Upload
krzysztof-binkowski
View
1.413
Download
0
Embed Size (px)
DESCRIPTION
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Citation preview
COMMUNITIES TO COMMUNITIES
Krzysztof BińkowskiTrener, KonsultantCompendium CE, ISSA Polska
14.03.2009
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Cel prezentacji
Zapoznanie z podstawowymi technikami ukrywaniainformacji oraz ich praktyczne poszukiwanie na
przykładziedziałającego systemu.
Minimum wykładu więcej praktycznych demonstracji.
Agenda• Scenariusz i plan działania• Computer Forensics – informatyka śledcza• Dowód elektroniczny• Jak wykonać kopię dysku spełniającą cechy
dowodu• Analiza danych użytkownika
• Poszukiwanie śladów:• Komunikatory: Gadu-Gadu, SKYPE• Poczta elektroniczna MS Outlook• Historia odwiedzanych stron – IE• Pliki - ADS• Pliki graficzne i steganografia• Podsumowanie zebranych dowodów
Scenariusz działania praktycznego
• Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę
Jan Kowalski firma A - kolega Andrzeja Nowaka firma BPan Nowak – pracuje u konkurencji
Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego– Office 2003, MS Outlook + pop3, GG, Skype– Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi
danymiPlanowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych– Wnioski
Informatyka śledcza w wielkim skrócie
Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
Ogólny schemat procesu dochodzeniowego
Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
Ocena Pozyskiwanie Analiza Raport
· Zapoznaj się z obowiazującymi procedurami i wytycznymi
· Wybierz zespół specjalistów
· Przygptuj się do zabezpieczania danych
· Przygotuj narzędzia do analizy
· Zbierz i zabezpiecz dane
· Zachowaj i zarchiwizuj zgromadzone dane
· Zbierz i uporządkuj zebrane dane
· Wykonaj raport
· Analiza danych sieciowych
· Analiza danych zawartych na nośnikach zewnętrznych
Dowód elektronicznyDowodem elektronicznym* nazywamy jakikolwiek sprzęt
komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.
Dowód, który będzie użyty w procesie sądowym powinien być:
• kompletny• prawdziwy• niepodważalny• przekonywujący• zdobyty zgodnie z prawem
* Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
Zbieranie danych nieulotnych – proces gromadzenia
Proces klonowania dysków (tworzenia obrazów) możemy wykonać na
kilka sposobów:
• Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku
• Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy
• Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizyczny
Pamiętajmy:• Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-
bit) !!! • Oprócz klastrów z danymi powinny zostać skopiowane pozostałe
obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
• Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY
• Zaopatrzmy się w odpowiednio duży dysk !!!
Tworzenie obrazu dyskuOFFLINE – dane nieulotone : • Uruchamiamy i bootujemy system CF z płyty CD/DVD
Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny)
ONLINE – dane ulotne : • Uruchamiamy program tworzący obraz z płyty CD,nośnika USB
lub sieciNp.. FTK Imager
Tworzenie i składowanie kopii obrazu : • Dysk twardy połączony przez IDE/SATA/USB • Pendrive USB • Poprzez sieć na innym komputerze, serwerze• Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
Tworzenie obrazu dysku na potrzeby dalszej analizyDarmowe:• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na
stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=\\.\PhysicalDrive0 of=d:\ \plik1.img
• FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)
Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach,
szczegóły licencji dostępne są na stronie producenta.
FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
Format pliku obrazu dysku odczyt zapis
dd RAW
EnCase E01
FTK Imager logical image
Ghost (tylko nieskompresowane obrazy
dysku)
SafeBack (tylko do wersji 2.0)
SMART (S01)
■
■
■
■
■
■
■
■
■
■
DEMO – Tworzenie obrazu dysku• Wykorzystamy - bezpłatną wersję, już
niedostępną : Helix_V1.9-07-13a-2007.iso
http://www.e-fense.com/
Helix3 Pro pojawi się około kwietnia 2009Wykonamy kopię obrazu
Konwersja i uruchomienie pliku obrazu w wirtualnej maszynie:
Live View - http://liveview.sourceforge.net/Mount Image Pro – podłączenie obrazu DD jak dysk w
systemieTRAIL – 30 dni testów
Analiza danych użytkownika• poczta elektroniczna• dokumenty elektroniczne• pliki tymczasowe• partycje/ pliki wymiany• logi i rejestry• dane przeglądarki• pliki kolejkowania wydruku• cookies• dane skasowane• dane z backupu• Ukrywanie tekstu w plikach graficznych
(steganography)• Inne …..
Poszukiwanie śladów: Skasowane plikiŚmietnik - Recycle BinSkasowane pliki - czy na pewno są usunięte z dysku ?
• Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane
• Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki
• Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
Poszukiwanie śladów: Skasowane pliki
Darmowe : • Recuva - http://www.recuva.com/• File Recovery• wiele innych
Komercyjne: • Ontrack EasyRecovery, Recover My Files, inne
Poszukiwanie śladów: Skasowane pliki
- raport plików z FTK Imager- Recuva, Recover My Files
DEMO
Poszukiwanie śladów: GaduGadu i Skype
Bogactwo komunikatorów: Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innych
Zastosowanie : • Biznesowe • Prywatne• Ograniczenie kosztów rozmów telefonicznych
Przeważnie pozostawią ślady w postaci plików zawierających logi lub archiwa
Każdy komunikator i jego wersja wymaga unikalnego podejścia !
Poszukiwanie śladów: GaduGadu i Skype• GG Tools – zestaw od odzyskiwania archiwum GG• http://mortka.pl/
• Ggarch - poszukiwanie pliku archives.dat• Ggundel – odzyskiwanie skasowanego archiwum
przez aplikację GGhttp://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip
• Skypelogview – http://www.nirsoft.net/utils/skype_log_view.html
C:\Documents and Settings\[Profile Name]\Application Data\Skype\[Skype User]
Szukamy pliku main.db
Poszukiwanie śladów: GaduGadu i Skype
GGTools i Skypelogview
DEMO
Poszukiwanie śladów: Poczta MS OutlookCzy ktoś dzisiaj jeszcze nie korzysta z poczty
elektronicznej ? Co jest przesyłane pocztą elektroniczną ?
Najbardziej popularne aplikacje: • Outlook Express, MS Outlook• ThunderBird, The Bat • Poczta przez witrynę www• wiele innych
Poszukiwanie śladów: Poczta MS Outlook
• Odzyskiwanie hasła do pliku PST• PstPassword -
http://www.nirsoft.net/utils/pst_password.html
• Odzyskiwanie skasowanych emaili:
Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ?
• Recover My Email - http://www.recover-my-email.com/ - wersja trial
Poszukiwanie śladów: Poczta MS Outlook
pstPassword i RecoverMyEmail
DEMO
Poszukiwanie śladów:
Historia odwiedzanych stron IE i FireFoxCharakterystyczny plik index.dat
Przykładowe narzędzia:Web Browser Tools Package
-http://www.nirsoft.net/web_browser_tools.html
• IECookiesView , IEHistoryView, IECacheView • MozillaCookiesView , MozillaHistoryView , MozillaCacheView • OperaCacheView , ChromeCacheView , Inne
• Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.php
inne• Pasco - http://sourceforge.net/projects/odessa• Galleta - - http://sourceforge.net/projects/odessa
Poszukiwanie śladów:
Historia odwiedzanych stron IE
IEHistoryView, IECacheView, IECookiesView
DEMO
Poszukiwanie śladów:
Pliki i ADS - alternate data streams
ADS – Alternatywne strumienie danych:
• Własność NTFS ( znana od Win NT 3.1 ) • Stworzona w celu kompatybilności z HFS • (Macintosh hierarchical file system )
• Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA
• Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
Poszukiwanie śladów:
Pliki i ADS - alternate data streams• streams.exe (Sysinternals) – darmowe
narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS)
• dir /r (MS Vista)
• LADS.exe , ADSDetector, ADSSpy, sfind.exe• inne
Poszukiwanie śladów:
Pliki i ADS - alternate data streams
- ADS - edycja plików w Notepad- uruchomienie plików ukrytych
DEMO
Tworzymy plik tekstowy test.txt dir > test.txt:strumien.txt dirstreams.exe test.txtNotepad.exe test.txt:strumien.txtdel plik:strumien
Type notepad.exe > calc.exe:virus.exestart c:\calc.exe:virus.exe
Poszukiwanie śladów: pliki graficzne i steganografia
Steganografia:
• Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka
• Znane od dawna, np. atrament sympatyczny, długopis UV
• Szyfrowanie danych w plikach graficznych• Przesyłanie zaszyfrowanych plików bądź
informacji tekstowych• Do przesyłania przeważnie używa się kanałów
publicznych, emaile, serwery www etc
Poszukiwanie śladów: pliki graficzne i steganografia
Przykładowe aplikacje do ukrywania danych w plikach graficznych:
Trojan Image Security ImageHackS-Tools i wiele wiele innych ….
Poszukiwanie śladów: pliki graficzne i steganografia
copy /b plik.jpg + plik.rar plik_wynikowy.jpg
Aplikacja Trojan
DEMO
Wnioski przykładowe:
Pan Jan Kowalski – był w stałym kontakcie – o czym
świadczy archiwum GaduGadu
Pan Jan Kowalski – wysłał emailem pliki do Pana
Andrzeja Nowaka :
bmw32.bmp i Sexy_Bikini_0362.bmp
zawierające poufne dane :
Plan_fundusz.xls i Lista_plac_2009_01.xls
ukryte za pomocą steganografii
Anti-forensics:
Czy zawsze tak łatwo można zbadać każdy komputer ?
Niestety NIE :(
Techniki anti-forensics :
• Szyfrowanie dysków , np. TrueCrypt, EFS • Szyfrowanie poczty elektronicznej• Bezpieczne kasowanie danych , np. Eraser, DBAN• Steganografia – stosowanie silnych haseł i
algorytmów• Czyszczenie śladów aktywności użytkownika w
internecie• Przechowywanie danych i programów na pendrive
np. 64 GB PortableApps, U3 • Korzystanie z systemów Live CD • i inne
Literatura (darmowa):
• Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx
• First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html
• First Responders Guide to Computer Forensics: Advanced Topicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
MSSUG, czyli
Microsoft Security Solutions User Group
WGUiSW, czyli Warszawska Grupa Użytkowników i Specjalistów Windows
Najbliższe spotkanie 7.04.2008
Krzysztof Bińkowski Paweł Pławiak Krzysztof Pietrzak
Wykład Wykład Wykład
Praktyczne zastosowanie kart inteligentnych
Shadow Groups & Subscriptions Groups
Wprowadzenie do grupy Security - MSSUG
ISSA Polska
Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych
Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa
Wstęp wolny
Pytania ?