Инструментальные средства обеспечения безопасности

:

Инструментальные средства обеспечения безопасности
[+]
Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 23:

Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом
A
|
версия для печати
< Лекция 22 || Лекция 23: 12345 || Лекция 24 >

Пример из жизни. Пропавший подозреваемый

Вы являетесь судебным экспертом ЦРУ, в задачу которого входит анализ компьютера предполагаемого террориста. Агентство сообщает вам, что лэптоп и настольный компьютер подозреваемого были захвачены в его гостиничном номере сразу после того, как он исчез. Предполагается, что подозреваемый намеревался угнать самолет, направляющийся из Бельгии в Соединенные Штаты, с пока неизвестными последствиями.

Агентство хотело бы знать обо всех недавних контактах подозреваемого, а также мотивы и/или возможные последствия этой ситуации. Кроме того, любая сетевая связь между подозреваемым и другими людьми может дать указания о будущих действиях террористов и может помочь сохранить жизни невинных людей. После исследования судебной копии машины подозреваемого вы находите следующие программы, установленные или используемые.

  • Laptop (Windows 98).
    • Броузер Netscape (и соответствующие почтовые программы).
  • Настольный компьютер (Windows 2000 и Linux).
    • Internet Explorer (и следовательно Outlook Express ).
    • Большой файл, который оказался почтовым ящиком Unix в разделах системы Linux.

Используя стандартные методы судебного анализа, вы решаете, что лучшие улики обычно находятся в электронной почте и в истории просмотров интернет-сайтов. Поэтому вы решаете сначала восстановить электронную почту, а затем исследовать сайты, посещенные в интернете. Порядок этой реконструкции произволен. Сразу же после завершения стадии реконструкции вы сравните и скоррелируете результаты.

Outlook Express. Так как электронная почта Outlook Express была обнаружена в судебных копиях, полученных с машин подозреваемого, вы решаете (произвольно), что сначала восстановите эту электронную почту. После импортирования файлов обнаружены почтовые сообщения, показанные на следующих рисунках.

Исследователи получили зацепку, указывающую, что адрес электронной почты, принадлежащий highflyer21060@yahoo.com может дать больше информации об исчезновении подозреваемого. Кроме того, эта информация может дать зацепку, которая выведет на другого потенциального заговорщика. Имейте в виду однако, что такую информацию можно получить только с надлежащими юридическими документами и только официальным лицам правоохранительных органов. Без надлежащего анализа электронной почты эта информация могла бы быть потеряна, поскольку почтовые файлы, отформатированные приложением Outlook Express обычно трудно находить без оригинального приложения.

Почта Netscape. Далее вы находите почтовый каталог, предназначенный для хранения электронной почты Netscape (места расположения этих файлов обсуждены в разделе Netscape в этой лекции). Используя методы реконструкции, описанные в этой лекции, вы обнаруживаете следующие почтовые сообщения.

Восстановление электронной почты Netscape с компьютера подозреваемого увеличило количество зацепок в проводимом расследовании. Дополнительный адрес электронной почты, highflyer@toughguy.net, использовался подозреваемым для связи с учетной записью почты Yahoo!, highflyer21060@yahoo.com. Кроме того, если содержание электронных сообщений заслуживает доверия, то создается впечатление, что план был отменен. Однако вы должны относиться к этой информации с осторожностью, поскольку она может быть столь же фальшивой и беспринципной, как и сам ее отправитель. Тем не менее, легко заметить, что эта информация не была бы обнаружена без восстановления электронной почты Netscape, найденной на интересующем нас компьютере.

Почтовые ящики Unix. На следующих иллюстрациях показано, как представляются почтовые файлы, найденные на компьютере подозреваемого после их восстановления способом, рассмотренным ранее в этой лекции в разделе "Почтовые ящики Unix".

Теперь у вас есть дополнительные зацепки! Если не известно, что подозреваемый пользовался адресом электронной почты bossman@toughguy.net, то вы можете прийти к одному из следующих заключений.



  • Адрес электронной почты принадлежит дополнительной учетной записи, которой может также владеть подозреваемый. Наличие надлежащих юридических документов может привести к дополнительным зацепкам в результате захвата того компьютера, с которого использовалась эта учетная запись.
  • Подозреваемый в действительности не владеет учетной записью, соответствующей адресу электронной почты bossman@toughguy.net, и выполнил несанкционированный доступ (эта деятельность незаконна в Соединенных Штатах) для получения этого файла.

Так или иначе, теперь следствие имеет больше зацепок.

IE History. Чтобы исследовать, какие сайты подозреваемый посещал в интернете, вы анализируете файлы index.dat приложения Internet Explorer и файлы history.dat приложения Netscape, обнаруженные в захваченных уликах.

Используя таблицу, приведенную в разделе " IE History ", вы находите файлы index.dat, которые содержат URL-адреса и даты посещения их подозреваемым. При вводе каталога Content.IE5 вы находите файл index.dat и открываете его, используя инструмент IE History. После просмотра списка Web-сайтов, которые посещал подозреваемый, вы замечаете, что он определенно использовал этот компьютер, чтобы организовать свой маршрут авиапутешествия. Подозреваемый искал билеты из Брюсселя до Балтимора в районе 20 марта 2002 г. Вы просматриваете те же самые маршруты, которые подозреваемый просматривал, щелкая правой кнопкой мыши на URL-адресах и выбирая пункт меню Go To URL.

Вам потребуется повторить этот процесс на других Web-сайтах, посещенных с машины подозреваемого, чтобы получить полную картину его деятельности в интернете. Кроме того, вы видите, что подозреваемый пытался забронировать место в отеле Hilton в старом городе Александрии (штат Виргиния); расположенном рядом с Вашингтоном (округ Колумбия).

В заключение вы увидели, что объект разыскивал информацию, касающуюся путешествия, которое начинается в Брюсселе и заканчивается в пригороде столичного Вашингтона. Если бы вы не сумели восстановить историю просмотра интернет-сайтов, эта информация была бы потеряна. Теперь следователи могут начинать розыск в этих областях и усиливать охрану на международных рейсах.

Дальше >>
< Лекция 22 || Лекция 23: 12345 || Лекция 24 >

Вопросы и ответы

вопросов: 0

Студенты

всего: 76
Сергей Хлюкин
Сергей Хлюкин
Россия, Москва, Московский Государственный Открытый Университет, 2007
предложить дружбу
Игорь Касаткин
Игорь Касаткин
Россия, Москва
предложить дружбу