Лекция
Это окончание невероятной информации про судебная компьютерно-техническая экспертиза.
...
безопасности .) Утилиты очистки дисков также подвергаются критике за то, что они оставляют подписи о том, что файловая система была очищена, что в некоторых случаях недопустимо. Некоторые из широко используемых утилит для очистки дисков включают DBAN , srm ,BCWipe Total WipeOut , KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, одобренный NIST и NSA, - это CMRR Secure Erase, в котором используется команда Secure Erase, встроенная в спецификацию ATA .
Утилиты очистки файлов используются для удаления отдельных файлов из операционной системы. Преимущество утилит очистки файлов заключается в том, что они могут выполнить свою задачу за относительно короткий промежуток времени, в отличие от утилит очистки диска, которые занимают гораздо больше времени. Еще одно преимущество утилит для очистки файлов заключается в том, что они обычно оставляют гораздо меньшую подпись, чем утилиты для очистки диска. У утилит для очистки файлов есть два основных недостатка: во-первых, они требуют участия пользователя в процессе, а во-вторых, некоторые эксперты считают, что программы для очистки файлов не всегда корректно и полностью стирают информацию о файлах. [11] [12] Некоторые из широко используемых утилит для очистки файлов включают BCWipe., R-Wipe & Clean, Eraser, Aevita Wipe & Delete и CyberScrubs PrivacySuite. В GNU / Linux такие инструменты, как shred и srm, также можно использовать для очистки отдельных файлов. [13] [14] . SSD по своей конструкции труднее стереть, поскольку микропрограммное обеспечение может записывать данные в другие ячейки, что позволяет восстанавливать данные. В этих случаях следует использовать ATA Secure Erase для всего диска с такими инструментами, как hdparm, которые его поддерживают. [15]
Размагничивание диска - это процесс, при котором магнитное поле применяется к цифровому мультимедийному устройству. В результате получается устройство, полностью очищенное от ранее сохраненных данных. Размагничивание редко используется в качестве метода противодействия судебной экспертизе, несмотря на то, что это эффективное средство обеспечения удаления данных. Это связано с высокой стоимостью устройств размагничивания, которые рядовому потребителю сложно себе позволить.
Более часто используемый метод удаления данных - это физическое разрушение устройства. NIST рекомендует «физическое разрушение может быть осуществлено с использованием различных методов, в том числе дезинтеграции, сжигание, измельчение, измельчение и плавления.» [16]
Цель запутывания следов - запутать, дезориентировать и отвлечь процесс судебно-медицинской экспертизы. Обфускация следа охватывает различные методы и инструменты, в том числе «очистители журналов, спуфинг , дезинформацию , межсетевое переключение, зомбированные учетные записи, троянские команды».
Одним из наиболее широко известных инструментов обфускации следов является Timestomp (часть Metasploit Framework ). [10] Timestomp дает пользователю возможность изменять метаданные файла, касающиеся времени / даты доступа, создания и изменения. Используя такие программы, как Timestomp, пользователь может сделать любое количество файлов бесполезным в юридических условиях, напрямую поставив под сомнение их достоверность.
Еще одна хорошо известная программа для обфускации следов - Transmogrify (также часть Metasploit Framework). [10] В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. (.Jpg) будет иметь информацию заголовка, которая идентифицирует его как ( .jpg ), ( .doc ) будет содержать информацию, которая идентифицирует его как (.doc) и так далее. Transmogrify позволяет пользователю изменять информацию заголовка файла, поэтому заголовок (.jpg) может быть изменен на заголовок (.doc). Если бы программа судебно-медицинской экспертизы или операционная система проводила поиск изображений на машине, она просто увидела бы файл (.doc) и пропустила его.
В прошлом средства защиты от судебной экспертизы были сосредоточены на атаке на криминалистический процесс путем уничтожения данных, сокрытия данных или изменения информации об использовании данных. Анти-криминалистика недавно перешла в новую сферу, где инструменты и методы сосредоточены на атаках на судебно-медицинские инструменты, выполняющие экспертизу. Эти новые методы борьбы с судебной экспертизой извлекли выгоду из ряда факторов, включая хорошо задокументированные процедуры судебной экспертизы, широко известные уязвимости инструментов судебной экспертизы и сильную зависимость судебных экспертов от своих инструментов.
Во время типичной судебно-медицинской экспертизы эксперт создает образ дисков компьютера. Это предохраняет исходный компьютер (доказательства) от искажения средствами судебной экспертизы. Программа судебной экспертизы создает хэши для проверки целостности изображения. Один из последних методов борьбы с инструментами нацелен на целостность хэша, который создается для проверки образа. Нарушая целостность хэша, можно оспорить любые доказательства, собранные в ходе последующего расследования.
Чтобы предотвратить физический доступ к данным, когда компьютер включен (например, в случае кражи с захватом и изъятия со стороны правоохранительных органов), могут быть реализованы различные решения:
Некоторые из этих методов основаны на выключении компьютера, в то время как данные могут сохраняться в оперативной памяти от пары секунд до пары минут, что теоретически допускает атаку холодной загрузки . Криогенное замораживание ОЗУ может продлить это время еще больше, и были обнаружены некоторые атаки на дикую природу. ] Существуют методы противодействия этой атаке, которые могут перезаписывать память перед выключением. Некоторые анти-криминалистические инструменты даже определяют температуру ОЗУ, чтобы выполнить выключение, когда она ниже определенного порога
Были предприняты попытки создать устойчивый к взлому настольный компьютер (по состоянию на 2020 год модель ORWL является одним из лучших примеров). Однако безопасность этой конкретной модели обсуждается исследователем безопасности и основателем Qubes OS Джоанной Рутковской .
Методы противодействия судебной экспертизе основаны на нескольких недостатках судебно-экспертного процесса, включая человеческий фактор, зависимость от инструментов и физические / логические ограничения компьютеров. Уменьшая подверженность судебно-медицинской экспертизы этим недостаткам, эксперт может снизить вероятность успешного воздействия антисудебных методов на расследование Это может быть достигнуто путем повышения уровня подготовки следователей и подтверждения результатов с помощью различных инструментов.
В общем, мой друг ты одолел чтение этой статьи об судебная компьютерно-техническая экспертиза. Работы впереди у тебя будет много. Смело пиши комментарии, развивайся и счастье окажется в твоих руках. Надеюсь, что теперь ты понял что такое судебная компьютерно-техническая экспертиза, компьютерно-техническая экспертиза, компьютерная криминалистика, антикомпьютерная криминалистика и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы
Часть 1 Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная криминалистика
Часть 2 Использоание прецендентов как доказательство - Особенности назначения судебной компьютерно-технической экспертизы
Часть 3 Обфускация следов - Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная
Комментарии