Компьютерная криминалистика в Челябинске. Что делать, если взломали сервер?
Хотелось бы подробнее рассказать о компьютерной криминалистике. Большинство людей не представляет, что есть такая сфера деятельности и зачем она нужна.
Расскажу на реальном примере который имел место недавно.
Представьте: Вы владелец компании, у вас несколько удаленных офисов и магазинов. Ваша прибыль зависит от продаж вашего товара. А собственно, процесс продажи завязан на некоторой электронной системе документооборота. В понедельник утром ваши сотрудники обнаруживают, что система продажи не функционирует. У вас есть "программист", который после осмотра сервера говорит вам, что данные на сервере зашифрованы кем-то. И резервные копии тоже. Ну вот тут смеяться не надо - в сегменте малого-среднего бизнеса резервированию систем не уделяют внимания. Ваш программист отчаяно пытается что-то сделать, например восстановить данные, перезагрузить сервер и т.д. Вы в данном вопросе не имеете какой-либо компетенции. Нанимаете стороннюю организацию типа "компьютерной помощи", они также проводят различные манипуляции с вашими данными. После двух-трех дней подобных действий вы решаете обратиться в полицию, там вам говорят, что нужно точное описание того, что же все-таки случилось. А вы такой информацией не располагаете, т.к. ваш программист вам говорит одно, а другая фирма - другое. Вы уже дважды потратили свои деньги, не смотря на проблемы с продажами. Вам предлагаю обратиться к компьютерному криминалисту (форензику) который определит состав преступления и соберет необходимую базу цифровых доказательств. И вот тут вы оказываетесь моим клиентом.
Далее ваша информационная система оказывается у меня на стенде. Я использую специальное программное и аппаратное обеспечение, которое не вносит никаких изменений в информационные системы, некоторые программы являются собственными разработками по сбору и анализу данных. Когда сервер попал ко мне - на нем уже нельзя было восстановить данные, т.к. программист и "компьютерная помощь" сделали все возможное, чтобы это стало невозможным. Они затерли часть нужной информации для экспертного исследования и усложнили работу криминалисту. Но часть необходимой доказательной базы я все же собрала и возможность найти злоумышленника на данный момент есть.
Что делать, если вы оказались в такой ситуации? Если ваш сервер был взломан, вам необходимо:
1. НЕ восстанавливать данные с помощью штатного админа или "программиста". НЕ восстанавливать данные с помощью сторонней организации, кроме тех, у которых есть аппаратные стэнды для восстановления или специализированных сервисных центров по восстановлению данных. Это следует делать уже после обращения в полицию.
2. НЕ пытаться восстановить картину произошедшего самостоятельно, т.к. можете повредить цифровые доказательства.
3. НЕ перезагружайте сервер, выключите его. Иначе также часть доказательств будет отсутствовать.
4. Обратиться в полицию, взять контактный телефон криминалистической организации.
5. Следовать указаниям компьютерного криминалиста и сотрудников полиции.
Если придерживаться данных пунктов, то существует большая вероятность положительного исхода таких инцидентов.
Всем спасибо и удачи в делах! :)