Download - Informatyka śledcza
Informatyka śledcza:pozyskiwanie dowodów
w systemach IT
mgr inż. Marcin Kaczmarek, CISA
Zespół Bezpieczeństwa InformacjiWrocławskie Centrum Sieciowo-Superkomputerowe
Politechnika Wrocławska
Informatyka śledcza:pozyskiwanie dowodów
w systemach IT
Agenda:
1. Krótko o ZBI WCSS2. Wprowadzenie
3. Procesy w informatyce śledczej4. Kilka ciekawych przypadków
5. Problemy informatyki śledczej6. Przyszłość informatyki śledczej
7. Pytania, dyskusja
Zespół Bezpieczeństwa InformacjiWrocławskie Centrum Sieciowo-Superkomputerowe
Informatyka śledcza
Zajmuje się głównie analizą danych (informacji), które można uzyskać z
systemów informatycznych (komputerowych).
Informatyka śledcza
Bezpieczeństwo IT - Model CIA:
Confidentiality PoufnośćIntegrity Spójność, integralność
Availability Dostępność… … … … … … … … …
Authenticity Autentyczność
Non-repundiation Niezaprzeczalność
Marcin Kaczmarek, CISA
www.hackmageddon.comMarcin Kaczmarek, CISA
Marcin Kaczmarek, CISA
Marcin Kaczmarek, CISA
Informatyka śledcza
malware (wirusy, trojany, robaki, ransomy, keyloggery...)
zasady dostępu i ich łamanie
ataki na struktury i użytkowników („ślepe” i celowane)
nielegalne treści (w tym m.in. pirackie dane)
inne materiały (audiowizualne)
fraudy finansowe, oszustwa internetowe
kampanie
Marcin Kaczmarek, CISA
Informatyka śledcza
Procesy:
1. Detekcja i rozpoznanie incydentu2. Pozyskanie materiałów dowodowych
3. Zabezpieczenie materiałów dowodowych4. Analizy materiałów dowodowych
5. Raporty, opinie, opisy 6. Zabezpieczenie raportów, archiwizacja
Marcin Kaczmarek, CISA
Informatyka śledcza
1. Detekcja i rozpoznanie incydentu
Rozpoznanie incydentu – najczęściej incydenty wykrywa się po określonym (długim) czasie. Często detekcja incydentu następuje kilka miesięcy po faktycznym jego wystąpieniu. Proces detekcji i rozpoznania opiera się na zewnętrznych
sygnałach świadczących o wystąpieniu incydentu (np. podmiana treści, wpisanie na listy RBL, oszukany klient,
nieautoryzowane przelewy itd.)W detekcji i rozpoznaniu incydentu dużą rolę odgrywają
zastosowane systemy zabezpieczeń i monitoringu.Jednak systemy te nie są w stanie wychwycić wszystkich
incydentów występujących w strukturze.
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Materiały dowodowe są to dane pochodzące z różnych źródeł: komputerów, telefonów, urządzeń sieciowych, serwerów, jak
również innych urządzeń zapisujących dane. Z punktu widzenia wartości dowodowej proces ten powinien być przeprowadzony w sposób zapewniający autentyczność i
spójność pozyskanych informacji.
Wszelkie uzyskane dane powinny zostać skopiowane i zabezpieczone; analiz dokonuje się na kopiach danych (1:1), nigdy na materiale źródłowym, gdyż może on w trakcie badań
zostać naruszony.
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Źródła:
dyski twarde (HD i SDD) komputerów i serwerówpamięci pendrive, USB, flash, karty SD
dyski CD, DVD, BRpamięć NAND, NVRAM, on-chip: µC, µP
Zalecane jest wykonanie kilku kopii do późniejszych analiz.
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Źródła:
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Materiał powinien być autentyczny, spójny, zgodny z oryginałem oraz odpowiednio zabezpieczony.
Pozyskuje się tzw. „obrazy” (images) dysków, chipów pamięci, kart itd. najczęściej w postaci pojedynczego pliku.
W systemach Linux/Unix do tego celu może służyć polecenie dd (duplicate disk), które zapewnia kopię 1:1 (lub bit-to-bit).
Zwykły proces kopiowania plików nie zapewnia spójności danych (nie są kopiowane wszystkie informacje)
Wszelkie źródła podłącza się (montuje) w trybie tylko do odczytu (read-only) co pozwoli zapewnić nienaruszalność
danych źródłowych.W procesach informatyki śledczej „obrazy” danych stanowią
podstawę do dalszych analiz. Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Źródłem danych mogą być również urządzenia dodatkowe, które potrafią zapisać dane w postaci cyfrowej, bądź
analogowej.Termometry cyfrowe z pamięcią, czujniki ciśnienia i gazu
zapisujące stany w pamięci, zapisy z kamer CCTV, czujników ruchu, oświetlenia,
a nawet automatycznych włączników.Jeśli jakieś urządzenie jest zdolne do okresowego
zapisywania swojego stanu – może stanowić źródło materiału dowodowego (danych do analiz)
Obecnie większość urządzeń wyposażonych jest w systemy procesorowe, które do działania wymagają różnego rodzaju
pamięci.
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Dane podstawowe: treści i informacje bezpośrednio będące dowodem (fotografie, nagrania audio, filmy, dokumenty,
prezentacje)
Dane dodatkowe: informacje dodatkowe będące pośrednim dowodem
w tym logi (zapisy stanu) urządzeń, metadane, pamięci tymczasowe (cache) itd.
Dane odzyskane: skasowane/usunięte pliki i ich fragmenty
Marcin Kaczmarek, CISA
Informatyka śledcza
2. Pozyskanie materiałów dowodowych
Proces pozyskiwania materiałów dowodowych powinien być przeprowadzony w sposób zapewniający podstawowe
parametry bezpieczeństwa IT:
Poufność: dostępny tylko dla upoważnionychIntegralność: spójność i kompletność zgromadzonych
informacjiAutentyczność: pochodzić z odpowiednio zdefiniowanych
źródełDostępność: do analiz
Dane do analiz nie mogą podlegać żadnym zmianom, kompresji stratnej itd.
Marcin Kaczmarek, CISA
Informatyka śledcza
3. Zabezpieczenie materiałów dowodowych
Dane podlegające analizie powinno się zabezpieczyć poprzez wykonanie kopii oraz dodatkowo przez dodatkowy parametr:
sumę kontrolną lub tzw. hash i podpis.Hash (message digest) zapewnia o autentyczności i
integralności (spójności)Podpis zapewnia o autentyczności i niezaprzeczalności.
Dla obrazów danych generuje się hashe i podpisy, można skorzystać z gotowych rozwiązań.
Hash: SHA-1, MD5 (podatne na ataki kolizji)Podpis: PGP
Marcin Kaczmarek, CISA
Informatyka śledcza
3. Zabezpieczenie materiałów dowodowych
W celu zapewnienia odporności na ataki kolizji powinno się stosować dwa lub trzy hashe (md5, sha-1) wraz z tzw. przyprawą, lub solą (salt).
Dodatkowo dane mogą zostać zaszyfrowane (za pomocą klucza), co zapewni ich poufność. Zaleca się szyfrowanie kluczami
asymetrycznymi.
Dane powinny zostać skopiowane (1:1) co najmniej dwukrotnie. Oryginalna kopia odpowiednio zabezpieczona (zaszyfrowana,
podpisana) i przechowywana w bezpieczny sposób.
Obecnie nie zaleca się przechowywania danych na nośnikach CD/DVD. Dane takie mogą zostać składowane na dyskach magnetycznych.
Dyski SSD ze względu na specyfikę zapisu nie mogą zapewnić integralności danych, gdyż nie można wygenerować właściwych hashy.
Marcin Kaczmarek, CISA
Informatyka śledcza
3. Zabezpieczenie materiałów dowodowych
Dostęp do danych powinny mieć jedynie odpowiednie osoby prowadzące badania.
Dane nie mogą być w trakcie analizy zmieniane, przekształcane (chyba, że wymaga tego procedura rozpakowywania, czy reverse-
engineeringu) i uzupełniane o dodatkowe informacje.
Wszelkie informacje o materiale źródłowym przechowuje się na osobnych nośnikach.
Zabezpiecza się nie tylko dane wejściowe, ale również informacje, które udało się wyekstraktować. Ponieważ
stanowią wartość dowodową, muszą podlegać odpowiedniej ochronie.
Marcin Kaczmarek, CISA
Informatyka śledcza
4. Analizy materiałów dowodowych
Analizy dokonuje się na 3 płaszczyznach:
- charakterystyka danych wejściowych (w tym wielkość, czas utworzenia itd.)
- zawartość danych (tekst, obrazy, filmy, audio)- metadane (informacje zawarte w plikach, pamięci podręcznej itd.)
Parametry pliku:
- nazwa pliku- rozszerzenie
- typ pliku (tekst, obraz, binarny, audio, video, arkusz, prezentacja itd.)
- czas utworzenia- czas modyfikacji
- identyfikator właściciela pliku- identyfikator grupy
- inne dodatkowe parametryMarcin Kaczmarek, CISA
Informatyka śledcza
4. Analizy materiałów dowodowych
Procesy:
- rozpoznanie typu pliku- ekstrakcja danych: treści, obrazów, metadanych- dekompresja (w przypadku plików spakowanych)
- określenie zakresu dostępnych informacji ze źródła- porównywanie zawartości, znajdowanie różnic
Marcin Kaczmarek, CISA
Informatyka śledcza
4. Analizy materiałów dowodowych
Efektem analiz materiałów są kolejne dane, które należy w odpowiedni sposób chronić. Stosuje się podobne zasady:
podpisywanie, hash, sumy kontrolne itd.
Marcin Kaczmarek, CISA
Informatyka śledcza
6. Zapis raportów, archiwizacja
Raporty powinny być odpowiednio zabezpieczone i zarchiwizowane. Powinno sporządzić się kilka kopii raportów oraz zabezpieczyć je
przez podpisanie i hashowanie, w razie konieczności (jeśli zawierają dane chronione) –
zaszyfrowane. Raporty te mogą stanowić materiał do następnych (kolejnych) badań tego samego, lub innego przypadku.
Marcin Kaczmarek, CISA
Informatyka śledcza
Kilka nudnych oraz kilka ciekawych przypadków.
Marcin Kaczmarek, CISA
Informatyka śledczaFile Name : IMAG1832.jpgDirectory : .File Size : 1604 kBFile Modification Date/Time : 2014:11:11 09:44:40+01:00File Access Date/Time : 2016:03:29 20:33:00+02:00File Inode Change Date/Time : 2014:11:11 09:44:40+01:00File Permissions : rwxr-----File Type : JPEGMIME Type : image/jpegExif Byte Order : Big-endian (Motorola, MM)Make : HTCCamera Model Name : HTC One SX Resolution : 72Y Resolution : 72Resolution Unit : inchesY Cb Cr Positioning : CenteredExposure Time : 1/20ISO : 236Exif Version : 0220Date/Time Original : 2014:10:11 18:44:17Create Date : 2014:10:11 18:44:17Components Configuration : Y, Cb, Cr, -Aperture Value : 2.0Exposure Compensation : 0Metering Mode : Center-weighted averageFlash : No FlashFocal Length : 3.6 mmFlashpix Version : 0100Color Space : sRGB
Exif Image Width : 3264Exif Image Height : 1840Interoperability Index : R98 - DCF basic file (sRGB)Interoperability Version : 0100Compression : JPEG (old-style)Thumbnail Offset : 722Thumbnail Length : 23252Image Width : 3264Image Height : 1840Encoding Process : Baseline DCT, Huffman codingBits Per Sample : 8Color Components : 3Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)Aperture : 2.0Image Size : 3264x1840Shutter Speed : 1/20Thumbnail Image : (Binary data 23252 bytes, use -b option to extract)Focal Length : 3.6 mmLight Value : 5.1
Metadane EXIF
Informatyka śledcza
zapisy logówzawartość pamięci podręcznej (cache) przeglądarekzapisy zdarzeń (eventów)zawartość katalogów tymczasowych (tmp, temp)Analiza metadanych audio i video (ekstrakcja parametrów)Analizy danych streamowych (dysk CCTV bez tablicy partycji)Śledzenie działań w internecie (charakterystyki)
Marcin Kaczmarek, CISA
Informatyka śledcza
Informatyka śledcza
Informatyka śledcza
Analiza nagłówków wiadomościAnaliza źródła (adresy IP - skąd)
Analiza pól adresataFormat wiadomości (txt, html)
Załączniki (uruchamialne, spakowane, dokumenty)Analiza załączników i ich zawartości (malware)
Analiza odnośników (hyperlinków) w wiadomości
Marcin Kaczmarek, CISA
WyłudzaniePłatne serwisy SMS
Przejęcie konta
Metoda na „przyjaciela z FB”
Analiza przypadków: określenie źródła, sposobu uzyskania dostępu, celu ataku, oczekiwanych skutków ataku.
Marcin Kaczmarek, CISA
Problemy informatyki śledczej
Dostęp do systemów
Niestandardowe systemy zapisu danychZaszyfrowane (zakodowane) dane
Dane usuwane, kasowane, nadpisywane, czyszczoneKorzystanie z sieci wirtualnych (VPN) – szyfrowane
połączeniaSystemy „cebulowe” TOR OnionAnonimizery, filtry prywatności
–--------------------------
Ochrona prywatności, ingerencja monitoringuZakres dostępu do danych (w tym osobowych)
Dostęp do haseł użytkownikówKwestie łamania zabezpieczeń (hasła, klucze, algorytmy)
Marcin Kaczmarek, CISA
Problemy informatyki śledczej
ilość danych (systemy, IOT, monitoring, rejestracja,logi)
możliwości (szybkość) przetwarzania informacji
kwestia gromadzenia i archiwizacji
stosowane algorytmy kryptograficzne
ilość danych „śmieciowych” (trash-data)
Marcin Kaczmarek, CISA
Przyszłość informatyki śledczej?
Cyberprzestępczość ?
botnety i struktury ?
Analizy behawioralne (zachowań sieci) ?
Algorytmy sztucznej inteligencji ?
Marcin Kaczmarek, CISA
Informatyka śledcza
Dziękuję za uwagę
Marcin Kaczmarek, CISAZespół Bezpieczeństwa Informacji WCSS
Politechnika Wrocławskatel. (071) 320 20 79
Marcin Kaczmarek, CISA
Zapraszamy na kolejne spotkanie
Inicjatywy IATI
28 kwietnia br
www.iati.pl
Marcin Kaczmarek, CISA