Реклама на сайте




Выполнение судебного дублирования


Каждое исследование предписывает различный подход. Вы обнаружите, что некоторые случаи включают детальную, почти максимально возможную реакцию, где требуется дублирование всех систем, и каждый сектор образа необходимо тщательно проверить в поисках информации, С другой стороны может быть более приемлемым выполнение слабо воздействующего поиска.

При любой реакции основной приоритет состоит в следовании всем правилам поиска доказательств. Лучший выбор заключается в сохранении в безопасном месте оригинального диска, похожего на судебный дубликат, и в выполнении всего анализа на копии, восстановленной с дублированного образа. Когда вовлечены сетевые рабочие станции, персональные компьютеры или автономные системы, рекомендуется завершить каждую фазу дублирования и восстановления. Когда приходится иметь дело с серверами или другими доступными системами, может понадобиться выполнить логическое резервное копирование, восстанавливая насколько возможно системные журналы, журналы приложений и существенные файлы.

Когда необходимо судебное дублирование? Это распространенный вопрос во многих организациях, которые не имеют ресурсов для создания судебного дубля для каждого расследования. Рекомендуется рассмотреть:

• Возможно ли применение юридических действий?
• Является ли это заметным инцидентом?
• Имеются ли существенные денежные потери в связи со значительным разрушением бизнеса?
• Понадобится ли восстановление данных для доказательства случая?
• Придется ли искать свободное пространство или неактивное пространство, чтобы извлечь доказательство?

Свободное пространство и неактивное пространство являются областями файловой системы. Они содержат фрагменты информации, которая может иметь влияние на расследование.

Если вы ответили "да" на любой из этих вопросов, то желательно создать судебный дубль.

При существенном увеличении емкости памяти информационной среды организации оценивают эффективность судебного дублирования на основе обстоятельств, сопутствующих инциденту. Это изменяющийся облик компьютерного судопроизводства. В прошлом все дублировалось, включая устройства RAID и ленты резервного копирования. Теперь исследователь должен принять в расчет всю совокупность обстоятельств. До возникновения инцидента необходимо создать политики, которые определяют, когда судебное дублирование будет подходящей реакцией.

Подходы к судебному дублированию

Если допускается, что дублирование является лучшим средством, следующий шаг состоит в обеспечении того, что имеется определенная методология создания образа в манере соответствующей судебной. Самой сложной частью создания судебного дубля является наличие соответствующей укладки кабеля и оборудования. Наиболее оптимальной платформой для использования является полнофункциональная система на основе Intel. Это значит, что она укомплектована набором устройств памяти. Если исследование приводит на сервер с внешним устройством 32GB SCSI-2 68-pin, нужно быть готовым его воспроизвести.

К судебному дублированию в зависимости от ситуации применяют три различных подхода:

• Копирование среды хранения информации, удаляя ее с подозрительного компьютера и присоединяя к судебной рабочей станции
• Копирование среды хранения информации, присоединяя жесткий диск к целевому компьютеру (обычно подозреваемому компьютеру)
• Копирование среды хранения информации, посылая копию диска по закрытой сети на судебную рабочую станцию, когда она будет создана

Удаление информационной среды доказательства

Первый метод является наиболее традиционным. В прошлом многие правоохранительные агентства изымали всю систему и везли ее в судебную лабораторию. Теперь судебные эксперты обычно доставляют судебную рабочую станцию (систему "переносного" класса), которая имеет отсеки для сменных дисков и большой объем памяти для дублирования на месте. Команда реагирования документирует данные самой системы, отмечая все серийные номера, настройки переключателей и видимые повреждения. Жесткие диски доказательства удаляются из своих систем и индивидуально копируются с помощью Safeback, команды UNIX dd, или EnCase. Когда члены команды реагирования используют свою собственную судебную рабочую станцию, а не рассматриваемую систему, проблемы аппаратной и программной несовместимости и копирования среды хранения минимизируются, позволяя судебному техническому персоналу быстро и надежно собрать данные.

Присоединение жесткого диска

Второй подход копирования — присоединение жесткого диска к целевому компьютеру — является таким же распространенным, как и первый метод. В обоих случаях процесс по сути является одним и тем же. Если вы решите использовать подозрительную систему в качестве платформы для копирования, позаботьтесь об обеспечении правильного действия оборудования.

НАГЛЯДНЫЙ ПРИМЕР

Во время исследования, включающего потерю собственной информации компании, были скопированы компьютеры более 25 сотрудников. Мы обнаружили пятнадцать 60-Гбайтных жестких дисков и перенесли пять самых быстрых систем в зал заседаний. После копирования пяти систем были отложены подозрительные жесткие диски. Каждый компьютер настроен для работы в качестве копирующей рабочей станции. Команда разделилась на две группы. Одна группа обходила помещение и снимала все жесткие диски. Она передавала каждый диск второй группе, которая управ ляла процессом копирования и документирования процедур команды. Когда с дисками было закончено, первая группа вернула их в свои соответствующие системы, а офисные системы - в исходную конфигурацию.

Передача копии по сети

Передача копии по сети выполняется обычно, когда система UNIX используется в качестве платформы копирования. Это включает создание загрузочного диска Linux или компакт-диска, который поддерживает различное дисковое и сетевое оборудование.
Обычно создается двухточечное соединение от подозрительной системы к судебной рабочей станции с помощью стандартного соединительного кабеля Ethernet или коммутатора Fast Ethernet. Судебная рабочая станция конфигурируется для получения данных на порт TCP и переадресации его в локальный файл. Если судебная рабочая станция имеет достаточный объем дискового пространства и оперативной памяти, можно копировать несколько систем одновременно. Это является безопасным, так как мы можем положиться на несколько уровней обеспечения целостности данных. Прежде всего мы полагаемся на встроенную проверку ошибок и элементы управления сегментацией данных в клиентских слоях сетевого соединения и TCP операционной системы. После окончания процесса выполняются вычисления MD5 на полученном файле копии, а также на исходном диске. Когда эти значения совпадают, имейте в виду, что копия была получена судебным способом.

Проверка низкоуровневой конфигурации системы

Базовая система ввода/вывода (BIOS) на персональном компьютере является программно-аппаратным средством, которое система использует во время процесса начальной загрузки для идентификации жестких дисков в системе, а также устройств хранения (жесткие диски, гибкие диски, внешние диски и т.д.), которые содержат собственную операционную систему (операционную систему, которая используется при загрузке информационной среды доказательства для анализа). Необходимо проверить BIOS системы доказательства со следующими целями:

• Определить геометрию диска информационной среды доказательства (жесткий диск, который необходимо исследовать)
• Определить последовательность начальной загрузки системы
Если желательно выполнить судебное дублирование жесткого диска, не удаляя его из ПК, необходимо загрузить этот ПК с помощью контролируемого гибкого диска или компакт-диска. Крайне нежелательно случайно загрузиться из операционной системы информационной среды доказательства. Необходимо просмотреть системную последовательность загрузки в BIOS.

Определение геометрии диска

Система доказательства должна загружаться с контролируемого загрузочного гибкого диска и автоматически определять параметры жестких дисков (геометрию).

При просмотре конфигурации жесткого диска в BIOS запишите параметры, обнаруженные программно-аппаратным средством. Задокументируйте настройки, которые выводятся. Это станет важно, если вы решите восстановить судебную копию на диске с радикально другими параметрами. Предположим, что мы используем утилиту Safeback (которая скоро будет описана) для копирования небольшого в 105 Мбайт диска с 216 цилиндрами, 15 головками и 63 секторами. Вы приносите копию в свою лабораторию и восстанавливаете ее на чистом диске в 25 Гбайт. Диск в 25 Гбайт имеет другие геометрические параметры по сравнению со диском в 105 Мбайт.Safeback имеет возможность выравнивания данных для разбиения по границам цилиндров. Во время анализа выравнивание цилиндров не будет влиять на результаты. Однако если разрешить исходной операционной системе загрузиться с восстановленной копии и разбиения не будут выровнены по границам цилиндров, операционная система может вести себя неустойчиво или может не закончить процесс начальной загрузки. Если встроенное средство выравнивания цилиндров в Safeback не срабатывает, измените геометрию диска целевой информационной среды в BIOS, чтобы соответствовать исходному диску доказательства, прежде чем восстанавливать копию.

Целевой информационной средой является среда, на которую дублируется среда доказательства. Другими словами, судебная копия диска доказательства переносится на целевую информационную среду.

Определение последовательности начальной загрузки

Следующий шаг состоит в обеспечении загрузки системы с того устройства, с которого ожидается (судебные аналитики ненавидят сюрпризы). Когда система загружается, судебный аналитик держит одну руку на тумблере выключения питания или перезагрузки, а другую руку на клавише активации BIOS.

Утилиты судебного дублирования

Требования, которым должен удовлетворять программный продукт, чтобы стать надежной судебной утилитой, перечислены ниже:

• Приложение должно иметь возможность копировать каждый бит данных в информационной среде хранения. Каждый байт должен копироваться с начала диска и до технологического трека.
• Приложение должно обрабатывать ошибки чтения надежным образом. Если процесс не может после нескольких попыток прочитать поврежденный сектор, то сектор пропускается и "замещающий" сектор, идентичный по размеру, помещается в поток вывода.
• Приложение не должно делать никаких изменений в исходном доказательстве.
• Приложение должно иметь возможность придерживаться научного подхода к тестированию и анализу. Результаты должны быть воспроизводимы и проверяемы независимой стороной, если необходимо.
• Создаваемый файл копии должен защищаться контрольной суммой или алгоритмом хеширования. Эта функциональность может выполняться одновременно с созданием файла (Safeback) или в конце процесса копирования (dd и md5sum).

Функция Verify используется для подтверждения того, что созданный файл доказательства является аккуратным представлением содержимого информационной среды доказательства и что его можно успешно восстановить. Не забудьте использовать функцию Verify на копии до того, как вернуть исходный диск в работу.

ИСПОЛЬЗОВАНИЕ УТИЛИТ UNIX ДЛЯ СУДЕБНОГО ДУБЛИРОВАНИЯ

Выполнение судебного копирования и анализа на платформе UNIX имеет много преимуществ. Какой способ является лучшим, чтобы удержать операционную систему от изменения данных? Обеспечьте, чтобы она не опознавала формат среды хранения, пока ей не будет задано. Упрощенные установки Linux можно сконфигурировать Для игнорирования всех файловых систем за исключением тех, которые требуются для работы операционной системы. Она будет общаться с программно-аппаратными средствами на устройствах хранения для обмена геометриями и параметрами доступа. Это позволит просмотреть любые конфигурации, размещенные пользователем, обеспечивая полный и тщательный процесс копирования.

Предпочтительным методом получения судебных копий является выполнение дублирования с помощью утилиты UNIX dd (Data Dumper). Обычно dd используется для переноса данных из одного файла в другой с возможностью трансляции на ходу форматов данных. Она применялась в судебной практике для получения полных, судебно признаваемых копий. В недавних тегтах утилита UNIX dd превзошла возможности копирования всех других доступных решений, включая коммерческие и приложения с открытым исходным кодом. Она без проблем скопировала все части тестируемой среды хранения, включая области, где другие решения оказались несостоятельны, такие как технологический трек жесткого диска. Единственным недостатком является отсутствие удобного интерфейса пользователя.

Создание управляемого UNIX загрузочного диска

Создание надежного загрузочного диска для Linux является наиболее сложным из трех решений копирования. Как с большинством решений, включающих производные UNIX, оно является также наиболее гибким и мощным. Начнем с предварительно компилированного дистрибутива, такого как Pocket-Linux, Tomsrtbt или Trinux. Данные проекты предназначены для создания крошечных дистрибутивов Linux, которые умещаются на паре гибких дисков. Чтобы использовать эти дистрибутивы в судебных ситуациях, необходимо обеспечить выполнение нескольких условий:

• Дистрибутив не должен выполнять никаких операций на запоминающей среде.
• Дистрибутив должен быть способен обращаться к сетевой интерфейсной карте.
• Дистрибутив должен поставляться с утилитой dd и иметь возможность включать netcat.

Trinux, может быть, самое простое готовое решение для модификации для судебного копирования. Первый гибкий диск является загрузочным ядром. Он будет загружаться в память и создавать большой виртуальный диск (RAM). Сценарий загрузки спрашивает у пользователя сетевые и системные параметры и затем запрашивает дополнительные программные диски. В этом месте исследователь может загрузить дополнительные утилиты на RAM-диск. В связи со множеством доступных возможностей и конфигураций для загрузочной последовательности Linux, необходимо быть знакомым с этим дистрибутивом до того, как произойдет инцидент.

Создание судебной копии с помощью dd

Когда имеется система, загруженная в надежной рабочей среде, можно запустить процесс копирования. Основное средство для создания судебной копии, утилита dd, имеет множество параметров.

В UNIX все считается файлом, поэтому параметры if= и of= могут указывать на физические устройства или логические файлы. Когда утилита dd переносит данные, можно изменить объем передаваемых данных с: помпо-щыо комбинации параметров bs= и count=. Например, если желательно создать копии дисков, которые поместятся на компакт-диске, используйте следующие команды для создания четырех 620-Мбайтных файлов.

# dd if=/dev/hda of=/mnt/evid/disk1 .img DSFIM count=620
# dd if=/dev/hda of=/mnt/evid/disk2.img DSFIM count=620 skip=621
# dd if=/dev/hda of=/mnt/evid/disk3.img DSFIM count=620 skip 1241
# dd if=/dev/hda of=/mnt /evid/disk4.img - bs=1M count=620 skip=1861

Параметр conv= будет полезен для копирования поврежденных дисков или восстановления дисков из компьютерных систем с другим упорядочиванием байтов. Флаги conv=noerror,notrunc сообщают утилите dd, как обрабатывать ошибки чтения. Когда диск копируется и сектор оказывается поврежденным, утилита dd будет пытаться прочитать заданное число раз. Если это последовательно не выполнится, то действие по умолчанию состоит в прекращении всей передачи. Флаг noerror заставляет утилиту dd записать сектор из всех нулей (или null) в поток вывода, если она встречается с невосстановимой ошибкой. Второй флаг notrunc позволит dd непрерывно обновлять поток вывода, не перезаписывая старый файл.

Если система имеет устройство магнитной ленты, можно сохранить дублированную копию на магнитной ленте с помощью следующей команды:
# dd if=/dev/hda of=/dev/rstO

Другой возможностью для сохранения копий дисков является использование судебной рабочей станции, соединенной с доказательством при помощи кабеля Fast Ethernet. Настройте судебную рабочую станцию для приема входящих соединений на порт TCP с помощью netcat. Когда данные будут получены, отправьте их в логический файл вашей запоминающей среды. Следующая командная строка будет слушать порт TCP 7000, получать копию, которая меньше 2 Гбайт, и сохранять вывод. Если вы намерены сохранять диски больше 2 Гбайт, создайте сценарий на языке оболочки или PERL, чтобы определять длину записи входящего потока.

# netcat -1 -р 7000 > /mnt/evid/dw-7.dd
На машине доказательства необходимо загрузиться с помощью надежного дистрибутива Linux, и начать процесс копирования dd. Вместо определения файла вывода с помощью ,,of=" направьте вывод через netcat.
#dd if=/dev/hda | nc 192.168.4.4 7000
Не забудьте вычислить хеш-значения MD5 для информационной среды источника, а также полученной копии, которая признается в качестве доказательства.

ИСПОЛЬЗОВАНИЕ ENCASE

EnCase является сегодня наиболее популярной автономной программой судебного анализа. Она проста в использовании. EnCase предлагает интерфейс Windows и развитый набор возможностей, которые существенно увеличивают эффективность судебного исследования. Вот некоторые из возможностей EnCase:

• Поддержка файловых систем FAT12, FAT16, FAT32, NTFS, Linux и Macintosh. Новая версия (EnCase 3.0) добавит дополнительную поддержку файловой системы UNIX.
• Анализ хеша, который сравнивает известные сигнатуры файлов с расширениями файлов, чтобы определить, не пытается ли пользователь скрыть доказательство, предоставляя поддельное расширение
• Возможность автоматически находить, извлекать и выводить известные графические форматы файлов изображений (.gif, jpg, .bmp и многие другие).
• Возможность выполнять анализ файла доказательства EnCase, поэтому нет необходимости восстанавливать копию на отдельной среде хранения. Это сохраняет ресурсы (необходимость дополнительных жестких дисков) и время.
• Интерфейс, похожий на проводник Windows, для доступа ко всем файлам в системе.
• Развитые возможности поиска строк, которые допускают мультиза-дачность. Можно выполнять поиск строки в фоновом режиме во время просмотра и сортировки доказательства на переднем плане.
• Возможность выполнять поиски текстовых строк на нескольких файлах доказательства, которые могут представлять отдельные жесткие диски. Например, можно выполнять поиск на данных, содержавшихся на шести отдельных жестких дисках.
• Средство для создания интегрированного отчета об исследовании, которое позволяет зафиксировать относящиеся к делу данные.

EnCase генерирует файл формата rtf (rich-text file), который можно легко импортировать в различные текстовые процессоры, делая создание отчета почти автоматическим.

Согласно Jennifer Higdon, представителю Guidance Software (создателю EnCase), более 2000 правоохранительных агентств используют EnCase.

При правильном использовании EnCase сберегает буквально дни работы. Конечно, ни одна судебная утилита не может делать все, но EnCase определенно подошел к этому ближе всех.

Создание файлов доказательства с помощью EnCase

EnCase на самом деле не выполняет судебного дублирования информационной среды доказательства. Он, скорее, создает файлы доказательства, КОГО рые являются точным представлением данных среды хранения доказатель ства. С помощью EnCase задание таких файлов сводится к указанию И щелчку на кнопке.

Использование EnCase для предварительного просмотра дисков доказательства

EnCase имеет уникальное средство, называемое Preview, которое позволяет исследовать все содержимое жесткого диска (или другой среды хранения), не сохраняя никакие результаты. Другими словами, можно выполнять поиски строк, хеш-значений и просматривать каждый файл на диске доказательства. Однако вы не сможете сохранить никакие из просматриваемых данных. Это предоставляет быстрый, не вмешивающийся в работу программ способ реагирования на инцидент для подтверждения или отказа от подозрения.

НАГЛЯДНЫЙ ПРИМЕР

Придерживайтесь своих полномочий при выполнении судебного анализа на подозрительной компьютерной системе. В судебном разбирательстве "Правительство Соединенных Штатов против Carey" 172 F.3d 1268 (10th Cir., 1999) строго определены полномочия. Не разрешается выходить за их рамки при поиске компьютерной запоминающей среды. Во время рассмотрения случая правоохранительный персонал получил полномочие на обыск компьютеров обвиняемого в поисках доказательства торговли наркотиками. Полномочие было написано таким образом, что ограничивало поиск определенными именами, телефонными номерами, бухгалтерскими главными книгами, приходными ордерами, адресами и другими документарными свидетельствами, относящимися к продажам и распространению контролируемых веществ.

Во время судебного анализа исследователь обнаружил многочисленные файлы типа jpg. Вероятно, исследователь не мог просматривать файлы jpg с помощью программного обеспечения, которое он использовал. Он сохранил файлы на гибком диске и просмотрел их на другой системе. После краткого исследования файлов jpg офицер понял, что рассматриваемый компьютер содержит по крайней мере одно изображение детской порнографии. Затем он начал искать на жестком диске другое доказательство детской порнографии, отказавшись от первоначальной цели поиска.

Суд постановил, что своими действиями офицер нарушил Четвертую поправку. Важно отметить, что правительство безуспешно доказывало, что Plain View Doctrine разрешает поиск файлов с детской порнографией. Поэтому случай Carey подтверждает, что исследователь не может вручную просматривать отдельные файлы в согласованном усилии получим, информацию вне обозначенной цели и области выданных полномочий.

Многие сотрудники реагирования обращаются к действующему Проводнику Windows на системе доказательства для поиска доказательства. Это является ужасной ошибкой! Проводник разрушит данные, изменяя отметки времени/даты файлов, временные файлы и другую изменчивую информацию. Исследователь не может использовать Проводник для просмотра файловых зазоров, файлов своппинга, удаленных файлов, потоковых файлов NT или не размещенного пространства на диске. Средство Preview из EnCase позволяет полностью исследовать или просмотреть систему без изменения среды доказательства. Оно поддерживает более углубленный и объективный процесс поиска, чем случайное перемещение по каталогам в Проводнике.