Ślad i dowód elektroniczny Przestępstwa komputerowe wykorzystanie

Podobne dokumenty
Typowe problemy w Computer Forensics

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

Agenda warsztatów z informatyki śledczej (5 dni)

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

Procesowe pozyskiwanie danych w sprawach cyberprzestępczości

Przegląd rodzajów ataków hackerskich

Rola informatyki śledczej w rozwiązywaniu zagadek kryminalistycznych. Autor: Bernadetta Stachura-Terlecka

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Partition Wizard Home Edition Aplikacja przeznaczona do partycjonowania dysków twardych, obsługująca również macierze RAID oraz dyski o pojemności

Live Forensics. II Ogólnopolska Konferencja Informatyki Śledczej. Przemysław Krejza, EnCE, ACE

ROZPORZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI

Aspekty prawne wykorzystania nowych technologii w celu bezprawnego skopiowania danych z kart płatniczych

Spis treści. O autorze 9. O recenzentach 10. Przedmowa 13. Rozdział 1. Oto Linux Mint 17_

KATEGORIA OBSZAR WIEDZY NR ZADANIA Podstawowe informacje i czynności

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Warszawa, dnia 2 października 2012 r. Poz. 1090

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2017 CZĘŚĆ PRAKTYCZNA

Systemy operacyjne semestr I

Postępowanie z dowodami cyfrowymi.

Warszawa, dnia 26 października 2015 r. Poz. 84 DECYZJA NR 331 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 22 października 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

PRZESTĘPCZOŚĆ KOMPUTEROWA. Wykład z 23 października 2014 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Kopia zapasowa i odzyskiwanie

Informatyka śledcza informacje wstępne organizacja zajęć

CENTRALNE ARCHIWUM WOJSKOWE im. mjr. Bolesława Waligóry. Brakowanie dokumentacji niearchiwalnej w jednostce organizacyjnej

Informatyka śledcza informacje wstępne organizacja zajęć

Narzędzia umożliwiające tworzenie scentralizowanej polityki prowadzenia backupów. Paweł Płoskonka IS2, P2

Narzędzia umożliwiające tworzenie scentralizowanej polityki prowadzenia backupów. Adrian Marczyk

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Systemy operacyjne - rozkład godzin dla technikum informatycznego

Zarządzanie partycjami

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Memeo Instant Backup Podręcznik Szybkiego Startu

Podręcznik komunikacji sieciowej Komputery Evo typu Desktop Stacje robocze Evo Stacje robocze Deskpro

Informatyka śledcza informacje wstępne organizacja zajęć

czyli jak porządkować swoje dane

Acronis Universal Restore

Warszawa, dnia 17 stycznia 2019 r. Poz. 15 DECYZJA NR 7 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 15 stycznia 2019 r.

Spis treści. Spis treści

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Usługa Outsourcing u IT

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Kopia zapasowa i odzyskiwanie

USB 3.0 DUAL SATA HDD STACJA DOKUJĄCA

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2019 CZĘŚĆ PRAKTYCZNA


Spis treści. Wykaz skrótów Wykaz literatury powoływanej zapisem skrótowym Od Autorów Wprowadzenie...

Volume Snapshot for Mac OS X. Podręcznik użytkownika

ZADANIE nr 4 Sprawdzian z informatyki

Podstawy Techniki Komputerowej. Temat: BIOS

Prawa autorskie cd. Prawa autorskie. Autorskie prawa majątkowe. Autorskie prawa osobiste

Bezpieczeństwo systemów i danych Kod przedmiotu

Informatyka Śledcza dowód elektroniczny. Przemysław Krejza, EnCE

Szkoła Podstawowa nr 2

Spis treści Rozdział I. Przestępstwa przeciwko mieniu. Zagadnienia ogólne 1. Wprowadzenie 2. Ujęcie historyczno-prawne 3. Ujęcie prawno-porównawcze

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

Szkolenie. Informatyka śledcza Pozyskiwanie i analiza elektronicznych dowodów przestępstw

Przestępczość komputerowa

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2017 CZĘŚĆ PRAKTYCZNA

Wpisany przez Łukasz Nawrotek Poniedziałek, 20 Październik :57 - Zmieniony Poniedziałek, 20 Październik :02

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

CENTRALNA KOMISJA EGZAMINACYJNA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Komenda Stołeczna Policji Warszawa ul.nowolipie2


Kopia zapasowa i odzyskiwanie Podręcznik użytkownika

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

Spis treści Rozdział I. Przestępstwa przeciwko mieniu. Zagadnienia ogólne 1. Wprowadzenie 2. Ujęcie historyczno-prawne 3. Ujęcie prawno-porównawcze

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Przestępczość komputerowa

Sektor. Systemy Operacyjne

Zbieranie podstawowych śladów działalności.

OPROGRAMOWANIE UŻYTKOWE

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

POLITYKA BEZPIECZEŃSTWA DANYCH

Ochrona Danych Osobowych

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych.

Archiwizowanie nagrań i naprawa bazy danych

Narzędzia Informatyki Śledczej

Odpowiedzialność karna za przestępstwa komputerowe

KURSY I SZKOLENIA REALIZOWANE W RAMACH PROJEKTU:

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Reakcja na zauwaŝone zagroŝenia dzieci w Internecie. mł. insp dr inŝ. Jerzy Kosiński WyŜsza Szkoła Policji w Szczytnie

Transkrypt:

Ślad i dowód elektroniczny Przestępstwa komputerowe wykorzystanie informatyki śledczej Zasady zabezpieczania dowodów elektronicznych Etapy zabezpieczania dowodów elektronicznych Narzędzia i oprogramowanie

Pogranicze kryminalistyki i informatyki Definicja? Poszukiwanie, identyfikacja, zabezpieczanie oraz analiza informacji w postaci elektronicznej ukierunkowane na odnalezienie śladów szeroko rozumianych nadużyć zebrany w spójny materiał dowodowy.

Odkrycie prawdy Odnalezienie dowodów nadużyć lub przestępstw Analiza Prezentacja materiału dowodowego poprzez: Odtworzenie przebiegu zdarzeń Przywrócenie danych usuniętych lub ukrytych

Każdy, kto pojawia się na miejscu Każdy, kto pojawia się na miejscu przestępstwa pozostawia jakiś ślad jednocześnie zabierając ze sobą inny.

Nie każda informacja jest dowodem Nie każdy ślad elektroniczny jest dowodem elektronicznym Ślad elektroniczny to każda informacja w postaci cyfrowej (zerojedynkowej). Dowodem stanie się wówczas, gdy nieść będzie treści przydatne z punktu widzenia danej sprawy.

Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Poszlaki Zasada swobodnej oceny dowodów

Podstawa: Kodeks Karny Ustawa z dn. 6 VI 1997 (Dz.U. z 1997 r., Nr 88, poz. 553 wraz z późniejszymi zmianami). Kodeks Postępowania Karnego Ustawa z dn. 6 VI 1997 (Dz.U. z 1997 r. Postanowienia Rady Europy Conventionon Cybercrime, Traktat Europejski nr 185, Budapeszt 23.11.2001 Dodatkowo: Ustawa Prawo Telekomunikacyjne Ustawa o prawie autorskim i prawach pokrewnych Ustawa o ochronie danych osobowych Ustawa o ochronie konkurencji i konsumentów Kodeks postępowania administracyjnego

Wierność Autentyczność Obiektywność Kompletność 5 Przystępność

dane tekstowe (wiadomości e-mail) dane numeryczne (informujące o zawartości konta bankowego) graficzne (zdjęcia, rysunki, schematy) dźwiękowe (zapis rozmowy) wizualno-dźwiękowe (zapis kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego zawartość (wraz z metadanymi) dane przechowywane w archiwach logi dane pochodzące z podsłuchu informacje odzyskane

Środek dowodowy Źródło dowodowe

Ze względu na trwałość: trwałe( np. dyski twarde, dyskietki, pamięci USB) nietrwałe(np. pamięć operacyjna) Ze względu na źródło: pochodzące bezpośrednio z systemu informatycznego na miejscu zdarzenia pochodzące z systemów informatycznych poza miejscem zdarzenia (np. na komputerze sprawcy; pomiędzy napastnikiem, a systemem docelowym; na routerach, będące rezultatem działania aplikacji ostrzegających - wpisy w logach systemów wykrywania włamań IDS, IPS, ścian ogniowych(firewalls) itp.); pochodzące spoza systemu informatycznego (np. płyta leżąca w pobliżu komputera, zewnętrzny napęd dysków, palmtop itp.) Ze względu na czynnik wolicjonalny: pozostawione przez intruza świadomie(np. rootkity, tylne furtki itp.) pozostawione przez intruza nieświadomie (np. nie usunięcie historii wykonywanych poleceń)

Hacking art. 267 1 k.k. Przełamanie zabezpieczeń oraz Uzyskanie dostępu do informacji Np. SQL Injection Grzywna, ograniczenie wolności, 2 lata Podsłuch komputerowy -art. 267 2 k.k. Urządzenie podsłuchowe Uzyskanie dostępu do informacji Np. sniffing, emisja ujawniająca Kara jak wyżej

Art.267 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Karalność Google Hacking?

Nielegalne uzyskanie programu komputerowego art. 278 2 k.k. Cel: przywłaszczenie lub osiągniecie korzyści majątkowej Np. kradzież, zwielokratnianie Od 3 m-cydo 5 lat / grzywna; ograniczenie wolności; do roku Paserstwo programu komputerowego art. 293 1 k.k. Nabycie, przyjęcie na przechowanie, pomoc przy zdobyciu lub ukryciu Np. umyślne P2P, nieumyślne np. FTP Od 3 m-cydo 5 lat / ograniczenie wolności; do roku / grzywna; ograniczenie wolności; do 2 lat.

Pornografia dziecięca art. 202 2, 4, 4a k.k. Prezentowanie małoletniemu (<15 lat): Grzywna; pozbawienie wolności; do 2 lat Produkcja, utrwalanie (w celu rozpowszechniania), sprowadzanie, przechowywanie, posiadanie, rozpowszechnianie Od 6 m-cydo 8 lat Utrwalanie (< 15 lat): Od roku do 10 lat Posiadanie przechowywanie (< 15 lat): Od 3 m-cydo 5 lat

Niszczenie danych art. 268 2 k.k. Niszczenie, usuwanie, uszkadzanie, zmiana istotnych informacji Np. konie trojańskie, rootkity, MITM, spoofing Do 3 lat (znaczna szkoda do 5 lat) Skimming art. 310 1 k.k. Podrabianie środków płatniczych, puszczanie w obieg Od 5 do 25 lat! / od 1 roku do 10 lat / przygotowania od 3 m-cydo 5 lat.

art. 269b 1: Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwaokreślonego w art. 165 1 pkt4, art. 267 3, art. 268a 1 albo 2 w związku z 1, art. 269 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. Karalność testów penetracyjnych?

Oszustwo komputerowe art. 287 1 k.k. Cel: osiągnięcie korzyści majątkowej Wpływanie na przetwarzanie, gromadzenie, przesyłanie informacji Np. phishing Do 5 lat Fałszerstwo komputerowe art. 270 1 k.k. Przerabianie, podrabianie dokumentów (nośników informacji elektronicznej) Grzywna; ograniczenie wolności; od 3 m-cydo 5 lat / przygotowania j.w do 2 lat.

Oszustwo telekomunikacyjne art. 268 2 k.k. Kradzież karty bankomatowej art. 278 5 k.k. Sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo mienia w znacznych rozmiarach art. 165 1 ust. 4 Nieumyślne zakłócenie automatycznego przetwarzania informacji związane za sprowadzeniem niebezpieczeństwa powszechnego art. 165 2 k.k. Zamach terrorystyczny na statek morski lub powietrzny art. 167 2 k.k.

Szpiegostwo komputerowe albo wywiad komputerowy art. 130 2 i 3 k.k. Szpiegostwo albo wywiad komputerowy na szkodę państwa sojuszniczego art. 138 2 k.k.

Identyfikacja źródła Zabezpieczenie śladów Analiza śladów Przedstawienie wyników analizy Wszystkie czynności muszą być przeprowadzone zgodnie z obowiązującymi standardami. W przeciwnym razie nie będą dopuszczone w sądzie jako materiał dowodowy.

Pozbycie się osób, które nie powinny znajdować się na miejscu zdarzenia Dokumentowanie Oznaczanie

Kodeks postępowania karnego: Art. 218 zebranie danych Art. 218a zabezpieczenie danych Art. 236a zatrzymanie i przeszukanie. Stanowi on, że przepisy o przeszukaniu i zatrzymaniu rzeczy stosuje się odpowiednio do dysponenta i użytkownika systemu informatycznego, w zakresie danych przechowywanych w tym systemie lub na nośnikach znajdujących się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej pocztą elektroniczną. Art. 237 i242 podsłuch tylko dla niektórych przestępstw Kodeks postępowania cywilnego Art. 310-315 zabezpieczenie dowodów

Ustawa o ochronie konkurencji i konsumentów Art. 57, 58, 66 zabezpieczenie dowodów Ustawa o prawach autorskich art. 80 zabezpieczenie dowodów Przepadek na rzecz SP bezprawnie wytworzonych utworów Może nastąpić przepadek na rzecz SP przedmiotów służących do wytworzenia utworów / przekazanie przedmiotów poszkodowanemu na poczet odszkodowania Postępowanie administracyjne Art. 75, 77 i 78

Jeżeli nośnik nie jest dowodem rzeczowym nie należy go zatrzymywać, ale zwrócić osobie uprawnionej -chyba, że występują przesłanki orzeczenia przepadku dowodu np. Narzędzie popełnienia czynu zabronionego Można wykonać kopię danych informatycznych zniszczyć po tym jak stanie się zbędna w postępowaniu. W określonych wypadkach organ ścigania może zażądać zabezpieczenia danych informatycznych Ustawa Prawo Telekomunikacyjne art. 165 ust.1:

W określonych wypadkach organ ścigania może zażądać zabezpieczenia danych informatycznych Ustawa Prawo Telekomunikacyjne art. 165 ust.1: Źródło : Gazeta Prawna

Zabezpieczanie materiału dowodowego Art. 207 2 k.p.k.: zachowanie szczególnej ostrożności w obchodzeniu się z przedmiotem, który podczas badania może ulec zniszczeniu lub zniekształceniu lub zniekształceniu Dwie kategorie czynności : Techniczne (realizujące art. 207 2) Procesowe Podstęp podczas uzyskiwania dowodów elektronicznych Udział biegłego / specjalisty

Jak zostać biegłym? Prawdziwi fachowcy Błędy popełniane przez biegłych

RFC3227 ACPO The Good Practice Guide for Computer Based Evidence ISO 27001 ISO 17799 Handbook of Legal Procedures of Computer and Network Misuse in EU Countries IAAC Załącznik2: Preservation of Evidence Individual Procedures

Good Practice Guide Association of Chief Police Officers(ACPO -UK): Żadne działanie nie może zmieniać danych na komputerze lub nośniku informacji, który może stanowić dowód wsądzie. Jeśli zaistnieje potrzeba dostępu do oryginalnych danych znajdujących się na komputerze lub nośniku informacji, to osoba uzyskująca dostęp musi mieć odpowiednie kompetencje i musi być w stanie wyjaśnić powody takiego działania. Zapis z wszystkich wykonywanych działań musi być utworzony i odpowiednio zabezpieczony przed modyfikacjami.

Ciekawe elementy: Zbieranie i zabezpieczanie danych i dokumentów Analiza zabranych danych i dokumentów Zabezpieczanie danych: (min. 2 kopie) Z dysków Z serwerów: poczty, plików, systemów FK itp. Z kopii zapasowych Chainof Custody Sprawdzone narzędzia Integralność danych Dokumentacja Transport Podstawowe zasady analizy danych www.thesedonaconference.org

Po formalnym wszczęciu dochodzenia lub śledztwa (Art. 303 k.p.k.) W każdej sprawie, w wypadkach niecierpiących zwłoki w granicach koniecznych dla zabezpieczenia śladów i dowodów przestępstwa przed ich utratą, zniekształceniem lub zniszczeniem (art. 308 k.p.k.) Od przeprowadzającego oględziny wymagane jest właściwe zabezpieczenie i utrwalenie informacji

Protokoły: przeszukania sporządzany przez funkcjonariusza policji oględzin Do protokołu może być również dołączony dodatkowy materiał uzupełniający np. nagranie wideo

Czynności dokumentowane są za pomocą protokołów (patrz także Art. 148 1) Określenie przedmiotu oględzin Oznaczenie czasu, miejsca i osób uczestniczących w oględzinach Opis warunków w jakich dokonywane są oględziny Rozpoznanie sprzętu i nośników informacji Określenie rodzaju zabezpieczanego nośnika Ustalenie cech danego nośnika (np. typ, numer seryjny, pojemność) Opis wyglądu zewnętrznego nośnika (np. czy jest fabrycznie zapakowany, czy nie ma uszkodzeń mechanicznych) Ustalenie posiadanego, zainstalowanego oprogramowania (np. nazwa, wersja, numery seryjne, instrukcje, opisy, dowody legalności) Uzupełnienia, oświadczenia uczestników Wydane w toku czynności i zarządzenia Oznaczenie czasu zakończenia oględzin Podpisy uczestników

1. Typ obudowy, zasilania, 2. Zainstalowane napędy nośników wymiennych (dyskietka, CD-ROM, ZIP) oraz kieszenie na urządzenia pamięci masowych, 3. Podłączone urządzenia peryferyjne, 4. Rozpoznaną konfigurację (procesor, pamięć operacyjna, rodzaj magistrali, karty rozszerzeń), 5. Podłączenie do sieci komputerowej lub telekomunikacyjnej (także interfejsy Blue Tooth, Infrared, Wireless), 6. Rozpoznanie systemu (systemów) operacyjnych zainstalowanych na nośnikach rozruchowych, 7. Sprawdzenie konfiguracji, 8. Sporządzenie wykazu plików znajdujących się na nośnikach informacji wbudowanych w komputerze, generacja sum kontrolnych zabezpieczanych plików(nośnika), 9. Sporządzenie obrazu nośników lub skopiowanie zabezpieczonych plików, 10. Wynik porównania sum 11. Przekazanie nośników z zabezpieczonymi danymi, 12. Sposób zabezpieczenia do transportu zakwestionowanego sprzętu i nośników.

Gdzie, kiedy i przez kogo dowód został odkryty i znaleziony? Gdzie, kiedy i przez kogo dowód był przechowywany i badany? Kto opiekuje się dowodem? Kiedy i w jakich okolicznościach dowód zmienił opiekuna?

1. Wyznaczenie ekspertów i określenie i roli w zespole 2. Przygotowanie i sprawdzenie wyposażenia technicznego laboratorium. 3. Przygotowanie narzędzi (zarówno sprzętu jak i oprogramowania) oraz akcesoriów niezbędnych ekspertom w prowadzeniu działań na miejscu zdarzenia. 4. Zapoznanie się z dostępnymi informacjami przed przybyciem na miejsce zdarzenia i ich analiza 5. Zebranie potrzebnych dokumentów 6. Przygotowanie formularzy (patrz Art. 143 1 pkt3 i 6 k.p.k.) 7. Przygotowanie odpowiednich opakowań odpornych na zakłócenia elektrostatyczne 8. Sporządzenie szczegółowej dokumentacji zastanej sytuacji bezpośrednio po przybyciu na miejsce zdarzenia (min. wykonanie zdjęć pomieszczenia, nośników danych, wydruków komputerowych, opisanie przewodów podłączonych do komputera(ów) itp.) 9. Zabezpieczenie i udokumentowanie nośników potencjalnych śladów elektronicznych oraz zadbanie o właściwy ich transport do laboratorium 10. Analiza zabezpieczonych przedmiotów 11. Przygotowanie zabranego materiału do celów procesowych

Nośniki z danymi mogą zawierać dodatkowe materiały Czas rzeczywisty vs. BIOS

Komputer jest włączony: 1. Zapewnienie sobie obecności świadka 2. Protokół! 3. Zdjęcie ekranu 4. Zdjęcie otoczenia komputera 5. Wykonanie zrzutu pamięci na nośnik zewnętrzny 6. Wyłączenie komputera/odłączenie komputera od sieci 7. Wykonanie sumy kontrolnej dysku oryginału 8. Wykonanie kopii dysku 9. Wykonanie sumy kontrolnej dysku kopii 10.Zabezpieczenie dysku oryginalnego, przygotowanie do transportu

Komputer jest wyłączony 1. Nie włączać! 2. Wykonanie kopii dysków 3. Dalsza analiza w laboratorium

Czy to jest incydent? [**] IIS vti_infaccessattempt[**] 03/03-05:31:13.833282 68.123.93.33:4532 -> 192.168.1.1:80 TCP TTL:116 TOS:0x0 ID:6075 DF ***PA* Seq: 0x1CB6779 Ack: 0xB58F0491 Win: 0x217C Temu zdarzeniu odpowiada: [Wed Mar 3 05:31:13 2003] [error] [client 68.123.93.33] File does not exist: /usr/local/apache/htdocs/_vti_inf.html

Analiza nośnika danych Analiza sieci Analiza pamięci Analiza woluminów Analiza systemów plików Analiza baz danych Analiza przestrzeni wymiany (Swap) Analiza aplikacji Źródło: File System Forensic Analysis, Brian Carrier

Rozmiar nośnika Usunięcie zawartości: np. ddif=/dev/zero of=/dev/hdabs=8k conv=noerror,sync i sformatowanie Podział na partycje: (najlepiej pod Windowsem) sterownik EXT2 IFS for Windows NT/2K/XP/Vista

Każde działanie modyfikuje stan systemu. Wyłączenie zasilania -Zmienia stan systemu. Odłączenie od sieci -Zmienia stan systemu. Dokonanie archiwizacji -Zmienia stan systemu. Niezrobienie niczego również zmieni stan systemu...

Forensic Imaging: Wykonać dokładną kopię dysków zaraz po zajęciu komputera Zaleca się wyjęcie dysku/dysków Skopiowanie z innego komputera metodą software/hardware Zaleca się użycie urządzeń typu write-protect/write- blocker Problemy: RAID, notatki, obecność świadka, czas z BIOS

Fizyczny backup disk imaging Kopiowanie bit po bicie oryginalnego nośnika włączając: Wolną przestrzeń Slack space Typy kopiowania nośnik -> plik, nośnik -> nośnik Offline, online Sumy kontrolne Md5 / Sha1

Kolejność zabezpieczania danych (wg RFC 3227) Rejestry, bufory route, arp, procesy, statystyki jądra, pamięć Pliki tymczasowe Dysk Fizyczna konfiguracja, topologia sieci Archiwalne nośniki (np. backup)

Najprościej lokalnie: md5sum /dev/hdx > md5sum_hdx ddif=/dev/hdxof=image.hdxbs=512 conv=noerror,sync md5sum image.hdx > md5sum_image_hdx Najprościej zdalnie: nc l 6666 > kopia.dd dd if=/dev/hda1 bs=512 nc xxx.xxx.xxx.xxx 6666 w 3

Identyfikacja wszystkich plików: Lista znanych plików: National Software ReferenceLibrary(NSRL) http://www.nsrl.nist.gov/downloads.htm Hash Keeper(www.hashkeeper.org) Sortowanie plików Analiza plików (logiczne/carving): Odzyskiwanie Wyszukiwanie ciągów znaków Reverse engineering Analiza wolnej przestrzeni Analiza pamięci Historia operacji

W wielu sytuacjach konieczna jest obecność biegłego Kolejność przeprowadzanych kroków musi uwzględniać podatność śladów na zmiany Należy zachować logiczny ciąg działań, który zapobiegnie zniszczeniu śladów RFC 3327 (Guidelinesof EvidenceCollectionand Archiving) Chainof custody zachowanie związku pomiędzy materiałem dowodowym, a źródłowym

Notebook Write blocker(opcja) Dystrybucja Live CD Przelotki SATA,IDE, 2.5 Torebki antystatyczne Plomby Protokół

Kombajny: Darmowe: Pakiet TCT historia SleuthKit + Autopsy ProDiscover Basic Płatne: EnCase AccessData FTK X-Ways

Miejsca do odwiedzenia: www.gnu.org File Utils CoreUtils http://www.porcupine.org/forensics/tct.html www.kernel.org modutils http://freshmeat.net/projects/net-tools min. netstat arp http://ftp.cwi.nl/aeb/util-linux/ min. dmesg www.phrack.org www.sleuthkit.org Autopsy SleuthKit

Przydatne narzędzia - Linux: netcat dd date cat pcat insmod netstat, arp, route dmesg hunter.o md5sum..

Przydatne narzędzia Windows Windows Resource Kit Microsoft pulist Windows Security Resource Kit Microsoft www.foundstone.com np: Forensic Toolkit analiza NTFS Fport http://www.gmgsystemsinc.com/fau/ Forensis Acquisition Utilities dd nc http://www.microsoft.com/sysinternals: psuptime psloggedon pslist listdlls psservice psinfo http://unxutils.sourceforge.net: narzędzia z Linuksowe przeniesione do Windowsa np.env www.rootkit.com- Rootkit Unhooker v3.8 http://ntsecurity.nu/toolbox/ Cmd.exe, ifconfig.exe, netstat.exe, nbtstat.exe, date.exe, time.exe, net.exe

Kopiowanie dysków: dd(http://www.gnu.org/software/coreutils/) dcfldd(http://dcfldd.sourceforge.net/) Kopiowanie pamięci RAM Windows Mdd(http://www.mantech.com/msma/MDD.asp) Linux dd Analiza pamięci Volatility (https://www.volatilesystems.com/default/volatility)

Ataki: Na prowadzącego postępowanie: Utrudnianie procedury Wzrost kosztów, strata czasu np. RAID Na dane: Manipulacja danymi: Ukrywanie (Slack space, przestrzeń niezaalokowana, steganografia, szyfrowanie) Niepozostawianie śladów Zacieranie śladów (modyfikacje plików, zamazywanie) Zaburzanie pracy narzędzi: Alternate Data Streams MD5 kolizje Manipulacje czasem

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres