PRAKTYKA
NORBERT KOZA
OWSKI
Informatyka
śledcza
Stopień trudności
Informatyka śledcza jest gałęzią nauk sądowych, której celem
jest dostarczanie cyfrowych środków dowodowych popełnionych
przestępstw bądz
nadużyć.
undamentalne zasady informatyki " Ukryte dane: zawierają wszelkie usunięte
śledczej można streścić w pięciu przez użytkownika pliki i informacje. W
Fpunktach: procesie tym analizowana jest struktura
dysku. Badane są niezaalokowane klastry
" udokumentowanie każdego kroku, (obszary oznaczone przez system jako
" skopiowanie dowodów bez ingerencji w puste, jednak nie zapełnione przez nowe
oryginalne z
ródło danych, dane), obszary slack (nieużywane klastry),
" upewnienie się, iż kopia jest idealnym metadane (informacje na temat plików i
odpowiednikiem oryginału, katalogów zapisanych w systemie plików
" dokładna analiza danych (aktywne, ukryte, na dysku), ram-slack. Analiza tych danych
archiwalne informacje), jest często najbardziej problematyczna i
" sporządzenie dokładnego raportu, wymaga dużego doświadczenia.
zgodnego z systemem prawnym danego " Archiwalne dane: na tym etapie zostają
kraju. sprawdzone wszelkie podejrzane nośniki
danych, takie jak płyty CD, DVD, pendrivy.
Każdy krok analizowania danych musi zostać Analizowane są również sieci, z którymi
udokumentowany oraz zweryfikowany. Oryginał łączył się komputer.
nie może zostać naruszony, a cały proces
wykonywany jest na identycznej kopii. W procesie odzyskiwania danych będziemy
Specjaliści szukają podejrzanych informacji używać Linuksa. Dlaczego nie innego
w trzech sferach. systemu? Głównie z powodu ogromnego
dostępu do bezpłatnego oprogramowania,
" Aktywne dane : są to jawnie dostępne które powinno w zupełności sprostać
Z ARTYKUA
U dane, takie jak poczta elektroniczna, naszym wymaganiom. Poza tym aplikacje
DOWIESZ SI

dokumenty zachowane na dysku, pliki mają ogólnodostępny kod z
ródłowy, więc
jak schematycznie wygląda
tymczasowe, pliki kopii, logi, rejestry, możemy wiedzieć dokładnie jak dana
przebieg analizy danych z
dane przeglądarki, pliki kolejkowania aplikacja działa. Są też negatywne strony
punktu widzenia informatyka
śledczego.
wydruku, ciasteczka. Do tej sfery tego wyboru. Programy są darmowe, więc
zaliczamy również zaszyfrowane pliki nie możemy liczyć na jakiekolwiek wsparcie
CO POWINIENEŚ
oraz wszystkie te, do których możemy techniczne. Nie będziemy mogli także w razie
WIEDZIEĆ
dostać się z poziomu systemu potrzeby odwołać się w sądzie do autora
znać podstawowe polecenia i
operacyjnego. programu. Kolejną wadą jest fakt, iż wolne
komendy systemu Linux.
62 HAKIN9 11/2009
INFORMATYKA ŚLEDCZA
oprogramowanie może zawierać błędy Zamontujmy nowo utworzony dysk, który badania, numer dysku twardego, numery
w kodzie z
ródłowym. Fakt ten może będzie mógł służyć jako dowód w sądzie. IP komputera itp. Po opisaniu wyżej
zostać sprytnie wykorzystany przez W tym celu wykonujemy następujące wymienionych informacji podłączmy oba
obrońców. polecenie: dyski do komputera. W biosie należy
Oczywiście decydując się na zaznaczyć bootowanie tylko z napędu
korzystanie z bezpłatnych aplikacji mount /dev/hda1 /mnt/hda1 CD, a w napędzie umieszczamy płytę z
rezygnujemy z profitów, takich jak systemem F.I.R.E.
ładniejszy interfejs graficzny, bądz
Niekiedy wymagane jest także utworzenie Bardzo istotnym krokiem jest
większa liczba funkcji. folderów z numerem sprawy i dowodu. prawidłowe rozpoznanie urządzeń.
Jeżeli naszym priorytetem Możemy do tego celu użyć polecenia:
jest bezpieczeństwo, powinniśmy mkdir /mnt/hda1/case_no
zaopatrzyć się w specjalne urządzenia mkdir /mnt/hda1/case_no/evidence_no dmesg | grep hd
stosowane podczas analizy śledczej
zwane blokerem. Pozwala ono na W katalogu tworzymy plik tekstowy, w W naszych dalszych badaniach
bezpieczne podłączenie dysku którym umieszczamy takie informacje ustalimy, że /dev/hdc jest prawdziwym,
twardego do interfejsu ATA komputera jak nasze dane, organizację, dla której oryginalnym dyskiem, w którego strukturę
ze 100% pewnością, że zawarte na pracujemy, numer sprawy, jej opis, datę nie możemy ingerować, natomiast /dev/
nim dane nie zostaną w jakikolwiek
sposób naruszone. Jego użycie nie
wymaga żadnej dodatkowej wiedzy ani
sterowników. Wszystkie komendy zapisu
są blokowane, a dysk widziany jest
przez system operacyjny jako normalny
napęd. Ceny blokerów znajdują się w
przedziale 200  800 euro.
Przygotowując się do stworzenia
duplikatu dysku będziemy potrzebowali
większy nośnik danych (dla
bezpieczeństwa około trzech razy, np.
zewnętrzny dysk twardy) sformatowany
w systemie ext3 oraz płytę z systemem
F.I.R.E (Forensic and Incident Response
Environment). Bootowalny obraz płyty
można za darmo pobrać ze strony
http://sourceforge.net/projects/
biatchux/.
Rysunek 1. Zrzut ekranu podczas pracy Autopsy
Pierwszym krokiem będzie spisanie z
dysku dowodowego (etykiety lub ze strony
producenta) wielkości i liczby sektorów.
Następnie oczyścimy, opróżnimy dysk, na
którym zduplikujemy oryginał. W F.I.R.E lub
dowolnym innym systemie wydajemy np.
takie polecenia:
" dcfldd if=/dev/zero of=/dev/
hda bs=8k conv=noerror,sync
(wypełnienie dysku zerami)
" fdisk /dev/hda (stworzenia nowej
partycji).
Po ponownym uruchomieniu komputera
należy również zmienić system plików na
ext3.
mkfs -t ext3 /dev/hda1
Rysunek 2. Autopsy. Widoczne wyniki wyszukiwania frazy drugs
11/2009 HAKIN9 63
PRAKTYKA
hda będzie jego kopią, którą będziemy przeskakiwać uszkodzony sektor, losetup /dev/loopa serial_no.dd
analizować. wypełni go zerami. Bs oznacza rozmiar
Teraz zamontujemy /dev/hdc oraz bloku danych. Domyślna wartość to W celu wylistowania tablicy partycji:
skopiujemy podstawowe informacje o 512 kb. Dobierając ten parametr
dysku do katalogu z dowodami. można wzorować się wynikami sfdisk -luS /dev/loopa
hdparm . Większa wartość oznacza
mount /dev/hdc1 /mnt/hdc1 większą wydajność procesu, jednak Natomiast po skończonej analizie
cd /mnt/hda1/case_no/evidence_no w przypadku napotkania na błąd danych, by odinstalować obraz
dmesg | tee case_no_dmesg.txt odczytu tracony jest cały blok danych. wpisujemy:
hdparm  giI /dev/hdc | tee case_no_ Przykładowe wywołanie programu
hdparm.txt może wyglądać tak: losetup -d /dev/loopa
Póz
niej zahashujemy stworzone pliki oraz dcfldd if=/dev/hdc of=/mnt/hda1/case_ Przydatna także będzie baza hash
dysk. Wykonujemy polecenia: no/evidence_no/serial_no.dd szkodliwego oprogramowania
conv=noerror,sync opublikowana przez U.S. National
md5sum *.txt | tee case_no_txt_ Institute of Standards and Technology
hashes.txt Po zakończeniu procesu wyłączamy znana pod nazwą NSRL. Możemy ją
md5sum /dev/hda | tee serial_ komputer i odłączamy dysk z pobrać ze strony http://www.nsrl.nist.gov/
no.original.md5.txt prawdziwymi danymi. Kolejnym krokiem Downloads.htm#isos. Będzie nam
jest analiza danych. potrzebna aby korzystać z następnych
Przystępujemy teraz do stworzenia Dużym ułatwieniem w narzędzi.
obrazu dysku /dev/hdc. Najlepiej zamontowaniu stworzonego obrazu Głównym narzędziem, który
do tego celu wykorzystać odmianę dysku jest instalacja specjalnych udostępnia nam gotowe skrypty jest
aplikacji dd, stworzoną przez U.S. sterowników NASA Enhanced pakiet The Sleuth Kit (TSK). Jest to zbiór
Department of Defense Computer Loopback. wcześniej przygotowanych poleceń
Forensics Lab  dcfldd. Szczegółową Zminimalizują one liczbę poleceń używanych podczas informatyki
pomoc uzyskamy wpisując w oraz zwiększą bezpieczeństwo całego śledczej. TSK zazwyczaj używany jest
terminalu dcfldd  help. Parametry, procesu. Można je pobrać ze strony wraz z graficznym interfejsem Autopsy.
które mogą okazać się przydatne to ftp://ftp.hq.nasa.gov/pub/ig/ccd/ Cały pakiet można za darmo pobrać
np. -conv sync,noerror -bs=8k. enhanced_loopback/. ze strony domowej projektu http:
Noerror spowoduje, iż proces Po zainstalowaniu możemy //www.sleuthkit.org. Instalacja obu
kopiowania danych nie zostanie zamontować uprzednio stworzony obraz programów przebiega standardowo.
przerwany podczas napotkania dysku. W tym celu jako root możemy Po jej zakończeniu w Autopsy należy
błędu odczytu. Sync z koleji zamiast wydawać takie polecenia: podać lokalizację TKS, bibliotek
Popularne linuksowe narzędzia stosowane w informatyce śledczej
" dd  kopiuje plik (domyślnie ze standardowego wejścia na standardowe wyjście), z wybieranymi przez użytkownika rozmiarami bloków
wejścia/wyjścia; podczas kopiowania opcjonalnie wykonuje na nim konwersje.
" dcfldd  bardziej zaawansowana wersja dd. M.in. pokazuje pasek postępu podczas kopiowania plików.
" sfdisk/fdisk  używane w celu określanie struktury dysku.
" md5sum/sha1sum  oblicza i sprawdza skróty plików w formatach MD5 lub SHA.
" grep  przeszukuje plik pod kątem podanego wzorca.
" file  określa typ pliku (text, executable, data).
" disktype  określa format dysku lub jego obrazu. Podobne działanie do polecenia file, lecz zawierające dużo więcej informacji
" xxd  tworzy zrzut heksowy podanego pliku na standardowe wyjście. Może także przetworzyć zrzut heksowy z powrotem do oryginalnej,
binarnej formy.
" fatback  odzyskuje usunięte pliki z systemu plików FAT.
" stegdetect  odnajduje próbę wykorzystania steganografii, czyli ukrywania informacji w plikach graficznych.
" galleta  Galleta (w języku hiszpańskim oznacza ciasteczko) analizuje pliki cookie IE.
" pasco  Pasco (po łacinie oznacza przeglądać) analizuje aktywność IE.
" LibPST  konwertuje pocztę w formacie Outlook/Outlook Express do linuksowego mboxa.
" chkrootkit  przeszukuje lokalny dysk w poszukiwaniu śladów rootkitów.
" PlainSight  bootowalne środowisko, pozwalające niedoświadczonym użytkownikom przeprowadzać pierwsze próby analizy
śledczej.
" Vinetto  narzędzie służące badaniom plików Thumbs.db.
64 HAKIN9 11/2009
PRAKTYKA
NSRL oraz tzw. evidence locker, czyli " File Type Categories: sortowanie " md5sum serial _ no.dd (stworzenie
miejsce, w którym przechowywane plików pod kątem ich typu. Np. sumy MD5),
będą dowody zebrane przez program. wszystkie pliki JPEG i GIF zostaną " gzip  c serial _ no.dd | split
Aplikacja może działać w dwóch zidentyfikowane jako obrazy.  b 699m  serial _ no.dd.gz
trybach: normal oraz live. W tym Możliwość podawania wzorców z (kompresujemy i dzielimy plik na
pierwszym pobierany jest obraz dysku NSRL części po 700MB),
lub partycji, w drugim analizowany " md5sum serial _ no.dd* >>
jest aktualnie działający system (bez I kilka innych odrobinę mniej istotnych. serial _ no _ chunks.md5.txt
ingerencji w dane). Autopsy pozwala Dodatkowo każdy tryb potrafi generować (hashujemy wszystkie części).
nam w intuicyjny sposób analizować specyficzny raport, zawierający wszystkie
takie dane jak: potrzebne informacje. W celu rekonstrukcji całości wydajemy
Przydatną aplikacją może okazać polecenie:
" Files: możliwość przeglądania się także Foremost. Jej założeniem
struktury i zawartości plików i jest odzyskiwanie danych poprzez cat serial_no.dd.gz* | gunzip - >
katalogów. Również usunięte dane są analizę nagłówków, stopek i struktur serial_no_out.dd
wyświetlane. Możliwość sortowania plików. Można ją pobrać ze strony http:
wyników. //foremost.sourceforge.net/. Przykładowe Podsumowanie
" Meta data: po podaniu adresu użycie służące wyszukaniu plików GIF Podsumowując, informatyka śledcza
struktury danych na dysku twardym oraz PDF: jest interesującą i często zaskakującą
zostaną wyświetlone dokładne gałęzią nauki. Należy sobie jednak
informacje na temat tego miejsca. foremost -t gif,pdf -i serial_no.dd uświadomić, iż nie wszystkie dane da
" Data Unit : podobnie jak wyżej z się odzyskać w ten sposób. Istnieją
różnicą, iż podawany jest adres Po skończonej analizie możemy specjalne programy wielokrotnie
bloku pamięci. Zwraca jego zarchiwizować obraz na płytach CD. nadpisujące wskazane sektory na dysku
zawartość w różnych postaciach Uprzednio jednak zabezpieczmy go i w sposób uniemożliwiający ich póz
niejszy
(ASCII, hex). Jeżeli w obszarze będą stwórzmy sumę MD5. rekonesans.
jakiekolwiek pliki, aplikacja wyświetli Także fizyczne zniszczenie dysku
ich nazwy. " chmod a-w serial _ no.dd niesamowicie komplikuje sytuację
" Keyword Search: przeszukuje pamięć (przypisanie stanu read-only do pliku (choć istnieją firmy zajmujące się takimi
pod kątem podanego ciągu znaków. z obrazem), przypadkami).
Informacje dowodowe uzyskane
za pomocą informatyki śledczej mogą
okazać się decydujące dla sprawy
sądowej. Nie należy jednak zapominać,
iż osoby posiadające kompromitujące
je materiały na dyskach lub innych
nośnikach, są w stanie szybko się
ich pozbyć (zniszczyć), wtedy dalsza
analiza zostaje utrudniona, często
wręcz niemożliwa.
Norbert Kozłowski
Student Automatyki i Robotyki na Politechnice
Wrocławskiej. Wolne chwile wykorzystuje na pogłębienie
wiedzy z zakresu bezprzewodowej wymiany danych,
elementów języków programowania (Perl, Python, Ansi
Rysunek 3. Zależność ilości informacji od czasu który upłyną od ich usunięcia na
C). Członek grupy u-C.
serwerze pracującym pod kontrolą systemu Unix Kontakt z autorem: khozzy@gmail.com
W Sieci
" http://www.opensourceforensics.org/tools/unix.html  darmowe narzędzia stosowane w informatyce śledczej,
" http://www.forensics.nl/presentations  darmowe prezentacje tematów powiązanych z informatyką śledczą.
66 HAKIN9 11/2009


Wyszukiwarka

Podobne podstrony:
egzamin pisemny styczeń 2009 technik informatyk
2009 rozszODP Informator
2009 11 Connected
Meta najnowsza najlepsza 2009 11 26
2009 11 Klasy cech w programowaniu generycznym [Programowanie C C ]
Eucharystia Orędzie z dnia 27 12 2009, 11 06 2010
11 informatyczne wsparcie logistyki
2009 11 the Gatekeeper Network Access Control on Wired Networks with Ieee 802 1X
RMZ o upr rat med zmiana 2009 11 64
2009 podstODP Informator
2009 11 Statyczne asercje w C [Programowanie C C ]
2009 11 Sprytne wskaźniki [Programowanie C C ]

więcej podobnych podstron