Informatyka śledcza: pozyskiwanie dowodów w systemach IT

Podobne dokumenty
WSIZ Copernicus we Wrocławiu

POLITYKA BEZPIECZEŃSTWA DANYCH

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

BUDOWA KOMPUTERA. Monika Słomian

Jak utworzyć RAMdysk w systemie Windows?

POLITYKA E-BEZPIECZEŃSTWA

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

GSMONLINE.PL dla zainteresowanych nowymi technologiami

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

czyli jak porządkować swoje dane

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

WorkshopIT Komputer narzędziem w rękach prawnika

Polityka Bezpieczeństwa ochrony danych osobowych

Agenda warsztatów z informatyki śledczej (5 dni)

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

SYSTEM ARCHIWIZACJI DANYCH

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

System operacyjny UNIX system plików. mgr Michał Popławski, WFAiIS

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Kontrola pochodzenia dowodu (łańcuch dowodowy) Chain of Custody Form

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

J.M. Elektronika Sklep Elektroniczny Utworzono: niedziela, 16 październik 2011

Usługi przechowywania danych KMD/PLATON-U4 dla bibliotek cyfrowych. Maciej Brzeźniak, Norbert Meyer, Rafał Mikołajczak, Maciej Stroiński

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Rola informatyki śledczej w rozwiązywaniu zagadek kryminalistycznych. Autor: Bernadetta Stachura-Terlecka

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Java Code Signing UŜycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii Java. wersja 1.2 UNIZETO TECHNOLOGIES SA

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

1 Cel i zakres zasad

Memeo Instant Backup Podręcznik Szybkiego Startu

PROGRAMY NARZĘDZIOWE 1

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Bezpieczeństwo danych w sieciach elektroenergetycznych

Zbieranie podstawowych śladów działalności.

Szyfrowanie danych w SZBD

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Moduł 2 Użytkowanie komputerów i zarządzanie plikami wymaga od kandydata znajomości obsługi komputera osobistego.

Omówienie i opis sposobu wykonania szyfrowania. dysku twardego komputera. Wsparcie w Twoim biznesie

Bezpieczeństwo informacji w systemach komputerowych

Archiwizowanie nagrań i naprawa bazy danych

Instrukcja obsługi programu altbackup

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Netia Mobile Secure Netia Backup

Kopia zapasowa DVD w Nero Recode

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

EGZAMIN Z INFORMATYKI

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Video Recording Manager 2.0. Przegląd systemu

Audio i video. R. Robert Gajewski omklnx.il.pw.edu.pl/~rgajewski

Rozwiązanie zadań Konkursu, w którym nagrodą była wejściówka na Security PWNing Conference 2018

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

Zadanie4. Sprawdzian z informatyki dla Gimnazjum z zagadnień: budowa komputera i sieci komputerowej

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

WYMAGANIA i ZALECENIA BEZPIECZEŃSTWA

Sektor. Systemy Operacyjne

Technologia informacyjna. Urządzenia techniki komputerowej

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

KATEGORIA OBSZAR WIEDZY NR ZADANIA Podstawowe informacje i czynności

Instrukcja obsługi. Rejestrator cyfrowy HD-SDI FLEX-4112HD-SDI

Mini kamera IP Wi-Fi ukryta w ZEGARKU CYFROWYM, DETEKCJA RUCHU, 1280x720, P2P, zegarek z kamerą, CLOCK WI-FI Camera

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Oferta firmy MemoTech.PL dotycząca wszystkich usług IT.

Cryptobox Aplikacja do synchronizacji danych użytkownika w systemie KMD2

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

CENTRALNA KOMISJA EGZAMINACYJNA

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Szczegółowy opis przedmiotu zamówienia:

Zadanie Nr 1. Ilość. Oferowany sprzęt: nazwa, model/typ. cena jedn. brutto. Laptop z oprogramowaniem o parametrach. wartość brutto

1. Budowa komputera schemat ogólny.

Higiena pracy z komputerem

Generowanie ciągów bitów losowych z wykorzystaniem sygnałów pochodzących z komputera

Oprogramowanie. DMS Lite. Podstawowa instrukcja obsługi

Komputer. Komputer (computer) jest to urządzenie elektroniczne służące do zbierania, przechowywania, przetwarzania i wizualizacji informacji

Systemy operacyjne. Zarządzanie dostępem do zasobów przy wykorzystaniu grup

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA OBSŁUGI DLA SIECI

PARTNER.

KURSY I SZKOLENIA REALIZOWANE W RAMACH PROJEKTU:

Przed restartowaniem routera odłącz wszystkie urządzenia podłączone pod porty USB.

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Postępowanie z dowodami cyfrowymi.

Narzędzia umożliwiające tworzenie scentralizowanej polityki prowadzenia backupów. Adrian Marczyk

Informatyka Śledcza dowód elektroniczny. Przemysław Krejza, EnCE

Transkrypt:

: pozyskiwanie dowodów w systemach IT mgr inż. Zespół Bezpieczeństwa Informacji Wrocławskie Centrum Sieciowo-Superkomputerowe Politechnika Wrocławska

: pozyskiwanie dowodów w systemach IT Agenda: 1. Krótko o ZBI WCSS 2. Wprowadzenie 3. Procesy w informatyce śledczej 4. Kilka ciekawych przypadków 5. Problemy informatyki śledczej 6. Przyszłość informatyki śledczej 7. Pytania, dyskusja Zespół Bezpieczeństwa Informacji Wrocławskie Centrum Sieciowo-Superkomputerowe

Zajmuje się głównie analizą danych (informacji), które można uzyskać z systemów informatycznych (komputerowych).

Bezpieczeństwo IT - Model CIA: Confidentiality Poufność Integrity Spójność, integralność Availability Dostępność Authenticity Non-repundiation Autentyczność Niezaprzeczalność

www.hackmageddon.com

malware (wirusy, trojany, robaki, ransomy, keyloggery...) zasady dostępu i ich łamanie ataki na struktury i użytkowników ( ślepe i celowane) nielegalne treści (w tym m.in. pirackie dane) inne materiały (audiowizualne) fraudy finansowe, oszustwa internetowe

Procesy: 1. Detekcja i rozpoznanie incydentu 2. Pozyskanie materiałów dowodowych 3. Zabezpieczenie materiałów dowodowych 4. Analizy materiałów dowodowych 5. Raporty, opinie, opisy 6. Zabezpieczenie raportów, archiwizacja

1. Detekcja i rozpoznanie incydentu Rozpoznanie incydentu najczęściej incydenty wykrywa się po określonym (długim) czasie. Często detekcja incydentu następuje kilka miesięcy po faktycznym jego wystąpieniu. Proces detekcji i rozpoznania opiera się na zewnętrznych sygnałach świadczących o wystąpieniu incydentu (np. podmiana treści, wpisanie na listy RBL, oszukany klient, nieautoryzowane przelewy itd.) W detekcji i rozpoznaniu incydentu dużą rolę odgrywają zastosowane systemy zabezpieczeń i monitoringu. Jednak systemy te nie są w stanie wychwycić wszystkich incydentów występujących w strukturze.

2. Pozyskanie materiałów dowodowych Materiały dowodowe są to dane pochodzące z różnych źródeł: komputerów, telefonów, urządzeń sieciowych, serwerów, jak również innych urządzeń zapisujących dane. Z punktu widzenia wartości dowodowej proces ten powinien być przeprowadzony w sposób zapewniający autentyczność i spójność pozyskanych informacji. Wszelkie uzyskane dane powinny zostać skopiowane i zabezpieczone; analiz dokonuje się na kopiach danych (1:1), nigdy na materiale źródłowym, gdyż może on w trakcie badań zostać naruszony.

2. Pozyskanie materiałów dowodowych Źródła: dyski twarde (HD i SDD) komputerów i serwerów pamięci pendrive, USB, flash, karty SD dyski CD, DVD, BR pamięć NAND, NVRAM, on-chip: µc, µp Zalecane jest wykonanie kilku kopii do późniejszych analiz.

2. Pozyskanie materiałów dowodowych Źródła:

2. Pozyskanie materiałów dowodowych Materiał powinien być autentyczny, spójny, zgodny z oryginałem oraz odpowiednio zabezpieczony. Pozyskuje się tzw. obrazy (images) dysków, chipów pamięci, kart itd. najczęściej w postaci pojedynczego pliku. W systemach Linux/Unix do tego celu może służyć polecenie dd (duplicate disk), które zapewnia kopię 1:1 (lub bit-to-bit). Zwykły proces kopiowania plików nie zapewnia spójności danych (nie są kopiowane wszystkie informacje) Wszelkie źródła podłącza się (montuje) w trybie tylko do odczytu (read-only) co pozwoli zapewnić nienaruszalność danych źródłowych. W procesach informatyki śledczej obrazy danych stanowią podstawę do dalszych analiz.

2. Pozyskanie materiałów dowodowych Źródłem danych mogą być również urządzenia dodatkowe, które potrafią zapisać dane w postaci cyfrowej, bądź analogowej. Termometry cyfrowe z pamięcią, czujniki ciśnienia i gazu zapisujące stany w pamięci, zapisy z kamer CCTV, czujników ruchu, oświetlenia, a nawet automatycznych włączników. Jeśli jakieś urządzenie jest zdolne do okresowego zapisywania swojego stanu może stanowić źródło materiału dowodowego (danych do analiz) Obecnie większość urządzeń wyposażonych jest w systemy procesorowe, które do działania wymagają różnego rodzaju pamięci.

2. Pozyskanie materiałów dowodowych Dane podstawowe: treści i informacje bezpośrednio będące dowodem (fotografie, nagrania audio, filmy, dokumenty, prezentacje) Dane dodatkowe: informacje dodatkowe będące pośrednim dowodem w tym logi (zapisy stanu) urządzeń, metadane, pamięci tymczasowe (cache) itd. Dane odzyskane: skasowane/usunięte pliki i ich fragmenty

2. Pozyskanie materiałów dowodowych Proces pozyskiwania materiałów dowodowych powinien być przeprowadzony w sposób zapewniający podstawowe parametry bezpieczeństwa IT: Poufność: dostępny tylko dla upoważnionych Integralność: spójność i kompletność zgromadzonych informacji Autentyczność: pochodzić z odpowiednio zdefiniowanych źródeł Dostępność: do analiz Dane do analiz nie mogą podlegać żadnym zmianom, kompresji stratnej itd.

3. Zabezpieczenie materiałów dowodowych Dane podlegające analizie powinno się zabezpieczyć poprzez wykonanie kopii oraz dodatkowo przez dodatkowy parametr: sumę kontrolną lub tzw. hash i podpis. Hash (message digest) zapewnia o autentyczności i integralności (spójności) Podpis zapewnia o autentyczności i niezaprzeczalności. Dla obrazów danych generuje się hashe i podpisy, można skorzystać z gotowych rozwiązań. Hash: SHA-1, MD5 (podatne na ataki kolizji) Podpis: PGP

3. Zabezpieczenie materiałów dowodowych W celu zapewnienia odporności na ataki kolizji powinno się stosować dwa lub trzy hashe (md5, sha-1) wraz z tzw. przyprawą, lub solą (salt). Dodatkowo dane mogą zostać zaszyfrowane (za pomocą klucza), co zapewni ich poufność. Zaleca się szyfrowanie kluczami asymetrycznymi. Dane powinny zostać skopiowane (1:1) co najmniej dwukrotnie. Oryginalna kopia odpowiednio zabezpieczona (zaszyfrowana, podpisana) i przechowywana w bezpieczny sposób. Obecnie nie zaleca się przechowywania danych na nośnikach CD/DVD. Dane takie mogą zostać składowane na dyskach magnetycznych. Dyski SSD ze względu na specyfikę zapisu nie mogą zapewnić integralności danych, gdyż nie można wygenerować właściwych hashy.

3. Zabezpieczenie materiałów dowodowych Dostęp do danych powinny mieć jedynie odpowiednie osoby prowadzące badania. Dane nie mogą być w trakcie analizy zmieniane, przekształcane (chyba, że wymaga tego procedura rozpakowywania, czy reverseengineeringu) i uzupełniane o dodatkowe informacje. Wszelkie informacje o materiale źródłowym przechowuje się na osobnych nośnikach. Zabezpiecza się nie tylko dane wejściowe, ale również informacje, które udało się wyekstraktować. Ponieważ stanowią wartość dowodową, muszą podlegać odpowiedniej ochronie.

4. Analizy materiałów dowodowych Analizy dokonuje się na 3 płaszczyznach: - charakterystyka danych wejściowych (w tym wielkość, czas utworzenia itd.) - zawartość danych (tekst, obrazy, filmy, audio) - metadane (informacje zawarte w plikach, pamięci podręcznej itd.) Parametry pliku: - nazwa pliku - rozszerzenie - typ pliku (tekst, obraz, binarny, audio, video, arkusz, prezentacja itd.) - czas utworzenia - czas modyfikacji - identyfikator właściciela pliku - identyfikator grupy - inne dodatkowe parametry

4. Analizy materiałów dowodowych Procesy: - rozpoznanie typu pliku - ekstrakcja danych: treści, obrazów, metadanych - dekompresja (w przypadku plików spakowanych) - określenie zakresu dostępnych informacji ze źródła - porównywanie zawartości, znajdowanie różnic

4. Analizy materiałów dowodowych Efektem analiz materiałów są kolejne dane, które należy w odpowiedni sposób chronić. Stosuje się podobne zasady: podpisywanie, hash, sumy kontrolne itd.

6. Zapis raportów, archiwizacja Raporty powinny być odpowiednio zabezpieczone i zarchiwizowane. Powinno sporządzić się kilka kopii raportów oraz zabezpieczyć je przez podpisanie i hashowanie, w razie konieczności (jeśli zawierają dane chronione) zaszyfrowane. Raporty te mogą stanowić materiał do następnych (kolejnych) badań tego samego, lub innego przypadku.

Kilka nudnych oraz kilka ciekawych przypadków.

File Name : IMAG1832.jpg Directory :. File Size : 1604 kb File Modification Date/Time : 2014:11:11 09:44:40+01:00 File Access Date/Time : 2016:03:29 20:33:00+02:00 File Inode Change Date/Time : 2014:11:11 09:44:40+01:00 File Permissions : rwxr----file Type : JPEG MIME Type : image/jpeg Exif Byte Order : Big-endian (Motorola, MM) Make : HTC Camera Model Name : HTC One S X Resolution : 72 Y Resolution : 72 Resolution Unit : inches Y Cb Cr Positioning : Centered Exposure Time : 1/20 ISO : 236 Exif Version : 0220 Date/Time Original : 2014:10:11 18:44:17 Create Date : 2014:10:11 18:44:17 Components Configuration : Y, Cb, Cr, Aperture Value : 2.0 Exposure Compensation :0 Metering Mode : Center-weighted average Flash : No Flash Focal Length : 3.6 mm Flashpix Version : 0100 Color Space : srgb Metadane EXIF Exif Image Width : 3264 Exif Image Height : 1840 Interoperability Index : R98 DCF basic file (srgb) Interoperability Version : 0100 Compression : JPEG (old-style) Thumbnail Offset : 722 Thumbnail Length : 23252 Image Width : 3264 Image Height : 1840 Encoding Process : Baseline DCT, Huffman coding Bits Per Sample :8 Color Components :3 Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2) Aperture : 2.0 Image Size : 3264x1840 Shutter Speed : 1/20 Thumbnail Image : (Binary data 23252 bytes, use -b option to extract) Focal Length : 3.6 mm Light Value : 5.1

zapisy logów zawartość pamięci podręcznej (cache) przeglądarek zapisy zdarzeń (eventów) zawartość katalogów tymczasowych (tmp, temp) Analiza metadanych audio i video (ekstrakcja parametrów) Analizy danych streamowych (dysk CCTV bez tablicy partycji) Śledzenie działań w internecie (charakterystyki)

Analiza nagłówków wiadomości Analiza źródła (adresy IP - skąd) Analiza pól adresata Format wiadomości (txt, html) Załączniki (uruchamialne, spakowane, dokumenty) Analiza załączników i ich zawartości (malware) Analiza odnośników (hyperlinków) w wiadomości

Wyłudzanie Płatne serwisy SMS Przejęcie konta Metoda na przyjaciela z FB Analiza przypadków: określenie źródła, sposobu uzyskania dostępu, celu ataku, oczekiwanych skutków ataku.

Problemy informatyki śledczej Dostęp do systemów Niestandardowe systemy zapisu danych Zaszyfrowane (zakodowane) dane Dane usuwane, kasowane, nadpisywane, czyszczone Korzystanie z sieci wirtualnych (VPN) szyfrowane połączenia Systemy cebulowe TOR Onion Anonimizery, filtry prywatności -------------------------Ochrona prywatności, ingerencja monitoringu Zakres dostępu do danych (w tym osobowych) Dostęp do haseł użytkowników Kwestie łamania zabezpieczeń (hasła, klucze, algorytmy)

Problemy informatyki śledczej ilość danych (systemy, IOT, monitoring, rejestracja,logi) możliwości (szybkość) przetwarzania informacji kwestia gromadzenia i archiwizacji stosowane algorytmy kryptograficzne ilość danych śmieciowych (trash-data)

Przyszłość informatyki śledczej? Cyberprzestępczość? botnety i struktury? Analizy behawioralne (zachowań sieci)? Algorytmy sztucznej inteligencji?

Dziękuję za uwagę Zespół Bezpieczeństwa Informacji WCSS Politechnika Wrocławska tel. (071) 320 20 79

Zapraszamy na kolejne spotkanie Inicjatywy IATI 28 kwietnia br www.iati.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres