Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.
1. Ставить на «быструю форензику»
В мире компьютерных криминалистов довольно долго считались нерушимыми требования о неизменности цифровых доказательств — эти принципы были описаны еще в 2000 году в документе "ACPO Good Practice Guide for Digital Evidence".
Однако современные реалии сделали эти требования в ряде случаев невыполнимыми. Например, эксперт уже не может извлечь данные из топового смартфона, не включив его. Это необходимо не только для того, чтобы создать дамп памяти устройства (что теоретически можно было бы сделать, выпаяв микросхему памяти), но и для того, чтобы извлечь ключи шифрования, без которых нельзя получить доступ к извлеченной информации. Нельзя получить прямой доступ к данным на некоторых типах накопителей, так как на них используется шифрование данных, о котором пользователь часто даже не подозревает.
Кроме того, следовать этим принципам невозможно при доступе к работающим компьютерам, серверам и информации, находящейся в оперативной памяти и телекоммуникационных сетях. Все это в совокупности с применением форензики в расследовании инцидентов (иногда ее почему-то называют быстрой форензикой) привело к тому, что требования о неизменности цифровых доказательств стали носить не обязательный, а рекомендательный характер.
Другой важный момент в том, что некоторые криминалисты отказались использовать при исследовании специальные приемы для защиты носителей информации: аппаратные средства, нужные для неизменности исследуемых доказательств, слишком дорогие.
Несмотря на риск того, что владелец мобильного устройства отдаст удаленную команду сбросить устройство до заводских настроек и информация на нем будет потеряна, криминалисты как правило не применяют дополнительные средства защиты мобильных устройств: мешки, боксы или сетки Фарадея (изделия, блокирующие электромагнитное излучение в радиодиапазоне).
Наиболее распространенный прием защиты информации, используемый при изъятии мобильного устройства — перевести его в режим полета или выключить. Однако в некоторых случаях это не защищает информацию на устройстве от изменения, а иногда и от уничтожения. Кроме того, ряд производителей, например, Apple, экспериментируют с взаимодействием выключенного устройства с другими устройствами подсистемы Apple по протоколу Bluetooth. В перспективе это может позволить владельцу устройства взаимодействовать даже с выключенным аппаратом.
Наши рекомендации:
Соблюдать процедуры криминалистически правильного изъятия носителей информации, использовать клетки Фарадея.
2. Слепо доверять результатам работы «программ-комбайнов»
Эволюция программ для форензики привела к появлению «комбайнов», которые могут обрабатывать огромное количество различных источников данных и выдавать результаты их анализа по сотням криминалистических артефактов или критериев.
В совокупности с большим потоком цифровых носителей, поступающих к криминалистам, это привело к такому явлению, как «Кнопочная форензика» (Push Button Forensics). Исследователь обрабатывает поступающие к нему носители информации этой программой и передает сгенерированные ею отчеты заказчику, не анализируя результаты и не проверяя их на достоверность и полноту. Увы, подобная работа быстро приводит к деградации специалистов в профессиональном плане. У них пропадает понимание того, почему получен именно такой результат, а не иной.
Наши рекомендации:
Критически подходить к результатам, получаемым с помощью «программ-комбайнов». Дважды и трижды, в том числе в ручном режиме, проверять полученные от них данные — они могут быть критически важны для расследования.
3. Неэффективно использовать программные и аппаратные средства
Несмотря на прогресс в создании криминалистических программ, универсальной утилиты, с помощью которой можно было бы решать все задачи форензики, так и не появилось. Это приводит к тому, что в арсенале криминалиста всегда есть несколько программ для форензики — как платных, так и бесплатных. Обзор я делал тут - посмотрите, может быть пригодится. Как правило, наиболее эффективны дорогие решения. Получается следующая ситуация: пока криминалист решает одну задачу с помощью одного продукта, другие «лежат на полке» и не используются. Учитывая, что стоимость использования подобных решений достигает нескольких тысяч долларов в год, их нерациональное использование накладно для коммерческих организаций.
К сожалению, политика добралась и до форензики. Часть криминалистических технологий и оборудования и раньше не поставлялась западными разработчиками в Россию. В этом году наибольший резонанс вызвало то, что израильская компания Cellebrite отказалась поставлять оборудование для криминалистического исследования мобильных устройств. Компания объяснила свое решение тем, что это оборудование якобы использовалось для попыток (попыток!) взлома устройств, изъятых у оппозиционера Любови Соболь. Между тем доподлинно известно, что взломать эти устройства с помощью оборудования Cellebrite невозможно — у него просто нет такого функционала.
Наши рекомендации:
Постарайтесь научиться работать с минимальным набором инструментов, но использовать его максимально эффективно.
4. Не перепроверять получаемые результаты и не относиться к ним критически
Распространение кнопочной форензики привело к тому, что у части криминалистов перестало работать критическое мышление. Например, источник информации (образ жесткого диска или данные, извлеченные из смартфона) обработали с помощью нескольких программ. При этом исследователь получил три разных результата. Насколько они достоверны? Обусловлено ли различие тем, что одна программа удаляет дубли в найденной информации, а другая нет, или тем, что одна программа извлекает дополнительные сведения из других источников (например, журнала транзакций при исследовании базы данных).
Однако часто встречается следующая ситуация: криминалист восстановил удаленный файл, но он не открывается в приложении, предназначенном для подобных типов файлов. Вместо анализа того, почему это произошло (возможно, часть файла уже невосстановимо перезатерта данными другого файла), криминалист пробует восстановить этот файл другими программами.
Наши рекомендации:
Все время повышайте свой уровень, чтобы понимать, как работают программы, как и откуда они берут данные, на основе которых формируют результаты.
5. Плохо подготовиться к изъятию накопителей информации
Кроме систем экстренного уничтожения данных, современные электронные устройства зачастую имеют встроенные системы защиты, которые ограничивают доступ к пользовательским данным. Поэтому при попытках получить доступ к таким данным часто выясняется, что они находятся в зашифрованном виде, в защищенном контейнере, на спрятанном носителе (например, флешке или карте памяти) или в недоступном облачном хранилище.
Поэтому перед изъятием носителей информации надо определить, на каких носителях может находиться нужная информация, как они защищены, где находятся физически, какие пароли и иные средства защиты использует человек, у которого они находятся, и т.п.
Наши рекомендации:
Необходимо тщательно готовиться к мероприятиям по изъятию носителей информации и продумывать действия, которые смогут нейтрализовать контрмеры владельца информации.
6. Использовать распознавание текста в графических файлах и видеофайлах
В настоящее время нет ни одного форензик-продукта, который бы хорошо распознавал тексты в графических файлах и видеофайлах. Поэтому криминалист всегда стоит перед выбором: использовать интегрированный функционал по распознаванию текстов в форензик-продуктах и допускать, что часть текстов останется нераспознанной или распознанной некорректно, или применять сторонние средства (например, ABBYY). Как правило, это приводит к тому, что часть текстовых данных, находящихся на исследуемых носителях в виде графических файлов и видеофайлов, упускается из анализа при поиске по ключевым словам.
7. Следовать популярным тенденциям вопреки здравому смыслу
При проведении расследований хорошо зарекомендовали себя аналитические системы по поиску взаимосвязей. Их применение требует больших объёмов исходных данных и относительно небольших дата-центров для их хранения. Однако практически все производители форензик-продуктов зачем-то реализовали подобный функционал у себя. Причем изначально форензик-продукты не предназначены для обработки огромных массивов исходных данных, а на небольших объёмах исходных данных получить приемлемый результат крайне сложно. Кроме того, форензик-продукты часто сохраняют результаты исследований в проприетарных, несовместимых форматах, что усложняет обмен полученными данными и их использование в сторонних аналитических программах.
8. Пытаться делать все одним специалистом
Напомню, что есть следующие виды компьютерно-технической экспертизы:
аппаратно-компьютерная;
программно-компьютерная;
информационно-компьютерная;
компьютерно-сетевая.
При этом сотрудники, отвечающие за экспертизы и исследования, должны разбираться в аппаратном обеспечении компьютерных средств и систем, криптографии, сетевых технологиях, уметь исследовать базы данных, мобильные устройства и оперативную память различных устройств. Еще им нужны навыки восстановления данных, криминалистического анализа различных операционных систем и приложений, навыки в программировании и обратной разработке программных средств и так далее.
Один человек — хоть разбейся в лепешку — не может обладать всеми этими компетенциями. Поэтому специалист, занимающийся форензикой, может эффективно решать задачи только в определенной ее области. Для полного охвата всех задач форензики нужна команда, в которой каждый участник имеет узкую специализацию в определенной области форензики и отвечает за соответствующее направление.
Наши рекомендации:
Как сказано выше, необходимо специализироваться в какой-то определенной области компьютерной криминалистики. Оцените, что вам больше всего подходит и развивайтесь в этом направлении.
9. Работать без профильного образования и с низким уровнем подготовки
В России специальность компьютерного криминалиста можно получить только в двух вузах. Первый — Московский государственный технический университет имени Н.Э. Баумана. Там на кафедре юриспруденции готовят специалистов по судебной компьютерно-технической экспертизе. Второй вуз — это ведомственное учреждение, Воронежский институт МВД. Он проводит обучение по специальности «Компьютерная безопасность» со специализацией «Информационно-аналитическая и техническая экспертиза компьютерных систем». Кроме того, на базе этого вуза проходят повышение квалификации сотрудники экспертно-криминалистических подразделений МВД, занимающиеся компьютерными экспертизами.
Так как цифровые технологии развиваются очень быстро, это играет злую шутку с выпускниками данных учебных заведений, тратящих годы на обучение. Зачастую по окончании вуза им требуется не просто небольшая актуализация полученных знаний, а кардинальное переобучение.
Еще одна проблема — отсутствие в вузах преподавателей, которые бы, c одной стороны, занимались практической деятельностью, связанной с форензикой, а с другой стороны — обучением. Это необходимо, чтобы преподаватель понимал, чему и как учить студентов, актуализировал учебные материалы под существующие тренды в форензике.
Еще плохо, что книг на русском по форензике довольно мало. Информация в существующих изданиях относится к началу или середине нулевых годов и в современных реалиях безнадежно устарела. К тому же в некоторых переводах есть ошибки и неточности.
Как правило, актуальные книги и статьи по форензике можно найти только на английском языке. К сожалению, многие не владеют английским на уровне, нужном для чтения и понимания технической литературы.
Наши рекомендации:
Пройдите учебные курсы на базе образовательных учреждений. Повысить квалификацию можно на курсах, проводимых HackerU, Академией информационных систем, учебными центрами «Информзащита» и «Специалист», Group-IB и Kaspersky.
Учите язык. Благо технический английский довольно прост. С его помощью можно быть в курсе последних тенденций и новостей в компьютерной криминалистике. Вот, например, полезная подборка книг, которую должен прочитать любой компьютерный криминалист.
10. Остановиться в своем развитии, пеняя на необъективный рынок труда
Есть довольно затертая, но меткая цитата Льюиса Кэрролла, которая годится и для нашей темы: в форензике, чтобы оставаться компетентным, надо бежать изо всех сил. А чтобы развиваться в ней, надо бежать еще быстрее. Таковы наши реалии.
Однако многие действующие криминалисты не готовы тратить деньги и прикладывать огромные усилия, чтобы следить за всеми изменениями, поддерживать свои знания в актуальном состоянии и развивать их.
На рынке труда складывается уникальная ситуация. Работодатели предъявляют высокие требования к компетенциям криминалистов, но обычно не готовы адекватно оценивать их работу. Например, от специалиста в области форензики, требуется знание основ обратной разработки (реверса). При этом специалисту в области реверса готовы платить на 20-35% больше, чем специалисту в области форензики (причем требования к реверс-инженеру в целом значительно ниже). Еще печальнее ситуация выглядит, если сравнить уровень зарплат криминалиста и программиста и требования к ним. Криминалисту приходится тратить гораздо больше усилий, чтобы получать столько же или меньше, чем специалисты из смежных областей. Подобные условия приводят к оттоку специалистов из форензики в другие области, связанные с информационными технологиями, программированием и информационной безопасностью.
Наши рекомендации:
Покажите работодателю, насколько важна ваша работа и насколько вы ценный специалист.
Вывод? Мне кажется, он достаточно простой: форензика переживает непростые времена. Для того, чтобы она могла и дальше защищать интересы пользователей и бизнеса, нужно переосмыслить место этой научной дисциплины в сегодняшнем мире или трансформировать ее в соответствии с современными тенденциями и потребностями общества.