Экспертное исследование компьютерных систем – это интересная и полезная область, но она ограничена социальными и правовыми рамками, которые могут оказывать прямое воздействие на путь, которым должно проводиться исследование. Кроме того, подготовка к исследованию может повлиять на шансы удачи в последующем исследовании.
Михаил Разумов, по материалам SecurityFocus
Экспертное (Forensic) исследование компьютерных систем обычно выполняется обученными специалистами с использованием специализированного оборудования и программного обеспечения. Популярность операционных систем Windows как на рабочих станциях, так и на серверах, является главным фактором необходимости таких исследований. В результате, диапазон инструментов, которые можно использовать для анализа платформ Windows, непрерывно растет. Однако, истинное экспертное исследование компьютера (то, в котором может потребоваться собрать доказательства для суда) ограничивается не только рамками технологий, но и рамками законодательства, а иногда и находится под всевидящим оком прессы.
Опытный исследователь знает, что успех в компьютерной экспертизе зависит не только от возможности сбора доказательств с компьютерной системы, но также от возможности придерживаться правильной методологии в процессе сбора доказательств и их обработки так, чтобы эти доказательства могли быть использованы в суде. Такой подход может быть малоинтересен тем, цель кого – просто восстановление данных или сбор информации, но экспертам, занятым поиском преступлений, или дурного поведения, он жизненно важен.
Первая стадия любого исследования – подготовка, которая может начаться еще до того, как было совершено преступление или обнаружен инцидент нарушения безопасности. Важно помнить о том, что не только исследователи ответственны за эту подготовку: она также может выполняться администраторами рассматриваемых систем. Эта статья, первая из двух частей о компьютерной экспертизе на платформах Windows, исследует предварительные шаги, которые могут быть предприняты как исследователями, так и системными администраторами. Хотя эта статья относится к Windows-специфичным исследованиям, в первой части также будут исследованы некоторые основные, нетехнические концепции, применимые ко всем компьютерным исследованиям. Вторая часть будет по большей части посвящена платформам Microsoft Windows.
Юридические аспекты компьютерной экспертизы концентрируются преимущественно на двух главных проблемах:
Часто две эти проблемы взаимосвязаны, по причине права подозреваемого на секретность. Полное обсуждение этого права могло бы стать отдельной серией статей, но вкратце, кто-либо, кто хочет исследовать данные, связанные с другой личностью, перед тем, как предпринимать что-либо, должны убедиться, что они имеют право делать это. Решение обычно достигается уравновешиванием прав подозреваемого против прав и ответственности агенства-исследователя. Хотя это решение звучит просто, оно не всегда легко достигается на практике. Устарелое законодательство и новое законодательство без соответствующей юриспруденции могут объединиться, и произвести элемент неуверенности в том, что допустимо, и что не допустимо в глазах закона. В сложных и рискованных исследованиях рекомендуется советоваться с юристами.
Часто политика секретности организации (если таковая существует) играет решающую роль в равновесии прав подозреваемого и исследователя. Хорошо написанная политика безопасности должна явно отображать, как нужно работать с персональными данными внутри организации и при каких обстоятельствах эти данные могут быть открыты для исследования. Такая политика помогает служащим и работодателям определять разумную ожидаемую секретность. Однако, для организации часто бывает недостаточно просто распространить политику секретности, независимо от того, как хорошо она написана. Чтобы быть более эффективной (не забываем о том, что хорошая политика секретности должна помогать и сотруднику, и работодателю), политика должна быть прочтена и подписана служащим.
Аналогично, так же, как политика секретности разъясняет, как работать с персональными данными, хорошо написанный, распространенный и подписанный служащими «Кодекс поведения» или «Принятые правила пользования» могут помочь определить, какие действия пользователей являются приемлемыми, а какие нет. Это может стать полезным в исследованиях, в которых подозреваемые могли бы попытаться уйти от ответственности, утверждая, что они не имели понятия, что их действия были недопустимы. Подпись служащего может доказать его знание и согласие с политикой.
И наконец, рекомендуется политика и процедура сообщений об инцидентах, чтобы гарантировать, что при обнаружении инцидентов, о них будет сообщено в соответствующий департамент внутри организации, либо во внешнее агенство.
Правильная реализация вышеперечисленных политик и процедур должна быть всеохватывающей, подписанной всеми причастными лицами и регулярно пересматриваемой. Время и силы, требуемые для проведения этого, потрачены будут не зря, так как могут оказать значительное воздействие на количество инцидентов, которые могут потребовать исследования, количество сообщенных инцидентов и широкие возможности для исследования, когда потребуется компьютерная экспертиза.
Хотя компьютерная экспертиза может иногда походить на современную черную магию, способную оживить данные, считающиеся погибшими и уничтоженными, в реальности компьютерные эксперты могут восстановить только данные, которые все еще физически присутствуют в системе (даже если они могут быть недоступны обычными методами). Данные, которые никогда не были записаны на диск, или были полностью перезаписаны, вряд ли смогут участвовать в последующем исследовании. К счастью, многие операционные системы предлагают инструменты для записи деталей пользовательской и системной активности с помощью логов. К сожалению для исследователей, многие организации не используют возможности ведения логов на своих компьютерных системах в достаточной мере для того, чтобы можно было использовать эти данные в процессе исследования.
Решение относительно того, какие события и действия регистрировать, может быть сделано путем поиска баланса между пользой от логов и возникающими неудобствами, такими как замедленная работа системы и увеличенное использование дискового пространства. Необходимость ведения логов меняется в соответствии с угрозой для системы или сети; ведение всех логов практикуется редко. Возможным решением является разработка простой системы уровней ведения логов, от базового уровня, который сохраняет основную сетевую активность (например, logon и logoff пользователей), к более высоким уровням, которые хранят больше деталей о пользовательской и системной активности и могут быть ограничены определенными частями сети. Нужно также заметить, что ведение логов доступно не только на рабочих станциях и серверах, а также зачастую и на маршрутизаторах, свитчах, файрволах и даже факсовых аппаратах.
Эти различные уровни ведения логов рекомендуется описать в политике, которую можно распространить всем сетевым администраторам. Несомненно, логи полезны при компьютерной экспертизе, поскольку содержат подробности последней активности, но они также могут быть полезны при обнаружении инцидентов, которые могут потребовать дальнейшего изучения. Многие системы регистрации предлагают средства генерации предупреждений при происхождении определенных событий, но иногда может быть необходимо просмотреть содержимое лог-файлов. Это может быть выполнено вручную (хотя на это может уйти много времени) или автоматически, с использованием программного обеспечения анализа логов. Если имеющееся программное обеспечение не подходит для определенной задачи, рекомендуется использование Perl скриптов, как альтернативное решение для анализа лог-файлов, которые доступны, или могут быть сконвертированы в текстовый вид. Другие важные вопросы, относящиеся к ведению логов, это синхронизация времени между устройствами, время жизни логов, место их хранения и разрешения на доступ к лог-файлам.
В корпоративный сектор исследователей часто вызывают после ухода сотрудника из компании, когда необходимо выявить его деятельность в последнее время. Ведение логов может оказаться очень полезным в такой ситуации, если сотрудник пользовался лэптопами, рабочими станциями, карманными компьютерами, и др. Большинство организаций не обладают большим избытком таких устройств, и часто подготавливают их для использования другим пользователем, который вскоре может появиться. Эта подготовка, обычно заключающаяся в установке стандартной конфигурации на устройство, может уничтожить потенциальные улики, так что некоторые организации делают копии информации с компьютерных устройств бывших сотрудников вскоре после их ухода. Эти копии могут храниться некоторое время и предоставляться исследователям. Они могут принести реальную помощь исследователям, но организации, реализующие такую процедуру, должны быть уверены, что они полностью изучили все аспекты, кающиеся права сотрудников на секретность.
Инструменты для компьютерной экспертизы бывают самых разных форм и размеров, от больших, дорогих многофункциональных коммерческих пакетов до однозадачных утилит. Ключ к удачному использованию такого программного обеспечения состоит в том, чтобы определять, по возможности, наиболее подходящие инструменты к вашей среде, и обучаться работе с ними до того, как появится необходимость в исследовании.
Профессиональные исследователи всегда используют оборудование и программное обеспечение для компьютерной экспертизы, стоящее много тысяч долларов, но существуют и более дешевые решения. Одно из наиболее интересных - TASK, которое может быть использовано совместно с Autopsy Forensic Browser. TASK предоставляет исследователю возможность исследовать образы дисков, сделанные с помощью утилиты «dd», в поисках информации, представляющей определенный интерес в процессе исследования (например, удаленные файлы), а Autopsy предоставляет HTML интерфейс, через который TASK может использоваться для просмотра результатов. TASK и Autopsy работают на различных Linux и UNIX системах, а также на Mac OS X, кроме того могут использоваться для исследования файловых систем Windows.
Многие из однозадачных утилит, упомянутых выше, могут оказать неоценимую помощь при исследовании Windows-компьютера. Их мы рассмотрим позже.
В идеале, компьютерное экспертное исследование проводится обученным, опытным персоналом. Однако, это не всегда возможно, и системным администраторам с небольшим или вообще отсутствующим опытом в компьютерной экспертизе, может прийтись провести начальные стадии исследования, часто с целью определить, требуется ли более детальное и тщательное исследование. В этом случае, необходимо, чтобы неопытный исследователь понимал, что первые шаги в исследовании часто наиболее важны, и смог определить, будут ли вскрытые улики допустимы в суде.
Мы охватим шаги, необходимые для раскрытия улик на платформах Windows в следующей статье, но главная мысль, которая должна постоянно присутствовать у вас в голове во время исследования: что бы вы ни делали, не меняйте оригинальные улики!
Многие исследования дискредитируются людьми, использующими саму подозреваемую систему для поиска улик. Хорошим примером этого является исследователь, использующий встроенные Windows инструменты на исследуемой машине для поиска и открытия файлов. Эти действия могут уничтожить данные, имеющие доказательное значение, одновременно делая так, что вскрытые улики не смогут быть использованы в суде. Прежде всего, подозреваемая машина должна быть выключена, затем с нее нужно снять образ; после этого только образ должен быть предметом дальнейшего исследования, гарантируя таким образом целостность оригинального диска. Подробнее обо всем – в следующей части.
Экспертное исследование компьютерных систем – это интересная и полезная область, но она ограничена социальными и правовыми рамками, которые могут оказывать прямое воздействие на путь, которым должно проводиться исследование. Кроме того, подготовка к исследованию может повлиять на шансы удачи в последующем исследовании.
В следующей статье мы посмотрим, как снять образ Windows компьютера и где искать доказательства пользовательской активности.
От классики до авангарда — наука во всех жанрах