Kourvoulis ptyxiaki

COMPUTER & NETWORK

FORENSICS

Γεώπγιορ Κοςπβούληρ

Δπιβλέπυν: Γεώπγιορ Σηεθανίδηρ,

Αναπληπυηήρ Καθηγηηήρ

Οκηώβπιορ 2011, Θεζζαλονίκη

Έγθιεκα

• Φςζικόρ κόζμορ και έγκλημα– Κλοπή, ληζηεία, θόνορ– Δπάζηηρ– Θύμα– Κλοπιμαία– Τόπορ εγκλήμαηορ (οικία, καηάζηημα, πάπκο)– Ίσνη (αποηςπώμαηα, ηπίσα)

• Ψηθιακόρ κόζμορ και έγκλημα– Υπεξαίπεζη, διακίνηζη παπάνομος ςλικού (παιδική ποπνογπαθία)– Δπάζηηρ– Θύμα– Κλοπιμαία, παπάνομο ςλικό– Τόπορ εγκλήμαηορ (Διαδίκηςο, ηοπικό δίκηςο

οπγανιζμού/επισείπηζηρ, μεμονωμένορ Η/Υ)– Ίσνη (έγγπαθα, εικόνερ, απσεία καηαγπαθήρ)

Χεθηαθό έγθιεκα

Έλαο νξηζκόο δύν έλλνηεο

Ο όξνο Ηιεθηξνληθό έγθιεκα ή Ηιεθηξνληθή εγθιεκαηηθόηεηα πεξηιακβάλεη όιεο εθείλεο ηηο αμηόπνηλεο πξάμεηο πνπ ηεινύληαη κε ηε ρξήζε ελόο ζπζηήκαηνο ειεθηξνληθήο επεμεξγαζίαο δεδνκέλωλ (Η/Υ)

• Σηελή έλλνηα

Ο ειεθηξνληθόο ππνινγηζηήο απνηειεί θύξην κέζν ηέιεζεο ηωλ εγθιεκάηωλ

• Δπξεία έλλνηα

Ο ειεθηξνληθόο ππνινγηζηήο είλαη βνεζεηηθό κέζν ηέιεζεο ηωλ εγθιεκάηωλ

Μνξθέο ειεθηξνληθνύ εγθιήκαηνο

• Αλεπηζύκεηε αιιεινγξαθία (spam)

• Κπβεξλνζθεηεξηζκόο (cybersquatting)

• Παξάλνκε δηείζδπζε ζε δεδνκέλα (hacking, cracking)

• Γηάδνζε θαθόβνπινπ ινγηζκηθνύ (Ινί – Malware)

• Δγθιήκαηα θαηά ηεο εζηθήο θαη ηεο αμηνπξέπεηαο

• Γηάδνζε δεδνκέλωλ πξνζωπηθνύ ραξαθηήξα

• Γηάδνζε δεδνκέλωλ ηεο Πλεπκαηηθήο Ιδηνθηεζίαο

Γηθαηνδνζία

1. Η ζεωξία ηνπ ηόπνπ ελέξγεηαο, ζύκθωλα κε ηελ νπνία ωο ηόπνο ηέιεζεο ηνπ αδηθήκαηνο ζα πξέπεη λα ζεωξεζεί ν ηόπνο όπνπ εηειέζζε ε ελέξγεηα πνπ έηεηλε ζην άδηθν απνηέιεζκα θαη αλ ε ελέξγεηα έιαβε ρώξα ζε πεξηζζόηεξα από έλα θξάηε, ν ηόπνο όπνπ νινθιεξώζεθε

2. Η ζεωξία ηνπ ηόπνπ ηνπ απνηειέζκαηνο, όπνπ ωο ηόπνο ηειέζεωο ηνπ αδηθήκαηνο ζεωξείηαη ν ηόπνο όπνπ εθδειώζεθε ην δεκηνγόλν απνηέιεζκα

3. Η κηθηή ζεωξία, όπνπ ωο ηόπνο ηειέζεωο ηνπ αδηθήκαηνο ζεωξείηαη ηόζν ν ηόπνο ελέξγεηαο όζν θαη ν ηόπνο ηνπ απνηειέζκαηνο κε δηθαίωκα επηινγήο ηνπ αδηθεζέληνο

4. Η ζεωξία ηνπ βαξύλνληνο ηόπνπ, ζύκθωλα κε ηελ νπνία ν ηόπνο ηνπ αδηθήκαηνο εληνπίδεηαη ζην θξάηνο όπνπ ην έγθιεκα εθδειώζεθε θαηά ηελ θύξηα ζεκαζία ηνπ. Βέβαηα ππάξρνπλ δπζθνιίεο θαηά ηελ εθαξκνγή ηεο ζεωξίαο δεδνκέλνπ όηη είλαη δύζθνιν λα θαζνξηζηεί ν βαξύλωλ ηόπνο γηα ηελ ηέιεζε ηεο δηαδηθηπαθήο αδηθνπξαμίαο

Χεθηαθή Σήκαλζε - Οξηζκόο

Η σπήζη επιζηημονικά αποδεκηών μεθόδυν, πος αποζκοπούν ζηη – Γιαηήπηζη

– Δπικύπυζη

– Αναγνώπιζη και καηαγπαθή

– Ανάλςζη

– Δπμηνεία

– Παποςζίαζη

τηθιακών πειζηηπίυν πποεπσόμενα από τηθιακά μέζα (Digital Forensics Work Shop – dfrws.org)

Σηόσορ– Την ανακαηαζκεςή – αναπαπάζηαζη εγκλημαηικών ενεπγειών ή/και

– Την έγκαιπη ππόλητη και ανηιμεηώπιζη μη εξοςζιοδοηημένυν ενεπγειών, οι οποίερ αποηελούν κίνδςνο ζηιρ ζσεδιαζμένερ και πποβλεπόμενερ διεπγαζίερ

Η πξώηε αληαπόθξηζε – Πξνεηνηκαζία

Η ζυζηή πποεηοιμαζία θεμελιώνει μια επιηςσή έπεςνα















Πνηνο

Πνύ

Τη

Πόηε

Γηαηί

Πώο


Τνπνζεζία

• Πνύ βξίζθεηαη;

• Τη είδνπο θηίξην είλαη (Μνλνθαηνηθία, Πνιπθαηνηθία, Δξγνζηάζην);

Πξνζωπηθό

• Υπάξρεη πξνζωπηθόο θάθεινο γηα ηνλ θαζέλα;

• Θα είλαη παξόληεο θαηά ηελ έξεπλα;

• Πνην είλαη ην ωξάξην εξγαζίαο;

• Δίλαη θάπνηνο ύπνπηνο; Αλ λαη,– πνηνο είλαη ν ζηαζκόο εξγαζίαο ηνπ;

– Πνην ην όλνκα ρξήζηε θαη ζπλζεκαηηθό ηνπ;

– Υπάξρεη δηαζέζηκε θωηνγξαθία ηνπ;

– Υπάξρεη θηιηθό πξνο απηόλ πξόζωπν ζην ρώξν εξγαζίαο;


Πιεξνθνξηαθό Σύζηεκα

• Πνιιά δηαθνξεηηθά Λεηηνπξγηθά Σπζηήκαηα.

• Βνήζεηα από εμεηδηθεπκέλνπο δηαρεηξηζηέο;

• Τη είδνπο πιεξνθνξία αλαδεηείηαη;

• Έρνπκε πξόζβαζε ζε όια ηα αξρεία;

• Υπάξρεη ινγηζκηθό επηβνιήο θαη παξαθνινύζεζεο πνιηηηθήο αζθάιεηαο;

• Ψξάξην ιεηηνπξγίαο Η/Υ.

• Υπάξρεη δηθηύωζε ελζύξκαηε ή αζύξκαηε (ηη εκβέιεηαο);

• Υπάξρνπλ ζε άιιν ρώξν εμππεξεηεηέο (servers);

• Υπάξρεη δηαρεηξηζηήο θαη αλ λαη, είλαη ππάιιεινο ηεο εηαηξείαο ή εμωηεξηθόο ζπλεξγάηεο; Θα είλαη δηαζέζηκνο; Δίλαη κέξνο ηνπ πξνβιήκαηνο ή ηεο ιύζεο;

• Γηαηεξνύληαη αξρεία θαηαγξαθήο;

Η πξώηε αληαπόθξηζε – Δμνπιηζκόο

• Δξγαιεηνζήθε κε θαηζαβίδηα δηαθνξεηηθνύ ηύπνπ/κεγέζνπο, θνθηάθηα, δεκαηηθά

• Φαθόο (κε εθεδξηθέο κπαηαξίεο)

• Φεηξνπξγηθά γάληηα

• Χεθηαθή θάκεξα

• Πξνεθηάζεηο θαιωδίωλ

• Καιώδηα δηαζύλδεζεο δηαθνξεηηθώλ ηύπωλ (ata/sata/scsi/usb θιπ)

• Σπζθεπέο αδηάιεηπηεο παξνρήο ελέξγεηαο

• Γηθηπαθέο ζπζθεπέο (switch/θάξηεο δηθηύνπ)

• Δμωηεξηθέο ζπζθεπέο CD/DVD

• Bootable CD/DVD

• Κελνί (wiped) εμωηεξηθνύ δίζθνη

• Write blockers

• Δηηθέηεο/αληηζηαηηθέο ζαθνύιεο

Η πξώηε αληαπόθξηζε – Καηάζρεζε

• Tag it before you bag it! (Chain of custody)

• Φωηνγξάθεζε ηνπ αληηθεηκέλνπ ζηελ αξρηθή ηνπ ζέζε

• Γηα Η/Υ πνπ ιεηηνπξγνύλ, απαζαλάηηζε ηεο νζόλεο

• Γηαθνξεηηθόο ηξόπνο ηεξκαηηζκνύ ιεηηνπξγίαο αλάινγα ην Λεηηνπξγηθό Σύζηεκα

• Πξνζνρή ζηελ ύπαξμε UPS

Γεκηνπξγία πηζηνύ αληηγξάθνπ

Forensics

Γηαηήξεζε Δπηθύξωζε

Αναγνώπιζη και

καηαγπαθή

ΑνάλςζηΔπμηνεία

Παποςζίαζη

Γεκηνπξγία πηζηνύ αληηγξάθνπ - Δξγαιεία

• Hardware– Write Blockers

• Software– Custom Bootable media (Read only mount)

Γεκηνπξγία πηζηνύ αληηγξάθνπ - Δξγαιεία

• Λνγηζκηθό δεκηνπξγίαο αληηγξάθωλ– GNU dd

– EnCase

– FTK

• Δπηθύξωζε αληηγξάθνπ

– Hashing (md5, sha1 θιπ)

Αλαγλώξηζε

HASH SETS

• Αξρεία ρξήζηε (documents and settings - /home)

• Αξρεία εθαξκνγώλ (program files - /usr/local θιπ)

• Αξρεία ζπζηήκαηνο (c:\windows - /usr/lib, /etc θιπ)

• Αξρεία θαηαγξαθήο (event log - /var/log)

• Κάδνο αλαθύθιωζεο

• Μεηξών

• Restore Points (%systemroot%\system volume information)

• Windows Prefetch (%systemroot%\Windows\Prefetch)

Αξρεία εγθαηάζηαζεο

Αξρεία ζπζηήκαηνο

Αξρεία εθαξκνγώλ

Αλάιπζε – Τέρλε ή Δπηζηήκε;

Off

line Γηαηήξεζε

αθεξαηόηεηαο αξρείωλ

Διεγρόκελν πεξηβάιινλ

Liv

e

Άγλωζηεο ζπλέπεηεο από θαθόβνπιν

ινγηζκηθό

Παξαθνινύζεζε δηθηπαθήο

δξαζηεξηόηεηαο

Παξαθνινύζεζε δηεξγαζηώλ

Γπλαηόηεηα πξνζπέιαζεο RAM

Καλύηεπο δςναηό αποηέλεζμα

Αλάιπζε – Δξγαιεία

Offline Analysis

EnCase FTK Sleuthkit

• Πποζπέλαζη

NTFS/EXT/HPFS/FAT κ.α.

Slack Space

DD/VMWare/Virtual PC image

Exchange DB/Outlook PSΤ

IM chat history

Browsing History

• Απομακπςζμένη δημιοςπγία forensic system image

• Αναγνώπιζη ηύπυν απσείυν (hex magic number)

• Αςηόμαηορ ςπολογιζμόρ και ζύγκπιζη hash απσείυν

• Ταςηοποίηζη απσείυν με ηη ΒΓ ηος NIST

• Αναγνώπιζη και πποζπέλαζη κπςπηογπαθημένυν ανηιγπάθυν

(EFS, PGP, McAfee Safeboot, Symantec Guardian Edge

• Γημιοςπγία αναθοπών


Live Analysis

Windows Unix

• arp

• attrib

• auditpol

• autoruns

• drivers

• dumpel

• efsinfo

• fport

• handle

• ipconfig

• iplist

• netstat

• listdlls

• mem

• ntfsinfo

• ntlast

• arp

• lsof

• ifconfig

• netstat

• ps

• rkhunter/chkrootkit

• route

• strings

• uname

• whoami

• openport

• pclip

• promiscdetect

• ps

• psfile

• Psinfo

• psloggedon

• psservice

• reg

• regdump

• RootkitRevealer

• Route

• streams

• strings

• whoami


Live Analysis

RAM DUMP

Moonsols Windows Memory ToolkitΜεηαηποπή για πεπαιηέπυ ανάλςζη από επγαλεία όπυρ ηο WinDbg ηυν:

• απσεία ένδειξηρ ζθαλμάηυν (memory crash dumps)

• απσεία αδπανοποίηζηρ (hibernation files)

• απσεία μνήμηρ VMWare

• απσεία μνήμηρ πος ζςλλέγονηαι από ηο win32dd

Linux Αποθήκεςζη με σπήζη ηηρ dd

• /dev/mem - /dev/kmem (για παλιόηεπερ εκδόζειρ ηος πςπήνα)

• /dev/crash

• /dev/fmem

MacOSΔμποπική εθαπμογή goldfish (διαηίθεηαι μόνο ζε κςβεπνηηικέρ ςπηπεζίερ)

• Φιλικό γπαθικό πεπιβάλλον

• Αςηόμαηη εξαγυγή κυδικών ππόζβαζηρ

• Πποβολή ζςνομιλιών IM κλπ

Γεκηνπξγία αλαθνξώλ

Δίλαη πξόθιεζε λα θαηαζθεπαζηεί έλα ωξαίν

«πεξηηύιηγκα» ηωλ ηερληθώλ ιεπηνκεξεηώλ ην νπνίν λα

είλαη επθνινλόεην (από εηζαγγειείο/δηθαζηέο/ελόξθνπο)

ρωξίο λα ράλεη ηελ νπζία ζηα ηερληθά ζέκαηα.

Όιεο νη ζνπίηεο ηνπ θιάδνπ πξνζθέξνπλ ηελ δπλαηόηεηα

απηόκαηεο δεκηνπξγίαο αλαθνξώλ. Αθόκε θαη ην δωξεάλ

SleuthKit.

Slide masterΕςσαπιζηώ για ηην πποζοσή ζαρ.

Kourvoulis ptyxiaki

Education

Transcript of Kourvoulis ptyxiaki