Манипуляция данными и компьютерные инциденты

Проблемы уничтожения и восстановления данных диалектически связаны. Обе становятся особенно актуальными при необходимости провести судебную экспертизу компьютера (computer forensics). Этим вопросам была посвящена X Международная научно-практическая конференция, прошедшая в Севастополе 25–29 июня. В числе ее организаторов – компания «ЕПОС», Национальная академия наук Украины, Государственный комитет информатизации, Институт проблем регистрации информации НАНУ.

Сергей Чеховский: «Внутренние атаки в настоящее время занимают одно из первых мест среди всех инцидентов, связанных с нарушением информационной безопасности»

От имени организаторов участников конференции приветствовали профессор Александр Богданов (НТТУ «КПИ») и генеральный директор «ЕПОС» Сергей Коженевский. Затем перед аудиторией выступил коммерческий директор «ЕПОС» Сергей Чеховский. Тематика его презентаций охватывала состояние и развитие в Украине computer forensics (в данном контексте – компьютерная криминалистика), защиту ресурсов Интернета и расследование инцидентов, вызванных внутренними атаками.

Вначале докладчик остановился на определении термина computer forensics. Очевидно, нашим читателям это тоже будет интересно. Слово forensics является сокращением от forensic science, что, в свою очередь, обозначает применение широкого спектра научных методов для ответа на вопросы, связанные с судебной системой. Computer forensics, часто называемая digital forensics (цифровая криминалистика), является разделом forensic science, относящимся к законности доказательств, найденных в компьютерах и системах хранения данных.

В задачи цифровой криминалистики входят извлечение, идентификация, сохранение и документирование цифровых доказательств. Поэтому при расследовании ИТ-инцидентов очень часто возникает необходимость в восстановлении данных, в том числе и при физическом разрушении носителя.

Компания «ЕПОС» предлагает комплекс услуг в области цифровой криминалистики, в частности съем данных со всевозможных устройств хранения, восстановление информации, утерянной или искаженной в результате физического или программного воздействия на ПК и СХД. Порядок расследования ИТ-инцидентов, принятый в «ЕПОС», базируется на известной модели, включающей четыре этапа: оценку ситуации, сбор данных, их анализ и представление результатов.

Сергей Коженевский: «Для уничтожения данных в случае поврежденных накопителей используется прибор "Лавина"»

Переходя к вопросам защиты ресурсов Интернета и угрозам изнутри компаний, докладчик отметил, что, по оценкам многих исследовательских центров, внутренние атаки в настоящее время занимают одно из первых мест среди всех инцидентов, связанных с нарушением информационной безопасности.

Можно выделить три основных способа утечки информации при внутренних атаках: сетевой (передача через Интернет), локальный (копирование на внешние носители) и незаконное завладение носителем.

Для предотвращения утечек через Интернет применяются различные системы DLP. Однако все же наиболее актуальной является утечка информации через внешние носители. Эта проблема решается ограничением доступа пользователей к внешним портам на программном или физическом уровне.

Физическое ограничение доступа к внешним портам и жестким дискам ПК обеспечивает предлагаемый «ЕПОС» способ построения защищенной ЛВС с выносными консолями на оптоэлектронных развязках. При этом ПК становятся физически недоступными для пользователей. К программным способам ограничения доступа к внешним портам относятся такие известные средства, как Poinsec Protector, DeviceLock, Zlock, InfoWatch Device Monitor и ряд других.

Утечка может произойти и вследствие неправильного или неэффективного стирания информации с магнитных носителей. О проблемах гарантированного уничтожения данных и применении «информационных сейфов» рассказал Сергей Коженевский. Он напомнил, что способы уничтожения данных на жестких дисках делятся на три группы. Программные, наиболее простые и естественные, осуществляются посредством перезаписи. Однако при изношенном или неисправном накопителе провести надежное стирание невозможно. Механические связаны с повреждением основы, на которую нанесен магнитный слой, но одни из них экологически небезопасны, другие требуют дорогостоящего оборудования. Физические заключаются в перестройке структуры магнитного материала рабочих поверхностей носителя. В настоящее время применяется преимущественно воздействие мощным магнитным импульсом с целью намагничивания рабочей поверхности до насыщения.

Юрий Рудаков: «Метод оптических развязок и консольная схема позволяют снизить риски несанкционированного физического воздействия на носители данных и повысить их защищенность от утечек по техническим каналам»

«ЕПОС» предлагает ряд устройств уничтожения данных физическими способами. Многофункциональный прибор EPOS DiskMaster Portable предназначен для быстрого уничтожения данных, копирования, диагностики и ремонта НЖМД и поддерживает интерфейсы PATA, SATA и eSATA независимо от производителя, модели и емкости. Если поврежден накопитель, используется «Лавина», воздействующая на носитель мощным электромагнитным импульсом. При угрозе физического изъятия накопителя для уничтожения данных может служить информационный сейф «Кольчуга», который встраивается в системный блок или подключается в качестве внешнего или сетевого накопителя. В нем реализованы различные способы запуска процесса: ручной, удаленный (с помощью мобильного телефона или радиобрелока) и автоматический (при срабатывании датчиков).

Детали построения защищенных ИС и ЛВС, о которых упоминал Сергей Чеховский, представил Юрий Рудаков, начальник отдела ИС компании «ЕПОС». Заметив, что практически все ИС строятся на базе ЛВС, докладчик охарактеризовал способы хранения данных в одно- и многоранговых сетях и терминальных системах. Он акцентировал внимание слушателей на том, что при традиционном построении ЛВС вероятность реализации угроз остается высокой. Для ее снижения компания предлагает метод, названный «консольным». При его применении системные блоки пользователей размещаются в экранированном шкафу, а все коммуникационные связи выполняются с помощью оптоволокна. Для этого компанией были специально разработаны модули интерфейсных оптоэлектронных преобразователей. Уменьшение количества медных соединений влечет снижение возможностей перехвата данных. В целом использование метода оптических развязок и консольная схема позволяют снизить риски несанкционированного физического воздействия на носители и повысить их защищенность от утечек по техническим каналам.

Участники конференции также прослушали доклады о проблемах съема данных с современных накопителей и восстановления информации с поврежденных флэш-карт, средствах анализа сигналов интерфейса АТА и предотвращении утечек по техническим каналам.