Informatyka śledcza

Informatyka śledcza:pozyskiwanie dowodów

w systemach IT

mgr inż. Marcin Kaczmarek, CISA

Zespół Bezpieczeństwa InformacjiWrocławskie Centrum Sieciowo-Superkomputerowe

Politechnika Wrocławska

Informatyka śledcza:pozyskiwanie dowodów

w systemach IT

Agenda:

1. Krótko o ZBI WCSS2. Wprowadzenie

3. Procesy w informatyce śledczej4. Kilka ciekawych przypadków

5. Problemy informatyki śledczej6. Przyszłość informatyki śledczej

7. Pytania, dyskusja

Zespół Bezpieczeństwa InformacjiWrocławskie Centrum Sieciowo-Superkomputerowe

Informatyka śledcza

Zajmuje się głównie analizą danych (informacji), które można uzyskać z

systemów informatycznych (komputerowych).


Bezpieczeństwo IT - Model CIA:

Confidentiality PoufnośćIntegrity Spójność, integralność

Availability Dostępność… … … … … … … … …

Authenticity Autentyczność

Non-repundiation Niezaprzeczalność

Marcin Kaczmarek, CISA

www.hackmageddon.comMarcin Kaczmarek, CISA


malware (wirusy, trojany, robaki, ransomy, keyloggery...)

zasady dostępu i ich łamanie

ataki na struktury i użytkowników („ślepe” i celowane)

nielegalne treści (w tym m.in. pirackie dane)

inne materiały (audiowizualne)

fraudy finansowe, oszustwa internetowe

kampanie



Procesy:

1. Detekcja i rozpoznanie incydentu2. Pozyskanie materiałów dowodowych

3. Zabezpieczenie materiałów dowodowych4. Analizy materiałów dowodowych

5. Raporty, opinie, opisy 6. Zabezpieczenie raportów, archiwizacja



1. Detekcja i rozpoznanie incydentu

Rozpoznanie incydentu – najczęściej incydenty wykrywa się po określonym (długim) czasie. Często detekcja incydentu następuje kilka miesięcy po faktycznym jego wystąpieniu. Proces detekcji i rozpoznania opiera się na zewnętrznych

sygnałach świadczących o wystąpieniu incydentu (np. podmiana treści, wpisanie na listy RBL, oszukany klient,

nieautoryzowane przelewy itd.)W detekcji i rozpoznaniu incydentu dużą rolę odgrywają

zastosowane systemy zabezpieczeń i monitoringu.Jednak systemy te nie są w stanie wychwycić wszystkich

incydentów występujących w strukturze.



2. Pozyskanie materiałów dowodowych

Materiały dowodowe są to dane pochodzące z różnych źródeł: komputerów, telefonów, urządzeń sieciowych, serwerów, jak

również innych urządzeń zapisujących dane. Z punktu widzenia wartości dowodowej proces ten powinien być przeprowadzony w sposób zapewniający autentyczność i

spójność pozyskanych informacji.

Wszelkie uzyskane dane powinny zostać skopiowane i zabezpieczone; analiz dokonuje się na kopiach danych (1:1), nigdy na materiale źródłowym, gdyż może on w trakcie badań

zostać naruszony.




Źródła:

dyski twarde (HD i SDD) komputerów i serwerówpamięci pendrive, USB, flash, karty SD

dyski CD, DVD, BRpamięć NAND, NVRAM, on-chip: µC, µP

Zalecane jest wykonanie kilku kopii do późniejszych analiz.




Źródła:




Materiał powinien być autentyczny, spójny, zgodny z oryginałem oraz odpowiednio zabezpieczony.

Pozyskuje się tzw. „obrazy” (images) dysków, chipów pamięci, kart itd. najczęściej w postaci pojedynczego pliku.

W systemach Linux/Unix do tego celu może służyć polecenie dd (duplicate disk), które zapewnia kopię 1:1 (lub bit-to-bit).

Zwykły proces kopiowania plików nie zapewnia spójności danych (nie są kopiowane wszystkie informacje)

Wszelkie źródła podłącza się (montuje) w trybie tylko do odczytu (read-only) co pozwoli zapewnić nienaruszalność

danych źródłowych.W procesach informatyki śledczej „obrazy” danych stanowią

podstawę do dalszych analiz. Marcin Kaczmarek, CISA



Źródłem danych mogą być również urządzenia dodatkowe, które potrafią zapisać dane w postaci cyfrowej, bądź

analogowej.Termometry cyfrowe z pamięcią, czujniki ciśnienia i gazu

zapisujące stany w pamięci, zapisy z kamer CCTV, czujników ruchu, oświetlenia,

a nawet automatycznych włączników.Jeśli jakieś urządzenie jest zdolne do okresowego

zapisywania swojego stanu – może stanowić źródło materiału dowodowego (danych do analiz)

Obecnie większość urządzeń wyposażonych jest w systemy procesorowe, które do działania wymagają różnego rodzaju

pamięci.




Dane podstawowe: treści i informacje bezpośrednio będące dowodem (fotografie, nagrania audio, filmy, dokumenty,

prezentacje)

Dane dodatkowe: informacje dodatkowe będące pośrednim dowodem

w tym logi (zapisy stanu) urządzeń, metadane, pamięci tymczasowe (cache) itd.

Dane odzyskane: skasowane/usunięte pliki i ich fragmenty




Proces pozyskiwania materiałów dowodowych powinien być przeprowadzony w sposób zapewniający podstawowe

parametry bezpieczeństwa IT:

Poufność: dostępny tylko dla upoważnionychIntegralność: spójność i kompletność zgromadzonych

informacjiAutentyczność: pochodzić z odpowiednio zdefiniowanych

źródełDostępność: do analiz

Dane do analiz nie mogą podlegać żadnym zmianom, kompresji stratnej itd.



3. Zabezpieczenie materiałów dowodowych

Dane podlegające analizie powinno się zabezpieczyć poprzez wykonanie kopii oraz dodatkowo przez dodatkowy parametr:

sumę kontrolną lub tzw. hash i podpis.Hash (message digest) zapewnia o autentyczności i

integralności (spójności)Podpis zapewnia o autentyczności i niezaprzeczalności.

Dla obrazów danych generuje się hashe i podpisy, można skorzystać z gotowych rozwiązań.

Hash: SHA-1, MD5 (podatne na ataki kolizji)Podpis: PGP




W celu zapewnienia odporności na ataki kolizji powinno się stosować dwa lub trzy hashe (md5, sha-1) wraz z tzw. przyprawą, lub solą (salt).

Dodatkowo dane mogą zostać zaszyfrowane (za pomocą klucza), co zapewni ich poufność. Zaleca się szyfrowanie kluczami

asymetrycznymi.

Dane powinny zostać skopiowane (1:1) co najmniej dwukrotnie. Oryginalna kopia odpowiednio zabezpieczona (zaszyfrowana,

podpisana) i przechowywana w bezpieczny sposób.

Obecnie nie zaleca się przechowywania danych na nośnikach CD/DVD. Dane takie mogą zostać składowane na dyskach magnetycznych.

Dyski SSD ze względu na specyfikę zapisu nie mogą zapewnić integralności danych, gdyż nie można wygenerować właściwych hashy.




Dostęp do danych powinny mieć jedynie odpowiednie osoby prowadzące badania.

Dane nie mogą być w trakcie analizy zmieniane, przekształcane (chyba, że wymaga tego procedura rozpakowywania, czy reverse-

engineeringu) i uzupełniane o dodatkowe informacje.

Wszelkie informacje o materiale źródłowym przechowuje się na osobnych nośnikach.

Zabezpiecza się nie tylko dane wejściowe, ale również informacje, które udało się wyekstraktować. Ponieważ

stanowią wartość dowodową, muszą podlegać odpowiedniej ochronie.



4. Analizy materiałów dowodowych

Analizy dokonuje się na 3 płaszczyznach:

- charakterystyka danych wejściowych (w tym wielkość, czas utworzenia itd.)

- zawartość danych (tekst, obrazy, filmy, audio)- metadane (informacje zawarte w plikach, pamięci podręcznej itd.)

Parametry pliku:

- nazwa pliku- rozszerzenie

- typ pliku (tekst, obraz, binarny, audio, video, arkusz, prezentacja itd.)

- czas utworzenia- czas modyfikacji

- identyfikator właściciela pliku- identyfikator grupy

- inne dodatkowe parametryMarcin Kaczmarek, CISA



Procesy:

- rozpoznanie typu pliku- ekstrakcja danych: treści, obrazów, metadanych- dekompresja (w przypadku plików spakowanych)

- określenie zakresu dostępnych informacji ze źródła- porównywanie zawartości, znajdowanie różnic




Efektem analiz materiałów są kolejne dane, które należy w odpowiedni sposób chronić. Stosuje się podobne zasady:

podpisywanie, hash, sumy kontrolne itd.



6. Zapis raportów, archiwizacja

Raporty powinny być odpowiednio zabezpieczone i zarchiwizowane. Powinno sporządzić się kilka kopii raportów oraz zabezpieczyć je

przez podpisanie i hashowanie, w razie konieczności (jeśli zawierają dane chronione) –

zaszyfrowane. Raporty te mogą stanowić materiał do następnych (kolejnych) badań tego samego, lub innego przypadku.



Kilka nudnych oraz kilka ciekawych przypadków.


Informatyka śledczaFile Name : IMAG1832.jpgDirectory : .File Size : 1604 kBFile Modification Date/Time : 2014:11:11 09:44:40+01:00File Access Date/Time : 2016:03:29 20:33:00+02:00File Inode Change Date/Time : 2014:11:11 09:44:40+01:00File Permissions : rwxr-----File Type : JPEGMIME Type : image/jpegExif Byte Order : Big-endian (Motorola, MM)Make : HTCCamera Model Name : HTC One SX Resolution : 72Y Resolution : 72Resolution Unit : inchesY Cb Cr Positioning : CenteredExposure Time : 1/20ISO : 236Exif Version : 0220Date/Time Original : 2014:10:11 18:44:17Create Date : 2014:10:11 18:44:17Components Configuration : Y, Cb, Cr, -Aperture Value : 2.0Exposure Compensation : 0Metering Mode : Center-weighted averageFlash : No FlashFocal Length : 3.6 mmFlashpix Version : 0100Color Space : sRGB

Exif Image Width : 3264Exif Image Height : 1840Interoperability Index : R98 - DCF basic file (sRGB)Interoperability Version : 0100Compression : JPEG (old-style)Thumbnail Offset : 722Thumbnail Length : 23252Image Width : 3264Image Height : 1840Encoding Process : Baseline DCT, Huffman codingBits Per Sample : 8Color Components : 3Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)Aperture : 2.0Image Size : 3264x1840Shutter Speed : 1/20Thumbnail Image : (Binary data 23252 bytes, use -b option to extract)Focal Length : 3.6 mmLight Value : 5.1

Metadane EXIF


zapisy logówzawartość pamięci podręcznej (cache) przeglądarekzapisy zdarzeń (eventów)zawartość katalogów tymczasowych (tmp, temp)Analiza metadanych audio i video (ekstrakcja parametrów)Analizy danych streamowych (dysk CCTV bez tablicy partycji)Śledzenie działań w internecie (charakterystyki)



Analiza nagłówków wiadomościAnaliza źródła (adresy IP - skąd)

Analiza pól adresataFormat wiadomości (txt, html)

Załączniki (uruchamialne, spakowane, dokumenty)Analiza załączników i ich zawartości (malware)

Analiza odnośników (hyperlinków) w wiadomości


WyłudzaniePłatne serwisy SMS

Przejęcie konta

Metoda na „przyjaciela z FB”

Analiza przypadków: określenie źródła, sposobu uzyskania dostępu, celu ataku, oczekiwanych skutków ataku.


Problemy informatyki śledczej

Dostęp do systemów

Niestandardowe systemy zapisu danychZaszyfrowane (zakodowane) dane

Dane usuwane, kasowane, nadpisywane, czyszczoneKorzystanie z sieci wirtualnych (VPN) – szyfrowane

połączeniaSystemy „cebulowe” TOR OnionAnonimizery, filtry prywatności

–--------------------------

Ochrona prywatności, ingerencja monitoringuZakres dostępu do danych (w tym osobowych)

Dostęp do haseł użytkownikówKwestie łamania zabezpieczeń (hasła, klucze, algorytmy)


Problemy informatyki śledczej

ilość danych (systemy, IOT, monitoring, rejestracja,logi)

możliwości (szybkość) przetwarzania informacji

kwestia gromadzenia i archiwizacji

stosowane algorytmy kryptograficzne

ilość danych „śmieciowych” (trash-data)


Przyszłość informatyki śledczej?

Cyberprzestępczość ?

botnety i struktury ?

Analizy behawioralne (zachowań sieci) ?

Algorytmy sztucznej inteligencji ?



Dziękuję za uwagę

Marcin Kaczmarek, CISAZespół Bezpieczeństwa Informacji WCSS

Politechnika Wrocławskatel. (071) 320 20 79


Zapraszamy na kolejne spotkanie

Inicjatywy IATI

28 kwietnia br

www.iati.pl


Informatyka śledcza

Documents

Transcript of Informatyka śledcza