Как я уже упоминал, мы с группой ИТ-переводчиков сейчас работаем над учебным переводом книги о программах-вымогателях. Проект движется, и некоторые студенты уже перешли от форматирования текста к составлению глоссария.
Я люблю делать глоссарии — для меня это важный этап, на котором ты раскладываешь в голове по полочкам всю терминологию проекта. И вот, просматривая один из присланных студентом глоссариев, я наткнулся на пару терминов, которые заставили меня немного углубиться в исследование пары терминов — imaging и forensic imaging.
На первый взгляд, — это обычные ИТ/ИБ-термины, ничего сложного. Но как выяснилось, студент не увидел между ними разницы, и тут Остапа понесло.
Ловушка первая: «образ» — это не «копия»
Первое, за что зацепился глаз — студент перевел image как «копия». В контексте ИТ это грубая ошибка — между этими понятиями пропасть.
Простое копирование — это операция на уровне файловой системы. Когда вы копируете папку с файлами с одного диска на другой, операционная система считывает содержимое файлов и записывает их на новое место. При этом их физическое расположение на новом диске, скорее всего, будет совершенно другим. Если вы так скопируете системный диск на новый носитель, а потом попытаетесь с него загрузиться — ничего не выйдет. Программы не запустятся, потому что нарушена вся структура, которую они ожидают.
Создание образа (imaging) — это совсем другой процесс. Это побитовое или побайтовое копирование всего носителя целиком. Инструмент для создания образа считывает абсолютно все: не только файлы, но и загрузочные секторы, таблицы разделов, пустое пространство — и записывает это в один большой файл-контейнер. Когда вы потом «разворачиваете» такой образ на другой диск, он воссоздает исходную структуру один в один, байт в байт. Система загрузится, программы заработают, и вы, скорее всего, даже не заметите разницы.
Ловушка вторая, более глубокая: бездна смыслов слова forensic
В исходном тексте книги речь шла о forensic imaging tool, то есть «инструменте для создания криминалистического образа». Студент же счел слово forensic (криминалистический) несущественным и в глоссарии его опустил. А зря. Именно это слово меняло все.
Чтобы объяснить разницу, пришлось пуститься в объяснение того, как работает удаление файлов (в том смысле, как это понимаю я — а я могу ошибаться).
Когда вы отправляете файл в корзину, а затем очищаете ее, он не стирается с диска физически. Это было бы слишком долго и ресурсозатратно для компьютера. Вместо этого операционная система просто вносит небольшую пометку в файловой таблице.
Например, в старых файловых системах типа FAT первый байт имени файла заменялся на специальный символ (например, E5).
Для системы это сигнал: «это место свободно, сюда можно записывать новые данные». Сам файл при этом остается на диске до тех пор, пока не будет перезаписан чем-то новым. Именно на этом принципе работают многие программы для восстановления удаленных данных.
Так вот, обычный инструмент для создания образов (imaging tool), нацеленный, например, на резервное копирование, такие «помеченные на удаление» файлы чаще всего игнорирует. Для него это «мусор», нераспределенное пространство. Он копирует только те файлы, что логически существуют в системе.
А криминалистический инструмент (forensic imaging tool) поступает иначе. Его задача — создать абсолютно точную, побитовую копию носителя, не упустив ничего. Он копирует все: и существующие файлы, и «удаленные», и скрытые области, и все пустое пространство между файлами (так называемое slack space). Это делается для того, чтобы эксперт-криминалист мог впоследствии извлечь из этого образа максимум информации, включая удаленные файлы и другие цифровые артефакты, которые могут стать уликами.
На юридическом уровне разница между этими образами (обычным и криминалистическим) еще более существенна. Результаты работы криминалистических инструментов могут иметь юридическую силу в суде. Для этого весь процесс строго документируется: кто, когда и каким инструментом создал образ, как обеспечивалась его целостность (для этого вычисляются и сверяются хеш-суммы) и как соблюдалась цепочка хранения улик (chain of custody). Все эти данные — часть материалов расследования.
Надежное уничтожение данных: обратная сторона криминалистики
Разговор о восстановлении данных неизбежно привел нас к смежной теме: а как же тогда уничтожить данные наверняка? И здесь тоже оказалось много нюансов, которые мы обсуждали с другим студентом.
Вместо обывательской фразы «предотвратить попадание данных в чужие руки» в профессиональной среде используется более точный термин secure data disposition (обеспечение безопасного вывода данных из эксплуатации). А сам процесс уничтожения описывается термином sanitization (санация, или очистка), который шире, чем просто destruction (уничтожение). Стандарт NIST SP 800-88 определяет три уровня санации: Clear (простая очистка), Purge (глубокая очистка) и Destroy (физическое уничтожение).
Для магнитных дисков (HDD) могут, среди прочих методов применяться:
- Перезапись (overwriting): Запись поверх старых данных случайных последовательностей. Вопреки старому мифу, для современных дисков обычно достаточно одного цикла перезаписи.
- Криптографическое стирание (Cryptographic Erase, CE): Если диск был зашифрован, достаточно просто уничтожить ключ шифрования. Без него данные превращаются в бессмысленный набор байтов.
- Размагничивание (degaussing): Воздействие на диск мощным магнитным полем, которое гарантированно уничтожает информацию.
С твердотельными накопителями (SSD) все сложнее. Обычная перезапись для них неэффективна.
Из-за технологий выравнивания износа (wear-leveling) и наличия резервной области (over-provisioned space) нет гарантии, что команда перезаписи затронет абсолютно все ячейки памяти, где могли храниться данные. Поэтому для SSD применяются специальные встроенные команды, такие как Secure Erase.
После правильно выполненной процедуры санации восстановление данных становится, как говорят специалисты, infeasible — практически неосуществимым. Этот термин точнее, чем использованный переводчиком вариант virtually impossible (практически невозможно), поскольку он подразумевает, что теоретическая возможность восстановления может и остаться, но его стоимость и сложность будут настолько высоки, что превысят любую мыслимую ценность самих данных.
В контексте обсуждения также всплыл термин live imaging — создание «живого» образа, — это процесс копирования данных с системы, которая находится во включенном, рабочем состоянии. Основная цель здесь — захватить волатильные (энергозависимые) данные, то есть информацию, которая исчезнет сразу после выключения питания 16. В первую очередь это содержимое оперативной памяти (RAM), где могут находиться запущенные процессы вредоносного ПО, активные сетевые соединения, ключи шифрования и пароли. Обычное создание образа с выключенного носителя (cold imaging) эту информацию упустит.
Однако у этого метода есть и риски: работающая система может продолжать изменять данные на диске, а вредоносное ПО может попытаться противодействовать процессу копирования. Поэтому для live imaging требуются особо специализированные инструменты и высокая квалификация эксперта.
На этом я свой небольшой экскурс закончил, надеюсь, было познавательно.
До новых встреч.