В МИФИ предложили новый метод компьютерной криминалистики по выявлению зашифрованных файлов

При обнаружении инцидентов информационной безопасности встает задача выявления их причин и причастных лиц в рамках расследования. Проводится сбор доказательной базы, основными источниками которой зачастую являются электронные носители информации. Для уничтожения или сокрытия следов работы на электронном носителе информации нарушителями информационной безопасности могут использоваться разные подходы, среди которых одними из самых действенных являются перезапись или шифрование файлов соответственно, так как получить доступ к содержимому файлов очень сложно или совсем невозможно в зависимости от применяемого подхода.

Поиск перезаписанных файлов является важной задачей при проведении исследования электронного носителя информации, поскольку выявление обстоятельств удаления, а также сведений об удаленном таким образом файле может дать представление об используемых программах, скрываемых данных, времени использовании файла и так далее, что является важной и сложной задачей исследования. Без выявления факта перезаписи данных следы использования интересующих сведений на исследуемом электронном носителе информации могут быть пропущены, что приведет к неверным выводам в рамках проведения расследования инцидентов информационной безопасности.

И.о. зав.кафедрой № 42 «Криптологии и дискретной математики» Анна Васильевна Епишкина уверенна, что не только в настоящее время, но и на видимую перспективу сохранится тенденция широкого использования сетей пакетной передачи данных. «Эта перспектива в свою очередь делает весьма значимой угрозу негласного использования особенностей протокола IP для скрытой передачи информации ограниченного доступа по каналам связи, выходящим за пределы объектов информатизации, на которых она обрабатывается».

Анализ зашифрованных файлов также необходим при проведении исследования электронного носителя информации, поскольку дает возможность выявить скрываемые значимые сведения. Обнаружение таких файлов инициирует процесс выяснения данных для расшифрования, которые могут быть дополнительно собраны в рамках первичного реагирования на инцидент информационной безопасности. Кроме этого, процесс поиска зашифрованных файлов позволяет выявлять зашифрованные модули, настройки и скопированные сведения вредоносных программ, что инициирует поиск самой вредоносной программы, с помощью которой этот модуль можно расшифровать.

«Необходимость создания и постоянного совершенствования способов противодействия утечке информации по так называемым скрытым каналам обусловлена тем, что такие каналы могут быть построены в условиях применения традиционных способов сетевой защиты, заключающихся в межсетевом экранировании, туннелировании трафика и др., – отмечает А.В.Епишкина. – Исследования показывают, что данная угроза сохраняется даже при передаче информации в зашифрованном виде».

На кафедре криптологии и дискретной математики НИЯУ МИФИ активно ведутся работы по разработке новых способов выявления зашифрованных файлов. Один из таких методов анализа данных, использующихся в компьютерной криминалистике, был предложен соискателем кафедры криптологии и дискретной математики НИЯУ МИФИ В.С.Матвеевой.

Для зашифрованных файлов было получено свойственное им математическое описание статистических закономерностей, которое может быть использовано для выявления локальных неоднородностей в распределении содержимого файлов.

Сформулировано и обосновано необходимое условие обнаружения зашифрованных файлов, основанное на оценке распределения байтов в файле путем интегральной оценки содержимого файла и подсчета вейвлет-коэффициентов, которые выходят за пределы порогового значения в случае обнаружения локальной неоднородности в распределении оцениваемых данных.

В итоге был разработан новый метод обнаружения зашифрованных файлов, позволяющий проводить оценку содержимого файлов интегрально и локально, что дает ему преимущество по сравнению с другими подходами к оценке распределений элементов исследуемой последовательности. С целью работы с зашифрованными файлами была построена архитектура и создано программное средство их обнаружения, которое позволяет получать доступ к содержимому файлов в обход прав на доступ, выставленных в ОС, и производить оценку содержимого отдельных кластеров, что дает возможность применять его для работы со свободной областью файловой системы и неразмеченной областью электронного носителя информации.