Thesis presentation (30 October 2015) Αυτή η πτυχιακή αφορά την χρήση εργαλείων και λογισμικών (Windows & Linux) στην εγκληματολογική ανάλυση ψηφιακών πειστηρίων. Αναφέρονται επίσης δύο σενάρια χρήσης αυτών των εργαλείων και αποσπάσματα από το ισχύον ελληνικό νομικό πλαίσιο περί προσωπικών δεδομένων. This thesis is about the use of tools and softwares (Windows & Linux) at the forensic analysis of digital evidence. Also mentioned two scenarios of using those tools and quotations from the current greek legal framework about personal data.

1. Τ.Ε.Ι. Δυτικής Ελλάδας
Σχολή Τεχνολογικών Εφαρμογών
Τμήμα Μηχανικών Πληροφορικής Τ.Ε.
ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ
ΘΕΜΑ
«Νομικά και Πληροφορική:
Μηχανισμοί συνδρομής δικονομικής διαδικασίας»
Σπουδαστής: Κατσιαδράμης Δημήτριος
Α.Μ.: 1415
Επιβλέπων καθηγητής: Γεώργιος Ασημακόπουλος

2. Εισαγωγή
 Θα γνωρίσουμε τις μεθόδους και τα εργαλεία που χρησιμοποιούνται για την
αναζήτηση και επεξεργασία των αποδεικτικών στοιχείων σε έναν υπολογιστή ή σε
μια δικτυακή συσκευή.
 Τα εργαλεία αυτά μπορεί να είναι απλό λογισμικό ή σουίτες εφαρμογών, οι οποίες
εφαρμογές μπορεί να είναι ειδικά σχεδιασμένες για χρήση σε εγκληματολογική
έρευνα ή να είναι κοινά εργαλεία που χρησιμοποιούνται από απλούς χρήστες για
διάφορους σκοπούς, αλλά εξυπηρετούν και τις ανάγκες της εγκληματολογικής
έρευνας.
 Τα λειτουργικά συστήματα με τα οποία θα ασχοληθούμε είναι κυρίως τα
Windows και τα Linux.
 Τέλος, θα δούμε μερικά σενάρια χρήσης των εργαλείων σε υποθετικές
εγκληματολογικές έρευνες.

3. Ελληνικό νομικό πλαίσιο
για τα προσωπικά δεδομένα
 Νόμος 2472/1997: Προστασία του ατόμου από την επεξεργασία δεδομένων
προσωπικού χαρακτήρα
 Νόμος 2867/2000: Οργάνωση και λειτουργία των τηλεπικοινωνιών και άλλες
διατάξεις
 Π.Δ. 150/2001: Προσαρμογή στην Οδηγία 99/93/ΕΚ του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για
ηλεκτρονικές υπογραφές
 Νόμος 3115/2003: Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών
 Π.Δ. 47/2005: Διαδικασίες καθώς και τεχνικές και οργανωτικές εγγυήσεις για την
άρση του απορρήτου των επικοινωνιών και για τη διασφάλιση του

4. Ελληνικό νομικό πλαίσιο
για τα προσωπικά δεδομένα
 Νόμος 3471/2006: Προστασία δεδομένων προσωπικού χαρακτήρα και της
ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση
του Ν. 2472/1997
 Νόμος 3783/2009: Ταυτοποίηση των κατόχων και χρηστών εξοπλισμού και
υπηρεσιών κινητής τηλεφωνίας
 Νόμος 3917/2011: Διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε
επεξεργασία σε συνάρτηση με την παροχή διαθέσιμων στο κοινό υπηρεσιών
ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών, χρήση
συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους
χώρους και συναφείς διατάξεις
 Νόμος 4070/2012: Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών,
Δημοσίων Έργων και άλλες διατάξεις

5. Επιστήμη της ψηφιακής εγκληματολογίας
 Κλάδος της ευρύτερης επιστήμης της εγκληματολογίας, ο οποίος εξελίσσεται
συνεχώς για να καλυφθούν όσο γίνεται περισσότερες ανάγκες στον τομέα της
πληροφορικής.
 Χωρίζεται σε 3 κλάδους:
 Εγκληματολογία Υπολογιστών
 Εγκληματολογία Δικτύων
 Εγκληματολογία Κινητών Συσκευών

6. Εγκληματολογία υπολογιστών
 Περιλαμβάνει την εγκληματολογική ανάλυση που γίνεται σε διάφορα μέρη του
συστήματος, όπως το hardware του υπολογιστή, το operating system, το file
system, τα αρχεία και τις εφαρμογές.
 Θεωρείται ευρέως χρησιμοποιημένος κλάδος, όσον αφορά επαγγελματική ή
προσωπική χρήση, λόγω της πολυεπίπεδων εφαρμογών των υπολογιστών από
μεγάλο πλήθος ανθρώπων στην καθημερινότητα.

7. Εγκληματολογία υπολογιστών
 Μερικά γνωστά εργαλεία και λογισμικά που χρησιμοποιούνται:
 EnCase, για ανάκτηση και ανάλυση αρχείων
 File Checksum Integrity Verifier, για υπολογισμό και επαλήθευση της τιμής hash ενός
αρχείου
 Foremost, για την προβολή και ανάκτηση των διεγραμμένων αρχείων
 History Viewer, για το ιστορικό των browsers
 PsTools, για ανάκτηση πληροφοριών του συστήματος (χρήστες, διεργασίες, logs, κ.τ.λ.)
 pwdump, για την ανάκτηση των τιμών hash των κωδικών των χρηστών στα Windows
 Streams, για εύρεση εναλλακτικών ροών δεδομένων των αρχείων
 The Sleuth Kit, για ανάλυση των αρχείων, του δίσκου και του file system

8. EnCase

9. File Scavenger

10. Process Explorer

11. The Sleuth Kit

12. Εγκληματολογία δικτύων
 Περιλαμβάνει την εγκληματολογική ανάλυση της κίνησης στα δίκτυα, καθώς και
πιθανών λοιπών στοιχείων που έχουν απομείνει στις δικτυακές συσκευές.
 Ο κλάδος αυτός φέρει μεγάλη επαγγελματική απασχόληση, τόσο στον δημόσιο
τομέα όσο και σε ιδιωτικές επιχειρήσεις, ως προς την ασφάλεια των δικτυακών
συστημάτων τους.

13. Εγκληματολογία δικτύων
 Αρκετά εργαλεία και λογισμικά υπάρχουν για την εξέταση των δικτυακών
δεδομένων, μερικά από οποία είναι:
o Fport, για το ποιες διεργασίες ακούνε σε ποιες θύρες
o Nmap, για πληροφορίες σχετικά με έναν host (ανοιχτές θύρες, δικτυακή διαδρομή, κ.τ.λ.)
o Snort, ως σύστημα ανίχνευσης και αποτροπής δικτυακής διείσδυσης
o tcpdump και Windump, για καταγραφή και ανάλυση πακέτων μέσω γραμμής εντολών
o tcptrace, για ανάλυση TCP πακέτων και εμφάνιση συνοπτικών πληροφοριών για τις
συνδέσεις με βάση τα πακέτα
o Wireshark, για καταγραφή και ανάλυση των πακέτων ενός δικτύου μέσω γραφικού
περιβάλλοντος

14. Nmap

15. Wireshark

16. Εγκληματολογία κινητών συσκευών
 Κινητή συσκευή θεωρείται οποιαδήποτε φορητή συσκευή συνδέεται στο δίκτυο,
όπως το κινητό, το smartphone, το tablet, το PDA και η συσκευή GPS.
 Περιλαμβάνει την εγκληματολογική ανάλυση βασικών στοιχείων, όπως κλήσεις,
SMS/MMS, φωτογραφίες και βίντεο. Επίσης, για πιο εξειδικευμένες συσκευές, τις
εφαρμογές, τα λειτουργικά συστήματα και λοιπά αρχεία.
 Υπάρχουν διάφορα εργαλεία και λογισμικά τα οποία ανακτούν όλες αυτές τις
πληροφορίες από τα κινητά, με διαφορετικό τρόπο κάθε φορά ανάλογα με την
συσκευή, όπως το Foroboto, το MOBILedit!, το iPhone Analyzer και άλλα.

17. MOBILedit!

18. Λειτουργικά συστήματα
για εγκληματολογία
 Υπάρχουν λειτουργικά συστήματα ειδικά σχεδιασμένα για εγκληματολογική
χρήση και όχι μόνο, όπως για δοκιμές ασφάλειας ενός δικτύου.
 Σχεδόν όλα είναι βασισμένα στα Linux, δηλαδή είναι open-source και έτσι
συνέχεια ανανεώνονται με νέα και χρήσιμα εργαλεία.
 Μερικά γνωστά λειτουργικά συστήματα είναι:
 CAINE
 Kali Linux, παλαιότερα γνωστά ως Backtrack
 SIFT

19. Kali Linux

20. Σενάρια χρήσης εργαλείων
 Κρυμμένο κείμενο σε εικόνα, η οποία στάλθηκε μέσω email ως συμπιεσμένο
αρχείο.
 Διαδικτυακή επίθεση σε server, με την μέθοδο ωμής βίας σε διαδικτυακή φόρμα.

21. 1ο σενάριο – Τι έγινε
 Αποστολή με email ενός συμπιεσμένου αρχείου, το οποίο είναι κλειδωμένο.

22. 1ο σενάριο – Τι κάναμε
 Χρησιμοποιήσαμε το FCIV για να πάρουμε το checksum του συμπιεσμένου
αρχείου όπως βρέθηκε στον υπολογιστή του θύματος, ώστε να το συγκρίνουμε
μετά με το αντίστοιχο συμπιεσμένο αρχείο στον υπολογιστή του υπόπτου, για να
βεβαιωθούμε ότι δεν έγινε καμία αλλαγή στο ενδιάμεσο της αποστολής του email.

23. 1ο σενάριο – Τι κάναμε
 Ελέγξαμε αν έχει σταλεί όντως το email από τον υπολογιστή του υπόπτου. Αυτό
έγινε με το Free MBOX File Viewer, με το οποίο διαβάσαμε το αρχείο Sent-1 για
το Thunderbird.

24. 1ο σενάριο – Τι κάναμε
 Βρήκαμε στον υπολογιστή του υπόπτου το συμπιεσμένο αρχείο και
επαληθεύσαμε το checksum του.

25. 1ο σενάριο – Τι κάναμε
 Επειδή το αρχείο βρέθηκε κλειδωμένο, ψάξαμε στον ίδιο κατάλογο να βρούμε
κάποιο στοιχείο που να υποδηλώνει τον κωδικό αποσυμπίεσης.
 Με δύο τρόπους έγινε η αναζήτηση:
1. Εύρεση ύποπτου αρχείου με ώρα δημιουργίας κοντά στην ώρα δημιουργίας του
συμπιεσμένου αρχείου.
2. Εύρεση αρχείων με εναλλακτικές ροές δεδομένων.

26. 1ο σενάριο – Τι κάναμε
1.
2.

27. 1ο σενάριο – Τι κάναμε
 Διαβάσαμε το περιεχόμενο της εναλλακτικής ροής δεδομένων του συμπιεσμένου
αρχείου, το οποίο περιείχε μέσα τον κωδικό για την αποσυμπίεση του.

28. 1ο σενάριο – Τι κάναμε
 Βρήκαμε ότι το συμπιεσμένο αρχείο περιέχει μια εικόνα BMP, της οποίας όμως το
μέγεθος δεν συνάδει με την ανάλυση της.

29. 1ο σενάριο – Τι κάναμε
 Για να μπορέσουμε να δούμε αν υπήρχε καμία κρυφή πληροφορία μέσα στην
εικόνα, ψάξαμε να βρούμε τι εργαλείο στενογραφίας χρησιμοποιήθηκε. Με το
MyLastSearch είδαμε τι αναζητήσεις έκανε ο ύποπτος στο Διαδίκτυο.

30. 1ο σενάριο – Τι κάναμε
 Αποδείξαμε ότι το QuickStego υπήρχε εγκατεστημένο στον υπολογιστή, μέσω της
Registry των Windows.

31. 1ο σενάριο – Τι κάναμε
 Εφαρμόσαμε στεγανάλυση στην
εικόνα με το QuickStego και είδαμε
ότι υπάρχει κρυφό κείμενο, το οποίο
είναι κώδικας batch.

32. 2ο σενάριο – Τι έγινε
 Επίθεση κωδικού σε web form ενός server.
 Χαρακτηριστικά server:
 Η διεύθυνση του είναι η 83.212.100.186.
 Η καταγραφή έγινε με το Wireshark στο interface Ethernet 2.

34. 2ο σενάριο – Τι κάναμε
 Από την εικόνα, με μια πρώτη ματιά βρίσκουμε διάφορες πληροφορίες:
 Ο client έχει την διεύθυνση 46.176.104.245.
 Ο server λαμβάνει 11 αιτήματα στις μεθόδους GET και POST του HTTP
πρωτοκόλλου, σε πολύ μικρό χρονικό διάστημα.
 Κάθε αίτημα στέλνεται από διαφορετική θύρα, οι οποίες (θύρες) είναι γειτονικές
μεταξύ τους.
 Η συνολική διάρκεια της επίθεσης διήρκησε περίπου 0,3 δευτερόλεπτα.

38. 2ο σενάριο – Τι κάναμε
 Όταν ο client έστελνε λάθος κωδικό χρήστη, η απάντηση του server ήταν “No”.

39. 2ο σενάριο – Τι κάναμε
 Όταν ο client έστειλε τον σωστό κωδικό χρήστη, η απάντηση του server ήταν
“Success”.
 Συγκρίνοντας την θύρα προορισμού (4031) με την θύρα προέλευσης των
προηγούμενων 11 πακέτων, είναι το πακέτο 226 το οποίο περιείχε τον κωδικό
“wampp”.

40. 2ο σενάριο – Τι κάναμε
 Η επίθεση πραγματοποιήθηκε με το εργαλείο Hydra στα Kali Linux και ως
wordlist χρησιμοποιήθηκε ένα αυτοδημιούργητο αρχείο κωδικών.

41. Βιβλιογραφία - Αναφορές
1. "Το νομικό πλαίσιο των τηλεπικοινωνιών", Θανάσης Ξηρός - Θάλεια Ζ. Εμίρη,
Εκδόσεις ΣΑΚΚΟΥΛΑ, 2003
2. "Incident Response & Computer Forensics", Second Edition, Kevin Mandia -
Chris Posise - Matt Pepe, McGraw-Hill, 2003
3. "How to use Forensic Toolkit v2.0 on Windows NT 4.0 Server", Maarten van
Essen - Landis ICT Services & Consultancy, SANS Institute, 2002