Ślad i dowód elektroniczny Przestępstwa komputerowe wykorzystanie

Transkrypt

1

2 Ślad i dowód elektroniczny Przestępstwa komputerowe wykorzystanie informatyki śledczej Zasady zabezpieczania dowodów elektronicznych Etapy zabezpieczania dowodów elektronicznych Narzędzia i oprogramowanie

3

4 Pogranicze kryminalistyki i informatyki Definicja? Poszukiwanie, identyfikacja, zabezpieczanie oraz analiza informacji w postaci elektronicznej ukierunkowane na odnalezienie śladów szeroko rozumianych nadużyć zebrany w spójny materiał dowodowy.

5 Odkrycie prawdy Odnalezienie dowodów nadużyć lub przestępstw Analiza Prezentacja materiału dowodowego poprzez: Odtworzenie przebiegu zdarzeń Przywrócenie danych usuniętych lub ukrytych

6

7 Każdy, kto pojawia się na miejscu Każdy, kto pojawia się na miejscu przestępstwa pozostawia jakiś ślad jednocześnie zabierając ze sobą inny.

8 Nie każda informacja jest dowodem Nie każdy ślad elektroniczny jest dowodem elektronicznym Ślad elektroniczny to każda informacja w postaci cyfrowej (zerojedynkowej). Dowodem stanie się wówczas, gdy nieść będzie treści przydatne z punktu widzenia danej sprawy.

9 Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Poszlaki Zasada swobodnej oceny dowodów

10 Podstawa: Kodeks Karny Ustawa z dn. 6 VI 1997 (Dz.U. z 1997 r., Nr 88, poz. 553 wraz z późniejszymi zmianami). Kodeks Postępowania Karnego Ustawa z dn. 6 VI 1997 (Dz.U. z 1997 r. Postanowienia Rady Europy Conventionon Cybercrime, Traktat Europejski nr 185, Budapeszt Dodatkowo: Ustawa Prawo Telekomunikacyjne Ustawa o prawie autorskim i prawach pokrewnych Ustawa o ochronie danych osobowych Ustawa o ochronie konkurencji i konsumentów Kodeks postępowania administracyjnego

11 Wierność Autentyczność Obiektywność Kompletność 5 Przystępność

12 dane tekstowe (wiadomości ) dane numeryczne (informujące o zawartości konta bankowego) graficzne (zdjęcia, rysunki, schematy) dźwiękowe (zapis rozmowy) wizualno-dźwiękowe (zapis kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego zawartość (wraz z metadanymi) dane przechowywane w archiwach logi dane pochodzące z podsłuchu informacje odzyskane

13 Środek dowodowy Źródło dowodowe

14 Ze względu na trwałość: trwałe( np. dyski twarde, dyskietki, pamięci USB) nietrwałe(np. pamięć operacyjna) Ze względu na źródło: pochodzące bezpośrednio z systemu informatycznego na miejscu zdarzenia pochodzące z systemów informatycznych poza miejscem zdarzenia (np. na komputerze sprawcy; pomiędzy napastnikiem, a systemem docelowym; na routerach, będące rezultatem działania aplikacji ostrzegających - wpisy w logach systemów wykrywania włamań IDS, IPS, ścian ogniowych(firewalls) itp.); pochodzące spoza systemu informatycznego (np. płyta leżąca w pobliżu komputera, zewnętrzny napęd dysków, palmtop itp.) Ze względu na czynnik wolicjonalny: pozostawione przez intruza świadomie(np. rootkity, tylne furtki itp.) pozostawione przez intruza nieświadomie (np. nie usunięcie historii wykonywanych poleceń)

15

16 Hacking art k.k. Przełamanie zabezpieczeń oraz Uzyskanie dostępu do informacji Np. SQL Injection Grzywna, ograniczenie wolności, 2 lata Podsłuch komputerowy -art k.k. Urządzenie podsłuchowe Uzyskanie dostępu do informacji Np. sniffing, emisja ujawniająca Kara jak wyżej

17 Art Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Karalność Google Hacking?

18 Nielegalne uzyskanie programu komputerowego art k.k. Cel: przywłaszczenie lub osiągniecie korzyści majątkowej Np. kradzież, zwielokratnianie Od 3 m-cydo 5 lat / grzywna; ograniczenie wolności; do roku Paserstwo programu komputerowego art k.k. Nabycie, przyjęcie na przechowanie, pomoc przy zdobyciu lub ukryciu Np. umyślne P2P, nieumyślne np. FTP Od 3 m-cydo 5 lat / ograniczenie wolności; do roku / grzywna; ograniczenie wolności; do 2 lat.

19 Pornografia dziecięca art , 4, 4a k.k. Prezentowanie małoletniemu (<15 lat): Grzywna; pozbawienie wolności; do 2 lat Produkcja, utrwalanie (w celu rozpowszechniania), sprowadzanie, przechowywanie, posiadanie, rozpowszechnianie Od 6 m-cydo 8 lat Utrwalanie (< 15 lat): Od roku do 10 lat Posiadanie przechowywanie (< 15 lat): Od 3 m-cydo 5 lat

20 Niszczenie danych art k.k. Niszczenie, usuwanie, uszkadzanie, zmiana istotnych informacji Np. konie trojańskie, rootkity, MITM, spoofing Do 3 lat (znaczna szkoda do 5 lat) Skimming art k.k. Podrabianie środków płatniczych, puszczanie w obieg Od 5 do 25 lat! / od 1 roku do 10 lat / przygotowania od 3 m-cydo 5 lat.

21 art. 269b 1: Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwaokreślonego w art pkt4, art , art. 268a 1 albo 2 w związku z 1, art albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. Karalność testów penetracyjnych?

22 Oszustwo komputerowe art k.k. Cel: osiągnięcie korzyści majątkowej Wpływanie na przetwarzanie, gromadzenie, przesyłanie informacji Np. phishing Do 5 lat Fałszerstwo komputerowe art k.k. Przerabianie, podrabianie dokumentów (nośników informacji elektronicznej) Grzywna; ograniczenie wolności; od 3 m-cydo 5 lat / przygotowania j.w do 2 lat.

23 Oszustwo telekomunikacyjne art k.k. Kradzież karty bankomatowej art k.k. Sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo mienia w znacznych rozmiarach art ust. 4 Nieumyślne zakłócenie automatycznego przetwarzania informacji związane za sprowadzeniem niebezpieczeństwa powszechnego art k.k. Zamach terrorystyczny na statek morski lub powietrzny art k.k.

24 Szpiegostwo komputerowe albo wywiad komputerowy art i 3 k.k. Szpiegostwo albo wywiad komputerowy na szkodę państwa sojuszniczego art k.k.

25

26 Identyfikacja źródła Zabezpieczenie śladów Analiza śladów Przedstawienie wyników analizy Wszystkie czynności muszą być przeprowadzone zgodnie z obowiązującymi standardami. W przeciwnym razie nie będą dopuszczone w sądzie jako materiał dowodowy.

27 Pozbycie się osób, które nie powinny znajdować się na miejscu zdarzenia Dokumentowanie Oznaczanie

28 Kodeks postępowania karnego: Art. 218 zebranie danych Art. 218a zabezpieczenie danych Art. 236a zatrzymanie i przeszukanie. Stanowi on, że przepisy o przeszukaniu i zatrzymaniu rzeczy stosuje się odpowiednio do dysponenta i użytkownika systemu informatycznego, w zakresie danych przechowywanych w tym systemie lub na nośnikach znajdujących się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej pocztą elektroniczną. Art. 237 i242 podsłuch tylko dla niektórych przestępstw Kodeks postępowania cywilnego Art zabezpieczenie dowodów

29 Ustawa o ochronie konkurencji i konsumentów Art. 57, 58, 66 zabezpieczenie dowodów Ustawa o prawach autorskich art. 80 zabezpieczenie dowodów Przepadek na rzecz SP bezprawnie wytworzonych utworów Może nastąpić przepadek na rzecz SP przedmiotów służących do wytworzenia utworów / przekazanie przedmiotów poszkodowanemu na poczet odszkodowania Postępowanie administracyjne Art. 75, 77 i 78

30 Jeżeli nośnik nie jest dowodem rzeczowym nie należy go zatrzymywać, ale zwrócić osobie uprawnionej -chyba, że występują przesłanki orzeczenia przepadku dowodu np. Narzędzie popełnienia czynu zabronionego Można wykonać kopię danych informatycznych zniszczyć po tym jak stanie się zbędna w postępowaniu. W określonych wypadkach organ ścigania może zażądać zabezpieczenia danych informatycznych Ustawa Prawo Telekomunikacyjne art. 165 ust.1:

31 W określonych wypadkach organ ścigania może zażądać zabezpieczenia danych informatycznych Ustawa Prawo Telekomunikacyjne art. 165 ust.1: Źródło : Gazeta Prawna

32 Zabezpieczanie materiału dowodowego Art k.p.k.: zachowanie szczególnej ostrożności w obchodzeniu się z przedmiotem, który podczas badania może ulec zniszczeniu lub zniekształceniu lub zniekształceniu Dwie kategorie czynności : Techniczne (realizujące art ) Procesowe Podstęp podczas uzyskiwania dowodów elektronicznych Udział biegłego / specjalisty

33 Jak zostać biegłym? Prawdziwi fachowcy Błędy popełniane przez biegłych

34 RFC3227 ACPO The Good Practice Guide for Computer Based Evidence ISO ISO Handbook of Legal Procedures of Computer and Network Misuse in EU Countries IAAC Załącznik2: Preservation of Evidence Individual Procedures

35 Good Practice Guide Association of Chief Police Officers(ACPO -UK): Żadne działanie nie może zmieniać danych na komputerze lub nośniku informacji, który może stanowić dowód wsądzie. Jeśli zaistnieje potrzeba dostępu do oryginalnych danych znajdujących się na komputerze lub nośniku informacji, to osoba uzyskująca dostęp musi mieć odpowiednie kompetencje i musi być w stanie wyjaśnić powody takiego działania. Zapis z wszystkich wykonywanych działań musi być utworzony i odpowiednio zabezpieczony przed modyfikacjami.

36 Ciekawe elementy: Zbieranie i zabezpieczanie danych i dokumentów Analiza zabranych danych i dokumentów Zabezpieczanie danych: (min. 2 kopie) Z dysków Z serwerów: poczty, plików, systemów FK itp. Z kopii zapasowych Chainof Custody Sprawdzone narzędzia Integralność danych Dokumentacja Transport Podstawowe zasady analizy danych

37 Po formalnym wszczęciu dochodzenia lub śledztwa (Art. 303 k.p.k.) W każdej sprawie, w wypadkach niecierpiących zwłoki w granicach koniecznych dla zabezpieczenia śladów i dowodów przestępstwa przed ich utratą, zniekształceniem lub zniszczeniem (art. 308 k.p.k.) Od przeprowadzającego oględziny wymagane jest właściwe zabezpieczenie i utrwalenie informacji

38 Protokoły: przeszukania sporządzany przez funkcjonariusza policji oględzin Do protokołu może być również dołączony dodatkowy materiał uzupełniający np. nagranie wideo

39 Czynności dokumentowane są za pomocą protokołów (patrz także Art ) Określenie przedmiotu oględzin Oznaczenie czasu, miejsca i osób uczestniczących w oględzinach Opis warunków w jakich dokonywane są oględziny Rozpoznanie sprzętu i nośników informacji Określenie rodzaju zabezpieczanego nośnika Ustalenie cech danego nośnika (np. typ, numer seryjny, pojemność) Opis wyglądu zewnętrznego nośnika (np. czy jest fabrycznie zapakowany, czy nie ma uszkodzeń mechanicznych) Ustalenie posiadanego, zainstalowanego oprogramowania (np. nazwa, wersja, numery seryjne, instrukcje, opisy, dowody legalności) Uzupełnienia, oświadczenia uczestników Wydane w toku czynności i zarządzenia Oznaczenie czasu zakończenia oględzin Podpisy uczestników

40 1. Typ obudowy, zasilania, 2. Zainstalowane napędy nośników wymiennych (dyskietka, CD-ROM, ZIP) oraz kieszenie na urządzenia pamięci masowych, 3. Podłączone urządzenia peryferyjne, 4. Rozpoznaną konfigurację (procesor, pamięć operacyjna, rodzaj magistrali, karty rozszerzeń), 5. Podłączenie do sieci komputerowej lub telekomunikacyjnej (także interfejsy Blue Tooth, Infrared, Wireless), 6. Rozpoznanie systemu (systemów) operacyjnych zainstalowanych na nośnikach rozruchowych, 7. Sprawdzenie konfiguracji, 8. Sporządzenie wykazu plików znajdujących się na nośnikach informacji wbudowanych w komputerze, generacja sum kontrolnych zabezpieczanych plików(nośnika), 9. Sporządzenie obrazu nośników lub skopiowanie zabezpieczonych plików, 10. Wynik porównania sum 11. Przekazanie nośników z zabezpieczonymi danymi, 12. Sposób zabezpieczenia do transportu zakwestionowanego sprzętu i nośników.

41

42 Gdzie, kiedy i przez kogo dowód został odkryty i znaleziony? Gdzie, kiedy i przez kogo dowód był przechowywany i badany? Kto opiekuje się dowodem? Kiedy i w jakich okolicznościach dowód zmienił opiekuna?

43

44

45 1. Wyznaczenie ekspertów i określenie i roli w zespole 2. Przygotowanie i sprawdzenie wyposażenia technicznego laboratorium. 3. Przygotowanie narzędzi (zarówno sprzętu jak i oprogramowania) oraz akcesoriów niezbędnych ekspertom w prowadzeniu działań na miejscu zdarzenia. 4. Zapoznanie się z dostępnymi informacjami przed przybyciem na miejsce zdarzenia i ich analiza 5. Zebranie potrzebnych dokumentów 6. Przygotowanie formularzy (patrz Art pkt3 i 6 k.p.k.) 7. Przygotowanie odpowiednich opakowań odpornych na zakłócenia elektrostatyczne 8. Sporządzenie szczegółowej dokumentacji zastanej sytuacji bezpośrednio po przybyciu na miejsce zdarzenia (min. wykonanie zdjęć pomieszczenia, nośników danych, wydruków komputerowych, opisanie przewodów podłączonych do komputera(ów) itp.) 9. Zabezpieczenie i udokumentowanie nośników potencjalnych śladów elektronicznych oraz zadbanie o właściwy ich transport do laboratorium 10. Analiza zabezpieczonych przedmiotów 11. Przygotowanie zabranego materiału do celów procesowych

46 Nośniki z danymi mogą zawierać dodatkowe materiały Czas rzeczywisty vs. BIOS

47 Komputer jest włączony: 1. Zapewnienie sobie obecności świadka 2. Protokół! 3. Zdjęcie ekranu 4. Zdjęcie otoczenia komputera 5. Wykonanie zrzutu pamięci na nośnik zewnętrzny 6. Wyłączenie komputera/odłączenie komputera od sieci 7. Wykonanie sumy kontrolnej dysku oryginału 8. Wykonanie kopii dysku 9. Wykonanie sumy kontrolnej dysku kopii 10.Zabezpieczenie dysku oryginalnego, przygotowanie do transportu

48 Komputer jest wyłączony 1. Nie włączać! 2. Wykonanie kopii dysków 3. Dalsza analiza w laboratorium

49 Czy to jest incydent? [**] IIS vti_infaccessattempt[**] 03/03-05:31: :4532 -> :80 TCP TTL:116 TOS:0x0 ID:6075 DF ***PA* Seq: 0x1CB6779 Ack: 0xB58F0491 Win: 0x217C Temu zdarzeniu odpowiada: [Wed Mar 3 05:31: ] [error] [client ] File does not exist: /usr/local/apache/htdocs/_vti_inf.html

50 Analiza nośnika danych Analiza sieci Analiza pamięci Analiza woluminów Analiza systemów plików Analiza baz danych Analiza przestrzeni wymiany (Swap) Analiza aplikacji Źródło: File System Forensic Analysis, Brian Carrier

51 Rozmiar nośnika Usunięcie zawartości: np. ddif=/dev/zero of=/dev/hdabs=8k conv=noerror,sync i sformatowanie Podział na partycje: (najlepiej pod Windowsem) sterownik EXT2 IFS for Windows NT/2K/XP/Vista

52 Każde działanie modyfikuje stan systemu. Wyłączenie zasilania -Zmienia stan systemu. Odłączenie od sieci -Zmienia stan systemu. Dokonanie archiwizacji -Zmienia stan systemu. Niezrobienie niczego również zmieni stan systemu...

53 Forensic Imaging: Wykonać dokładną kopię dysków zaraz po zajęciu komputera Zaleca się wyjęcie dysku/dysków Skopiowanie z innego komputera metodą software/hardware Zaleca się użycie urządzeń typu write-protect/write- blocker Problemy: RAID, notatki, obecność świadka, czas z BIOS

54 Fizyczny backup disk imaging Kopiowanie bit po bicie oryginalnego nośnika włączając: Wolną przestrzeń Slack space Typy kopiowania nośnik -> plik, nośnik -> nośnik Offline, online Sumy kontrolne Md5 / Sha1

55 Kolejność zabezpieczania danych (wg RFC 3227) Rejestry, bufory route, arp, procesy, statystyki jądra, pamięć Pliki tymczasowe Dysk Fizyczna konfiguracja, topologia sieci Archiwalne nośniki (np. backup)

56 Najprościej lokalnie: md5sum /dev/hdx > md5sum_hdx ddif=/dev/hdxof=image.hdxbs=512 conv=noerror,sync md5sum image.hdx > md5sum_image_hdx Najprościej zdalnie: nc l 6666 > kopia.dd dd if=/dev/hda1 bs=512 nc xxx.xxx.xxx.xxx 6666 w 3

57 Identyfikacja wszystkich plików: Lista znanych plików: National Software ReferenceLibrary(NSRL) Hash Keeper( Sortowanie plików Analiza plików (logiczne/carving): Odzyskiwanie Wyszukiwanie ciągów znaków Reverse engineering Analiza wolnej przestrzeni Analiza pamięci Historia operacji

58 W wielu sytuacjach konieczna jest obecność biegłego Kolejność przeprowadzanych kroków musi uwzględniać podatność śladów na zmiany Należy zachować logiczny ciąg działań, który zapobiegnie zniszczeniu śladów RFC 3327 (Guidelinesof EvidenceCollectionand Archiving) Chainof custody zachowanie związku pomiędzy materiałem dowodowym, a źródłowym

59

60

61 Notebook Write blocker(opcja) Dystrybucja Live CD Przelotki SATA,IDE, 2.5 Torebki antystatyczne Plomby Protokół

62

63

64 Kombajny: Darmowe: Pakiet TCT historia SleuthKit + Autopsy ProDiscover Basic Płatne: EnCase AccessData FTK X-Ways

65 Miejsca do odwiedzenia: File Utils CoreUtils modutils min. netstat arp min. dmesg Autopsy SleuthKit

66 Przydatne narzędzia - Linux: netcat dd date cat pcat insmod netstat, arp, route dmesg hunter.o md5sum..

67 Przydatne narzędzia Windows Windows Resource Kit Microsoft pulist Windows Security Resource Kit Microsoft np: Forensic Toolkit analiza NTFS Fport Forensis Acquisition Utilities dd nc psuptime psloggedon pslist listdlls psservice psinfo narzędzia z Linuksowe przeniesione do Windowsa np.env Rootkit Unhooker v3.8 Cmd.exe, ifconfig.exe, netstat.exe, nbtstat.exe, date.exe, time.exe, net.exe

68 Kopiowanie dysków: dd( dcfldd( Kopiowanie pamięci RAM Windows Mdd( Linux dd Analiza pamięci Volatility (

69 Ataki: Na prowadzącego postępowanie: Utrudnianie procedury Wzrost kosztów, strata czasu np. RAID Na dane: Manipulacja danymi: Ukrywanie (Slack space, przestrzeń niezaalokowana, steganografia, szyfrowanie) Niepozostawianie śladów Zacieranie śladów (modyfikacje plików, zamazywanie) Zaburzanie pracy narzędzi: Alternate Data Streams MD5 kolizje Manipulacje czasem