použití hashsetů v encase forensic v7
DESCRIPTION
TRANSCRIPT
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
Použití hashsetův EnCase Forensic v7
26.5.2014Digital Forensics InfoDay 2014
Marián Svetlík jr.
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
2
co je to hashhashovací funkce je matematický algoritmus sloužící k převodu dat do podoby tzv. kontrolní sumy o definované délce
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
3
co je to hashMD5 je příkladem kryptografické hashovací funkce:
realtivně snadno generovatelná
je extrémně obtížné odvodit z výsledné kontrolní sumy podobu původních dat
je extrémně obtížné změnit původní data bez následné změny kontrolní sumy
je extrémně nepravděpodobné, že by z odlišných dat vznikla stejná kontrolní suma
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
4
co je to hashpro potřeby digitální forenzní analýzy mají kontrolní sumy dvě hlavní funkce:
vysoce spolehlivý způsob k prokázání, že dva soubory jsou identické (ověření autenticity binárních obrazů disků, ověření autenticity předkládaných důkazů apod.)
rychlé automatizované vyhledávání velkého množství potenciálně zajímavých souborů v rámci rozsáhlých datových struktur
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
5
nejpoužívanější hashovací fceMD5
128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější
PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
6
nejpoužívanější hashovací fceMD5
128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější
PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.
kontrolní suma se vypočítá pouze z obsahu:
• nemusí být totožný název• musí být totožný obsah
na základě složitých algoritmů dokáže ztotožnit i obrazové soubory se změněnou kvalitou či velikostí
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
7
proč (ne)používat jen MD5existuje kolize, tj. lze vytvořit dva soubory s rozdílným obsahem, ale stejnou kontrolní sumou
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
8
proč (ne)používat jen MD5všechny doposud známé kolize vychází ze dvou připravených a upravených souborů bez předem dané kontrolní sumy
nebyl zjištěn případ, kdy by se podařilo vytvořit soubor s jiným obsahem a stejnou kontrolní sumou ke kontrolní sumě již vypočtené
Přesto jsou nalezené kolize zneužívány k znevěrohodnění integrity důkazů -> průtahy při dokazování spolehlivosti MD5
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
9
hash knihovnyknihovny hashí (hashlists) jsou výčty kontrolních sum určitých skupin souborů
soubory operačního systémusoubory aplikačního vybaveníobrazové soubory totožné s již identifikovanými jako dětská pornografie apod.
slouží k urychlení vyhledávání v rámci velkých objemů dat (velká datová úložiště, cloudy, peer-to-peer sítě apod.)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
10
hash v EnCase v7
název hashsetu
jednotlivé sumy hashsetu
podrobnosti zvýrazněné položky
Tools -> Manage hash library -> Manage hash items
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
11
vytvoření hashsetuvytvoření knihoven (Tools -> Manage hash library)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
12
vytvoření hashsetupřiřazení knihoven jako primární / sekundární
(Case -> Hash libraries)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
13
vytvoření hashsetuvytvoření hashsetu v rámci knihovny
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
14
vytvoření hashsetuvýběr souborů pro hashset
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
15
vytvoření hashsetu
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
16
vytvoření hashsetuhash knihovna
výběr hashsetu, do kterého přidáváme
volba metadat / vlastností
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
17
kontrola entity oproti hashsetuzkopírovat kontrolní sumu (hash) zájmového souboruTools -> Manage hash library -> Query All
hledaná hash
nalezené shody
metadata z hashlistu
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
18
vyhledávání shody s hashsetemověření, zda se na zkoumaných zařízeních vyskytují některé soubory z připravených hashsetůEnScript -> Find entries by hash category
(nutno ověřit, zda jsou k jednotlivým hashsetům přiřazeny kategorie: Tools -> Manage hash library -> Edit)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
19
vyhledávání shody s hashsetem
soubory ze zkoumaných zařízení se shodnou hash vůči vybrané kategorii / hashlistu
karta Results
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
20
zdroje hash knihovenNational Software Reference Library
www.nsrl.nist.govkontrolní sumy souborů známých, dohledatelných aplikací
zvláštní zdroje pro law-enforcement sféruInterpol, Europol, FBI
vytváření vlastních knihoven
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
21
použití hashsetův EnCase Forensic v7
Dotazy
Marián Svetlík [email protected]
www.linkedin.com/pub/marian-svetlik-jr/60/aa5/2ba