В делах поиска цифровых следов неудачи тоже случаются. Ладно бы из-за халатности или ошибки – это, как правило, можно исправить. Но есть гораздо более серьезная причина. Целый набор методов, инструментов и практик по противодействию попыткам установить истину. Антифорензика. О том, что это и зачем, наш сегодняшний рассказ.
Антифорензика – это «искусство» скрывать следы и затруднить деятельность по расследованию компьютерных преступлений. Конечно, это больше про дела наших коллег, ловящих хакеров и мошенников. Но нет никаких гарантий, что рано или поздно эти знания не применят и в арбитраже - истории про поддельные «аналоговые» документы и подписи знают многие.
Есть несколько направлений мысли злых гениев на тему «как все запутать, чтобы концов не нашли»:
1. Удаление информации.
Ну тут все более-менее ясно. Речь конечно, не об удалении в «корзину» и ее последующей очистке - все восстановить оттуда не составляет большой сложности. Но есть абсолютно легальные инструменты для профессионального и действительно безвозвратного удаления информации – как программные (перезаписывают файлы и их копии случайными данными), так и аппаратные (физически уничтожающие накопитель). Это, говорят, нужно для уничтожения конфиденциальной информации, срок хранения которой истек.
Но когда это применяют к следам – возникает большая проблема. Против лома, как говориться… Однако, зарубежные коллеги нашли элегантный выход – суд может наложить на ответчика, например, запрет на удаление информации, относящейся к спору. И если эксперт потом не найдет следов самой информации, но найдет следы программ для удаления информации, которые что-то удалили после даты такого запрета – для суда это само по себе уже доказательство не в пользу ответчика.
2. Создание ложных следов.
Это, все-таки, наверное уже больше про умысел и, даже, прямое мошенничество, но может пригодиться. Создается фоновый шум из массы одноименных документов, таблиц, реестров. Десятки аккаунтов. Масса промежуточных устройств. Если дело дойдет до серьезного разбирательства – количество объектов для исследования будет таким, что загрузит экспертов на годы. Все понимают, суд может на такое не пойти – ему проще исключить эти доказательства. Да и доказать относимость к делу сразу всех этих объектов будет крайне затруднительно. А выбрать нужные – практически невозможно.
3. «Атаки на инструментарий».
Самая сложная тема. Вот пример из аналогового мира: кто-то незаметно испортит микроскоп эксперту-биологу. И он ничего не видит или видит только часть. И выводы у него, само собой, получатся неверные. У экспертов в IT-форензике основной инструмент работы – это специализированный софт. Но он, как и любой другой софт, также может иметь баги. Ведь у почти всех экспертных продуктов мировых производителей – закрытый проприетарный код. Внешней проверки на уязвимости или сертификации никакой нет. Вот даже был случай.
4. Старое доброе шифрование.
Тоже все слышали, но едва ли использует одна треть пользователей. И чем длиннее и запутаннее ключ, тем тяжелее эксперту расшифровать данные. Правда, и тут есть успехи - у Passware, например. Особенно, если у вас в компьютере пара-другая мощных видеокарт и много свободного времени. Хотя, бывает и так, что корпоративные документы надежно шифруются ключом, который потом находят в файлах оперативной памяти…
5. Стеганография.
Это когда важную информацию прячут в другую информацию - не важную, например, в фильм или музыку. В информацию изображения и звука «подмешивается» информация, которую надо скрыть, при это увидеть разницу при просмотре будет невозможно. Правда, много так не спрячешь, но в пару сотен мегабайт отлично поместятся корпоративные секреты в текстовом виде и пара-другая отчетов в картинках. Сложность тут в том, что сразу не понятно, что на компьютере вообще что-то есть. Спрятал документы - и можно расслабиться. Но прежде чем прятать, стоило подумать о том, что с самого начала эти документы где-то были, и скорее всего оставили в системе массу следов. В этой системе или в какой-то другой, на домашнем компьютере, например.
Поэтому не нужно сразу отчаиваться. Ведь, кроме софта есть еще математика, логика, здравый смысл и многолетний опыт - иногда эта комбинация помогает решить самые запутанные загадки.
Следите за новыми постами в facebook, telegram, а также на нашем сайте, где мы рассказываем об арбитражной форензике и компьютерной экспертизе.