Форензика

Форензика — прикладная наука о раскрытии преступлений, связанных с информационными технологиями, об исследовании цифровых доказательств, методах поиска, получения и закрепления доказательств. Слово «Форензика» появилось в русском языке от английского слова Forensics, что означает наука об исследовании доказательств или попросту говоря компьютерная криминалистика.

А теперь что такое форензика простыми словами, это сбор цифровых доказательств. (Цель компьютерной криминалистики - провести структурированное исследование, сохранив документированную цепочку доказательств, чтобы точно узнать, что произошло на устройстве и кто несет за это ответственность)

Специалисты в области форензики незаменимы при необходимости быстро обнаружить и проанализировать инциденты ИБ. Перед ними ставятся всегда следующие задачи:

разобраться в способе реализации взлома

построить сценарий атаки

восстановить хронологию атаки

собрать оставшиеся следы атаки

разработать необходимые меры защиты для предотвращения от подобной и по возможности от других атак, улучшая процесс обеспечения ИБ в целом

уменьшить и восстановить нанесенный ущерб

В случае необходимости в их задачи так же входит формирование экспертного заключения по факту инцидента ИБ в случае расследования такового, например, судебными органами. Ведь по нормам законодательства необходимо сначала подтвердить сам факт преступления и определить его состав, и только затем можно возбудить уголовное дело, в данном случае по фактам компьютерных преступлений. Также в обязанности специалистов компьютерной криминалистики входит обнаружение неконтролируедамых изменений систем и сбои программного обеспечения, нарушение правил доступа и несоблюдение политики или рекомендаций по «Информационной безопасности». 

Сейчас все больше и больше крупных компаний в обязательном порядке организовывают специализированный отдел или хотя бы штат из нескольких экспертов по форензике. К таким компаниям относятся не только компании сферы информационных технологий, но также и компании относительно далекие от нее, например, финансовые (т.к. при расследовании финансовых преступлений большинство доказательств можно найти в компьютерных системах).

Классификация форензики

1) Network forensics имеет отношение к расследованиям в области сетевого стека. Данный раздел ставит перед собой задачи сбора, записи и анализа сетевых событий, для обнаружения источника атак или других проблемных инцидентов.

2) Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.

3) Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.

4) Mobile device forensics занимается всем, что касается особенностей извлечения данных с мобильных устройств.

5) Hardware forensic — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Методы форензики

Выделяют два основных подхода экспертиз:

1) Статический анализ используется для создания образа жесткого диска или дампа оперативной памяти, выявления и восстановления удаленных файлов, остатков аномальных файлов в %TEMP% и системных директориях, сбора истории серфинга веб-браузера, системных логов, получения списка запущенных в памяти процессов и открытых коннектов сети.

2) Динамический анализ использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.

Основные инструменты форензики

Есть специализированный дистрибутив специально под задачи форензики:

Digital Evidence & Forensics Toolkit: DEFT Linuix

Разработан на Lubuntu, имеет удобный графический интерфейс. OS оснащена набором профильных утилит, антивирусы, системы поиска в кэше браузера, сканеры и утилитаы для выявления руткитов и другими инструментами необходимыми при поиске скрытых на диске данных.

В основном эта система применяется для анализа последствий взлома систем, определения потерянных и скомпрометированных данных, и конечно для сбора цифровых доказательств совершения киберпреступлений.

Инструменты для создания образа диска, раздела или отдельного сектора:

FTK Imager — инструмент для клонирования носителей данных в Windows.

dc3dd  — улучшенные версии стандартной консольной утилиты dd в Linux.

Guymager — специализированное приложение для создания точных копий носителей.

Paragon и Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.

Обработка сформированных образов дисков:

Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.

Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).

Сбор данных с жестких дисков:

Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, VeraCrypt PGP и Bitlocker.

Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.

Live RAM Capturer — утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.

Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от Windows XP до Windows 10 (включая Windows Server).

Анализ файлов найденных на жестких дисках:

Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.

HxD — годный HEX-редактор.

eCryptfs Parser рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.

CrowdInspect помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом.

Извлечение данных из файлов:

PhotoRec — утилита для восстановления данных(видеофайлов, документов и архивов с жестких дисков, компакт-дисков и других носителей) и файлов изображений.

Bulk_extractor — утилита для вылавливания email, IP-адресов и телефонов из файлов.

Поиск артефактов на HDD:

FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).

NTFS USN Journal parser — парсер журналов USN для томов NTFS.

RecuperaBit — утилита для восстановления данных NTFS.

На этом я пожалуй закончу, хотя перечислять различные крутые инструменты можно до бесконечности)

В заключении хотелось бы отметить, что форензика как ответвление в ИБ менее развито, нежели тестирование на проникновение, но не менее интересное и обширное.