Forensic jak nie utraci danych Dariusz Sobolewski CERT Polska Krótko o Forensic w Laboratorium CERT Polska Laboratorium CERT Polska Do głównych celów Laboratorium Forensic CERT Polska naley propagowanie właciwych technik wród ciał rzdowych, wykonywanie ekspertyz, prowadzenie działalnoci badawczej z zakresu moliwoci pozyskania informacji ze sprztu komputerowego. Załoga Laboratorium Forensic CERT Polska współprowadzi równie szkolenia Policji w zakresie zwalczania cyberprzestpczoci. Krótko o Forensic Forensic to dziedzina traktujca o badaniach komputerowych prowadzonych nad materiałem dowodowym. Czstym elementem jest wykazanie, e dane zjawisko miało miejsce, bd si nie wydarzyło. Wanym elementem w nauce Forensic jest droga sprztu, w szczególnoci noników oraz wszelkie inne materiały mogce zmieni sposób działania w danej sprawie (odrczne notatki z hasłami, etc). Kluczowym elementem jest zachowanie wiarygodnoci danych, std nie bez znaczenia pozostaje zaplecze techniczne w którego skład wchodz tak sprzt komputerowy jak i odpowiedni oprogramowanie. Aby proces analizy forensic mogł zosta zakoczony sukcesem naley przej przez czsto bardzo złoony proces analizy oraz udokumentowa wszystko w sposób powtarzalny w potocznym, zrozumiałym jzyku. Rys.: Diagram faz
Właciwe pozyskiwanie noników Proces pozyskania noników bd sprztu komputerowego najlepiej przeprowadzi w obecnoci biegłego jest to czsto proces złoony i wymaga specjalistycznej wiedzy aby umoliwi pozyskanie noników, a w przyszłoci danych bez ich naruszania. W pierwszej kolejnoci naley sprzt wyłczy, chyba e jest podtrzymywany bateriami (oprócz telefonów komórkowych tych nie wyłcza i dostarczy biegłemu jak najszybciej). W przypadku laptopów w celu wyłczenia wyjmujemy bateri oraz odłczamy zasilanie, wykonanie standardowej procedury zamykania systemy czy to po wcisniciu guzika, czy zaprogramowanej przy opuszczeniu ekranu moe spowodowa uruchomienie procesu który uniemoliwi bd utrudni pozyskanie danych do póniejszej analizy. Istotnym elementem s równie wszelkie inne noniki informacji jak PDA, noniki przenone oraz notatki odrczne. Notatki mog zawiera hasła którymi szyfrowane s dane, naley zwróci szczególn uwag na wystpowanie kluczy sprztowych. Obecno biegłego jest wskazana głównie ze wzgldu na rónorodno konfiguracji sprztu w rónych sytuacjach wymagane jest stosowanie si do rónych szczególnych procedur gwarantujcych nienaruszalno pozyskiwanych do analizy danych. W razie moliwoci naley zwróci uwag równie na sprzt pozwalajcy odtworzy konfiguracj badanego sprztu komputerowego w warunkach laboratoryjnych zadba o to aby dostpne były ładowarki do zajtego sprztu komputerowego. Uwag naley zwrócic take na zarzdzalne urzdzenia sieciowe jak switche czy routery mog one zawiera bardzo istotne informacje na temat konfiguracji sieci. Kluczowym w niektórych momentach jest odniesienie czasu systemowego do rzeczywistego. Dat systemow mona odnie do rzeczywistej poprzez porównanie ustawie w BIOS ie komputera, bo odpowiednim zabezpieczeniu danych na nonikach komputera. Jeli komputer jest włczony naley wykona zdjcia ekranu, a dostp do sprzetu podczas procesu pozyskiwania powinien by kontrolowany i zaprotokołowany. Sprzt powinien by odpowiednio zabezpieczony tak aby styki były niedostpne bez naruszenia plombowania oraz odpowiednio przetransportowane. Cały proces powinien by udokumentowany, opatrzony w zdjcia otoczenia.
Rysunek: Niewłaciwie zabezpieczony dysk twardy. Rysunek: Właciwie zabezpieczony dysk twardy.
Właciwe zabezpieczanie danych Dane powinny by w miar moliwoci zabezpieczone przez biegłego, integralno i nienaruszalno danych s jednymi z najwaniejszych czynników. Istotnym elementem jest uycie sprawdzonych narzdzi specjalistycznych (software), wykazanie sposobu ich działania oraz niezawodno i powtarzalno, z zachowaniem nienaruszalnoci danych. Aby mie pewno braku ingerencji w dane, zaleca si zawsze uycie sprztu uniemoliwiajcego zmian danych na dysku. (przykłady - rysunek poniej) Kada operacja powinna by zakoczona dokumentacj wraz z protokołami w celu umoliwienia ewentualnego odtworzenia czynnoci. Nie bez znaczenia pozostaje równie udokumentowanie drogi nonika, jego właciwe zabezpieczenie oraz spisanie odpowiednich protokołów tzw. chain of custody. Przykłady urzdze blokujcych zapis danych na dyskach:
Analiza oraz dokumentacja Wszelkie prace powinny by wykonywane wyłcznie na obrazie otrzymanym w fazie zabezpieczania, oryginalny nonik słuy wyłcznie do jego stworzenia i nie powinien by analizowanym medium. Pierwszym elementem analizy powinno by dokładne rozpoznanie struktury danych na badanym obrazie, ewentualne stwierdzenie wystpowania ukrytych partycji, zaszyfrowanych folderów itp. Analizie naley podda wszystkie obszary dysku, nie tylko pliki. Podczas analizy zalenie od pyta, odniesienie czasu systemowego do czasu rzeczywistego moe stanowi kluczow rol, czsto to włanie skojarzenie czasu wiadczy moliwoci udowodnienia bd zaprzeczenia czemu. Naley równie wykona skanowanie antywirusowe oraz upewni si, ze badany system nie był skompromitowany. Równie istotne jest wyszukiwanie we wszystkich obszarach badanego dysku, nie tylko plikach. Analiza powinna by uwieczona solidna dokumentacj, pozwalajc na przekaz osobie nie bdcej biegł oraz pozwalajca biegłemu odtworzy proces analizy. Czste błdy w sztuce 1) Włczenie komputera, który jest wyłczony 2) Odczytywanie informacji zawartych na nonikach bez stosowania technik blokujcych moliwo ingerencji 3) Brak informacji pozwalajcych na skojarzenie czasu systemowego i rzeczywistego 4) Brak informacji na temat konfiguracji (np. RAID), bd niedostarczenie wszystkich elementów (brakujcy dysk w macierzy lub brak jednostki centralnej i specyficznego kontrolera) 5) Dopuszczenie osób postronnych kto miał dostp do dysków? 6) Nieudokumentowane czynnoci 7) Niewłaciwe plombowanie noników, dostpne styki