Informatyka śledcza: pozyskiwanie dowodów w systemach IT

Transkrypt

1 : pozyskiwanie dowodów w systemach IT mgr inż. Zespół Bezpieczeństwa Informacji Wrocławskie Centrum Sieciowo-Superkomputerowe Politechnika Wrocławska

2 : pozyskiwanie dowodów w systemach IT Agenda: 1. Krótko o ZBI WCSS 2. Wprowadzenie 3. Procesy w informatyce śledczej 4. Kilka ciekawych przypadków 5. Problemy informatyki śledczej 6. Przyszłość informatyki śledczej 7. Pytania, dyskusja Zespół Bezpieczeństwa Informacji Wrocławskie Centrum Sieciowo-Superkomputerowe

3 Zajmuje się głównie analizą danych (informacji), które można uzyskać z systemów informatycznych (komputerowych).

4 Bezpieczeństwo IT - Model CIA: Confidentiality Poufność Integrity Spójność, integralność Availability Dostępność Authenticity Non-repundiation Autentyczność Niezaprzeczalność

5

6

7

8 malware (wirusy, trojany, robaki, ransomy, keyloggery...) zasady dostępu i ich łamanie ataki na struktury i użytkowników ( ślepe i celowane) nielegalne treści (w tym m.in. pirackie dane) inne materiały (audiowizualne) fraudy finansowe, oszustwa internetowe

9 Procesy: 1. Detekcja i rozpoznanie incydentu 2. Pozyskanie materiałów dowodowych 3. Zabezpieczenie materiałów dowodowych 4. Analizy materiałów dowodowych 5. Raporty, opinie, opisy 6. Zabezpieczenie raportów, archiwizacja

10 1. Detekcja i rozpoznanie incydentu Rozpoznanie incydentu najczęściej incydenty wykrywa się po określonym (długim) czasie. Często detekcja incydentu następuje kilka miesięcy po faktycznym jego wystąpieniu. Proces detekcji i rozpoznania opiera się na zewnętrznych sygnałach świadczących o wystąpieniu incydentu (np. podmiana treści, wpisanie na listy RBL, oszukany klient, nieautoryzowane przelewy itd.) W detekcji i rozpoznaniu incydentu dużą rolę odgrywają zastosowane systemy zabezpieczeń i monitoringu. Jednak systemy te nie są w stanie wychwycić wszystkich incydentów występujących w strukturze.

11 2. Pozyskanie materiałów dowodowych Materiały dowodowe są to dane pochodzące z różnych źródeł: komputerów, telefonów, urządzeń sieciowych, serwerów, jak również innych urządzeń zapisujących dane. Z punktu widzenia wartości dowodowej proces ten powinien być przeprowadzony w sposób zapewniający autentyczność i spójność pozyskanych informacji. Wszelkie uzyskane dane powinny zostać skopiowane i zabezpieczone; analiz dokonuje się na kopiach danych (1:1), nigdy na materiale źródłowym, gdyż może on w trakcie badań zostać naruszony.

12 2. Pozyskanie materiałów dowodowych Źródła: dyski twarde (HD i SDD) komputerów i serwerów pamięci pendrive, USB, flash, karty SD dyski CD, DVD, BR pamięć NAND, NVRAM, on-chip: µc, µp Zalecane jest wykonanie kilku kopii do późniejszych analiz.

13 2. Pozyskanie materiałów dowodowych Źródła:

14 2. Pozyskanie materiałów dowodowych Materiał powinien być autentyczny, spójny, zgodny z oryginałem oraz odpowiednio zabezpieczony. Pozyskuje się tzw. obrazy (images) dysków, chipów pamięci, kart itd. najczęściej w postaci pojedynczego pliku. W systemach Linux/Unix do tego celu może służyć polecenie dd (duplicate disk), które zapewnia kopię 1:1 (lub bit-to-bit). Zwykły proces kopiowania plików nie zapewnia spójności danych (nie są kopiowane wszystkie informacje) Wszelkie źródła podłącza się (montuje) w trybie tylko do odczytu (read-only) co pozwoli zapewnić nienaruszalność danych źródłowych. W procesach informatyki śledczej obrazy danych stanowią podstawę do dalszych analiz.

15 2. Pozyskanie materiałów dowodowych Źródłem danych mogą być również urządzenia dodatkowe, które potrafią zapisać dane w postaci cyfrowej, bądź analogowej. Termometry cyfrowe z pamięcią, czujniki ciśnienia i gazu zapisujące stany w pamięci, zapisy z kamer CCTV, czujników ruchu, oświetlenia, a nawet automatycznych włączników. Jeśli jakieś urządzenie jest zdolne do okresowego zapisywania swojego stanu może stanowić źródło materiału dowodowego (danych do analiz) Obecnie większość urządzeń wyposażonych jest w systemy procesorowe, które do działania wymagają różnego rodzaju pamięci.

16 2. Pozyskanie materiałów dowodowych Dane podstawowe: treści i informacje bezpośrednio będące dowodem (fotografie, nagrania audio, filmy, dokumenty, prezentacje) Dane dodatkowe: informacje dodatkowe będące pośrednim dowodem w tym logi (zapisy stanu) urządzeń, metadane, pamięci tymczasowe (cache) itd. Dane odzyskane: skasowane/usunięte pliki i ich fragmenty

17 2. Pozyskanie materiałów dowodowych Proces pozyskiwania materiałów dowodowych powinien być przeprowadzony w sposób zapewniający podstawowe parametry bezpieczeństwa IT: Poufność: dostępny tylko dla upoważnionych Integralność: spójność i kompletność zgromadzonych informacji Autentyczność: pochodzić z odpowiednio zdefiniowanych źródeł Dostępność: do analiz Dane do analiz nie mogą podlegać żadnym zmianom, kompresji stratnej itd.

18 3. Zabezpieczenie materiałów dowodowych Dane podlegające analizie powinno się zabezpieczyć poprzez wykonanie kopii oraz dodatkowo przez dodatkowy parametr: sumę kontrolną lub tzw. hash i podpis. Hash (message digest) zapewnia o autentyczności i integralności (spójności) Podpis zapewnia o autentyczności i niezaprzeczalności. Dla obrazów danych generuje się hashe i podpisy, można skorzystać z gotowych rozwiązań. Hash: SHA-1, MD5 (podatne na ataki kolizji) Podpis: PGP

19 3. Zabezpieczenie materiałów dowodowych W celu zapewnienia odporności na ataki kolizji powinno się stosować dwa lub trzy hashe (md5, sha-1) wraz z tzw. przyprawą, lub solą (salt). Dodatkowo dane mogą zostać zaszyfrowane (za pomocą klucza), co zapewni ich poufność. Zaleca się szyfrowanie kluczami asymetrycznymi. Dane powinny zostać skopiowane (1:1) co najmniej dwukrotnie. Oryginalna kopia odpowiednio zabezpieczona (zaszyfrowana, podpisana) i przechowywana w bezpieczny sposób. Obecnie nie zaleca się przechowywania danych na nośnikach CD/DVD. Dane takie mogą zostać składowane na dyskach magnetycznych. Dyski SSD ze względu na specyfikę zapisu nie mogą zapewnić integralności danych, gdyż nie można wygenerować właściwych hashy.

20 3. Zabezpieczenie materiałów dowodowych Dostęp do danych powinny mieć jedynie odpowiednie osoby prowadzące badania. Dane nie mogą być w trakcie analizy zmieniane, przekształcane (chyba, że wymaga tego procedura rozpakowywania, czy reverseengineeringu) i uzupełniane o dodatkowe informacje. Wszelkie informacje o materiale źródłowym przechowuje się na osobnych nośnikach. Zabezpiecza się nie tylko dane wejściowe, ale również informacje, które udało się wyekstraktować. Ponieważ stanowią wartość dowodową, muszą podlegać odpowiedniej ochronie.

21 4. Analizy materiałów dowodowych Analizy dokonuje się na 3 płaszczyznach: - charakterystyka danych wejściowych (w tym wielkość, czas utworzenia itd.) - zawartość danych (tekst, obrazy, filmy, audio) - metadane (informacje zawarte w plikach, pamięci podręcznej itd.) Parametry pliku: - nazwa pliku - rozszerzenie - typ pliku (tekst, obraz, binarny, audio, video, arkusz, prezentacja itd.) - czas utworzenia - czas modyfikacji - identyfikator właściciela pliku - identyfikator grupy - inne dodatkowe parametry

22 4. Analizy materiałów dowodowych Procesy: - rozpoznanie typu pliku - ekstrakcja danych: treści, obrazów, metadanych - dekompresja (w przypadku plików spakowanych) - określenie zakresu dostępnych informacji ze źródła - porównywanie zawartości, znajdowanie różnic

23 4. Analizy materiałów dowodowych Efektem analiz materiałów są kolejne dane, które należy w odpowiedni sposób chronić. Stosuje się podobne zasady: podpisywanie, hash, sumy kontrolne itd.

24 6. Zapis raportów, archiwizacja Raporty powinny być odpowiednio zabezpieczone i zarchiwizowane. Powinno sporządzić się kilka kopii raportów oraz zabezpieczyć je przez podpisanie i hashowanie, w razie konieczności (jeśli zawierają dane chronione) zaszyfrowane. Raporty te mogą stanowić materiał do następnych (kolejnych) badań tego samego, lub innego przypadku.

25 Kilka nudnych oraz kilka ciekawych przypadków.

26 File Name : IMAG1832.jpg Directory :. File Size : 1604 kb File Modification Date/Time : 2014:11:11 09:44:40+01:00 File Access Date/Time : 2016:03:29 20:33:00+02:00 File Inode Change Date/Time : 2014:11:11 09:44:40+01:00 File Permissions : rwxr----file Type : JPEG MIME Type : image/jpeg Exif Byte Order : Big-endian (Motorola, MM) Make : HTC Camera Model Name : HTC One S X Resolution : 72 Y Resolution : 72 Resolution Unit : inches Y Cb Cr Positioning : Centered Exposure Time : 1/20 ISO : 236 Exif Version : 0220 Date/Time Original : 2014:10:11 18:44:17 Create Date : 2014:10:11 18:44:17 Components Configuration : Y, Cb, Cr, Aperture Value : 2.0 Exposure Compensation :0 Metering Mode : Center-weighted average Flash : No Flash Focal Length : 3.6 mm Flashpix Version : 0100 Color Space : srgb Metadane EXIF Exif Image Width : 3264 Exif Image Height : 1840 Interoperability Index : R98 DCF basic file (srgb) Interoperability Version : 0100 Compression : JPEG (old-style) Thumbnail Offset : 722 Thumbnail Length : Image Width : 3264 Image Height : 1840 Encoding Process : Baseline DCT, Huffman coding Bits Per Sample :8 Color Components :3 Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2) Aperture : 2.0 Image Size : 3264x1840 Shutter Speed : 1/20 Thumbnail Image : (Binary data bytes, use -b option to extract) Focal Length : 3.6 mm Light Value : 5.1

27 zapisy logów zawartość pamięci podręcznej (cache) przeglądarek zapisy zdarzeń (eventów) zawartość katalogów tymczasowych (tmp, temp) Analiza metadanych audio i video (ekstrakcja parametrów) Analizy danych streamowych (dysk CCTV bez tablicy partycji) Śledzenie działań w internecie (charakterystyki)

28

29

30 Analiza nagłówków wiadomości Analiza źródła (adresy IP - skąd) Analiza pól adresata Format wiadomości (txt, html) Załączniki (uruchamialne, spakowane, dokumenty) Analiza załączników i ich zawartości (malware) Analiza odnośników (hyperlinków) w wiadomości

31 Wyłudzanie Płatne serwisy SMS Przejęcie konta Metoda na przyjaciela z FB Analiza przypadków: określenie źródła, sposobu uzyskania dostępu, celu ataku, oczekiwanych skutków ataku.

32 Problemy informatyki śledczej Dostęp do systemów Niestandardowe systemy zapisu danych Zaszyfrowane (zakodowane) dane Dane usuwane, kasowane, nadpisywane, czyszczone Korzystanie z sieci wirtualnych (VPN) szyfrowane połączenia Systemy cebulowe TOR Onion Anonimizery, filtry prywatności Ochrona prywatności, ingerencja monitoringu Zakres dostępu do danych (w tym osobowych) Dostęp do haseł użytkowników Kwestie łamania zabezpieczeń (hasła, klucze, algorytmy)

33 Problemy informatyki śledczej ilość danych (systemy, IOT, monitoring, rejestracja,logi) możliwości (szybkość) przetwarzania informacji kwestia gromadzenia i archiwizacji stosowane algorytmy kryptograficzne ilość danych śmieciowych (trash-data)

34 Przyszłość informatyki śledczej? Cyberprzestępczość? botnety i struktury? Analizy behawioralne (zachowań sieci)? Algorytmy sztucznej inteligencji?

35 Dziękuję za uwagę Zespół Bezpieczeństwa Informacji WCSS Politechnika Wrocławska tel. (071)

36 Zapraszamy na kolejne spotkanie Inicjatywy IATI 28 kwietnia br