Сохранение цифровых доказательств для привлечения хакеров и злоумышленников к ответственности

Опубликовано: 13 Апреля, 2023

Законодатели сделали свое дело, ужесточив законы о компьютерных преступлениях, но отследить и привлечь к ответственности тех, кто вторгается в наши сети и украсть наши данные, по-прежнему сложнее, чем поймать и наказать тех, кто проникает в наши дома или офисы. Одной из причин является природа цифровых доказательств. Чтобы получить обвинительный приговор, вы должны представить доказательства в суде, но для того, чтобы быть допустимыми в суде, доказательства должны быть сохранены и обработаны, чтобы гарантировать, что они не были изменены. К сожалению, ИТ-специалисты или сотрудники службы безопасности, которые первыми реагируют на инцидент со взломом, часто непреднамеренно уничтожают улики — и вместе с этим уничтожают любые шансы привлечь хакера к ответственности.


Правила доказывания


Уголовный процесс представляет собой состязательный процесс, в котором и обвинение, и защита пытаются доказать свою правоту путем представления доказательств. Доказательства могут быть показаниями человека, который лично знаком с фактами, относящимися к преступлению, или вещественными доказательствами, которые представляют собой материальные предметы, такие как орудие убийства, журнал брандмауэра или жесткий диск, содержащий данные.


Проблема с цифровыми данными в том, что они немного менее осязаемы, чем большинство вещественных доказательств. Он относится к категории хрупких улик, наряду с такими вещами, как следы на снегу, потому что его так легко уничтожить или изменить. На самом деле, сам процесс сбора или изучения может изменить его. Проблема в том, что для того, чтобы доказательства были допустимыми, сторона, представляющая их, должна доказать, что они не были подделаны или изменены с момента их сбора на месте преступления.



Примечание:
Даже понятие места преступления может быть сложным в делах о компьютерных преступлениях, поскольку присутствие компьютерного преступника не обязательно для совершения преступления. На самом деле, большинство взломов и атак совершаются удаленно, часто из мест за пределами штата или страны, где был причинен ущерб, что вызывает вопросы относительно того, какой уголовный суд обладает юрисдикцией.


Доказательства подчиняются строгим правилам относительно их допустимости. Для того чтобы суд разрешил представить, зафиксировать в протоколе судебного заседания и учесть в приговоре, доказательства должны быть:



  • Релевантный: он должен относиться к реальному делу. Например, доказательства, свидетельствующие о том, что человек взломал другую компьютерную систему десять лет назад, как правило, не будут приниматься в суде для определения его вины или невиновности в нападении, которое произошло десять месяцев назад (однако, прошлое криминальное прошлое может быть допустимо в этап вынесения приговора после того, как вина или невиновность уже были определены).
  • Материал: доказательства должны подтверждать или опровергать факты, влияющие на вопрос, рассматриваемый судом (обычно это: «Совершил ли подсудимый преступление, в котором его обвиняют»).
  • Компетентность: должно быть доказано, что доказательства действительно являются тем, за что они претендуют. Доказывание его правомочности называется удостоверением доказательств.


Как удостоверяются доказательства


Вещественные доказательства обычно удостоверяются свидетельскими показаниями под присягой одного или нескольких лиц, которые могут подтвердить, что это именно то, за что они претендуют. Например, сетевой администратор, проверивший журналы брандмауэра сразу после атаки, может засвидетельствовать, что данные журнала, представленные в суде, совпадают с данными, которые он видел в журналах в этот день и время. Офицер полиции, прибывший на место происшествия, может засвидетельствовать, что он упаковал компьютер, содержащий файлы журналов, и доставил их в лабораторию вещественных доказательств. Специалист по компьютерной криминалистике, завладевший компьютером, может засвидетельствовать, что он получил его от этого офицера и что он использовал стандартные методы судебной экспертизы, чтобы сделать побитовую копию диска, содержащего журналы.


Этот процесс проверки подлинности доказательств каждый раз, когда они переходят из рук в руки, называется сохранением цепи хранения. Если доказательства не учитываются в любой момент процесса, их подлинность может быть испорчена, поскольку существует вероятность того, что кто-то мог внести в них изменения.


По этой причине важно, чтобы каждый, кто работает с уликами, вел письменные записи о том, когда они передали их кому-то другому, кому они передали их и почему. Эти записи составляют журнал доказательств. Улики должны быть заперты в надежной комнате для улик или в шкафчике, когда их нужно оставить в покое.


Рекомендации по реагированию на инциденты


Когда дело доходит до цифровых доказательств, вспомните клятву, которую дают врачи: «Во-первых, не навреди». Вашей первой тенденцией, когда вы обнаружите, что сеть взломана, может быть открытие файлов журнала, выключение системы и т. д. систему из сети и охранять место происшествия (гарантируя, что никто другой ничего не изменит) до прибытия сотрудников правоохранительных органов.


Конкретно:



  1. Не выключайте систему. Данные, находящиеся в энергозависимой памяти (ОЗУ), будут потеряны.
  2. Отключите систему от сети. Если он останется подключенным, хакер может замести следы, удалив файлы журналов и другие улики.
  3. Не используйте систему ни для чего. Не запускайте никаких программ. Вы можете непреднамеренно перезаписать доказательные данные. В некоторых случаях хакер мог внедрить программу, которая стирает данные при срабатывании какого-либо события (например, при открытии или закрытии программы).
  4. Не открывайте файлы, чтобы изучить их. Это изменяет отметку даты/времени.

Лучший способ сохранить цифровые доказательства в их первоначальном состоянии — это подключить компьютер к другому компьютеру, на который можно скопировать цифровую информацию. Это можно сделать через частное сетевое соединение между двумя компьютерами. Данные могут передаваться через соединение Ethernet между двумя компьютерами (подключив их оба к частному концентратору, который не подключен к какой-либо другой сети) или через последовательное соединение или соединение USB.


Содержимое памяти исходного (исходного) компьютера должно быть сначала перенесено на второй (целевой) компьютер. Передавайте содержимое памяти небольшими порциями, чтобы не перезаписать то, что уже находится в памяти. Содержимое жесткого диска исходного компьютера должно быть скопировано на целевой компьютер в виде образа на уровне битов. Это означает, что образ является точной копией всей информации на исходном диске, включая резервное пространство. Лучше всего использовать программное обеспечение, разработанное специально для криминалистических целей. Программы, используемые экспертами-криминалистами правоохранительных органов, включают EnCase, разработанную Guidance Software (предлагающую графический интерфейс), и инструменты командной строки, разработанные New Technologies, Inc. (NTI). Некоторые исследователи также используют такие программы, как Symantec Ghost, которые могут создавать битовые изображения с помощью переключателя «ir» или «image raw».


Резюме


Цифровые доказательства хрупки и могут быть легко уничтожены или признаны неприемлемыми в суде из-за модификации после их сбора. Команды реагирования на ИТ-инциденты должны признать, что, если вторжение или атака могут привести к уголовному преследованию, обработка доказательств имеет решающее значение для победы в деле и привлечения преступника к ответственности.


Первоочередная задача ИТ-персонала обычно состоит из двух частей: защитить систему и сеть от дальнейших повреждений и как можно быстрее восстановить полную функциональность системы и сети. Действия, предпринятые для достижения этих целей, могут напрямую противоречить передовой практике сохранения доказательств. В случае совершения преступления лучшим действием часто является ничегонеделание после отключения системы от сети, чтобы хакеры не могли стереть сами улики. Если у вас нет подготовки в области компьютерной криминалистики и сбора доказательств, вы должны предоставить профессионалам в этой области возможность делать копии доказательственных данных в памяти и на жестком диске. У них есть специальное оборудование, которое упрощает и облегчает доказывание в суде отсутствия фальсификации улик.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023