Aby wyeliminować konieczność podróży odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzył proste narzędzie, przy pomocy którego można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone. BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany przez wszystkich specjalistów ds. cyberbezpieczeństwa.
W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy - niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami.
W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.
Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpieczeństwa staje się paląca, ponieważ sprawcy działają w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybkość za wszelką cenę również nie jest rozwiązaniem - musimy dopilnować, aby dowody były "nieskażone", tak aby dochodzenia były wiarygodne, a wyniki kwalifikowały się do wykorzystania w razie konieczności w sądzie. Nie mogłem znaleźć narzędzia, które łatwo i bezpłatnie pozwalałoby to wszystko osiągnąć, dlatego postanowiłem wziąć sprawy w swoje ręce - powiedział Witalij Kamliuk, autor narzędzia.
Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej.
Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania: