1. www.rac.cz
RiskAnalysisConsultants
V060420
Použití hashsetů
v EnCase Forensic v7
26.5.2014
Digital Forensics InfoDay 2014
Marián Svetlík jr.

2. www.rac.cz
RiskAnalysisConsultants
V060420
2
co je to hash
hashovací funkce je matematický algoritmus sloužící k
převodu dat do podoby tzv. kontrolní sumy o definované
délce

3. www.rac.cz
RiskAnalysisConsultants
V060420
3
co je to hash
MD5 je příkladem kryptografické hashovací funkce:
realtivně snadno generovatelná
je extrémně obtížné odvodit z výsledné kontrolní sumy podobu
původních dat
je extrémně obtížné změnit původní data bez následné změny
kontrolní sumy
je extrémně nepravděpodobné, že by z odlišných dat vznikla stejná
kontrolní suma

4. www.rac.cz
RiskAnalysisConsultants
V060420
4
co je to hash
pro potřeby digitální forenzní analýzy mají kontrolní sumy
dvě hlavní funkce:
vysoce spolehlivý způsob k prokázání, že dva soubory jsou identické
(ověření autenticity binárních obrazů disků, ověření autenticity
předkládaných důkazů apod.)
rychlé automatizované vyhledávání velkého množství potenciálně
zajímavých souborů v rámci rozsáhlých datových struktur

5. www.rac.cz
RiskAnalysisConsultants
V060420
5
nejpoužívanější hashovací fce
MD5
128bit, 32-znaká kontrolní suma
stále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1
160bit, 40-znaká kontrolní suma
nejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)
256bit, 64-znaká kontrolní suma
nezjištěna kolize, výpočtově náročnější
PhotoDNA
proprietární funkce společnosti Microsoft
vyvinutá speciálně pro detekci dětské pornografie
využívaná např. v rámci Facebook, Twitter apod.

6. www.rac.cz
RiskAnalysisConsultants
V060420
6
nejpoužívanější hashovací fce
MD5
128bit, 32-znaká kontrolní suma
stále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1
160bit, 40-znaká kontrolní suma
nejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)
256bit, 64-znaká kontrolní suma
nezjištěna kolize, výpočtově náročnější
PhotoDNA
proprietární funkce společnosti Microsoft
vyvinutá speciálně pro detekci dětské pornografie
využívaná např. v rámci Facebook, Twitter apod.
kontrolní suma se vypočítá pouze z obsahu:
• nemusí být totožný název
• musí být totožný obsah
na základě složitých algoritmů dokáže ztotožnit i
obrazové soubory se změněnou kvalitou či
velikostí

7. www.rac.cz
RiskAnalysisConsultants
V060420
7
proč (ne)používat jen MD5
existuje kolize, tj. lze vytvořit dva soubory s rozdílným
obsahem, ale stejnou kontrolní sumou

8. www.rac.cz
RiskAnalysisConsultants
V060420
8
proč (ne)používat jen MD5
všechny doposud známé kolize vychází ze dvou
připravených a upravených souborů bez předem dané
kontrolní sumy
nebyl zjištěn případ, kdy by se podařilo vytvořit soubor s
jiným obsahem a stejnou kontrolní sumou ke kontrolní sumě
již vypočtené
Přesto jsou nalezené kolize zneužívány k znevěrohodnění
integrity důkazů -> průtahy při dokazování spolehlivosti MD5

9. www.rac.cz
RiskAnalysisConsultants
V060420
9
hash knihovny
knihovny hashí (hashlists) jsou výčty kontrolních sum
určitých skupin souborů
soubory operačního systému
soubory aplikačního vybavení
obrazové soubory totožné s již identifikovanými jako dětská
pornografie apod.
slouží k urychlení vyhledávání v rámci velkých objemů dat
(velká datová úložiště, cloudy, peer-to-peer sítě apod.)

10. www.rac.cz
RiskAnalysisConsultants
V060420
10
hash v EnCase v7
název hashsetu
jednotlivé sumy hashsetu
podrobnosti zvýrazněné položky
Tools -> Manage hash library -> Manage hash items

11. www.rac.cz
RiskAnalysisConsultants
V060420
11
vytvoření hashsetu
vytvoření knihoven (Tools -> Manage hash library)

12. www.rac.cz
RiskAnalysisConsultants
V060420
12
vytvoření hashsetu
přiřazení knihoven jako primární / sekundární
(Case -> Hash libraries)

13. www.rac.cz
RiskAnalysisConsultants
V060420
13
vytvoření hashsetu
vytvoření hashsetu v rámci knihovny

14. www.rac.cz
RiskAnalysisConsultants
V060420
14
vytvoření hashsetu
výběr souborů pro hashset

15. www.rac.cz
RiskAnalysisConsultants
V060420
15
vytvoření hashsetu

16. www.rac.cz
RiskAnalysisConsultants
V060420
16
vytvoření hashsetu
hash knihovna
výběr hashsetu, do kterého přidáváme
volba metadat / vlastností

17. www.rac.cz
RiskAnalysisConsultants
V060420
17
kontrola entity oproti hashsetu
zkopírovat kontrolní sumu (hash) zájmového souboru
Tools -> Manage hash library -> Query All
hledaná hash
nalezené shody
metadata z hashlistu

18. www.rac.cz
RiskAnalysisConsultants
V060420
18
vyhledávání shody s hashsetem
ověření, zda se na zkoumaných zařízeních vyskytují některé
soubory z připravených hashsetů
EnScript -> Find entries by hash category
(nutno ověřit, zda jsou k jednotlivým hashsetům
přiřazeny kategorie: Tools -> Manage hash library -> Edit)

19. www.rac.cz
RiskAnalysisConsultants
V060420
19
vyhledávání shody s hashsetem
soubory ze zkoumaných zařízení se shodnou hash vůči
vybrané kategorii / hashlistu
karta Results

20. www.rac.cz
RiskAnalysisConsultants
V060420
20
zdroje hash knihoven
National Software Reference Library
www.nsrl.nist.gov
kontrolní sumy souborů známých, dohledatelných aplikací
zvláštní zdroje pro law-enforcement sféru
Interpol, Europol, FBI
vytváření vlastních knihoven

21. www.rac.cz
RiskAnalysisConsultants
V060420
21
použití hashsetů
v EnCase Forensic v7
Dotazy
Marián Svetlík jr.
svetlikjr@rac.cz
www.linkedin.com/pub/marian-svetlik-jr/60/aa5/2ba