แคสเปอร์สกี้ แลปเผยการพัฒนาเครื่องมืออย่างง่ายที่สามารถเก็บรวบรวมหลักฐานจากคอมพิวเตอร์ที่ตกเป็นเหยื่อของอาชญากรรมไซเบอร์ ภายใต้ชื่อ BitScout (บิตสเก๊าต์) ซึ่งสามารถเก็บรวบรวมข้อมูลสำคัญได้จากระยะไกลโดยไม่ต้องเสี่ยงต่อการกระจายแพร่เชื้อหรือการสูญหายของข้อมูล ช่วยสืบสวนหาหลักฐานจากระบบที่ยังทำงานอยู่ (live systems) โดยเปิดให้ใช้งานได้ฟรีแบบไม่มีค่าใช้จ่าย
วิตาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research and Analysis Team หรือทีม GReAT) แคสเปอร์สกี้ แลป ประจำภูมิภาคเอเชียแปซิฟิก เปิดเผยว่าได้คิดค้นเครื่องมือดิจิทัลบนโอเพ่นซอร์สขึ้น เพื่อใช้ทำการเก็บรวบรวมหลักฐานสำคัญของระบบฮาร์ดดิสก์ผ่านเครือข่ายหรือเก็บลงบนสตอเรจที่เชื่อมต่ออยู่ได้ทันที โดยจะสามารถเรียกดูและทำการวิเคราะห์ข้อมูลที่เกี่ยวโยงกับหลักฐานได้อย่างสะดวก โดยที่สตอเรจจัดเก็บข้อมูลหลักนั้นยังคงใช้การได้อยู่
“ความต้องการที่จะวิเคราะห์เหตุการณ์ต่างๆ ที่เกี่ยวข้องกับความปลอดภัย ให้มีประสิทธิภาพและรวดเร็วเท่าที่จะเป็นไปได้นั้นเป็นประเด็นที่มีความสำคัญอย่างยิ่ง เนื่องจากฝ่ายตรงข้ามหรือผู้ร้ายนั้นมีความก้าวหน้าทางเทคโนโลยีสูง ทำให้ตามจับตัวยากขึ้นทุกที ขณะที่ความรวดเร็วที่มีราคาแพงก็ไม่เป็นที่ต้องการเช่นกัน”
“เราจำเป็นต้องทำให้แน่ใจว่าหลักฐานที่เก็บได้นั้นต้องไม่ด่างพร้อย ถูกต้องเพื่อที่กระบวนการสืบสวนนั้นได้รับความไว้วางใจ และผลลัพธ์ที่ได้รับมีคุณภาพและความแม่นยำสำหรับใช้เป็นหลักฐานในศาลยุติธรรมได้หากมีความจำเป็นต้องใช้ ซึ่งผมก็ยังไม่พบเครื่องมือใดที่สามารถทำให้เราได้ทุกอย่างตามที่ต้องการแบบง่ายๆ ดังนั้น ผมจึงตัดสินใจคิดค้นสร้างขึ้นมาเอง” วิตาลี กล่าว
ทั้งนี้ผู้เชี่ยวชาญแคสเปอร์สกี้ แลปทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายทั่วโลกเพื่อให้ความช่วยเหลือในการวิเคราะห์เชิงเทคนิคในการทำการสืบสวนทางไซเบอร์ ซึ่งจะทำให้ได้รับข้อมูลเชิงลึกที่มีความเฉพาะตัวเกี่ยวโยงกับความท้าทายที่ทางเจ้าหน้าที่บังคับใช้กฎหมาย (LEA personnel) ต้องเผชิญในยามที่ต่อสู้กับอาชกรรมไซเบอร์สมัยใหม่ รูปแบบระบบความปลอดภัยทางไซเบอร์ในปัจจุบันนี้มีความซับซ้อน และก้าวหน้ามากจนกระทั่งเจ้าหน้าที่ต้องอาศัยเครื่องมือที่สามารถปรับตัวรองรับการใช้งาน และปรับตามขนาดให้เข้ากับความจำเป็นในการใช้งานแต่ละกรณีได้
โดย บิตสเก๊าต์ นี้ถือเป็นตัวอย่างที่ดี สามารถปรับให้ตรงตามที่เจ้าหน้าที่สืบสวนต้องการ และปรับปรุง อัพเกรดด้วยฟีเจอร์ที่เพิ่มเข้ามา รวมทั้งซอฟต์แวร์ที่สร้างตามคำสั่งเฉพาะ สิ่งที่สำคัญที่สุด คือ เครื่องมือนี้ไม่มีค่าใช้จ่าย สร้างบนโอเพ่นซอร์สโซลูชั่น และโปร่งใสเข้าใจง่าย แทนที่จะต้องพึ่งพาอาศัยเครื่องมือจากเธิร์ดปาร์ตี้ที่ใช้โค้ดเฉพาะค่ายของตนเองเท่านั้น ผู้เชี่ยวชาญสามารถใช้โอเพ่นซอร์สโค้ด เพื่อสร้างเครื่องมือสำหรับใช้ในการพิสูจน์หลักฐานดิจิทัลเป็นของตนเองได้
อนึ่งในการจู่โจมโจมตีทางไซเบอร์ส่วนมาก เหยื่อมักจะยินยอมให้ความร่วมมือแก่นักวิจัยด้านความปลอดภัยในการค้นหาเวคเตอร์ที่ก่อให้เกิดการติดเชื้อ หรือรายละเอียดอื่นๆ ที่เกี่ยวข้องกับผู้บุกรุก อย่างไรก็ตาม ก็ยังเป็นความวิตกกังวลมาแสนนานของเหล่านักวิจัยด้านการพิสูจน์หลักฐานถึงความจำเป็นที่จะต้องเดินทางไกลเพื่อเก็บรวบรวมหลักฐานเบาะแสสำคัญ
อาทิ ตัวอย่างมัลแวร์จากคอมพิวเตอร์ที่ติดเชื้อ ซึ่งนั่นย่อมหมายถึงค่าใช้จ่ายที่สูงและความล่าช้า และยิ่งยืดเยื้อในการทำความเข้าใจลักษณะการจู่โจมนั้น การป้องกันผู้ใช้งาน และชี้ตัวผู้ทำการบุกรุกก็จะยิ่งเนิ่นนานออกไป ส่วนทางเลือกอื่นๆ ก็จะต้องอาศัยเครื่องมือที่มีราคาแพง รวมทั้งความรู้ในการใช้งานเครื่องมือเหล่านั้น หรือเสี่ยงติดเชื้อมัลแวร์ไปด้วย หรือหลักฐานสูญหายระหว่างการย้ายข้อมูลระหว่างเครื่องคอมพิวเตอร์
ฟีเจอร์สำคัญของ BitScout ประกอบด้วย
- การเก็บภาพรวมของดิสก์ (Disk image acquisition) ที่แม้แต่พนักงานที่ไม่เคยผ่านการอบรมก็สามารถทำเองได้
- ฝึกอบรมระหว่างดำเนินการใช้งาน (แชร์ภาพเซสชั่นของเครื่องคอมพิวเตอร์ให้ดูได้)
- โอนย้ายข้อมูลที่มีความซับซ้อนไปยังห้องปฏิบัติการของคุณเพื่อการตรวจสอบเชิงลึก
- ใช้วิธีการตรวจสอบแบบ Yara หรือ ทำการสแกน AV ระบบช่วงที่ออฟไลน์ได้จากระยะไกล (สำคัญสำหรับการตรวจสอบรูทคิท)
- ค้นหาและเรียกดูคีย์ลงทะเบียน (registry keys) (autoruns, บริการ, อุปกรณ์ยูเอสบีที่เชื่อมต่ออยู่)
- ดำเนินการกู้คืนไฟล์ที่ถูกลบออกไปแล้วได้จากระยะไกล
- ฟื้นฟูปรับปรุงสถานะระบบระยะไกล หากได้รับสิทธิ์ในการเข้าใช้ระบบจากผู้เป็นเจ้าของระบบ
- ทำการสแกนโหนดบนเครือข่ายอื่นๆ ได้จากระยะไกล (เป็นประโยชน์สำหรับการรับมือกับเหตุการณ์จากระยะไกล)
โดยเครื่องมือนี้มีพร้อมให้ใช้งานได้โดยไม่มีค่าใช้จ่ายที่ศูนย์เก็บโค้ด GitHub แห่งนี้
