с этими пометками, только после этого можно разбирать систему. Носители информации должны быть защищены от записи. В помещении для хранения доказательств не должно быть пыли, должна поддерживаться комнатная температура, низкая влажность, и, конечно же, вблизи не должно быть мощных магнитов или магнитных полей.

По возможности место преступления должно быть сфотографировано. Если компьютерная система была взломана физически (например, вскрыт системный блок компьютера), это также должно быть сфотографировано. Для работы с документами, бумагами и устройствами следует надеть тканевые перчатки, улики следует сначала поместить в контейнеры и опечатать их. Все носители информации, в том числе те, информация с которых была стерта, должны быть собраны, поскольку есть шансы, что информацию с них удастся восстановить.

Улики такого типа очень сложны в обращении, они могут быть легко стерты или уничтожены, поэтому их нахождение, обеспечение сохранности, сбор, осмотр, транспортировка и дальнейшая интерпретация являются очень важными. После того, как все улики надлежащим образом помечены, на каждом контейнере должны быть сделаны отметки ответственных за обеспечение охраны вещественных доказательств, а в общий протокол должны быть внесены записи обо всех событиях.

Чтобы преступление было успешно раскрыто, а преступник понес адекватное наказание, необходимы надежные доказательства. Компьютерная экспертиза – это искусство получения этих доказательств и их надлежащее сохранение, обеспечивающее их приемлемость для суда. Без правильного проведения компьютерной экспертизы, вероятность успешного предъявления доказательств компьютерного преступления в суде значительно снижается.

Наиболее распространенными причинами неправильного сбора доказательств являются: отсутствие команды реагирования на инциденты, отсутствие установленных процедур реагирования инциденты, плохо написанная политика, нарушения при организации системы охраны вещественных доказательств.
ПРИМЕЧАНИЕ. Система охраны вещественных доказательств – это история, которая показывает, как доказательства были собраны, сохранены, перевезены и проанализированы для предъявления в качестве доказательств в суде. Поскольку электронные доказательства могут быть легко изменены, только четко определенная система охраны вещественных доказательств может продемонстрировать, что этим доказательствам можно доверять.
Следующим шагом является анализ собранных улик. Следователи, расследующие компьютерные преступления, применяют следующие методы:
  • Определение характеристик улики, в частности, может ли она применяться в качестве первичного или вторичного доказательства, ее источник, надежность и неизменность
  • Сравнение улик из различных источников для определения хронологии событий
  • Реконструкция событий, включая восстановление удаленных файлов и других действий в системе
Это может выполняться не только в лабораторных условиях, но и непосредственно на месте преступления, в полевых условиях – благодаря аппаратным копировщикам (write-blocker) и специализированному программному обеспечению для компьютерной криминалистики. Когда следователь анализирует улику в лаборатории, он проводит экспертизу «мертвых» данных (dead forensics), поскольку он работает только со статичными данными. «Живая» экспертиза (live forensics), которая выполняется в полевых условиях, имеет дело в том числе и с энергозависимыми данными (volatile data). Если не удается найти улики, следует обратиться к опытному эксперту по компьютерной криминалистике, чтобы он помог обнаружить их.

В завершение, интерпретация результатов анализа улик должна быть представлена соответствующей стороне. Это может быть судья, адвокат, генеральный директор, совет директоров. Очень важно представить эти результаты в виде, который будет понятен нетехнической аудитории. Как специалист по безопасности, вы должны уметь объяснять такие вещи простым языком, используя метафоры и аналогии. Естественно, улики и сведения, которые являются секретной информацией или коммерческой тайной компании следует сообщать только уполномоченным на ознакомление с такой информацией сторонам. Среди них может быть юридический департамент или внешний юрист, помогающий в расследовании.
Руководство по компьютерной криминалистике Австралийской команды реагирования на компьютерные чрезвычайные происшествия
  • Минимизировать работу с оригинальными данными и вероятность их повреждения
  • Протоколировать все действия и пояснять изменения
  • Следовать пяти правилам доказательства (Применимость, Подлинность, Полнота, Точность и Убедительность)
  • Обращаться за квалифицированной помощью при работе с доказательствами и их анализе, если у вас недостаточно знаний, опыта или возможностей
  • Придерживаться политики безопасности вашей компании и получать письменные разрешения для проведения расследования компьютерного преступления
  • Быстро сохранять максимально точный образ системы
  • Быть готовым давать показания в суде
  • Удостовериться, что ваши действия повторимы
  • Приоритезировать ваши действия по сбору улик - начинать следует с наименее устойчивых, а заканчивать устойчивыми уликами
  • Не запускать никаких программ на системе, которая является потенциальным доказательством
  • Действовать этично и добросовестно при проведении расследования компьютерного преступления, не пытаться причинить какой-либо вред
Ссылки по теме:

Комментариев нет: