Вступна замітка редактора тематичної добірки Гері Кесслера (Gary Kessler) називається «Розвиток цифрового криміналістики» ( "Advancing the Science of Digital Forensics"). У цифровій криміналістиці (Digital Forensics) використовуються наукові, технологічні та інженерні методи збору та інтерпретації інформації, що зберігається в цифрових пристроях, для використання в судовій практиці. Автор вперше був змушений використовувати методи, що віддалено нагадують методи сучасної цифрової криміналістики, ще 1981 році, коли в результаті збою на диску комп'ютера IBM System / 34 була пошкоджена таблиця вмісту томи. При подальшому використанні комп'ютера існуючі файли могли б бути пошкоджені, тому таблиця відновлювалася протягом трьох днів вручну на папері.

Майже ті ж методи в наступні 15 років застосовували хакери, які виконували дослідження (найчастіше в інтересах правоохоронного співтовариства) і створювали елементарні інструментальні засоби для глибокого проникнення в надра комп'ютерів і їх файлових систем. У ті роки термін «хакер» неявно використовувався для позначення позитивних персонажів - «білих хакерів» (White Hat), і лише потім його присвоїли комп'ютерні зломщики - «чорні хакери» (Black Hat).

В кінці 90-х років кафедри комп'ютерних наук почали виявляти серйозну цікавість до комп'ютерної криміналістиці, і на початку цього століття з'явилися перші навчальні програми. Але тільки в 2009 році Американська академія криміналістики визнала цифрову криміналістику наукою. Криміналістичні науки в основному базуються на принципі обміну Локара - кожен контакт залишає слід. Якщо, наприклад, одна людина б'є іншу людину по голові палицею, то на ціпку залишається слід від голови, а на голові - слід від палиці. Цей принцип діє і в кіберпросторі. Проблеми цифрової криміналістики полягають у тому, що потрібно знайти такі сліди і правильно їх проінтерпретувати.

Основна відмінність цифрової криміналістики від інших криміналістичних наук полягає в тому, що їх результати з успіхом використовувалися на практиці задовго до того, як почалися відповідні дослідження в комп'ютерному співтоваристві, тому, хоча цифрова криміналістика існує вже десятки років, це все ще молода наука.

Авторами першої регулярної статті тематичної добірки є Джоель Янг (Joel Young), Христина Фостер (Kristina Foster), Сімсон Гарфінкель (Simson Garfinkel) і Кевін Фейрбенкс (Kevin Fairbanks), а стаття називається «Індивідуальне хешування секторів для виявлення шуканого файлу» ( "Distinct Sector Hashes for Target File Detection "). Криміналістичним експертам часто доводиться перевіряти на дисках, в мобільних телефонах і в мережевих потоках наявність деякого конкретного контенту. Наприклад, співробітники корпоративних служб безпеки можуть перевіряти ноутбук підозрілого службовця на предмет наявності конфіденційних документів, співробітники правоохоронних органів можуть досліджувати диски домашнього комп'ютера підслідного на наявність дитячої порнографії, а мережеві аналітики - реконструювати потоки TCP для виявлення вірусів. У цих та багатьох інших випадках експерти зазвичай ідентифікують файли шляхом обчислення їх криптографічних хеш-функцій (часто з використанням алгоритмів MD5 або SHA1) з подальшим пошуком в базі даних по отриманого значення.

Використання хеш-значень для ідентифікації файлів широко поширене в цифровий криміналістиці - в кожному популярному криміналістичному пакеті є вбудована підтримка цих методів. Однією з найбільш широко використовуваних баз даних є Довідковий набір даних (Reference Data Set, RDS) Національної бібліотеки довідкової інформації по програмному забезпеченню США (National Software Reference Library, NSRL). Версія 2.36 цієї бази даних, випущена в березні 2012 року, містить 25 892 924 хеш-значення файлів.

При використанні хеш-значень файлів для ідентифікації відомого вмісту є багато обмежень. Оскільки зміна будь-якого біта всередині файлу призводить до зміни його хеш-значення, виробники і розповсюджувачі порнографії, творці шкідливого програмного забезпечення та інші зловмисники можуть уникнути виявлення шляхом заміни коми на крапку з комою або додавання до файлу декількох довільних байтів. Аналогічним чином, ідентифікація на основі хешування не спрацьовує, якщо ділянки файлу пошкоджені або недоступні з інших причин. Зокрема, це стає серйозною проблемою, якщо видаляються великі відеофайли і операційна система використовує кілька їх секторів для інших цілей. У цьому випадку велика частина відео присутній на диску, але відновлені сегмент не ідентифікуються з використанням бази даних хеш-значень файлів.

Автори статті розробляють альтернативні системи для виявлення шуканих файлів на образах дисків великого обсягу з використанням криптографічного хешування секторів даних, а не файлів цілком. В сучасних файлових системах більшість файлів розташовується з початку сектора. При зберіганні відеофайлу мегабайтного масштабу перші 4 Кбайт зберігаються в одному секторі диска, а наступні 4 Кбайт - в іншому (зазвичай суміжному) і т. Д. Вибірка випадкового сектора диска дозволяє з високою ймовірністю оцінити присутність або відсутність на диску шуканого файлу.

Статтю «Мережева криміналістика: аналіз методів, інструментів та тенденцій» ( "Network Forensics: An Analysis of Techniques, Tools, and Trends") представили Рей Хант (Ray Hunt) і Шира Зідаллі (Sherali Zeadally). Мережева криміналістика - це гілка цифровий криміналістики, присвячена в основному моніторингу та аналізу мережевого трафіку. На відміну від інших областей цифровий криміналістики, що спираються на збережені статичні дані, мережева має справу з мінливими динамічними даними. Є два основних застосування мережевий криміналістики. Перша пов'язана з мережевою безпекою і складається в автоматичному виявленні аномального трафіку і виявленні вторгнень. Друге застосування відноситься до підтримки правопорядку і включає збір і аналіз мережевого трафіку з метою, наприклад, реконструкції переданих файлів, пошуку за ключовими словами, розбору повідомлень електронної пошти і т. Д. Розвиток мережевої безпеки, а також пов'язаних з нею криміналістичних процесів і наборів інструментальних засобів багато в чому визначається досягненнями в області технологій Інтернету. Чим більше аспектів повсякденного життя, що привертають увагу кримінального світу, переходить під управління онлайнових систем і баз даних, тим більш нагальною стає потреба в розвинених засобах аналізу. До найбільш визнаним видам застосування мережевий криміналістики відноситься наступне:

• аналіз комп'ютерних систем, що належать підсудним і відповідачам;
• збір фактів для використання в суді;
• відновлення даних після збою апаратури або програмного забезпечення;
• отримання інформації про те, як працюють комп'ютерні системи, для цілей налагодження, оптимізації продуктивності або зворотної інженерії;
• збір та аналіз переданих по мережі пакетів даних для виявлення і потенційного запобігання зловмисних атак;
• отримання більшої інформації про допродажного «атаках нульового дня» (zero-day attack) з використанням пасток (honeypot).

Аналіз мережевих даних в реальному часі включає збір, запам'ятовування і трасування даних при постійно виконується скануванні мережевого потоку і журналів. Як показано на рис. 1, процес починається з застосування заходів безпеки, після чого виконується криміналістичний аналіз (для з'ясування джерела атаки). На закінчення відновлюється нормальна працездатність захищається системи.

Статтю під назвою «Системи SCADA: проблеми експертів-криміналістів» ( "SCADA Systems: Challenges for Forensic Investigators") написали Ірфан Ахмед (Irfan Ahmed), Голден Річард III (Golden Richard III), Себастьян Обермейера (Sebastian Obermeier) і Мартін Нейдел ( Martin Naedele). Автоматизована система управління виробництвом - це набір пристроїв, що регулюють поведінку фізичних процесів. Наприклад, простий керуючою системою є термостат. Такі системи використовуються для відстеження та регулювання виробничих і інфраструктурних процесів, в хімічному виробництві, на підприємствах вироблення і розподілу електроенергії, у водному господарстві і т. Д. Територіально розподілені управляючі системи, які можуть керувати окремими компонентами виробництва, часто називають системами диспетчерського управління і збору даних (Supervisory Control And Data Acquisition, SCADA). Автори статті використовують абревіатуру SCADA в більш загальному сенсі стосовно управляючих систем, прив'язаним до фізичних процесів, які підтримують постійну доступність і забезпечує встановлений час реакції.

Ранні системи SCADA функціонували в ізольованих мережах, які не підключені до Інтернету, і в них не потрібні будь-які механізми безпеки. Ці системи складалися з простих пристроїв введення / виводу, які передавали сигнали між провідним пристроєм і віддаленими термінальними пристроями. В останні роки системи SCADA функціонують на основі загальнодоступних IP-мереж. Деякі з них також підключаються до корпоративних локальних мереж або безпосередньо до Інтернету для інтеграції даних SCADA із зовнішніми, такими як повідомлення електронної пошти або метеорологічні дані (рис. 2). Інтеграція систем SCADA з набагато більш масштабними мережами призводить до появи загроз, які було неможливо уявити в той час, коли такі системи починали з'являтися. Протягом останнього десятиліття постачальники систем, власники активів і регулюючі організації усвідомили наявність цієї заглиблюється проблеми і приступили до її вирішення шляхом прийняття нових законів і розробки різних механізмів, процесів і стандартів безпеки.

Додатковим фактором, що вплинув на власників і операторів систем SCADA, стало виявлення в червні 2010 року хробака Stuxnet, а через рік - Flame. Черв'як Stuxnet - перша відома зловмисна програма, орієнтована на цільові автоматизовані системи. Цей вірус заразив від 50 тис. До 100 тис. Комп'ютерів у всьому світі. Flame - це засіб кібершпіонажу, на порядок складніше, ніж Stuxnet.

Подібні вірусні атаки продемонстрували потребу в криміналістичній експертизі для вдосконалення кібербезпеки по відношенню до внутрішніх і зовнішніх правопорушників, які застосовують шкідливий програмне забезпечення з метою підриву важливих національних інфраструктур. Крім того що цифрова криміналістика відіграє провідну роль при розробці стратегії захисту систем SCADA, а також при виявленні і судове переслідування зловмисників, вона може допомогти впоратися з незлонамереннимі, але шкідливими ситуаціями, такими як збої апаратних засобів, за рахунок забезпечення глибокого аналізу внутрішніх компонентів систем SCADA .

Остання стаття тематичної добірки називається «Проблеми безпеки смартфонів» ( "Smartphone Security Challenges") і написана Йонгом Вангом (Yong Wang), Кевіном Стреффом (Kevin Streff) і Сонеллом Раманом (Sonell Raman). За прогнозами IDC, в 2015 році обсяг поставок смартфонів досягне 15 млрд штук. Зростаюча популярність смартфонів породжує численні проблеми безпеки. Після появи в 2004 році перших мобільних вірусів користувачі смартфонів постійно повідомляють про серйозні атаках з використанням шкідливого програмного забезпечення - наприклад, за останні сім місяців 2011 року кількість атак на платформу Android зросла більш ніж на 3%.

Криміналістика мобільних пристроїв - це частина комп'ютерної криміналістики, потреба в якій диктується повсюдною поширеністю таких пристроїв в сучасному суспільстві. Оскільки мобільні пристрої все частіше використовуються в якості інструменту або цілі криміналітету, до них застосовні криміналістичні та судові методи. Слід зауважити, що в мобільних пристроях кількість доказової інформації в розрахунку на байт даних більше, ніж в традиційних комп'ютерах.

Поза тематичної добірки опубліковані дві великі статті. Авторами статті «Використання трасування для вирішення проблеми налагодження багатоядерних систем» ( "Using Tracing to Solve the Multicore System Debug Problem") є Арон Спір (Aaron Spear), Маркус Леві (Markus Levy) і Метью Десноерс (Mathieu Desnoyers). Складнощі налагодження та оптимізації сучасних багатоядерних програмних систем ростуть у міру поширення технології - наприклад, за даними Pew Research Center, на початку 2012 року в США число використовуваних багатоядерних смартфонів перевищувало число звичайних мобільних телефонів - понад 46% дорослого населення володіли смартфонами.

Вбудовувані системи обробляють багато даних при виконанні, наприклад, функцій аналізу відео або маршрутизації пакетів, і вони роблять це в паралельному режимі. В результаті з'являється набір вимог, які надзвичайно складно узгодити. Важко налагоджувати одноядерні вмонтовані системи, але налагодження декількох потоків активно взаємодіють програм викликає незрівнянно більше проблем.

Перспективним шляхом до вирішення цих проблем є використання трасувань даних, тому багато компаній і спільноти Open Source розробили механізми трасування: Dtrace, SystemTap, Ftrace, strace і Linux Trace Toolkit Next Generation, однак у всіх них був загальний недолік - відсутність стандартного формату представлення трас.

Компанії - члени асоціації Multicore Association створили Робочу групу для розробки інфраструктури інструментальних засобів (Tools Infrastructure Working Group, TIWG) з метою розробки стандартів, що забезпечують розвинену интероперабельность інструментальних засобів розробки многоядерного програмного забезпечення. У квітні 2010 року спільноти TIWG і Linux прийняли рішення про співпрацю для створення стандарту, що відповідає потребам Linux та вбудованих систем. Ця група зайнялася розробкою специфікації загального формату трас (Common Trace Format, CTF) на основі вихідної інформації від TIWG. На думку авторів статті, використання CTF дозволить аналізувати поведінку складних багатоядерних систем на новому рівні, який раніше був недоступний через різнорідності технологій. Відкритість стандарту і наявність готових компонентів з відкритим кодом для створення і аналізу трас дозволять розробникам швидко додавати кошти трасування в додатки, що дасть можливість краще розуміти поведінку багатоядерних систем.

Остання стаття номера «Хмарна архітектура IaaS: від віртуалізації центрів обробки даних до інтеграції хмарних інфраструктур» ( "IaaS Cloud Architecture: From Virtualized Datacenters to Federated Cloud Infrastructures") представлена ​​Рафаелем Морено-Возмедіано (Rafael Moreno-Vozmediano), Рубеном Монтеро (Ruben Montero ) і Ігнасіо Лоренте (Ignacio Llorente). Віртуалізація є ефективною технологією для реалізації центрів обробки даних, що забезпечує абстрагування обчислювальних, мережевих платформ і платформ зберігання даних від базової фізичної апаратури. Інфраструктури віртуалізації підтримують консолідацію серверів і забезпечують виконання запитів користувачів «на вимогу». Це дозволяє домогтися високого коефіцієнта використання серверів та істотного зниження вартості послуг і рівня енергоспоживання. Оскільки для забезпечення оптимального функціонування ЦОД потрібні безпеку, ефективність і масштабування, ключовим компонентом їх архітектури є менеджер інфраструктури віртуалізації, основна роль якого полягає в забезпеченні інфраструктури у вигляді сервісу (Infrastructure as a Service, IaaS), що перетворює традиційний ЦОД в щось, схоже на хмара.

Майбутні ЦОД будуть схожі на приватні IaaS-хмари, що підтримують гнучке функціонування віртуалізованних сервісів. У цьому контексті менеджер інфраструктури віртуалізації, званий також хмарної операційною системою, оркеструються розгортання віртуалізованних ресурсів і управляє фізичними і віртуальними інфраструктурами для забезпечення сервісів управління та контролю (рис. 3). Крім того, управління центром обробки даних як хмарою дозволить доповнити локальну інфраструктуру віддаленими ресурсами від інших інтегрованих центрів даних або комерційних хмарних інфраструктур.

До наступної зустрічі, Сергій Кузнецов ( [email protected] ).