Статья опубликована в №22 (июнь) 2015
Разделы: Информационные технологии
Размещена 11.06.2015. Последняя правка: 04.09.2015.
Просмотров - 4587

Получение информации из облачных хранилищ при расследовании инцидентов в сфере информационной безопасности

Нестеров Антон Дмитриевич

Воронежский институт

Научный руководитель: Баркалов Юрий Михайлович

УДК 343.985

ВВЕДЕНИЕ 

В настоящее время наблюдается увеличение количества инцидентов (преступлений) в сфере информационной безопасности и информационных технологий. Этому способствует повсеместное распространение облачных технологий хранения данных. Развитие прогресса ставит новые задачи по выявлению, раскрытию и предупреждению преступлений в данной сфере. Однако существенным препятствием расследования преступлений в данной сфере является недостаточная научная проработка действий специалиста по получению значимой информации. При получения такой информации из облачных хранилищ имеется ряд трудностей.

Облачные вычисления (от англ. cloud computing) — является технологией распределённой обработки данных, при которой ресурсы компьютера предоставляются пользователю как Internet -сервис. Ключевым моментом является предоставление пользователю услуг как Internet-сервиса. Однако, здесь под Internet -сервисом не стоит понимать доступ к сервису только через Internet, он может осуществляться также и через обычную локальную сеть с использованием Web-технологий. Сегодня многие пользователи полагают, что хранить информацию надо на жестком диске ПК, а если нужно взять ее с собой, то скопировать на портативные носители, типа флеш-карты и т.п. Однако,  при появлении облачных хранилищ данных такой подход является далеко не лучшим вариантом. Доказано, что  гораздо проще и выгоднее разместить данные в виде отдельных файлов и папок в облаке и осуществлять доступ к ним с любого устройства, поддерживающего данную технологию и подключенное к глобальной сети интернет. Таким образом, пользователи могут спокойно менять свое местоположение, зная, что в любой момент у них есть доступ к данным при наличии канала в Интернет

Современные информационные технологии предоставляют широкие возможности по использованию облачных хранилищ. В России сегодня используются облачные хранилища, предоставляемые различными сервисами. Наиболее популярными среди них являются: Яндекс. Диск, SkyDrive, Google Drive и Dropbox [1].

Для выяснения причин и последствий преступлений возникает необходимость получения и изучения информации, хранимой в облачных хранилищах. Но при исследовании облачных хранилищ  специалисты сталкиваются со следующими трудностями:

1. Имеющиеся на сегодняшний день программные продукты  не способны в полной мере извлекать данные из всех облачных хранилищ.

2. Зачастую преступники, пытаясь скрыть информацию о совершенных ими злодеяниях, удаляют данные из облачных хранилищ.

3. Высокая стоимость специализированных программных комплексов, предназначенных для работы с облачными технологиями, зачастую является препятствием при расследовании инцидентов в сфере информационной безопасности.

Применение информационных технологий при расследовании инцидентов в области информационной безопасности 

Раскрывать преступления в сфере инфокоммуникационных технологий сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния различными способами. Актуальность работы в данном направлении определяется современными возможностями техники, позволяющей в короткие сроки исследовать значимую (включая удаленную) информацию из облачных хранилищ, памяти мобильных устройств связи, карт памяти, СИМ-карт участников инцидента.

На данный момент существует проблема – атаки хакеров, попытки получить доступ к персональным данным пользователя облачного хранилища. В практике известен случай, когда у пользователя облачного хранилища произошла утечка личных данных. Это говорит не только о несовершенстве системы защиты данной технологии, но и о персональной ответственности за сохранность личной информации [2]. Большинство пользователей не имеют понятия о том, что их данные хранятся не только в мобильных устройствах и планшетах, но в и облачных хранилищах, если установлена синхронизация. Пользователи, которые об этом знают, недостаточно хорошо представляют, что происходит с данными, каким образом они защищены и кто имеет к ним доступ.

На сегодняшний день в МВД России имеется специальный комплекс для исследования облачных технологий, который позволяет им оперативно расследовать инциденты, совершаемые в области информационной безопасности. С помощью данного комплекса специалист может получить учетные данные пользователя облачного хранилища. Для выявления преступлений совершенных в области информационной безопасности с использованием облачных хранилищ специалисты используют исследовательские методы,  применяемые при производстве судебных компьютерных экспертиз [3].

Надежное получение данных из облачных хранилищ требует специальных знаний. Оно выполняется иначе, чем извлечение информации из компьютеров или мобильных устройств, так как данные хранятся на удаленных серверах, что сильно осложняет исследование важной информации. Полученные данные из облачного хранилища могут помочь в быстром раскрытии инцидента по горячим следам, для подтверждения или опровержения предварительных подозрений [4].На данный момент самым сложным является получение доступа к данным, которые хранятся на облачных хранилищах, так как необходимо выполнить аутентификацию, специалист должен ввести логин и пароль и подтвердить доступ к данным, для того чтобы извлечь информацию из облачного хранилища т.е. получить полную копию данных.

Получение информации из облачных хранилищ с помощью модуля Oxygen Forensic Extractor for Clouds 

Программа «Мобильный Криминалист» - технико-криминалистическая экспертная программа, сделавшая возможным извлечение данных из облачного хранилища с помощью модуля Oxygen Forensic Extractor for Clouds. На рисунке 1.1. приведен список сервисов, из которых можно извлечь данные.

Рис. 1.1 Выбор облачного сервиса

Oxygen Forensic Extractor for Clouds может подключаться к облачному хранилищу, используя только данные учетной записи: адрес электронной почты и пароль. На рисунке 1.2 приведен пример выполнение аутентификации.

Рис. 1.2 Выполнение аутентификации

Как только соединение установлено, «Oxygen Forensic Extractor for Clouds» начинает извлечение данных. Даже выполнив аутентификацию, специалисты, не использующие программу «Мобильный криминалист», не смогут получить доступ к большинству данных. Так как не все данные доступны для исследования даже после входа в хранилище. Сильной стороной данного модуля является не только извлечение данных, но и  представление данных в удобном для анализа виде и наличие различных инструментов для анализа, что позволяет специалисту экономить очень много времени [5].

Не все пользователи мобильных устройств на платформе Android знают, что при использовании приложения Play Market, Gmail и других приложений от компании Google, при регистрации в них пользователь автоматически даёт согласие на отправку геоданных - это информация о географическом местоположении, хранящаяся в формате, который может быть использован в географических информационных системах. Это необходимо для работы сервисов Google, чтобы ускорить поиск на Google-картах или рекламных объявлений, которые пользователь видит на сервисах Google и сторонних сайтах.

Отправка геоданных позволяет сохранять новые сведения о местоположении мобильного устройства в том числе, если пользователь передвигается по улице или совершает поездку на автомобиле. Периодичность отправки геоданных зависит от уровня заряда батареи и скорости передвижения мобильного устройства.

Многие пользователи персональных компьютеров используют браузер Google Chrome, в котором устанавливают синхронизацию между мобильным устройством и компьютером или облачным хранилищем, тем самым дают возможность получить доступ к аккаунту пользователя Google и получить историю местоположений.

Для того чтобы получить историю местоположений мобильного устройства, достаточно зайти на официальный сайт Google по ссылке:  https://maps.google.com/locationhistory/ выполнить аутентификацию и выбрать интересующий нас временной интервал местоположений [6].

На рисунках 1.3 и 1.4 приведены примеры, на которых можно увидеть схемы передвижения мобильного устройства.

Рис. 1.3 История местоположений

Рис. 1.4. История местоположений

Информация об истории местоположений хранится в закрытом формате на серверах Google и в облачном хранилище, если установлена синхронизация между мобильным устройством и облачным хранилищем. Получение данных из облачного хранилища, делает исследование сложным и практически неосуществимым. Однако данный программный комплекс способен извлечь и, проанализировать полученные данные для дальнейшей работы с ними. 

ЗАКЛЮЧЕНИЕ

Исследование информации, расположенной в облачных хранилищах – развивающаяся предметная область в информационной безопасности. При этом следует учитывать совершенствование облачных хранилищ. Однако бесплатные специализированные средства получения информации из облачных хранилищ отсутствуют, а существующие средства требуют постоянного совершенствования.

Умение правильно получить информацию из облачного хранилища требует от специалиста глубоких знаний и компетентности, а так же основательной подготовки и значительного количество времени. Сочетание традиционных средств и методов, предназначенных для анализа данных, расположенных в облачных хранилищах дает наилучшие результаты при исследовании полученной информации. Приведенные в данной работе методы будут способствовать повышению эффективности исследования информации, расположенной в облачных хранилищах при расследовании инцидентов в области информационной безопасности.

1. Баркалов Ю.М. Подготовка экспертов по производству компьютерных судебных экспертиз: методические рекомендации / Баркалов Ю.М. – М.: Воронеж: Воронежский институт МВД России, 2013.
2. Геоданные в Google [Электронный ресурс]: официальный сайт. - М., 2015 . - Режим доступа: http://maps.google.com/locationhistory/
3. Криминалистика: учебник для студентов вузов / под ред. А.Ф. Волынского, В.П. Лаврова. - 2-е изд., перераб. и доп. - М.: ЮНИТИ-ДАНА: Закон и право, 2009. - 943 с
4. Мобильный криминалист (Oxygen Forensics) [Электронный ресурс]: официальный сайт. - М., 2015 . - Режим доступа: http://oxygen-forensic.com/ru/
5.О.В.Тушканова "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., прил., библиогр.
6. Типовые экспертные методики исследования вещественных доказательств: Ч.I /Под ред. канд. техн. наук Ю.М. Дильдина. Общая редакция канд. техн. наук В.В. Мартынова - Мю: ИНТЕРКРИМ-ПРЕСС, 2010 - 568 с.

Рецензии:

20.06.2015, 21:20 Каменев Александр Юрьевич
Рецензия: Непонятно - автор просто констатирует насколько хороша программа "Мобильный криминалист" либо же нашел ее новые возможности (что явно в статье не указано) или же имеет отношение к ее созданию. Также невиден рис. 1.2. Требуются серьезные уточнения, которые, в свою очередь, требуют повторного рецензирования. На данном этапе к печати не рекомендуется.

5.07.2015, 19:50 Груздева Людмила Михайловна
Рецензия: Рекомендую статью к изданию. Статья полезна для практиков и преподавателей специальных дисциплин, данную технологию можно внедрять в учебный процесс.



Комментарии пользователей:

Оставить комментарий