Сегодня информационные технологии плотно вошли в нашу повседневную жизнь – общение, обмен файлами и банкинг уже невозможно представить без Интернета. Объем транзакции в сети Интернет вырос до невероятных объемов, так в 2016 году мировой объем онлайн платежей превысил объем наличного расчета.
Однако следует обратить внимание и на обратную сторону медали. в том же 2016 году ущерб от мировой киберпреступности превысил 600 млрд. рублей, а лабораторией PandaLabs было перехвачено свыше 800 млн. образцов новых вирусов и вредоносных программ, а раскрываемость таких преступлений находится на уровне 34%.
МВД России не ведет прямой учет статистики по динамике киберпреступлений, поэтому обратимся к иному авторитетному мнению. В ходе брифинга, «Тенденции развития современной киберпреступности», проходившего 18 октября в Сочи в рамках Всемирного фестиваля молодежи и студентов, свое мнение высказал Илья Сачков основатель и совладелец компании Group-IB, занимающейся расследованием и предотвращением киберпреступлений. «Статистика МВД говорит о росте количества заявлений о компьютерных преступлениях. Но большинство людей о них не заявляют, у нас раскрытие компьютерной преступности около 7%. Получается, что 93% из тех, кто обратились, не получили от государства того, что ожидают (расследования, доказывания, возвращения актива – денег, информации, репутации) – они второй раз в полицию не пойдут. Поэтому статистика показывает количество оптимистов».
Для эффективного расследования киберпреступлений специалисты всегда должны использовать актуальное программное обеспечение и быть в тренде новаций в сфере форензики. «Термин «forensics» является сокращенной формой «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – именно то, что в русском именуется криминалистикой. Соответственно, раздел криминалистики, изучающий компьютерные доказательства, называется по-английски «computer forensics». При заимствовании слово сузило свое значение. Русское «форензика» означает не всякую криминалистику, а именно компьютерную».
Для определенных типов преступлений характерны отдельные наборы программ, так для расследования преступлений, для которых характерно активное сетевое взаимодействие, например онлайн-мошенничество следует использовать программы для анализа трафика. Наиболее популярной утилитой в данном направлении является WireShark, её можно рассматривать как анализатор входящего и исходящего трафика, следует отметить, что данная программа находится в свободном доступе, однако весь потенциал данной программы как средства криминалистического исследования сможет раскрыть лишь высококвалифицированный специалист. Буквально значение данных программ можно объяснить лишь представив, что возможно заглянуть в сетевой кабель и увидеть весь поток информации, что течет по нему, доставая лишь то, что необходимо для расследования. Так же к программам-анализаторам трафика можно отнести SiLK Tools и ряд иных Open Source – проектов.
А что если идет речь о разработке вредоносного программного обеспечения, и преступление совершалось в рамках одного компьютера, не подключенного к сети Интернет? Какая часть компьютера станет объектом исследования в первую очередь? Для начала определим, что существует классификация типов памяти, основанная на зависимости ее целостности от наличия или отсутствия питания. Таким образом, выделяют два типа памяти энергозависимая и энергонезависимая. Оперативная память компьютера (временная память) относится к числу энергозависимых, а НЖМД (жесткий диск), в свою очередь, к энергонезависимому типу памяти. И для каждого типа памяти существует, как и в предыдущем случае, свой набор программного обеспечения.
Такой тип программ был известен уже давно, еще Федотов Н.Н. выделял такие специализированные технические средства как экспертные программы, например, семейство программ ProDiscover, SMART, Forensic Toolkit1. Возникает вопрос, возможно ли с уверенностью сказать, что программы, использовавшиеся 10 лет назад до сих пор актуальны? Однозначно нет. Однако, работа «Форензика – компьютерная криминалистика» Н.Н. Федотова является «настольной библией» любого специалиста в сфере кибербезопасности и по сей день.
К современным программам для работы с дампами (образами памяти) следует относить dff, PowerForensics, The Sleuth Kit 2. И что самое невероятное, все эти программы находятся в свободном доступе, то есть прямо сейчас можно скачать исходный код программ с GitHub, скомпилировать его и начать использовать.
Подводя итог, следует отметить, что на современном этапе развития форензика перестала быть недосягаемой. Практически все программное обеспечение для исследования инцидентов доступно в Open Source, сотни тысяч уроков, пособий и тренировочных площадок с практическими примерами, где возможно тренироваться в поисках следов преступлений, доступны всем желающим освоить кибербезопасность