Русский
Русский
English
Статистика
Реклама

Форензика

Из песочницы Мамкины хацкеры или мой путь в CTF

18.09.2020 18:11:01 | Автор: admin
Это был далекий 2014 год, когда еще зеленые, недавно поступившие в универ, парни, услышали, что есть какие-то соревнования с завлекающим названием Capture the flag (сокр. CTF, в переводе Захват флага).


Фото с сайта securitylab.ru к новости про Facebook CTF 2016

На факультете был один парнишка, который уже играл в эту увлекательную игру и потому соизволил рассказать нам что же это такое и с чем его едят

Итак, давайте теперь я вам немножко поведаю:

1. CTF (Capture the flag или Захват флага) командные соревнования (изредка бывают личными) в области компьютерной (информационной) безопасности.

2. Формат проведения :

2.1. Task-based (или jeopardy) игрокам предоставляется набор тасков (заданий), к которым требуется найти ответ (флаг) и отправить его.
Пока все более чем просто, обычные правила, но только все задания в этом формате разделены на категории (расскажу про основные):

Криптография задания связаны с расшифровкой сообщений, защищенных различными алгоритмами (от самых простейших до современных шифров);
Стеганография наука о тайной передаче информации путем сокрытия самого факта передачи. Следовательно, вам нужно найти, как именно и какую информацию передали (очень интересная тема, позже накатаю статей);
Web поиск уязвимостей на серверах и сайтах (используются специально развернутые сервера и сайты на них, не ведется взлом открытых платформ);
Реверс-инжиниринг исследование кода программного обеспечения, дальше методы зависят от задания (очень муторная тема, для усидчивых);
Recon моя любимая тема поиска информации по открытым источникам (OSINT, разведка). Тема, которой тоже будет посвящен отдельный блок статей;
Joy развлекательные задачи разнообразной тематики.
2.2. Attack-Defense (или classic) каждая команда получает выделенный сервер или небольшую сеть для поддержания её функционирования и защиты. Во время игры команды получают очки за корректную работу сервисов своего сервера, защиту своей информации и за украденную информацию (она же флаги) с серверов соперников.

3. Уровень соревнований
Международный уровень: самое престижное соревнование DEF CON CTF, которое ежегодно проходит в Лас-Вегасе и собирает сильнейшие команды мира (берет свое начало с девяностых годов).

Россия: имеет активное развитие с 2009 года. Проводятся множество локальных соревнований (в ВУЗах, городах, округах) в различных режимах.
Самый масштабный CTF в России RuCTFE, победа в котором даёт возможность попасть на DEF CON CTF.
Интересный факт: В 2014 году в RuCTFE сражалось уже 322 команды из различных стран мира!

После услышанного появилось бешеное желание попробовать пройти через эти круги ада и изучить данную тематику. Мы попросили того самого парня курировать нас первые пару игр.

Следом, мы начали изучать сайт ctftime.org тут размещено расписание всех соревнований (по всему миру) и рейтинг команд-участников (зарегистрированных на сайте).

Мы адекватно понимали, что Attack-Defense нам пока не светит, но порешать какие-нибудь задания в формате Task-based, чтобы набраться опыта, мы были готовы.

Первый в жизни CTF


Нам несказанно повезло, что один из ближайших CTF'ов был русский, а именно School CTF (организатор команда SiBears), в котором было разделение между школьниками и не школьниками и указано время проведения 8 часов (кажется это было именно так).

Конечно же, было очень важно зарегистрироваться Но как? Какое название команды?

Как-то так получилось, что именно я организовал наше участие и стал негласным капитаном команды.

Это же был первый раз, а мы понимали, что морское ДНО это как раз мы в этих соревнованиях Собственно, не долго думая, я предложил и здравствуйте, Мы команда DnO.

Мы вооружились ноутбуками, ручками, блокнотами и переживали, что нам еще может понадобиться.

Итак, началось Мы открыли задания и для нас это были иероглифы, которые никак не складывались в предложения (тем более в задания).

Но, спасибо Google, мы постепенно начали разбираться что означает то или иное слово и наконец начали гуглить не просто слова, а уже пытаться решать задания и, стоит отметить, у нас это даже получалось


Предварительные результаты

Стоит отметить, что мы были на кураже, у нас многое получалось и мы чувствовали, что старт был более чем идеален. Как вы можете увидеть на предварительных результатах, мы держали 6 место, но потом сместились примерно на 10 (но с учетом количества команд, мы уже не думали об этом, а отмечали успешный старт).

Конечно же, следующий CTF, в котором мы решили участвовать был какой-то иностранный, но, несмотря на то, что мы понимали все задания, у нас абсолютно ничего не получалось решить, поэтому там мы если что-то и сделали, то в лучшем случае одно задание.

Было ясно, что мы абсолютно ничего не знаем, надо тренироваться, учиться, готовиться, искать платформы для решения подобных заданий...

Что за команда DnO?


Время шло, мы участвовали в различных CTF'ах и набивали руку, нашли несколько очень полезных платформ с тасками, благодаря которым можно развиваться в этом направлении (перечислять их не буду, можно спокойно найти в гугле).

Вдруг, произошло интересное событие, мы собрались на очный CTF (до этого всегда выступали только online), кажется это был QCTF и проходил он в Москве, а точнее в МИРЭА. Естественно, это совсем другая энергетика, вокруг все давит, потому что ты не сидишь себе на диване спокойно, но ощутить это тоже хочется.


Фото одного из заданий QCTF

Была безумно интересная космическая тематика, задания различного уровня, мы выступали достойно, потому что эти соревнования были для новичков, каковыми считались и мы.

Как итог, команда DnO из 20 команд заняла почетное 4 место (ну вы понимаете как было обидно), но когда мы вернулись в универ, нам сказали, что это обязательно надо рассказать всем, как там называется ваша команда?

Этот вопрос поставил нас в тупик Конечно, парни особо не загонялись и такие: Ну ты же предлагал DnO, теперь давай придумывай расшифровку, чтобы весь ВУЗ над нами не ржал в голос.

После часа штудирования словаря, придумал единственную адекватную расшифровку как Destroy Network of Opponent, что переводится как Уничтожить сеть противника (спасибо, что предлоги не учитываются в сокращениях).

С тех самых пор мы следовали старой поговорке про судно Как назвали, так и поплыло.

Первая победа пополам


В очередной раз мы решили попробовать свои силы на очном CTF, только в этот раз было решено посетить город-герой Волгоград.

Наша команда уже была на опыте, мы разделились по направлениям и каждый участник команды развивался в одном основном направлении и одном/двух смежных, чтобы быть готовым помочь/подменить своего товарища. Но, конечно, мы всё еще были далеки до хороших познаний в этих областях.


Команда DnO в Волгограде

Честно говоря, уже даже не могу описать тех эмоций, которые мы испытывали, а всё из-за того, что было 2 лидирующие команды мы шли очко в очко, решая чуть ли не одни и те же задания.

Финальный свисток и мы Вторые? Как? Но ведь У нас одинаковое количество очков, но команда Life сдала последний флаг раньше нас по времени, из-за чего мы заняли второе место Команда DnO впервые была близка к победе, но упустила её в последний момент.


Финальный скорборд соревнований VolSUCTF

Первый Кубок CTF России


Прошло пару месяцев, мы не оставляли попытки добиться высоких результатов в различных online CTF'ах, но всё было тщетно, а тут мы еще узнали, что идёт набор на ПЕРВЙ Кубок CTF России, а отбор на него идет по результатам отдельно выбранных организаторами CTF, проходивших с начала года.

Естественно, среди них был и VolSU CTF, в котором мы успешно заняли 2 место и, по сути не проходили на этот безумно интригующий ПЕРВЙ Кубок

Однако, после мониторинга обстановки, нам стало известно, что команда Life, с которой мы поделили 1 место, участвует в данном мероприятии как организатор Ииииииииии, да, команда DnO приглашается на I Кубок CTF России, как призер VolSU CTF.

Естественно, не было известно абсолютно ничего про данное мероприятие и все, что нам оставалось, это усиленно готовиться.

Пропуская все нюансы подготовок, мы приезжаем в Инновационный центр Сколково, где собрались 20 лучших команд со всей страны.


I Кубок CTF России. День первый. Task-based.

Нас встречают, выдают приколюхи (наклейки, футболки и самое главное, ФЛАЖКИ!)


Тот самый, заветный флаг команды DnO

Быстрая жеребьёвка и мы узнаём какой у нас номер стола, ушли готовиться. Оперативно развернув свои печатные машинки, выступление организаторов мероприятия, где мы узнаём интересные новости, а именно:

1. Кубок проходит в 3 этапа за 2 дня;
2. Этап 1 Task-based (участвует 20 команд, проходят в следующий этап 10 лучших);
3. Этап 2 Attack-Defense (участвует 10 оставшихся команд, в следующий этап проходят 4 лучших);
4. Этап 3 Финал. (участвуют 4 команды, что будет происходить тайна, покрытая мраком...).

Не заглядывая вперед, начали готовиться к первому этапу сие мероприятия, которое обещало быть увлекательным

Итак, ЭТАП 1, начали.

Изнурительные 8 часов работы с приостановкой соревнований на обед. Мы выкладывались на полную, показывали лучшую командную работу, которая была когда-либо и за это получали заветные флаги, очки, которые могли вывести нас в следующий раунд.

Забыв про Scoreboard (таблицу результатов), мы работали до последней секунды данного этапа и, не без везения, мы занимаем 6 строчку в таблице.


Scoreboard после 1 тура Кубка CTF России

За нашим столом гробовое молчание Никто не верит, что мы не просто прошли во второй этап, мы прошли уверенно.

Только после того, когда нас пришел поздравить наш куратор, мы осознали, что происходит и с нашего лица больше не сходила улыбка.

Это явно был наш день, мы его заслужили.Никаких разборов, только еда и хороший отдых перед вторым днём соревнований.

Да, мы понимали, что очень слабы в Attack-Defense, но всё равно были заряжены трудиться до последнего.

Итак, ЭТАП 2, начали.

Когда мы сели за стол и снова развернули наши печатные машинки, удивлению не было предела


Наше задание второго этапа. Своя криптоферма.

Мы увидели эту, не сказать что огромную, коробку и сколько в ней всего, как там всё устроено и осознали, что попали по самое небалуй

Много рассказать не получится, нюансы этого этапа забыты, за исключением одного Мы работали и старались до последнего, не ради финала, а ради себя. Потому что мы хотели доказать себе, что способны на большее.

Стоит отметить, что наши старания не прошли мимо, мы все же подняли сервер и даже получили некоторую часть флагов, но, естественно, этого было мало, другие команды были куда более подготовлены

Итог, 9 место на втором этапе. Конечно, есть небольшое расстройство, но задачу минимум мы выполнили, чем стоило гордиться.


Scoreboard 2 этапа.

Этап длился всего 4 часа, а финал планировался на после обеда, смотреть его мы уже не пошли (честно, не было сил), но там было не менее интересно, потому что там была война роботов, правда управление ими было не через пультик, а с помощью программирования.

До такого уровня, нам явно было далековато

Именно этим Кубком закончилось моё выступление в этой команде и как капитана и как участника Я выпустился, другие ребята взяли всё на себя, которые были заряжены и готовы идти дальше.

Но это уже совсем другая история...

Отдельно хочется поблагодарить организаторов таких соревнований (различные CTF-команды, а также организацию АРСИБ), наставникам, кураторам, моим друзьям, выступавшим за эту команду, и ребятам, выступающим за другие команды.

Никто не забыт, огромное спасибо за это превосходное время!

То, что описано в этой статье, определенно развернуло мою жизнь градусов на 60 минимум:D
А успехи команды вы можете посмотреть вот тут.

P.S. Флаг до сих пор стоит на рабочем месте возле монитора и греет душу
Подробнее..

Обеспечение сетевой безопасности совместно с брокерами сетевых пакетов. Часть первая. Пассивные средства безопасности

10.02.2021 16:11:31 | Автор: admin

С ростом облачных вычислений и виртуализации современные компьютерные сети становятся всё более уязвимыми и постоянно развиваются, принося с собой новые риски и неопределённости. Давно прошли времена хакерства для удовольствия, хакеры финансово мотивированы и более изощрены, чем когда-либо. Некоторые из них создали хакерские группы, такие как LulzSec и Anonymous, чтобы обмениваться опытом и действовать сообща. Профессионалы информационной безопасности изо всех сил стараются не отставать, пытаясь использовать пассивные (для обнаружения) и активные (для блокировки) инструменты сетевой безопасности. Несмотря на то, что вендоры своевременно разрабатывают и предоставляют инструменты сетевой безопасности для защиты от новейших киберугроз, внедрение этих инструментов является постоянной проблемой по разным причинам. В этой серии публикаций мы опишем наиболее основные средства сетевой безопасности, которые борются с киберугрозами, рассмотрим типичные проблемы при развёртывании и пути их решения с помощью брокеров сетевых пакетов.

Пассивные средства безопасности

Пассивные средства сетевой безопасности применяются для мониторинга и анализа трафика в сети. Такие инструменты работают с копией трафика, полученной со SPAN-портов, ответвителей сетевого трафика (TAP) или брокеров сетевых пакетов (NPB). Пассивный мониторинг не вносит временных задержек и дополнительной служебной информации в сеть. В данное время широко используются такие пассивные средства безопасности, как IDS, Network Forensics, NBA и NTA.

Система обнаружения вторжений (IDS)

Система обнаружения вторжений (Intrusion Detection System - IDS) предназначена для мониторинга сетевого трафика на наличие вредоносных программ, эксплойтов и других киберугроз путём использования большого количества сигнатур угроз (иногда называемых правилами). Программное обеспечение IDS может быть развёрнуто на специально построенных устройствах, предоставленном пользователем оборудовании и в некоторых случаях как виртуальные устройства для VMware, Xen и других платформ виртуализации.

В настоящее время в подавляющем большинстве случаев IDS это режим работы инструментов системы предотвращения вторжений (Intrusion Prevention System IPS). Другими словами, на сегодняшний день приобрести решение, которое способно выполнять только пассивный мониторинг будет довольно проблематично. IPS относятся к более сложным и дорогим устройствам, однако, как правило, поддерживают активные IPS и пассивные IDS конфигурации в одном решении. Кроме того, компании обычно развёртывают IPS только для пассивного IDS мониторинга, особенно в ядре сети.

В пространстве IDS решений (как конфигурация пассивного мониторинга системы IPS) представлены продукты компаний Positive Technologies, Код Безопасности, Инфотекс, Smart-Soft, Info Watch, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft, Trend Micro, Check Point.

Сетевая форензика (Network Forensics)

Сетевая форензика (криминалистика) относится к технологии, которая отслеживает, записывает и анализирует трафик компьютерной сети в целях сбора информации, юридических доказательств, а также обнаружения и анализа угроз внутрикорпоративной сетевой безопасности. Эта технология часто описывается как сетевой видеомагнитофон, который записывает (буквально) все пакеты, проходящие через вашу сеть. Программное обеспечение для сетевой криминалистики чаще всего развёртывается на поставляемых поставщиками сетевых устройствах с большими объёмами памяти, но некоторые поставщики предоставляют его как программное решение только для того, чтобы клиенты могли самостоятельно выбрать оборудование для его поддержки.

Производители решений в этом пространстве MicroOLAP, Гарда Технологии, AccessData, NIKSUN, RSA (NetWitness), Solera Networks.

Анализ поведения сети (NBA) и сетевого трафика (NTA)

Большинство устройств сетевой безопасности размещаются по периметру (за межсетевым экраном) для проверки угроз, поступающих из интернета. Однако мобильные устройства, которые ежедневно приносятся в офис в кармане, могут содержать вредоносные программы, которые защита периметра может никогда и не увидеть.

Системы анализа поведения сети (Network Behavior Analysis - NBA) обнаруживает угрозы, с которыми сталкивается сеть изнутри, используя NetFlow и другие стандарты потока (cFlow, sFlow, jFlow и IPFIX), чтобы получить базовое значение для нормального сетевого трафика и обнаружить аномалии, такие как распространение вредоносных программ. Системы анализа сетевого трафика (Network Traffic Analysis - NTA) предназначены для перехвата и анализа трафика, а также для обнаружения сложных и целевых атак. С их помощью можно проводить ретроспективное изучение сетевых событий, обнаруживать и расследовать действия злоумышленников, реагировать на инциденты. NTA могут служить отличным источником данных для ситуационных центров информационной безопасности (SOC).

Производители в пространстве NBA и NTA решений Positive Technologies, Kaspersky, Group-IB, Гарда Технологии, Arbor Networks, Lancope, Riverbed Awake, Cisco, Darktrace, ExtraHop Networks, LogRhythm, Flowmon, RSA, TDS и другие.

Типичные проблемы развёртывания систем сетевой безопасности

ИТ-компании сталкиваются с многочисленными проблемами при развёртывании инструментов сетевой защиты, особенно в больших, сложных и географически распределённых сетях. Звучит знакомо? Ниже приведены кейсы, в которых распространённые проблемы систем мониторинга и информационной безопасности решаются с помощью внедрения брокера сетевых пакетов (NPB).

Кейс 1. Оптимизация сетевой инфраструктуры информационной безопасности

Современный подход к построению систем информационной безопасности ориентирован на надёжные и экономически эффективные решения, позволяющие уже внедрённым средствам безопасности отслеживать большее количество сегментов сети, повышая её видимость. При этом вновь внедряемые средства безопасности должны иметь доступ к существующим точкам съёма трафика.

Применяемые методы зеркалирования трафика с использованием SPAN-портов или ответвителей сетевого трафика (TAP) имеют свои ограничения и недостатки. Трафик SPAN-портов имеет низкий приоритет и, при повышении нагрузки на коммутаторе, начинает теряться, а при выставлении высокого приоритета, начинает теряться боевой трафик, что приводит к более опасным последствиям. Использование TAP позволяет иметь стопроцентную копию трафика, но здесь есть ограничение по количеству возможных точек установки TAP на сетевой инфраструктуре. При увеличении парка средств информационной безопасности, на каждое из которых нужно подавать трафик с одних и тех же сегментов сети, остро встаёт вопрос внедрения их в существующую инфраструктуру.

Задача: В компании, где внедрены системы обнаружения вторжений (IDS) и анализа поведения сети (NBA), разворачиваются системы Network Forensics и NTA. Для получения максимальной видимости трафика, съём осуществляется не через SPAN-порты, а через TAP. Трафик от TAP соответствующих сегментов сети необходимо доставить и распределить между четырьмя видами систем информационной безопасности.

Решение: Данная задача легко решается брокером сетевых пакетов, используя который можно агрегировать трафик, полученный через TAP из сегментов сети, оптимизировать (применить функции фильтрации, классификации, дедупликации, модификации) и зеркалировать его, балансируя на соответствующие системы информационной безопасности.

Кейс 2. Оптимизация использования средств информационной безопасности

Стандартные устройства сетевой безопасности поставляются с фиксированным количеством интерфейсов для осуществления одновременного мониторинга нескольких сегментов сети. Однако после того, как эти интерфейсы полностью заполняются, компании вынуждены покупать дополнительные единицы средств безопасности.

Задача: Компания имеет систему обнаружения вторжений (IDS) с четырьмя интерфейсами 10GbE. Трафик для мониторинга снимается с четырёх сегментов сети, при этом пиковая нагрузка на IDS не более 40%. Со временем инфраструктура сети увеличилась, и возникла необходимость дополнительно отслеживать два новых сегмента.

Решение: С расчётом на дальнейшее развитие сети и отказа от закупки дополнительной IDS в виду 40% загрузки существующей системы, решать эту задачу рациональнее с помощью брокера сетевых пакетов. В данном случае использование пакетного брокера продиктовано еще и уменьшением проблем, связанных с решением вопросов выделения места в стойке, обеспечения электропитания и кондиционирования. Брокеры сетевых пакетов могут агрегировать трафик из нескольких сегментов сети, а затем оптимизировать (выполняя функции фильтрации, классификации, зеркалирования, балансировки, дедупликации, модификации) этот трафик перед маршрутизацией в IDS. Брокеры сетевых пакетов, как правило, дешевле средств обеспечения безопасности, что позволяет компаниям разумно использовать денежные средства и материальные ресурсы, одновременно повышая отказоустойчивость и производительность инструментов.

Кейс 3. Использование инструментов безопасности 1G в современных сетях

Стандарт компьютерной сети 10-гигабитный Ethernet (10GbE или 10G) был впервые опубликован в 2002 году, но достиг критической массы к 2007 году. С тех пор 10G стал основой для крупных компьютерных сетевых инфраструктур и магистралей. Уже сейчас широко распространяются стандарты 40G/100G, а в недалёком будущем придут стандарты 200G/400G.

Практически каждая крупная компьютерная сеть имеет десятки, а то и сотни, инструментов мониторинга безопасности волоконной сети 1G. Эти устройства в зависимости от модели могут иметь возможность проверять более 1 Гбит/с трафика, но инструменты, оснащённые интерфейсами 1G, физически не могут подключаться к сетям 10G/40G/100G.

Задача: Компания модернизирует инфраструктуру сети для увеличения пропускной способности каналов внедрением нового сетевого оборудования и линий связи. На замену интерфейсам 1G приходят интерфейсы 10G/40G/100G. Существующая система информационной безопасности состоит из средств с интерфейсами 1G. Необходимо обеспечить функционирование существующей системы информационной безопасности на новой инфраструктуре.

Решение: Брокеры сетевых пакетов решают эту задачу путем агрегирования, балансировки нагрузки и оптимизации трафика (минимизация нецелевого трафика и дедупликация) из сетей 10G/40G/100G в существующие инструменты безопасности 1G. Это решение не только продлевает срок службы существующих инструментов 1G (что откладывает расходы на их замену), но и максимизирует их производительность и отказоустойчивость.


Таким образом, применение брокеров сетевых пакетов решает следующие задачи:

Из приведенных выше кейсов отлично видно, насколько просто решаются проблемы, так часто встречающиеся при построении систем информационной безопасности, выводятся на новый уровень механизмы доставки и повышения видимости трафика, повышается производительность и отказоустойчивость всей системы в целом при применении брокеров сетевых пакетов. В следующей части мы поговорим об активных средствах обеспечения сетевой безопасности, а также разберём типовые кейсы по их интеграции в сетевую инфраструктуру компании.

Подробнее..

Бег по граблям 10 уязвимостей компьютерного криминалиста

13.04.2021 12:15:42 | Автор: admin

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

1. Ставить на быструю форензику

В мире компьютерных криминалистов довольно долго считались нерушимыми требования о неизменности цифровых доказательств эти принципы были описаны еще в 2000 году в документе "ACPO Good Practice Guide for Digital Evidence".

Однако современные реалии сделали эти требования в ряде случаев невыполнимыми. Например, эксперт ужене может извлечь данные из топового смартфона, не включив его. Это необходимо не только для того, чтобы создать дамп памяти устройства (что теоретически можно было бы сделать, выпаяв микросхему памяти), но и для того, чтобы извлечь ключи шифрования, без которых нельзя получить доступ к извлеченной информации. Нельзя получить прямой доступ к данным на некоторых типах накопителей, так как на них используется шифрование данных, о котором пользователь часто даже не подозревает.

Кроме того, следовать этим принципам невозможно при доступе к работающим компьютерам, серверам и информации, находящейся в оперативной памяти и телекоммуникационных сетях. Все это в совокупности с применением форензики в расследовании инцидентов (иногда ее почему-то называют быстрой форензикой) привело к тому, что требования о неизменности цифровых доказательств стали носить не обязательный, а рекомендательный характер.

Другой важный момент в том, что некоторые криминалисты отказались использовать при исследовании специальные приемы для защиты носителей информации: аппаратные средства, нужные для неизменности исследуемых доказательств, слишком дорогие.

Несмотря на риск того, что владелец мобильного устройства отдаст удаленную команду сбросить устройство до заводских настроек и информация на нем будет потеряна, криминалисты как правило не применяют дополнительные средства защиты мобильных устройств: мешки, боксы или сетки Фарадея (изделия, блокирующие электромагнитное излучение в радиодиапазоне).

Наиболее распространенный прием защиты информации, используемый при изъятии мобильного устройства перевести его в режим полета или выключить. Однако в некоторых случаях это не защищает информацию на устройстве от изменения, а иногда и от уничтожения. Кроме того, ряд производителей, например, Apple, экспериментируют с взаимодействием выключенного устройства с другими устройствами подсистемы Apple по протоколу Bluetooth. В перспективе это может позволить владельцу устройства взаимодействовать даже с выключенным аппаратом.

Наши рекомендации:

Соблюдать процедуры криминалистически правильного изъятия носителей информации, использовать клетки Фарадея.

2. Слепо доверять результатам работы программ-комбайнов

Эволюция программ для форензики привела к появлению комбайнов, которые могут обрабатывать огромное количество различных источников данных и выдавать результаты их анализа по сотням криминалистических артефактов или критериев.

В совокупности с большим потоком цифровых носителей, поступающих к криминалистам, это привело к такому явлению, как Кнопочная форензика (Push Button Forensics). Исследователь обрабатывает поступающие к нему носители информации этой программой и передает сгенерированные ею отчеты заказчику, не анализируя результаты и не проверяя их на достоверность и полноту. Увы, подобная работа быстро приводит к деградации специалистов в профессиональном плане. У них пропадает понимание того, почему получен именно такой результат, а не иной.

Наши рекомендации:

Критически подходить к результатам, получаемым с помощью программ-комбайнов. Дважды и трижды, в том числе в ручном режиме, проверять полученные от них данные они могут быть критически важны для расследования.

3.Неэффективно использовать программные и аппаратные средства

Несмотря на прогресс в создании криминалистических программ, универсальной утилиты, с помощью которой можно было бы решать все задачи форензики, так и не появилось. Это приводит к тому, что в арсенале криминалиста всегда есть несколько программ для форензики как платных, так и бесплатных. Обзор я делал тут - посмотрите, может быть пригодится. Как правило, наиболее эффективны дорогие решения. Получается следующая ситуация: пока криминалист решает одну задачу с помощью одного продукта, другиележат на полке и не используются. Учитывая, что стоимость использования подобных решений достигает нескольких тысяч долларов в год, их нерациональное использование накладно для коммерческих организаций.

К сожалению, политика добралась и до форензики. Часть криминалистических технологий и оборудования и раньше не поставлялась западными разработчиками в Россию. В этом году наибольший резонанс вызвало то, что израильская компания Cellebrite отказалась поставлять оборудование для криминалистического исследования мобильных устройств. Компания объяснила свое решение тем, что это оборудование якобы использовалось для попыток (попыток!) взлома устройств, изъятых у оппозиционера Любови Соболь. Между тем доподлинно известно, что взломать эти устройства с помощью оборудования Cellebrite невозможно у него просто нет такого функционала.

Наши рекомендации:

Постарайтесь научиться работать с минимальным набором инструментов, но использовать его максимально эффективно.

4. Не перепроверять получаемые результаты и не относиться к ним критически

Распространение кнопочной форензики привело к тому, что у части криминалистов перестало работать критическое мышление. Например, источник информации (образ жесткого диска или данные, извлеченные из смартфона) обработали с помощью нескольких программ. При этом исследователь получил три разных результата. Насколько они достоверны? Обусловлено ли различие тем, что одна программа удаляет дубли в найденной информации, а другая нет, или тем, что одна программа извлекает дополнительные сведения из других источников (например, журнала транзакций при исследовании базы данных).

Однако часто встречается следующая ситуация: криминалист восстановил удаленный файл, но он не открывается в приложении, предназначенном для подобных типов файлов. Вместо анализа того, почему это произошло (возможно, часть файла уже невосстановимо перезатерта данными другого файла), криминалист пробует восстановить этот файл другими программами.

Наши рекомендации:

Все время повышайте свой уровень, чтобы понимать, как работают программы, как и откуда они берут данные, на основе которых формируют результаты.

5. Плохо подготовиться к изъятию накопителей информации

Кроме систем экстренного уничтожения данных, современные электронные устройства зачастую имеют встроенные системы защиты, которые ограничивают доступ к пользовательским данным. Поэтому при попытках получить доступ к таким данным часто выясняется, что они находятся в зашифрованном виде, в защищенном контейнере, на спрятанном носителе (например, флешке или карте памяти) или в недоступном облачном хранилище.

Поэтому перед изъятием носителей информации надо определить, на каких носителях может находиться нужная информация, как они защищены, где находятся физически, какие пароли и иные средства защиты использует человек, у которого они находятся, и т.п.

Наши рекомендации:

Необходимо тщательно готовиться к мероприятиям по изъятию носителей информации и продумывать действия, которые смогут нейтрализовать контрмеры владельца информации.

6. Использовать распознавание текста в графических файлах и видеофайлах

В настоящее время нет ни одного форензик-продукта, который бы хорошо распознавал тексты в графических файлах и видеофайлах. Поэтому криминалист всегда стоит перед выбором: использовать интегрированный функционал по распознаванию текстов в форензик-продуктах и допускать, что часть текстов останется нераспознанной или распознанной некорректно, или применять сторонние средства (например, ABBYY). Как правило, это приводит к тому, что часть текстовых данных, находящихся на исследуемых носителях в виде графических файлов и видеофайлов, упускается из анализа при поиске по ключевым словам.

7. Следовать популярным тенденциям вопреки здравому смыслу

При проведении расследований хорошо зарекомендовали себя аналитические системы по поиску взаимосвязей. Их применение требует больших объёмов исходных данных и относительно небольших дата-центров для их хранения. Однако практически все производители форензик-продуктов зачем-то реализовали подобный функционал у себя. Причем изначально форензик-продукты не предназначены для обработки огромных массивов исходных данных, а на небольших объёмах исходных данных получить приемлемый результат крайне сложно. Кроме того, форензик-продукты часто сохраняют результаты исследований в проприетарных, несовместимых форматах, что усложняет обмен полученными данными и их использование в сторонних аналитических программах.

8. Пытаться делать все одним специалистом

Напомню, что есть следующие виды компьютерно-технической экспертизы:

  • аппаратно-компьютерная;

  • программно-компьютерная;

  • информационно-компьютерная;

  • компьютерно-сетевая.

При этом сотрудники, отвечающие за экспертизы и исследования, должны разбираться в аппаратном обеспечении компьютерных средств и систем, криптографии, сетевых технологиях, уметь исследовать базы данных, мобильные устройства и оперативную память различных устройств. Еще им нужны навыки восстановления данных, криминалистического анализа различных операционных систем и приложений, навыки в программировании и обратной разработке программных средств и так далее.

Один человек хоть разбейся в лепешку не может обладать всеми этими компетенциями. Поэтому специалист, занимающийся форензикой, может эффективно решать задачи только в определенной ее области. Для полного охвата всех задач форензики нужна команда, в которой каждый участник имеет узкую специализацию в определенной области форензики и отвечает за соответствующее направление.

Наши рекомендации:

Как сказано выше, необходимо специализироваться в какой-то определенной области компьютерной криминалистики. Оцените, что вам больше всего подходит и развивайтесь в этом направлении.

9. Работать без профильного образования и с низким уровнем подготовки

В России специальность компьютерного криминалиста можно получить только в двух вузах. Первый Московский государственный технический университет имени Н.Э. Баумана. Там на кафедре юриспруденции готовят специалистов по судебной компьютерно-технической экспертизе. Второй вуз это ведомственное учреждение, Воронежский институт МВД. Он проводит обучение по специальности Компьютерная безопасность со специализацией Информационно-аналитическая и техническая экспертиза компьютерных систем. Кроме того, на базе этого вуза проходят повышение квалификации сотрудники экспертно-криминалистических подразделений МВД, занимающиеся компьютерными экспертизами.

Так как цифровые технологии развиваются очень быстро, это играет злую шутку с выпускниками данных учебных заведений, тратящих годы на обучение. Зачастую по окончании вуза им требуется не просто небольшая актуализация полученных знаний, а кардинальное переобучение.

Еще одна проблема отсутствие в вузах преподавателей, которые бы, c одной стороны, занимались практической деятельностью, связанной с форензикой, а с другой стороны обучением. Это необходимо, чтобы преподаватель понимал, чему и как учить студентов, актуализировал учебные материалы под существующие тренды в форензике.

Еще плохо, что книг на русском по форензике довольно мало. Информация в существующих изданиях относится к началу или середине нулевых годов и в современных реалиях безнадежно устарела. К тому же в некоторых переводах есть ошибки и неточности.

Как правило, актуальные книги и статьи по форензике можно найти только на английском языке. К сожалению, многие не владеют английским на уровне, нужном для чтения и понимания технической литературы.

Наши рекомендации:

Пройдите учебные курсы на базе образовательных учреждений. Повысить квалификацию можно на курсах, проводимых HackerU, Академией информационных систем, учебными центрами Информзащита и Специалист, Group-IB и Kaspersky.

Учите язык. Благо технический английский довольно прост. С его помощью можно быть в курсе последних тенденций и новостей в компьютерной криминалистике. Вот, например, полезная подборка книг, которую должен прочитать любой компьютерный криминалист.

10. Остановиться в своем развитии, пеняя на необъективный рынок труда

Есть довольно затертая, но меткая цитата Льюиса Кэрролла, которая годится и для нашей темы: в форензике, чтобы оставаться компетентным, надо бежать изо всех сил. А чтобы развиваться в ней, надо бежать еще быстрее. Таковы наши реалии.

Однако многие действующие криминалисты не готовы тратить деньги и прикладывать огромные усилия, чтобы следить за всеми изменениями, поддерживать свои знания в актуальном состоянии и развивать их.

На рынке труда складывается уникальная ситуация. Работодатели предъявляют высокие требования к компетенциям криминалистов, но обычно не готовы адекватно оценивать их работу. Например, от специалиста в области форензики, требуется знание основ обратной разработки (реверса). При этом специалисту в области реверса готовы платить на 20-35% больше, чем специалисту в области форензики (причем требования к реверс-инженеру в целом значительно ниже). Еще печальнее ситуация выглядит, если сравнить уровень зарплат криминалиста и программиста и требования к ним. Криминалисту приходится тратить гораздо больше усилий, чтобы получать столько же или меньше, чем специалисты из смежных областей. Подобные условия приводят к оттоку специалистов из форензики в другие области, связанные с информационными технологиями, программированием и информационной безопасностью.

Наши рекомендации:

Покажите работодателю, насколько важна ваша работа и насколько вы ценный специалист.


Вывод? Мне кажется, он достаточно простой: форензика переживает непростые времена. Для того, чтобы она могла и дальше защищать интересы пользователей и бизнеса, нужно переосмыслить место этой научной дисциплины в сегодняшнем мире или трансформировать ее в соответствии с современными тенденциями и потребностями общества.

Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru