Forenzní analýza unixových systémů> Josef Kadlec, IM2-K FIM UHK

2006

2

Cíle práce

> Analyzovat možnosti forenzní analýzy digitálních dat se zaměřením na unixové systémy

> Popsat, demonstrovat a zhodnotit postupy a

přostředky pro forenzní analýzu unixových

systémů

> Objasnit aktuální situaci v oblasti informační

bezpečnosti

> Zhodnotit ekonomické aspekty především z

pohledu organizace (managementu)

3

Motivace práce

> Narůstající počet digitálních zařízení• PC, servery, laptopy, PDA, mobilní telefony,…

> Dostupnost digitálních zařízení přes síť/Internet• vše je „online“

> Nárůst bezpečnostních hrozeb na digit. zařízení• kyberzločin• botnety, phishing, spyware, viry, „hacking“

> Motivace útoků/útočníků• finanční obohacení

> Ochrana konkurenceschopnosti organizace• bezp. incidenty a jejich řešení mají přímý vliv na

existenci organizace

4

Motivace práce v číslech

> Nárůst informačně bezpečnostních incidentů• 90% organizací se setkalo s kyberútokem (CSI)

> Kyberzločin nákladnější než zločin běžný• 60% respondentů (IBM 2006)

> Avšak přímé ztráty organizací způsobené

kyberzločinem klesají• o 61% (CSI/FBI 2006)

> Expanze trhu s produkty bezpečnosti IT• 6,4 miliardy USD za rok 2005 (GuidanceSoftware)

> Celkové odhadované škody způsobené kyberzločiny –

uživatelé i organizace• 200 bilionů GBP za rok 2004 (SecurityPark.co.uk)

5

Forenzní analýza digitálních dat

> Hledání a vytěžování dat pro specifické účely• co se stalo, kdy se to stalo, jak se to stalo a koho

se to týká

> Užití vědecky odvozených a osvědčených metod• izolování, sběr, identifikace, analýza,

interpretace, dokumentace, prezentace důkazů

> Digitální data jsou velmi nestálá• digitální médium není důkaz

> Dva typy vyšetřování média• počítač nástrojem zločinu x terčem zločinu

6

Proč zkoumat Unix

> Rodina unixových systémů• GNU/Linux, *BSD, MacOS X, Solaris, AIX, IRIX

> Unix (především GNU/Linux) na vzestupu• portovatelnost na mnoho HW architektur • optimalizované využití výpočetních prostředků• Open Source, GNU GPL

> Velké investice do Open Source projektů• IBM, Oracle, Sun Microsystems, Google, Red Hat,

Hawlett Packard, Palm, Motorola, …

> Mnoho organizací používá nebo migruje na GNU/Linux• Skanska, eBay, Fiat Auto, Irská burza cenných papírů,

Česká pošta, České dráhy, státní instituce – Švýcarská vláda, úřady v Paříži a Vídni,…

7

Potřebný SW a HW

> Software – GNU/Linux• minimálně invazivní• podporuje mnoho souborových systémů• davá uživateli plnou kontrolu – nativní aplikace• obsahuje „loopback device“• The Coroner’s Toolkit, The Sleuth Kit, Autopsy,

SMART, Forenzní Live CD systémy• logická analýza unixových systémů

> Hardware• standardní PC, laptop • forenzní stanice – FRED (Digital Intelligence)• zařízení pro forenzní duplikaci média• toolkity, modifikovaná kabeláž,…

8

FA v praxi

> Situace ve světě• vyspělý obor – USA, Velká Británie, …• federální, státní i soukromý sektor• velká poptávka po specialistech• univerzity, certifikace (GIAC, SANS, CSI,...),

konference, workshopy, sympózia • IACIS, CERT, ENFSI, HTCIA,…

> Situace v České republice• nerozvinutý obor• policejní vyšetřovatelé, soudní znalci, znalecké ústavy• 2 případy denně• §204-206 „Neoprávněný přístup k počítačovým

systémům“• ochrana proti zveřejnění informací o poškozeném• špatná kvalita soudních znalců v oboru FA

9

Standardy

> ISO 17799:2005• BS 7799• „Zvládání bezpečnostních incidentů“

> RFC 3227, RFC 2828

> příručky• Good Practice Guide for Computer Based

Electronic Evidence (ACPO)• First Responder’s Manual (U.S. Department of

Energy)• Forenzní zkoumání digitálních důkazů (RAC)

10

Přínosy práce

> Rozsáhlá analýza možností a demonstrace postupů

forenzní analýzy digitálních dat se zaměřením na unixové

systémy

> Přehled současného softwarového vybavení pro

počítačovou forenzní analýzu unixových systémů od

nativních unixových aplikací po enterprise řešení

> Aktuální příručka forenzního vyšetřovatele doprovázena

množstvím odkazů na další konkrétní informační zdroje

> Zvýšení povědomí organizací o problematice informační

bezpečnosti, reakcí na incidenty a jejich ekonomických

dopadů

11

Forenzní analýza unixových systémů

Josef Kadlec

Prostor pro diskuzi.

Autor má několikaleté zkušenosti s operačním systémem GNU/Linux a

informační bezpečností. Je autorem řady odborných článků a účastníkem

komerčních i nekomerčních konferencí.