"Форензика – компьютерная криминалистика. Часть 12"

Мы продолжаем цикл статей «Форензика – компьютерная криминалистика»

Следственные действия (продолжение)

Короткоживущие данные

В этой статье мы рассмотрим, как специалист при проведении следственного действия должен обращаться с короткоживущими, или волатильными данными. Этим термином обычно именуют такую информацию, которая недолговечна и существует лишь до момента выключения компьютера или до завершения определенной программы.

Перечень

Вот некоторые из типов короткоживущих данных:

● содержимое ОЗУ, то есть все исполняемые в текущий момент программы (задачи, процессы), системные и прикладные (пользовательские);

● прежнее содержимое ОЗУ в областях оперативной памяти, которые на текущий момент считаются свободными;

● список открытых файлов со сведениями, какой процесс каким файлом пользуется;

● информация о пользовательских сессиях, то есть вошедших в систему залогиненных, зарегистрированных) пользователях;

● сетевая конфигурация – динамически присвоенный IP-адрес, маска подсети, ARP-таблица, счетчики сетевых интерфейсов, таблица маршрутизации;

● сетевые соединения – информация о текущих соединениях (коннекциях) по различным протоколам, о соответствующих динамических настройках межсетевого экрана или пакетного фильтра;

● текущее системное время;

● список назначенных заданий (scheduled jobs);

● кэш доменных имен и NETBIOS-имен;

● загруженные модули ядра (LKM);

● монтированные файловые системы, подключенные сетевые диски;

● файл или область подкачки* (swap-файл) на диске – информация о текущем состоянии виртуальной части ОЗУ, а также ранее находившиеся там данные;

● временные файлы, которые автоматически стираются при штатном завершении работы ОС или при загрузке ОС.

Все перечисленные данные, кроме последних двух пунктов, хранятся в ОЗУ. Кроме того, к короткоживущим данным можно причислить образцы сетевого трафика* в обоих направлениях – с исследуемого компьютера и на него. Проанализировать устройство и функции программы по содержимому ОЗУ (дампу памяти*) бывает довольно сложно. Зато по генерируемому программой трафику во многих случаях нетрудно определить ее функции. Поэтому образец трафика компьютера за какой-то разумный период времени будет хорошим дополнением для исследования работы неизвестных программ.

Понятно, что короткоживущие данные (кроме области подкачки) можно снять лишь с работающего компьютера. После выключения все такие данные будут утрачены. То есть снятие короткоживущих данных производится не экспертом при проведении КТЭ, а специалистом во время следственного действия. Исключение – экспертиза КПК (наладонного компьютера), который обычно хранится во включенном состоянии, но в режиме гибернации.

Стоит ли пытаться снять с работающего компьютера короткоживущие данные? С одной стороны, среди них могут оказаться полезные и даже очень ценные, например, запись о текущей TCP-сессии с атакуемым узлом или ключ для доступа к криптодиску. С другой стороны, при снятии содержимого ОЗУ невозможно не изменить информацию на компьютере, в том числе на его диске. Это может отрицательно повлиять на оценку достоверности последующей экспертизы. В каждом случае это решает специалист, оценивая какой аспект важнее для дела – сохранность долгоживущей информации или возможностьполучить короткоживущую критичную. Разумеется, для этого специалист должен быть проинформирован о существенных обстоятельствах дела. Например, при использовании подозреваемым криптодиска получить доступ к его содержимому можно либо как-то узнав пароль, либо застав компьютер во включенном состоянии с активированным (монтированным) криптодиском. После демонтирования криптодиска узнать пароль непросто. В практике автора было несколько случаев, когда у подозреваемого удавалось выяснить пароль к его криптодиску путем изощренного обмана или примитивного запугивания. Однако грамотный в области ИТ пользователь знает четко: если он не сообщит пароль, то расшифровать данные на криптодиске невозможно. Остается второй способ. Надо каким-то образом прорваться к включенному компьютеру и, пока доступ к криптодиску открыт, снять с него все данные или извлечь из ОЗУ ключ шифрования.

Стоит ли пытаться снять короткоживущую информацию, рискуя при этом существенно изменить данные на нем или сразу выключить компьютер, – решает специалист, исходя из материалов дела.

В любом случае, настоятельно рекомендуется снять минимально возможную без риска короткоживущую информацию – сфотографировать или описать текущее изображение на экране включенного компьютера.

КАК СДЕЛАТЬ БЕЗОПАСНОСТЬ ВЫГОДНОЙ?

КАК ПОЛУЧИТЬ ПРИБЫЛЬ, ИНВЕСТИРУЯ В БЕЗОПАСНОСТЬ?

 Уважаемый коллега!

Интерес российского делового сообщества к вопросам корпоративной безопасности в последнее время растет поразительными темпами. Тысячи руководителей разного уровня, также как и Вы, могут существенно повысить результативность бизнеса, благодаря возможности всецело сосредоточиться на коммерческих вопросах, не натыкаясь на досадные препятствия, вроде проблем с открытием новых филиалов, «сюрпризов» в виде недостачи товара на складе, внезапных встречных проверок, угрожающих уголовной ответственностью. 

Читайте на страницах журнала:   

• Уголовная ответственность топ-менеджеров как угроза безопасности компании
• Как использовать «сарафанное радио» в работе с кадрами
• Обоснование инвестиций в безопасность. Как измерить выгоду 
• Календарь событий и мероприятий по безопасности
• Топ-100 российских ЧОПов 
• Обзор техники обнаружения скрытых видеокамер
• Расследование компьютерных инцидентов
• Обзор уровней зарплат специалистов и руководителей в области безопасности
• Передача безопасности на аутсорсинг. Возможно ли это в России?
• Инструменты бизнес-разведки в системе безопасности коммерческого предприятия 
• Разработка  действенного "Положения о коммерческой тайне" компании 
• Российские и международные стандарты в области коммерческой безопасности 
• Системы мониторинга рабочих процессов
• Проблемы взаимодействия подразделения безопасности с коммерческими отделами
• Противодействие угрозам в области авторских прав
• Снижение и предотвращение потерь в финансовых процессах 
• Рейтинг российских консалтинговых компаний в области безопасности 
• Методики работы с персоналом. Опросы и беседы 
• Комплексная безопасность производственного предприятия. Процессы, методики, схемы
• Создание Отдела финансового контроля

Просто и быстро вернуть «зависшие» деньги (либо, наоборот, безболезненно уладить противоречия с кредиторами), получить максимально полную информацию о контрагентах и собственных сотрудниках, снизить потери за счет искоренения воровства – все эти возможности, не требующие серьезных материальных и временных затрат, позволят Вам вплотную заняться неотложными делами по развитию бизнеса, расширению ассортимента, новыми интересными проектами. 

Сейчас Вы имеете возможность обеспечить качественную защиту Вашего бизнеса, не расходуя ежедневно часы своего драгоценного времени на «разруливание» вопросов безопасности (на большинство этих вопросов уже есть ответы) и не «вбухивая» отчаянно-шокирующие бюджеты в безопасность.Подписавшись на ежемесячный журнал «Директор по безопасности», Вы получите в свое распоряжение бесценный опыт Директоров по безопасности ведущих Российских компаний, владельцев и руководителей предприятий различных отраслей, лучших экспертов в этой области. Вы получите доступ:  к готовым решениям, основанным на реальном опыте; более 1000 страниц практической информации в области безопасности бизнеса; к электронной копии этих статей.