COMMUNITIES TO COMMUNITIES
Krzysztof BińkowskiTrener, KonsultantCompendium CE, ISSA Polska
14.03.2009
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Cel prezentacji
Zapoznanie z podstawowymi technikami ukrywaniainformacji oraz ich praktyczne poszukiwanie na
przykładziedziałającego systemu.
Minimum wykładu więcej praktycznych demonstracji.
Agenda• Scenariusz i plan działania• Computer Forensics – informatyka śledcza• Dowód elektroniczny• Jak wykonać kopię dysku spełniającą cechy
dowodu• Analiza danych użytkownika
• Poszukiwanie śladów:• Komunikatory: Gadu-Gadu, SKYPE• Poczta elektroniczna MS Outlook• Historia odwiedzanych stron – IE• Pliki - ADS• Pliki graficzne i steganografia• Podsumowanie zebranych dowodów
Scenariusz działania praktycznego
• Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę
Jan Kowalski firma A - kolega Andrzeja Nowaka firma BPan Nowak – pracuje u konkurencji
Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego– Office 2003, MS Outlook + pop3, GG, Skype– Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi
danymiPlanowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych– Wnioski
Informatyka śledcza w wielkim skrócie
Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
Ogólny schemat procesu dochodzeniowego
Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
Ocena Pozyskiwanie Analiza Raport
· Zapoznaj się z obowiazującymi procedurami i wytycznymi
· Wybierz zespół specjalistów
· Przygptuj się do zabezpieczania danych
· Przygotuj narzędzia do analizy
· Zbierz i zabezpiecz dane
· Zachowaj i zarchiwizuj zgromadzone dane
· Zbierz i uporządkuj zebrane dane
· Wykonaj raport
· Analiza danych sieciowych
· Analiza danych zawartych na nośnikach zewnętrznych
Dowód elektronicznyDowodem elektronicznym* nazywamy jakikolwiek sprzęt
komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.
Dowód, który będzie użyty w procesie sądowym powinien być:
• kompletny• prawdziwy• niepodważalny• przekonywujący• zdobyty zgodnie z prawem
* Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
Zbieranie danych nieulotnych – proces gromadzenia
Proces klonowania dysków (tworzenia obrazów) możemy wykonać na
kilka sposobów:
• Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku
• Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy
• Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizyczny
Pamiętajmy:• Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-
bit) !!! • Oprócz klastrów z danymi powinny zostać skopiowane pozostałe
obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
• Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY
• Zaopatrzmy się w odpowiednio duży dysk !!!
Tworzenie obrazu dyskuOFFLINE – dane nieulotone : • Uruchamiamy i bootujemy system CF z płyty CD/DVD
Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny)
ONLINE – dane ulotne : • Uruchamiamy program tworzący obraz z płyty CD,nośnika USB
lub sieciNp.. FTK Imager
Tworzenie i składowanie kopii obrazu : • Dysk twardy połączony przez IDE/SATA/USB • Pendrive USB • Poprzez sieć na innym komputerze, serwerze• Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
Tworzenie obrazu dysku na potrzeby dalszej analizyDarmowe:• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na
stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=\\.\PhysicalDrive0 of=d:\ \plik1.img
• FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)
Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach,
szczegóły licencji dostępne są na stronie producenta.
FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
Format pliku obrazu dysku odczyt zapis
dd RAW
EnCase E01
FTK Imager logical image
Ghost (tylko nieskompresowane obrazy
dysku)
SafeBack (tylko do wersji 2.0)
SMART (S01)
■
■
■
■
■
■
■
■
■
■
DEMO – Tworzenie obrazu dysku• Wykorzystamy - bezpłatną wersję, już
niedostępną : Helix_V1.9-07-13a-2007.iso
http://www.e-fense.com/
Helix3 Pro pojawi się około kwietnia 2009Wykonamy kopię obrazu
Konwersja i uruchomienie pliku obrazu w wirtualnej maszynie:
Live View - http://liveview.sourceforge.net/Mount Image Pro – podłączenie obrazu DD jak dysk w
systemieTRAIL – 30 dni testów
Analiza danych użytkownika• poczta elektroniczna• dokumenty elektroniczne• pliki tymczasowe• partycje/ pliki wymiany• logi i rejestry• dane przeglądarki• pliki kolejkowania wydruku• cookies• dane skasowane• dane z backupu• Ukrywanie tekstu w plikach graficznych
(steganography)• Inne …..
Poszukiwanie śladów: Skasowane plikiŚmietnik - Recycle BinSkasowane pliki - czy na pewno są usunięte z dysku ?
• Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane
• Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki
• Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
Poszukiwanie śladów: Skasowane pliki
Darmowe : • Recuva - http://www.recuva.com/• File Recovery• wiele innych
Komercyjne: • Ontrack EasyRecovery, Recover My Files, inne
Poszukiwanie śladów: Skasowane pliki
- raport plików z FTK Imager- Recuva, Recover My Files
DEMO
Poszukiwanie śladów: GaduGadu i Skype
Bogactwo komunikatorów: Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innych
Zastosowanie : • Biznesowe • Prywatne• Ograniczenie kosztów rozmów telefonicznych
Przeważnie pozostawią ślady w postaci plików zawierających logi lub archiwa
Każdy komunikator i jego wersja wymaga unikalnego podejścia !
Poszukiwanie śladów: GaduGadu i Skype• GG Tools – zestaw od odzyskiwania archiwum GG• http://mortka.pl/
• Ggarch - poszukiwanie pliku archives.dat• Ggundel – odzyskiwanie skasowanego archiwum
przez aplikację GGhttp://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip
• Skypelogview – http://www.nirsoft.net/utils/skype_log_view.html
C:\Documents and Settings\[Profile Name]\Application Data\Skype\[Skype User]
Szukamy pliku main.db
Poszukiwanie śladów: GaduGadu i Skype
GGTools i Skypelogview
DEMO
Poszukiwanie śladów: Poczta MS OutlookCzy ktoś dzisiaj jeszcze nie korzysta z poczty
elektronicznej ? Co jest przesyłane pocztą elektroniczną ?
Najbardziej popularne aplikacje: • Outlook Express, MS Outlook• ThunderBird, The Bat • Poczta przez witrynę www• wiele innych
Poszukiwanie śladów: Poczta MS Outlook
• Odzyskiwanie hasła do pliku PST• PstPassword -
http://www.nirsoft.net/utils/pst_password.html
• Odzyskiwanie skasowanych emaili:
Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ?
• Recover My Email - http://www.recover-my-email.com/ - wersja trial
Poszukiwanie śladów: Poczta MS Outlook
pstPassword i RecoverMyEmail
DEMO
Poszukiwanie śladów:
Historia odwiedzanych stron IE i FireFoxCharakterystyczny plik index.dat
Przykładowe narzędzia:Web Browser Tools Package
-http://www.nirsoft.net/web_browser_tools.html
• IECookiesView , IEHistoryView, IECacheView • MozillaCookiesView , MozillaHistoryView , MozillaCacheView • OperaCacheView , ChromeCacheView , Inne
• Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.php
inne• Pasco - http://sourceforge.net/projects/odessa• Galleta - - http://sourceforge.net/projects/odessa
Poszukiwanie śladów:
Historia odwiedzanych stron IE
IEHistoryView, IECacheView, IECookiesView
DEMO
Poszukiwanie śladów:
Pliki i ADS - alternate data streams
ADS – Alternatywne strumienie danych:
• Własność NTFS ( znana od Win NT 3.1 ) • Stworzona w celu kompatybilności z HFS • (Macintosh hierarchical file system )
• Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA
• Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
Poszukiwanie śladów:
Pliki i ADS - alternate data streams• streams.exe (Sysinternals) – darmowe
narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS)
• dir /r (MS Vista)
• LADS.exe , ADSDetector, ADSSpy, sfind.exe• inne
Poszukiwanie śladów:
Pliki i ADS - alternate data streams
- ADS - edycja plików w Notepad- uruchomienie plików ukrytych
DEMO
Tworzymy plik tekstowy test.txt dir > test.txt:strumien.txt dirstreams.exe test.txtNotepad.exe test.txt:strumien.txtdel plik:strumien
Type notepad.exe > calc.exe:virus.exestart c:\calc.exe:virus.exe
Poszukiwanie śladów: pliki graficzne i steganografia
Steganografia:
• Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka
• Znane od dawna, np. atrament sympatyczny, długopis UV
• Szyfrowanie danych w plikach graficznych• Przesyłanie zaszyfrowanych plików bądź
informacji tekstowych• Do przesyłania przeważnie używa się kanałów
publicznych, emaile, serwery www etc
Poszukiwanie śladów: pliki graficzne i steganografia
Przykładowe aplikacje do ukrywania danych w plikach graficznych:
Trojan Image Security ImageHackS-Tools i wiele wiele innych ….
Poszukiwanie śladów: pliki graficzne i steganografia
copy /b plik.jpg + plik.rar plik_wynikowy.jpg
Aplikacja Trojan
DEMO
Wnioski przykładowe:
Pan Jan Kowalski – był w stałym kontakcie – o czym
świadczy archiwum GaduGadu
Pan Jan Kowalski – wysłał emailem pliki do Pana
Andrzeja Nowaka :
bmw32.bmp i Sexy_Bikini_0362.bmp
zawierające poufne dane :
Plan_fundusz.xls i Lista_plac_2009_01.xls
ukryte za pomocą steganografii
Anti-forensics:
Czy zawsze tak łatwo można zbadać każdy komputer ?
Niestety NIE :(
Techniki anti-forensics :
• Szyfrowanie dysków , np. TrueCrypt, EFS • Szyfrowanie poczty elektronicznej• Bezpieczne kasowanie danych , np. Eraser, DBAN• Steganografia – stosowanie silnych haseł i
algorytmów• Czyszczenie śladów aktywności użytkownika w
internecie• Przechowywanie danych i programów na pendrive
np. 64 GB PortableApps, U3 • Korzystanie z systemów Live CD • i inne
Literatura (darmowa):
• Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx
• First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html
• First Responders Guide to Computer Forensics: Advanced Topicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
MSSUG, czyli
Microsoft Security Solutions User Group
WGUiSW, czyli Warszawska Grupa Użytkowników i Specjalistów Windows
Najbliższe spotkanie 7.04.2008
Krzysztof Bińkowski Paweł Pławiak Krzysztof Pietrzak
Wykład Wykład Wykład
Praktyczne zastosowanie kart inteligentnych
Shadow Groups & Subscriptions Groups
Wprowadzenie do grupy Security - MSSUG
ISSA Polska
Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych
Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa
Wstęp wolny
Pytania ?
Top Related