Компьютер скрывает значительно больше персональной информации и секретов, чем может поместиться в 50-литровой мусорной корзине. Типичный компьютер содержит информацию, которую люди хранили раньше в бумажниках, фотокамерах, записных книжках, календарях и шкафах с папками. Компьютер является сокровищницей личных контактов, финансов и корреспонденции. Практически каждое исследование — от простой кражи до промышленного шпионажа — может получить пользу от правильного анализа подозрительных компьютерных систем.
Многие слышали или читали истории о компьютерных преступлениях и о том, как восстановленная информация привела к поимке и разоблачению злоумышленника. К сожалению, эти новостные сообщения, Web-документы и книги не посвящают в детали того, как выполнялось расследование. Как исследователи гарантировали точность и надежность электронных доказательств? Как они извлекали, сохраняли и обрабатывали доказательства, полученные из таких компьютерных систем? Наши статьи знакомят с миром компьютерного судебного разбирательства. Некоторые могут называть его процессом анализа цифровых доказательств или анализом компьютерной информационной среды. Мы определяем компьютерное судебное разбирательство как процесс извлечения данных доказательного значения из компьютерных и информационных систем. В этих статьях представлены некоторые из наиболее популярных инструментов, используемых для судебного дублирования и судебного анализа.
Терминология судебного исследования
Необходимо знать следующие термины, имеющие отношение к исследованиям судебных дублей:
• Информационная среда доказательства Исходная информационная среда (жесткий диск), которую необходимо исследовать, будет ли это подчиненная система или жертва атаки.
• Целевая информационная среда Информационная среда, на которую дублируется информационная среда доказательства. Другими словами, судебный образ диска доказательства переносится на целевую информационную среду.
• Восстановленный образ Копия судебного образа, восстановленная в свою исходную, самозагружаемую форму.
• Собственная операционная система Операционная система, используемая, когда информационная среда доказательства (или судебный дубль) самозагружается для анализа.
• Прямой анализ Анализ, выполняемый при исследовании (поиске файлов, доступе к файлам, просмотре журналов и т.д.) в реальной информационной среде доказательства, как при прямом просмотре на консоли.
• Автономный анализ Анализ, выполняемый при просмотре информационной среды доказательства или судебного дубля с контролируемого самозагружаемого гибкого диска или другой системы. Информационная среда доказательства, или восстановленный образ, не является первичной информационной средой, испоьзуемой во время процесса загрузки.
В этих статьях можно будет заметить повторно встречающиеся темы. Первой является сохранение доказательства. Мы многократно подчеркиваем важность обеспечения судебной целостности любой информационной среды, вовлеченной в исследование. Второй темой является необходимость тщательного, полного документирования. Каждое действие в отношении доказательства необходимо четко документировать. Ошибка в любой из этих областей, несмотря на их "административную" природу, может позволить противникам опротестовать данные и уменьшить их значение во время юридического разбирательства.
УЧИМСЯ ОБРАЩАТЬСЯ С ДОКАЗАТЕЛЬСТВАМИ
Одной из базовых концепций, изучаемой всеми следователями, является важность поддержания целостности доказательств. Что такое доказательство? Мы упрощаем определение и полагаем, что любая информация доказательного значения, подтверждает ли она или опровергает доказываемое утверждение, является доказательством. Предполагается знакомство с публикацией Департамента юстиции, "Federal Guidelines for Searching and Seizing Evidance" (Федеральное руководство по поиску и сбору доказательств), а также "Searching and Seizing Computers and Obtaining Electronic Evidance in Criminal Investigations" (Поиск и наложение ареста на компьютеры и получение электронных доказательств при криминальных расследованиях). Мы повторим предисловие Руководства, говоря, что оно является только руководством и не определяет пошаговый процесс, который гарантирует принятие рассматриваемого вопроса судом. Тем не менее знакомство с информацией, представленной в Руководстве, убережет от множества ошибок, которые являются обычными для начинающих следователей.
Существуют два базовых факта, которые мешают процессу расследования компьютерных инцидентов:
• Подавляющее большинство инцидентов с компьютерной безопасностью не становятся гражданскими или криминальными судебными делами. Они решаются просто административными средствами.
• Из немногих инцидентов, которые становятся юридическими судебными делами, подавляющее большинство никогда не доходит до судебного разбирательства. Множество судебных дел закрывается до того, как они попадают в суд — с помощью переговоров или других специальных соглашений.
Обычные ошибки при получении доказательств
Здесь представлены основные области, где делаются ошибки во время компьютерного судебного процесса. Зная об этих потенциальных ошибках, можно предпринять необходимые действия, чтобы их избежать.
• Небрежность в поддержке надлежащей документации Каждое действие в отношении доказательства должно быть четко документировано.
• Небрежность в уведомлении или предоставлении аккуратной информации специалистам, принимающим решения Сотрудники подразделения информационных технологий (IT) обычно первыми замечают нарушения в безопасности. Они осуществляют мониторинг IDS. Понятно, что они могут не захотеть сообщать о нарушении безопасности руководству, так как они обычно отвечают за нарушения. Однако специалисты, принимающие решения, не могут делать разумных шагов без необходимой информации.
• Небрежность в контроле доступа к цифровым доказательствам Не каждый сотрудник должен иметь доступ к важной информации. Необходимо контролировать доступ к сетевым устройствам, которые поддерживают журналы. Если 80 человек могут получить доступ и изменить журналы IDS в организации, то вы имеет более слабые аргументы, что журналы являются защищенными от подделки (если только не используются подходящие средства контроля защиты от подделки).
• Небрежность в своевременном отчете об инциденте руководству и правоохранительным органам Ожидание или отсрочка во время реагирования на инцидент редко является хорошей идеей. Чем дольше затягивается начало расследования инцидента, тем в большей степени специалисты, которые могут ответить на вопросы, забудут эти ответы. Чем дольше затягивается выполнение судебного дублирования системы, тем в большей степени изменяются доказательства. Короче говоря, чем дольше вы ждете, тем более холодным становится след доказательства.
• Недооценка области действия инцидента Важно понимать, что в начале запроса или расследования не бывает известно, что можно найти. Можно исследовать систему сотрудника в связи с его поздними кибермахинациями в офисе, а найти доказательство многочисленных преступлений, которые могут быть совершенно неожиданными и тревожными. Поэтому необходимо всегда готовиться к худшему и обращаться со всеми доказательствами одинаково осторожно.
• Отсутствие плана реагирования на инцидент Разработка своих собственных процедур реагирования на инцидент должна выполняться до того, как инцидент происходит. Инциденты с безопасностью часто являются сложными расследованиями, требующими специальной подготовки. Упущения и ошибки всплывут во время инцидента, даже при выполнении хорошо отлаженного процесса. Выполнение без предварительного планирования неизбежно принесет значительно больше неудач.
Правило лучшего доказательства
Вы только что выполнили поиск на мейнфрейме IBM своей компании. Вы успешно извлекли журналы, модифицированный код запроса к базе данных и скрытые хранимые файлы, которые доказывают, что какой-то сотрудник снимает небольшое количество денег с каждой транзакции заказчиков. Вы пришли к заключению, что организация может передать дело правоохранительным органам. Как представить всю эту информацию в суд? У вас есть джип, но мейнфрейм в него все равно не поместится. Здесь на помощь приходит правило лучшего доказательства.
Некоторые специфические технические неудачи
Вот несколько специфических ошибок, которых надо избегать при работе с доказательствами:
• Изменение отметки времени на системах доказательства до их записи
• Уничтожение (прекращение) инородных процессов
• Обновление системы до реагирования исследователей
• Отсутствие записи команд, выполненных на системе
• Использование инструментов, которые требуют графического интерфейса
• Использование ненадежных команд и двоичных кодов
• Запись поверх потенциального доказательства при установке программного обеспечения в информационной среде доказательства (исходный жесткий диск, который требует исследования)
• Запись поверх потенциального доказательства при выполнении программ, которые сохраняют свой вывод в информационной среде доказательства
Одно из первых определений в Федеральных правилах о доказательствах (FRE) очерчивает исключения для предоставления исходных доказательств, когда встречаются определенные условия. В частности, FRE констатирует:
"чтобы доказать содержимое записи, магнитозаписи или фотографии, требуются оригинальные записи, магнитозаписи или фотографии, за исключением случаев, предусмотренных этими правилами или постановлениями конгресса".
FRE 1001(3) определяет одно из таких исключений:
"если данные хранятся в компьютере или аналогичном устройстве, любые распечатки или другой вывод, доступный для просмотра, точно воспроизводящий данные, является оригиналом".
Это условие позволяет исследователям использовать судебное программное обеспечение и системные инструменты для создания точного представления оригинальных данных системы. Значит данные, извлеченные из рассматриваемого компьютера, могут быть представлены в качестве доказательства, если данные являются беспристрастным и точным представлением оригинала. Подобная информация должна быть разобрана с юридической точки зрения на основе правила лучшего доказательства при условии, что это не противоречит федеральным законам или законам штата.
Порядок хранения
Если информация, собранная во время расследования, должна использоваться в судебном разбирательстве, обвинение обязано доказать, что представленное в суд является тем, что было собрано. Основным способом реализации этого является поддержание подробного списка людей, которые контролировали доказательства в каждом месте, от сбора до конечного расположения. В интересах организации обращаться со всеми инцидентами с позиции, что каждое действие, которое предпринимается во время реагирования на инцидент, может однажды оказаться в рассмотрении людей, желающих дискредитировать ваши методики. Поэтому начинайте поддерживать порядок хранения потенциальных доказательств как можно раньше в процессе реагирования.
Мы создаем карточку доказательства для каждого жесткого диска или информационной среды, которая исследуется. В ней вносится следующая информация:
• Время и дата действия
• Номер, который присвоен данному случаю
• Номер карточки этого конкретного доказательства
• Требуется или нет разрешение и подпись человека, владеющего информацией, которая изымается в качестве доказательства
• Кому принадлежало доказательство до изъятия, или кто предоставил информацию
• Полное описание доказательства, включая размер, если необходимо
• Кто получил доказательство и подпись получателя
Обратная сторона карточки доказательства предоставляет метод поддержания подробного списка людей, непосредственно ответственных за обращение с доказательством в ходе расследования. Он отслеживает следующую информацию:
• От кого было получено доказательство и в каком месте
• Дата получения
• Причина передачи доказательства другому человеку
• Кто получил доказательство, и где это произошло
Каждый раз, когда доказательство меняет владельца или перемещается с одного типа информационной среды на другой, необходимо записать это перемещение. Другими словами, при переносе исходного судебного дубля с жесткого диска на множество компакт-дисков необходимо записать этот перенос.
В дополнение к карточке доказательства важно документировать информацию о конкретных позициях, когда они изымаются. Например, если мы решили сделать судебное дублирование нескольких почтовых серверов, расположенных в одном рабочем помещении, начинаем записывать следующую информацию. Информацию можно записывать в переносной компьютер при выполнении расследования. Однако мы предпочитаем использовать блокнот и ручку.
• Люди, которые занимают рабочее помещение
• Имена сотрудников, которые могут иметь доступ в это помещение
• Расположение компьютерных систем в комнате
• Состояние системы (является ли она включенной, и что видно на экране)
• Сетевые или модемные соединения
• Люди, присутствующие во время выполнения судебного дублирования
• Серийные номера, модели, и изготовители жестких дисков и компонентов системы
• Периферийное оборудование, присоединенное к системе
Критически важно записать всю эту информацию и поддерживать порядок хранения. Хорошо документированная карточка доказательства требует для своего создания всего несколько минут.
ВЫПОЛНЕНИЕ НАЧАЛЬНОГО РЕАГИРОВАНИЯ
Существуют горячие дебаты о том, должна ли команда реагирования немедленно выключить систему при обнаружении инцидента. В "старые времена" компьютерных судебных дел это был широко поддерживаемый метод. К сожалению, такая практика может разрушить критически важные доказательства. В случаях вторжения атакующие научились использовать изменчивую среду хранения. Уровень, на котором можно скрыть данные, зависит от уровня доступа к системе и технической компетентности атакующего. Методы меняются от скрытых каталогов до загружаемых модулей ядра и неском-понованных файлов. К счастью, обученный следователь может обнаружить эту информацию, пока система остается активной.
Извлечение изменчивых данных из компьютерной системы до создания судебного образа (файл образа информационной среды источника) означает, что исследователь работает на оригинальном доказательстве, и это несет риск изменения этого доказательства — нарушение одного из базовых правил компьютерного судопроизводства. Если это необходимо для рас сматриваемого случая, то действия должны выполняться исследователем, который точно знает процессы, нужные для извлечения данных. Этот человек не только должен хорошо знать определенный процесс, но и уметь обосновать свои действия в том случае, если инцидент дойдет до суда.
Изменчивые данные
Когда сообщается об инциденте, необходимо выполнить некоторые действия на действующей системе. Только потом можно осуществить судебное дублирование этой системы. Сначала нужно получить как можно больше изменчивых данных, а затем выключить систему доказательства для судебного дублирования. В следующем списке первые четыре пункта теряются, если система будет выключена.
• Содержимое регистров, кэша
• Содержимое памяти
• Состояние сетевых соединений
• Состояние выполняющихся процессов
• Содержимое информационной среды хранения
• Содержимое сменной информационной среды и среды резервного копирования
Мы участвовали в нескольких расследованиях, где все доказательства принадлежали первым четырем категориям. Большинство опытных взломщиков компьютеров понимают, что данные области представляют уникальные признаки для исследователей. Наиболее изменчивые элементы находятся выше в списке, в то время как более устойчивые, надежные методы хранения перечислены в конце.
В настоящее время не существует причин для восстановления содержимого кэша и регистров центрального процессора. Фактически попытка сделать это изменит память. Этот уровень данных был включен с целью полноты. Во время исследования можно безопасно игнорировать содержимое подобных областей.
Содержимое памяти можно восстановить, но помните, что при этом будут изменены две основные области. Страницы в области памяти будут модифицированы. Когда выполняется приложение для дампа содержимого оперативной памяти, компьютерная система выделит память для процесса. Данные из дампа памяти будут перезаписывать информацию в информационной среде места назначения. Так как вы не должны перезапускать систему, вы будете помещать образ на смонтированную, или активную файловую систему. Можно сохранить целостность файловой системы, если образ памяти помещается в судебную рабочую станцию через закрытое сетевое соединение. Такой процесс проще всего выполнить под UNIX, так как многие из утилит являются стандартными для операционной системы. Некоторые операционные системы, включая Sun Solaris, позволяют администратору присоединять устройства SCSI к работающей системе.
Получение состояния сетевых соединений и выполняющихся процессов имеет небольшое влияние на систему. Информация обычно хранится в таблицах, расположенных в памяти ядра, и простое чтение данных в этих структурах не должно вызывать изменений. Подобные таблицы обычно предоставляют наиболее важные данные.
Избегайте, если возможно, просмотра действующей системы
Восстановление действующих данных во время начальной реакции должно выполняться только, когда имеются доказательства продолжающегося сетевого преступления. Запись изменчивых данных, таких как выполняющиеся процессы и текущие сетевые соединения, не всегда соответствует ситуации. Поскольку процедуры начальной реакции могут технически быть более сложными, чем судебное дублирование, и большинство официальных лиц правосудия меньше знакомы с этими действиями, их необходимо избегать, если они считаются ненужными.
Просмотр действующей системы
Прежде чем рассматривать действующую систему, создайте подробный план и придерживайтесь его как сценария. Документирование является жизненно важным, так как вы будете выполнять команды и изменять рабочую среду на машине-жертве. Отмечайте каждое действие, так как во время просмотра журналов системы или отметок времени файлов рабочие заметки позволят позже идентифицировать системные изменения, которые вызвали ваши действия.
Компьютер изменяет состояния при взаимодействии с пользователем, выполнении процесса, передачах данных и т.д.; поэтому данные в оперативной и внешней памяти должны измениться. Жизненно важно понимать изменения, которые будут происходить при выполнении команды или операции. При работе за консолью не забывайте подробно документировать каждое действие.
При извлечении информации из машины доказательства обратите внимание на необычные вещи, которые наблюдаются в системе. При окончании запланированных действий оцените необходимость дальнейшего исследования необычных моментов. Задайте себе вопросы "что, если". Что произойдет, если выполнить найденный новый исполнимый файл? На что он подействует? Что если это утилита, оставленная злоумышленником, которая может вызвать повреждение в системе? Какими будут последствия, если данная утилита запустит атаку против другой сети или компании? Достаточно часто опытный исследователь будет намеренно отклоняться от запланированного сценария, чтобы извлечь другой журнал. Но помните, что опыт позволит исследователю точно узнать, какие возможны отклонения при импровизации и выполнении незапланированных действий.
НАГЛЯДНЫЙ ПРИМЕР
В недавнем случае наш клиент использовал распределенную систему мониторинга сети. Система мониторинга состояла из агентов на хосте и в сети, которые сообщали в центральное расположение об обновлении статуса. Однажды поздно вечером на пейджер системного администратора был послан сигнал, уведомляющий его, что сервер системы имен доменов (DNS) отказывается отвечать в течение более получаса. Администратор проверил список процессов и обнаружил, что процесс с именем "named" выполняется, но не принимает запросы таким же образом, как ' раньше. Рабочая команда сделала копию двоичного кода процессов и выключила систему. При выполнении анализа образа дубликата было обнаружено, что программа, осуществляющаяся как "named", не находилась в активной части файловой системы. Если бы команда начального реагирования не сделала копию перед выключением системы, это было бы трудно обнаружить. Выключенный демон был. модифицированной версией старого демона Berkley Internet Name. Модификации предоставили атакующему доступ к оболочке административного уровня, когда атакующий посылал демону специальную строку запроса.
