Хотелось бы подробнее рассказать о компьютерной криминалистике.
Большинство людей не представляет, что есть такая сфера деятельности и зачем она нужна.
Расскажем на реальном примере который имел место быть.
Представьте: Вы владелец компании, у вас несколько удаленных офисов и магазинов. Ваша прибыль зависит от продаж вашего товара. А собственно, процесс продажи завязан на некоторой электронной системе документооборота. В понедельник утром ваши сотрудники обнаруживают, что система продажи не функционирует. У вас есть “программист”, который после осмотра сервера говорит вам, что данные на сервере зашифрованы кем-то. И резервные копии тоже. Ну вот тут смеяться не надо – в сегменте малого-среднего бизнеса резервированию систем не уделяют должного внимания. Ваш программист отчаяно пытается что-то сделать, например восстановить данные, перезагрузить сервер и т.д. Вы в данном вопросе не имеете какой-либо компетенции. Нанимаете стороннюю организацию типа “компьютерной помощи”, они также проводят различные манипуляции с вашими данными. После двух-трех дней подобных действий вы решаете обратиться в полицию, там вам говорят, что нужно точное описание того, что же все-таки случилось. А вы такой информацией не располагаете, т.к. ваш “программист” вам говорит одно, а другая фирма – другое. Вы уже дважды потратили свои деньги, не смотря на проблемы с продажами. Вам предлагаю обратиться в компанию, которая специализируется на таких направлениях как (форензика), который определит состав преступления и соберет необходимую базу цифровых доказательств. И вот тут вы оказываетесь нашим клиентом.
Далее ваша информационная система оказывается у нас на стенде. Мы используем специальное программное и аппаратное обеспечение, которое не вносит никаких изменений в информационные системы, некоторые программы являются собственными разработками по сбору и анализу данных. Когда сервер попадает к нам – на нем уже нельзя будет восстановить данные, т.к. программист и “компьютерная помощь” сделали все возможное, чтобы это стало невозможным. Они затерли часть нужной информации для экспертного исследования и усложнили работу криминалисту. Но часть необходимой доказательной базы мы все же собрали и возможность найти злоумышленника на данный момент есть.
Что делать, если вы оказались в такой ситуации?
Если ваш сервер был взломан, вам необходимо:
1. НЕ восстанавливать данные с помощью штатного админа или “программиста”. НЕ восстанавливать данные с помощью сторонней организации, кроме тех, у которых есть аппаратные стэнды для восстановления или специализированных сервисных центров по восстановлению данных. Это следует делать уже после обращения в полицию.
2. НЕ пытаться восстановить картину произошедшего самостоятельно, т.к. можете повредить цифровые доказательства.
3. НЕ перезагружайте сервер, выключите его. Иначе также часть доказательств будет отсутствовать.
4. Обратиться в полицию, взять контактный телефон криминалистической организации.
5. Следовать указаниям компьютерного криминалиста и сотрудников полиции.
Если придерживаться данных пунктов, то существует большая вероятность положительного исхода таких инцидентов.
автор:Елена Фельдман