ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

Ключевые шаги для управления местом киберпреступления

Ключевые шаги для управления местом киберпреступления

Хранение и управление судебными доказательствами является важной частью системы уголовного правосудия. Прежде чем войти в логово подозреваемого строителя бомб(2), вам нужно остерегаться мин-ловушек. То же самое справедливо, когда вы сталкиваетесь с компьютером, который принадлежит подозреваемому хакеру, подозреваемому в хранении или распространении незаконной информации, или любому другому подозреваемому.

Хакеры хороши в том, что они делают, потому что они знают компьютеры внутри и снаружи. Можно заминировать компьютерную систему, чтобы любые доказательства преступления были уничтожены, как только нажата одна клавиша. Это означает, что вам важно знать, что делать, когда вам нужно получить доступ к компьютеру, который использовался в преступлении. Время имеет решающее значение при расследовании преступления. Если компьютер выключен, вы можете потерять важную информацию, а также не сможете снова включить его или войти в систему.

Программное обеспечение виртуальной машины (VM) “обманывает” операционную систему (ОС) и приложения, заставляя их думать, что они работают непосредственно на компьютере, когда на самом деле они работают на моделируемом компьютере.

Использование виртуальной машины экономит деньги за счет уменьшения количества необходимого оборудования – несколько виртуальных машин могут совместно использовать один и тот же физический компьютер и получать доступ к одному и тому же хранилищу. Вот как настроены многие современные корпоративные сети: ваша ОС и ваши файлы находятся внутри одной виртуальной машины, которая работает на том же большом компьютере, что и десятки или сотни виртуальных машин других пользователей.

Но прежде чем вы сможете воссоздать машину подозреваемого в виртуальной машине, вам нужно создать ее образ с реального компьютера, на котором она работает. Для “изображения” жесткого диска доступны различные криминалистические инструменты, каждый из которых имеет свои достоинства, но, хотя вы можете создать виртуальную машину самостоятельно, это может быть трудоемким процессом, пронизанным ошибками драйверов и синими экранами смерти (ошибки BSoD). Доступно специальное программное обеспечение, которое может принимать криминалистическое изображение (включая ОС, приложения и все пользовательские файлы) компьютера и cонверт его на рабочую виртуальную машину, буквально за считанные секунды, давая вам доступ к этой ценной информации за короткий промежуток времени.

Стандартные принципы судебной компьютерной экспертизы, ее можно сделать по ссылке: specexpert.info/uslugi/komputernaya-ekspertiza, часто отказывают следователю в возможности снова включить компьютер после его выключения. Использование виртуальной машины позволяет судебному эксперту запускать ее столько раз, сколько им нравится, и копаться в ней, не влияя на исходные доказательства.

Точно так же, как мертвое тело с физического места преступления может дать медицинскому эксперту подсказки и доказательства того, кто был преступником и как произошло преступление, использование судебной виртуальной машины с жесткого диска “мертвого ящика” (или образа этого жесткого диска) может дать подсказкии мощные доказательства для цифрового эксперта, которые недоступны через стандартное программное обеспечение для судебной экспертизы. Виртуальная машина включает виртуальное вскрытие компьютера подозреваемого.

Таким образом, если ваш подозреваемый был замешан в финансовом преступлении, у вас будет доступ к их бухгалтерским записям; с помощью виртуальной машины вы можете экспортировать их в Excel, а затем скопировать в свою хост – систему (извлекая их из виртуальной среды) для дальнейшего анализа-точно так же, как если бы у вас была возможность включить свой фактический компьютер. Если они загружали или распространяли незаконный контент, вы сможете сделать снимок экрана о том, как и где хранились файлы, или показать программное обеспечение для обмена, активно пытающееся отправить или получить материал.

Если пользователь обращался к файлам, хранящимся в проприетарных базах данных, вполне возможно, что программное обеспечение для расшифровки или интерпретации этих баз данных находится на компьютере подозреваемого. Без доступа к исходному компьютеру часто нет другого способа получить доступ к этим файлам, поэтому они становятся непригодными для использования – и они могут содержать доказательства дымящегося пистолета, в которых нуждается экзаменатор.

Криминалистическое изображение захватывает файлы, но оно также захватывает исходное программное обеспечение, которое использовалось для доступа к этой информации. Воссоздав машину подозреваемого как виртуальную машину и выполнив аналогичное действие на любой другой машине, где расположены проприетарные базы данных, вы можете использовать исходное программное обеспечение или даже создать виртуальную сеть, которая связывает все виртуальные машины вместе, позволяя вам получить доступ к тем, которые в противном случае могут быть недоступны.

С другой стороны, проблемы безопасности данных достигли масштабов эпидемии(3), о чем свидетельствуют недавние нарушения прав потребителей и правительств, которые поставили под угрозу сотни миллионов кредитных и дебетовых карт американцев, адреса электронной почты и другую личную информацию. Число людей, пострадавших от кибератак, усилило внимание к тому, как организации, включая правительство, реагируют на нарушения данных.

Область исследований компьютерной криминалистики растет, особенно по мере того, как правоохранительные органы и юридические лица осознают, насколько ценны специалисты в области информационных технологий (ИТ), когда дело доходит до следственных процедур. С появлением киберпреступности отслеживание вредоносной онлайн-активности стало критически важным для защиты частных лиц, а также для сохранения онлайн-операций в области общественной безопасности, национальной безопасности, правительства и правоохранительных органов. Отслеживание цифровой активности позволяет следователям подключать кибер-коммуникации и цифровую информацию к вещественным доказательствам преступной деятельности; компьютерная криминалистика также позволяет следователям раскрывать преднамеренные преступные намерения и может помочь в предотвращении будущих киберпреступлений. Для тех, кто работает в этой области, есть пять важных шагов в компьютерной криминалистике, все из которых способствуют тщательному и показательному расследованию.

 

1. Разработка политики и процедур

Независимо от того, связаны ли они со злонамеренной кибер-активностью, преступным заговором или намерением совершить преступление, цифровые доказательства могут быть деликатными и очень чувствительными. Специалисты по кибербезопасности понимают ценность этой информации и уважают тот факт, что она может быть легко скомпрометирована, если не будет должным образом обработана и защищена. По этой причине крайне важно установить и соблюдать строгие руководящие принципы и процедуры для деятельности, связанной с компьютерными судебными расследованиями. Такие руководящие принципы могут включать следующие вопросы для сохранения цифровых доказательств:

 

а. Состояние устройства документа

Это часто упускается из виду на этапе идентификации. Обязательно сделайте снимки устройства, содержащего цифровые носители, которые вы будете собирать. Документ его физическое состояние и где он был расположен.

б. Привлеките судебных экспертов

Важно знать, когда прекратить работать с доказательствами и позволить экспертам взять верх. Но процесс сохранения и анализа данных по-прежнему обычно требует судебной экспертизы.

Экспертно-криминалистическое агентство СПЕЦЭКСПЕРТ: specexpert.info, занимается компьютерной экспертизой и расследованием компьютерных преступлений. Мы помогаем отслеживать различные компьютерные преступления, которые происходят сегодня во всем мире.

в. Иметь четкую цепочку поставок

Документируйте передачу средств массовой информации и цифровых доказательств между каждым человеком и агентством, которые вступают с ним в контакт. Пробелы в этих записях могут помешать доказательствам быть допущенными в суд, если необходимо предпринять юридические действия. В то время как цепочка поставок может быть записана на бумаге, авторитетная цифровая запись часто более надежна.

г. Не меняйте статус питания

Оставьте устройство в текущем состоянии питания как можно дольше во время идентификации и сбора доказательств. Если устройство включено, оставьте его включенным. Если он выключен, оставьте его выключенным.

Оставьте устройства с батарейным питанием в их текущем состоянии как можно дольше. Очевидно, что для проводных устройств, таких как настольные ПК, вам в конечном итоге потребуется отключить их для транспортировки. Для высокочувствительных расследований лучше всего привлекать судебных экспертов, прежде чем вы это сделаете, когда это возможно.

д. Защитите устройство

Обеспечьте надлежащую цепочку хранения как оборудования, так и данных с сильной физической безопасностью. Не храните устройство в зоне открытого доступа. Старайтесь не оставлять его без присмотра, когда он работает. Плохая цепочка поставок может снизить ценность доказательств во время разбирательства.

 

Продолжение:

Exit mobile version