8 мая, 2019, BIS Journal №2(33)/2019

Forensics forever!


Бялькина Александра

руководитель департамента развития продуктов (Cross Solutions (АО «Кросс Технолоджис»))

Переосмысливая возможности ИТ-криминалистики

Независимо от того, в каких компаниях работают специалисты (государственных или коммерческих), на каких позициях (IT-специалист, аналитик, юрист), при выполнении различных задач они сталкиваются с необходимостью обработки больших объемов данных. Сфера цифровой криминалистики ощущает на себе влияние цифровизации гораздо сильнее, чем можно себе представить. При проведении расследований, в том числе для предоставления их результатов в качестве доказательной базы в суде, важно понимать, какие подходы, направленные на поиск релевантных предмету расследования доказательств, существуют для работы с огромными массивами данных. Выявление преступлений в цифровой сфере, мошеннических схем и прочих ситуаций, сбор доказательств, а также подготовка юридически значимого заключения требует вовлечения разнообразных квалифицированных специалистов с разными целями.

РЕАЛИИ ЖИЗНИ

Мы сейчас живем в эре глобальной цифровизации. Объем электронной информации растет в среднем на 40% - 50% в год, что можно наглядно проиллюстрировать статистикой по увеличению объемов жестких дисков, используемых в ПК. Отдельный вопрос – смартфоны, как высокопроизводительные компьютеры с возможностью хранения десятков гигабайт информации (только на аппарате). Если на одного сотрудника в компании приходится, к примеру, два ПК (личный и корпоративный) и два телефона (личный и корпоративный), то при расследовании эксперту потребуется обработать 1-2 терабайта данных. А если речь идет о 5-10 сотрудниках или о проведении крупномасштабных расследований с подключением внутрикорпоративных почтовых серверов, хранилищ данных?

Объем информации не был бы критичен, если бы мы могли осуществить процесс ее сбора и анализа за приемлемое время и с гарантией целостности и полноты. И если решение вопросов скорости сбора и обработки стандартно упирается в мощность оборудования и используемые технологии распределенных вычислений, то вопрос целостности и полноты собранных данных лежит в плоскости квалификации кадров.

Итак, суммируем современные проблемы:

  • задержки первичной экзаменации компьютеров и других носителей данных (многообразие оборудования, операционных систем, типов файлов, типов информации);
  • несоответствующая задачам производительность отдельных рабочих станций;
  • нехватка компетентного персонала, необходимость привлечения сотрудников с компетенцией в различных направлениях (ИТ-специалисты, юристы);
  • одно следствие - один аналитик (отсутствие возможности распределения задач);
  • отсутствие централизованной инфраструктуры (а значит, и возможности хранения данных в одном месте с ретроспективным поиском);
  • большинство следователей, адвокатов и прокуроров не понимает преимуществ компетентного использования ИТ-криминалистики. Многие ИТ-криминалисты не понимают контекста отдельных следствий и периодически пропускают релевантную информацию;
  • доказательства обрабатываются и рассматриваются в разных местах (дублирование информации, возможность ее потери и нарушения целостности, большие объемы хранимой информации);
  • постоянно растущее количество и объем данных;
  • сложность обработки объемов данных без автоматизации процесса.

ЮРИДИЧЕСКАЯ ЗНАЧИМОСТЬ

Отдельно стоит отметить, что обязательным условием эффективности процесса работы с доказательствами является наличие стандартов и законодательных актов, которые однозначно описывали бы требования к процессам сбора и анализа информации, а также к процедурам ее передачи для рассмотрения в судах. На текущий момент основную роль в определении значимости на себя берут эксперты, привлекаемые судами для проведения анализа собранных данных и подготовки отчетов (экспертных заключений). Открытыми остаются следующие вопросы:

- каковы требования к экспертам (образование, опыт работы)?

- Меняются ли требования к эксперту в зависимости от состава экспертизы?

- Каковы требования к процедуре анализа?

- Каковы требования к формату и составу экспертного заключения?

Ввиду отсутствия ответов на эти вопросы процесс выглядит следующим образом:

- эксперт привлекается на каждое отдельное «дело»;

- квалификация эксперта относительна, и определяется зачастую на основе места его работы (брэнда компании, которому «доверяют»);

- отчет – это творчество отдельного человека, в котором нельзя оценить полноту проведенного анализа, потому что нет объективных критериев.

ПРО ВЕЛОСИПЕД

В 1948 году в Англии была организована Ассоциация офицеров полиции (The Association of Chief Police Officers - ACPO), участники которой разрабатывали практики, процессы работы полиции и принимали участие в формировании подзаконных актов. В процессе развития цифровых технологий при переходе к электронному документообороту ACPO предложила четыре принципа работы с электронной информацией:

Любое действие не должно изменять собираемые с электронных носителей данные (целостность)
Если необходимо обеспечить доступ к электронным данным, то специалист должен быть компетентным для сбора релевантных доказательств
Процесс сбора данных должен быть воспроизводим и повторяем, чтобы третья сторона могла осуществить ту же последовательность действий и получить тот же результат
Соответствие (непротиворечивость) первых трех принципов законодательным актам

Эти принципы успешно используются как сотрудниками правоохранительных органов, так и персоналом корпораций, вовлеченным в процессы сбора и анализа данных, в том числе, с их последующим использованием в гражданских судопроизводствах. Применяются они в Великобритании, Европе, США и вполне могут быть заимствованы нами.

Еще одним документом, содержащим методологические рекомендации, является «eDiscovery in digital forensic investigations» 2014 года. Разработанный при участии сотрудников полиции метрополитена Англии, он содержит необходимую информацию о процессе работы с электронными данными. Документ включает требования к программным продуктам, которые должны применяться при сборе и анализе электронных доказательств, а именно на следующих этапах:

- управление процессом

- идентификация релевантных данных (источников данных)

- сохранение

- сбор

- обработка

- оценка релевантности

- анализ

- экспорт в отчеты

- представление заинтересованным сторонам.

Документ предлагает следующее определение форензики:

"Форензика - использование научно обоснованных и доказанных методов в целях сохранения, сбора, идентификации, анализа, документирования и представления электронных доказательств, полученных из цифровых источников в целях облегчения или содействия реконструкции событий, которые могут иметь характер преступных».

За последние 30 лет коллеги выработали проверенные временем практики работы с цифровыми доказательствами, которые (особенно ввиду наличия прецедентного права) принимаются в качестве доказательств в судах.

А ТЕМ ВРЕМЕНЕМ У НАС…

В 2014 году в России был опубликован ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме», который является аналогом международного стандарта ISO 27037.

«Эти процессы необходимы при проведении расследования и предназначены для поддержки целостности свидетельств, представленных в цифровой форме, т.е. являются приемлемой методикой получения свидетельств, представленных в цифровой форме, которая будет способствовать их допустимости для правовых и дисциплинарных действий, а также для других необходимых случаев. Настоящий стандарт также предоставляет общее руководство по сбору свидетельств, не представленных в цифровой форме, которые могут быть полезны на этапе анализа потенциальных свидетельств, представленных в цифровой форме».

Помимо подтверждения приведенных выше принципов ACPO, стандарт ГОСТ включает детальные алгоритмы работы с информацией, а также дополнительные рекомендации, такие как:

- описание основных навыков и компетентности (применимых к специалистам);

- минимальные требования к документации для передачи свидетельств.

ПОДХОДЫ К ПОСТРОЕНИЮ ЭФФЕКТИВНЫХ ПРОЦЕССОВ

Для построения процессов и автоматизации деятельности в области цифровой криминалистики многие компании давно используют специализированное ПО по сбору и анализу данных. Его применение открывает массу возможностей (примерно, как при переходе от счетов к калькулятору):

Применение интегрированного в инфраструктуру компании комплекса решений AccessData позволяет при возникновении инцидента через агентское решение осуществить предварительный просмотр информации:

- статической (неизменяемые данные);

- динамической (полученные от источника во время работы решения).

Динамические данные могут собираться с компьютеров в сети, включая информацию в ОЗУ и данные с дисков. Кроме того, используя удаленную систему управления дисками (RDMS), можно подключать любой диск, просматривать его содержимое, а затем создавать собственный образ того, что является значимым.

Если есть необходимость сбора полной информации, возможно осуществить клонирование дисков с доступом только на чтение к жесткому диску физически или программный сбор - клонирование с помощью ПО.

Для оптимизации объемов собираемых данных в AD можно использовать библиотеку известных файлов (KFF) для категоризации конкретной информации во время сбора и анализа доказательств. KFF также позволяет автоматически присваивать файлам статусы
«Alert» и «Ignore» для более удобной последующей работы. Примером игнорирования могут быть легитимные файлы операционной системы, которые не несут в себе значимой для расследования информации.

Во время сбора доказательств можно создавать индексы данных и фиксировать хэш-значения всех файлов, содержащихся в данных, для осуществления быстрого поиска по индексам. Если необходимо, можно использовать прямой поиск в реальном времени небуквенно-цифровых символов или поиск по шаблонам (регулярные выражения и шестнадцатеричные значения).

При анализе данных можно применять технологию OCR для извлечения текста, содержащегося в графических файлах. Также можно расшифровывать многие типы зашифрованных файлов, используя автоматическое дешифрование инструментом восстановления паролей PRTK.

В дополнение можно применять функционал Cerberus для анализа исполняемого бинарного файла, который находится на диске, на сетевом ресурсе или в системной памяти. Работа с Cerberus проходит в несколько этапов:

Анализ угроз - это общий анализ файлов и метаданных для быстрого разбора исполняемого бинарного файла по общим атрибутам, которыми он может обладать. Он идентифицирует потенциально вредоносный код, генерирует и присваивает оценку угрозы для исполняемого бинарного файла.

Статический анализ - это анализ путем дизассемблирования, для которого требуется больше времени для изучения кода внутри файла. Он оценивает возможности бинарного кода, не запуская фактический исполняемый файл.

При проведении анализа можно гибко настраивать доступ к файлам для экспертов по типам файлов и предоставлять доступ нетехническим экспертам к файлам для их изучения (Рис. 1).

Это малая толика возможностей систем, которые направлены на автоматизацию процессов при расследовании инцидентов на примере AccessData. Главное – результат – это гарантия полноты, целостности данных, которые могут быть использованы для дальнейшего судопроизводства.

ЗАКЛЮЧЕНИЕ

Проблематика необходимости работы с большими объемами данных при проведении цифровых расследований одинакова для всех государств. Построение эффективного процесса работы возможно при выполнении следующих условий:

  • автоматизация процесса сбора данных – скорость сбора, корректность, отсутствие зависимости от квалификации ИТ-специалиста;
  • унификация форматов и процессов сбора, хранения и обработки данных;
  • подтвержденная целостность собранных данных (включая протоколирование процесса сбора);
  • придание юридической значимости собранным доказательствам (судебная практика);
  • использование компаниями и следственными органами инструментов, которые работают с криминалистическими форматами AD1, EO1.

Если говорить об опыте иностранных коллег, то они применяют унифицированные форматы сбора данных, что позволяет отказаться от необходимости дополнительной экспертизы корректности полученной информации (в каждом отдельном случае), перенеся эту ответственность на разработчиков ПО (требования к котором явным образом зафиксированы в национальных стандартах и практиках). Задачи сбора информации сводятся к корректному использованию ПО и минимизируют потенциальные ошибки ИТ-персонала. Возможность примененеия ПО с централизованным хранением данных и возможность распределения задач между сотрудниками позволяет сокращать издержки и эффективно управлять временем персонала. Наличие у нас аналогичных национальных стандартов позволяет нам использовать все наработанные ранее практики, неся в том числе и значительные выгоды для бизнеса:

  • отсутствие влияния на бизнес-процессы (удаленный сбор данных с конечных точек, распределение задач, исходя из компетенций персонала (безопасности свое – аналитикам и юристам свое);
  • снижение рисков повреждения, видоизменения информации при ее сборе, анализе и/или подготовке отчета (нарушение принципа целостности приведет к нивелированию юридической значимости);
  • снижение издержек на сбор и анализ доказательств.

Помимо всех приведенных плюсов автоматизации и унификации при использовании единых технологий корпорациями, следственными органами и судами, результатом может стать единая прозрачная для всех сторон работающая экосистема в сфере «Digital Forensics».

 

Смотрите также

Подпишись на новости!
Подписаться