КОНТР-ФОРЕНЗИКА

     Противодействие методам поиска, обнаружения и закрепления цифровых доказательств развивается не столь активно, как сама форензика.
      Дело в том, что спрос на соответствующие контрметоды ограничен. Почему ограничен? Для понимания этого давайте посмотрим, кому и для чего может потребоваться противодействовать обнаружению компьютерной информации.
      Во-первых, то, что первым приходит в голову, – киберпреступники. Те, кто имеет основания опасаться закона и прятать следы своей криминальной деятельности. Понятно, что это очень узкий рынок сбыта, работать на нем сложно, крупные высокотехнологичные компании вряд ли станут выпускать оборудование и ПО для этого сегмента, даже если будет спрос.
      Во-вторых, контрметоды являются составной частью защиты информации. Везде, где имеется подлежащая защите конфиденциальная информация, должны использоваться методы для предотвращения ее утечки. Часть этих методов по борьбе с утечками ориентированы на исключение или затруднение восстановления информации противником.
В-третьих, право граждан на тайну частной жизни (приватность) может обеспечиваться в числе прочих и компьютерно-техническими мерами, которые фактически являются мерами контркриминалистическими. Правда, применение слишком сложных средств и методов здесь невозможно, поскольку указанная самозащита гражданами своего права на тайну частной жизни ограничена квалификацией среднего пользователя. Соответствующие методы не могут требовать высокой квалификации в области ИТ, соответствующие программы должны быть просты в управлении и работать под ОС «Windows», соответствующее оборудование не может быть дорогим. Поэтому здесь обычно ограничиваются довольно примитивной защитой.
     Видно, что значительная часть антикриминалистической техники – непрофессиональная, а то и вовсе кустарная. Видно, что антикриминалистический рынок значительно меньше криминалистического. В случае если антикриминалистическая продукция окажется недоброкачественной, предъявлять претензии к производителю, скорее всего, будет некому. Для преуспевания на этом рынке вовсе не требуется выпускать качественное, сложное оборудование и ПО. Требуется лишь хорошо рекламировать свою продукцию или услуги. Чем производители и занимаются.
      К защитным антикриминалистическим средствам можно отнести следующие:
● программы и аппаратно-программные устройства для шифрования хранимой информации;
● программы и аппаратно-программные устройства для шифрования трафика;
● программы для очистки дисков и других носителей;
● устройства для механического уничтожения информации на магнитных носителях;
● программы для сокрытия присутствия информации на диске (манипуляция с атрибутами файлов, запись в нестандартные места, стеганография);
● системы и сервисы для анонимизации сетевой активности;
● программы и аппаратно-программные устройства для затруднения копирования произведений, представленных в цифровой форме, затруднения исследования исполняемого кода и алгоритмов программ.
      Противодействие указанным средствам также является задачей форензики.

Скачать бесплатно А.В. Крысин Информационная безопасность 

ЭТАПЫ КРИМИНАЛИСТИЧЕСКОГО ПРОЦЕССА

     Криминалистический процесс, который проводят специалисты и эксперты, принято делить на четыре этапа:
1) сбор;
2) исследование;
3) анализ;
4) представление.
     На первом этапе происходит сбор как информации самой по себе, так и носителей компьютерной информации. Сбор должен сопровождаться атрибутированием (пометкой), указанием источников и происхождения данных и объектов. В процессе сбора должны обеспечиваться сохранность и целостность (неизменность) информации, а в некоторых случаях также ее конфиденциальность. При сборе иногда приходится предпринимать специальные меры для фиксации недолговечной (волатильной) информации, например, текущих сетевых соединений или содержимого оперативной памяти компьютера.
   На втором этапе производится экспертное исследование собранной информации (объектов"носителей). Оно включает извлечение/считывание информации с носителей, декодирование и вычленение из нее той, которая относится к делу. Некоторые исследования могут быть автоматизированы в той или иной степени. Но работать головой и руками на этом этапе эксперту все равно приходится. При этом также должна обеспечиваться целостность информации с исследуемых носителей.
      На третьем этапе избранная информация анализируется для получения ответов на вопросы, поставленные перед экспертом или специалистом. При анализе должны использоваться только научные методы, достоверность которых подтверждена.
      Четвертый этап включает оформление результатов исследования и анализа в установленной законом и понятной неспециалистам форме.

Скачать бесплатно А.В. Куприянова Реестр Windows XP: Настройки, трюки, секреты 

КРИМИНАЛИСТИЧЕСКИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ

     Указанные системы не используются напрямую для поиска и изучения доказательств. Они выполняют обеспечивающие функции в работе по раскрытию и расследованию преступлений. Но традиционно относятся к криминалистической технике. Криминалистические информационные системы выполняют ряд близких задач. А именно:
        ● облегчают и/или ускоряют оформление различных документов для ОРМ, предварительного следствия, судебных целей;
    ● позволяют работникам правоохранительных органов быстрее найти необходимые нормативные акты, комментарии, прецеденты, получить консультации;
      ● облегчают и ускоряют доступ сотрудников ко всевозможным базам данных, учетам, справочникам – как публичным, так и закрытым;
       ● ускоряют и автоматизируют проведение ОРМ, связанных с перехватом сообщений.
     Иногда к криминалистической технике причисляют также средства связи и навигации, используемые в работе правоохранительных органов. Полезно упомянуть следующие информационные системы:
        ● Глобальная информационно-телекоммуникационная система (ГИТКС) НЦБ Интерпола;
      ● Единая информационно-телекоммуникационная система органов внутренних дел (ЕИТКС ОВД).

Скачать бесплатно Д. Бэндл Защита и безопасность в сетях Linux 

АРХИВИРОВАНИЕ В ФОРЕНЗИКЕ

     Копирование и долговременное хранение копий данных сначала применялось лишь с целью восстановления в случае утраты – так называемое «страховочное копирование» или «холодное резервирование».
     В последнее время архивирование применяется и с иными целями – для расследования инцидентов безопасности, могущих произойти или обнаружиться в будущем. То есть данные копируются не по принципу «наиболее ценные, наиболее чувствительные данные, утрата которых нанесет ущерб», а по совсем иному принципу: копируются данные и области носителей, где могут оставаться следы злоумышленных действий.
    Например, в отношении служебного персонального компьютера для целей восстановления архивируются файлы пользователя и отдельные его настройки. Операционная система и прикладные программы страховочному копированию не подлежат, поскольку легко восстанавливаются из дистрибутива. Все резервное копирование производится на уровне файловой системы. А для целей расследования инцидентов копируется весь жесткий диск (НЖМД) компьютера, причем не на уровне файловой системы, а на уровне контроллера диска, то есть чтобы включалась удаленная и скрытая информация.
      Страховочная копия малополезна для расследования инцидентов.
     Напротив, «инцидентная» копия не подходит для восстановления на случай вирусной атаки или аварии. Это разные копии – и технически, и по назначению. Средства для архивирования на случай расследования инцидентов – это специальные криминалистические средства. Они могут собирать и хранить не только копии НЖМД, но также копии сетевого трафика, копии электронной почты и некоторые другие виды данных.

Скачать бесплатно У. Ванг Как не стать жертвой хакеров и мошенников в Интернете 

НАБОРЫ ХЭШЕЙ

      Так называемые «hash sets» – наборы хэшей – предназначены для облегчения исследования содержимого файловой системы больших носителей, в основном компьютерных жестких дисков.
     Предположим, эксперту поступил для исследования изъятый при обыске у подозреваемого НЖМД, на котором установлена операционная система и имеются пользовательские данные. Эти данные могут быть разбросаны по различным директориям, могут содержаться внутри файлов с настройками, даже могут быть скрыты методами стеганографии внутри файлов, содержащих с виду совсем другие данные. Современные ОС включают в свой состав тысячи файлов, популярные приложения – тоже сотни и тысячи. Таким образом, в файловой системе обычного компьютера может находиться, например, 30 000 файлов, из которых только 500 – это файлы, созданные пользователем или измененные им.
     Чтобы отделить это «меньшинство» пользовательских файлов от заведомо не содержащего ничего интересного «большинства», предназначен набор хэшей.
Хэш, хэш-сумма или однонаправленная хэш-функция файла представляет собой длинное число, вычисляемое из содержимого файла по особому алгоритму. Хэш-сумма похожа на контрольную сумму, но имеет одно существенное отличие: это однонаправленная функция. То есть по файлу легко вычислить его хэш-функцию, но под заданную хэш-функцию подобрать соответствующий ей файл невозможно.
     Хэши известных (то есть входящих в серийное ПО различных производителей) файлов позволяют, не рассматривая подробно содержание этих файлов, отбросить их и быть уверенным, что эти файлы не содержат пользовательской информации. После их исключения эксперту остается исследовать относительно небольшое число файлов. Этот тип наборов именуется «knowngoods».
     Существуют и наборы хэшей, выполняющие обратную задачу. Они именуются «knownbads» и соответствуют не заведомо безобидным файлам, а наоборот, заведомо вредоносным, содержащим порнографию, вирусы или иной криминальный контент.
Обычно набор хэшей – это отдельный продукт, приобретаемый у соответствующего производителя (включая подписку на обновления) и подключаемый к экспертному ПО. Он может содержать сотни тысяч и миллионы хэш-функций с соответствующими сведениями о файлах. Все популярные экспертные системы позволяют подключать и использовать «внешние» наборы хэшей.

Скачать бесплатно С.Г. Баричев, В.В. Гончаров, Р.Е. Серов Основы современной криптографии  

ЭКСПЕРТНЫЕ ПРОГРАММЫ ДЛЯ ФОРЕНЗИКИ

     Такие программы предназначены в основном для исследования содержимого компьютерных носителей информации (прежде всего НЖМД) во время проведения экспертизы.
     Они работают не только на уровне файловой системы, но и ниже – на уровне контроллера НЖМД, что позволяет вос станавливать информацию после удаления файлов.
     Перечислим несколько популярных экспертных программ:
● Семейство программ ProDiscover (подробнее http://computer-forensics-lab.org/lib/?cid=12);
● SMART (Storage Media Analysis Recovery Toolkit) (http://computer-forensics-lab.org/lib/?cid=18)
● Forensic Toolkit (FTK) фирмы «AccessData» (http://computer-forensics-lab.org/lib/?cid=19)
● Encase – экспертная система(http://computer-forensics-lab.org/lib/?rid=23);
● ILook Investigator (http://www.ilook-forensics.org)
● SATAN (System Administrator Tools for Analyzing Networks) – средство для снятия полной информации с компьютеров для ОС Unix;
● DIBS Analyzer 2 (http://computer-forensics-lab.org/lib/?cid=37);
● Helix – экспертный комплект на загрузочном компакт"диске на основе ОС Linux.

Скачать бесплатно С.П. Расторгуев, Н.Н.Дмитриевский Искусство защиты и "раздевания" программ 

АППАРАТНЫЕ СРЕДСТВА ФОРЕНЗИКИ

Учитывая, что современные компьютеры являются универсальными устройствами, в которых используются в основном открытые стандарты и протоколы, специальных аппаратных средств для исследования самих компьютеров и компьютерных носителей информации не требуется. То есть универсальным инструментом является сам компьютер, а все его функции можно задействовать через соответствующие программные средства.
     Немногочисленные аппаратные криминалистические устройства сводятся к дупликаторам дисков и блокираторам записи. Первые позволяют снять полную копию НЖМД в полевых условиях, но это с тем же успехом можно сделать при помощи универсального компьютера. Вторые позволяют подключить исследуемый диск с аппаратной блокировкой записи на него. Но то же самое позволяет сделать программно любая операционная система (кроме Windows). То есть аппаратные криминалистические устройства для компьютеров и компьютерной периферии служат лишь удобству специалиста или эксперта.
     Совсем другое дело – криминалистические устройства для иной техники, отличной от универсальных компьютеров. Мобильные телефоны, цифровые фотоаппараты и видеокамеры, бортовые компьютеры, коммутаторы, маршрутизаторы, аппаратные межсетевые экраны – все эти устройства не являются технологически открытыми и вовсе не стремятся к универсальности. Для полного доступа к компьютерной информации, хранящейся в них, не всегда бывает достаточно компьютера и программных инструментов.
     Разнообразие таких устройств соответствует разнообразию выпускаемых электронных устройств, способных нести компьютерную информацию. У каждого производителя – свои проприетарные протоколы, свои интерфейсы. Приобретать такие устройства заранее вряд ли целесообразно. Исключение, пожалуй, составляют ридеры для SIM-карт мобильных телефонов и ридеры для стандартных банковских карт – эти криминалистические устройства всегда полезно иметь в своем арсенале.

Скачать бесплатно В.В. Платонов Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей 

Специальные технические средства ФОРЕНЗИКИ

     Компьютерный криминалист вполне может обойтись без специальной криминалистической техники вообще. Компьютер сам по себе – достаточно универсальный инструмент. Среди многообразного периферийного оборудования и программного обеспечения найдутся все необходимые для исследования функции. Некоторые программные инструменты можно легко создать или модифицировать своими руками.
     Однако специальная техника сильно облегчает работу. Впрочем, карманы она облегчает еще сильнее.
     На сегодняшний день на рынке имеются следующие криминалистические инструменты:
● устройства для клонирования жестких дисков и других носителей (в том числе в полевых условиях);
● устройства для подключения исследуемых дисков с аппаратной блокировкой записи на них;
● программные инструменты для криминалистического исследования содержимого дисков и других носителей, а также их образов;
● переносные компьютеры с комплексом программных и аппаратных средств, ориентированных на исследование компьютерной информации в полевых условиях;
● наборы хэшей (hash sets) для фильтрации содержимого изучаемой файловой системы;
● аппаратные и программные средства для исследования мобильных телефонов и SIM-карт;
● программные средства для исследования локальных сетей;
● и некоторые другие.
     В целях криминалистического исследования можно эффективно применять не только специально для этого предназначенные средства, но также некоторые средства общего или двойного назначения.
    С другой стороны, аппаратные и программные инструменты, которые автор назвал криминалистическими, могут быть использованы не только для правоохранительных целей. У них есть и ряд «гражданских» применений:
● тестирование компьютеров и их сетей, поиск неисправностей и неверных настроек;
● мониторинг с целью обнаружения уязвимостей и инцидентов безопасности;
● восстановление данных, утраченных вследствие неисправностей,
ошибок, иных незлоумышленных действий;
● копирование носителей с архивными целями или для быстрой инсталляции/дупликации программного обеспечения;
● поиск скрытой или стертой информации для борьбы с утечкой конфиденциальных данных.

Скачать бесплатно В.Е. Козлов Теория и практика борьбы с компьютерной преступностью

Роль экспертно-криминалистических подразделений в ФОРЕНЗИКЕ

       Роль специалистов и экспертов при раскрытии и расследовании компьютерных преступлений является ключевой, так как без их участия расследовать такое преступление невозможно вообще.
   Особенность состоит в том, что экспертно-криминалистические подразделения правоохранительных органов таких специалистов не имеют.
      В текущих условиях минимальная зарплата ИТ-специалиста «на гражданке» в разы превышает максимальную зарплату сотрудника экспертно-криминалистического подразделения в органах внутренних дел. Старых же кадров, на которых держатся другие направления криминалистики, для форензики попросту не существует, поскольку обсуждаемая отрасль знания сама по себе очень молода.
    Номинальное существование подразделений компьютерно-технической экспертизы в некоторых экспертно-криминалистических учреждениях может ввести кого-то в заблуждение, но только до первой встречи с этими номинальными «экспертами» или их трудами.
     Выход состоит в привлечении к расследованию гражданских специалистов и экспертов из числа сотрудников операторов связи, программистов, инженеров по коммуникационному оборудованию, системных администраторов. Многие из них готовы сотрудничать с органами внутренних дел совсем безвозмездно или на взаимно приемлемых условиях.
     Нечто вроде экспертно-криминалистических отделов существует в некоторых коммерческих организациях, которым часто приходится проводить расследования инцидентов безопасности или которые специализируются на проведении экспертиз по гражданским делам.
     Штатным же ЭКО стоит поручать лишь простейшие, типовые виды компьютерных экспертиз, для которых есть готовые алгоритмы действий и образцы заключений.

 

Скачать бесплатно А.П.Курило Аудит информационной безопасности

Формы ФОРЕНЗИКИ

     Общенаучные и специальные методы компьютерной криминалистики должны использоваться в борьбе с преступностью в следующих формах.
     1. Производство компьютерно-технических экспертиз. Кроме этих, «родных» для себя экспертиз, ИТ-специалисты должны принимать участие в некоторых других видах экспертиз. Например, товароведческая (экономическая) экспертиза по определению стоимости прав на использование экземпляра ПО. Понятно, что обычный экономист не знаком с особенностями ценообразования на программные продукты, с существующей практикой в этой области. Поэтому ему надо дать в помощь эксперта по ИТ.
     2. Участие специалистов в проведении следственных действий, имеющих отношение к компьютерной информации, – обыска, выемки, осмотра места происшествия и т.д. Например, такая элементарная задача, как выключение компьютера, который подлежит изъятию. Нет однозначного способа выключения. Чтобы правильно его выключить, нужно проанализировать обстоятельства дела, взвесить вероятности разных событий и, только исходя из этого, избрать способ выключения. А некоторые типы компьютерной техники вообще выключать нельзя.
      3. Участие специалиста в проведении ОРМ. Наиболее востребованное в обсуждаемой области мероприятие – снятие информации с технических каналов связи – проводится не просто «при участии», а только самим специалистом.
     4. Участие специалиста в судебном заседании. Эта форма стала активно использоваться лишь при рассмотрении дел по компьютерным преступлениям. В таких делах специальные знания требуются очень часто. Без разъяснений специалиста иногда невозможно правильно понять не только заключение эксперта, но также показания свидетелей и вопросы участников процесса. Специалист действует наподобие переводчика, разъясняя участникам процесса значения терминов, поясняя значение тех или иных технических деталей.
     5. Снабжение оперативных работников и следователей техническими средствами, которые те могут использовать в работе самостоятельно, без участия специалиста.
     6. Обучение пользователей и технических специалистов предприятий (то есть потенциальных потерпевших) методам первичной фиксации цифровых доказательств, их предохранения от уничтожения. Значительная часть компьютерных преступлений остается нераскрытой только из-за того, что оператор информационной системы, которая стала целью злоумышленника, не позаботился о сбережении логов, электронных сообщений, использованных программ и иных потенциальных доказательств. Либо не знал, как их правильно сберечь, чтобы в дальнейшем такие доказательства имели силу, либо вообще не подозревал о существовании некоторых цифровых следов.

Узнай как настроить контроль печати на принтере средствами Windows 

Специальные методы ФОРЕНЗИКИ

     Наряду с общенаучными форензика применяет и специальные методы исследования, свойственные только ей. Назовем некоторые из этих методов.
     ● Создание и применение специализированных криминалистических информационных систем; перенастройка и использование в своих целях систем двойного назначения.
     ● Использование в целях обнаружения или исследования доказательств публичных поисковых систем (таких как «Google»), а также поисковых систем специального назначения (типа «Эшелон»).
    ● Создание виртуальной личности для целей проведения с ее помощью ОРМ и агентурной работы.
   ● Сбор хэш"функций известных файлов для отделения их от файлов, содержащих оригинальную пользовательскую или модифицированную информацию.
    ● Архивирование полного содержимого носителей для целей последующего расследования возможных инцидентов.
    ● Эмулирование сетевых сервисов для исследования поведения подозрительных программ в лабораторных условиях.

Все о защите информации 

ОБЩЕНАУЧНЫЕ МЕТОДЫ В ФОРЕНЗИКЕ

     Все научные методы (наблюдение, измерение, описание, сравнение, эксперимент, моделирование, объяснение, анализ, синтез, предсказание) применяются в компьютерной криминалистике без ограничений.
     Однако имеются некоторые особенности.
Такой метод, как наблюдение, применяется в форензике достаточно своеобразно. Дело в том, что основным объектом исследования является компьютерная информация, которая в принципе не может наблюдаться человеком непосредственно. И изменяться непосредственно также не может. Непосредственные органы чувств человека – зрение, слух, осязание – не в состоянии воспринимать компьютерную информацию. В мире много объектов, которые не могут восприниматься человеком непосредственно – глазами, ушами и пальцами. Для наблюдения «ненаблюдаемых» величин есть большое количество инструментов-посредников – микроскопы, вольтметры, интерферометры и так далее, при помощи которых человек может наблюдать и изучать то, что не наблюдается невооруженным глазом.
     При изучении компьютерной информации количество и сложность таких посредников настолько велики, что иногда с большим трудом можно представить, какие именно преобразования претерпела информация по пути от своей исходной формы до наших глаз.
Представим себе, что на месте преступления обнаружен след – отпечаток обуви. Он воспринимается органами чувств человека непосредственно следователь и понятые своими глазами видят отпечаток обуви, прекрасно понимают механизм его возникновения. Совсем по-другому с компьютерной информацией.
     Представим, что на «месте происшествия», а именно на диске сервера, в лог-файле обнаружена запись. Органами чувств человека она не воспринимается. Чтобы увидеть эту запись, потребуется посредничество следующих технических средств:
● механизм жесткого диска (НЖМД*);
● контроллер НЖМД с внутренней микропрограммой (firmware);
● внешний ATA-контроллер;
● программное обеспечение BIOS;
● операционная система;
● файловая система (драйвер);
● программное обеспечение для просмотра содержимого файла (например, вьювер «less»);
● драйвер экрана;
● программный экранный шрифт;
● аппаратные средства ввода и вывода (клавиатура, монитор) со своими собственными микропрограммами.
     Вот сколько посредников стоят между компьютерной информацией и глазами «очевидца»! Все они изготовлены разными производителями. Не для всех из них имеются единые технические стандарты. Не для всех доступны описания. И ни в одном из этих средств нельзя быть полностью уверенным – все знают об ошибках в программном обеспечении, о возможности вирусов, троянов и программных закладок. Могут ли понятые уверенно утверждать, что именно они видели? Даже не рассматривая возможности намеренных закладок в программах... А если оператор, запуская вьювер, ошибся на одну букву в имени каталога или файла? А если «/var» – это не локальный диск, а подмонтированный сетевой?
     Итак, особенностью наблюдения в отношении компьютерной информации является то, что непосредственно наблюдаемое (то есть изображение на экране монитора) имеет отношение к объекту наблюдения (то есть компьютерной информации) косвенное отношение, при этом по пути происходит непредставимо большое и трудно контролируемое количество преобразований, зависящее от множества людей и факторов.
     Другие общенаучные методы – анализ и синтез – также имеют в обсуждаемой науке свои особенности.
      Дело в том, что в других технических науках при изучении объектов мы имеем дело только с объективными физическими процессами. Здесь же мы сталкивается со свободной человеческой волей, которая «зашита» в такой объект исследования, как программа для ЭВМ. Будучи объектом искусственного происхождения, программа несёт в себе волю программиста, отпечаток его личности, выполняет его замыслы, реализует его видение. То есть программа для ЭВМ – это уже не в полной мере объективная реальность. Хотя до полноценного субъекта – искусственного интеллекта – ей еще далеко.
Поясним утверждение на примере. Известно, что злоумышленник мог установить на свой компьютер программу типа «логическая бомба» для уничтожения всей критичной информации при угрозе попадания компьютера в чужие руки. Она должна сработать при выполнении каких-то действий на компьютере или, наоборот, – при невыполнении каких-то действий. Оставим сейчас за скобками стандартный метод (отключение компьютера, изъятие из него носителя информации и изучение его копии, что делает невозможным активацию программы"бомбы) и зададимся вопросом: как можно определить условия срабатывания такой программы для ее нейтрализации? Подумав немного, приходим к выводу, что ключ к пониманию алгоритма действия и условий срабатывания сей неизвестной программы следует искать исключительно в голове ее автора. Только поняв его образ мыслей и шаблоны поведения, можно догадаться, как поведет себя его программа. Формально программа – детерминированный объект. Но фактически изучать ее надо через изучение субъекта, обладающего свободой воли. То есть программа как бы обладает свободой воли, во всяком случае, такое допущение откроет нам путь к ее познанию.
      Но разве не возникает та же ситуация с иными техническими устройствами? Разве на их работу не наложила отпечаток личность создателя?
     Вышеописанная особенность характерна лишь для устройств, реализующих довольно сложный алгоритм. Алгоритм – это как раз тот объект, в котором и может содержаться частичка «воли». Кроме компьютерных программ, какие устройства реализуют алгоритмы? Причем алгоритмы не примитивные, а достаточно сложные, многовариантные. Теоретически такие устройства могут существовать, но нельзя утверждать, что только компьютерные программы обладают описанным свойством, то есть могут рассматриваться как обладающие условной свободой воли.

Все о защите информации