ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


09.04.2009
Восстановление информации и расследование компьютерных инцидентов

Сергей Чеховский, к.т.н, коммерческий директор ЕПОС

В связи с быстрым развитием информационных технологий и ростом ценности информации, хранимой на электронных носителях, компьютеры и компьютерные сети все чаще становятся объектами таких незаконных действий как:

  • несанкционированное вторжение, хакерские и DoS атаки;
  • модификация, искажение или уничтожение баз данных;
  • хищение или копирование конфиденциальной информации;
  • блокирование доступа к информации и базам данным;
  • хищение денежных средств, мошенничество с платежными средствами (банк-клиент и др.);
  • использование вирусов и другого вредоносного программного обеспечения;
  • несанкционированное использование ПК для организации массовых атак и других вредоносных действий на другие ПК и локальные сети.

Такие действия подвергают организации различным рискам – финансовых потерь, моральным и правовым. Задача обеспечения информационной безопасности в организации с целью минимизации указанных рисков с одной стороны требует применение специальных систем и мер, направленных на предотвращение таких несанкционированных действий, а с другой стороны – расследование произошедших таких ИТ-инцидентов с целью выявления каналов утечки информации, «дыр» в системе информационной безопасности, выявление «инсайдеров» и других правонарушителей.

Прикладной наукой о расследование инцидентов и преступлений, связанных с компьютерной информацией, является компьютерная криминалистика ("Computer Forensics") . Сам термин "Forensics" является сокращенной формой от "Forensics science" , т.е. судебная наука или наука об исследовании доказательств, и произошел от латинского "foren", что означает «речь перед форумом», т.е. выступление перед судом. В русском языке пока не устоялось общеупотребительного термина, однако все чаще употребляется термин «форензика» (1) , что означает именно компьютерную криминалистику.

При расследовании ИТ-инцидентов очень часто возникает задача восстановления информации после таких воздействий как: несанкционированное вмешательство в работу ПК и локальных сетей, воздействия вредоносных программ, халатности сотрудников, аварий, несчастных случаев, в том числе и при физическом разрушении носителя. Поэтому многие известные компании по восстановлению информации начали в свое время предоставлять и услуги по расследованию ИТ-инцидентов ( американская Ontrack, английская Vogon и другие) . Не стала исключением и украинская компания ЕПОС, начавшая предоставлять такие услуги после 15-летнего опыта в сфере восстановления информации.

Порядок расследования ИТ-инцидентов, принятый в компании ЕПОС, базируется на известной модели, включающей в себя четыре основных этапа (2):
1. Оценка ситуации
2. Сбор данных
3. Анализ данных
4. Отчет о расследовании

Этап сбора данных является очень важным этапом расследования, в котром приходится использовать различные технологии, методы, системы и устройства. На этом этапе производится восстановление информации с накопителей. Если накопитель неисправен, то предварительно производятся работы по восстановлению его работоспособности с использованием специальных аппаратных и программных средств. Учитывая, что анализ информации с электронных носителей должен производиться без внесения любых изменений в их содержимое, то основным элементом при восстановлении информации и сбора данных является неразрушающее копирование информации с исследуемого на промежуточный носитель. Несмотря на кажущуюся простоту, операция копирования данных представляет собой непростую техническую задачу и требует применения специальных аппаратных и программных средств, которые при расследовании ИТ-инцидентов должны:

  • Обеспечить копирование всей информации на носителе, в том числе и скрытой информации (данных в скрытых зонах, свободных блоков, «хвостов» файлов…), т.е. создание полного образа накопителя.
  • Не вносить какие-либо изменения в содержимое исследуемого накопителя (оригинала)
  • Иметь возможность сравнения (верификации) копии и оригинала
  • Обеспечить требуемую достоверность копии и оригинала и обнаружение ошибок
  • Обеспечить достаточно высокую скорость копирования

Информация может быть скопирована с помощью программных продуктов, например, таких как EnCase, а также программ DD из состава ОС Linux или FreeBSD. Однако на практике специалисты отдают предпочтение аппаратным средствам. Одним из известных портативных мультиинтерфейсных (поддержка интерфейсов IDE, SATA, SCSI, USB, FireWire) аппаратных средств для неразрушающего копирования информации и создания полного образа жесткого диска является ImageMASSter Solo-3 Forensic (3). Для того чтобы удостовериться в соответствии копии и оригинала, используют режим верификации. Для обеспечения высокой достоверности верификации используют так называемые хэш-функции, представляющие собой криптографические программы преобразования по определенному алгоритму исходной информации в ключевое слово, называемое также дайджестом сообщения. Считается, что если ключевое слово совпадает, то и скопированная информация полностью соответствует оригиналу. Так, широко известный алгоритм MD-5 преобразует исходную информацию в 128-битное, а алгоритм SHA-1, рекомендованный для использования в государственных учреждениях США, - в 160-битное слово. Как правило, ключевое слово представляется в виде шестнадцатеричных чисел, например ключевое слово для MD-5 представляет собой 32 шестнадцатеричных чисел, которое может выглядеть, например, так: d41d8cd98f00b204e9800998ecf8427e. Устройство ImageMASSter Solo-3 Forensic поддерживает различные хэш-функции: MD-5, SHA-1, SHA-2, CKC-32, что позволяет эксперту выбрать наиболее приемлемый алгоритм.

Следует учитывать, что при физических разрушениях жесткого диска (выход из строя блока головок, заклинивание двигателя, царапины и другие повреждения поверхностей) не только работы по его восстановлению, но зачастую и операции копирования должны проводиться в «чистой» комнате с регламентированным содержанием пыли в воздухе. Связано это с тем, что в процессе копирования информации с жестких дисков необходимо периодическая «корректировка» работы диска с целью обеспечения съема максимально возможного объема информации. В противном случае часть информации может быть безвозвратно потеряна. При копировании информации с жестких дисков, имеющих различного рода дефекты и разрушения, особое значение приобретает скорость копирования информации. Действительно, копирование образа диска емкостью 1ТВ в режиме PIO-4 составляет около 110 часов, а такое время большинство дисков с дефектами просто не смогут отработать. Поэтому для копирования жестких дисков с дефектами необходимо использовать аппаратные средства, имеющих высокую скорость копирования и возможность адаптивного копирования и статистической обработки результатов чтения, что позволяет считывать только нужную информацию и обеспечить максимально возможный процент успешно считанной информации. Современные устройства копирования данных используют максимально возможную скорость, ограниченную только возможностью интерфейса накопителя. Так устройство «ДискМастер» производства компании ЕПОС обеспечивает максимально возможную скорость, ограниченную возможностью интерфейса, - 3,5GB/s, что позволяет практически в 10 раз повысит скорость копирования по сравнению со стандартными средствами, работающими в режиме PIO-4. Кроме того, в отличие от стандартных средств, «ДискМастер» имеет возможность адаптивного чтения дефектных секторов.

При копировании информации USB-накопителей (флеш-памяти, внешних жестких дисков) необходимо использовать аппаратные блокираторы записи, поскольку под ОС Windows отсутствует возможность подключения накопителей без возможности записи на него, а под ОС UNIX или Linux хотя и есть такая возможность, однако зачастую требуются соответствующие драйвера, чтобы накопитель мог быть опознан.

Восстановление и копирование данных с флэш-носителей имеет свои особенности. Так при копировании с флэш-накопителя отсутствует возможность копирования информации с резервных зон, в которых могут находиться интересующие эксперта удаленные или разрушенные файлы и даже целые каталоги. Для обеспечения гарантированной возможности копирования всей информации, содержащейся на флэш-накопителе необходимо использовать специальные флэш-ридеры , работа которых основана на методе прямого доступа к памяти. Кроме того, данные на флэш-памяти записаны к кодированном виде. Для адаптивного чтения флэш-памяти используется "EPOS NAND flash reader" . В устройстве реализована возможность исправления ошибок при чтении дефектных ячеек памяти, что позволяет считывать информацию с флэш-памяти с большим количеством дефектных ячеек, считать информацию с которых было невозможно ни с помощью стандартных, ни с помощью современных специальных ридеров, предназначенных для использования при восстановлении данных. Особую сложность при восстановлении информации с флэш-накопителей определяет наличие встроенных в служебную память флеш-накопителя алгоритмов кодирования. Алгоритмы кодирования данных являются коммерческой тайной производителей флеш-устройств, поскольку от этого алгоритма зависят такие критически важные параметры как их скорость работы и надежность. Эти алгоритмы постоянно совершенствуют, улучшая те или иные характеристики флэш-накопителей, в резул ьтате чего появляется множество различных версий алгоритмов даже для одной и той же модели накопителя, что затрудняет возможность их вскрытия в приемлемые сроки. Особенно сложные алгоритмы используются в SSD-накопителях. Для декодирования этих алгоритмов необходимо использовать специальные системы декодирования, например, "EPOS IRS-flash", которая позволяет автоматизировать процесс вскрытия алгоритма кодирования данных анализируемой флэш-памяти.

Процесс сбора и восстановления данных может быть затруднен и при использовании паролей. Вскрытие пароля не всегда представляет собой тривиальную задачу. Так, в ноутбуках некоторых производителей есть возможность включения пароля для информации на жестком диске на уровне BIOS. Такой пароль защищает хранящуюся информацию от несанкционированного доступа при утере или краже ноутбука. Иногда и пользователь намеренно или непреднамеренно «забывает» пароль. Достаточно сложно вскрывать и некоторые программные пароли, например, поставленные на файлы RAR или Microsoft Office 2007. Использование программных средств для вскрытия пароля занимает иногда непозволительно длительное время даже при использовании производительных компьютеров. Для ускорения вскрытия пароля необходимо использовать аппаратные средства, например такие как COBRA (Code Brake Accelerator) . Одно такое устройство обеспечивает скорость подбора пароля до 2000 паролей в секунду для файлов Microsoft Office-2007 и до 300-500 паролей в секунду для файлов RAR не зависимо от производительности компьютера. Устройство имеет хорошую масштабируемость и позволяет объединять до 4-х таких устройств в один блок. При этом скорость подбора паролей возрастает практически пропорционально количеству используемых устройств в блоке. Более того, можно использовать несколько таких блоков, подключенных через USB к одному компьютеру.

После копирования и восстановления информации необходимо обеспечить надежное хранение полученных данных. Обычно делается несколько копий (минимум две) полученной информации или данные сохраняются на сервере с отказоустойчивой RAID-системой. В целях предотвращения несанкционированного доступа к информации копии находятся в обычном или так называемом «информационном» сейфе. Информационный сейф «Кольчуга» представляет собой систему мгновенного уничтожения информации на одном или нескольких жестких дисков в RAID-системе при попытке кражи или несанкционированного физического доступа к серверу или ПК. Команда на уничтожение информации может быть подана автоматически или по команде с радио-брелка или мобильного телефона. Устройство имеет автономный источник питания и позволяет производить уничтожение информации даже при отсутствии питающей сети.

Таким образом развитие технологий восстановления информации, разработка собственных систем и устройств, позволило расширить сферу услуг, предоставляемых компанией ЕПОС в области расследования компьютерных инцидентов. В настоящее время ЕПОС предлагает комплекс услуг, связанных с расследованием ИТ-инцидентов:

  • восстановление информации, баз данных и электронных документов, утерянных или искаженных в результате физического и программного воздействия на ПК и системы хранения данных;
  • проведение анализа причин и условий ИТ-инцидентов;
  • оказание информационной поддержки для предотвращения и профилактики ИТ-инцидентов, продажа информационных сейфов;
  • съем данных (защищенное копирование) с различных устройств и систем хранения данных ( HDD, RAID, Flash…);
  • продажа специальных аппаратных и программных средств для организации сбора, анализа и хранения данных (защищенные от записи системы посекторного копирования, диагностические системы, системы уничтожения информации и др.).

Литература:

  1. Федотов Н.Н. Форензика - компьютерная криминалистика – М.; Юридический мир, 2007. – 360с. – ISBN 5-91159-015-8
  2. Фундаментальное руководство по расследованию компьютерных происшествий для Windows
    http://www.microsoft.com/rus/technet/security/guidance/disasterrecovery/computer_investigation/default.mspx)
  3. Чеховский С.А. - Системы Обеспечения безопасности информации. -Бизнес и безопасность № 2/2008

Статья опубликована в журнале «Бизнес и безопасность», №2/2009 (70)


Поделиться информацией