Мало изобличить хакера, нужно еще представить исчерпывающие доказательства
По мере того, как законодательства в развитых странах становятся все более жесткими по отношению к хакерам, те в свою очередь начинают использовать все более изощренные средства, чтобы вводить в заблуждение следственные органы. В числе таких средств — класс программ, именуемых подгружаемыми модулями ядра операционной системы (Loadable Kernel Modules, LKM). С их помощью хакеры могут скрыть данные даже от опытных судебных экспертов. Об этом заявил Мартин Ху, занимающий должность заместителя директора по безопасности инфокоммуникационных систем в сингапурском правительственном Агентстве по содействию разработке инфокоммуникационных инфраструктур (IDA).
LKM-файлы содержат динамически загружаемые компоненты, обычно они используются для загрузки драйверов. Хакеры создают из LKM-программ специальные наборы для взлома (rootkits), подменяющие основные системные утилиты по контролю процессов. С помощью программ из таких наборов они получают доступ к ядру операционной системы, минуя аппаратные и программные защитные механизмы.
Прежде для распознавания действия хакерских программ часто использовались методы, связанные с проверкой контрольных сумм по алгоритму MD5. Однако если хакеры используют LKM-программы, эти методы становятся бесполезными. Поскольку никакие файлы в этом случае не изменяются. Происходит не просто сокрытие файлов (каталогов, соединений и т.п.), а изменение процессов уровня ядра ОС таким образом, что на запрос любой информации, обращенный к серверу, будет получен искаженный ответ.
Компьютерные судэксперты, как правило, выполняют два вида работ: извлечение и восстановление данных, а также их анализ. Первый вид работ подразумевает обнаружение критически важной для суда информации, обеспечение их целостности и защиты при проведении судебной экспертизы. Анализ включает в себя изучение данных, а также информации, которая позволяет установить содержимое скрытых файлов. Для экспертов крайне важно получить целостные данные. В противном случае они могут оказаться бесполезными в суде.
С юридической точки зрения работа с данными в электронном виде представляет собой очевидный риск. Многие юристы говорят о необходимости принятия «структурной программы управления юридическими рисками», предназначенной для специалистов по ИТ. Комментируя такую точку зрения, Саид Хамза, управляющий директор компании i-Knowledge Technologies, напоминает, что наличие доказательства — это одно, а доказательная сила — это другое. Юристы должны убедить суд, что представленные доказательства усиливают позиции одной стороны или ослабляют позиции другой. Например, в ходе судебного заседания юрист, представляющий уличающие log-файлы (электронные журналы авторизованных операций), должен доказать, что они не были искажены. «Идея состоит не в том, чтобы превратить ИТ-специалистов в юристов, — заметил Хамза, — а в том, чтобы они хорошо разбирались в законах и могли более эффективно действовать в рамках правовой системы».
Даже если ИТ-система компании технически совершенна и позволяет определять и идентифицировать хакерские атаки, в суде можно потерпеть неудачу, если не проявлять внимание к юридическим формальностям. Как действия судэкспертов, так и сами методы обеспечения безопасности данных, реализованные в корпоративных ИТ-системах, могут быть просто не приняты к рассмотрению в суде. К примеру, в Сингапуре log-файлы принимаются в суде в качестве улик, но в некоторых других странах они приравнены к показаниям с чужих слов или основанным на слухах. Иными словами, log-файлы считаются информацией, которая еще должна быть доказана. Одним из возможных способов убедить суд принять их в качестве свидетельства, является, по мнению Хамзы, попытка объяснить, что ведение электронных журналов является частью обычных бизнес-процессов.