УДК 004

Обоснование состава типового чемоданчика для проведения расследований киберпреступлений

Татарчук Михаил Дмитриевич – студент Национального исследовательского университета «Московский институт электронной техники».

Аннотация: В данной статье рассматривается дисциплина цифровая форензика. Статья посвящена общим вопросам, решаемых в рамках дисциплины. В конце статьи дан базовый набор инструментария по форензике, по которому впоследствии предполагается разработка курса лабораторных работ.

Ключевые слова: анализ, цифровая криминалистика, цифровой артефакт, информационная безопасность, расследование.

Цифровая криминалистика (форензика) – это прикладная наука о расследовании преступлений, связанных с компьютерной информации, о процессе идентификации, сохранении, анализе и представлении цифровых доказательств юридически приемлемым образом. Цифровая криминалистика является подразделом криминалистики. Цифровая криминалистика включает в себя сохранение, получение, документирование, анализ и интерпретацию доказательств, полученных с различных типов носителей. Он не ограничивается только ноутбуками, настольными компьютерами, планшетами и мобильными устройствами, но также распространяется на данные, которые передаются по общедоступным или частным сетям. Цифровое доказательство – это информация, которая хранится или передается в цифровом формате и может иметь значение для расследования.

Предметами [1, с. 13] цифровой криминалистики являются:

  1. криминальная практика – способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;
  2. оперативная, следственная, а также судебная практика по компьютерным преступлениям;
  3. методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;
  4. достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.

Основное применение цифровой криминалистики – анализ и расследование событий, включающих цифровую информацию как объект атаки, цифровое устройство как инструмент совершения преступления, а также сбор, хранение и защиту любых цифровых доказательств. Результаты экспертизы используются для подтверждения или опровержения доказательств в суде.

Сферы применения цифровой криминалистики:

  • Реагирование на инциденты (incident response) и threat hunting – если в организации случается инцидент или событие информационной безопасности или есть предположение, что инцидент мог случиться (к примеру, утечка конфиденциальной информации);
  • Использование документов и медиа (DOMEX) – к примеру, в интернете появляется видеоролик, на котором зафиксирован факт правонарушения, в таком случае специалисты в области цифровой криминалистки могут найти в метаданных видеофайла полезную для расследования правонарушения информацию (кем был создан ролик, где и т.д.);
  • В военных действиях - при принятии решений о действиях войск;
  • Аудит информационной безопасности – чтобы показать соответствие установленным

стандартам, установить, выполняет ли компания все требования регуляторов;

  • При расследовании правоохранительных органов – расследование необязательно может

быть связано с событием или инцидентом информационной безопасности, однако правонарушение может содержать в себе цифровое устройство;

  • При проведении внутренних расследований в организации - неподобающее поведение,

злоупотребление ресурсами организации, кража и т.д.;

  • При проверке регуляторами – элементы цифровой криминалистики используются регуляторами при проведении аудита, проверок и т.д.

В зависимости от носителей информации, изучаемой информации или артефактов цифровая криминалистика подразделяется на различные подобласти:

  1. Компьютерная криминалистика – поиск доказательств во взломанных компьютерных системах;
  2. Сетевая криминалистика – мониторинг и анализ траффика компьютерной сети, расследования в области сетевого стека;
  3. Криминалистическая экспертиза мобильных устройств –поиск, извлечение, восстановление, фиксация цифровых доказательств или данных с мобильного устройства [2, с. 206];
  4. Криминалистический анализ данных – исследование структурированных данных с целью

обнаружения финансовых преступлений;

  1. Криминалистическая экспертиза цифровых изображений - изучение и проверка

подлинности и содержания изображения;

  1. Криминалистическая экспертиза интернета вещей - выявление и извлечение цифровых доказательств с устройств, принадлежащих к области интернета вещей;
  2. Аппаратная криминалистическая экспертиза - экспертиза аппаратного обеспечения и технических устройств.

Цифровые доказательства постепенно используются в судебных разбирательствах и подлежат тщательной проверке судами. Это возлагает обременительное бремя на практикующих специалистов в области цифровой криминалистики, которые должны попытаться представить надежные доказательства и тщательный анализ своих выводов, что также может быть полезно для создания и проверки прецедентов для будущих судебных решений. Резкий рост количества настольных компьютеров и распространение киберпреступлений, использующих сетевые системы, привели к необходимости более эффективного управления информационной безопасностью. Это также требует от следователей попытаться привлечь к ответственности нарушителей. Количество атак на вычислительные устройства и сетевые серверы растет, и Интернет стал средством, используемым для атак и компрометации широкого круга жертв, часто находящихся в другой стране. Однако компьютеры и сети богаты информацией, имеющей доказательную ценность, которая может помочь следователям в реконструкции правонарушений.

Цифровая криминалистика возникла в ответ на эскалацию преступлений, совершенных с использованием компьютерных систем либо в качестве объекта преступления, либо в качестве инструмента, используемого для совершения преступления, либо в качестве хранилища улик, связанных с преступлением. В качестве важных функций были быстро определены требования по расследованию и изучению цифровых доказательств при одновременном обеспечении неизменности целостности оригинальных доказательств.

Процесс цифровой криминалистики можно разделить на две фазы:

  1. Доследственная;
  2. Следственная.

Дослественная фаза включает в себя:

  1. Планирование, в ходе которого рассчитывается бюджет на определенный период, решаются организационные вопросы;
  2. Проектирование и создание лабораторной, в которой будут проводится расследования – разные лабораторные могут включать в себя разные инструменты, необходимые в работе, в зависимости от конкретных решаемых задач. Однако можно выделить типовой набор инструментов, без которых не может обойтись ни одна криминалистическая команда:
  3. Инструментарий для сохранения образа диска, раздела или сектора;
  4. Инструментарий для сбора данных с жестких дисков и анализа файлов;
  5. Инструментарий для восстановления удаленных, поврежденный или спрятанных данных;
  6. Инструментарий для анализа сетевого стека и браузеров.
  7. Уничтожение данных, использованных в предыдущих делах и ненужных для дальнейшей работы;
  8. Планирование хранилищ улик – как будет обеспечиваться безопасность улик, какой объем хранилища и т.д.;
  9. Получение необходимых сертификатов – не только для сотрудников организации, сертификаты могут понадобиться и конкретным лабораторным, так как лабораторные должны соответствовать определенным критериям, чтобы расследовать различные виды преступлений.

Следственная фаза:

  1. Сначала необходимо получить согласие или ордер в зависимости от характера дела для проведения расследования;
  2. Начальные работы (first response) – первым делом нужно отцепить место преступления, то есть в случае цифровой криминалистики нужно сделать все возможное, чтобы не уничтожить или изменить возможные артефакты и улики, то есть сохранить цифровую и физическую целостность потенциальных доказательств;
  3. Документирование и фотографирование места преступления – что в дальнейшем используется при расследовании и дачи показаний;
  4. Сбор доказательств - извлечение ценной информации, хранящейся в электронном виде, из цифровых активов;
  5. Анализ доказательств – выстраивание зависимостей, реконструирование цепочек событий (пример – kill chain), идентификация правонарушителей и т.д.;
  6. Последний этап - составление отчетов, протоколов, передача всей необходимой информации уполномоченным лицам, дача показаний в суде.

Сохранение доказательств имеет первостепенное значение. Важно правильно использовать коммерческие инструменты и инструменты с открытым исходным кодом; однако для криминалистически обоснованных результатов иногда лучше использовать более одного инструмента для выполнения одной и той же функции.

Национальный институт стандартов и технологий (NIST) разработал программу тестирования компьютерных криминалистических инструментов (CFTT), которая тестирует цифровые криминалистические инструменты и делает все результаты доступными для общественности. Несколько инструментов выбираются на основе их конкретных возможностей и распределяются по категориям тестирования, таким как создание образов дисков и восстановление файлов. Каждая категория имеет формальный план тестирования и стратегию тестирования, а также отчет о проверке, также доступный для общественности.

Артефакт – это сущность, которая может содержать какую-то информацию, то есть цифровой след, о том, что происходило. Они могут содержать различную информацию: запуск каких-то процессов, утилит, данные о создании файлов или сетевых подключений и т.д. Артефакты могут быть либо с файловой системы, либо из памяти. Они могут быть представлены как в бинарном виде, так и в текстовом. Обычно в случае бинарных артефактов для анализа необходим парсинг. Источниками артефактов могут быть: эндпоинты (обычно служебная информация, которую использует система для автоматизации своей работы или логи с хоста), артефакты из сети (вэб-траффик, сетевые логи), облака (заключают в себе и сетевые артефакты и артефакты с эндпоинтов, а также добавленные логи с гипервизора).

При расследовании инцидентов ключевыми артефактами являются execution-артефакты – это артефакты, содержащие информацию о запуске утилит, когда запущена, какие файлы затрагивала и т.д. Пример – amcachr, userassist из windows. Очень полезная категория артефактов – артефакты с файловой системы: например, mft, которая содержит информацию, когда файл создавался, модифицировался, когда был последний доступ к файлу и т.д. Также очень полезными артефактами в контексте расследования являются сетевые подключения, к примеру история браузера, которая содержит конкретные ссылки, по которым заходил пользователь.

Существует два подхода сбора артефактов:

  1. Классическая форензика – когда собираются образы дисков, дампы памяти и др. В таком случае время анализа занимает несколько дней, так как много чего нужно исследовать. Аналитику нужно исследовать все, что связано с инцидентом и описать анализ в отчете как можно более подробно.
  2. SOC-форензика – быстрый сбор артефактов, когда быстро нужно понять, что происходило. Собирается только то, что нужно, либо основной набор, если неизвестно, что нужно конкретно. Производится анализ, который занимает от получаса до нескольких часов с одного хоста. В результате получается заполненный тикет инцидента.

Для сбора и обработки артефактов сегодня активно используется процесс автоматизации. Главным врагом специалиста по форензике является время, так как пока вся информация анализируется, атакующий может сильно продвинутся в инфраструктуре или зашифровать структуру заказчика, и последующий анализ артефактов уже не поможет остановить атаку или расследовать инцидент. Соответственно нужна помощь аналитику, чтобы быстрее обрабатывать информацию. Также на практике вообще может понадобиться анализ информации с десятков тысяч хостов, следовательно, ручной подход к анализу вообще не применим, поэтому необходимо автоматизировать данный процесс. Автоматизация может позволить подсветить скомпрометированные хосты для последующего анализа.

Пайплайн обработки выглядит следующим образом: на входе есть артефакты, которые могут быть представлены в различных форматах. Необходимо их извлечь, обработать и загрузить в SIEM-систему или в отдельное хранилище, где эти артефакты могли бы храниться, в том числе в сыром виде, чтобы при необходимости аналитик смог к ним обратиться. Этот процесс похож на ETL (extract, transform, load).

ETL – это универсальный процесс, используемый для обработки больших данных, который состоит из шагов извлечения данных из некого хранилища, преобразовании, валидации, фильтрации данных, в которых применятся некая бизнес-логика, и загрузки всей необходимой информации во внешнее хранилище. В таком случае в дальнейшем собранные данные будут пригодны для обработки и анализа в различных внешних системах.

Согласно исследованию Positive Technologies, в 2022 году общее количество инцидентов увеличилось на целый 21% по сравнению с 2021 годом. Эксперты Positive Technologies ожидают дальнейшего роста атак на государственные структуры в 2023 году. 2022 год отметился ростом количества случаев компрометации данных российских компаний, и в наступившем 2023-м, по мнению аналитиков «Лаборатории Касперского», ситуация будет только ухудшаться. C начала 2023 года Роскомнадзор уже зафиксировал 27 утечек, которые привели к публикации в сети порядка 165 млн записей о гражданах РФ. В Российской Федерации наблюдается нехватка специалистов в области информационной безопасности, и цифровых криминалистов, в частности, а преподавание отдельного курса по дисциплине в вузах страны – еще не повсеместная практика. В связи с чем можно сделать вывод о необходимости внедрения отдельного курса по дисциплине цифровая криминалистика в учебный процесс.

Есть много должностей, связанных с кибер-криминалистической работой, в том числе:

  • Следователь по преступлениям в области информационной безопасности. Следователь по преступлениям в области информационной безопасности часто работает с юристами и правоохранительными органами, чтобы найти доказательства, которые могли остаться на компьютерах, телефонах или других устройствах в рамках уголовного расследования.
  • Инженер компьютерной криминалистики. Инженер-криминалист сосредотачивается на оценке программного обеспечения и архитектуры, чтобы помочь узнать, что произошло в результате взлома или компьютерной атаки.
  • Специалист по компьютерной криминалистике. Специалист по компьютерной криминалистике – это должность начального уровня в этой области, специализирующаяся на сканировании и исследовании нарушений.
  • Аналитик компьютерной криминалистики. Аналитик компьютерной криминалистики сосредотачивается на анализе данных и информации в компьютерных системах, чтобы помочь предоставить доказательства в киберпреступлении или расследовать утечку данных.
  • Компьютерный судебный следователь или эксперт. Исследователь или эксперт по компьютерной криминалистике похож на судебного аналитика – он отвечает за глубокий анализ программного обеспечения, чтобы узнать о цифровом взломе или атаки, а также помочь восстановить данные.
  • Специалист по технической криминалистике. Специалисты по технической криминалистике отвечают за более детальную техническую работу криминалистических систем. Они могут отвечать за восстановление данных, регистрацию информации о взломе или атаке, или извлечение определенных данных в качестве доказательства для правоохранительных органов.

Выше был выделен набор инструментов, без которых невозможно представить стандартную лабораторную для проведения цифрового расследования. На основе проведенного анализа для разрабатываемого курса сформирован типовой чемоданчик цифрового криминалиста, в него входит базовый набор инструментария, который использует в своей работе специалист по форензике:

  1. FTK Imager - утилита для просмотра и клонирования носителей данных в среде Windows;
  2. DumpIt - утилита для создания дампа оперативной памяти;
  3. Memoryze - утилита для анализа образов оперативной памяти;
  4. HashCalc – утилита, используемая для анализа хэшей;
  5. ProDiscover – программа для поиска улик;
  6. Recuva – программа для восстановления потерянных (в результате программного сбоя или удаления) данных;
  7. Hindsight - программа для анализа истории Chrome.

 В дальнейшем планируется создание по каждой из вышеперечисленных программ отдельных лабораторных работ, в процессе выполнения, которых у студентов будет возможность получить первое представление о цифровой криминалистике.

Список литературы

  1. Н. Н. Федотов: Форензика – компьютерная криминалистика – М.: Юридический мир, 2007. – 432 с.
  2. Голик К. Н. Криминалистическое исследование мобильных устройств // Современная юриспруденция: актуальные вопросы, достижения и инновации. Пенза. – 2019. – 206–208 с.

Интересная статья? Поделись ей с другими: