risspa suhanov

Проблемы компьютерной криминалистикии как их решать

Суханов МаксимСпециалист по компьютерной криминалистике

Компьютерная криминалистика — это...

Компьютерная криминалистика

Расследование ИТ-инцидентов

Расследование компьютерных преступлений

Криминалистические исследования

Судебнаяэкспертиза

Другие видыисследований

Коммерческиеисследования

Семинар RISSPA, ноябрь 2010

Криминалистические исследования: правила

Любое исследование должно обеспечивать...➢ Криминалистическую целостность (неизменность) данных;

➢ Безопасность, скрытность процесса расследования;

➢ Корректность интерпретации данных специалистом (экспертом).

Другие требования:➢ Требования законодательства;

➢ Требования иных нормативных документов: RFC 3227.


Криминалистические исследования: традиции

Правила-традиции:➢ Исследование копий носителей информации;

➢ Применение блокираторов записи;

➢ Подтверждение целостности данных криптографическими хеш-

функциями.

Рекомендации:➢ Стендовая ПЭВМ не должна подключаться к сети Интернет;

➢ Нужно использовать криминалистически правильное («forensically

sound») программное обеспечение.


Традиции нужно соблюдать!

Фрагмент рецензии на заключение эксперта, 2006 год:

Источник: http://nhtcu.ru/rec/rec001.htmlАвтор: Яковлев А. Н.

Методика производства компьютерно-технической (компьютерной) экспертизы предусматривает в обязательном порядке получение побитовой копии (клона) исследуемого НЖМД, либо использование специального дорогостоящего оборудования, позволяющего исследовать исходный накопитель на жестких магнитных дисках в гарантированном режиме «только чтение». В обычном порядке после получения клона исследуемого НЖМД всё исследование проводится с клоном (копией) НЖМД, но ни в коем случае не с оригиналом.


http://nhtcu.ru/rec/rec001.html


Источник: книга «Форензика – компьютерная криминалистика»Автор: Федотов Н. Н.

Автор полагает (и многие исследователи с этим согласны), что иссле-довать в ходе КТЭ оригинал носителя вообще нежелательно. Чтобы га-рантировать неизменность информации, а также оставить возможностьпроведения повторной или дополнительной экспертизы, надо оставитьоригинал нетронутым. А все исследования проводить с его копией.



Источник: Good Practice Guide for Computer-Based Electronic EvidenceAssociation of Chief Police Officers

In order to comply with the principles of computer-basedelectronic evidence, wherever practicable, an imageshould be made of the entire target device. Partial orselective file copying may be considered as an alternativein certain circumstances e.g. when the amount of datato be imaged makes this impracticable. However,investigators should be careful to ensure that all relevantevidence is captured if this approach is adopted.


Традиции ≠ правила

➢ Зачем тратить время на создание копий, если можно исследовать оригинал?

Экономия времени: от часа до нескольких суток.

➢ Зачем применять блокираторы записи, если проще не отправлять команды записи на диск?

Используйте ОС Linux!

Методы работы с доказательствами должны быть гибкими: важна цель (целостность данных), а не способ ее достижения.

Исследование копий целесообразно проводить только в случае, если оригинальный носитель информации неисправен. Иных причин нет.


Рекомендации ≠ правила

➢ Стендовый компьютер не должен подключаться к сети Интернет для обеспечения скрытности проводимого исследования.

Других аргументов нет.

Не нужна скрытность, уверены в безопасности?

Тогда нет поводов для паники.


Хеш-коды для подтверждения целостности

fuf@localhost:~$ md5sum /dev/sdb076e609ab6eee69ad7c4e64c949332be /dev/sdbfuf@localhost:~$ md5sum /dev/sdb5dfa099307dab529cb94a572c766b277 /dev/sdb

➢ Работают для «традиционных» носителей информации: НЖМД, дискеты и др.

➢ Расчет хеш-значений реализован в 99% криминалистических программ.

➢ Флеш-память принесла новые проблемы:Особенности чтения незаписанного пространства флеш-памяти некоторых

устройств — каждый раз возвращаются «новые данные».

FAIL


Хеш-коды для подтверждения целостности

➢ Некоторые твердотельные накопители (SSD) используют «сбор мусора», который включает в себя поиск и очистку свободного пространства файловых систем контроллером диска;

Автор приведенного фрагмента презентации:Neal Christiansen, Microsoft

➢ Возможная проблема:

Команда ATA Trim, выполнение которой может быть отложено на некоторое время.

FAIL


Криминалистически правильное ПО

➢ Криминалистически правильные программы: допустимые и приемлемые для криминалистического исследования;

➢ Четких критериев отнесения программ к данной категории нет. Разные исследователи — разные мнения.

Признаки криминалистически правильного ПО:

➢ Минимальное изменение содержимого носителя информации;

➢ Интерпретация различных типов данных и метаданных;

➢ Хорошая документация, быстрое исправление ошибок и уязвимостей.

Как подтвердить принадлежность программы к этой категории?

Полуспособы: сертификация, «проверка в суде».


Полуспособы...

Сертификация

Программа — объект динамичный, для которого сертификация не подходит.

● Где гарантии, что после сертификации в программе не будут найденыуязвимости и ошибки?

● Как часто нужно сертифицировать исправления?

Проверка в суде

«Forensic Toolkit® (FTK®) is recognized around the world as the standard in computer forensics software. This court-validated digital investigations platform delivers cutting-

edge...»Источник: http://accessdata.com/forensictoolkit.html

Рекламный ход?

Посмотрим на статистику...


http://accessdata.com/forensictoolkit.html

Что использует ваша лаборатория?

Вот список популярных криминалистических Live CD:Helix3, Helix3 Pro, CAINE Live CD, DEFT Linux, SPADA CD, grml,

Raptor, PALADIN, LinEn Boot CD, BackTrack, SMART Linux

Какие Live CD были «проверены» в суде? «Проверку» прошли многие...

Для всех перечисленных Live CD были написаны эксплоиты, запускающие произвольный код с исследуемого НЖМД в процессе загрузки ОС!

Вывод:«Проверка в суде» отражает популярность продукта, а не

его техническое состояние. Это рекламный ход, не более.


И что делать?

Два выхода:

➢ Проблема определения криминалистической правильности ПО — проблема специалиста (эксперта);

➢ Необходимо сертифицировать не продукт, а процесс его разработки и поддержки: сроки выпуска исправлений, стадии тестирования и др.

Готово ли свободное ПО к этому? Нет.


Выводы

Сегодня способы (методики) криминалистического исследования компьютерной информации должны учитывать следующее:

➢ Подтверждение или попытка подтверждения неизменности содержимого флеш-носителей с помощью хеш-кодов — плохая практика;

➢ Исследование оригиналов носителей информации в ходе криминалистической экспертизы является допустимым;

➢ Применение программных и аппаратных блокираторов записи не является обязательным.


Выводы, продолжение

➢ Сертификация криминалистических программ, их проверка в суде — методы с недоказанной эффективностью;

➢ Отключение стендовой ПЭВМ от сети Интернет имеет минимальное отношение к безопасности (при грамотном подходе к ее обеспечению в криминалистической лаборатории).


Кто мы такие?

Мы расследуем инциденты

информационной безопасности,

проводим криминалистические

исследования и экспертизы.

Group-IBwww.group-ib.ruwww.letagroup.ru


http://www.group-ib.ru/

http://www.letagroup.ru/

Кто мы такие?


● Цель компании: консультирование при расследовании компьютерных преступлений;

● Мы — первые и единственные в России;

● Работаем с 2003 года;

● Проводим расследования в 43 странах;

● 30 уникальных сотрудников;

● Наши методики расследования DDoS-атак используются на Западе.

Одно из последних дел...


● Group-IB помогла ОБЭП и Отделу «К» УСТМ г. Москвы найти и задержать банду хакеров, распространявших вирусы семейства WinLock;

● 10 хакеров арестованы.

Одно из последних дел...


Лаборатория компьютерной криминалистики


Выполняем следующие виды исследований:➢ Исследование носителей информации с целью поиска, восстановления и оформления доказательств;

➢ Экспертиза электронной переписки на предмет ее достоверности;

➢ Исследование вредоносных программ;

➢ Восстановление зашифрованных данных;

➢ Восстановление данных с поврежденных носителей информации;

➢ Аудит ИТ-инфраструктуры на соответствие рекомендациям по журналированию;

➢ Экспертиза программного обеспечения на соблюдение требований лицензирования и нарушения прав правообладателей;

➢ Исследование достоверности содержания и происхождения компьютерной информации.

Вопросы?

Где можно задать вопрос по теме доклада?

?● Здесь и сейчас;● На форуме проекта КТЭ:

http://computer-forensics-lab.org● [email protected]


http://computer-forensics-lab.org/

risspa suhanov

Technology