Your SlideShare is downloading. ×
  • Like
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Podążając śladami użytkownika Windows – elementy informatyki śledczej

  • 1,148 views
Published

Podążając śladami użytkownika Windows – elementy informatyki śledczej

Podążając śladami użytkownika Windows – elementy informatyki śledczej

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,148
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
14
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Krzysztof BińkowskiTrener, KonsultantCompendium CE, ISSA Polska 14.03.2009
  • 2. Zapoznanie z podstawowymi technikami ukrywaniainformacji oraz ich praktyczne poszukiwanie na przykładziedziałającego systemu.Minimum wykładu więcej praktycznych demonstracji.
  • 3. • Scenariusz i plan działania• Computer Forensics – informatyka śledcza• Dowód elektroniczny• Jak wykonać kopię dysku spełniającą cechy dowodu• Analiza danych użytkownika• Poszukiwanie śladów:• Komunikatory: Gadu-Gadu, SKYPE• Poczta elektroniczna MS Outlook• Historia odwiedzanych stron – IE• Pliki - ADS• Pliki graficzne i steganografia• Podsumowanie zebranych dowodów
  • 4. • Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę Jan Kowalski firma A - kolega Andrzeja Nowaka firma B Pan Nowak – pracuje u konkurencji  Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego – Office 2003, MS Outlook + pop3, GG, Skype – Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi danymi Planowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych – Wnioski
  • 5. Ogólny schemat procesu dochodzeniowegoOcena Pozyskiwanie Analiza RaportZapoznaj się z Przygotujobowiazującymi narzędzia doprocedurami i analizy Analiza danych Zbierz i sieciowychwytycznymi Zbierz i uporządkujWybierz zespół zabezpiecz dane Analiza danych zebrane danespecjalistów Zachowaj i zawartych na Wykonaj raportPrzygptuj się do zarchiwizuj nośnikachzabezpieczania zgromadzone zewnętrznychdanych dane Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
  • 6. Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.Dowód, który będzie użyty w procesie sądowym powinien być:• kompletny• prawdziwy• niepodważalny• przekonywujący• zdobyty zgodnie z prawem* Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
  • 7. Proces klonowania dysków (tworzenia obrazów) możemy wykonać nakilka sposobów:• Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku• Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy• Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizycznyPamiętajmy:• Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!!• Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.• Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY• Zaopatrzmy się w odpowiednio duży dysk !!!
  • 8. OFFLINE – dane nieulotone :• Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux LiveNp.. Helix, Encase (komercyjny)ONLINE – dane ulotne :• Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieciNp.. FTK ImagerTworzenie i składowanie kopii obrazu :• Dysk twardy połączony przez IDE/SATA/USB• Pendrive USB• Poprzez sieć na innym komputerze, serwerze• Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
  • 9. Darmowe:• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=.PhysicalDrive0 of=d: plik1.img• FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach,szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) SafeBack (tylko do wersji 2.0) SMART (S01)FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
  • 10. • Wykorzystamy - bezpłatną wersję, już niedostępną : Helix_V1.9-07-13a-2007.iso http://www.e-fense.com/ Helix3 Pro pojawi się około kwietnia 2009Wykonamy kopię obrazuKonwersja i uruchomienie pliku obrazu w wirtualnej maszynie:Live View - http://liveview.sourceforge.net/Mount Image Pro – podłączenie obrazu DD jak dysk w systemieTRAIL – 30 dni testów
  • 11. • poczta elektroniczna• dokumenty elektroniczne• pliki tymczasowe• partycje/ pliki wymiany• logi i rejestry• dane przeglądarki• pliki kolejkowania wydruku• cookies• dane skasowane• dane z backupu• Ukrywanie tekstu w plikach graficznych (steganography)• Inne …..
  • 12. Śmietnik - Recycle BinSkasowane pliki - czy na pewno są usunięte z dysku ?• Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane• Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki• Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
  • 13. Darmowe :• Recuva - http://www.recuva.com/• File Recovery• wiele innychKomercyjne:• Ontrack EasyRecovery, Recover My Files, inne
  • 14. Bogactwo komunikatorów:Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innychZastosowanie :• Biznesowe• Prywatne• Ograniczenie kosztów rozmów telefonicznychPrzeważnie pozostawią ślady w postaci plików zawierających logi lub archiwaKażdy komunikator i jego wersja wymaga unikalnego podejścia !
  • 15. • GG Tools – zestaw od odzyskiwania archiwum GG• http://mortka.pl/• Ggarch - poszukiwanie pliku archives.dat• Ggundel – odzyskiwanie skasowanego archiwum przez aplikację GG http://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip• Skypelogview – http://www.nirsoft.net/utils/skype_log_view.htmlC:Documents and Settings[Profile Name]Application DataSkype[Skype User]Szukamy pliku main.db
  • 16. Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ?Co jest przesyłane pocztą elektroniczną ?Najbardziej popularne aplikacje:• Outlook Express, MS Outlook• ThunderBird, The Bat• Poczta przez witrynę www• wiele innych
  • 17. • Odzyskiwanie hasła do pliku PST• PstPassword - http://www.nirsoft.net/utils/pst_password.html• Odzyskiwanie skasowanych emaili:Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ?• Recover My Email - http://www.recover-my-email.com/ - wersja trial
  • 18. Charakterystyczny plik index.datPrzykładowe narzędzia:Web Browser Tools Package -http://www.nirsoft.net/web_browser_tools.html• IECookiesView , IEHistoryView, IECacheView• MozillaCookiesView , MozillaHistoryView , MozillaCacheView• OperaCacheView , ChromeCacheView , Inne• Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.phpinne• Pasco - http://sourceforge.net/projects/odessa• Galleta - - http://sourceforge.net/projects/odessa
  • 19. ADS – Alternatywne strumienie danych:• Własność NTFS ( znana od Win NT 3.1 )• Stworzona w celu kompatybilności z HFS• (Macintosh hierarchical file system )• Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA• Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
  • 20. • streams.exe (Sysinternals) – darmowe narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS)• dir /r (MS Vista)• LADS.exe , ADSDetector, ADSSpy, sfind.exe• inne
  • 21. Tworzymy plik tekstowy test.txtdir > test.txt:strumien.txtdirstreams.exe test.txtNotepad.exe test.txt:strumien.txtdel plik:strumienType notepad.exe > calc.exe:virus.exestart c:calc.exe:virus.exe
  • 22. Steganografia:• Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka• Znane od dawna, np. atrament sympatyczny, długopis UV• Szyfrowanie danych w plikach graficznych• Przesyłanie zaszyfrowanych plików bądź informacji tekstowych• Do przesyłania przeważnie używa się kanałów publicznych, emaile, serwery www etc
  • 23. Pan Jan Kowalski – był w stałym kontakcie – o czym świadczyarchiwum GaduGaduPan Jan Kowalski – wysłał emailem pliki do Pana AndrzejaNowaka :bmw32.bmp i Sexy_Bikini_0362.bmpzawierające poufne dane :Plan_fundusz.xls i Lista_plac_2009_01.xlsukryte za pomocą steganografii
  • 24. Czy zawsze tak łatwo można zbadać każdy komputer ?Niestety NIE :(Techniki anti-forensics :• Szyfrowanie dysków , np. TrueCrypt, EFS• Szyfrowanie poczty elektronicznej• Bezpieczne kasowanie danych , np. Eraser, DBAN• Steganografia – stosowanie silnych haseł i algorytmów• Czyszczenie śladów aktywności użytkownika w internecie• Przechowywanie danych i programów na pendrive np. 64 GB PortableApps, U3• Korzystanie z systemów Live CD• i inne
  • 25. • Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx• First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html• First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
  • 26. Najbliższe spotkanie 7.04.2008Krzysztof Bińkowski Paweł Pławiak Krzysztof PietrzakWykład Wykład WykładPraktyczne zastosowanie Shadow Groups & Wprowadzenie do grupykart inteligentnych Subscriptions Groups Security - MSSUG
  • 27. Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa Wstęp wolny
  • 28. Krzysztof.Binkowski@gmail.com