Forenzika
-
Upload
dekidarth-deki -
Category
Documents
-
view
164 -
download
4
Transcript of Forenzika
Sigurnost raSigurnost raččunala unala i podatakai podataka
VSiTe
RAČUNALNA FORENZIKA
RAČUNALNA FORENZIKA
• Cilj
– dati pregled što je računalna forenzika i kakvo je stanje
• Proći će se kroz
– što je računalna forenzika i specifičnosti na području baza podataka
– reakcije na incidente i računalna forenzika
– alati, komercijalni i open source
– primjene i uvoñenja alata u postojeće velike sustave
RAČUNALNA FORENZIKA
Dva osnovna motiva
• razvoj računalnih znanosti i
• razvoj računalnih incidenata tj užem smislu računalni kriminal
RAČUNALNA FORENZIKA
“Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining potential legal evidence“
Judd Robbins
Formalno:• Računalna forenzika ili digitalna forenzika definira se kao prikupljanje,
zaštita i analiza dokaza u digitalnom obliku
• Prezentacija digitalnih dokaza kao materijalnih dokaza u kasnijim eventualnim sudskim postupcima..
RAČUNALNA FORENZIKA
Zahtjevi na postupak računalne forenzike
• Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi
• Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom sustavu
• Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza
RAČUNALNA FORENZIKA
Legalni kriteriji
• Da li je tehnika i postupak pouzdano testiran;
• Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice;
• Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka;
• Da li je tehnika i postupak prihvaćena od znanstvene zajednice.
RAČUNALNA FORENZIKA
Koraci forenzičkog postupkaPriprema◦ priprema alata i opreme potrebne za forenzički postupak;
Prikupljanje◦ prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih
objekata koji sadrže elektroničke dokaze
Ispitivanje dokaza◦ izdvajanje dokaza iz prikupljenog materijala
Analiza◦ analiza dokaza prikupljenih u koraku ispitivanja dokaza
Izvještavanje◦ izrada izvještaja o nalazima
RAČUNALNA FORENZIKA
Računalna forenzika -obzirom na obuhvat sustava
Forenzika pojedinačnog računala (host based)
• najčešći slučaj - analize radne stanice
• ulazi i forenzika aplikacije
Mrežnu forenziku (network enabled), • analizu sustava na razini mreže, analizu prometa na mreži, upravljanja
mrežom
Forenzika logova sustava (system log forensic)
RAČUNALNA FORENZIKA
Specifiččččnosti forenzike poslužžžžitelja baza podatka i baza podataka
Sličnosti:� forenzičke metode koje se koriste su iste kao i za druge složene
računalne sustave
Razlike:� zahtjevi maksimalne raspoloživosti sustava,
� veliki volumen podataka,
� visoka pouzdanost podataka,
� neprihvatljivost zaustavljanja sustava � ograničena ekspertiza raspoloživa u trenutku incidenta
RAČUNALNA FORENZIKA
Dodatne specifičnosti forenzike sustava baza podataka
Način na koji se dolazi do pokretanja forenzičkog postupka (otkrića incidenta )
– većina „data breach“ incidenata otkriva se naknadno i izvana
– otežano otkrivanje tragova i vektora ulaska
RAČUNALNA FORENZIKA
Standardni koraci računalne forenzike– Pokretanje dokumentiranog opisa dogañaja u sustavu
– Identificiranje i kontrola incidenta
– Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima
– Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka
– Prikupljanje i klasificiranje metadata podataka po vremenu
– Povezivanje svih informacija o dogañajima u lanac dogañaja na osnovi vremena
– Analiza metadata timelinea
– Dokumentiranje cijelog forenzičkog procesa
– Korištenje rezultata u daljim koracima
– Detaljna analiza ključnih podatka
RAČUNALNA FORENZIKA
Računalna forenzika - po pristupu
Proaktivna računalna forenzika
� primjeni metoda računalne forenzike na zdravom sustavu kako za dobivanje baseline sustava.
Retroaktivna računalna forenzika (klasična forenzika)
� Primjena i bez proaktivne ali puno manja efikasnost
Preduvjet za forenziku je kvalitetna administracija sustava
RAČUNALNA FORENZIKA
Rezultat forenzičkog postupka završno izvješće o incidentu• Završno izvješće o incidentu
sadrži relevantne podatke o incidentu;
glavni cilj - podizanje razine sigurnosti;
informacije iz tog izvješća moraju omogućiti:
• prepoznavanje izvora napada;
• prepoznavanja i uklanjanje sigurnosnih propusta
�Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima
• Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava
RAČUNALNA FORENZIKA
• Alati i ekspertiza
– Postoje alati za forenziku računalnog sustava na nivou operacijskog sustava i sklopovlja
– Ne postoje alati forenziku baze podataka i pripadne aplikacije
– Ekspertiza vrlo rijetka
RAČUNALNA FORENZIKA
Komercijalni alati ili Opensource
• Nema idealnog alata
– može postojati zahtjevani alat!
• Prednost sa pravne strane na komercijalnim alatima
• Opensource dodatni / kontrolni
• Filozofija odabira ista kao i za druge korporativne sustave
– ključno je što mislite raditi i kako, u vašem sustavu
• Na samim bazama – open source ili home made dominiraju
RAČUNALNA FORENZIKA
Alati
• EnCase guidance software
• FTK
• Helix CD
• The Coroner's Toolkit (TCT)
• logminer
• Mnogi drugi
RAČUNALNA FORENZIKA
ENCASE
� Encase je prvenstveno moćan alat, ali sam po sebi ne garantira uspješne rezultate istrage u kompjuterskoj forenzici, pa je od ključne važnosti stručnost i znanje forenzičara koji se alatom koristi.
� Forenzičar mora dobro poznavati operativni sustav koji istražuje (Windows, MacOS, Unix, Linux) i file system koji se koristi (npr. FAT, NTFS itd.). Operativni sustavi ostavljaju razne tragove u internim zapisima koji mogu biti od ključne važnosti prilikom istrage (u slučaju Windowsa to su npr. linkovi na „Most Recently Used“ fileove, ikone u thumbs.db fileovima, interni zapisi u link fileovima, razni zapisi u registryu itd.)
RAČUNALNA FORENZIKA
ENCASE
� Kod istrage je vrlo važno znati što se točno traži, ali isto tako možemo se i voditi se logikom da su potencijalno interesantni svi podaci i tragovi koje je korisnik pokušao ukloniti, a Encase nam u tome umnogome pomaže (izbrisani fileovi, izbrisane particije, promijenjene ekstenzije fileova, slike u slojevima kod kojih je stvarni sadržaj obično skriven ispod najgornjeg sloja, ručne promjene sistemskog sata, detekcija šifriranih fileova itd.)
RAČUNALNA FORENZIKA
� Osnovne značajke EnCase forenzičkog alata su:
◦ Izvještaji su automatski prihvaćeni od strane sudova EU i USA◦ Ne-invazivni alat za forenzičke istrage◦ Prilagoñen forenzičkim istragama na velikim količinama
podataka◦ Podrška za FAT, FAT32, NTFS, Apple, Unix, Linux
operacijske sustave◦ Omogućava obavljanje svih nužnih forenzičkih istraga◦ Uključuje i programski jezik EnScript za automatizaciju
pojedinih istraga
RAČUNALNA FORENZIKA
RAČUNALNA FORENZIKA
Potencijalni digitalni dokaz?• Address Books• Email files• Audio/Video files• Image/graphics files• Calendars• Database files• Spreadsheet files• Compressed files• Misnamed Files• Encrypted Files• Hidden Files• Password Protected Files
• File system artifacts• Backup files• Log files• Configuration files• Printer spool files• Cookies• Swap files• Hidden files• System files• History files• Temporary files• Documents and text files• Internet bookmarks/favorites
RAČUNALNA FORENZIKA
PRIMJER
• Informacije o novom mobilnom telefonu “procurile” u javnost
• Putem LAN mreže otkrio krivca
• Utvrñeno:
– S kojeg računala je poslan e-mail, kada i kome
– Točan sadržaj e-maila
– Osoba koje je poslala e-mail
– Djelatnik je suspendiran
RAČUNALNA FORENZIKA
• Primjene i uvoñenja alata u postojeće velike sustave
– dio incident responsa (IR)
– dio preventivne pripreme
• Samo novi pogled na stare prokušane tehnike kontrole sustava
– dobra administracija sustva
• Dio pripreme za nastavak poslovanja
– bitno razumjevanje važnosti
RAČUNALNA FORENZIKA
�Računalna forenzika je dio kontrole i oporavka od incidenta� prepoznavanje mogućnosti računalne forenzike
�U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata
�incidenti se ne mogu više držati unutar kuće
�incidenati moraju biti legalno ispravno odrañeni
�Korištenje metoda računalne forenzike mora biti sustavno i kao takvo ugrañeno u organizaciju �Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganjuBez takvog pristupa računalni sustavi su izuzetno ugroženi
RAČUNALNA FORENZIKA
www.databasesecurity.com
Krovni site za forenziku baza podataka
www.databasesecurity.com/oracle-forensics.htm
Oracle forenzika
www.sans.org/reading_room
Različiti aspekti računalne sigurnosti
forensics.sans.org/community/downloads/
"SANS Computer forensic and E-Discovery"SANS portal za računalnu forenziku