Για να ξεπεραστεί η ανάγκη των ερευνητών να ταξιδέψουν σε ολόκληρο τον κόσμο με στόχο να εντοπίσουν στοιχεία από μολυσμένους υπολογιστές μετά από κυβερνοεπιθέσεις, ένας ειδικός της Kaspersky Lab ανέπτυξε ένα απλό εργαλείο που μπορεί εξ αποστάσεως να συλλέγει ζωτικής σημασίας δεδομένα χωρίς κίνδυνο για μολύνσεις ή απώλειες. Το εργαλείο με όνομα BitScout μπορεί να χτίσει έναν «ελβετικό σουγιά» για απομακρυσμένη δικαστική έρευνα εν ενεργεία συστημάτων και παρέχεται ελεύθερο για χρήση σε όλους τους ερευνητές.
Στις περισσότερες κυβερνοεπιθέσεις, οι νόμιμοι κάτοχοι συμβιβασμένων συστημάτων πέφτουν θύματα αγνώστων δραστών. Τα θύματα συνήθως συμφωνούν να συνεργαστούν και να βοηθήσουν τους ερευνητές στον τομέα της ασφάλειας, με σκοπό να βρουν τον φορέα μόλυνσης ή άλλες λεπτομέρειες σχετικά με τους εισβολείς. Ωστόσο, αυτό που ανησυχεί εδώ και καιρό τους ερευνητές είναι η ανάγκη να διανύσουν μεγάλες αποστάσεις για τη συλλογή σημαντικών στοιχείων όπως τα δείγματα κακόβουλου λογισμικού από μολυσμένους υπολογιστές καθιστούν τις έρευνες δαπανηρές και χρονοβόρες. Όσο περισσότερο χρόνο χρειάζεται για να γίνει κατανοητή η επίθεση, τόσο περισσότερο χρόνο χρειάζεται για να προστατευθούν οι χρήστες και να εντοπιστούν οι δράστες. Παρ’ όλα αυτά, οι εναλλακτικές λύσεις είτε χρειάζονται δαπανηρά εργαλεία και εξειδικευμένη γνώση του τρόπου λειτουργίας τους, είτε ενέχουν τον κίνδυνο μόλυνσης ή απώλειας αποδεικτικών στοιχείων λόγω της μεταφοράς τους ανάμεσα σε υπολογιστές.
Για να λύσει το πρόβλημα, ο Vitaly Kamluk, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab για την περιοχή Ασίας-Ειρηνικού, δημιούργησε ένα ψηφιακό εργαλείο ανοιχτού κώδικα που έχει τη δυνατότητα να συλλέγει – εξ αποστάσεως- υλικό από τις επιθέσεις, αποκτώντας συνολική εικόνα του δίσκου μέσω του δικτύου ή τοπικά συνδεδεμένων χώρων αποθήκευσης, όπως ακόμα να συμβουλεύει εξ αποστάσεως για τον χειρισμό σε περιπτώσεις επίθεσης κακόβουλου λογισμικού. Τα δεδομένα που αποτελούν αποδεικτικά στοιχεία μπορούν να προβληθούν και να αναλυθούν εξ αποστάσεως ή τοπικά, ενώ η αποθήκευση δεδομένων από την πηγή παραμένει ανέπαφη μέσω αξιόπιστης απομόνωσης.
«Η ανάγκη να αναλύσουμε τα περιστατικά ασφαλείας όσο το δυνατόν πιο αποτελεσματικά και άμεσα είναι αρκετά σημαντική, καθώς οι αντίπαλοι συνεχώς εξελίσσονται και αυξάνουν τη μυστικότητά τους. Αλλά η ταχεία αντίδραση χωρίς να υπολογίζουμε το κόστος δεν αποτελεί τη σωστή απάντηση – πρέπει να διασφαλίσουμε ότι τα αποδεικτικά στοιχεία παραμένουν αναλλοίωτα για να θεωρούνται έγκυρες οι έρευνες και τα αποτελέσματα τους να μπορούν να χρησιμοποιηθούν στο δικαστήριο, εάν αυτό είναι αναγκαίο. Δεν μπορούσα να βρω ένα εργαλείο που να μας επιτρέπει να πετύχουμε όλα αυτά, δωρεάν και εύκολα – έτσι αποφάσισα να δημιουργήσω ένα» ανέφερε ο Vitaly Kamluk.
Οι ειδικοί της Kaspersky Lab δουλεύουν μαζί με τις υπηρεσίες επιβολής του νόμου σε όλο τον πλανήτη με σκοπό να βοηθήσουν στην τεχνική ανάλυση των διαδικτυακών ερευνών. Αυτό τους δίνει μία μοναδική εικόνα για τις προκλήσεις που αντιμετωπίζει το προσωπικό της LEA όταν μάχονται εναντίον του σύγχρονου κυβερνοεγκλήματος. Το τοπίο της κυβερνοασφάλειας είναι πλέον τόσο περίπλοκο και εξελιγμένο που οι ερευνητές χρειάζονται εργαλεία που μπορούν να προσαρμοστούν και να κλιμακωθούν στις απαιτήσεις της εργασίας. Το BitScout είναι ένα καλό παράδειγμα αυτού. Μπορεί να προσαρμοστεί στις εκάστοτε ανάγκες ενός ερευνητή και να βελτιωθεί με πρόσθετες λειτουργίες και προσωποποιημένο λογισμικό. Το πιο σημαντικό είναι ότι είναι δωρεάν, βασιζόμενο σε λύσεις ανοιχτού πηγαίου κώδικα και είναι πλήρως διαυγές: αντί να βασίζονται σε εργαλεία τρίτων με ιδιόκτητο κώδικα, οι ειδικοί μπορούν να χρησιμοποιούν τον ανοιχτό πηγαίο κώδικα του BitScout ώστε να δημιουργούν το δικό τους «ελβετικό σουγιά» για ψηφιακές εγκλήματα.
Η λίστα των χαρακτηριστικών του BitScout περιλαμβάνει:
- Εικόνα στον δίσκο ακόμη και με μη εκπαιδευμένο προσωπικό.
- Εκπαίδευση ατόμων εν κινήσει (κοινόχρηστος τερματικός σταθμός προβολής).
- Μεταφορά πολύπλοκων στοιχείων- δεδομένων στο εργαστήριό σας για πιο βαθιά επιθεώρηση.
- Εξ αποστάσεως έλεγχο Yara ή AV των offline συστημάτων (απαραίτητο εναντίων rootkits).
- Ψάξιμο και προβολή στα κλειδιά μητρώου (autoruns, υπηρεσίες, συνδεδεμένες συσκευές USB).
- Απομακρυσμένο «σκάλισμα» αρχείων (ανάκτηση διαγραμμένων αρχείων).
- Αποκατάσταση του απομακρυσμένου συστήματος εάν η πρόσβαση επιτρέπεται από τον ιδιοκτήτη.
- Απομακρυσμένη σάρωση άλλων κόμβων δικτύου (χρήσιμη για απομακρυσμένη απόκριση περιστατικών).