www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

Použití hashsetův EnCase Forensic v7

26.5.2014Digital Forensics InfoDay 2014

Marián Svetlík jr.

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

2

co je to hashhashovací funkce je matematický algoritmus sloužící k převodu dat do podoby tzv. kontrolní sumy o definované délce

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

3

co je to hashMD5 je příkladem kryptografické hashovací funkce:

realtivně snadno generovatelná

je extrémně obtížné odvodit z výsledné kontrolní sumy podobu původních dat

je extrémně obtížné změnit původní data bez následné změny kontrolní sumy

je extrémně nepravděpodobné, že by z odlišných dat vznikla stejná kontrolní suma

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

4

co je to hashpro potřeby digitální forenzní analýzy mají kontrolní sumy dvě hlavní funkce:

vysoce spolehlivý způsob k prokázání, že dva soubory jsou identické (ověření autenticity binárních obrazů disků, ověření autenticity předkládaných důkazů apod.)

rychlé automatizované vyhledávání velkého množství potenciálně zajímavých souborů v rámci rozsáhlých datových struktur

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

5

nejpoužívanější hashovací fceMD5

128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím

SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize

SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější

PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

6

nejpoužívanější hashovací fceMD5

128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím

SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize

SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější

PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.

kontrolní suma se vypočítá pouze z obsahu:

• nemusí být totožný název• musí být totožný obsah

na základě složitých algoritmů dokáže ztotožnit i obrazové soubory se změněnou kvalitou či velikostí

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

7

proč (ne)používat jen MD5existuje kolize, tj. lze vytvořit dva soubory s rozdílným obsahem, ale stejnou kontrolní sumou

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

8

proč (ne)používat jen MD5všechny doposud známé kolize vychází ze dvou připravených a upravených souborů bez předem dané kontrolní sumy

nebyl zjištěn případ, kdy by se podařilo vytvořit soubor s jiným obsahem a stejnou kontrolní sumou ke kontrolní sumě již vypočtené

Přesto jsou nalezené kolize zneužívány k znevěrohodnění integrity důkazů -> průtahy při dokazování spolehlivosti MD5

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

9

hash knihovnyknihovny hashí (hashlists) jsou výčty kontrolních sum určitých skupin souborů

soubory operačního systémusoubory aplikačního vybaveníobrazové soubory totožné s již identifikovanými jako dětská pornografie apod.

slouží k urychlení vyhledávání v rámci velkých objemů dat (velká datová úložiště, cloudy, peer-to-peer sítě apod.)

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

10

hash v EnCase v7

název hashsetu

jednotlivé sumy hashsetu

podrobnosti zvýrazněné položky

Tools -> Manage hash library -> Manage hash items

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

11

vytvoření hashsetuvytvoření knihoven (Tools -> Manage hash library)

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

12

vytvoření hashsetupřiřazení knihoven jako primární / sekundární

(Case -> Hash libraries)

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

13

vytvoření hashsetuvytvoření hashsetu v rámci knihovny

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

14

vytvoření hashsetuvýběr souborů pro hashset

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

15

vytvoření hashsetu

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

16

vytvoření hashsetuhash knihovna

výběr hashsetu, do kterého přidáváme

volba metadat / vlastností

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

17

kontrola entity oproti hashsetuzkopírovat kontrolní sumu (hash) zájmového souboruTools -> Manage hash library -> Query All

hledaná hash

nalezené shody

metadata z hashlistu

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

18

vyhledávání shody s hashsetemověření, zda se na zkoumaných zařízeních vyskytují některé soubory z připravených hashsetůEnScript -> Find entries by hash category

(nutno ověřit, zda jsou k jednotlivým hashsetům přiřazeny kategorie: Tools -> Manage hash library -> Edit)

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

19

vyhledávání shody s hashsetem

soubory ze zkoumaných zařízení se shodnou hash vůči vybrané kategorii / hashlistu

karta Results

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

20

zdroje hash knihovenNational Software Reference Library

www.nsrl.nist.govkontrolní sumy souborů známých, dohledatelných aplikací

zvláštní zdroje pro law-enforcement sféruInterpol, Europol, FBI

vytváření vlastních knihoven

www.

rac.

czRi

sk A

naly

sis C

onsu

ltant

sV0

6042

0

21

použití hashsetův EnCase Forensic v7

Dotazy

Marián Svetlík jr.svetlikjr@rac.cz

www.linkedin.com/pub/marian-svetlik-jr/60/aa5/2ba