Security Lab

Сохраняйся!

Сохраняйся!
Есть предметы, которые мы стремимся обязательно иметь под рукой, но надеемся, что они никогда не пригодятся. Это медицинский жгут, огнетушитель, пистолет... Нет, последний пример неудачный. Лучше я назову дупликатор жёстких дисков.

Инцидент в информационной системе может случиться в любую секунду. Вот только что всё было нормально, а вот уже там хозяйничает какой-то злохакер, дикий троян или, упаси боже, злоинсайдер. С одной стороны, надо бегом всё исправлять, восстанавливать работу и затыкать дырки. С другой стороны, следует огородить место происшествия и ничего не трогать до приезда следственной группы. Если, конечно, вы хотите дать делу законный ход и довести до Фемиды, что невозможно без сбора доказательств. А все доказательства – они там, на диске хакнутого сервера. Там же, где ваша рабочая база, клиентский интерфейс, интернет-магазин, депозитарий документов – всё то, что приносит вам доход.

В двух случаях из трёх встаёт дилемма: расследование или бизнес. Либо мы попытаемся наказать киберпреступников, либо позволим нашему предприятию продолжить работу. Неприятный выбор. Избежать его позволяет простое устройство.

Копия диска, которую снимают таким устройством, называется "криминалистическая" или "посекторная" или "forensic copy". На ней в дальнейшем можно искать и находить цифровые доказательства точно так же, как на оригинальном диске. Включая удалённые файлы, стёртые записи БД, область подкачки (swap) и т.д. Такая криминалистическая копия годится для любой экспертизы и служит источником доказательств такой же юридической силы, как исходный диск.

Поэтому каждый уважающий себя информзащитник держит в тревожном чемоданчике криминалистический дупликатор и несколько терабайтных жёстких дисков. Их желательно предварительно заполнить нулями, чтобы прежнее содержимое случайно не попало на экспертизу.

В принципе, криминалистическую копию можно снять и на обычном компьютере. Втыкаете туда исходный и чистый диски (первый – в режиме read-only, разумеется) и копируете утилитой dd, которая имеется в составе любой ОС (кроме Windows). Есть и отдельные программы для криминалистического копирования с фичами, обвесами и наворотами. Но аппаратный дупликатор всё же удобней и быстрей.

Кстати, в некоторых продвинутых конторах делают криминалистическую копия диска компьютера сотрудника при его увольнении. Мало ли чего потом всплывёт. А то можно и порасследовать. На диске много чего оседает такого, о чём даже не каждый айтишник ведает.

Поднимите руки, у кого заготовлен дупликатор? А остальные – как? Рабочий диск на экспертизу отправите?

политика безопасности криминалистика
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

InfoWatch

Блог компании infowatch infowatch.livejournal.com