Искусство форензики

Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

«Форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств.

Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы.

Перед экспертами-криминалистами в таком случае ставятся следующие задачи:

  • понять, как была реализована атака;
  • построить сценарий взлома;
  • восстановить хронологию (таймлайн) атаки;
  • собрать артефакты (оставшиеся после атаки следы);
  • предложить превентивные защитные меры, чтобы такого впредь не повторилось.

Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента информационной безопасности. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.

Специалисты в forensic изучают финансовые документы, проводят анализ больших массивов данных, проверки контрагентов и Due diligence, получение «интервью» у сотрудников и менеджмента компании. Этим занимаются бухгалтеры и аудиторы, юристы, аналитики и специалисты по Big Data и IT.

Форензика более знакома российским юристам, работавшим с уголовным правом. Все-таки изначально она была именно про расследование «хакерских» преступлений.

Форензика решает следующие задачи:

1. разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;

2. создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;

3. установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.

Методы и техники компьютерной криминалистики

Как и в случае с анализом вредоносных программ, есть два основных подхода к экспертизе взломанной машины:

Статический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.

Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий.

И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы операционной системы до и после инцидента.

Площадки для тренировки

1. Memory samples — набор дампов памяти от Windows до Linux с зашитыми в них артефактами.

2. Wireshark Sample Captures — репозиторий дампов сетевого трафика.

3. Computer Forensic Reference Data Sets (CFReDS) — репозиторий образов для тренировки навыков криминалистической экспертизы.

4. Digital Corpora — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков.

5. BlackLight — коммерческий набор инструментов и демопак для тестирования навыков.

 
Поделиться в facebook
Facebook
Поделиться в twitter
Twitter
Поделиться в vk
VK
Поделиться в google
Google+
Поделиться в email
Email

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Группа в VK

Помощь проекту

Обнаружили опечатку?

Сообщите нам об этом, выделите текст с ошибкой и нажмите Ctrl+Enter, будем очень признательны!

Свежие статьи

Похожие статьи

Утилита IPTABLES

Утилита IPTABLES

IPTABLES – утилита межсетевого экрана, предназначенная для операционных систем Linux. Iptables основана на правилах, которые контролируют входящие и исходящие пакеты, а также использует цепочки правил

 
Установка системы мониторинга Zabbix

Установка системы мониторинга Zabbix

Zabbix — это универсальный инструмент мониторинга, способный отслеживать динамику работы серверов и сетевого оборудования, быстро реагировать на внештатные ситуации и предупреждать возможные проблемы с нагрузкой.

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: