Введение
При словах “судебная экспертиза” представляешь себе детективов, анализирующих капли крови, отпечатки пальцев или следы ботинок. Все эти улики позволяют найти подозреваемых. Но знаете ли вы, что в компьютере тоже можно обнаружить массу улик? По мере того, как преступный мир начинает всё больше использовать компьютеры, специалистам требуются всё более изощрённые инструменты, чтобы поймать злоумышленников.
Что же такое компьютерная экспертиза? Чего нам следует опасаться? Как получить улики из компьютера? Программисты Guidance Software, создатели известного программного обеспечения по компьютерной экспертизе EnCase, помогли ответить на все эти вопросы.
Что такое компьютерная экспертиза?
Компьютерная экспертиза обнаруживает все улики, хранящиеся на компьютере. Под ними обычно подразумевают данные на жёстком диске, но сюда также входит содержимое USB-брелоков, дискет и CD/DVD. Многие люди даже и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы. Вооружившись правильными инструментами и знаниями, эксперты могут отследить преступника.
Самые часто встречающиеся случаи компьютерной экспертизы связаны с детской порнографией, взломом платёжных средств, кражей корпоративных данных и, конечно же, терроризмом. Вовремя обнаруженные улики могут сэкономить немало денег или даже жизней.
Во многих случаях злоумышленники полагают, что они могут полностью удалить информацию из компьютера, просто нажав клавишу “Delete”. Утилита EnCase приобрела немалую популярность среди специалистов, поскольку она очень успешно умеет восстанавливать удалённые данные.
Поиск улик
Процесс компьютерной экспертизы разбит на три фазы: поиск улик (Acquisition), анализ (Analysis) и отчёт (Reporting). Все три этапа необходимо проводить по специальной методике, иначе улики будут недостоверными.
Этап поиска улик подразумевает перенос данных с носителя (дискеты, флэш-брелока, жёсткого диска и т.д.) на компьютер эксперта. При этом необходимо гарантировать, что на оригинальный носитель запись произведена не будет. Кроме того, следует проверить корректность копирования – провести верификацию.
После того, как данные будут скопированы, эксперт должен проанализировать их для поиска нужных файлов, писем или других улик. На этом этапе программное обеспечение помогает найти удалённые письма, незашифрованные файлы и документы по ключевому слову. Учитывая огромные размеры современных жёстких дисков, для анализа данных предоставляются удобные и простые инструменты поиска.
Как только все необходимые улики будут найдены, необходимо представить отчёт. В нём просто перечисляются полученные улики и даются причины, почему они считаются важными.
Кому нужна компьютерная экспертиза?
Бизнесу
Различные законы требуют, чтобы компании позволяли осуществлять компьютерную экспертизу. Постановление Sarbanes-Oxley Act, вышедшее в 2002 году в США, стало результатом скандала вокруг Enron and Andersen Consulting. Оно обязывает корпорации обеспечить более строгий аудит, включающий компьютерную экспертизу. Нарушение этого постановления может повлечь за собой штраф до пяти миллионов долларов или до 20 лет тюрьмы.
В компаниях обычно находится множество старых компьютеров с большим количеством конфиденциальной информации. По недосмотру работники могут просто выкинуть эти компьютеры или отдать их друзьям. Подобные ситуации чреваты последствиями, поскольку с этих компьютеров можно снять важные документы. Исполнительный вице-президент Guidance Software Джон Колберт (John Colbert) считает, что нужно сохранять жёсткие диски компьютеров при их списании.
Сегодня в бизнесе всё популярнее становится аренда компьютеров. Здесь, как и при аренде автомобилей, компания платит ежемесячную ренту, а через два года отдаёт компьютер обратно. Самое плохое в этом случае то, что по соглашению нельзя оставить у себя жёсткий диск.
Правительству
С ростом угрозы глобального терроризма и ростом использования компьютеров террористами, правительственным органам нужны инструменты для быстрого проведения компьютерной экспертизы. Одной из самых больших проблем при расследовании террористической деятельности являются разные способы поддержки языков типа кириллицы или арабского. Ниже вы увидите, как EnCase справляется с иностранными языками.
Частные лица
Многие люди дарят старые компьютеры родственникам или благотворительным организациям. Даже если жёсткий диск полностью стереть, с него можно восстановить важную информацию типа финансовых отчётов, писем или документов с конфиденциальной информацией. В будущей статье мы планируем попробовать программу EnCase, чтобы получить информацию с жёсткого диска, приобретённого на аукционе eBay.
Популярность в правительственных органах и корпорациях
Судя по количеству людей, которые каждый год проходят обучение в Guidance, программа EnCase стала стандартом компьютерной экспертизы. На стенде компании можно встретить десятки эмблем различных агентств и компаний.
Guidance практически ежедневно проводит занятия для представителей правительственных органов и корпораций. Во время нашего посещения проводилось два занятия. Выше приведена фотография с одного из них.
Занятия
Найти компьютер, на котором можно тренироваться, легко, однако компьютер для качественного занятия нужно готовить специально. Как нам кажется, подобные курсы должны проводиться именно профессионалами в области безопасности и на специализированном оборудовании.
Guidance обучает работе с EnCase, примерно, 3500 человек в год. Почти 60% из них работают в правительственных органах, а остальные – в корпорациях. Все учителя работали или работают в органах правопорядка.
В Guidance каждый обучаемый получает в своё распоряжение полностью настроенный компьютер с устройством FastBloc, которое позволяет подключать все приводы, не открывая машину. Каждому человеку предоставляется два ЖК-экрана, один из которых является основным, а второй – экраном инструктора.
Программы и “железо”
Каков должен быть набор инструментов компьютерного эксперта? Колберт показал нам некоторые полезные аксессуары. Цифровая камера необходима для съёмки внутри и снаружи компьютера, а также окружения. Фотографии разъёмов сзади компьютера доказывают, что у пользователя была возможность выйти в сеть или вывести документ на печать. В наборе также присутствуют различные отвёртки и кабели. Для вскрытия ноутбуков и компьютеров Apple часто требуются весьма замысловатые инструменты.
Нам показали устройство FastBloc, позволяющее безопасно перенести всё содержимое жёсткого диска на компьютер эксперта. Передача осуществляется побитово. Кроме того, FastBloc предотвращает любые операции записи на жёсткий диск, обманывая операционную систему, которая считает записи успешными. Колберт объяснил, что необходимо блокировать запись в 400-1000 файлов при загрузке Windows.
Эксперт попросту подключает жёсткий диск к устройству FastBloc, которое, в свою очередь, подсоединяется к ПК через USB или FireWire. Таким образом, FastBloc очень удобно использовать в паре с ноутбуком. Современные портативные машины обладают мощным процессором и ёмким жёстким диском, поэтому они с лёгкостью заменят громоздких собратьев.
После того, как данные будут перенесены на ПК, за дело берётся программа. Guidance продаёт две версии программы EnCase: корпоративную (Enterprise edition) и экспертную (Forensic edition). Последняя является отдельной версией, которая подойдёт большинству экспертов. Она позволяет исследовать один компьютер в один момент времени. Корпоративная версия делает то же самое, однако умеет работать по сети. Поэтому эксперт может исследовать компьютер в реальном времени по корпоративной сети или даже по Интернету.
Что может программа?
С возможностями EnCase нас познакомил Майк Фоулер (Mike Fowler), директор учебного отдела Guidance Software. Мы были и поражены, и, в то же время, немного испуганы. Начнём с форматов файлов, которые понимает программа. Хотя EnCase работает под Windows, она способна распознавать десятки форматов файлов. EnCase с лёгкостью справляется с файлами Macintosh, Linux, Unix и Palm. Задача экспертизы теперь намного облегчается, поскольку необходимость в использовании ПК с Linux или Mac отпадает. Весь анализ данных можно произвести из-под Windows.
EnCase создаёт файл, в котором дублируется вся информация с исходного носителя. Этот файл можно легко передавать другим экспертам. А оригинал, обычно жёсткий диск, можно хранить в безопасном сейфе.
Программа может работать практически с любыми видами носителей. Скажем, с флэш-карт для цифровых камер можно восстановить фотографии. Фоулер отформатировал перед нашими глазами USB-брелок, а затем восстановил с него всю информацию.
Письма можно восстанавливать из Outlook Express и Outlook PST. Пароли PST EnCase с лёгкостью обходит. Удалённые письма программа тоже восстанавливает.
Полная поддержка Unicode позволяет работать с различными языками, такими как кириллица, китайский, арабский и т.д. – как в теле письма, так и в заголовке. Очень часто злоумышленники используют в именах файлах иностранные буквы. Конечно, EnCase не выполнит автоматический перевод документа, однако символы отобразит.
EnCase поддерживает наборы хэш с кодировкой MD5. Алгоритм хэшировния просматривает файл и создаёт 128-битную контрольную сумму. Шансы на то, что два различных файла будут иметь одинаковую контрольную сумму, крайне малы, так что её можно считать, как, своего рода, цифровую подпись файла. Зачем это нужно? Хэширование MD5 позволяет сравнивать у двух файлов только контрольную сумму, а не весь их объём. Представьте себе фильмы по 4 Гбайт. Из известных файлов можно создать библиотеку цифровых подписей – скажем, из файлов, использующихся в корпорации. Если хэш не совпадает, значит, в файле что-то было изменено.
Зачем использовать коммерческую программу компьютерной экспертизы?
Конечно, существуют инструменты с открытым исходным кодом, которые позволяют осуществить компьютерную экспертизу. Два наиболее известных CD – это Knoppix-STD и Penguin Sleuth Kit. Почему же эксперт будет использовать EnCase, которая стоит несколько тысяч долларов, вместо свободно распространяемого ПО? Дело в том, что в случаях использования EnCase “на кону” часто стоят миллионы или даже миллиарды долларов. Юристы обычно требуют, чтобы для компьютерной экспертизы использовалось стандартное программное обеспечение независимого разработчика, которое выполняет все три фазы: поиск улик, анализ и отчёт.
Компаниям, пытающимся максимально экономить средства, покупка EnCase может показаться излишней тратой. Однако подобное решение будет правильным, если вы учтёте, что цельный инструмент с графическим интерфейсом позволяет сэкономить время эксперта. Суды и следователи перегружены делами, и правильный инструмент в правильных руках позволяет сделать немало.
Есть ли способ обойти программу?
Существуют ли у злоумышленников меры, позволяющие обойти программу компьютерной экспертизы? Если не считать физического уничтожения всех жёстких дисков, CD и дискет, то мер очень немного. Обратите внимание, что мы имеем в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костёр может быть недостаточно. Во многих случаях придётся превратить носитель в пепел.
Иногда злоумышленники пытаются затруднить экспертизу, меняя расширения файлов. Текстовые документы Word имеют расширение .DOC, и у преступника может возникнуть желание изменить его на что-то иное. Мы увидели, как программа EnCase с лёгкостью обнаруживает документы по их признакам. Так что переименование .JPG в .ABC не поможет – EnCase обнаружит этот файл.
Затрудняет ли шифрование компьютерную экспертизу? Всё зависит от алгоритма шифрования файлов. Система Windows EFS (Encrypted File System) с лёгкостью обходится EnCase. Скрытие информации внутри картинок или музыки также можно обнаружить по известным наборам хэша MD5.
Существует программное обеспечение, которое позволяет полностью удалить файлы с жёсткого диска. Помогает ли оно против EnCase? В будущей статье мы попытаемся дать ответ на этот вопрос. Достаточно забавно, но подобное стирание файлов, наоборот, привлечёт внимание эксперта. Чем больше злоумышленник будет скрывать свои данные, тем проще их будет обнаружить эксперту.
Заключение
Мы все слышали рассказы о том, как данные можно восстановить из стёртых файлов, однако личный опыт всегда лучше. Наша экскурсия по офису и учебным классам Guidance показала, насколько легко с помощью правильного программного обеспечения достать всю информацию из компьютера.
Сегодня злоумышленники всё чаще используют компьютеры, поэтому в руках у экспертов должны быть современные и мощные средства, чтобы противостоять преступникам. EnCase, на наш взгляд, является великолепным инструментом для проведения компьютерной экспертизы. Поскольку теперь мы получили возможность попробовать полную версию EnCase Forensic Edition, вы можете ожидать в ближайшем будущем подробный обзор.