ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


14.05.2012


Чеховский Сергей Анатольевич, к.т.н.

Быстрый рост количества компьютерных инцидентов вызывает повышенный интерес специалистов в области компьютерной безопасности к проведению расследования методами компьютерной криминалистики. При этом важно понимать основные проблемы, которые придется решать в ходе таких расследований.

Общепринятая процедура расследования компьютерных преступлений и инцидентов состоит из четырех этапов (рис.1), среди которых критически важным является этап сбора данных. Сбор данных в компьютерной криминалистике основывается на съеме (копировании) данных с различных цифровых носителей: жестких дисков (HDD), твердотельных дисков (SSD), флеш-памяти (USB флеш-накопителей, карт памяти SD, СF, Memory-Stick).

Простая на первый взгляд процедура копировании данных должна быть проведена с выполнением определенных требований и правил, в противном случае полученные данные могут быть неполными, искаженными или нелегитимными (т.е. не иметь юридической силы), а в ряде случаев привести к необратимым изменениям данных на исследуемом носителе и уничтожению имевшихся «цифровых» улик.


Рис.1 Процедура расследования компьютерных инцидентов

Системы съема данных компьютерной криминалистики должны обеспечивать:

  • целостность (неизменность) оригинала (источника);
  • полноту копии;
  • точность копии;
  • применимость копии в качестве доказательства.

Обеспечение целостности оригинала

Для обеспечения защиты оригинала (НЖМД-источника) от возможных преднамеренных или случайных изменений хранимых на нем данных общепринятым считается использование специальных аппаратных устройств для блокирования записи информации на оригинал (блокираторы записи). Такие блокираторы записи запрещают (блокируют) прохождение команд записи (а также других команд, выполнение которых может привести к изменению данных) от хоста к накопителю. Однако, простое блокирование команд, хотя и предотвращает изменение данных в источнике, но на практике является не совсем удобным, поскольку операционные системы, не получив подтверждения об исполнении команд записи, могут просто «зависнуть». Поэтому современные блокираторы «обманывают» операционные системы путем эмуляции выполнения таких команд и выдачи подтверждения их выполнения, что позволяет устранить возможные сбои и «зависания» операционных систем (рис.2)


Рис.2 Принцип работы современных аппаратных блокираторов записи

Наиболее известным в мире производителем блокираторов записи с различными интерфейсами является компания Guidance Software, которая выпускает их под торговой маркой Tableau.

Tableau T35esTableau T35es – аппаратный блокиратор записи производства фирмы Guidance Software обеспечивает защиту от записи для SATA и PATA жестких дисков. Особенностью блокиратора является возможность подключения к компьютеру блокиратора через любой из четырех скоростных интерфейсов – eSATA, FireWire 800, FireWire 400, USB 2.0.

Основные характеристики:

  • Поддержка работы со скрытыми областями жестких дисков HPA и DCO;
  • Высокая скорость съема данных;
  • Совместимость с бесплатным ПО Tableau Imager для создания образов в форматах e01, dd, dmg;
  • Возможность обновления прошивки;
  • Возможность «горячего» подключения;
  • Небольшие размеры.

Среди других известных производителей аппаратных блокираторов записи следует отметить компании ICS и Logicube . В последнее время к ним можно отнести и украинскую компанию ЕПОС, блокираторы которой появились всего год назад, но уже успешно применяются во Франции, России, Китае, Южной Корее. Отличительными особенностями блокираторов ЕПОС являются высокая скорость работы, устойчивость при работе с дефектными накопителями, простота конструкции и невысокая цена.

EPOS WriteProteсtorEPOS WriteProteсtor – блокиратор записи для жестких дисков SATA и PATA производства компании ЕПОС аналогичен Tableau T35es за исключением отсутствия USB и FireWire.

К отличиям блокиратора EPOS WriteProteсtor следует отнести:

  • корректная работа с самыми современными жесткими дисками (поддержка всех новых команд записи, появившихся в стандарте АТА-8 по сравнению с предыдущими версиями);
  • наличие двух режимов работы для работы со скрытой областью жесткого диска HPA (Host Protected Area): режим блокирования и режим разрешения прохождения специальных команд записи, меняющих идентификационное и конфигурационные параметры накопителя. Это обеспечивает возможность корректного съема данных с исследуемого накопителя, в том числе и съем данных с области HPA.

Использование блокираторов записи подразумевает использование ПК (ноутбука) при копировании информации. Автономные устройства копирования позволяют обеспечить съем информации без использования ПК, что особенно важно при работах на выезде.

EPOS DiskMaster PortableEPOS DiskMaster Portable – автономный многофункциональный прибор для быстрого копирования (1:1), стирания информации и глубокой диагностики жестких магнитных дисков SATA и PATA. Прибор обеспечивает самую высокую скорость копирования на сегодняшний день (ограничивается скоростью передачи информации по SATA II) – до 8 ГБ/мин.

Основные характеристики прибора:

  • посекторное копирование с созданием точного образа диска;
  • аппаратная защита источника от записи;
  • возможность копирования данных из дефектных секторов и скрытой области HPA;
  • стирание данных, в том числе и в области HPA с функцией контроля стирания данных;
  • фоновая диагностика диска в ходе копирования или стирания данных;
  • фоновое скрытие дефектных секторов;
  • диагностика поверхностей диска и канала чтения/записи.
Результаты работы прибора сохраняются в энергонезависимой памяти и могут быть переданы по USB в ПК.

Полная автономность, малые габариты и вес прибора, высокие характеристики и богатая функциональность делают его незаменимым при работе на выезде.

EPOS DiskMaster USBEPOS DiskMaster USB – предназначен для копирования и восстановления данных, уничтожения (стирания) информации, а также диагностики жестких дисков с интерфейсом USB. Отличительной особенностью прибора является возможность съема данных с USB накопителей, имеющих дефектные и нестабильно читаемые сектора.В приборе EPOS DiskMaster USB реализован ряд оригинальных технологий, ориентированных на повышение производительности и снижение риска повреждения накопителя в процессе копирования и восстановления данных:

  • Поддержка реверсивного копирования позволяет повысить эффективность восстановления данных с накопителей с повреждениями поверхности вначале диска;
  • Возможность контроля и управления прибором с ПК. Специальная управляющая программа позволяет гибко задавать параметры копирования для получения наиболее полной копии необходимых данных, а также получить подробный протокол и расширенную информацию о ходе выполнения задач;
  • Управление электропитанием НЖМД и таймаутами чтения данных позволяет оптимизировать количество многократных считываний из дефектных секторов и снизить риск дальнейшего разрушения поверхностей дисков;
  • Поддержка НЖМД с размером логического сектора более 512 байт позволяет использовать прибор при обслуживании современных накопителей большой емкости с увеличенными размерами логических секторов;
  • Возможность модификации сигнатуры MBR позволяет исключить сбои и зависания ПК при подключении копий дефектных накопителей в случае разрушения логических структур данных;
  • Аппаратная защита от записи позволяет предотвратить случайную модификацию данных на накопителе-источнике при копировании данных в процессе выполнения работ по расследованию ИТ-инцидентов.

ImageMASSter Solo-4 RuggedizedImageMASSter Solo-4 Ruggedized – комплекс производства компании ICS (США) для быстрого копирования (2:2) и стирания информации с возможностью предварительного просмотра копируемой информации с жестких магнитных дисков SATA, PATA, SAS и USB-устройств. Одно из наиболее популярных решений для съема данных среди экспертов в области компьютерной криминалистики во всем мире.

Комплекс имеет различные режимы копирования:

  • посекторное копирование;
  • создание образа HDD в файл (аналог Linux-DD);– режим Е01 (формат файла программы EnCase).

Основные функции и особенности:

  • Копирование 1-на-1, 1-на-2 и 2-на-2 жесткого диска;
  • Одновременное копирование 2 на 2 диска с RAID-0,1,JBOD;
  • Копирование данных с источника в локальную сеть по Gigabit Ethernet;
  • Хеширование данных (SHA-1, SHA-2, MD5) для контроля целостности копии;
  • Защита от записи канала источника;
  • Уничтожение данных;
  • Протоколирование работы во всех режимах;
  • Предварительный просмотр копируемых файлов;
  • Шифрование копируемых данных «на лету» (AES – 128/256).

1-8 ImageMASSter 4000 Pro Forensic1-8 ImageMASSter 4000 Pro Forensic – наиболее производительный стационарный комплекс производства компании ICS (США) для быстрого копирования (от 1:8 до 4:4 дисков одновременно) и стирания информации с возможностью предварительного просмотра копируемой информации с жестких магнитных дисков SATA, SAS и USB-устройств. Комплекс используется для съема информации с большого количества дисков, особенно удобен при копировании RAID-систем (до 4 дисков одновременно), а также для массового клонирования и стирания информации с дисков.

Проблема съема данных с флеш-накопителей

Казалось бы, процедура съема данных с флеш-накопителей должна быть идентична процедуре съема данных с жестких дисков. Необходимы только блокираторы записи на интерфейс USB. Действительно, сначала и появились блокираторы записи на USB интерфейс, а флеш-накопители с другими интерфейсами считывались через соответствующие переходники. Однако использование таких блокираторов в компьютерной криминалистике сейчас ставится под сомнение. Действительно, основной особенностью твердотельных SSD и USB флеш-накопителей (да и других «флешек») является возможное изменение данных, хранящихся в флеш-памяти, даже при чтении накопителя. Это связано с работой «выравнивающего» алгоритма под управлением встроенного контроллера для обеспечения требуемой надежности и быстродействия флеш-накопителя. Никакие стандартные внешние устройства и программы не могут изменить алгоритм работы встроенного контроллера, а значит и предотвратить изменение данных при чтении информации с флеш-накопителя. Поэтому USB блокираторы записи не всегда могут быть использованы для получения точной копии (образа), что ставит под сомнение легитимность полученной копии. Такие блокираторы используют только для предотвращения случайного воздействия на флеш-накопитель (запись, стирание данных) через интерфейс USB.

На сегодняшний день эксперты компьютерной криминалистики считают, что единственным способом получения точной копии данных с флеш-накопителя может быть метод прямого (физического) доступа к флеш-памяти, при котором флеш-память выпаивается из флеш-накопителя и считывается в специальном устройстве чтения. Таким образом, исключается работа встроенного контроллера, а данные во флеш-памяти не подвергаются изменением в процессе считывания.

EPOS FlashExtractorEPOS FlashExtractor – профессиональный комплекс для съема и восстановления информации с систем хранения данных на основе Flash памяти типа NAND, основанное на технологии физического доступа к Flash памяти, что делает его универсальным при работе с любыми устройствами с NAND-флеш (USB-флеш, SSD-накопители, карты памяти SD, CompactFlash, Memory Stick, MMC, цифровые диктофоны и др.)

Основные особенности комплекса:

  • Создание полной копии данных, включая скрытые области;
  • Высокая скорость считывания данных – до 3,5 Гб/мин;
  • Возможность чтения (исправления) дефектных блоков памяти;
  • Управление напряжениями питания микросхем памяти;
  • Горячее подключение к ПК по интерфейсу eSATA;
  • Поддержка микросхем со сложной логической организацией памяти.

Полученная с помощью EPOS FlashExtractor образ (dump) памяти полностью соответствует оригиналу. Возможность чтения дефектных блоков памяти позволяет обеспечить не только наиболее полную копию флеш-памяти, но и восстановить данные с поврежденных флеш-накопителей.

Проблема съема данных с поврежденных жестких дисков

Очень часто в компьютерной криминалистике съем данных необходимо производить с поврежденных жестких дисков, имеющих бэд-блоки или нестабильно читаемые сектора. Такие повреждения могут быть как преднамеренными, так и непреднамеренными и в обоих случаях необходимо прочитать как можно больше информации с поврежденного накопителя. Однако, использование стандартных средств копирования информации и даже профессиональных систем съема информации при работе с поврежденными дисками доставляет ряд неудобств: долгое время чтения нестабильных секторов, возможные «зависания» систем при попытке чтения бэд-секторов. Для сильно поврежденных дисков процедура съема данных может затянуться на много дней, что приводит к дополнительному (а зачастую и к окончательному!) разрушению жесткого диска и безвозвратной потере данных, которые можно было бы прочитать. Как правило, блокираторы и устройства копирования не предназначены для работы с дефектными накопителями или работают неустойчиво, приводя к остановкам съема данных и зависаниям операционной системы.

В этом случае незаменимым устройством эксперта может быть специальные блокираторы записи.

EPOS BadDrive AdapterEPOS BadDrive Adapter – первый специализированный блокиратор записи с функцией восстановления данных для работы с дефектными жесткими дисками.

Этот устройство поддерживает SATA, PATA диски и имеет все стандартные функции блокиратора EPOS WriteBlocker, но в отличие от последнего позволяет предотвратить «зависание» системы при наличии бэд-блоков накопителя, адаптировать процесс съема данных и восстановить информацию.

Принцип адаптации заключается в возможности выбора различных режимов работы блокиратора, которые позволяют быстро снять хорошо читаемую информацию, затем в более медленном режиме восстановить и снять плохо читаемую информацию и, в конце концов, попытаться прочитать самые «плохие» сектора. Это позволяет не только повысить вероятность съема данных, но и снять максимально возможный объем информации с поврежденных накопителей при временных ограничениях.

Другой важной особенностью блокиратора является возможность восстановления информации «на лету» при совместной работе с программами восстановления данных, что позволяет значительно уменьшить время восстановления информации, особенно при восстановлении RAID-систем.

Выводы

Съем данных с цифровых накопителей является определяющей процедурой в компьютерной криминалистике и должен производиться специальными средствами, обеспечивающих как защиту оригинала, так и создание наиболее полной, точной и легитимной его копии.

Широкое распространение новых устройств хранения данных (SSD-диски, жесткие диски с интерфейсом USB, флеш-накопители) и необходимость съема данных с дефектных накопителей выдвигают дополнительные требования к системам съема данных.

Новые устройства производства компании ЕПОС обеспечивают выполнение требований к современным системам съема данных в компьютерной криминалистике, особенно при работе с поврежденными накопителями.


Статья опубликована в журнале "Бизнес и безопасность" № 3/2012 (89), с.100-102. - К.: ООО "Типография "Литера".


Поделиться информацией