Сегодня очень распространено словосочетание «цифровая криминалистика», причем используют его весьма часто. Но что это такое? Вообще цифровая криминалистика (digitalforensics) — это наука о раскрытии преступлений, связанных с компьютерной информацией. Вместе с тем существует более полное определение, которое, на мой взгляд, гораздо правильнее.
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удаленных объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом, и решается он по-разному.
Проводится такая экспертиза как по уголовным делам, так и по гражданским. По уголовным делам она может быть назначена следователем (в рамках досудебного следствия) или судом и поручается конкретному эксперту или экспертному учреждению. Результатом экспертизы является заключение эксперта, которое служит доказательством по делу. По гражданским делам экспертиза может быть назначена судом, заказана одной из сторон или назначена нотариусом по инициативе той или иной стороны.
Обычно перед экспертом ставятся вопросы такого рода:
- о наличии на исследуемых объектах информации, относящейся к делу (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
- о возможности использования исследуемых объектов для определенных целей (например, для доступа в сеть);
- о действиях, совершенных с использованием объектов;
- о свойствах программ для ЭВМ, в частности об их принадлежности к числу вредоносных;
- об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.
Вместе с тем стоит отметить, что методы компьютерно-технической экспертизы часто используются при реагировании на инциденты, связанные с вредоносными программами (см. рисунок). При этом в ходе расследования, как правило, эксперт должен получить ответ на следующие вопросы:
- Кто произвел атаку?
- Когда произошла атака?
- Какие серверы или рабочие станции пострадали?
- Каковы цели и мотивы атакующих?
Рисунок. Процесс реагирования на инциденты информационной безопасности |
Сдерживание
Первое, с чего начинается работа над инцидентом, — это его сдерживание. Фактически от вас требуется сдержать распространение вредоноса и тем самым сузить возможный ареал распространения и уменьшить ущерб. Отключать ли зараженный компьютер от сети физически? Когда-то я считал, что это необходимо. Сегодня думаю, что нет. Почему? Да потому что большое распространение получили средства интеллектуального управления сетью, и вы сегодня можете легко вывести любой компьютер в отдельную виртуальную сеть VLAN. Ведь прежде всего нужно сделать так, чтобы ваша зараженная система не могла взаимодействовать с сетью предприятия. А как именно вы это обеспечите, не так уж важно. Следующим этапом в вашей работе будет сбор информации.
Сбор информации
На данном этапе от вас потребуется сделать полный образ оперативной памяти и жесткого диска зараженного компьютера. Именно в этот момент вы сможете получить информацию, которая позволит понять, как вы будете работать с заражением.
Одним из инструментов для получения полного образа памяти и копирования жесткого диска является программа FTK Imager Manager (https://accessdata.com/product-download/ftk-imager-lite-version-3.1.1/). FTK Imager Lite 3.1.1 — инструмент предварительного просмотра и визуализации данных, используемый для получения данных (доказательств) в судебно обоснованной форме путем создания копий данных без внесения изменений в исходные данные (экран 1).
Экран 1. Окно FTKImager |
FTK Imager предназначен для:
- Создания криминалистических копий:
— локальных жестких дисков;
— компакт-дисков и DVD;
— флеш-накопителей и других USB-устройств;
— папок;
— отдельных файлов.
- Просмотра файлов и папок на отдельных жестких дисках, сетевых дисках, дискетах, zip-дисках, компакт-дисках и DVD, флеш-накопителях и других устройствах USB.
- Предварительного просмотра содержимого судебных дампов, хранящихся на локальных или сетевых дисках.
- Просмотра в режиме только для чтения.
- Экспорта файлов и папок из криминалистических дампов.
- Восстановления удаленных из «Корзины» файлов, если они не были перезаписаны на диске.
- Создания хешей файлов для проверки целостности данных с помощью любой из двух хеш-функций, доступных в FTK Imager: Message Digest 5 (MD5) и Secure Hash Algorithm (SHA-1).
- Создания хешей для обычных файлов и образов дисков (включая файлы внутри образов дисков), которые впоследствии можно использовать в качестве образца, чтобы подтвердить целостность ваших доказательств. Хеш, созданный FTK Imager, может использоваться для проверки того, что хеш дампа и хеш диска совпадают после создания образа и что образ остается неизменным после создания.
Отдельно хотелось бы подчеркнуть, что с помощью этого программного обеспечения вы получаете побитовую копию, включая неразмеченные области диска, в которых зачастую и находится вредоносная программа.
Получение образа оперативной памяти
Создать образ оперативной памяти можно, выбрав пункты меню File, Capture Memory. Учтите, что некоторые приложения могут препятствовать снятию образа оперативной памяти. Если вы столкнулись с таким, воспользуйтесь инструментом Belkasoft Live RAM Capturer (https://belkasoft.com), как показано на экране 2.
Экран 2. Создание образа памяти |
Следующим шагом будет снятие образа жесткого диска.
Снятие образа жесткого диска
Для выполнения этого шага исследуемый компьютер следует отключить. Причем, как ни странно прозвучит, нужно просто вытащить вилку из розетки, а не воспользоваться стандартной процедурой отключения. Почему? Да потому что при отключении стандартным способом вы можете потерять часть временных файлов, чего нельзя допустить. Создание образа жесткого диска производится тем же инструментом FTK Imager. Выберите пункт меню File, а затем CreateDiskImage, как показано на экране 3. При этом необходимо скопировать весь физический диск, включая неиспользуемые секторы, так как в них могут храниться файлы и настройки вредоносной программы.
Экран 3. Снятие образа жесткого диска |
Источники доказательств инцидента
Необходимо учесть, что в зависимости от типа инцидента вам может потребоваться сбор информации из разных источников. Приведу несколько примеров.
- Журналы межсетевых экранов позволят вам узнать, какие соединения использовались для подключения ко внешней сети.
- Журналы контроллера домена содержат информацию о том, к каким ресурсам запрашивался доступ с использованием скомпрометированной учетной записи.
- Журналы сервера имен DNS содержат доменные имена, которые запрашивали вредоносные программы.
Передача данных
На следующем этапе данные передаются в отдел информационной безопасности или сторонним организациям для проведения расследования, при этом необходимо прикладывать хеши образов. Если образ диска снят с использованием FTKImager (экран 4), то хеш этого образа содержится в окне ImageSummary. Если же ваша утилита для сбора данных не поддерживает вычисление хеша, то придется воспользоваться, например, утилитой hashdeep.
Экран 4. Образ диска |
На этом первый этап проведения расследования можно считать завершенным.