Your SlideShare is downloading. ×
0
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Δικανική Υπολογιστών και Δικτύων (Computer and Network Forensics )

1,360

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,360
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Δικανική Υπολογιστών & Δικτύων Παπαδόπουλος Κωνσταντίνος, ΜΟΠ 1 31 mop061 31 @di.uoa.gr Φαρδέλας Κωνσταντίνος, ΜΟΠ 152 [email_address]
  • 2. Περιεχόμενα <ul><li>Δικανική Υπολογιστών ( Computer Forensics ) </li></ul><ul><li>Δικανική Δικτύων ( Network forensics ) </li></ul><ul><li>Αντι-Δικανική ( Anti-Forensics ) </li></ul><ul><li>Συμπεράσματα </li></ul>
  • 3. Δικανική Υπολογιστών ( Computer Forensics ) <ul><li>Αναγνώριση </li></ul><ul><li>Συλλογή </li></ul><ul><li>Διαφύλαξη </li></ul><ul><li>Ανάλυση </li></ul><ul><li>Παρουσίαση, Ψηφιακών Αποδεικτικών </li></ul><ul><li>Στοιχείων κατ ά τρόπο που είναι νομικά αποδεκτός </li></ul>
  • 4. <ul><li>Bad Sectors (Ίχνος συντήρ η σης) </li></ul><ul><li>Anadisk </li></ul><ul><li>Προστατ ε υόμενη Ζώνη ( ΑΤΑ δίσκοι ) </li></ul><ul><li>BXDR (ανίχνευση,αντιγραφή) </li></ul><ul><li>Volume Slack (Partition > Volume) </li></ul>Κρυμμένα Δεδομένα - Π ού μπορεί να υπάρχουν ?
  • 5. <ul><li>File Slack (Τελευταίο απο τα Clusters) </li></ul><ul><li>RAM Slack (Τελευταίος Sector) </li></ul>Χρήσιμα Στοιχεία για δικανική εξέταση
  • 6. <ul><li>Νόμοι Ιδι ω τικότητας,παραβίαση,μη αποδεκτά στοιχεία </li></ul><ul><li>Γραπτή εξουσιοδότηση - Έ νταλ μ α έρευνας (τ ι ,πως,γιατί ; ) </li></ul><ul><li>Ηγέτης Έρευνας (προετοιμασία,σχέδιο,προβλήματα,εξοικίωση) </li></ul><ul><li>Όμαδα CIRT </li></ul>Έγκριση και Προετοιμασία
  • 7. <ul><li>Αναγνώρ ι ση Υλικού (Hardware) </li></ul><ul><li>Διαχωρισμός Πληροφοριών </li></ul><ul><li>Π είρα με διάφορες μορφές εγκλήματος </li></ul><ul><li>Οικειότητα με τα Λειτουργικά Συστήματα </li></ul>Αναγνώριση - Προσδιορισμός Ψηφιακών Αποδείξεων
  • 8. <ul><li>Τι ψηφιακά στοιχεία συλλέξαμε ,πώς,γιατί </li></ul><ul><li>Αυθεντικό Στοιχείο </li></ul><ul><li>Δακτυλικό αποτύπωμα Μ D5 </li></ul><ul><li>Εύρεση συγκεκριμένων αρχείων, Πιστoποίηση μή τροποποίησης αρχείων </li></ul>Τεκμηρίωση ( Documentation )
  • 9. <ul><li>Hardware (Στοιχείο ή μέσο εγκλήματος) </li></ul><ul><li>Bitstream Copy </li></ul><ul><li>Λογισμικό (EnCase, SafeBack, ForensicTool) </li></ul><ul><li>Συσκευές (Logicube ForensicTool:USB) </li></ul>Συλλογή και συντήρηση I
  • 10. <ul><li>Αποστείρωση δίσκου </li></ul><ul><li>Filewipe, ActiveKillDisk </li></ul><ul><li>Διακοπή BootProcess </li></ul><ul><li>Παράκαμψη Λειτουργικού Συστήματος Υπολογιστή </li></ul><ul><li>Αφαίρεση Δίσκου </li></ul><ul><li>BIOS password-χειροκίνητος έλεγχος κεφαλών </li></ul><ul><li>Συλλογή </li></ul><ul><li>Υλικού (hardware) </li></ul><ul><li>Όλων των ψηφιακών στοιχείων </li></ul><ul><li>Απαραίτητα ψηφιακά στοιχεία </li></ul>Συλλογή και συντήρηση II
  • 11. <ul><li>Φιλτράρισμα Δεδομένων </li></ul><ul><li>Ταξινόμηση Δεδομένων σε Κλάσεις </li></ul><ul><li>π.χ έρευνα για εικόνες JPEG υπάρχει υπογραφή JFIF στην επικεφαλίδα του αρχείου </li></ul><ul><li>ACDSee (χαρακτηριστικά κλάσης) </li></ul><ul><li>Αξιολόγηση Πηγής </li></ul><ul><li>Αποκατάσταση Δεδομένων </li></ul><ul><li>Magnetic force microscope, KLS </li></ul>Εξέταση και Ανάλυση
  • 12. <ul><li>Λειτουργική Ανάλυση </li></ul><ul><li>Συγγενική Ανάλυση </li></ul><ul><li>Χρονική Ανάλυση </li></ul><ul><li>Στρ ω ματογραφία </li></ul><ul><li>Τελική Έκθεση </li></ul><ul><li>Συμπεράσματα Ερευνητή </li></ul>Αναδημιουργία - Αναφορά
  • 13. Δικανική Δικτύων ( Network Forensics ) <ul><li>Δικανική . . . </li></ul><ul><li>Συλλογή, ανάλυση, ανακάλυψη, παρουσίαση </li></ul><ul><li> . . . Δικτύων </li></ul><ul><li>Δυναμικά δεδομένα </li></ul><ul><li>Κινητικότητα χρηστών </li></ul><ul><li>Διασπορά πειστηρίων </li></ul>Γενικά
  • 14. <ul><li>Απειλές και Εκβιασμοί </li></ul><ul><li>Παρενόχληση </li></ul><ul><li>Καταπάτηση Δικαιωμάτων </li></ul><ul><li>Οικονομικά εγκλήματα </li></ul><ul><li>Παραποίηση περιεχομένων </li></ul><ul><li>Παραβίαση ιδιωτικότητας </li></ul>Εγκλήματα και Θέματα Ασφάλειας
  • 15. <ul><li>Διερεύνηση ( Probing ) </li></ul><ul><li>Nmap, Mscan, IPSweep </li></ul><ul><li>Επίθεση Άρνησης Υπηρεσιών </li></ul><ul><li>SYN flood, UDPStorm, Mailbomb </li></ul><ul><li>Επίθεση Χρήστη προς Διαχειριστή </li></ul><ul><li>LoadModule, Xterm, Eject (a.k.a rootkits) </li></ul><ul><li>Επίθεση από Απομακρυσμένο σε Τοπικό σημείο </li></ul><ul><li>Xlock, Xsnoop </li></ul>Τύποι Επιθέσεων
  • 16. <ul><li>Σαρώσεις θυρών TCP/UDP </li></ul><ul><li>Σαρώσεις κωδικών πρωτοκόλλου κεφαλίδας ΙΡ </li></ul><ul><li>Malformed πακέτα </li></ul><ul><li>Spoofed MAC και IP διευθύνσεις </li></ul><ul><li>Αιτήσεις υψηλής εξουσιοδότησης αλλά άγνωστης προέλευσης </li></ul><ul><li>Cleartext συνθηματικές λέξεις ( π.χ. μέσω telnet ) </li></ul><ul><li>Μη τυπικά πρωτόκολλα και εφαρμογές (π.χ. bittorrent ) </li></ul><ul><li>Packet sniffers, Network analysers (Ethereal, Snort κ.α. ) </li></ul>Αναγνώριση ( Reconnaissance )
  • 17. <ul><li>Προετοιμασία και Πιστοποίηση </li></ul><ul><li>Συνεργασία με Διαχειριστές, Αυτόνομες εργασίες, Τοπολογία δικτύου,Νομική κάλυψη </li></ul><ul><li>Αναγνώριση </li></ul><ul><li>Αρχεία καταγραφής servers (mail, web) , δρομολογητών, μεταγωγέων, συστημάτων Argus, Netflow , εξυπηρετητών αυθεντικοποίησης (RADIUS) </li></ul><ul><li>Τεκμηρίωση, Συλλογή και Διαφύλαξη Ακεραιότητας </li></ul><ul><li>Σε πραγματικό χρόνο, από απομακρυσμένο σημείο </li></ul><ul><li>Φιλτράρισμα και Αφαίρεση Δεδομένων </li></ul><ul><li>Μεγάλος όγκος δεδομένων, απόρρητα δεδομένα, κριτήρια φιλτραρίσματος π.χ. ΙΡ διεύθυνση </li></ul>Μεθοδολογία
  • 18. <ul><li>Χαρακτηριστικά Κατηγορίας / Ατομικά Χαρακτηριστικά και Εκτίμηση της Πηγής </li></ul><ul><li>Υπογραφές εφαρμογών, υπογραφές λειτουργικών συστημάτων , ανάλυση TCP/IP δικτυακής κίνησης </li></ul><ul><li>Ανάκτηση Στοιχείων </li></ul><ul><li>Αρχεία καταγραφής, TCP/IP δικτυακής κίνησης </li></ul><ul><li>Ερευνητική Ανακατασκευή </li></ul><ul><li>Κινητικότητα, εναλλαγή δικτύων (π.χ. VPNs ) , ομάδες επίθεσης ( π.χ. μέσω IRC) , χρήση πολλαπλών πηγών και επαλήθευση </li></ul><ul><li>Αναφορά Αποτελεσμάτων </li></ul><ul><li>Χρήση μεθόδων απεικόνισης (π.χ. διαγράμματα), κατηγοριοποίηση αναφορών (π.χ. ανά οργανισμό, ανά ΛΣ) </li></ul>Μεθοδολογία
  • 19. <ul><li>Απασχόληση υψηλώς καταρτισμένων ανθρώπων </li></ul><ul><li>Συλλογή ισχυρών δικανικών στοιχείων </li></ul><ul><li>Μείωση του κόστους των ερευνητικών διαδικασιών </li></ul><ul><li>Ανανέωση οργανωσιακού σχεδιασμού </li></ul>Τήρηση Ετοιμότητας ( Digital Forensic Readiness )
  • 20. <ul><li>Συστήματα “Catch-it-as-you-can” </li></ul><ul><li>Tcpdump, windump, NIKSUN, NetIntercept </li></ul><ul><li>Συστήματα “Stop-look-and-listen” </li></ul><ul><li>Netwitness (Forensic Explorers), Silentrunner, Carnivore (FBI) </li></ul><ul><li>Port Spanning example Cisco </li></ul><ul><li>. set span enable </li></ul><ul><li>. set span disable </li></ul><ul><li>. set span src_mod/src_port dest_mod/dest_port </li></ul><ul><li>. set span src_vlan dest_mod/dest_port </li></ul><ul><ul><ul><ul><ul><li>(SPAN: Switched Port Analysis) </li></ul></ul></ul></ul></ul>Εργαλεία Δικανικής Δικτύων
  • 21. <ul><li>Αποθηκευτικοί χώροι (π.χ. RAIDs , DVD-R ) και διαχείριση τους </li></ul><ul><li>Επεξεργαστική ισχύς ~ Ταχύτητα δικτυακών ζεύξεων </li></ul><ul><li>Λειτουργικό Σύστημα (π.χ. Linux, Windows, FreeBSD ) </li></ul><ul><li>Privacy </li></ul><ul><li>PETs (Privacy Enhancing Technologies) </li></ul><ul><li>RPINA (Πρωτόκολλα Δικανικής Δικτύων over PETs ) : </li></ul>Εργαλεία Δικανικής Δικτύων
  • 22. <ul><li>Honeypots </li></ul><ul><li>Honeynets </li></ul><ul><li>Δυνατότητες </li></ul><ul><li>* Καταγραφής </li></ul><ul><li>* Προσομοίωσης </li></ul><ul><li>* Απάντησης </li></ul><ul><li>Νομικά ζητήματα </li></ul><ul><li>* Υπευθυνότητας </li></ul><ul><li>* Ιδιωτικότητας </li></ul><ul><li>* Παγίδευσης </li></ul>Honeytraps
  • 23. <ul><li>Σειριακή Αρχιτεκτονική </li></ul><ul><li>“ Firewall” </li></ul><ul><li>Εύκολη ταυτοποίηση επιτιθέμενου σε Honeytrap και ΠΣ </li></ul><ul><li>Μεγάλες απαιτήσεις σε πόρους </li></ul><ul><li>Απευθείας σύνδεση με ΠΣ </li></ul><ul><li>Παράλληλη Αρχιτεκτονική </li></ul><ul><li>Ανεξάρτητη εγκατάσταση από το ΠΣ </li></ul><ul><li>Δυσκολίες ταυτοποίησης εισβολέα </li></ul>Αρχιτεκτονικές Δικανικής Λειτουργίας Honeytraps
  • 24. <ul><li>Λειτουργικό σύστημα </li></ul><ul><li>Εφαρμογές (π.χ. FTP ) </li></ul><ul><li>Εξυπηρετητές ( Web, Mail, Auth. ) </li></ul><ul><li>Δρομολογητές </li></ul><ul><li>Τείχη προστασίας </li></ul><ul><li>State Tables ( π.χ. ARP table) </li></ul><ul><li>RAM </li></ul>Αρχεία καταγραφής ( Logs ) και Δικανική Δικτύων
  • 25. <ul><li>Απαιτήσεις </li></ul><ul><li>Ακεραιότητα </li></ul><ul><li>Χρονική ακρίβεια </li></ul><ul><li>Κανονικοποίηση </li></ul><ul><li>Αφαίρεση Δεδομένων ( Data Reduction ) </li></ul><ul><li>Προσεγγίσεις </li></ul><ul><li>Top-down </li></ul><ul><li>Bottom-up ( IDS and log parsers: Python, Perl, Java ) </li></ul>Εργαλεία Συσχέτισης Αρχείων Καταγραφής
  • 26. Τεχνικές Αντι-δικανικής ( Anti-forensic Techniques ) <ul><li>Μη ανίχνευση κακόβουλων δικτυακών συμβάντων </li></ul><ul><li>Παρεμπόδιση της συλλογής πληροφοριών </li></ul><ul><li>Αύξηση του χρόνου έρευνας και διελεύκανσης </li></ul><ul><li>Διάχυση αμφιβολιών σε μια δικανική αναφορά ή μαρτυρία </li></ul><ul><li>Αποκάλυψη της παρουσίας ενός εργαλείου δικανικής </li></ul><ul><li>Υπονόμευση των εργαλείων δικανικής (π.χ. χρησιμοποιώντας τα ίδια αυτά εργαλεία για να γίνει επίθεση στον οργανισμό που τα κατέχει) </li></ul><ul><li>Δρομολόγηση άμεσης επίθεσης εναντίον των ερευνητών δικανικής (π.χ. ανακαλύπτοντας και καταστρέφοντας το δίκτυο του ερευνητή) </li></ul>Στόχοι
  • 27. <ul><li>Διαγραφή δεδομένων και μετα-δεδομένων </li></ul><ul><li>Διαγραφή δεδομένων, διαγραφή μετα-δεδομένων ( timestamps ), παρεμπόδιση δημιουργίας δεδομένων </li></ul><ul><li>Κρυπτογραφία, Στεγανογραφία και άλλες προσεγγίσεις Απόκρυψης Δεδομένων </li></ul><ul><li>Κρυπτογραφήμένα δεδομένα, πρωτόκολλα δικτύου κρυπτογράφησης ( SSL, SSH ) , στεγανογραφία ( StegFS ), γενική απόκρυψη δεδομένων ( Host Protected Area, Device Configuration Overlay, κωδικοποίηση σε χαρακτηριστικά TCP κίνησης ) </li></ul><ul><li>Ελαχιστοποίηση Ιχνών </li></ul><ul><li>Έγχυση μνήμης ( buffer overflows ) , syscall proxying, live CDs, USB εκκίνησης λειτουργκού, εικονικές μηχανές, χρήση ανώνυμων λογαριασμών email ( Hotmail, Gmail ) </li></ul>Τεχνικές Ι
  • 28. <ul><li>Εκμετάλλευση ελαττωμάτων των εργαλείων Δικανικής </li></ul><ul><li>Αποτυχία στην επικύρωση δεδομένων ( buffer overflow ) , επιθέσεις άρνησης υπηρεσιών, ευπρόσβλητη ευριστική ( Metasploit Project’s Transmogrify ) </li></ul><ul><li>Εντοπισμός εργαλείων Δικανικής </li></ul><ul><li>Ενδείξεις SMART (Self-Monitoring, Analysis and Reporting Technology) , promiscuous λειτουργία των NICs , inverse DNS requests </li></ul>Τεχνικές ΙΙ
  • 29. Συμπεράσματα <ul><li>Η Δικανική των Υπολογιστών και των Δικτύων είναι η απάντηση στην όλο και αυξανόμενη ηλεκτρονική εγκληματικότητα </li></ul><ul><li>Ανάγκη για μεγαλύτερη αυτοματοποίηση και αποτελεσματικότητα </li></ul><ul><li>Σύγκλιση νομοθετικού πλαισίου στις όλο και ταχύτερα μεταβαλλόμενες μορφές εγκλήματος </li></ul><ul><li>Μικρή ερευνητική εργασία </li></ul>
  • 30. Βιβλιογραφία <ul><li>Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edition by Eoghan Casey, 2004 </li></ul><ul><li>Simson Garfinkel, Web Security, Privacy & Commerce, 2nd Edition, November 2001 </li></ul><ul><li>&quot;Honeynet.org&quot;, www.honeyproject.org </li></ul><ul><li>Giannakis Antoniou , Stefanos Gritzalis , RPINA – Network Forensics Protocol Embeding Privacy Enhancing Technologies , ISCIT 2006, IEEE 2006 </li></ul><ul><li>Foster and Liu (2005), “Catch me, if you can,” Black Hat Briefings 2005. </li></ul>

×