Способы и приемы анализа неправомерных действий в сфере информационных технологий
Работу по выявлению и анализу неправомерных действий в сфере компьютерной информации выполняет эксперт-криминалист, являющийся специалистом в данной области. Анализ места подобного деяния преследует цель определения механизма совершения и поиска следов неправомерного доступа к информации. Представляется, что подобный процесс, для повышения эффективности, следует разбить на несколько этапов, которые заключаются в реализации трех фаз:
1. Сохранения системы;
2. Поиска следов противоправного деяния;
3. Реконструкция событий.
На этапе сохранения системы необходимо произвести консервацию места совершения противоправного деяния. Задача данного этапа заключается в сведении к минимуму всех возможных потерь следов необходимых для проведения последующего анализа.
В процессе перехода к фазе поиска следов и анализа места совершения противоправного деяния в сфере компьютерной информации необходимо определить как он будет проводится – на самом носителе информации при помощи «живого анализа» или на специально созданной копии «мертвый анализ».
При проведении «живого анализа» необходимо завершить или приостановить все подозрительные процессы, происходящие в операционной системе компьютера, при необходимости отключить его от сети. В этом случае целесообразно подключить компьютер к отдельному концентратору для предотвращения появления в журнале сообщений о недоступности сети и неверной работы некоторых программ.
Проведение «мертвого анализа» требует завершения всех процессов протекающих в компьютере с последующим отключением системы. По окончании данного процесса целесообразно создать резервные копии всех данных содержащихся на диске.
При любом предложенном виде анализа необходимо определить криптографический хеш-код, который может понадобиться для доказательства целостности данных и отсутствия в процессе проведения экспертных действий следов модификации на носителе информации.
Криптографический хеш-код (MD5, SHA-1 или SHA-256) [11] представляет собой очень большое число, вычисляемое по математической формуле для набора входных данных. Изменение хотя бы одного бита во входных данных приводит к заметному изменению выходного числа. Для процедур хеширования разработаны специальные алгоритмы, при которых получение одинакового результата для двух разных входящих данных крайне маловероятно. Неизменность хеш-кода свидетельствует о том, что информация не подверглась модификации.
На этапе поиска следов совершения противоправного деяния осуществляется поиск, необходимый для подтверждения или опровержения выдвинутых на первоначальном этапе гипотез о происшедшем неправомерном доступе. В случае известности типа которого круг поиска сужается и начинается со стандартных мест.
Процесс поиска заключается, в первую очередь, в определении общих характеристик искомого объекта. На основании данных характеристик происходит выделение предмета и объекта поиска. Второй этап должен заключаться в поиске непосредственно в выделенном наборе данных, что позволяет сузить круг и сократить время поиска.
По мере проведения анализа требуется найти подтверждение или опровержение выдвинутых гипотез по обнаруженным следам совершения противоправного деяния. При проведении данного процесса эксперту для проведения объективного анализа следует искать не только следы подтверждающие выдвинутую гипотезу, но и опровергающие ее.
Для выполнения подобных задач существует множество программ, используемых при проведении анализа цифровых систем, функции которых, в основном, сосредоточены в фазах сохранения и поиска следов. При этом компьютеры могут функционировать под управлением различных операционных систем. Существует множество видов программного обеспечения, используемого при анализе неправомерных действий в сфере информационных технологий. Например, в бесплатно распространяемом пакете TSK (The Sleuth Kit), содержатся следующие комплексы программам:
1. EnCase (Guidance Software), Forensic Toolkit (Access Data), ProDiscover (Technology Pathways) предназначенные для работы на платформе Windows.
2. SMART (ASR Data) предназначенная для работы на платформе Linux.
3. The Sleuth Kit/Autopsy предназначенная для работы на платформе UNIX.
Практика расследования неправомерного доступа в сфере компьютерной информации показывает, что большинство следов находятся в файловой системе. В этом случае к стандартной методике поиска следует отнести поиск ключевой комбинации в названии файла или поиск по шаблонам. Часто необходимо осуществлять поиск определенного слова в содержании файла или по его временным параметрам (время последнего обращения или записи), если анализ проводится по «горячим следам».
В некоторых случаях поиск можно осуществлять простым сравнением хеш-кодов содержимого файлов. Как правило они вычисляются по алгоритмам MD5 или SHA и сравниваются с базой данных хеш-кодов для поиска заведомо хороших или заведомо вредоносных файлов. Для этих целей может использоваться National Software Reference Library [12].
Другой метод поиска основан на сигнатурах, присутствующих в содержимом файлов по которым часто удается найти все файлы заданного типа, даже если они были переименованы.
В случаях, когда требуется анализ сетевого трафика, возможен поиск всех пакетов, отправленных с некоторого исходного адреса, или всех пакетов, адресованных конкретному порту. Кроме того, при необходимости, можно найти все пакеты с заданными ключевыми словами.
При выполнении фазы реконструкции событий на основе найденных следов производится реконструкция событий происходивших в системе. Для осуществления данной задачи эксперт должен на достаточно высоком уровне работать с операционной системой и приложениями, установленные на данном компьютере, чтобы провести правильную реконструкцию происходивших событий.
На основании предложенного порядка проведения анализа места совершения противоправного деяния в сфере информационных технологий следует привести некоторые общие рекомендации.
В первую очередь целесообразно осуществить сохранение исследуемой системы. Эксперт должен исключить любую вероятность модификации или уничтожения данных, которые могут послужить следами, то есть изолировать среду анализа от анализируемых данных и внешнего мира. Необходимость выполнения подобных действий объясняется тем, что неизвестно назначение и скрытые задачи исследуемых файлов. Порядок выполнения данной рекомендации зависит от метода проведения анализа. Предлагается различать, как указывалось ранее, два типа «мертвый анализ» и «живой анализ».
При использовании метода «мертвого анализа» необходимо:
1. Провести копирование важных данных на аналогичный носитель и поместить оригинальный носитель исследуемой информации в надежное место. Исследование копии необходимо для исключения возможности модификации или удаления данных на протяжении всего процесса анализа и наличия сохраненных данных в случае модификации их копии программами с заранее заготовленными сценариями.
2. В процессе проведения исследования необходимо произвести вычисление хеш-кодов при помощи алгоритмов MD5 и SHA для данных, необходимых для проведения анализа.
При использовании метода «живого анализа» необходимо:
1. Воспользоваться устройствами блокирования записи во время любых действий, в особенности способных привести к изменениям данных во время анализа.
2. Свести к минимуму количество файлов, создаваемых в период проведения анализа способствующих стиранию следов на свободном пространстве диска. По оценкам специалистов из "хвостовых" кластеров через сутки можно извлечь до 85%, а через десять суток – до 25 – 40% исходной информации.
3. Проявлять осторожность при открытии файлов, так как данное событие может в свою очередь привести к модификации или удалению необходимых следов. Анализируемый файл может произвести запуск удаления данных, форматирования диска или осуществить попытку связаться с удаленной системой, а HTML-файл – инициировать свой заготовленный сценарий или запустить его с удаленного сервера.
Проведенное исследование позволяет сделать вывод о том, что проведение «живого анализа» является «рискованным предприятием».
Эксперту необходимо проверять анализируемые данные по независимым источникам, что снижает риск использования при проведении анализа модифицированных данных.
Кроме того, документирование всех действий, совершаемых во время проведения анализа позволяет избежать повтора проводимого исследования и производить учет полученных результатов.
По окончании краткого рассмотрения фаз анализа места совершения противоправного деяния в сфере информационных технологий целесообразно приступить к рассмотрению способов и методике проведения анализа.
Современные базы данных имеют многоуровневую архитектуру, при этом обладая необходимой гибкостью и масштабируемостью для эффективного хранения и обработки информации циркулирующей в персональных компьютерах и информационно-телекоммуникационных сетях [9]. Воспользуемся аналогичной структурой для определения типов анализа, которая должна включать в себя две независимые области. Первая основывается на устройствах хранения информации, а вторая – на устройствах обмена данными.
Иерархия последовательности анализа производится на основании архитектуры цифровых данных. После проведения анализа физических носителей информации необходимо переходить к анализу томов и файловой системы с последующим выходом на прикладной уровень (ОС) (Рис.1). в рамках данной статьи не рассматривается обращение к таким видам анализа, как анализ файлов подкачки, баз данных, анализ ячеек памяти, сетевой анализ.
Анализ физических носителей информации относится к исследованию низкоуровневых данных и требует наличия надежного метода чтения физических носителей (жесткие диски, карты памяти и т.д.). Это объясняется тем, что при необходимости долгосрочного хранения информации она организуется в виде томов, где под томами понимается совокупность ячеек доступных для обращения и записи со стороны приложений. Несколько мелких томов объединяются в более крупные, которые в свою очередь объединяются в разделы. Примером данной категории могут служить таблицы разделов Apple и массивы RAID. Анализ на уровне томов позволяет точно определить местонахождение файловой системы, данных и место хранения скрытой информации.
Рис 1. Иерархия последовательности анализа на основании архитектуры цифровых данных.
Самым распространенным содержимым томов являются файлы и файловые системы, созданные различными программами прикладного программного обеспечения, кроме того, они могут содержать базы данных или использоваться как временное пространство подкачки.
Файловые системы являются набором структур данных, которые позволяют приложениям производить различные действия с файлами. Анализ подобных систем необходим для поиска файлов, их восстановления в случае удаления и в первую очередь должен быть направлен на поиск скрытой информации.
Для определения содержания файла необходимо перейти на прикладной уровень, который определяет структуру файла в зависимости от создавшего его приложения или операционной системы. Например, реестр Windows не отличается от обычной HTML-страницы и в тоже время они оба являются файлом, но они имеют разную структуру и для анализа должен использоваться разный инструментарий.
Анализ прикладного уровня играет важную роль, так как основываясь на анализе конфигурации файлов можно определить программы выполнявшиеся в системе и выявить скрытое содержание графических файлов, которое может создаваться при помощи специальных программ.
Можно сделать вывод о том, что поток байтов, полученный в результате анализа жесткого диска, в последующем анализируется на уровне томов, а дальнейший анализ происходит на уровне файловой системы и прикладном уровне. При этом необходимо учитывать, что данные об имени файла и его местоположении (адресе) обязательны. Если они не верны или отсутствуют, то, в этом случае, прочитать содержимое файла не представится возможным или будет получено ошибочное содержание. Кроме того, такой показатель как время последнего обращения к файлу может быть изменено умышленно или по неосторожности и опираться на подобные данные не следует.
ЗАКЛЮЧЕНИЕ.
На современном этапе развития общества и научно-технической революции сохраняется устойчивая тенденция к нарушению безопасности информации на всех стадиях ее обработки, хранения и передачи. Причины постоянного совершенствования процедур этого процесса кроются в высокой латентности несанкционированного доступа к информации в информационных сетях. В сложившейся ситуации просматривается глобальная тенденция по совершенствованию средств обнаружения, противодействия и предотвращения попыток несанкционированного доступа в информационных сетях любого уровня. «Данный процесс достаточно динамичен, так как постоянное совершенствование процедур влечет за собой адекватное совершенствование и повышение надежности средств и методов обнаружения атак, аналитической обработке сообщения о подобных воздействиях» [5].
Подобные тенденции требуют не только совершенствования средств обеспечения защиты информации и определения места совершения противоправного деяния в сфере информационных технологий, но и проведения эффективного анализа уже совершенных деяний. Он заключается в определении закономерностей проявления механизма неправомерного доступа, собирания, исследования, оценки и использования следов, а также совершенствовании средств, приемов, методов анализа и предотвращения в последующем подобных противоправных деяний.
Список использованных источников:
[1.] Федеральный закон от 27 июля 2006 г. N 149-ФЗ
"Об информации, информационных технологиях и о защите информации"
[2.] Доктрина информационной безопасности Российской Федерации
от 9 сентября 2000 г. № Пр-1895
[3.] Уголовный кодекс Российской Федерации. Принят Государственной Думой РФ 24 мая 1996г. Одобрен Советом Федерации 5 июня 1996г. (с последующими изменениями и дополнениями) — М.: ТК Велби, 2005. – с.139, с.192.
[4.] Криминалистическая характеристика преступлений М.: «Щит-М» - 1998, стр. 554 -555.
[5.] Методы и системы обнаружения атак в компьютерных сетях/ Мишин Д.С., Еременко А.В. // «Вестник информационных и компьютерных технологий» № 10. – 2006. – С. 35 – 41.
[6.] Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., "ИНФРА-М", 1997 г.
[7.] Шурухнов Н.Г. Криминалистика: Учебник – М.: Изд-во Эксмо, 2005. – с.5, с.718.
[8.] Carrier, Brian and Eugene H. Spafford. «Getting Physical with the Digital Investigation Process». International Journal of Digital Evidence, Fall 2003. http://www.ijde.org.
[9.] Carrier, Brian. «Defining Digital Forensic Examination and Analysis Tools Using Abstraction Layers». International Journal of Digital Evidence, Winter 2003a. http://www.ijde.org.
[10.] Carrier, Brian. «Open Source Digital Forensic Tools: The Legal Argument». Fall 2003b/ http://www.digital-evidence.org.
[11.] Scheier, Bruse. Applied Cryptography. 2nd ed. New York: Wiley Publishing, 1995.
[12.] WSPL – http://www.nsrl.nist.gov
Приложение № 3.
ТИПОВОЙ ПРИМЕР ОТВЕТА НА ПРАКТИЧЕСКОЕ ЗАДАНИЕ.
ВОПРОС 3.
На основании Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16 июля 2010 г. N 482 подготавливается уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Руководителю Управления Федеральной
службы по надзору в сфере связи,
информационных технологий
и массовых коммуникаций по
___________________________________
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных
____________________________________________________________________
(полное (сокращенное) наименование, фамилия, имя, отчество)
____________________________________________________________________
(адрес местонахождения, почтовый адрес оператора)
руководствуясь:
____________________________________________________________________
(правовое основание обработки персональных данных)
с целью:_____________________________________________________________
(цель обработки персональных данных)
осуществляет обработку:_______________________________________________
(категории персональных данных)
принадлежащих:______________________________________________________
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
____________________________________________________________________
(перечень действий с персональными данными, общее описание используемых
____________________________________________________________________
оператором способов обработки персональных данных, описание мер,
____________________________________________________________________
которые оператор обязуется осуществлять при обработке персональных
данных, по обеспечению безопасности персональных данных
при их обработке)
Дата начала обработки персональных данных: __________________________
Срок или условие прекращения обработки персональных данных:
____________________________________________________________________
_______________ ______________________________
(должность) (подпись) расшифровка подписи
"__" __________ 20__ г.