Экспертиза компьютерной техники

Array
(
    [ID] => 10208
    [post_author] => 3879
    [post_date] => 2019-12-31 15:22:47
    [post_date_gmt] => 2019-12-31 12:22:47
    [post_content] => 
Компьютерно-техническая экспертиза – ряд экспертных мероприятий, которые проводят для получения данных путем детального исследования различных носителей информации, компьютерных средств и систем, что обеспечивают информационные процессы. Сегодня она позволяет подготовить доказательную базу, которую можно использовать в суде для отстаивания интересов лиц участвующих в процессе. В том числе в уголовных делах. Эта статья – краткий обзор того, что включает в себя компьютерно-техническая экспертиза. Вы узнаете, что исследуют эксперты в этом направлении, когда проводятся подобные мероприятия и на какие вопросы должна отвечать данная экспертиза.
Судебная компьютерно-техническая экспертиза
Эту услугу нужно заказать в ситуациях, когда было осуществлено правонарушение с применением разных компьютерных средств и/или информационных данных. Она позволяет обнаружить следы преступления и решить целый ряд задач:

	
установить специфику использования компьютерных систем в ходе правонарушения;
	
выявить особенности разработки и применения программных продуктов. Например, программного обеспечения с нарушением авторского права;
	
получить доступ к информации на разных носителях: жестких дисках, flash-накопителях, SD и других картах памяти, прочее;
	
изучить информацию, которую создал пользователь или программа для реализации тех или иных информационных процессов;
	
установить специфику работы компьютерных средств, что реализуют ту или иную сетевую информационную технологию.

Эксперт может обнаружить и подтвердить, что были попытки использования компьютерной системы, изменение, удаление или внесение новых данных. Подобная практика сегодня наблюдается часто. Особенно если предприятие не уделяет требуемого внимания компьютерной безопасности. После проведения экспертизы заказчик получает заключение эксперта, в котором содержится вся обнаруженная информация. В дальнейшем оно может быть использовано в суде как элемент доказательной базы.
Компьютерно-техническая экспертиза: вопросы
Перед экспертом в области компьютерной техники ставится ряд вопросов в четырех больших категориях:
1. На стадии установления обстоятельств использования различных компьютерных средств:

	


	


	
Имело ли место подключение сторонних (внешних) носителей данных к предоставленному компьютеру? Выполнялись ли какие-либо манипуляции с данными и файлами? Удалялась/копировалась ли информация.
	
Использовался ли компьютер в конкретный отрезок времени? Какие операции с ним проводились?
	
Изменялось ли системное время компьютера?





2. В ходе установления фактов разработки и/или использования программного обеспечения:

	


	


	
Есть ли на компьютере ПО? Как и когда оно было установлено? Какая версия? Работоспособно ли оно?
	
Использовались ли средства защиты авторских прав в ходе установки/использования ПО? Какие это средства?
	
Имело ли место использование инструментов для нейтрализации авторского права?
	
Соответствует ли разработанное ПО действующим нормам и требованиям ТЗ?
	
Когда система или оборудования начали использоваться?





3. В процессе установления обстоятельств создания и/или использования баз данных, документов, прочей информации:

	


	


	
Есть ли в памяти устройства средства, предоставленные для исследования?
	
Есть ли на носителях данных сведения о создании файлов/документов? Когда последние были созданы? Вносились ли в них какие-либо изменения?
	
С какой учетной записи осуществлялись изменения документов/файлов?
	
Можно ли восстановить удаленную информацию?





4. На этапе установления фактов применения сетевых технологий:

	


	


	
Был ли выход из рассматриваемого компьютера в интернет?
	
Какие использовались логины и пароли для выхода в Сеть?
	
Когда по времени компьютер был подключен к интернету?
	
Использовались ли в этот период почтовые клиенты и другие инструменты?





Важно! Приведенный список – не исчерпывающий. Если возникают другие вопросы, нужно обращаться к эксперту и обсуждать все индивидуально.
Чтобы узнать, сколько стоит проведение экспертных мероприятий в вашем случае, обращайтесь к специалисту. Он выполнит расчет стоимости и озвучит точную цену, так как она формируется индивидуально. В большинстве случаев на время работы эксперта не нужно приостанавливать деятельность вашей организации.
    [post_title] => Компьютерно-техническая экспертиза
    [post_excerpt] => Что такое судебная компьютерно-сетевая экспертиза и для чего она проводится. Ситуации, когда ее проведение обязательно, а когда в ней нет необходимости.
    [post_status] => publish
    [comment_status] => open
    [ping_status] => closed
    [post_password] => 
    [post_name] => kompyuterno-setevaya-ekspertiza
    [to_ping] => 
    [pinged] => 
    [post_modified] => 2022-01-11 17:29:42
    [post_modified_gmt] => 2022-01-11 14:29:42
    [post_content_filtered] => 
    [post_parent] => 0
    [guid] => https://tsarev.biz/?post_type=articles&p=10208
    [menu_order] => 0
    [post_type] => articles
    [post_mime_type] => 
    [comment_count] => 2
    [robotsmeta] => 
    [pod_item_id] => 10208
)

Array
(
    [ID] => 10132
    [post_author] => 3879
    [post_date] => 2019-12-25 15:23:50
    [post_date_gmt] => 2019-12-25 12:23:50
    [post_content] => 
В связи с активным включением пентеста в нормативку и общую практику обеспечения ИБ в российских компаниях, полезно разобраться с предметом тщательно.
Для начала разберемся, что такое пентест (пентестинг).
Penetration testing – это тестирование на проникновение. Если говорить проще, то это вариант поиска, изучения и эксплуатации разного рода уязвимостей в сфере кибербезопасности той или иной организации. Услугу регулярно заказывают самые разные компании независимо от сферы деятельности.
Определение так себе. Но суть верная - пентестер ищет уязвимости и эксплуатирует.
Задача пентестера – исследовать сайты, веб-приложения, сетевые сервисы и службы, СУБД, сетевое оборудование, протоколы сетевой модели OSI, средства защиты данных, прикладное программное обеспечение (ПО), пользовательские и серверные операционные системы, прочее.
Тестирование позволяет оперативно и точно найти уязвимые и в целом слабые места системы безопасности предприятия, которыми при желании и наличии достаточного опыта могут воспользоваться злоумышленники. Притом не только на виртуальном, но и на физическом уровне (отдельная тема). А учитывая, что новые уязвимости появляются постоянно, проводить такое тестирование нужно регулярно. Для финансовых организаций – не реже одного раза в год.
Требования на законодательном уровне и на уровне регулирования
Важно! На законодательном уровне регулирования нет
Более того, до сих пор нет четких правил оформления данных работ. Теоретически реакция правоохранительной системы может быть любой.
Серьезный всплеск интереса к услуге тестирования на проникновение произошел после принятия в 2018 году поправок к:
Положение Банка России от 09.06.2012 N 382-П (ред. от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
382-П зарегистрирован в Минюсте (что важно) и обязателен для большого количества финансовых организаций. Сейчас на замену 382-П пришло положение 719-П.
На этом регулятор не остановился, аналогичные требования по проведению пентеста были распространены (по положению 684-П, а сейчас 757-П) и на некредитные финансовые организации.
Кроме того, фин. организации должны выполнять аудит информационной безопасности и сертификацию используемого в работе ПО (но это отдельная история).
Итак,
Требования по пентесту для финансовых компаний

	
Банки и НФО должны проводить тест на проникновение не реже раза в год.

И все. Методик, уточнений, четких определений и даже описаний состава работ - нет.
Расходы на проведение тестирования на проникновение ложатся на плечи самих банков и НФО. Но цена несоизмеримо ниже тех финансовых потерь, которые может понести организация из-за действий злоумышленников или претензий со стороны регуляторов. О ценах позже.
Законность пентеста
Статьи 272, 273, 274 УК РФ, по-другому, хакерские статьи, появились в уголовном кодексе в те времена, когда пентест как услуга применялся крайне редко. Широкую популярность пентест завоевал только в последние годы. Сегодня тестирование на проникновение воспринимается не как экзотика, а как один из самых эффективных элементов обеспечения информационной безопасности. 
28-я глава Уголовного кодекса появилась более 20 лет назад. В то время любая хакерская деятельность воспринималась как вредоносная. Поэтому сначала текст статей, а потом и судебная практика формировались исходя их понимания, что "хакерство - это плохо". Статьи сформулированы таким образом, что например, разработка вредоносного ПО - преступление само по себе, равно как и использование такого ПО. Хотя очевидно, что пентест с такими ограничениями невозможен. 
Ситуацию исправило появление Постановления Пленума Верховного Суда РФ от 15.12.2022 N 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет". После рассмотрения предложений поступивших из ФСБ России было уточнено, что не образует состава преступления разработка и применение инструментов пентеста при наличие согласия собственника информационной системы. 
Виды пентестов

	
Традиционно пентестинг начинается с техники, специалисты по безопасности проводят анализ, обнаруживают и эксплуатируют уязвимости программного обеспечения и/или оборудования. При этом делается все возможное, чтобы действия специалистов никоим образом не нарушили работу банковской структуры. Также применяют инструменты ручного и автоматического тестирования. Все этапы и способы тестирования, как правило, предварительно оговариваются со службой информационной безопасности предприятия. Позже обсудим Read Teaming.
	
Также используются тесты, основанные на методах социальной инженерии. Специалисты проверяют, насколько сотрудники осведомлены в вопросах инфобезопасности, знают ли они, как выявить угрозу и как действовать в такой ситуации. К сожалению, сегодня во многих банках уровень осведомленности сотрудников в вопросах информационной безопасности довольно невысокий. Есть примеры, когда персонал нарушает свою инструкцию напрямую, или просто не знают или не имеют таковой. Открывают сомнительные зараженные электронные письма, скачивают файлы из неизвестных источников, выдают данные по телефону и прочее. Как следствие, злоумышленники получают доступ к конфиденциальной информации. Данная информация может пригодиться команде по пентесту в дальнейшей работе по развитию атаки.
	
Многие исследователи отдельно выделяют социотехнические пентесты, совмещающие в себе принципы двух предыдущих. С их помощью специалисты могут обнаружить самые вероятные уязвимости и направления атак злоумышленников.

Итого, тесты на проникновение делятся на несколько категорий:

	
Внешний пентест без учетных или с учетными данными клиента;
	
Внутренний пентест без учетных или с учетными данными пользователя;
	
Внутренний пентест с данными администратора (странный вариант, но имеет место на рынке).

Вариативность состава услуги пентеста очень большая и зависит от:

	
Насколько пентестер информирован об используемых средствах защиты, аппаратном/программном обеспечении клиента, сетевой инфраструктуре компании?
	
Какие средства для атаки может использовать?
	
Разрешено ли эксплуатировать уязвимости и какие?
	
Требуется ли согласование действий с представителем атакуемой организации?
	
Каковы сроки и бюджет проекта?

и многое другое.
Кто может проводить пентест?
Вопрос можно разделить на 2 части:
У кого есть право проводить пентесты? Ответ на данный вопрос - не регулируется. Формально - кто угодно.
Кому доверяют свою инфраструктуру в действительности? Опытным и авторитетным компаниям со значительным опытом и хорошими отзывами на рынке. Лучшая репутация - сарафанное радио.
Сроки и ожидаемые результаты пентестинга
Возвращаясь к финансовым компаниям. Требования ЦБ не устанавливают четкие временные рамки проведения пентестинга. Они сильно зависят от особенностей банковской структуры, ее объемов, уровня кибербезопасности и киберустойчивости в настоящий момент, количества сотрудников и других параметров. Тем не менее, стандартные сроки такие:

	
от 1 до 10 дней на сбор информации;
	
от 1 до 5 дней на подготовку к тестированию;
	
1-10 дней на эксплуатацию уязвимостей;
	
до 5 дней на подготовку отчета;
	
до 10 дней на обсуждение результатов пентеста с заказчиком;

В зависимости от проводимых мероприятий сроки тоже могут отличаться. Поэтому нужно заблаговременно обсуждать все аспекты с представителем компании, которая проводит тесты на проникновение. Так вы сможете лучше спланировать работу. Хотя грамотный подход никоим образом не нарушает рабочий процесс банковской структуры и не препятствует нормальной трудовой деятельности персонала.
По результатам проведенного тестирования клиент получает исчерпывающий отчет, в котором содержится следующая информация:

	
список проведенных тестов;
	
перечень обнаруженных уязвимостей;
	
описание того, какие способы эксплуатации уязвимостей применялись и какие результаты проверки получены;
	
сведения по протоколу действий службы реагирования;
	
рекомендации для устранения обнаруженных уязвимостей.

Любой банк России может запросить услугу проведения penetration testing и получить комплексные услуги в полном соответствии с требованиями российского законодательства. Я рекомендую следовать нормам не только закона, но и практики, а также верно оценивать риски по оформлению работ. Нормальные компании - исполнители, умеют оформлять работы по договору.
Важно проводить тестирования регулярно, так как новые уязвимости появляются постоянно, а защититься от них на сто процентов без привлечения специалистов невозможно. Побеспокойтесь о защите конфиденциальных данных и, что не менее важно, средствах своих клиентов уже сейчас. Закажите тестирование на проникновение своего банковского учреждения или предприятия.
Стоимость услуг по пентесту
На западе цена пентеста начинается от 9-13 тысяч долларов.
В России в зависимости от состава услуг цены на пентест могут начинаться от 150 - 200 тысяч рублей. Максимальная цена контракта, о которой мне известно 36 миллионов рублей. При этом нужно понимать, что более или менее адекватной ценой за пентест можно считать сумму от 700 тысяч рублей до 2-3 миллионов рублей, опять же зависит от состава и объема работ.
    [post_title] => Пентест (pentest). Обзор требований и цен в России 2023
    [post_excerpt] => Внешний пентест без учетных или с учетными данными клиента;
Внутренний пентест без учетных или с учетными данными пользователя;
Внутренний пентест с данными администратора (странный вариант, но имеет место на рынке).
    [post_status] => publish
    [comment_status] => open
    [ping_status] => closed
    [post_password] => 
    [post_name] => pentest
    [to_ping] => 
    [pinged] => 
    [post_modified] => 2023-01-20 10:25:16
    [post_modified_gmt] => 2023-01-20 07:25:16
    [post_content_filtered] => 
    [post_parent] => 0
    [guid] => https://tsarev.biz/?post_type=articles&p=10132
    [menu_order] => 0
    [post_type] => articles
    [post_mime_type] => 
    [comment_count] => 5
    [robotsmeta] => 
    [pod_item_id] => 10132
)

Array
(
    [ID] => 10196
    [post_author] => 3879
    [post_date] => 2019-12-31 14:51:17
    [post_date_gmt] => 2019-12-31 11:51:17
    [post_content] => 
От качества реагирования на события и инциденты в компании зависит очень многое:

	
Устойчивость системы менеджмента информационной безопасности
	
Возможность организации функционировать в случае проблем с персоналом
	
Можете ли вы эффективно развиваться и довести подготовку к непредвиденным событиям до высочайшего уровня (когда ни один инцидент не приведет к катастрофическим последствиям)?
	
Эффективно ли вы тратите деньги на свою систему ИБ или гораздо больше уходит на компенсацию то и дело возникающих проблем?

Безусловно, СМИБ (система менеджмента информационной безопасности) призвана заниматься не только этим — общая политика компании, обучение сотрудников, вопросы производительности и эксплуатации систем не менее важны, но именно группа реагирования на инциденты информационной безопасности (ГРИИБ) либо группа реагирования на инциденты защиты информации (ГРИЗИ) и выработанные методики, определяющие их действия, являются ядром всей вашей системы защиты.
Существуют разнообразные нормативы реагирования на инциденты компьютерной безопасности, но все они достаточно похожи на ГОСТ Р ИСО/МЭК ТО 18044-2007. Разберемся с понятиями события и инцидента информационной безопасности, а также с общим направлением взаимодействия с ними, согласно вышеназванному ГОСТу.
Определение инцидента и события информационной безопасности
Событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.
Близкие по духу термины мы найдем и в других документах, в частности в комплексе Стандартов Банка России.
Событий может быть много — но не все они будут инцидентами. Инциденты же, в свою очередь, могут иметь свои градации, но тут важно понимать, что даже «незначительный» инцидент может стать «значительным» или даже «критическим» спустя время или в случае его неправильной обработки. Поэтому даже если у инцидентов может быть ограниченная степень опасности, важность реагирования и контроля над ними очень высока во всех обнаруженных случаях.
Работа с инцидентами информационной безопасности
Далее ГОСТом предлагается следующая стратегия по инцидент-менеджменту:

	
Планирование и подготовка (политика и система менеджмента инцидентов ИБ, тестирование этой системы; создание команды реагирования; инструктаж и обучение сотрудников, план реагирования и т. д.);
	
Реагирование (обнаружение событий ИБ и оповещение о них — обычно происходит через логи и сообщения от сотрудников и пользователей, здесь важна настройка SIEM-системы; оценка и принятие решения: является ли данное событие инцидентом ИБ — тут обычно двухступенчатая проверка, в первый раз определяет круглосуточная служба, и вот если они посчитали событие инцидентом, то идет на расследование к ГРИИБ которым это надо подтвердить или опровергнуть; реагирование на инцидент ИБ, включая правовую экспертизу — здесь сотрудники противостоят открытой атаке, ищут следы, в идеале есть бекапы и мощности для параллельного запуска процессов, дабы не прерывать ведение бизнеса, пока фиксируется состояние систем и изучается проблема);
	
Анализ (дополнительная правовая экспертиза; обобщение накопленного опыта; определение методов улучшения (повышения) безопасности; определение методов улучшения системы менеджмента инцидентов ИБ);
	
Улучшение (провести уточнение результатов анализа рисков безопасности и менеджмента; инициировать улучшение безопасности; провести улучшения системы менеджмента инцидентов ИБ).

Если ваша система менеджмента информационной безопасности работает по плану, то со временем защита будет становиться все лучше и лучше: появятся примерные планы действий даже для нестандартных и редких ситуаций; все автоматизированные способы обнаружения угроз будут оповещать точнее и давать меньше нагрузку на персонал; можно будет управлять по-настоящему крупным процессом силами нескольких специалистов и только приглашать высококвалифицированных экспертов для определенных случаев; повысятся ваши шансы на разрешение инцидента до возникновения негативных эффектов, а также негативные эффекты будут нивелироваться поддержанием работоспособности по другим каналам. С каждым пройденным годом по этой схеме опыт реагирования будет накапливаться, методики оттачиваться и даже несмотря на возникновение все новых и новых угроз, работа по ГОСТу может избавить от огромного количества проблем, особенно существующих. После многолетних итераций эффективность отдела по ИБ станет только выше, а стоимость — ниже, поэтому постарайтесь внедрить и группу реагирования, и протоколы для ее деятельности как можно раньше.
Реагирование на инциденты информационной безопасности
Один из самых простых элементов конструкции по управлению инцидентами. Таковым реагирование на инциденты становится в случае четко прописанных инструкций.
Должно быть детально прописано:

	
Как ГРИИБ/ГРИЗИ получает информацию об инцидентах, по каким каналам/критериям?
	
Кто и как должен подключиться к реагированию?
	
Какие средства и метода реагирования имеются в арсенале?
	
Пошаговая инструкция по действиям в ходе реагирования (изоляция сети, информирование заинтересованных лиц и пр.)

Расследование инцидентов информационной безопасности сторонними силами
Любое событие информационной безопасности, которое было квалифицировано как инцидент - должно расследоваться. Без этапа расследования не будут сделаны выводы и, как следствие, невозможно инцидент будет повторяться в дальнейшем.
Возможно, атака хакеров оказалась успешной и действие злоумышленников можно определить как преступление. В этом случае необходимо сохранить в целостности цифровые следы. В дальнейшем они могут быть использованы в работе правоохранительных органов. Именно этап расследования инцидентов требует высокой правовой компетенции специалиста по информационной безопасности. Нужно понимать, какие действия можно совершать, а какие нельзя. Более того, нужно прогнозировать дальнейшую работу судебной системы, которая потребует подтверждения не только обстоятельств инцидента, но факта его существования. Например, если в качестве подтверждения инцидента будут журнал средства антивирусной защиты или лог-файл какой-либо другой системы, его необходимо заверить либо у нотариуса, либо у эксперта (экспертной организации).
Специалисты могут вернуть работоспособность системе, но не собрать свидетельства, отвечающие требованиям по полноте, относимости, достоверности, допустимости для дальнейших разбирательств в суде. Более того, недостаточная квалификация специалиста или недостаточно эффективная методика расследования инцидента информационной безопасности может стать причиной уничтожения доказательств в процессе расследования. Например, анализ данных без снятия копий с носителей информации совершенно точно нарушит целостность объекта исследования.
Порядок расследования инцидентов информационной безопасности
Расследование инцидентов кибербезопасности начинается с фиксации, сбора и анализа свидетельств. Затем происходит поиск ответственных и виновных лиц, а также установление непосредственных причин, по которым инцидент ИБ произошел. Далее происходит анализ IT-инцидента, в котором также выявляют недостатки документов и методик, на основе чего создаются рекомендации по реагированию на инциденты и настройке защиты таким образом, чтобы реагирование и расследование было возможным. Подготавливается отчет экспертизы с приложенными данными, который можно использовать для расследования инцидента информационной безопасности на предприятии как своими силами, так и через другие службы.
По форме ниже я принимаю заявки круглосуточно — и даже если я не успею помочь до конца атаки, я смогу помочь с последствиями, а также фиксированием всех необходимых свидетельств, что исключит вероятность их отклонения как «недопустимые» в предстоящем разбирательстве. Вы получите подтвержденные третьей стороной логи, выписки, конфигурации, журналы и итоговый отчет с выводами относительно обстоятельств инцидента; данные могут быть подтверждены мной, как экспертом, в суде.
Срок проведения расследования не может превышать два календарных дня, а срок реакции на заявки — семи часов. Чем быстрее вы обратитесь за помощью, чем свежее будет инцидент — тем больше шансов не только собрать достоверную информацию о состоянии систем, но и, возможно, помочь в преследовании злоумышленника на основе собранных данных.
Отчет о расследовании инцидента информационной безопасности
Практика показывает, что самым эффективным будет оформление отчета (акта) по расследованию инцидента по правилам судебной экспертизы (см. 25 статью 73-ФЗ "О государственной судебно-экспертной деятельности в Российской Федерации")
В частности отчет должен включать:

	
время и место расследования;
	
сведения о лицах проводивших расследование, а также их подписи;
	
сведения об обстоятельствах потребовавших проведение расследования;
	
подробное описание объектов исследований (оборудование, носители информации и пр.);
	
ссылки на регламенты и процедуры организации по расследованию инцидента (важно не нарушить свои собственные процедуры)
	
сведения о присутствовавших участниках расследования;
	
содержание и результаты расследования с указанием инструментария;
	
выводы.

    [post_title] => Реагирование на инциденты информационной безопасности в РФ
    [post_excerpt] => Существуют разнообразные нормативы реагирования на инциденты компьютерной безопасности, но все они достаточно похожи на ГОСТ Р ИСО/МЭК ТО 18044-2007. Разберемся с понятиями события и инцидента информационной безопасности, а также с общим направление взаимодействия с ними, согласно вышеназванному ГОСТУ.
    [post_status] => publish
    [comment_status] => open
    [ping_status] => closed
    [post_password] => 
    [post_name] => rassledovanie-inczidentov-kompyuternoj-bezopasnosti
    [to_ping] => 
    [pinged] => 
    [post_modified] => 2022-01-11 17:42:01
    [post_modified_gmt] => 2022-01-11 14:42:01
    [post_content_filtered] => 
    [post_parent] => 0
    [guid] => https://tsarev.biz/?post_type=articles&p=10196
    [menu_order] => 0
    [post_type] => articles
    [post_mime_type] => 
    [comment_count] => 0
    [robotsmeta] => 
    [pod_item_id] => 10196
)