mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych...
DESCRIPTION
MTS 2009TRANSCRIPT
Metody pozyskiwania i zabezpieczania danych w
skompromitowanych systemach Windows
KRZYSZTOF BIŃKOWSKITrener, Konsultant | Compendium CE / ISSA Polska
Agenda Dowód elektroniczny Typy zbieranych danych Zbieranie danych: dane ulotne i dane nieulotne Pozyskiwanie danych Kopia bitowa dysku twardego Tworzenie obrazu dysku / Demo Dostęp do danych z zabezpieczonego materiału / Demo Kopia bitowa pamięci RAM / Demo Kopia bitowa pamięci flash / Demo Oprogramowanie COMPUTER FORENSICS
Dowód elektroniczny
DefinicjaDowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.
kompletny
prawdziwy
niepodważalny
przekonywujący
zdobyty zgodnie z prawem
*Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
Dowód elektronicznyBrak definicji prawnej
Informacja w postaci elektronicznej o znaczeniu dowodowym
Dowód rzeczowy
Nośnik, a dowód elektroniczny
Zasada swobodnej oceny dowodów
Dowód elektroniczny - cechyŁatwość modyfikacji
Równość kopii i oryginału
Szczególne podejście
Co może być dowodem elektronicznym ?
dane tekstowe (wiadomości e-
mail)
dane numeryczne
graficzne (zdjęcia, rysunki,
schematy)
dźwiękowe (zapis rozmowy)
wizualno-dźwiękowe
(zapis kamery internetowej)
Elementy składowe dowodu elektronicznego (przykłady):
plik i jego zawartość
(wraz z metadanymi)
dane przecho-
wywane w archiwach
logidane
pochodzące z podsłuchu
informacje odzyskane
informacje ukryte (steganografia)
Proces dochodzeniowy
Ocena
Zapoznaj się z obowiązującymi procedurami i wytycznymi
Wybierz zespół specjalistów
Przygotuj się do zabezpieczania
danych
Pozyskiwanie
Przygotuj narzędzia do analizy
Zbierz i zabezpiecz dane
Zachowaj i zarchiwizuj zgromadzone dane
Analiza
Analiza danych sieciowych
Analiza danych zawartych na
nośnikach zewnętrznych
Raport
Zbierz i uporządkuj zebrane dane
Wykonaj raport
Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
Typy zbieranych danych
Dane ulotne i nieulotne
Dane ulotne (ang. Volatile date)
Dane nieulotne (ang. non-volatile date lub
persistent data)
Zbieranie danych ulotnychZrzut pamięci RAM
Bieżący czas i data
Konfiguracja systemu, tzw. profil systemu
Bieżące procesy (running processes)
Pliki otwarte, startowe (autostart) oraz dane ze schowka
Użytkownicy zalogowani do systemu i aktualnie pracujący na serwerze
Biblioteki dynamiczne (DLL) i współdzielone
Otwarte porty i nawiązane połączenia sieciowe
Informacja na temat trasowania (ang. routing)
Rootkit’y
inne
Zbieranie danych nieulotnychNośnikami danych mogą być:
twarde dyski
dyskietki, napędy ZIP, Jazz
płyty CD/DVD
pamięci FLASH ( klucze USB, pendrive’y )
karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne )
dyski sieciowe
taśmy
palmtopy (Windows Mobile)
telefony komórkowe
oraz inne
Pozyskiwanie danych
Wyłączony komputerSpisać protokół
Nie włączać !!!
Zaleca się wyjęcie dysków
Wykonać kopię dysków
Wykonać sumę kontrolną dysku
Wykonać sumę kontrolną kopii
Zabezpieczyć oryginalny dysk
Włączony komputerSpisać protokółWykonać zdjęcie ekranuWykonać zdjęcie otoczeniaWykonać zrzut pamięci oraz innychdanych ulotnych na nośnik zewnętrznyWykonać kopię dysku onlineWyłączyć komputerZaleca się wyjęcie dyskówWykonać kopię dysku offlineWykonać sumę kontrolną dyskuWykonać sumę kontrolną kopiiZabezpieczyć oryginalny dysk
BlokeryZabezpieczyć nośnik przed zapisem !
Bloker sprzętowy
Bloker Programowy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Tworzenie obrazu dysku OFFLINE – dane nieulotone :
Zaleca się podłączenie dysku przez bloker i wykonaniekopii na stacji badającegolubUruchamiamy i bootujemy system CF z płyty CD/DVDWindows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny)System Live musi montować dyski w trybie READ ONLY !!!
ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieciNp.. FTK Imager
Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB
Poprzez sieć na innym komputerze, serwerzeDostęp do dysku w trybie do odczytu
Kopia bitowa dysku
PLIK
PLIK
Pamiętajmy:Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!! Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
Kopia dysku - narzędziaDarmowe: DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu
http://www.chrysocome.net/ddNp.. dd.exe if=\\.\PhysicalDrive0 of=d:\ \plik1.img
FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)
Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta.
FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
Format pliku obrazu dysku odczyt zapis
dd RAW
EnCase E01
FTK Imager logical image
Ghost (tylko nieskompresowane obrazy dysku)
ICS
SafeBack (tylko do wersji 2.0)
SMART (S01)
■
■
■
■
■
■
■
■
■
■
■
Wykonanie kopii dysku
Dostęp do danych – kopii dysku
Podłączenie obrazu dysku w systemie Windowsnp. Mount Image Pro
Uruchamianie dysku w wirtualnej maszynienp. Live View + VMware
Dostęp do danych wykonanej kopii
Kopia bitowa pamięci RAM
Czy potrzebna ?
Narzędzia:FTK Imager, MDD, Win32DD
Analiza:Volatitity, BinText, Memoryze
Kopia bitowa pamięci RAM
Kopia bitowa pamięci flash
Zabezpieczenie danych
Kopia przed analizą
Odzyskanie usuniętych danych
Odzyskanie danych z kopii pamięci flash
OprogramowanieCOMPUTERFORENSICS
Darmowe zestawy COMPUTER FORENSICS
Komercyjne programyCOMPUTER FORENSICS
WInHex
Literatura RFC3227 - Guidelines for Evidence Collection and Archiving
Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx
First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html
First Responders Guide to Computer Forensics: Advanced Topics
http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
Grupa MSSUG
Tematyka najbliższych spotkań: Smart Card (warsztaty) OTP ( One Time Password)
Zapraszamy na comiesięczne spotkania w Warszawie
http://ms-groups.pl/MSSUG
Oceń moją sesję
Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS!
© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.