Эссе «По анализу сетевых вторжений»
Проблема выбора надежных источников
данных для процесса цифровой
криминалистики особенно актуальна в
настоящее время, когда каждый вид
компьютерных преступлений опирается
на определенный набор таких
источников. В частности, в случае
сетевого вторжения наиболее
полезными источниками информации
являются учетные записи пользователей,
системы обнаружения операций и
вторжений, а также журналы интернет-
провайдеров. Для установки
вредоносного ПО следователи, скорее
всего, найдут необходимые им
доказательства, проанализировав
системные данные, хранилище системы
обнаружения вторжений и информацию,
предоставленную виртуальной
машиной. Наконец, в случае удаления
инсайдерских файлов расследование
должно опираться на жесткие диски и
сетевые хранилища в качестве основных
источников полезных данных.
Общие Проблемы Сетевой Безопасности
Компьютерные преступления относятся к
числу последствий массовой
компьютеризации общества. Интеграция
современных информационных
технологий практически во все сферы
человеческой деятельности привела к
тому, что многие традиционные
преступления (например, присвоение,
кража, мошенничество, подделка
документов и т.д.) совершаются с
помощью компьютеров. Преступления,
связанные с использованием
компьютерных технологий, представляют
серьезную угрозу для любой компании
или отдельного лица. Для выявления
преступников, ответственных за этот
ущерб, проводится специальная
процедура, получившая название digital
forensics investigation. В отличие от
обычного процесса, который
предполагает сбор доказательств путем
опроса свидетелей, он опирается на
информацию, полученную из цифровых
источников. Однако качество и
достоверность собранных данных могут
варьироваться в зависимости от
ситуации, которая может повлиять на ход
расследования. В связи с этим особую
актуальность приобретает проблема
выбора источников данных для решения
проблемы компьютерного
преступления. Поэтому в
нижеследующем исследовании основное
внимание уделяется выявлению
наиболее ценных источников данных,
которые могут быть использованы в
различных случаях преступлений,
связанных с использованием
компьютеров (сетевое вторжение,
установка вредоносных программ и
удаление внутренних файлов). Кроме
того, он классифицирует их с точки
зрения их полезности для следователей.
Сетевое вторжение - это процесс
несанкционированного доступа к сети,
который в основном осуществляется со
злым умыслом. Риски такой
деятельности связаны с
разрушительными последствиями потери
времени и денег в результате
повреждения или кражи важной
информации и
ресурсов. Злоумышленники могут
получить доступ к сети, используя
уязвимости в программном обеспечении,
оборудовании или даже атакуя с
помощью таких усовершенствованных
методов, как угадывание Логинов и
паролей других пользователей.
Злоумышленник, получивший доступ к
сети, становится источником следующих
четырех типов угроз:
Кража данных;
Кража личных данных;
Потеря данных и манипулирование ими;
Прекращение службы.
В случае такого события можно выделить
несколько источников данных, имеющих
наиболее существенное значение для
цифрового криминалистического
исследования. Они включают учетные
записи пользователей, саму
операционную систему, систему
обнаружения вторжений и записи,
хранящиеся поставщиками веб-сервисов.
Учетные Записи Пользователей
Учетные записи пользователей
предоставляют самую ценную
информацию для расследования
цифровой криминалистики. В частности,
меры безопасности большинства частных
сетей предполагают использование
сложных паролей, которые необходимо
регулярно менять, постоянное
обновление списка зарегистрированных
пользователей и ограниченное
количество неправильных попыток входа
в систему. В результате вероятность
вторжения снижается, так как войти в
сеть с помощью поддельной учетной
записи невозможно. Тем не менее, в
случае, если такое событие произошло,
аудит существующих учетных записей
пользователей может позволить
идентифицировать источник вторжения,
то есть конкретную учетную запись,
используемую злоумышленником, тем
самым сужая поле поиска. В свою
очередь, эта информация может дать
исследователям подсказки относительно
способов получения доступа к сети,
временной шкалы события, то есть
времени входа и выхода из системы,
способов неправильного использования
данных учетной записи и так
далее. Другими словами, этот источник
данных определяет направление всего
процесса исследования (Fichera & Bolt,
2013). В результате, с точки зрения
сетевого вторжения, учетные записи
пользователей и результаты их аудита
являются наиболее ценными из
перечисленных источников информации.
Операционная Система
Информация, получаемая из
операционной системы, то есть данные
живой системы, также имеет большое
значение для цифрового
криминалистического
расследования. Рассмотрев его,можно
определить следующие детали
вторжения. Прежде всего, анализ
системных журналов может
предоставить информацию о пароле,
который злоумышленник использовал
для доступа в сеть. В свою очередь, это
позволяет определить, была ли учетная
запись пользователя взломана или
пароль к ней просто украден. Далее,
анализ системных данных может дать
представление о характере
манипуляций, выполняемых
злоумышленником в сети. В частности,
преступник может преследовать
конкретные цели, получая к нему
доступ. Например, в случае единичного
случая кражи данных системные
журналы, скорее всего, будут содержать
информацию о копировании
определенных файлов. С другой стороны,
если основной целью преступника было
манипулирование данными или
прекращение работы системы (события,
которые обычно требуют нескольких
вторжений), вполне вероятно, что
определенное программное
обеспечение будет изменено или
заменено, чтобы использовать слабые
места системы и упростить последующие
вторжения. Например, злоумышленник
может заменить исходный протокол
прикладного уровня на
модифицированный, который
обеспечивает удаленный доступ к
системе, что означает, что вторжения
будут происходить регулярно (Casey,
2010). В результате информация о
характере манипуляций внутри системы
может помочь определить мотивы
преступления, тем самым упростив
процесс идентификации
злоумышленника. Все эти факты
позволяют поставить аспект системных
данных на второе место в списке
наиболее ценных источников для
проведения цифровой
криминалистики. Действительно, его
анализ позволяет обнаружить файлы и
системы, которые были изменены в
результате вторжения, а также
определить способ, используемый
злоумышленником для доступа к сети.
Система Обнаружения Вторжений
Система обнаружения вторжений (IDS) -
это аппаратное или программное
обеспечение, предназначенное для
обнаружения фактов
несанкционированного доступа к
компьютерной системе или сети или их
несанкционированного управления. IDS
обеспечивает дополнительный уровень
безопасности компьютерных систем,
предупреждая администраторов о любых
нарушениях в работе сети. Типовые
идентификаторы включают в себя
сенсорную подсистему сбора событий,
связанных с безопасностью защищаемой
системы, аналитическую подсистему,
предназначенную для обнаружения атак
и подозрительной активности на основе
данных датчиков, а также хранилище,
обеспечивающее накопление первичных
событий и их анализ. В большинстве
случаев анализ заранее сформированных
идентификаторов основан на принципе
сопоставления сигнатур: система
обращается к словарю известных
сигнатур атак. В случае, если какая-либо
часть схемы атаки соответствует
существующей сигнатуре, система делает
попытку остановить ее и предупреждает
администратора об угрозе. Однако для
достижения максимальной
эффективности этого метода необходимо
регулярно пополнять словарь сигнатур. В
то же время схемы атак, используемые
злоумышленниками, становятся все
более изощренными, а это означает, что
даже новейшие сигнатуры не могут
гарантировать полную защиту сети. В
свою очередь, это приводит к
увеличению количества ложных тревог
со стороны IDS (Casey, 2010).
Тем не менее, данные из хранилища
идентификаторов, а именно сигналы
тревоги, могут быть полезны для
расследования, если они
отсортированы. Фильтруя все ложные
сигналы тревоги, можно использовать
оставшуюся информацию для анализа
менее развитых системных журналов и
поиска подсказок о характере атаки. В
частности, использование данных IDS
позволяет получить дополнительную
информацию о соединении,
используемом злоумышленником,и тем
самым предотвратить последующие
попытки вторжения. В некоторых случаях
он также позволяет точно определить
направление движения, тем самым
упрощая процесс идентификации
злоумышленника. Однако такой анализ
требует всестороннего знания
операционных систем и методов взлома,
а также наличия логов диагностических
средств. В результате IDS можно
поставить на третье место по своей
ценности для цифровой криминалистики
расследования сетевых вторжений: она
предоставляет полезную информацию,
которая может существенно повлиять на
ход расследования, но ее идентификация
и выделение из пула ненужных данных
требует больших усилий со стороны
следователей.
Записи поставщиков веб-услуг
Для организации и проведения своих
атак на сети злоумышленники должны
использовать веб-сервисы (подключение
к интернету, мессенджеры и т. д.). В
результате, обратившись к поставщикам
этих услуг, можно получить информацию
о сроках их использования хакерами на
момент события. Тем не менее
провайдеры могут собирать такие
данные, как имена и адреса электронной
почты своих клиентов, а также их
платежную информацию, например
данные о кредитных картах и банковских
счетах. В случае с интернет-
провайдерами также можно получить IP-
адреса потенциальных нарушителей в
момент события, если используется
динамический IP-адрес. Вся эта
информация может быть использована
для доказательства причастности или
непричастности потенциальных
нарушителей к акту сетевого
вторжения. Однако каждый из
поставщиков имеет свою собственную
политику в отношении сбора данных
потребителей, что означает, что таким
образом трудно получить согласованную
информацию. Более того, нет никакой
гарантии, что полученная информация
достоверна. В результате записи
поставщиков веб-услуг занимают
четвертое и последнее место по своей
ценности для расследования цифровой
криминалистики.
Установка Вредоносных Программ
Вредоносное ПО-это любое программное
обеспечение, предназначенное для
получения несанкционированного
доступа к ресурсам компьютера или
сети. В настоящее время таких программ
насчитывается десятки тысяч, причем
новые создаются на регулярной
основе. Вредоносные программы могут
нанести серьезный ущерб
корпоративным сетям, системам
электронной почты и веб-сайтам,
используя различные уязвимости.
Его установка может привести к
следующим негативным последствиям:
Вмешательство в процессы зараженной
системы (блок антивирусного
программного обеспечения и
административных функций
операционной системы, а также саботаж
управляемых компьютером процессов);
Установка другого вредоносного
программного обеспечения (либо путем
загрузки его из сети, либо распаковки
другой вредоносной программы, уже
содержащейся в файле);
Кража, мошенничество, вымогательство
и шпионаж за пользователем (кража
аккаунтов различных сервисов и
платежных систем, а также логирование
ключей);
Другие противоправные действия
(несанкционированный доступ к
ресурсам компьютера, организация
DDoS-атак и т.д.) (Sikorski & Honig, 2012).
В случае установки вредоносного ПО
такие источники данных, как сама
операционная система, идентификаторы
и виртуальная машина, представляют
наибольшую ценность для цифровой
криминалистики.
Операционная Система
Летучие данные, собранные из
работающей операционной системы, в
частности полученные в момент
установки вредоносного ПО, позволяют
проводить поиск скрытых файлов,
которые были интегрированы в систему
вредоносным ПО. В этой связи
наибольшую ценность для
исследователей представляют
альтернативные потоки данных. Кроме
того, анализ таких компонентов системы,
как драйверы и приложения, а также
выполняемые службы и процессы, может
помочь определить тип вредоносного ПО
и его источник (Sikorski & Honig,
2012). Полезность этих данных
становится еще выше в том случае, если
следователи смогли обнаружить факт
установки вредоносного ПО до его
завершения. Основная причина этого
заключается в том, что они могут
собирать и анализировать данные о нем,
не предупреждая преступника. В
результате упрощается процесс
установления личности преступника. В то
же время обнаружение факта установки
вредоносного ПО часто требует
всестороннего анализа потенциально
зараженной системы. Как уже
упоминалось ранее, новые типы
вредоносных программ разрабатываются
регулярно, а это означает, что даже
использование самых передовых
диагностических инструментов не
гарантирует отсутствия ложных
срабатываний или критических сбоев,
например, вредоносная программа не
обнаруживается до тех пор, пока не
причинит непоправимый ущерб системе
(Casey, 2010). Тем не менее, все
вышеперечисленные факты позволяют
рассматривать операционную систему
как наиболее ценный источник
информации для проведения цифровой
криминалистической экспертизы дела об
установке вредоносного ПО.
Система Обнаружения Вторжений
Как уже упоминалось ранее, IDS
идентифицирует и блокирует угрозы,
включая вредоносные программы, на
основе принципов сопоставления
сигнатур. В результате данные,
полученные из его хранилища, могут
быть использованы для идентификации
типа вредоносного ПО, а также схемы
атаки, используемой
преступником. Кроме того, после
получения изменчивых данных,
собранных из запущенной операционной
системы, можно сравнить их с
существующими сигнатурами в словаре
идентификаторов и определить, имеет
ли установленная вредоносная
программа какие-либо специфические
функции, например загрузчик,
капельница и т.д. (Sikorski & Honig,
2012). В свою очередь, эта информация
может свидетельствовать о целях
злоумышленника. В то же время нет
никакой гарантии, что журнал
идентификаторов будет свободен от
ложных срабатываний или что система
обнаружит попытку установки
вредоносного ПО. Более того, при
сравнении сигнатур и изменчивых
данных объем информации может быть
подавляющим, что может замедлить
процесс расследования (Marshall,
2008). Учитывая упомянутые проблемы, а
также тот факт, что IDS могут быть
использованы в полной мере только
после анализа изменчивых системных
данных, можно ранжировать его как
второй полезный источник информации
для цифровой криминалистики
расследования случая установки
вредоносного ПО.
Виртуальная Машина
В случае установки вредоносного
программного обеспечения
следователям часто приходится изучать
принципы работы вредоносного
программного обеспечения и определять
потенциальную угрозу, которую оно
содержит, используя виртуальную
машину. Это программная и / или
аппаратная система, которая эмулирует
аппаратное обеспечение целевой
платформы и выполняет программы для
целевой платформы на хост-
платформе. Он также может
виртуализировать определенную
платформу и создавать на ее основе
среды, изолирующие программы и даже
операционные системы друг от друга
(Barrett & Kipper, 2010). Виртуальная
машина позволяет исследовать
поведение вредоносных программ в
различных условиях и дает возможность
вернуться к любой стадии процесса
установки вредоносных программ, а
также изменить его темп. В свою
очередь, он может предоставить
доказательства типа файлов, которые
программа пытается изменить или
удалить, информацию, которую она
пытается собрать, а также конечный
пункт назначения украденных данных
(Sikorski & Honig, 2012). В результате он
может дать представление либо о
мотивах нападавшего, либо о его
местонахождении, что ускорит процесс
расследования. В то же время
виртуальная машина не всегда может
быть точной копией операционной
системы. В результате повышается
вероятность того, что его обнаружат
злоумышленники, а это значит, что они
примут меры безопасности, тем самым
замедляя процесс расследования. Кроме
того, он не всегда может обеспечить
достаточную среду для анализа (Barrett &
Kipper, 2010). Учитывая все эти факты,
можно поставить его на третье место в
списке наиболее полезных источников
данных для цифровой криминалистики
расследования дела об установке
вредоносного ПО.
Удаление Инсайдерских Файлов
Удаление инсайдерских файлов-это
угроза, исходящая от людей внутри
организации, таких как ее нынешние и
бывшие сотрудники, подрядчики и
деловые партнеры, которые имеют
информацию о методах обеспечения
безопасности в ней, а также о данных и
компьютерных системах. Инсайдеры
могут иметь пароли, которые дают им
легальный доступ к системе. Кроме того,
они часто знакомы с данными и
интеллектуальной собственностью
организации, а также с методами,
используемыми для их защиты. В
результате они могут обойти всю систему
безопасности. Физическая близость к
данным означает, что инсайдерам не
нужно прорываться через
организационную сеть, минуя
брандмауэры внешнего периметра. Из-за
того, что они часто имеют законный
доступ к информации, удаление файлов,
выполняемое инсайдерами, трудно
отслеживать и предотвращать (Probst et
al., 2010). В этом случае такие источники
данных, как жесткие диски и сетевые
хранилища, наиболее полезны для
цифровой криминалистики.
Жесткий Диск
Учитывая, что удаление инсайдерских
файлов обычно направлено на
энергонезависимые данные, которые не
удаляются после завершения работы
системы, ясно, что основной целью
злоумышленников будет жесткий
диск. Несмотря на то, что файл был
удален полностью, то есть удален из
корзины, с системного диска стирается
только информация о его секторе
хранения, пути и дате
создания/изменения. Используя
криминалистическое программное
обеспечение, можно восстановить его,
тем самым сведя на нет ущерб,
нанесенный инсайдером, и, что самое
главное, получить доказательства о
мотивах и времени совершения
преступления, а именно, изучив
содержимое целевого файла и время
удаления (Marshall, 2008). В то же время
восстановление возможно только в
течение короткого промежутка времени,
так как необходимые файловые данные
могут быть перезаписаны
системой. Кроме того, инсайдер может
использовать специальное программное
обеспечение для немедленной
перезаписи указанных данных, что
означает, что они не могут быть
восстановлены (Probst et al., 2010). Тем
не менее, в силу своей природы
основной цели, жесткий диск является
наиболее полезным источником данных
для цифрового криминалистического
исследования.
Сетевое Хранилище Данных
Сетевое хранилище можно использовать
в качестве источника данных в том
случае, если удаленный файл ранее был
передан другим пользователям. В
общем, алгоритм его восстановления
основан на поиске предыдущих версий
этого файла. Информация, полученная от
него, служит аналогичным
целям. Однако в случае сетевого
хранилища проблемы, с которыми
сталкиваются исследователи, более
значительны из-за подавляющего
количества информации по сравнению с
тем, что хранится на жестком
диске. Кроме того, как и в предыдущем
случае, инсайдеры могут удалить файл
навсегда или стереть части сетевого
хранилища, содержащие
соответствующую информацию (Lillard et
al., 2010). В результате он занимает
второе место по степени полезности для
цифрового криминалистического
расследования.
Значительное разнообразие
компьютерных преступлений
представляет собой широкий спектр
источников данных, которые могут быть
использованы в процессе
расследования. Типы этих источников, а
также их полезность варьируются в
зависимости от характера
преступления. Тем не менее, их можно
классифицировать с точки зрения их
ценности для каждого конкретного
случая, что было продемонстрировано в
ходе исследования. Однако следует
отметить, что в большинстве случаев
полезность описанных источников
данных зависит от навыков и
оборудования, которыми располагает
следственная группа. Более того, в
некоторых случаях, например, удаление
инсайдерского файла, превентивные
меры, принимаемые
злоумышленниками, могут сделать
бесполезным любой из доступных
источников данных. В результате
становится очевидным, что процесс
цифровой криминалистики должен
постоянно совершенствоваться, чтобы
соответствовать темпам развития
современных информационных
технологий.