Инцидент в информационной системе может случиться в любую секунду. Вот только что всё было нормально, а вот уже там хозяйничает какой-то злохакер , дикий троян или, упаси боже, злоинсайдер. С одной стороны, надо бегом всё исправлять, восстанавливать работу и затыкать дырки. С другой стороны, следует огородить место происшествия и ничего не трогать до приезда следственной группы. Если, конечно, вы хотите дать делу законный ход и довести до Фемиды, что невозможно без сбора доказательств. А все доказательства – они там, на диске хакнутого сервера. Там же, где ваша рабочая база, клиентский интерфейс, интернет-магазин, депозитарий документов – всё то, что приносит вам доход.
В двух случаях из трёх встаёт дилемма: расследование или бизнес. Либо мы попытаемся наказать киберпреступников, либо позволим нашему предприятию продолжить работу. Неприятный выбор. Избежать его позволяет простое устройство.
 |
Копия диска, которую снимают таким устройством, называется "криминалистическая" или "посекторная" или "forensic copy". На ней в дальнейшем можно искать и находить цифровые доказательства точно так же, как на оригинальном диске. Включая удалённые файлы, стёртые записи БД, область подкачки (swap) и т.д. Такая криминалистическая копия годится для любой экспертизы и служит источником доказательств такой же юридической силы, как исходный диск.
Поэтому каждый уважающий себя информзащитник держит в тревожном чемоданчике криминалистический дупликатор и несколько терабайтных жёстких дисков. Их желательно предварительно заполнить нулями, чтобы прежнее содержимое случайно не попало на экспертизу.
В принципе, криминалистическую копию можно снять и на обычном компьютере. Втыкаете туда исходный и чистый диски (первый – в режиме read-only, разумеется) и копируете утилитой dd, которая имеется в составе любой ОС (кроме Windows). Есть и отдельные программы для криминалистического копирования с фичами, обвесами и наворотами. Но аппаратный дупликатор всё же удобней и быстрей.
Кстати, в некоторых продвинутых конторах делают криминалистическую копия диска компьютера сотрудника при его увольнении. Мало ли чего потом всплывёт. А то можно и порасследовать. На диске много чего оседает такого, о чём даже не каждый айтишник ведает.
Поднимите руки, у кого заготовлен дупликатор? А остальные – как? Рабочий диск на экспертизу отправите?
