Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 11:

Судебные средства

Ключевые слова: сеть, безопасность, физический доступ, кража, доступ, информационные системы, kit, toolkit, Хакер, торговля, маскарад, информатика, вторжение, персональные данные, информационная безопасность, авария, размер ущерба, протоколирование, аудит, деятельность, уровень детализации, viewer, administrative tools, secure system, маршрутизатор, межсетевой экран, сетевой протокол, NTP, внешний файл, clocked, SGI, TTP, NASA, gov, tick, поиск информации, идентификация, информация, информация о злоумышленнике, атака, активность, окрестность, web-сервера, сервер, MD5, PGP, аутентичность, доверенность, бинарный файл, демон, необратимость, просмотр файлов, Windows, инструментарий, Windows NT, freeware, подозрительная активность, вирус, программа, TCP, UDP, вывод, вредоносная программа, маршрутный префикс, corporate, CMD, temp, командный интерпретатор, номер порта, троянская программа, идентификатор процесса, PID, GPL, анонимный доступ, AC-3, rpm, переносимость, файл паролей, маршрутное имя, сокет, SSH, внутренняя сеть, event, Unix, цепочка символов, исполнение, очередь, ghosting, дамп, блок данных, файловая система, диск, копирование файлов, GNU, раздел диска, верификация, чтение данных, формат команды, skip, sync, HDC, HDD, carrier, список рассылки, поиск в базе данных, NIST, hashing, полное имя, gallery, имя хоста, часовой пояс, символьная ссылка, analysis, keyword search, file type, MP3, detailed, metadata, Unit, NTFS, FAT32, утилиты командной строки, скрытый файл, сокрытие данных, корневой каталог, атрибут файла, файловый дескриптор

Все средства и методы, ранее описанные в этой книге, при правильной реализации и бдительной поддержке сделают вашу сеть весьма безопасной. Но даже если все сделать верно, нельзя гарантировать абсолютную безопасность сети. Если атакующий достаточно настойчив или удачлив, он иногда сможет проникнуть внутрь. Внешние злоумышленники способны эксплуатировать еще не опубликованные уязвимости или поймать вас в окне между объявлением уязвимости и наложением корректирующей заплаты. Коварный сотрудник может применить для проникновения физические средства, такие как физический доступ к серверу или кража пароля. Могут использоваться и средства морально-психологического воздействия, чтобы с помощью излишне предупредительного сотрудника обойти все ваши меры безопасности и получить несанкционированный доступ. Что же делать, если, несмотря на все ваши приготовления, сеть или система оказались скомпрометированы?

При условии, что вас не выгнали с работы, это еще не конец света. Взломам подвергаются даже информационные системы самых крупных в мире компаний с огромным персоналом компьютерной безопасности, поэтому в этом нет ничего постыдного. Однако, теперь ваша задача - решить головоломку, определить, как все произошло, заделать дыры в безопасности и, если необходимо, выследить злоумышленников и принять дополнительные меры. В этом может помочь ряд средств с открытыми исходными текстами. Они называются судебными средствами, так как вы пытаетесь определить, что произошло, на основе доступных вам свидетельств.

Обзор лекции

Изучаемые концепции:

  • Применение судебных средств
  • Концепции реагирования на инциденты
  • Подготовка к судебному расследованию
  • Догматы надлежащего судебного расследования

Используемые инструменты:

Fport, lsof, dd, файлы журналов UNIX и Windows, Sleuth Kit, Autopsy Forensic Browser и The Forensic Toolkit

Применение компьютерных судебных средств

После атаки на систему вы захотите определить, как все происходило, чтобы предотвратить подобное в будущем. Если хакеры смогли обойти существующие электронные средства защиты, то, очевидно, где-то в броне имеется дыра. Сразу может быть неочевидно, где она находится, особенно, если злоумышленники хорошо замели следы. Судебные средства помогают обнаружить эти цифровые следы и найти дыры, чтобы их можно было залатать.

Очистка и восстановление

Если атакующие нанесли повреждения, следует точно определить, что они сделали, узнать, насколько обширны повреждения, и произвести необходимые восстановительные работы. Естественно, не в ваших интересах оставлять в сети взломанные хакерами серверы или созданные ими счета для тайного входа. Судебные средства помогают все это определить и, если атакующий удалил файлы, восстановить некоторые из них.

Уголовное расследование

Если ущерб, нанесенный атакующим, достаточно серьезен, может возникнуть желание начать его уголовное преследование. Простое искажение Web-страницы или вторжение обычно не стоят преследования из-за высоких издержек. Однако, если существенно пострадала ваша инфраструктура или корпоративная репутация, возможно, имеет смысл выдвинуть уголовное обвинение против атакующего. Ваша страховая компания может потребовать, чтобы вы представили полицейский отчет, чтобы вчинить иск. Судебные средства помогут идентифицировать атакующих, так что вы сможете представить отчет и доказательства для их судебного преследования.

Есть несколько вопросов, которые необходимо рассмотреть, прежде чем ступить на этот путь. При незначительном ущербе вы можете подать заявление в местное отделение полиции. Помните, что на местном уровне у них зачастую нет ресурсов для надлежащего расследования компьютерных преступлений, и вам, возможно, придется проводить большую часть расследования самостоятельно. Для этого можно применять средства из данной лекции. Только будьте осторожны, чтобы не испортить улики, иначе в суде они окажутся бесполезными (см. врезку о компьютерном расследовании).

Если ущерб велик или злоумышленные действия попадают в разряд федеральных преступлений (связанных, например, с межштатной или международной торговлей), можно передать дело в ФБР. Контактную информацию местного отделения ФБР можно найти в телефонном справочнике или в Web на сайте http://www.fbi.gov. Если нарушены федеральные законы или материальные потери превысили $25000, ФБР, скорее всего, займется вашим делом. В противном случае вас могут переадресовать в местные правоохранительные органы. Если вы сможете показать некую связь с терроризмом, межштатным мошенничеством (таким как кража номеров кредитных карт или маскарад), или некоторые другие элементы, которым ФБР уделяет особое внимание, вашим делом могут заняться и при меньшем ущербе. Большинство атак едва ли будет серьезно расследоваться; каждый день сообщается о слишком большом числе инцидентов, поэтому в ФБР реально уделяют внимание только по-настоящему серьезным случаям.

Если вы сумели добиться успеха и на злоумышленников заведено уголовное дело, то правильно проведенное расследование становится еще более важным. Применительно к компьютерным преступлениям очень трудно что-либо доказать. В суде весьма сложно обосновать связь между некими действиями, выполненными от имени пользователя с определенным идентификатором, и конкретным человеком. Обычно обвинители должны доказать, что человек действительно находился за клавиатурой и использовал этот системный счет, когда имела место атака. В противном случае найдется масса отговорок, таких как "Кто-то использовал мой пароль", "Меня взломали" и т.д. Повышенное внимание уделяется также режиму сохранения собранных свидетельств, то есть сведений о том, кто имел доступ к данным и мог их изменить или подменить. В подобных случаях обратитесь в правоохранительные органы, которые могут применить собственные средства сбора данных. Можно также воспользоваться услугами независимых организаций, способных оказать профессиональную помощь при взаимодействии с правоохранительными органами.

Флэми Тех советует:

Недостаток знаний опасен!

Если вы думаете о предъявлении уголовных обвинений, то не следует немедленно применять средства из этой книги. Кроме деятельности по блокированию и восстановлению, вы никоим образом не должны искажать свидетельства. Неумелый человек с помощью этих средств может стереть доказательства или сделать их бесполезными в суде. Представьте себе сыщика-новичка, бродящего на месте убийства. Никуда не годится! Пусть этим занимаются профессионалы из правоохранительных органов, а вы сможете им помочь, если понадобится, воспользовавшись инструментарием и знаниями из этой лекции.

Карьера в судебной информатике

Рост компьютерной преступности создал многообещающую область - судебную информатику с отличными перспективами карьерного роста для тех, кто ей интересуется. Потребность в компьютерно грамотных копах никогда не была столь острой. Если вас привлекает подобная деятельность, есть несколько направлений, по которым можно выдвинуться.

Местные правоохранительные органы

В полицейских управлениях крупных городов обычно имеются отделы компьютерных преступлений. Чтобы туда устроиться, может потребоваться диплом, где в большей или меньшей степени фигурирует юриспруденция или нечто аналогичное. Однако порой в полиции возникает столь острая нужда в технических специалистах, что они готовы смягчить требования к опыту работы в полиции в обмен на технические знания.

Федеральные правоохранительные органы

Наиболее перспективны должности в области судебной информатики в ФБР. Здесь вам придется работать с особо важными делами национального или международного уровня. Обычно ФБР продвигает сотрудников из собственных рядов, однако иногда делаются исключения для людей с определенным талантом или положением. Работая в ФБР, вы сможете реально влиять на компьютерную преступность.

Вооруженные силы

Если у вас склонность к военной службе, то во всех видах и родах вооруженных сил имеется персонал для борьбы с компьютерной преступностью. В этом ряду выделяется Отдел специальных расследований Военно-Воздушных Сил США. Хотя этот отдел ориентирован на преступления и инциденты в вооруженных силах, его часто привлекают и к гражданским делам, поскольку разные компьютерные преступления могут быть взаимосвязаны.

Министерство национальной безопасности

Имеется множество новых вакансий и отделов, созданных как часть Министерства национальной безопасности. Работа в правоохранительных органах или вооруженных силах зачастую оплачивается хуже, чем аналогичная деятельность в коммерческой организации, однако многие считают эти должности более престижными. Есть также крупные организации, имеющие собственный персонал для компьютерных расследований. Государственная служба может существенно повысить ваш статус, если вы захотите затем перейти к частной практике или попасть в отдел судебной информатики крупной организации.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск