Hlavní navigace

Forenzní analýza (2)

28. 4. 2005
Doba čtení: 6 minut

Sdílet

V druhém dílu povídání o forenzní analýze se vrhneme na samotné zkoumání a vyšetřování důkazního média. Jako toto důkazní médium nám poslouží disk napadeného počítače.

V prvním případě, když máme zkoumat takový počítač, by nás měla zajímat dočasná data – tzn. že počítač by měl zůstat po detekci incidentu ve fázi zapnuto! Vypnutím počítače tato data (a tím pádem i potenciální důkazy) ztratíme. To ovšem představuje práci na „živém“ systému, a my jakožto vyšetřovatelé můžeme některé potenciální důkazy nechtěně znehodnotit. Kromě toho, že bychom měli v této oblasti mít dostatečné znalosti, abychom nenapáchali velké škody, je potřeba také každý náš krok pečlivě dokumentovat. Mezi dočasná data patří například obsah vyrovnávací a operační paměti, informace o síťových spojeních, informace o běžících procesech atd. Pokud tato data pro vyšetřování nepotřebujete (například nevyšetřujete případ, kdy je relevantním prvkem síť – útok skrze síť), raději takovou analýzu vůbec nedělejte. Jedná se o proces náročnější, než je analýza duplikovaného systému, a můžete si tím zbytečně zmařit další vyšetřování.

Pokud to podmínky umožňují, je výhodné (a často pro pozdější analýzu důkazů nutné) vytvořit tzv. forenzní duplikaci zkoumaného média (přesněji dat zkoumaných na médiu). Samozřejmě to, zda tento krok podniknete, záleží například na množství času, který pro vyšetřování máte, a nebo na tom, jestli je vůbec technicky možné takovou duplikaci provést. Tento krok se dělá proto, abychom si neznehodnotili původní zdroj důkazů – například přepsáním přístupových časů souborů. Ne nadarmo se forenzní analýze počítačů a počítačových systémů přezdívá „pitva systému“. Možná by zde šlo použít i úzkou asociaci s chirurgem, který operuje živý organismus. Takový člověk je pod mnohem větším tlakem a může cokoliv nenávratně zkazit. Kdežto takový patolog už na chodu organismu (systému) nic nezkazí, fádně řečeno. K forenzní duplikaci se používá široké portfolium nástrojů od jednoduchých unixových programů až po těžkotonážní komerční programy, které samozřejmě umí více než pouhé zkopírování obsahu disku.

Z hlediska forenzní analýzy digitálních dat rozlišujeme tři typy dat. Prvním jsou data aktivní. To jsou soubory (samozřejmě i adresáře, ale adresáře jsou vlastně také soubory, které pouze odkazují na soubory obsažené, takže proto budu vše nazývat soubory), které jsou normálně uživatelem viditelné, takže je lze z disku i nejjednoduššeji získat. Dalším typem jsou archivovaná data. To jsou soubory, které naleznete na digitálních médiích typu CD, DVD, disketa, ZIP pásky a další. A posledním typem dat, která se nejobtížněji získávají, jsou latentní data, která představují například smazané soubory nebo soubory částečné přepsané. Získávání všech typů těchto dat je obecně časově i finančně náročné.

Je také nutné počítat s tím, že extrahované soubory mohou být nějakým způsobem zašifrované. Potom musí přijít na scénu kryptologové, kteří se mohou pokusit takové soubory rozšifrovat. Pokud jsou ovšem soubory zašifrovány tak, aby je nebylo možné se současnými prostředky rozšifrovat (není k dispozici šifrovací klíč nebo jiné indicie), potom jsou důkazy z těchto dat vyšetřovatelům skryty. Takže takové šifrované souborové systémy, kterými se často šifrují celé oddíly disků, budou asi noční můrou vyšetřovatelů. Kdybych chtěl vyšetřovatelům prakticky úplně znemožnit průzkum svého počítače, zašifroval bych celý systém (samozřejmě tak, aby šel nadále normálně používat), což například na unixových systémech lze. Vyšetřovatelé pak nemají k dispozici zhola nic. To platí ovšem pouze pro případy, kdy je počítač nástrojem zločinu. Pokud organizace šifruje data, dělá to kvůli jejich ochraně před narušiteli, takže nemá důvod, proč by vyšetřovatelům šifrovací klíč neposkytla.

Samozřejmě vytvářet duplikáty několikaterabaj­tových disků může být velmi časově náročné a organizace nemusí mít dostatek prostředků pro provední takové analýzy – a už vůbec ne vždy, když je detekován incident. Proto se někdy neduplikuje celý systém a provádí se pouze tzv. logická kopie, která spočívá ve zkopírování např. systémových i aplikačních logů. Je tedy nutné zvážit, zda je kompletní duplikace disku vůbec nutná s ohledem na závažnost incidentu a také s ohledem na pravděpodobnost toho, že se budou důležité důkazy nalézat například jen v podobě vymazaných souborů.

Samotnou duplikaci systému lze v podstatě provést třemi způsoby – z pohledu hardwaru. První možností je odpojit zkoumaný disk, který se bude duplikovat, a připojit ho k rozhraní jiného stroje. Asi nejuniverzálnější metoda, která se hodí ve většině případů. Druhou možností je, že připojíme disk, na který vytvoříme obraz, do zkoumaného počítače. A třetí možností je zkopírování dat ze zkoumaného počítače přes síť. Samozřejmě tato síť musí být uzavřená, abychom vyloučili přístup třetí osoby, a tím i případné narušení dat. Ověření toho, zda kopírování proběhlo bez chyb, provedeme kontrolou integrity původních a zkopírovaných dat (zde bych chtěl jen upozornit na prolomení hashovacích funkcí MD4, MD5, SHA-0, RIPEMD, HAVAL-128.

Duplikaci dat nikdy neděláme pomocí zkoumaného systému. Pokud tedy připojíme disk, na nějž se bude kopírovat obraz, do zkoumaného počítače nebo budeme vytvářet obraz disku přes síť, je nutné nabootovat vlastní operační systém například z CD nebo z diskety. K dispozici jsou různé „live“ systémy na bázi Linuxu a nebo i „live“ systémy vytvořené přímo pro tyto účely (které jsou ovšem zase prakticky vždy unixového typu). Programy, které přímo vytvářejí duplikát, musí být schopny zkopírovat všechna data od začátku disku až po služební stopu. Musí se také vyrovnat s chybami čtení – tzn. když nějaký sektor nelze přečíst, je potřeba toto místo vyplnit sektorem stejné délky s předem určeným obsahem. A dále by tyto programy měly zajišťovat kontrolu integrity vytvořeného obrazu. Disk, na který vytváříte obraz, by měl mít stejné parametry jako zkoumaný disk, proto je potřeba si tyto údaje zjistit například z Biosu.

K vyhledávání konkrétních důkazů se používají dva druhy analýz. První je analýza fyzická, která má za úkol najít například nějaký řetězec z obsahu disku – a to v rámci všech sektorů disku, který berete jako celek. Logická analýza spočívá v analýze jednotlivých souborů. Fyzická analýza musí samozřejmě počítat s odhalováním dat z neobsazeného diskového prostoru nebo s již zmíněnými slack prostory, kde zapisovaná data nedosahují ani minimální velikosti bloku definovaného operačním systémem. Vidíte, že to má co do činění s typem souborového systému, proto se i metody extrahování dat z různých souborových systémů souborů liší a příslušné nástroje s nimi musí počítat.

Forenzní analýza digitálních dat je věda, která spojuje velmi široký okruh témat. K jejímu pochopení je tedy potřeba mít znalost operačních systémů, sítí, hardwaru a mnohého dalšího. Bez potřebných zkušeností nebudeme schopni rozumně takovou analýzu provádět. Neodborná manipulace nejspíše povede ke znehodnocení a ztrátě důkazů.

UX DAy - tip 2

To, jak budou organizace reagovat na incidenty, závisí především na tom, zda na ně budou připraveny. Samozřejmě musíte zanalyzovat vlastní zdroje, to, co je potřeba chránit a jaké škody mohou nastat, pokud se stane nějaký neplánovaný krok. Provedení forenzní analýzy je obecně velmi nákladná záležitost. Je proto nutné dělat kompromisy a provést samotnou bezpečnostní analýzu a posléze reakci na incident co nejefektivněji.

Pokud vás bude tato tématika zajímat více, můžu vás kromě jiných veřejně dostupných zdrojů trochu navnadit na svou diplomovou práci „Forenzní analýza unixových systémů“, kde se dozvíte kromě detailního popisu samotného investigativního postupu také to, jak se sofistikovanějšími prostředky a metodami forenzní analýze bránit. Ona totiž kriminálka není jen tak někdo ;-). Tato diplomová práce by měla být příští rok ke stažení na mé domovské stránce.

Použili jste někdy v praxi metodu forenzní analýzy?

Byl pro vás článek přínosný?

Autor článku