Почему правоохранительные органы не изымают серверы?
В уголовных делах правоохранительные органы обычно изымают мобильные устройства и компьютеры, на которых может храниться информация в электронном виде, имеющая отношение к рассматриваемому делу. В делах, связанных с бизнесом, такая информация часто хранится на сервере. И эти серверы правоохранительные органы изымают гораздо реже, по сравнению с изъятием ПК и мобильных устройств. Почему?
Одна из причин заключается в том, что предприятие часто является либо жертвой, либо, по крайней мере, не принимало активного участия в преступлении (например, сотрудник на работе хранил детскую порнографию на сервере, работодатель обнаружил это и сообщил куда следует). Изъятие сервера(ов) компании повлияет на её бизнес.
Другая, очень веская, причина заключается в том, что в этом нет необходимости. Обычно в таких случаях, как взлом, компания нанимает фирму по компьютерной безопасности, которая специализируется в области реагирования на компьютерные инциденты. Эта специальность связана с цифровой криминалистикой, но с акцентом на взлом и безопасность, включая восстановление работоспособности предприятия после инцидента. Фирма, занимающаяся ликвидацией последствий инцидента, соберёт информацию, включая криминалистические образы (битовые копии памяти устройства или жёсткого диска), и эта информация может быть передана правоохранительным органам для использования в уголовном расследовании.
Криминалистические образы, созданные фирмой по реагированию на инциденты, будут эквивалентны тем, которые создадут правоохранительные органы. В случае с мобильными телефонами и персональными компьютерами правоохранительные органы обычно не исследуют само устройство. Вместо этого они делают криминалистический образ данных или используют приемлемый, но менее предпочтительный метод, например, резервное копирование, если криминалистический образ невозможен. Если правоохранительные органы изъяли устройство, то они будут надёжно хранить его и больше не используют (за исключением случаев, если вдруг возникнут проблемы с криминалистическим образом). В конечном итоге они проводят свой анализ на основе всех собранных данных.
Но зачем столько сложностей? Разве правоохранительные органы не могут просто изъять серверы и сами создать криминалистические образы? Скорее всего, нет.
Примечание: следующие несколько абзацев будут довольно заумными, так что если вы запутаетесь, ничего страшного. Просто читайте дальше, а в конце я дам вам общую картину.
Зачастую мы говорим о сервере, как об отдельном устройстве. На самом деле всё гораздо сложнее. В прошлом каждый сервер представлял собой автономное устройство с процессорами, памятью, жёсткими дисками и т. д., и на каждом из них стояла операционная система, такая как Windows или Linux. Они были похожи на мощные настольные компьютеры. Сегодня серверы используют технологию «виртуализации» для запуска нескольких систем на одной физической машине. Это позволяет ИТ-отделам более эффективно использовать оборудование. Так, на одной физической машине могут работать 10 копий Windows и 10 копий Linux бок о бок. Эти системы не будут знать друг о друге, но будут совместно использовать физические ресурсы. Если в одной из этих систем возникнет проблема, остальные не пострадают.
Для повышения эффективности и восстановления в случае аппаратного сбоя физические серверы можно объединить в кластеры. В кластере виртуальная система (например, веб-сервер Linux) может быть перемещена между физическими машинами автоматически или по указанию системного администратора.
И если персональный компьютер обычно имеет один или два жёстких диска (для хранения наших файлов и операционной системы), то серверу может потребоваться огромный объём дискового хранилища. Сложно уместить всё это в одном физическом устройстве, поэтому многие организации покупают серверы, в которых практически нет места для хранения данных. Вместо этого они размещают все жёсткие диски в общей системе хранения данных, называемой SAN. SAN может управлять сотнями жёстких дисков и обеспечивать хранение данных на каждом сервере по сети. Одно из главных преимуществ SAN заключается в том, что она освобождает сервер от необходимости заботиться об отдельных жёстких дисках; SAN может объединить несколько дисков в один большой блок хранения или разделить диск на несколько маленьких. Для связи большинству SAN требуется собственный сетевой коммутатор. У большинства из нас дома есть коммутатор/маршрутизатор для подключения к Интернету. Коммутатор, используемый в SAN, аналогичен, но более мощный и (по крайней мере) в несколько десятков раз дороже.
Если вы запутались, то здесь я подвожу итог:
В прошлом сервер мог представлять собой один физический компьютер с одной копией Windows. Сегодня это может быть кластер из трёх физических машин под управлением семидесяти копий Windows и/или Linux, которые подключаются к общему устройству хранения данных (корзине жёстких дисков) через выделенный сетевой коммутатор. Это оборудование потребляет огромное количество энергии и должно находиться в помещении со специальным кондиционером. Оно может стоить 100 000 долларов или больше и использоваться для обработки всех важных операций предприятия. Неудивительно, что предприятие не захочет передавать всё это.
В большинстве случаев лучшим подходом будет либо работа с предприятием для получения соответствующей информации с серверов, либо предоставление предприятию возможности работать с охранной фирмой для получения этой информации. В основном, у предприятия уже есть инструменты, необходимые для создания образов всех серверов, имеющих отношение к делу. Предприятие или консультанты по безопасности могут также иметь возможность получить журналы с других устройств, таких как брандмауэр, которые могут представлять интерес.
Источник: What is a server?
А как с этим в России:
You've got a free upvote from witness fuli.
Peace & Love!