KPMG

Восстановление удаленных или поврежденных

  • Raul Nugis, Author |

3 mins read

Консультирование по управлению и рискам

KPMG защищает своих клиентов от финансовых мошенников, риска коррупции и кибератак.  Для этого у нас есть очень опытная команда по управлению рисками и кибербезопасности, в которой работает 25 специалистов. Однако случается и так, что к нам обращаются только тогда, когда ущерб уже причинён. Речь может идти о вирусе-вымогателе, подрывной деятельности конкурента или просто промышленном шпионаже. Во всех таких ситуациях необходимо a) расследовать, что произошло, b) оценить размер причинённого ущерба и c) очистить или восстановить поврежденные системы.

Удаленные данные не всегда окончательно потеряны

Конечно, верна старая истина, что каждое уважающее себя предприятие нуждается в логах и резервных копиях. Но если документы на финансовую, производственную, промышленную и пр. собственность все же пропали или повреждены, необходимо предпринять восстановление данных. В случае типовых носителей данных хорошие результаты дают различные программы для восстановления данных, в том числе и свободно распространяемые, например, Recuva. Однако в ИТ-экспертизе часто опираются на программы компьютерной криминалистики (англ. Forensic – форензика), такие как Nuix, X-Ways и т.п., которые считывают идентичные копии, или копии экспертизы, носителей данных и помогают воссоздать картину того, что произошло, и восстановить удаленные данные. Средства компьютерной криминалистики созданы и отлажены для работы в сложных обстоятельствах и с данными, которые содержатся в поврежденных системах и в обычной ситуации скрыты. Этим инструментам удается в прямом смысле слова собирать файлы по кусочкам, что может, хотя и далеко не всегда, помочь правильно восстановить потерянные документы. Как правило, они основательно прочёсывают копию носителя данных и создают большое количество файлов-кандидатов (э-писем, файлов docx и zip и т.д.).

Предположим, мы хотим выяснить, что стало с документами PDF, находившимися в компьютере финансового директора предприятия и пропавшими вследствие инцидента. В зависимости от того, насколько умелыми были предполагаемые злоумышленники, сколько прошло времени и  о какой системе идет речь, возможно, что-то удастся восстановить. Даже если те же самые документы у нас есть где-то еще, мы все же хотим исследовать подвергшуюся атаке систему, чтобы узнать, что злоумышленники скопировали и что уничтожили. Для этого необходимо восстановить данные из системы.

Итак, мы применяем вышеописанные инструменты компьютерной криминалистики. Они тщательно считывают исследуемый носитель данных, обыскивают каждый его уголок и даже заглядывают, так сказать, под ковер. В результате они часто предлагают нам тысячи, даже десятки и сотни тысяч восстановленных документов. Даже тогда, когда нам известно, что в рассматриваемом компьютере было всего-то несколько сот PDF-файлов! Это происходит потому, что программы компьютерной криминалистики заботятся не столько о точности, сколько о скорости и о восстановлении как можно большего объема данных. Так они находят разного рода кусочки и фрагменты, которые остались от документов, находившихся когда-то в системе файлов, но с которыми, к сожалению, мало что можно предпринять. Таким образом, поиск правильно восстановленных документов программы восстановления данных оставляют пользователю.

Успешное восстановление данных предполагает дополнительную работу

Итак, запустив свои исследовательские, поисковые и восстановительные программы, мы получим несметное количество PDF-файлов, сложенных из фрагментов, большая часть которых – скажем, 90% – не пригодна к употреблению, и от них нет никакой пользы. Чтобы из этой огромной армии кандидатов в документы получить те, которые мы ищем, нам придется кликать на каждом файле в отдельности и пытаться его открыть. Поскольку кандидатов в документы очень и очень много, обычно десятки тысяч, эта задача невыполнима. Мы в KPMG в таком случае используем скрипты, которые автоматически просматривают кандидаты в документы и устанавливают, какие из них восстановлены настолько, чтобы содержимое документа вообще можно было прочитать. Использование таких приемов автоматики делает деятельность по расследованию быстрее и эффективнее, позволяя помогать клиентам во много раз быстрее.

Чтобы попавший в беду извлек из этой статьи также практическую пользу, мы загружаем приложение для контроля содержимого PDF „PDF_checker_free.exe“, которое позволяет решать вышеописанную задачу. Желающие могут его скачать и использовать для контроля файлов PDF. Опубликованный здесь скрипт проверяет одновременно до тысячи PDF-файлов. В полной версии, которую мы используем для обслуживания своих клиентов, количество файлов не ограничено.

Скрипт и указания о том, как им пользоваться для контроля поврежденных и восстановленных PDF-файлов, можно найти по адресу https://github.com/raul-nugis/PDF_checker_free

В KPMG Эстония действует 25 специалистов по кибербезопасности, управлению рисками, внутреннему аудиту и расследованию случаев мошенничества. Мы помогает клиентам защищаться от рисков. В ситуациях, когда риски уже реализовались, мы можем выяснить, что произошло и какой ущерб нанесен предприятию или государственному учреждению, а также разработать решение, которое позволит избежать таких ситуаций в будущем.