В современном мире мы все чаще слышим о киберинцидентах, хакерах и APT-группах.
В этом контексте некоторые термины в настоящее время стали общеупотребительными, другие остаются менее очевидными и не всегда известны. Вторая категория попадает в эту вторую категорию. Цифровая криминалистика (ранее известный как «компьютерная криминалистика»). Попробуем понять, о чем речь...
Как всегда, мы начинаем с некоторых определений, например, NIST говорит, что «цифровая криминалистика» означает «применение компьютерных наук и процедур расследования, включающих изучение цифровых доказательств - после надлежащего поиска, цепочки поставок, математической проверки, использования проверенных инструментов, повторяемости, отчетности и, возможно, показаний экспертов» (Применение информационных технологий и следственных процедур, включающих изучение цифровых доказательств - после соответствующего разрешения на поиск, цепочки сохранности, математической проверки, использования проверенных инструментов, повторяемости, отчетности и, возможно, показаний экспертов).
На практике речь идет об использовании следственных процедур и информатики, применяемых при расследовании криминальных событий, для установления того, что произошло.
В другом документе NIST мы находим другое определение с некоторой дополнительной информацией: «Процесс, используемый для получения, сохранения, анализа и представления доказательств с использованием научных методов, которые являются явно надежными, точными и повторяемыми, так что их можно использовать в судебных разбирательствах».
Из этого второго определения ясно вытекает необходимость использования для сбора доказательств киберпреступлений надежных, точных и воспроизводимых научных методов с целью использования собранных доказательств в судебных разбирательствах.
Вышеупомянутое имеет большое значение для групп ИТ-безопасности, которые работают в сфере «оборонительной безопасности» и занимаются анализом доказательств атак в цифровой сфере, таких как кибершпионаж, кража личных данных, кража интеллектуальной собственности, патентов, преступлений. совершенные в Интернете, такие как мошенничество и так далее.
Основные виды деятельности, осуществляемые теми, кто этим занимается Цифровая криминалистика по сути они следующие:
- анализ журнал сети-нарушителя: журналы (записи событий), выполненные в сетях, затронутых преступлением или использованных для совершения преступления, могут помочь понять, как произошла кибератака, а иногда это также дает представление о том, кто мог быть автором;
- анализ Файловая система: необходимо создать копию файловой системы, не причиняя ей повреждений и модификаций, и приступить к анализу установленных программ, удаленных или перезаписанных файлов и попытке их восстановления. Сбор этой информации позволяет выявить доказательства совершенных преступлений и определить временной период происшествия.
- анализ системные журналы: необходимо собирать и анализировать системные журналы, в которых собирается информация о том, что произошло с компьютерной системой или системами.
Некоторые из этих действий могут выполняться во время работы систем, пока пользователи выполняют свою деятельность, другие должны выполняться при выключенных системах. В любом случае собранные данные должны тщательно храниться и соответствовать четко определенным критериям, поскольку они могут быть соответствующим преступником.
Сказанное таким образом кажется простым, но это не так.
Сделать Цифровая криминалистика Существует множество полезных программ, как бесплатных, так и платных, которые могут помочь в сборе доказательств. Я упомяну лишь некоторые из них. Я уверен, что ваше любопытство приведет вас к открытию многих других:
- проводная акула: сетевой анализатор;
- Кислородный судебно-медицинский комплекс: анализатор для мобильных устройств;
- Цифровая криминалистика вскрытия: полный пакет аналитики.
И теперь ваша очередь, получайте удовольствие, используя эти инструменты, они бесплатны и их можно бесплатно загрузить.
Как всегда, спасибо друзьям SICYNT!
Для углубления:
- https://csrc.nist.gov/glossary/term/digital_forensics
- https://www.salvationdata.com/knowledge/digital-forensics-software/
- https://www.fastweb.it/fastweb-plus/digital-magazine/come-analizzare-il-...
