Проблемы расследования киберпреступлений Компьютерная криминалистика

 

 

Павел Гладышев
Programme Director for
MSc in Forensic Computing and
Cybercrime Investigation,
University College Dublin

Itsec.Ru

 

Меры по информационной безопасности могут быть разделены на превентивные (например, шифрование и другие механизмы управления доступом) и реактивные (расследования). Превентивный аспект безопасности облака — область активных научных исследований, в то время как реактивному аспекту безопасности облака уделяется намного меньше внимания.

Шаги в расследовании преступлений

Киберпреступление - это широкий термин, который в западном мире обозначает достаточно разные правонарушения. С одной стороны, киберпреступления - это преступления, направленные против информационных систем, то есть это действия хакеров, написание вирусов и т.д. С другой стороны, киберпреступлением считается такое правонарушение, в котором вычислительная и цифровая техника присутствует как средство достижения преступных целей. Таким образом, под киберпреступлениями понимается очень много деяний, начиная от написания вирусов и заканчивая убийствами и мошенничеством.

Расследование инцидентов (включая расследование преступлений в информационной сфере) - хорошо известный раздел информационной безопасности. Как правило, цели таких расследований одинаковы вне зависимости от типа киберпреступления:

• доказательство, что преступление/инцидент произошли;
• восстановление событий, окружающих инцидент;
• идентификация правонарушителей;
• доказательство причастности и ответственности правонарушителей;
• доказательство нечестных намерений со стороны правонарушителей.

Расследование, как правило, проводится с огромным количеством данных, которое сейчас исчисляется десятками терабайтов, для их обработки требуются программно-аппаратные средства, что привело к появлению новой научной дисциплины - копьютерно-технической экспертизы (digital frenksinks), "компьютерной криминалистики". Существует несколько определений данному понятию, и одно из них - использование проверенных научных методов с целью предохранения, сбора, анализа цифровых вещественных доказательств, с тем чтобы восстановить события, произошедшие во время правонарушения.

Цели компьютерно-технической экспертизы:

• восстановление данных, которые, возможно, были удалены;
• восстановление событий, произошедших внутри и вне цифровых систем, связанных с инцидентом;
• идентификация пользователей цифровых систем;
• обнаружение присутствия вирусов и другого вредоносного ПО;
• обнаружение присутствия незаконных материалов и программ;
• взлом паролей, ключей шифрования и кодов доступа;

Модели анализа цифровых данных

Существует несколько моделей, описывающих процесс анализа цифровых данных для судебных целей. Было предложено порядка 12 разных моделей, но в настоящее время одной из наиболее общепринятых является так называемая улучшенная модель цифрового процесса, предложенная Брайаном Керером и Юджином Паффаром в 2003 г.

Компьютер, цифровые устройства, мобильные телефоны, iPad, iPod и так далее рассматриваются как отдельное место преступления. После того, как вы извлекли и сохранили данные, хранящиеся на этих устройствах, вы точно так же проводите изначальный анализ того, что же находится на жестком диске или в мобильном телефоне, документируете и после этого определяете зоны дальнейшего осмотра, которые уже углубленно изучаются.

Проблемы при расследовании

В настоящее время объем жестких дисков постоянно увеличивается, кроме того, одна и та же ОС Windows XP просуществовала как минимум 7 лет, это дало возможность экспертам выработать стандартные методики анализа систем, которые могли быть изучены в течение короткого периода времени. Сейчас существует 8 разных ОС для мобильных устройств, они активно противодействуют тому, чтобы из них извлекали информацию, и самое сложное, что версии этих ОС постоянно обновляются, что делает проблематичным разработку стандартных методов для анализа этих систем.

В заключение: 1. Нам необходимо разрабатывать лучшие средства для помощи органам внутренних дел. 2. Необходимо лучше готовить специалистов, давать лучшее образование соответственно требованиям сегодняшнего дня.

Облачные сервисы, заменяющие автономные цифровые устройства, должны обеспечить сходный уровень криминалистической готовности. Однако это требует преодоления проблем, связанных с объединением ресурсов, мультиарендой и эластичностью инфраструктуры облачных вычислений. Необходим повышенный уровень взаимодействия с органами внутренних дел и корпорациями, которые являются провайдерами облачных сервисов.

Другая проблема заключается в том, что если данные находятся на вашем компьютере, то хакер или вредоносное ПО, которое попало к вам в систему, могут их увести и передать тому, кто будет их использовать в нечестных целях. Поэтому количество данных, хранящихся именно на компьютере, тоже стало уменьшаться. Кроме того, преступники стали гораздо аккуратнее и стараются оставлять как можно меньше следов в ПК и мобильных телефонах.

Кроме того, из системы с полным шифрованием жесткого диска, если она выключена и у вас нет пароля, очень трудно извлечь данные, поэтому расследование таких систем возможно, когда такая система находится на месте преступления во включенном состоянии. Проблема еще и в том, что большинство сотрудников оперативных групп не имеют специального образования и им требуется помощь специалистов, а их количество ограничено, что требует широкого обучения оперативников именно на уровне извлечения данных из живых компьютеров.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012