ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




 Пресса о ЕПОС


Манипуляция данными и компьютерные инциденты

Проблемы уничтожения и восстановления данных диалектически связаны. Обе становятся особенно актуальными при необходимости провести судебную экспертизу компьютера (computer forensics). Этим вопросам была посвящена X Международная научно-практическая конференция, прошедшая в Севастополе 25-29 июня. В числе ее организаторов - компания «ЕПОС», Национальная академия наук Украины, Государственный комитет информатизации, Институт проблем регистрации информации НАНУ.

Компьютерное обозрение № 25(736) 13-19 июля 2010г
http://ko.com.ua/node/51009



От имени организаторов участников конференции приветствовали профессор Александр Богданов (НТТУ «КПИ») и генеральный директор «ЕПОС» Сергей Коженевский. Затем перед аудиторией выступил коммерческий директор «ЕПОС» Сергей Чеховский. Тематика его презентаций охватывала состояние и развитие в Украине computer forensics (в данном контексте - компьютерная криминалистика), защиту ресурсов Интернета и расследование инцидентов, вызванных внутренними атаками.

Сергей Чеховский

Вначале докладчик остановился на определении термина computer forensics. Очевидно, нашим читателям это тоже будет интересно. Слово forensics является сокращением от forensic science, что, в свою очередь, обозначает применение широкого спектра научных методов для ответа на вопросы, связанные с судебной системой. Computer forensics, часто называемая digital forensics (цифровая криминалистика), является разделом forensic science, относящимся к законности доказательств, найденных в компьютерах и системах хранения данных.

В задачи цифровой криминалистики входят извлечение, идентификация, сохранение и документирование цифровых доказательств. Поэтому при расследовании ИТ-инцидентов очень часто возникает необходимость в восстановлении данных, в том числе и при физическом разрушении носителя.

Компания «ЕПОС» предлагает комплекс услуг в области цифровой криминалистики, в частности съем данных со всевозможных устройств хранения, восстановление информации, утерянной или искаженной в результате физического или программного воздействия на ПК и СХД. Порядок расследования ИТ-инцидентов, принятый в «ЕПОС», базируется на известной модели, включающей четыре этапа: оценку ситуации, сбор данных, их анализ и представление результатов.

Переходя к вопросам защиты ресурсов Интернета и угрозам изнутри компаний, докладчик отметил, что, по оценкам многих исследовательских центров, внутренние атаки в настоящее время занимают одно из первых мест среди всех инцидентов, связанных с нарушением информационной безопасности.

Можно выделить три основных способа утечки информации при внутренних атаках: сетевой (передача через Интернет), локальный (копирование на внешние носители) и незаконное завладение носителем.

Для предотвращения утечек через Интернет применяются различные системы DLP. Однако все же наиболее актуальной является утечка информации через внешние носители. Эта проблема решается ограничением доступа пользователей к внешним портам на программном или физическом уровне.

Физическое ограничение доступа к внешним портам и жестким дискам ПК обеспечивает предлагаемый «ЕПОС» способ построения защищенной ЛВС с выносными консолями на опто-электронных развязках. При этом ПК становятся физически недоступными для пользователей. К программным способам ограничения доступа к внешним портам относятся такие известные средства, как Poinsec Protector, DeviceLock, Zlock, InfoWatch Device Monitor и ряд других.

Утечка может произойти и вследствие неправильного или неэффективного стирания информации с магнитных носителей.

Сергей  Коженевский
О проблемах гарантированного уничтожения данных и применении «информационных сейфов» рассказал Сергей Коженевский. Он напомнил, что способы уничтожения данных на жестких дисках делятся на три группы. Программные, наиболее простые и естественные, осуществляются посредством перезаписи. Однако при изношенном или неисправном накопителе провести надежное стирание невозможно. Механические связаны с повреждением основы, на которую нанесен магнитный слой, но одни из них экологически небезопасны, другие требуют дорогостоящего оборудования. Физические заключаются в перестройке структуры магнитного материала рабочих поверхностей носителя. В настоящее время применяется преимущественно воздействие мощным магнитным импульсом с целью намагничивания рабочей поверхности до насыщения.

«ЕПОС» предлагает ряд устройств уничтожения данных физическими способами. Многофункциональный прибор EPOS DiskMaster Portable предназначен для быстрого уничтожения данных, копирования, диагностики и ремонта НЖМД и поддерживает интерфейсы РАТА, SATA и eSATA независимо от производителя, модели и емкости. Если поврежден накопитель, используется «Лавина», воздействующая на носитель мощным электромагнитным импульсом. При угрозе физического изъятия накопителя для уничтожения данных может служить информационный сейф «Кольчуга», который встраивается в системный блок или подключается в качестве внешнего или сетевого накопителя. В нем реализованы различные способы запуска процесса: ручной, удаленный (с помощью мобильного телефона или радиобрелока) и автоматический (при срабатывании датчиков).

Юрий РудаковДетали построения защищенных ИС и ЛВС, о которых упоминал Сергей Чеховский, представил Юрий Рудаков, начальник отдела ИС компании «ЕПОС». Заметив, что практически все ИС строятся на базе ЛВС, докладчик охарактеризовал способы хранения данных в одно- и многоранговых сетях и терминальных системах. Он акцентировал внимание слушателей на том, что при традиционном построении ЛВС вероятность реализации угроз остается высокой. Для ее снижения компания предлагает метод, названный «консольным». При его применении системные блоки пользователей размещаются в экранированном шкафу, а все коммуникационные связи выполняются с помощью оптоволокна. Для этого компанией были специально разработаны модули интерфейсных опто-электронных преобразователей. Уменьшение количества медных соединений влечет снижение возможностей перехвата данных. В целом использование метода оптических развязок и консольная схема позволяют снизить риски несанкционированного физического воздействия на носители и повысить их защищенность от утечек по техническим каналам.

Участники конференции также прослушали доклады о проблемах съема данных с современных накопителей и восстановления информации с поврежденных флэш-карт, средствах анализа сигналов интерфейса АТА и предотвращении утечек по техническим каналам.


Леонид Бараш, «Компьютерное обозрение» № 25 от 13 июля 2010
http://ko.com.ua/node/51009


Поделиться информацией