Patryk Królikowski
Typowe problemy w Computer Forensics Nietechniczne Techniczne Dobre praktyki Kilka przykładów
Szantaż Jana K. z Krakowa Szantażysta z Belgii Zabezpieczono: tradycyjny materiał dowody 2 komputery podejrzanego (jeden zaszyfrowany) + 1 serwer Złożono wniosek do polskiego operatora Trop prowadzi do grupy szantażystów z Kamerunu
Międzynarodowa pomoc prawna Droga do otrzymania właściwego materiału Szyfrowanie Serwer być może RAID Błędy podczas zabezpieczenia
Nieznajomość krajowych regulacji prawnych: Kodeks postępowania karnego: art. 218, 218a, 218b, 236a, 237, 241, 242 etc Kodeks postępowania cywilnego: Art. 310-315 zabezpieczanie dowodów Ustawa o ochronie konkurencji i konsumentów Art. 66, 67 zabezpieczenie dowodów Ustawa o prawie autorskim i prawach pokrewnych art. 80 zabezpieczenie dowodów Kodeks postępowania administracyjnego Rozdział 4 dowody
Nieznajomość międzynarodowych regulacji prawnych np. : Konwencja o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej
Łamanie kardynalnych zasad zabezpieczania materiału: Usunięcie osób postronnych Dokumentacja prowadzonych czynności Właściwe oznaczanie właściwych dowodów Zapewnienie obecności świadka
Bałagan formalny: Brak list kontrolnych Brak notatek Brak podstawowych protokołów: przeszukania oględzin Brak materiału uzupełniającego np. nagranie wideo Brak planu: Działanie ad-hoc W korporacjach: Brak IRT/CFRT Wykorzystywanie administratorów IT
Nieprzestrzeganie zasady utrzymania łańcucha dowodowego Gdzie, kiedy i przez kogo dowód został odkryty i znaleziony? Gdzie, kiedy i przez kogo dowód był przechowywany i badany? Kto opiekuje się dowodem? Kiedy i w jakich okolicznościach dowód zmienił opiekuna? Transport materiału dowodowego
Brak kompetencji Biegłym każdy być może prawie każdy Jakość opinii Świadomość pracowników wymiaru sprawiedliwości: Jakość pytań Przewlekłość postępowania
Problem włączonego komputera: Odruch odłączenia zasilania lub Odruch ciekawskiego Co na to doświadczenie? Co na to doświadczenie? Warto przeprowadzić analizę Live zautomatyzowaną lub ręczną Zawsze można wyłączyć prąd to ostateczność Dane mogą ulec zniekształceniu Brak czasu Powierzchowność działań
Praca na oryginale Błędy podczas kopiowania danych Po raz kolejny jak: Najprościej lokalnie: md5sum /dev/hdx > md5sum_hdx dd if=/dev/hdx of=image.hdx bs=512 conv=noerror,sync md5sum image.hdx > md5sum_image_hdx
RAID Dostajemy 4 dyski RAID Reconstructor EnCE PyFLAG Mmls (SleuthKit) X-Ways Serwerownie Zbieranie danych on-site
Szyfrowanie Nie ma obowiązku ujawniania kluczy: wyjątek np. Wielka Brytania Szansa to analiza Live Narzędzia np. Passware KIT Forensics Szyfrowanie pobranego materiału dowodowego: 80/20 Materiał dowodowy/notatki
Asceza unikanie metod zautomatyzowanych Identyfikacja wszystkich plików: Lista znanych plików: National Software ReferenceLibrary(NSRL) http://www.nsrl.nist.gov/downloads.htm Hash Keeper(www.hashkeeper.org) Sortowanie plików Analiza plików (logiczne/carving/smart carving): Odzyskiwanie Wyszukiwanie ciągów znaków Reverse engineering Analiza wolnej przestrzeni Analiza pamięci
Odtworzenie przebiegu zdarzeń Timeline Analysis: ShadowCopy (Vista/W7/W2K8) Timescanner (http://log2timeline.net/) FLS,mactime (Sleuthkit) Regtime.pl (SIFT Workstation)
Wykorzystywanie nieznanych narzędzi Sprawdzone kombajny: Darmowe: Płatne: Pakiet TCT historia EnCase SleuthKit + Autopsy X-Ways ProDiscover Basic FTK Deft/Caine HelixPro SIFT Workstation
Wykorzystywanie nieznanych narzędzi Kopiowanie dysków: dd(http://www.gnu.org/software/coreutils/) dcfldd(http://dcfldd.sourceforge.net/) Kopiowanie pamięci RAM Windows Mdd(http://www.mantech.com/msma/MDD.asp) Linux dd Analiza pamięci Volatility(https://www.volatilesystems.com/default/volatility) Uruchamianie maszyn VMware z obrazów DD LiveView(http://liveview.sourceforge.net)
Cloud computing Rewolucja w Computer Forensics? Odzyskiwanie danych The Great Zero Challenge Technologie mikroskopowe
Laboratorium CF Wyposażenie Trzymanie standardów ISO 17025 Zarządzanie procesem obsługi spraw QA Szkolenia i certyfikacje
Nie posiadają ograniczeń regulacji krajowych - są bardziej uniwersalne To wytyczne, a nie przepis na ciasto Kreatywność mile widziana O niektórych rzeczach nie mówią Nadtrawiony pendrive
TOP 9 + 1 RFC3227 ACPO-The Good Practice Guide for Computer Based Evidence ISO 27001 / ISO 17799 Handbook of Legal Procedures of Computer and Network Misuse in EU Countries FCPO (Foreign Corrupt Practices Act) akt obowiązujący Serie książek i broszur DoJ(Departament of Justice) Materiały Sedona Conference IAAC Załącznik 2: Preservation of Evidence Individual Procedures Draft -ISO/IEC 27037 -Guidelines for identification, collection and/or acquisition and preservation of digital evidence
RFC 3227 + dobre praktyki ulotność danych Rejestry procesora, cache procesora nanosekundy Pamięć operacyjna nanosekundy Pliki wymiany milisekundy Otoczenie sieciowe (cache ARP, routing) milisekundy Procesy sekundy System plików sekundy Przestrzeń dyskowa sekundy / minuty Topologia sieci dni/ tygodnie Dane zapisane na zewnętrznych nośnikach dni/ tygodnie Kopie bezpieczeństwa tygodnie / miesiące
ERROR: ioerror OFFENDING COMMAND: image STACK: