2. Zapoznanie z podstawowymi technikami ukrywania
informacji oraz ich praktyczne poszukiwanie na przykładzie
działającego systemu.
Minimum wykładu więcej praktycznych demonstracji.
3. • Scenariusz i plan działania
• Computer Forensics – informatyka śledcza
• Dowód elektroniczny
• Jak wykonać kopię dysku spełniającą cechy dowodu
• Analiza danych użytkownika
• Poszukiwanie śladów:
• Komunikatory: Gadu-Gadu, SKYPE
• Poczta elektroniczna MS Outlook
• Historia odwiedzanych stron – IE
• Pliki - ADS
• Pliki graficzne i steganografia
• Podsumowanie zebranych dowodów
4. • Pracownik podejrzany o przekazywanie danych konkurencji ale
brakuje nam dowodów, nie został złapany za rękę
Jan Kowalski firma A - kolega Andrzeja Nowaka firma B
Pan Nowak – pracuje u konkurencji
Nasze środowisko :
– Windows XP PRO – stacja robocza Pana Kowalskiego
– Office 2003, MS Outlook + pop3, GG, Skype
– Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi danymi
Planowane działania:
– Zabezpieczenie dowodów – kopia dysku -> do pliku
– Analiza danych
– Wnioski
5. Ogólny schemat procesu dochodzeniowego
Ocena Pozyskiwanie Analiza Raport
Zapoznaj się z Przygotuj
obowiazującymi narzędzia do
procedurami i analizy Analiza danych
Zbierz i
sieciowych
wytycznymi Zbierz i uporządkuj
Wybierz zespół zabezpiecz dane Analiza danych
zebrane dane
specjalistów Zachowaj i zawartych na
Wykonaj raport
Przygptuj się do zarchiwizuj nośnikach
zabezpieczania zgromadzone zewnętrznych
danych dane
Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
Warren G. Kruse II and Jay G. Heiser,
„Computer Forensics: Incident Response Essentials”
6. Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy,
oprogramowanie lub dane, które możemy użyć, aby udowodnić
dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z
pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili
obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka,
palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci
flash, karty pamięci, taśmy lub inne nośniki magnetyczne.
Dowód, który będzie użyty w procesie sądowym powinien być:
• kompletny
• prawdziwy
• niepodważalny
• przekonywujący
• zdobyty zgodnie z prawem
* Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
7. Proces klonowania dysków (tworzenia obrazów) możemy wykonać na
kilka sposobów:
• Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do
uruchomienia systemu z dysku
• Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny
sposób przygotowania danych do dalszej analizy
• Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizyczny
Pamiętajmy:
• Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!!
• Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary
takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo
usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
• Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY
• Zaopatrzmy się w odpowiednio duży dysk !!!
8. OFFLINE – dane nieulotone :
• Uruchamiamy i bootujemy system CF z płyty CD/DVD
Windows PE + własne narzędzia / Linux Live
Np.. Helix, Encase (komercyjny)
ONLINE – dane ulotne :
• Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci
Np.. FTK Imager
Tworzenie i składowanie kopii obrazu :
• Dysk twardy połączony przez IDE/SATA/USB
• Pendrive USB
• Poprzez sieć na innym komputerze, serwerze
• Dostęp do dysku w trybie do odczytu
- programowe i sprzętowe blokery
9. Darmowe:
• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie
projektu http://www.chrysocome.net/dd
Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img
• FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów
dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)
Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach,
szczegóły licencji dostępne są na stronie producenta.
Format pliku obrazu dysku odczyt zapis
dd RAW
EnCase E01
FTK Imager logical image
Ghost (tylko nieskompresowane obrazy dysku)
SafeBack (tylko do wersji 2.0)
SMART (S01)
FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit,
http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
10. • Wykorzystamy - bezpłatną wersję, już niedostępną :
Helix_V1.9-07-13a-2007.iso
http://www.e-fense.com/
Helix3 Pro pojawi się około kwietnia 2009
Wykonamy kopię obrazu
Konwersja i uruchomienie pliku obrazu w wirtualnej maszynie:
Live View - http://liveview.sourceforge.net/
Mount Image Pro – podłączenie obrazu DD jak dysk w systemie
TRAIL – 30 dni testów
11. • poczta elektroniczna
• dokumenty elektroniczne
• pliki tymczasowe
• partycje/ pliki wymiany
• logi i rejestry
• dane przeglądarki
• pliki kolejkowania wydruku
• cookies
• dane skasowane
• dane z backupu
• Ukrywanie tekstu w plikach graficznych (steganography)
• Inne …..
12. Śmietnik - Recycle Bin
Skasowane pliki - czy na pewno są usunięte z dysku ?
• Kasowanie plików nie jest równoznaczne z ich usunięciem
z twardego dysku, pliki po skasowaniu pozostają na dysku
a system oznacza te pliki jako skasowane
• Jeśli klastry skasowanego pliku nie zostały powtórnie użyte
( nadpisane innym plikiem) to bardzo łatwo możemy
odzyskać te pliki
• Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do
odzyskania , np. Eraser
13. Darmowe :
• Recuva - http://www.recuva.com/
• File Recovery
• wiele innych
Komercyjne:
• Ontrack EasyRecovery, Recover My Files, inne
14.
15. Bogactwo komunikatorów:
Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innych
Zastosowanie :
• Biznesowe
• Prywatne
• Ograniczenie kosztów rozmów telefonicznych
Przeważnie pozostawią ślady w postaci plików zawierających
logi lub archiwa
Każdy komunikator i jego wersja wymaga unikalnego podejścia !
18. Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ?
Co jest przesyłane pocztą elektroniczną ?
Najbardziej popularne aplikacje:
• Outlook Express, MS Outlook
• ThunderBird, The Bat
• Poczta przez witrynę www
• wiele innych
19. • Odzyskiwanie hasła do pliku PST
• PstPassword - http://www.nirsoft.net/utils/pst_password.html
• Odzyskiwanie skasowanych emaili:
Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ?
• Recover My Email - http://www.recover-my-email.com/ - wersja trial
23. ADS – Alternatywne strumienie danych:
• Własność NTFS ( znana od Win NT 3.1 )
• Stworzona w celu kompatybilności z HFS
• (Macintosh hierarchical file system )
• Każdy plik w systemie NTFS posiada przynajmniej jeden
strumień :$DATA
• Alternatywny strumień po prostu inny plik podpięty do
istniejącego pliku lub katalogu
24. • streams.exe (Sysinternals) – darmowe narzędzie, które
poszukuje danych zawartych w alternatywnych
strumieniach danych (ADS NTFS)
• dir /r (MS Vista)
• LADS.exe , ADSDetector, ADSSpy, sfind.exe
• inne
25. Tworzymy plik tekstowy test.txt
dir > test.txt:strumien.txt
dir
streams.exe test.txt
Notepad.exe test.txt:strumien.txt
del plik:strumien
Type notepad.exe > calc.exe:virus.exe
start c:calc.exe:virus.exe
26. Steganografia:
• Sposób na ukrywanie informacji w istniejących plikach
np. graficznych w sposób nie pogarszający obrazu dla
ludzkiego oka
• Znane od dawna, np. atrament sympatyczny, długopis
UV
• Szyfrowanie danych w plikach graficznych
• Przesyłanie zaszyfrowanych plików bądź informacji
tekstowych
• Do przesyłania przeważnie używa się kanałów
publicznych, emaile, serwery www etc
27.
28.
29. Pan Jan Kowalski – był w stałym kontakcie – o czym świadczy
archiwum GaduGadu
Pan Jan Kowalski – wysłał emailem pliki do Pana Andrzeja
Nowaka :
bmw32.bmp i Sexy_Bikini_0362.bmp
zawierające poufne dane :
Plan_fundusz.xls i Lista_plac_2009_01.xls
ukryte za pomocą steganografii
30. Czy zawsze tak łatwo można zbadać każdy komputer ?
Niestety NIE :(
Techniki anti-forensics :
• Szyfrowanie dysków , np. TrueCrypt, EFS
• Szyfrowanie poczty elektronicznej
• Bezpieczne kasowanie danych , np. Eraser, DBAN
• Steganografia – stosowanie silnych haseł i algorytmów
• Czyszczenie śladów aktywności użytkownika w internecie
• Przechowywanie danych i programów na pendrive np. 64 GB
PortableApps, U3
• Korzystanie z systemów Live CD
• i inne
31. • Fundamental Computer Investigation Guide For Windows
http://technet.microsoft.com/en-us/library/cc162846.aspx
• First Responders Guide to Computer Forensics
http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html
• First Responders Guide to Computer Forensics:
Advanced Topics
http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
32.
33. Najbliższe spotkanie 7.04.2008
Krzysztof Bińkowski Paweł Pławiak Krzysztof Pietrzak
Wykład Wykład Wykład
Praktyczne zastosowanie Shadow Groups & Wprowadzenie do grupy
kart inteligentnych Subscriptions Groups Security - MSSUG