Форензика это прежде всего наука. Даниэль Клюев

Даниэль Клюев

эксперт в области извлечения и анализа данных из ПК, «МКО-Systems»
Формат
Запись

Даниэль Клюев, ведущий эксперт по работе с данными, отвечает на вопросы нашей команды о форензике.

Даниэль участвовал в нашем эфире “Российская форензика в условиях нового времени” и рассказал что отличает фонензику от других направлений ИБ и как он сам пришел в эту науку.

 

Хочется спросить тебя о каких-то вещах, которые для обычных людей-неспециалистов, как правило, могут являться темным лесом. Форензика, что это такое и какую часть эта наука занимает в информационной безопасности?

Правильно сказано, что это прежде всего наука. Т.е. что отличает форензику от всего остального, как это обычно прописано? Это научная обоснованность совершаемых действий, то есть в принципе одни и те же действия могут быть и форензикой, а могут и не быть. Есть определенные критерии, позволяющие отнести какую-то деятельность именно к форензике:

  • Во-первых, это все научно обоснованно
  • Во-вторых, все что происходит строго фиксируется
  • В-третьих, обеспечивается сохранность собранных материалов, обеспечивается их неизменяемость непрерывность и т.д.

Т.е. форензика это проще говоря сбор каких-то цифровых доказательств. Плюс некая процедурная нагрузка. Мы можем собирать доказательства без форензкики, но тогда отсутствие этой процедурной нагрузки нам потом может выйти боком, когда мы попытаемся это как-то использовать.

Форензика говорит о том, как и что собирать так, чтобы потом мы могли это как-то использовать именно в юридически значимых процедурах.

Понятно, что здесь всё ничего не понятно в нашем законодательстве. Прописаны экспертизы, т.е. вот это понятная всем форензика, и многие даже ассоциируют Digital forensics = судебная компьютерно-техническая экспертиза. Ну конечно же нет, не равно, потому что в законе нет Digital forensics. Соответственно, никто нигде не прописывал, что есть такое равенство. Соответственно, есть общая методология, но в СКТ есть более жесткие рамки.

Т.е. если у нас именно компьютерная экспертиза, эксперт ограничен вопросами, поставленными судом, следователем или адвокатом. Например, вопрос: есть ли на этом образе диска информация, содержащая то-то? И он отвечает: «да, есть» либо «нет».

Он не пытается как-то в этом разбираться. Если ему не поставили вопрос, откуда она появилась, он этим и не заморачивается, потому что это не его задача. Более того, прямо запрещено эксперту собирать дополнительные материалы. Он может предоставить дополнительную информацию, выходящую за рамки вопросов, но он не имеет право самостоятельно собирать доказательства. Если ему предоставили конкретный образ диска, ничего кроме этого образа диска, он в своем экспертном заключении не имеет права.  

А, в принципе, в криминалистике, особенно, когда мы говорим про корпоративную среду, наоборот приветствуется, чтобы человек, который занимается форензикой собрал, изучил, нашел как можно больше.

Соответственно, все-таки в моем понимании, в понимании большинства корпоративного сектора, это неравные вещи.

Есть экспертизы. Это прям совсем узкая вещь.

Есть более широкая вещь, когда мы используем научные подходы, используем какую-то выработанную за десятилетие методологию.

Цифровая форензика появилась, как только появились цифровые устройства, компьютерные инциденты в далеких-далеких годах, когда еще даже OC Windows не было.  А форензика уже была, до этого техническая, а до этого телефонная, до этого телеграф.

Когда у нас есть инцидент, есть техника, у нас есть необходимость с этой техникой как-то разбираться и понимать, что с ней происходит. Если мы разбираемся и понимаем, что происходит, используя какие-то обоснованные наукой подходы, все это регламентируется в рамках определенных процедур – мы получаем форензику.

 

Ну, вот ты сейчас сказал слово “инцидент” и хочется докопаться до этого. Какие инциденты? У тебя 15 лет опыта работы именно в криминалистике. С какими историями приходится сталкиваться чаще всего?

У меня где-то 50 на 50.

Половина — это malware и всё, что с этим связано.

Инцидент никогда не бывает сам по себе. Если у нас в системе malware, значит есть злоумышленник, который пытался реализовать какие-то свои замыслы. Соответственно, есть и malware, и какие-то действия, совершаемые руками злоумышленника, есть утечка данных. Т.е. это всегда комплексная история. Мы не просто исследуем malware и удаляем его.

Для человека, который занимается реагированием вопрос всегда стоит шире. Заказчики всегда хотят знать кто их взломал и что он сделал.

Вторые 50% – это те люди, которые имеют доступ и используют его не так, как было установлено и предполагалось. Это то, что сейчас называется “инсайдеры”.

Надо понимать, что это очень широкая категория инцидентов.

Может быть и что-то не очень критичное.

Например, два конкурирующих человека, вставляющих друг другу палки в колёса. Это не то, чтобы они пошли сливать какую-то информацию конкурентам, а скорее внутренний конфликт, который тоже можно средствами компьютерной криминалистики исследовать, потому что сейчас всё в телефонах или компьютерах.

Но чаще всего, я сталкивался с ситуациями, когда речь идёт об утечке данных, у нас либо был malware, либо были подозрения, что у нас есть инсайдер, который это передаёт добровольно.

Были, кстати, и комбинированные кейсы, когда человека подозревали, но до конца доказать, что malware он ставил умышленно, не удалось, т.к. несколько раз повторялись инциденты, но чисто техническими средствами нельзя доказать мотив. Мы можем, конечно, подтвердить, что человек открыл письмо и запустил вредоносное ПО, но был ли это умысел криминалистика сказать не может.  

 

Можешь назвать пять любимых своих инструментов для того, чтобы проводить какие-то исследование?

Да!

  1. Прежде всего volatility – вещь незаменимая, аналогов я не знаю даже среди коммерческих инструментов. Это мастхэв, без него никуда.
  2. Я отмечу Зиммермана. Я про него всегда говорю. Здесь опять же бесспорно крутой специалист, который делает крутые инструменты. Они бесплатны, но при этом обходят по качеству коммерческий софт.
  3. Нирсофт.

 

Прекрасная вещь. Это отличный пример того, как из простой идеи визуализации логов можно вытащить максимум.

  1.  ТСК. Помогает быстро, точечно разобраться в каких-то ситуациях. Всё консольно, просто.
  2.  “Мобильный криминалист”. 

 

Ты достаточно известный специалист, постоянно мелькаешь на каких-то форумах и конференциях. Скажи, а как ты к этому пришёл? С чего началась любовь к форензике?

Я начал с другой стороны. Я начал с редтиминга в максимально приближенных условиях без согласия второй стороны. Мне всегда это было интересно, и как-то так пошло, что сначала знакомые попросили разобраться с их инцидентом, когда их взломали. И как-то вот пошло, что я стал в этом разбираться, глубже копаться.

 

Не возникает ощущения, что чем-то не тем ты занимаешься?

Нет, не возникает. Форензика тоже довольно интересна, особенно когда ты разбираешься в каких-то сложных кейсах. Очень увлекательно противостояние с тем, кто пытается скрыть свои следы.

Особенно если мы говорим не про вскрытие пациента далеко после кейса, а про живую работу с развивающейся в данный момент ситуацией, когда другая сторона тоже делает какие-то ответные ходы.

 

Скажи, каким ты видишь рынок форензики? Те кейсы, с которыми возможно предстоит столкнуться коллегам в ближайший год?

Сложный вопрос. Про рынок я вижу тенденцию, что сейчас те, кто остался, начинают между собой партнерство налаживать.

Ну и в принципе стремление сделать всё.

Всё идёт к тому, что оставшиеся крупные вендоры пытаются расползтись по всем нишам. Сделать решение, которое умеет всё, и даже кофе варит. Наверное, это в чём-то хорошо, а в чём-то плохо, потому что в погоне за такой широкой поддержкой всего теряется глубокая экспертиза по конкретным деталям.

Но это и раньше было актуально, когда были зарубежные альтернативы.

Я думаю, что мы будем уходить в эти крупные вендоры, которые делают всё от А до Я, потому что их осталось немного.

 

Заказать репортаж