Upload
marrim
View
17
Download
0
Embed Size (px)
DESCRIPTION
Foren zní analýza unixových systémů. > Josef Kadlec, IM2-K FIM UHK. 2006. Cíle práce. Analyzovat možnosti forenzní analýzy digitálních dat se zaměřením na unixové systémy P opsat, demonstrovat a zhodnotit postupy a přostředky pro forenzní analýz u unixových systémů - PowerPoint PPT Presentation
Citation preview
Forenzní analýza unixových systémů> Josef Kadlec, IM2-K FIM UHK
2006
2
Cíle práce
> Analyzovat možnosti forenzní analýzy digitálních dat se zaměřením na unixové systémy
> Popsat, demonstrovat a zhodnotit postupy a
přostředky pro forenzní analýzu unixových
systémů
> Objasnit aktuální situaci v oblasti informační
bezpečnosti
> Zhodnotit ekonomické aspekty především z
pohledu organizace (managementu)
3
Motivace práce
> Narůstající počet digitálních zařízení• PC, servery, laptopy, PDA, mobilní telefony,…
> Dostupnost digitálních zařízení přes síť/Internet• vše je „online“
> Nárůst bezpečnostních hrozeb na digit. zařízení• kyberzločin• botnety, phishing, spyware, viry, „hacking“
> Motivace útoků/útočníků• finanční obohacení
> Ochrana konkurenceschopnosti organizace• bezp. incidenty a jejich řešení mají přímý vliv na
existenci organizace
4
Motivace práce v číslech
> Nárůst informačně bezpečnostních incidentů• 90% organizací se setkalo s kyberútokem (CSI)
> Kyberzločin nákladnější než zločin běžný• 60% respondentů (IBM 2006)
> Avšak přímé ztráty organizací způsobené
kyberzločinem klesají• o 61% (CSI/FBI 2006)
> Expanze trhu s produkty bezpečnosti IT• 6,4 miliardy USD za rok 2005 (GuidanceSoftware)
> Celkové odhadované škody způsobené kyberzločiny –
uživatelé i organizace• 200 bilionů GBP za rok 2004 (SecurityPark.co.uk)
5
Forenzní analýza digitálních dat
> Hledání a vytěžování dat pro specifické účely• co se stalo, kdy se to stalo, jak se to stalo a koho
se to týká
> Užití vědecky odvozených a osvědčených metod• izolování, sběr, identifikace, analýza,
interpretace, dokumentace, prezentace důkazů
> Digitální data jsou velmi nestálá• digitální médium není důkaz
> Dva typy vyšetřování média• počítač nástrojem zločinu x terčem zločinu
6
Proč zkoumat Unix
> Rodina unixových systémů• GNU/Linux, *BSD, MacOS X, Solaris, AIX, IRIX
> Unix (především GNU/Linux) na vzestupu• portovatelnost na mnoho HW architektur • optimalizované využití výpočetních prostředků• Open Source, GNU GPL
> Velké investice do Open Source projektů• IBM, Oracle, Sun Microsystems, Google, Red Hat,
Hawlett Packard, Palm, Motorola, …
> Mnoho organizací používá nebo migruje na GNU/Linux• Skanska, eBay, Fiat Auto, Irská burza cenných papírů,
Česká pošta, České dráhy, státní instituce – Švýcarská vláda, úřady v Paříži a Vídni,…
7
Potřebný SW a HW
> Software – GNU/Linux• minimálně invazivní• podporuje mnoho souborových systémů• davá uživateli plnou kontrolu – nativní aplikace• obsahuje „loopback device“• The Coroner’s Toolkit, The Sleuth Kit, Autopsy,
SMART, Forenzní Live CD systémy• logická analýza unixových systémů
> Hardware• standardní PC, laptop • forenzní stanice – FRED (Digital Intelligence)• zařízení pro forenzní duplikaci média• toolkity, modifikovaná kabeláž,…
8
FA v praxi
> Situace ve světě• vyspělý obor – USA, Velká Británie, …• federální, státní i soukromý sektor• velká poptávka po specialistech• univerzity, certifikace (GIAC, SANS, CSI,...),
konference, workshopy, sympózia • IACIS, CERT, ENFSI, HTCIA,…
> Situace v České republice• nerozvinutý obor• policejní vyšetřovatelé, soudní znalci, znalecké ústavy• 2 případy denně• §204-206 „Neoprávněný přístup k počítačovým
systémům“• ochrana proti zveřejnění informací o poškozeném• špatná kvalita soudních znalců v oboru FA
9
Standardy
> ISO 17799:2005• BS 7799• „Zvládání bezpečnostních incidentů“
> RFC 3227, RFC 2828
> příručky• Good Practice Guide for Computer Based
Electronic Evidence (ACPO)• First Responder’s Manual (U.S. Department of
Energy)• Forenzní zkoumání digitálních důkazů (RAC)
10
Přínosy práce
> Rozsáhlá analýza možností a demonstrace postupů
forenzní analýzy digitálních dat se zaměřením na unixové
systémy
> Přehled současného softwarového vybavení pro
počítačovou forenzní analýzu unixových systémů od
nativních unixových aplikací po enterprise řešení
> Aktuální příručka forenzního vyšetřovatele doprovázena
množstvím odkazů na další konkrétní informační zdroje
> Zvýšení povědomí organizací o problematice informační
bezpečnosti, reakcí na incidenty a jejich ekonomických
dopadů
11
Forenzní analýza unixových systémů
Josef Kadlec
Prostor pro diskuzi.
Autor má několikaleté zkušenosti s operačním systémem GNU/Linux a
informační bezpečností. Je autorem řady odborných článků a účastníkem
komerčních i nekomerčních konferencí.