|
Занятия
Найти компьютер, на котором можно тренироваться, легко, однако компьютер для качественного занятия нужно готовить специально. Как нам кажется, подобные курсы должны проводиться именно профессионалами в области безопасности и на специализированном оборудовании.
Guidance обучает работе с EnCase, примерно, 3500 человек в год. Почти 60% из них работают в правительственных органах, а остальные - в корпорациях. Все учителя работали или работают в органах правопорядка.
В Guidance каждый обучаемый получает в своё распоряжение полностью настроенный компьютер с устройством FastBloc, которое позволяет подключать все приводы, не открывая машину. Каждому человеку предоставляется два ЖК-экрана, один из которых является основным, а второй - экраном инструктора.
Программы и "железо"
Каков должен быть набор инструментов компьютерного эксперта? Колберт показал нам некоторые полезные аксессуары. Цифровая камера необходима для съёмки внутри и снаружи компьютера, а также окружения. Фотографии разъёмов сзади компьютера доказывают, что у пользователя была возможность выйти в сеть или вывести документ на печать. В наборе также присутствуют различные отвёртки и кабели. Для вскрытия ноутбуков и компьютеров Apple часто требуются весьма замысловатые инструменты.
Нам показали устройство FastBloc, позволяющее безопасно перенести всё содержимое жёсткого диска на компьютер эксперта. Передача осуществляется побитово. Кроме того, FastBloc предотвращает любые операции записи на жёсткий диск, обманывая операционную систему, которая считает записи успешными. Колберт объяснил, что необходимо блокировать запись в 400-1000 файлов при загрузке Windows.
Эксперт попросту подключает жёсткий диск к устройству FastBloc, которое, в свою очередь, подсоединяется к ПК через USB или FireWire. Таким образом, FastBloc очень удобно использовать в паре с ноутбуком. Современные портативные машины обладают мощным процессором и ёмким жёстким диском, поэтому они с лёгкостью заменят громоздких собратьев.
После того, как данные будут перенесены на ПК, за дело берётся программа. Guidance продаёт две версии программы EnCase: корпоративную (Enterprise edition) и экспертную (Forensic edition). Последняя является отдельной версией, которая подойдёт большинству экспертов. Она позволяет исследовать один компьютер в один момент времени. Корпоративная версия делает то же самое, однако умеет работать по сети. Поэтому эксперт может исследовать компьютер в реальном времени по корпоративной сети или даже по Интернету.
Что может программа?
С возможностями EnCase нас познакомил Майк Фоулер (Mike Fowler), директор учебного отдела Guidance Software. Мы были и поражены, и, в то же время, немного испуганы. Начнём с форматов файлов, которые понимает программа. Хотя EnCase работает под Windows, она способна распознавать десятки форматов файлов. EnCase с лёгкостью справляется с файлами Macintosh, Linux, Unix и Palm. Задача экспертизы теперь намного облегчается, поскольку необходимость в использовании ПК с Linux или Mac отпадает. Весь анализ данных можно произвести из-под Windows.
EnCase создаёт файл, в котором дублируется вся информация с исходного носителя. Этот файл можно легко передавать другим экспертам. А оригинал, обычно жёсткий диск, можно хранить в безопасном сейфе.
Программа может работать практически с любыми видами носителей. Скажем, с флэш-карт для цифровых камер можно восстановить фотографии. Фоулер отформатировал перед нашими глазами USB-брелок, а затем восстановил с него всю информацию.
Письма можно восстанавливать из Outlook Express и Outlook PST. Пароли PST EnCase с лёгкостью обходит. Удалённые письма программа тоже восстанавливает.
Полная поддержка Unicode позволяет работать с различными языками, такими как кириллица, китайский, арабский и т.д. - как в теле письма, так и в заголовке. Очень часто злоумышленники используют в именах файлах иностранные буквы. Конечно, EnCase не выполнит автоматический перевод документа, однако символы отобразит.
EnCase поддерживает наборы хэш с кодировкой MD5. Алгоритм хэшировния просматривает файл и создаёт 128-битную контрольную сумму. Шансы на то, что два различных файла будут иметь одинаковую контрольную сумму, крайне малы, так что её можно считать, как, своего рода, цифровую подпись файла. Зачем это нужно? Хэширование MD5 позволяет сравнивать у двух файлов только контрольную сумму, а не весь их объём. Представьте себе фильмы по 4 Гбайт. Из известных файлов можно создать библиотеку цифровых подписей - скажем, из файлов, использующихся в корпорации. Если хэш не совпадает, значит, в файле что-то было изменено.
Зачем использовать коммерческую программу компьютерной экспертизы?
Конечно, существуют инструменты с открытым исходным кодом, которые позволяют осуществить компьютерную экспертизу. Два наиболее известных CD - это Knoppix-STD и Penguin Sleuth Kit. Почему же эксперт будет использовать EnCase, которая стоит несколько тысяч долларов, вместо свободно распространяемого ПО? Дело в том, что в случаях использования EnCase "на кону" часто стоят миллионы или даже миллиарды долларов. Юристы обычно требуют, чтобы для компьютерной экспертизы использовалось стандартное программное обеспечение независимого разработчика, которое выполняет все три фазы: поиск улик, анализ и отчёт.
Компаниям, пытающимся максимально экономить средства, покупка EnCase может показаться излишней тратой. Однако подобное решение будет правильным, если вы учтёте, что цельный инструмент с графическим интерфейсом позволяет сэкономить время эксперта. Суды и следователи перегружены делами, и правильный инструмент в правильных руках позволяет сделать немало.
Есть ли способ обойти программу?
Существуют ли у злоумышленников меры, позволяющие обойти программу компьютерной экспертизы? Если не считать физического уничтожения всех жёстких дисков, CD и дискет, то мер очень немного. Обратите внимание, что мы имеем в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костёр может быть недостаточно. Во многих случаях придётся превратить носитель в пепел.
Иногда злоумышленники пытаются затруднить экспертизу, меняя расширения файлов. Текстовые документы Word имеют расширение .DOC, и у преступника может возникнуть желание изменить его на что-то иное. Мы увидели, как программа EnCase с лёгкостью обнаруживает документы по их признакам. Так что переименование .JPG в .ABC не поможет - EnCase обнаружит этот файл.
Затрудняет ли шифрование компьютерную экспертизу? Всё зависит от алгоритма шифрования файлов. Система Windows EFS (Encrypted File System) с лёгкостью обходится EnCase. Скрытие информации внутри картинок или музыки также можно обнаружить по известным наборам хэша MD5.
Существует программное обеспечение, которое позволяет полностью удалить файлы с жёсткого диска. Помогает ли оно против EnCase? В будущей статье мы попытаемся дать ответ на этот вопрос. Достаточно забавно, но подобное стирание файлов, наоборот, привлечёт внимание эксперта. Чем больше злоумышленник будет скрывать свои данные, тем проще их будет обнаружить эксперту.
Заключение
Мы все слышали рассказы о том, как данные можно восстановить из стёртых файлов, однако личный опыт всегда лучше. Наша экскурсия по офису и учебным классам Guidance показала, насколько легко с помощью правильного программного обеспечения достать всю информацию из компьютера.
Сегодня злоумышленники всё чаще используют компьютеры, поэтому в руках у экспертов должны быть современные и мощные средства, чтобы противостоять преступникам. EnCase, на наш взгляд, является великолепным инструментом для проведения компьютерной экспертизы. Поскольку теперь мы получили возможность попробовать полную версию EnCase Forensic Edition, вы можете ожидать в ближайшем будущем подробный обзор.