SlideShare a Scribd company logo

Cis 2016 moč forenzičikih alata 1.1

Download as PPTX, PDF
Damir Delija
Damir Delija

Lecture about digital forensics tools, Draft version video capture is available from https://www.fer.unizg.hr/?@=2iomm

Education
1 of 31
Moć forenzičkih alata CIS FER 2016 Damir Delija Dr.Sc.E.E
Plan predavanja  Cilj prezentacije  dati pregled što je računalna forenzika i kakvi su alati na raspolaganju  Proći će se kroz  što je računalna forenzika  alati, komercijalni i open source  primjene i uvođenja alata u postojeće velike sustave
Razvoj računalne forenzike • Dva su osnovna motiva razvoja – razvoj računalnih znanosti – razvoj računalnih incidenata tj užem smislu računalni kriminal ( uvjek vodi ...)  Kao grana računalna forenzika relativno nova, ali postupci su tu od prvih dana korištenja računala (jedan od najranijih slučajeva Moris worm 1988)  Metode računalne forenzike rade i za debugging sustava – pouzdano znati što se i kako desilo
Računalna forenzika DigitalForensic, Judd Robbins: “Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining potential legal evidence„ Digital Evidence: „Digital evidence or electronic evidence is any probative information stored or transmitted in digital form that a party to a court case may use at trial.” Postoji „Forensic Computing”, V.Venema, D.Farmer kasne 1990’s: „Gathering and analyzing data in a manner as free from distortion or bias as possible to reconstruct data or what has happened in the past on a system.” Digital evidence + Forensic Computing = Digital Forensic
Računalna forenzika Cilj računalne forenzike je da prikaže i objasni stanje stanje digitalnih artefakata. Digitalni artefakti mogu biti - računalni sistem, - storage media, - eletronički dokument, - niz paketa u kretanju po mreži ...
Zahtjevi na postupak računalne forenzike  Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi  Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom sustavu – ako je ikako moguće  Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza  izuzetno važno - za sve mora postojati zapis/opis  Čista zdrava znastvena metoda 
Legalni kriteriji Da bi forenzička tehnika bila legalno prihvatljiva • Da li je tehnika i postupak pouzdano testiran  Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice  Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka  Da li je tehnika i postupak prihvaćena od znanstvene zajednice.
Alati i ekspertiza Postoje alati za forenziku računalnog sustava od nivoa raw data, preko operacijskog sustava i sklopovlja, do aplikacijskog sloja Ekspertiza vrlo rijetka Što se više ulazi u neku specifično područje to je situacija gora .... Dvije glavne grane ekspertize • Akademska – open source /UNIX oriented • Istražiteljska –law enforcement oriented
Komercijalni alati ili Opensource  Nema idealnog alata  može postojati zahtjevani alat!  Prednost sa pravne strane na komercijalnim alatima  Opensource dodatni / kontrolni  Filozofija odabira alata ista kao i za druge korporativne sustave  ključno je što mislite raditi i kako, u vašem sustavu
Alati • EnCase Guidance Software • FTK • SleuthKit / The Coroner's Toolkit (TCT) • Helix CD • UFED • XRAY • Belkasoft • GRR Google framework
Koraci forenzičkog postupka Priprema : priprema alata i opreme potrebne za forenzički postupak; Prikupljanje : prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih objekata koji sadrže elektroničke dokaze Ispitivanje dokaza : izdvajanje dokaza iz prikupljenog materijala Analiza : analiza dokaza prikupljenih u koraku ispitivanja dokaza Izvještavanje : izrada izvještaja o nalazima
Računalna forenzika - obzirom na obuhvat sustava Forenzika mobilnih uređaja – profilira se kao posebno područje, vrlo kaotično Forenzika pojedinačnog računala (host based) – najčešći slučaj - analize radne stanice – ulazi i forenzika aplikacije, uređaja Mrežnu forenziku (network enabled, system forensic) – analiza sustava kao umrežene cjeline, analiza sustava na razini mreže, analiza prometa na mreži, upravljanja mrežom Forenzika logova sustava (system log forensic) – rad sa zapisima – posebna nauka i alati
Forenzika sustava Mrežna forenzika (network enabled, system forensic) – analiza sustava kao umrežene cjeline, – analizu sustava na razini mreže, – analizu prometa na mreži, upravljanja mrežom – analiza aplikacija Danas svaki puta live forensic – Agent / servlet – Pasivni nadzor
Forenzika živog sustava • Live forensic - analiza aktivnog uređaja ili sustava čiji se rad ne smije prekidati • Najčešća na sustavima i sve češća u host forensic • Radi se i na pojedinačnim uređajima i skupinama • Postoji način na koji se na forenzički prihvatljiv način bilježe stanja uređaja – Agent / servlet – Pasivni nadzor
Standardni koraci računalne forenzike za računalne sustave  Pokretanje dokumentiranog opisa incidentnog događaja u sustavu  Identificiranje i kontrola incidenta  Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima  Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka  Prikupljanje i klasificiranje metadata podataka po vremenu  Povezivanje svih informacija o događajima u lanac događaja na osnovi vremena  Analiza metadata timelinea  Dokumentiranje cijelog forenzičkog procesa i izvještavanje  Korištenje rezultata u daljim koracima • Detaljna analiza ključnih podatka iz forenzičkg izvještaja • Sudjelovanje u revizijama
Računalna forenzika - po pristupu • Proaktivna računalna forenzika – to je primjena metoda računalne forenzike na zdravom sustavu za dobivanje "baseline" (potpisa) sustava • Retroaktivna računalna forenzika (klasična forenzika) – to je primjena nakon događaja – klasični post mortem – ide i bez proaktivne ali puno manja efikasnost Preduvjet za forenziku je kvalitetna računalna administracija sustava (tj. pripremljen teren za rad)
Rezultat forenzičkog postupka - završno izvješće o incidentu • Završno izvješće o incidentu – sadrži relevantne podatke o incidentu – sadrži opis postupka • Informacije iz tog izvješća moraju omogućiti: – prepoznavanje izvora događaja; – prepoznavanja i uklanjanje sigurnosnih propusta • Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava
Primjene i uvođenja u postojeće sustave  Primjene i uvođenja u postojeće velike sustave  dio incident responsa (IR)  dio preventivne pripreme i normalnog fukcioniranja sustava  Samo novi pogled na stare prokušane tehnike kontrole sustava  dobra administracija sustva  Dio pripreme za nastavak poslovanja  bitno razumjevanje važnosti metoda forenzike
Uloga u IT sustavima - područja • Forenzika baza podataka • Forenzika aplikacija / poslužitelja • Forenzika logova / zapisa • Forenzika mrežne opreme • Forenzika multimedije (IP telefonija) • Forenzika Scada sustava – procesno /industrijsko upravljanje • Forenzika mobilnih uređaja i sustava • Forenzika ugrađenih sustava • Forenzika osobnih računala
Forenzika baza podataka • Nema namjenskog alata • Ekspertiza jako rijetka • Sustavi složeni, velika količina podataka, visoka raspoloživost – zgodno znati svaki podatak ima cca 11 kopija negdje u sustavu • Incidenti ostaju u kući • Izvještaj od Verizona "2008 DATA BREACH INVESTIGATIONS REPORT Four Years of Forensic Research. More than 500 Cases. One Comprehensive Report"
Forenzika scada sustava • Orgormna važnost energetika, industrija ... • Danas - forenzika windows platforme i scada aplikacije • Nekada - forenzika namjenskog uređaja • Kompleksna okolina u pravilu loše administrirana – računalno nije primarno
Forenzika mobilnih uređaja • Malo namjenskih alata – UFED, XRAY – Sleuthkit • Mali postotak podržanih uređaja • Crne i sive metode ( kloniranja ...)
Forenzika mrežnih uređaja • Nema namjenskih alata • Live forensic i forenzika logova
Područja računalnih znanja Operativni sistemi • windows, linux, mac, unix, Hardware • intel, mobilni uređaji, sparc, powerpc, scada sustavi, embeded sustavi Aplikacije • ono što korisnici koriste sa i bez svog znanja Mreža, mrežni servisi i usluge
File systems FAT, NTFS, EXT, UFS, HSFS .. oko 100 i bez FSa (baze podataka raw partitions) Razni aspekti koji se mijenjaju: • Organizacija prostora • Podržani mediji • Podržani OS • prava i vlasništvo nad objektima • Enkripcija • Kompresija • Backup • Brisanje • Terminologija
Mobilni uređaji Svi uređaji u osnovi selfcontained U užem smislu smatphones • apple ios, • android, • windows ali i GPS, tableti, stari mobiteli i još štošta Razni proizvođači Razni OSovi Razni FS i načini pohrane i kodiranja podataka Više izuzetaka nego pravila Međusobna nekompatibilnost forenzičkih alata
Mreža i mrežni servisi Uže područje digitalne forenzike – mrežna forenzika TCP/IP v4, v6 Legacy mrežni protokoli Bežične veze posebno područje samo za sebe Broadband Malware analiza
Aplikacije i programi Email klijenti (outlook, webmail) Email serveri (exchange) Chat, messengers, voip (skype) web browseri • explorer • mozzila • opera • chrome Koji su forenzički relevantni artefakti i gdje ovisno o OS platformi, verziji, konfiguraciji Kojim alatima se i sa kojom pouzdanošću može doći do artefakata
Linkovi i siteovi • Internet prepun referenci ... • Različiti aspekti računalne sigurnosti http://forensics.sans.org/community/downloads/ "SANS Computer forensic and E-Discovery" SANS portal za računalnu forenziku
Zaključak  Računalna forenzika je dio kontrole i oporavka od incidenta  tu je bitno prepoznavanje (ne)mogućnosti računalne forenzike  Canned alati i ekspertiza su jako upitni, treba puni raditi i ulagati  U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata  incidenti se ne mogu više držati unutar kuće  incidenati moraju biti legalno ispravno odrađeni  Korištenje metoda računalne forenzike mora biti sustavno i ugrađeno u organizaciju  Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganju  problemi sa upravama Bez takvog pristupa sustavi su izuzetno ugroženi
Pitanja ? damir.delija@insig2.eu www.insig2.eu

Recommended

2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza 2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza
Damir Delija
 
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Damir Delija
 
Digitalni dokazi forenzicki alati i standardi
Digitalni dokazi forenzicki alati i standardiDigitalni dokazi forenzicki alati i standardi
Digitalni dokazi forenzicki alati i standardi
Dejan Jeremic
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacija
Damir Delija
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
Damir Delija
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
Damir Delija
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 
Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2
Damir Delija
 

Recommended

2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza 2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza
Damir Delija
 
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...
Damir Delija
 
Digitalni dokazi forenzicki alati i standardi
Digitalni dokazi forenzicki alati i standardiDigitalni dokazi forenzicki alati i standardi
Digitalni dokazi forenzicki alati i standardi
Dejan Jeremic
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacija
Damir Delija
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
Damir Delija
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
Damir Delija
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 
Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2
Damir Delija
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Damir Delija
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
Dinko Korunic
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013
Damir Delija
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009
Damir Delija
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenzici
Damir Delija
 
Infrastuktura i povezivanje
Infrastuktura i povezivanjeInfrastuktura i povezivanje
Infrastuktura i povezivanje
Nikola Damjanović
 
White paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduWhite paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT Cloudu
Hrvatski Telekom
 
Kompjutorski kriminalitet v13_2014-15
Kompjutorski kriminalitet v13_2014-15Kompjutorski kriminalitet v13_2014-15
Kompjutorski kriminalitet v13_2014-15
Leonardo Miljko
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a
Pogled kroz prozor
 
Ekspertni sustavi
Ekspertni sustaviEkspertni sustavi
Ekspertni sustavi
Kruno Ris
 
Informacijski sustavi - Maja Petras i Antonia Oršolić
Informacijski sustavi - Maja Petras i Antonia OršolićInformacijski sustavi - Maja Petras i Antonia Oršolić
Informacijski sustavi - Maja Petras i Antonia Oršolić
Privatna srednja ekonomska skola INOVA s pravom javnosti
 
Master thesis presentation
Master thesis presentationMaster thesis presentation
Master thesis presentation
TamaraSvilii
 
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u CloudAnaliza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
Tomislav Lulic
 
Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustava
Andjelko Markulin
 
Informatika
InformatikaInformatika
Informatika
josipakatarinanata
 
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
stevansek
 
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
IT Showoff
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacic
Pogled kroz prozor
 
It revizija
It revizijaIt revizija
It revizija
Semir Ibrahimovic
 
Sf2010
Sf2010Sf2010
Sf2010
tkisason
 
6414 preparation and planning of the development of a proficiency test in the...
6414 preparation and planning of the development of a proficiency test in the...6414 preparation and planning of the development of a proficiency test in the...
6414 preparation and planning of the development of a proficiency test in the...
Damir Delija
 
6528 opensource intelligence as the new introduction in the graduate cybersec...
6528 opensource intelligence as the new introduction in the graduate cybersec...6528 opensource intelligence as the new introduction in the graduate cybersec...
6528 opensource intelligence as the new introduction in the graduate cybersec...
Damir Delija
 

More Related Content

Similar to Cis 2016 moč forenzičikih alata 1.1

Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Damir Delija
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
Dinko Korunic
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013
Damir Delija
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009
Damir Delija
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a
Pogled kroz prozor
 
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u CloudAnaliza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
Tomislav Lulic
 
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
IT Showoff
 

Similar to Cis 2016 moč forenzičikih alata 1.1 (20)

Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenzici
 
Infrastuktura i povezivanje
Infrastuktura i povezivanjeInfrastuktura i povezivanje
Infrastuktura i povezivanje
 
White paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduWhite paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT Cloudu
 
Kompjutorski kriminalitet v13_2014-15
Kompjutorski kriminalitet v13_2014-15Kompjutorski kriminalitet v13_2014-15
Kompjutorski kriminalitet v13_2014-15
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a
 
Ekspertni sustavi
Ekspertni sustaviEkspertni sustavi
Ekspertni sustavi
 
Informacijski sustavi - Maja Petras i Antonia Oršolić
Informacijski sustavi - Maja Petras i Antonia OršolićInformacijski sustavi - Maja Petras i Antonia Oršolić
Informacijski sustavi - Maja Petras i Antonia Oršolić
 
Master thesis presentation
Master thesis presentationMaster thesis presentation
Master thesis presentation
 
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u CloudAnaliza softverske imovine koju koristite - prvi korak migraciji u Cloud
Analiza softverske imovine koju koristite - prvi korak migraciji u Cloud
 
Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustava
 
Informatika
InformatikaInformatika
Informatika
 
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
Oprema podsistema racunala i terminala informacijska i komunikacijska tehno...
 
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
Tomislav Pokrajčić, Ivica Kukić - Yet Another Vehicle Tracking System (IT Sho...
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacic
 
It revizija
It revizijaIt revizija
It revizija
 
Sf2010
Sf2010Sf2010
Sf2010
 

More from Damir Delija

Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
Damir Delija
 
Tip zlocina digitalni dokazi
Tip zlocina digitalni dokaziTip zlocina digitalni dokazi
Tip zlocina digitalni dokazi
Damir Delija
 
Sigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavimaSigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavima
Damir Delija
 
Improving data confidentiality in personal computer environment using on line...
Improving data confidentiality in personal computer environment using on line...Improving data confidentiality in personal computer environment using on line...
Improving data confidentiality in personal computer environment using on line...
Damir Delija
 
Communication network simulation on the unix system trough use of the remote ...
Communication network simulation on the unix system trough use of the remote ...Communication network simulation on the unix system trough use of the remote ...
Communication network simulation on the unix system trough use of the remote ...
Damir Delija
 
Mehanizmi razmjene poruka ostvareni preko RPCa
Mehanizmi razmjene poruka ostvareni preko RPCaMehanizmi razmjene poruka ostvareni preko RPCa
Mehanizmi razmjene poruka ostvareni preko RPCa
Damir Delija
 

More from Damir Delija (20)

6414 preparation and planning of the development of a proficiency test in the...
6414 preparation and planning of the development of a proficiency test in the...6414 preparation and planning of the development of a proficiency test in the...
6414 preparation and planning of the development of a proficiency test in the...
 
6528 opensource intelligence as the new introduction in the graduate cybersec...
6528 opensource intelligence as the new introduction in the graduate cybersec...6528 opensource intelligence as the new introduction in the graduate cybersec...
6528 opensource intelligence as the new introduction in the graduate cybersec...
 
Remote forensics fsec2016 delija draft
Remote forensics fsec2016 delija draftRemote forensics fsec2016 delija draft
Remote forensics fsec2016 delija draft
 
Ecase direct servlet acess v1
Ecase direct servlet acess v1Ecase direct servlet acess v1
Ecase direct servlet acess v1
 
Draft current state of digital forensic and data science
Draft current state of digital forensic and data science Draft current state of digital forensic and data science
Draft current state of digital forensic and data science
 
Why i hate digital forensics - draft
Why i hate digital forensics - draftWhy i hate digital forensics - draft
Why i hate digital forensics - draft
 
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...
 
Deep Web and Digital Investigations
Deep Web and Digital Investigations Deep Web and Digital Investigations
Deep Web and Digital Investigations
 
Datafoucs 2014 on line digital forensic investigations damir delija 2
Datafoucs 2014 on line digital forensic investigations damir delija 2Datafoucs 2014 on line digital forensic investigations damir delija 2
Datafoucs 2014 on line digital forensic investigations damir delija 2
 
EnCase Enterprise Basic File Collection
EnCase Enterprise Basic File Collection EnCase Enterprise Basic File Collection
EnCase Enterprise Basic File Collection
 
Ocr and EnCase
Ocr and EnCaseOcr and EnCase
Ocr and EnCase
 
LTEC 2013 - EnCase v7.08.01 presentation
LTEC 2013 - EnCase v7.08.01 presentation LTEC 2013 - EnCase v7.08.01 presentation
LTEC 2013 - EnCase v7.08.01 presentation
 
Usage aspects techniques for enterprise forensics data analytics tools
Usage aspects techniques for enterprise forensics data analytics toolsUsage aspects techniques for enterprise forensics data analytics tools
Usage aspects techniques for enterprise forensics data analytics tools
 
Ibm aix wlm idea
Ibm aix wlm ideaIbm aix wlm idea
Ibm aix wlm idea
 
Aix workload manager
Aix workload managerAix workload manager
Aix workload manager
 
Tip zlocina digitalni dokazi
Tip zlocina digitalni dokaziTip zlocina digitalni dokazi
Tip zlocina digitalni dokazi
 
Sigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavimaSigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavima
 
Improving data confidentiality in personal computer environment using on line...
Improving data confidentiality in personal computer environment using on line...Improving data confidentiality in personal computer environment using on line...
Improving data confidentiality in personal computer environment using on line...
 
Communication network simulation on the unix system trough use of the remote ...
Communication network simulation on the unix system trough use of the remote ...Communication network simulation on the unix system trough use of the remote ...
Communication network simulation on the unix system trough use of the remote ...
 
Mehanizmi razmjene poruka ostvareni preko RPCa
Mehanizmi razmjene poruka ostvareni preko RPCaMehanizmi razmjene poruka ostvareni preko RPCa
Mehanizmi razmjene poruka ostvareni preko RPCa
 

Cis 2016 moč forenzičikih alata 1.1

  • 1. Moć forenzičkih alata CIS FER 2016 Damir Delija Dr.Sc.E.E
  • 2. Plan predavanja  Cilj prezentacije  dati pregled što je računalna forenzika i kakvi su alati na raspolaganju  Proći će se kroz  što je računalna forenzika  alati, komercijalni i open source  primjene i uvođenja alata u postojeće velike sustave
  • 3. Razvoj računalne forenzike • Dva su osnovna motiva razvoja – razvoj računalnih znanosti – razvoj računalnih incidenata tj užem smislu računalni kriminal ( uvjek vodi ...)  Kao grana računalna forenzika relativno nova, ali postupci su tu od prvih dana korištenja računala (jedan od najranijih slučajeva Moris worm 1988)  Metode računalne forenzike rade i za debugging sustava – pouzdano znati što se i kako desilo
  • 4. Računalna forenzika DigitalForensic, Judd Robbins: “Computer Forensics is simply the application of computer investigation and analysis techniques in the interest of determining potential legal evidence„ Digital Evidence: „Digital evidence or electronic evidence is any probative information stored or transmitted in digital form that a party to a court case may use at trial.” Postoji „Forensic Computing”, V.Venema, D.Farmer kasne 1990’s: „Gathering and analyzing data in a manner as free from distortion or bias as possible to reconstruct data or what has happened in the past on a system.” Digital evidence + Forensic Computing = Digital Forensic
  • 5. Računalna forenzika Cilj računalne forenzike je da prikaže i objasni stanje stanje digitalnih artefakata. Digitalni artefakti mogu biti - računalni sistem, - storage media, - eletronički dokument, - niz paketa u kretanju po mreži ...
  • 6. Zahtjevi na postupak računalne forenzike  Postupak mora biti dobro dokumentiran i rezultati moraju biti ponovljivi  Princip "najbolji dokazni materijal" tj. analiza se radi na egzaktnoj kopiji a ne živom sustavu – ako je ikako moguće  Lanac kontrole dokaza (Chain of custody) mora garantirati pouzdanost dokaza  izuzetno važno - za sve mora postojati zapis/opis  Čista zdrava znastvena metoda 
  • 7. Legalni kriteriji Da bi forenzička tehnika bila legalno prihvatljiva • Da li je tehnika i postupak pouzdano testiran  Da li je tehnika i postupak objavljen, provjeren od znanstvene zajednice  Da li se pouzdano zna koja je vjerojatnost greške tehnike ili postupka  Da li je tehnika i postupak prihvaćena od znanstvene zajednice.
  • 8. Alati i ekspertiza Postoje alati za forenziku računalnog sustava od nivoa raw data, preko operacijskog sustava i sklopovlja, do aplikacijskog sloja Ekspertiza vrlo rijetka Što se više ulazi u neku specifično područje to je situacija gora .... Dvije glavne grane ekspertize • Akademska – open source /UNIX oriented • Istražiteljska –law enforcement oriented
  • 9. Komercijalni alati ili Opensource  Nema idealnog alata  može postojati zahtjevani alat!  Prednost sa pravne strane na komercijalnim alatima  Opensource dodatni / kontrolni  Filozofija odabira alata ista kao i za druge korporativne sustave  ključno je što mislite raditi i kako, u vašem sustavu
  • 10. Alati • EnCase Guidance Software • FTK • SleuthKit / The Coroner's Toolkit (TCT) • Helix CD • UFED • XRAY • Belkasoft • GRR Google framework
  • 11. Koraci forenzičkog postupka Priprema : priprema alata i opreme potrebne za forenzički postupak; Prikupljanje : prikupljanje dokumenta, logova, datoteka i izrada kopija fizičkih objekata koji sadrže elektroničke dokaze Ispitivanje dokaza : izdvajanje dokaza iz prikupljenog materijala Analiza : analiza dokaza prikupljenih u koraku ispitivanja dokaza Izvještavanje : izrada izvještaja o nalazima
  • 12. Računalna forenzika - obzirom na obuhvat sustava Forenzika mobilnih uređaja – profilira se kao posebno područje, vrlo kaotično Forenzika pojedinačnog računala (host based) – najčešći slučaj - analize radne stanice – ulazi i forenzika aplikacije, uređaja Mrežnu forenziku (network enabled, system forensic) – analiza sustava kao umrežene cjeline, analiza sustava na razini mreže, analiza prometa na mreži, upravljanja mrežom Forenzika logova sustava (system log forensic) – rad sa zapisima – posebna nauka i alati
  • 13. Forenzika sustava Mrežna forenzika (network enabled, system forensic) – analiza sustava kao umrežene cjeline, – analizu sustava na razini mreže, – analizu prometa na mreži, upravljanja mrežom – analiza aplikacija Danas svaki puta live forensic – Agent / servlet – Pasivni nadzor
  • 14. Forenzika živog sustava • Live forensic - analiza aktivnog uređaja ili sustava čiji se rad ne smije prekidati • Najčešća na sustavima i sve češća u host forensic • Radi se i na pojedinačnim uređajima i skupinama • Postoji način na koji se na forenzički prihvatljiv način bilježe stanja uređaja – Agent / servlet – Pasivni nadzor
  • 15. Standardni koraci računalne forenzike za računalne sustave  Pokretanje dokumentiranog opisa incidentnog događaja u sustavu  Identificiranje i kontrola incidenta  Izrada i pohrana datoteka sa elektroničkim dokazima u lancu odgovornosti o dokazima  Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka  Prikupljanje i klasificiranje metadata podataka po vremenu  Povezivanje svih informacija o događajima u lanac događaja na osnovi vremena  Analiza metadata timelinea  Dokumentiranje cijelog forenzičkog procesa i izvještavanje  Korištenje rezultata u daljim koracima • Detaljna analiza ključnih podatka iz forenzičkg izvještaja • Sudjelovanje u revizijama
  • 16. Računalna forenzika - po pristupu • Proaktivna računalna forenzika – to je primjena metoda računalne forenzike na zdravom sustavu za dobivanje "baseline" (potpisa) sustava • Retroaktivna računalna forenzika (klasična forenzika) – to je primjena nakon događaja – klasični post mortem – ide i bez proaktivne ali puno manja efikasnost Preduvjet za forenziku je kvalitetna računalna administracija sustava (tj. pripremljen teren za rad)
  • 17. Rezultat forenzičkog postupka - završno izvješće o incidentu • Završno izvješće o incidentu – sadrži relevantne podatke o incidentu – sadrži opis postupka • Informacije iz tog izvješća moraju omogućiti: – prepoznavanje izvora događaja; – prepoznavanja i uklanjanje sigurnosnih propusta • Koristi se u sklopu procesa za upravljanje sigurnosnim incidentima Računalna forenzika kao dio procesa kontrole incidenata i kao dio procesa nadzora sustava
  • 18. Primjene i uvođenja u postojeće sustave  Primjene i uvođenja u postojeće velike sustave  dio incident responsa (IR)  dio preventivne pripreme i normalnog fukcioniranja sustava  Samo novi pogled na stare prokušane tehnike kontrole sustava  dobra administracija sustva  Dio pripreme za nastavak poslovanja  bitno razumjevanje važnosti metoda forenzike
  • 19. Uloga u IT sustavima - područja • Forenzika baza podataka • Forenzika aplikacija / poslužitelja • Forenzika logova / zapisa • Forenzika mrežne opreme • Forenzika multimedije (IP telefonija) • Forenzika Scada sustava – procesno /industrijsko upravljanje • Forenzika mobilnih uređaja i sustava • Forenzika ugrađenih sustava • Forenzika osobnih računala
  • 20. Forenzika baza podataka • Nema namjenskog alata • Ekspertiza jako rijetka • Sustavi složeni, velika količina podataka, visoka raspoloživost – zgodno znati svaki podatak ima cca 11 kopija negdje u sustavu • Incidenti ostaju u kući • Izvještaj od Verizona "2008 DATA BREACH INVESTIGATIONS REPORT Four Years of Forensic Research. More than 500 Cases. One Comprehensive Report"
  • 21. Forenzika scada sustava • Orgormna važnost energetika, industrija ... • Danas - forenzika windows platforme i scada aplikacije • Nekada - forenzika namjenskog uređaja • Kompleksna okolina u pravilu loše administrirana – računalno nije primarno
  • 22. Forenzika mobilnih uređaja • Malo namjenskih alata – UFED, XRAY – Sleuthkit • Mali postotak podržanih uređaja • Crne i sive metode ( kloniranja ...)
  • 23. Forenzika mrežnih uređaja • Nema namjenskih alata • Live forensic i forenzika logova
  • 24. Područja računalnih znanja Operativni sistemi • windows, linux, mac, unix, Hardware • intel, mobilni uređaji, sparc, powerpc, scada sustavi, embeded sustavi Aplikacije • ono što korisnici koriste sa i bez svog znanja Mreža, mrežni servisi i usluge
  • 25. File systems FAT, NTFS, EXT, UFS, HSFS .. oko 100 i bez FSa (baze podataka raw partitions) Razni aspekti koji se mijenjaju: • Organizacija prostora • Podržani mediji • Podržani OS • prava i vlasništvo nad objektima • Enkripcija • Kompresija • Backup • Brisanje • Terminologija
  • 26. Mobilni uređaji Svi uređaji u osnovi selfcontained U užem smislu smatphones • apple ios, • android, • windows ali i GPS, tableti, stari mobiteli i još štošta Razni proizvođači Razni OSovi Razni FS i načini pohrane i kodiranja podataka Više izuzetaka nego pravila Međusobna nekompatibilnost forenzičkih alata
  • 27. Mreža i mrežni servisi Uže područje digitalne forenzike – mrežna forenzika TCP/IP v4, v6 Legacy mrežni protokoli Bežične veze posebno područje samo za sebe Broadband Malware analiza
  • 28. Aplikacije i programi Email klijenti (outlook, webmail) Email serveri (exchange) Chat, messengers, voip (skype) web browseri • explorer • mozzila • opera • chrome Koji su forenzički relevantni artefakti i gdje ovisno o OS platformi, verziji, konfiguraciji Kojim alatima se i sa kojom pouzdanošću može doći do artefakata
  • 29. Linkovi i siteovi • Internet prepun referenci ... • Različiti aspekti računalne sigurnosti http://forensics.sans.org/community/downloads/ "SANS Computer forensic and E-Discovery" SANS portal za računalnu forenziku
  • 30. Zaključak  Računalna forenzika je dio kontrole i oporavka od incidenta  tu je bitno prepoznavanje (ne)mogućnosti računalne forenzike  Canned alati i ekspertiza su jako upitni, treba puni raditi i ulagati  U dogledno vrijeme možemo očekivati sve veću pojavu i objavljivanje incidenata  incidenti se ne mogu više držati unutar kuće  incidenati moraju biti legalno ispravno odrađeni  Korištenje metoda računalne forenzike mora biti sustavno i ugrađeno u organizaciju  Potrebna znanja i postupci moraju biti prepoznati kao nešto što se mora imati na raspolaganju  problemi sa upravama Bez takvog pristupa sustavi su izuzetno ugroženi

Editor's Notes

  1. http://en.wikipedia.org/wiki/Usage_share_of_operating_systems http://en.wikipedia.org/wiki/Comparison_of_operating_systems
  2. http://en.wikipedia.org/wiki/File_system http://en.wikipedia.org/wiki/Comparison_of_file_systems http://en.wikipedia.org/wiki/List_of_file_systems
  3. http://en.wikipedia.org/wiki/List_of_Android_devices http://en.wikipedia.org/wiki/Android_(operating_system)