Информационные технологииStfw.Ru 🔍

Компьютерные экспертизы и Windows Vista

Jamie Morris
🕛 04.03.2008, 15:35
перевод: Владимир Куксенок

Введение

В то время как основные принципы компьютерной экспертизы остаются неизменными, окружение, в котором работают исследователи, постоянно изменяется. Появление новых технологий заставляет экспертов постоянно совершенствовать свои знания. Одной из самых ожидаемых новинок этого года является операционная система Microsoft - Windows Vista. Vista разрабатывалась в течении длительного промежутка времени и содержит ряд новых возможностей и серьезных усовершенствований безопасности.

Независимо от того как быстро Vista появится на компьютерах организаций и рядовых пользователей, можно быть уверенным в том, что эта ОС продолжит тенденцию доминирования Microsoft на рынке операционных систем и следовательно неминуемо попадет во внимание специалистов компьютерных экспертиз. Также нужно учитывать, что Vista станет не только предметом исследования, но также, на определенном этапе, превратится в рабочую систему, непосредственно используемую для проведения экспертиз.

На момент написания статьи, Vista является неизведанным продуктом для большинства компаний и рядовых пользователей и нуждается в детальном описании ее новых технологий. Фактически Vista принесет не только новые технологии, но и новые модели поведения пользователей.

Эта статья представляет краткий обзор известных нам изменений в Vista, которые с высокой вероятностью окажут влиянии на компьютерные экспертизы, начиная со встроенного шифрования, резервного копирования и новых элементов защиты системы.

Перед рассмотрением реализации шифрования и резервного копирования в Windows Vista нужно упомянуть о различных версиях дистрибутива.
Сравнение версий Windows Vista

Точное определение версии операционной системы крайне важно в компьютерной экспертизе. В случае с Vista это особенно важно, так как в зависимости от версии в системе присутствуют либо отсутствуют средства шифрования и резервного копирования.

Существует шесть основных версий Windows Vista [1], с небольшими вариациями в зависимости от локализации, причиной появления которых было антимонопольное законодательство. Четыре версии предназначены для дома и малого бизнеса - Home Basic, Home Premium, Business и Ultimate, тогда как версия Enterprise предназначена для больших организаций, а версия Starter нацелена исключительно на развивающиеся рынки.

Специалисты компьютерной экспертизы должны обратить особое внимание на следующее:
* «BitLocker Drive Encryption» доступно в версиях Enterprise и Ultimate. * «Encrypting File System (EFS)», «Shadow Copy» и «Complete PC Backup and Restore» доступно в версиях Business, Enterprise и Ultimate. * «Scheduled and Network Backup» доступно в версиях Home Premium, Business, Enterprise и Ultimate.

Рассмотрим, что из себя представляют эти возможности, и какое значение они могут иметь для исследователей.
BitLocker drive encryption

Первоначально в сообществе специалистов компьютерных экспертиз были опасения, что некоторые возможности Windows Vista, в частности BitLocker, приведут к огромному увеличению количества зашифрованных данных. Однако теперь ясно, что эти возможности будут присутствовать только в топовых версиях Vista и кроме того не будут включены по умолчанию. Хотя нужно отметить, BitLocker до сих является предметом оживленных дебатов (см. недавнюю статью в The Register [2] и дискуссии на Slashdot [3]).

Что же из себя представляет BitLocker? В двух словах BitLocker обеспечивает AES шифрование всех данных на разделе Windows Vista совместно с проверкой целостности данных процесса (boot process), используемого для загрузки ОС. Главная цель этих нововведений - защита данных даже если атакующий попытается получить к ним доступ в обход ОС или просто вытащит жесткий диск для анализа на другом компьютере. Нужно отметить, что шифрование раздела не ново; на рынке присутствует ряд решений, обеспечивающих такие же возможности. Однако кое-что отличает BitLocker от других программ - использование Trusted Platform Module TPM 1.2. Подробное описание Trusted Platform Modules может быть найдено в FAQ, предлагаемом Trusted Computing Group [4], а кратко TPM может быть охарактеризован как микроконтроллер, надежно хранящий данные, используемые в криптографических и защитных процессах (например ключи шифрования, цифровые сертификаты и пароли) с целью повышению защиты определенных приложений и модулей системы.

При использовании чипа TPM для повышения защищенности, BitLocker может быть сконфигурирован на загрузку системы после успешной проверки целостности файлов, используемых при загрузке, или (по крайне мере в теории) на требование ввода PIN кода или USB устройства, содержащего ключ для входа в систему. BitLocker может также работать без поддержки TPM, используя ключ из USB устройства, подключенного во время загрузки системы. В любом случае исследователи должны знать, какая именно информация должны быть собрана о системе использующей BitLocker и на что нужно обращать особое внимание (материнская плата, USB диск, ключ/пароль для восстановления системы и т.д.).

Что же BitLocker принесет специалистам компьютерных экспертиз? В недавнем подкасте [5] Jesse Kornblum описал впечатления от BitLocker, а также отметил, что настало время, когда снятие копии жесткого диска (и последующего анализа) стало нормой для компьютерных экспертов. Несомненно BitLocker принесет проблемы, ведь в конце концов одной из целей поставленной Microsoft перед BitLocker является защита данных даже при условии похищения жесткого диска у пользователя. Однако так как BitLocker доступен только в двух версиях Windows Vista и должен быть осознанно включен для соответствующим образом отформатированного диска, его широкое распространение кажется маловероятным.

Кроме того мы должны учитывать, что даже если BitLocker используется, при изъятии соответствующих аппаратных средств или получении доступа к разделу путем инициации процедуры восстановления, доказательства все равно могут быть получены. Да, ставки возросли и планка поднята, однако то, что BitLocker является серьезным шагом к надежному и повсеместному шифрованию представляется сомнительным.

Encrypting File System (EFS)

EFS - возможность, доступная в версиях Business, Enterprise и Ultimate и обеспечивающая шифрование файлов и папок на разделах NTFS (с использованием алгоритма AES). В отличие от аппаратных и конфигурационных требований к BitLocker, EFS для включения требует всего лишь клика мышкой в свойствах файла или папки, хотя стоит отметить, что в крупных корпоративных системах такое шифрование скорее всего будет задаваться политикой группы (Group Policies) или через скрипты, а не индивидуально пользователем. EFS появилась в Vista не впервые и присутствует в Windows 2000, XP и Server 2003, что означает что ничего радикально нового специалистам компьютерных экспертиз она не принесет (есть только одно отличие - возможность сохранения сертификатов на смарт картах). Как и в случае с BitLocker или любым другим способом шифрования, ключевым компонентом плана анализа зашифрованных данных будет оперативная работа и использование стандартных процедур восстановления данных.
Backup and Restore

В отличие от шифрования, некоторые нововведения могут работать на пользу специалисту компьютерных экспертиз. В качестве одного из примеров можно привести повышение функциональных возможностей процедур резервного копирования и восстановления в Windows Vista. “The Backup and Restore Center” [6] это мастер с графическим интерфейсом, доступный в версиях Home Premium, Business, Ultimate и Enterprise и позволяющий пользователям планировать автоматическое резервное копирование выбранных файлов (а также определять метод восстановления). Вообще говоря, пользователи (особенно домашние и в малых офисах) весьма безответственно подходят к вопросам резервного копирования своих данных, а если и принимают необходимые меры, то в лучшем случае делают резервную копию в первый раз и забывают производить эти действия в течение многих последующих месяцев. Наличие возможности автоматического планирования в “The Backup and Restore Center” должно повысить шансы обнаружения свежей резервной копии экспертом, производящим компьютерную экспертизу. Резервные копии могут создаваться на внешних носителях, поэтому исследователь должен принимать во внимание наличие DVD- и CD-приводов, внешних жестких дисков и т.д. Другая новинка, названная "Complete PC Backup and Restore" [7] доступна только в версиях Business, Ultimate и Enterprise и позиционируется как утилита для восстановления после краха системы. Основным отличием этой возможности от описанной в предыдущем абзаце, является то, что в резервную копию включается операционная система, установленные приложения и данные, относящие к рабочему окружению пользователя. В целом, несмотря на то, что возможности резервного копирования и восстановления были доступны и в предыдущих продуктах Microsoft, основной целью Vista было сделать их более доступными и интуитивными. Если это увеличит количество информации о деятельности пользователя, специалисты компьютерных экспертиз определенно извлекут выгоду из описанных новинок.
Scheduled and Network Backup

Доступная в версиях Home Premium, Business, Ultimate и Enterprise, возможность "Scheduled and Network Backup" позволяет производить резервное копирование через регулярные заранее определенные промежутки времени. Удобно для пользователя… И еще удобней для эксперта-криминалиста, изучающие данные пользователя и его деятельность за компьютером.

Shadow Copy

Shadow Copy (теневые копии) позволяет автоматически создавать ежедневные копии файлов и папок для поддержания целостности системы (теневые копии также могут быть созданы вручную установкой «точки восстановления» [8]). Ранее замеченные в Windows Server 2003, эти функциональные возможности теперь доступны в Business, Enterprise и Ultimate версиях Windows Vista. Специалистам по компьютерным экспертизам следует обратить внимание на то, что в отличие от других средств восстановления, таких как "Backup and Restore", автоматическое создание теневых копий включено по умолчанию, а хранятся они на локальном диске - в соответствии с настройками по умолчанию 15% от объема диска предназначено для хранения теневых копий. Также стоит отметить, что сохраняются только изменения между версиями, а не полные копии файлов или папок.

Управление теневыми копиями осуществляется через вкладку System Protection (Control Panel -> System Properties), а также через клик правой кнопкой мыши на файле или папке в Windows Explorer и выборе пункта меню “Restore previous versions”. Сходные функциональные возможности были и в предыдущих версиях Windows, но реализация в Windows Vista предрасполагает к ее использованию конечных пользователей, а не только системных администраторов.

Если читатель начинает думать что комбинация всех этих новых возможностей с различными версиями Windows Vista является несколько запутанной, мужайтесь… В Microsoft происходит то же самое (судя по числу несоответствий в материалах, выложенных на их сайте).
Файловая система

Подробную и всестороннюю информацию об изменениях в реализации файловой системы Windows Vista найти довольно трудно, но скорее всего основным усовершенствованием будет Transactional NTFS (TxF) [9] - возможность, позволяющая выполнить полностью серию файловых операций (транзакцию) или откатиться назад. Это может быть полезным в задачах обеспечения целостности системы, однако вряд ли имеет серьезное значение с точки зрения специалиста компьютерных экспертиз. Тем не менее, изменения в некоторых объектах данных могут иметь серьезное значение, и в следующей статье мы рассмотрим то, как Vista работает с файлами метаданных. В целом, так как появления принципиально новой файловой системы (типа WinFS) не предполагается, разумно предположить, что изменений пришедших с Windows Vista будет относительно не много. Если в дальнейшем не появится исчерпывающей информации от Microsoft, лучшим источником новых знаний о файловой системе будет самостоятельный анализ, а также информация о предыдущих версиях NTFS из книги Brian Carrier “Криминалистический анализ файловых систем” [10].

Заключение

В этой статье мы кратко рассмотрели некоторые новые возможности Windows Vista, которые могут быть интересны специалистам компьютерных экспертиз. В следующей статье мы более подробно рассмотрим детали произошедших изменений и сконцентрируемся на типичных шаблонах поведения пользователей, которые обычно попадают под внимание экспертов, таких как посещение веб сайтов и использование электронной почти.

Ссылки


 1. http://www.microsoft.com/windows/products/windowsvista/editions/choose.mspx 2. http://www.theregister.co.uk/2007/02/02/computer_forensics_vista/ 3. http://it.slashdot.org/it/07/02/05/2254247.shtml 4. https://www.trustedcomputinggroup.org/faq/TPMFAQ/ 5. http://cyberspeak.libsyn.com/index.php?post_id=175719 6. http://www.microsoft.com/windows/products/windowsvista/features/details/backup.mspx 7. http://www.microsoft.com/windows/products/windowsvista/features/details/completepcbackup.mspx 8. http://www.microsoft.com/windows/products/windowsvista/features/details/shadowcopy.mspx 9. http://msdn2.microsoft.com/en-us/library/aa365456.aspx 10. http://www.piter.com/book.phtml?978546901311

Windows Vista   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉