Osnove računalne forenzike

Srce 2008 / Osnove računalne forenzike

Osnove raOsnove raččunalne forenzikeunalne forenzike

Branimir Radić


SadrSadržžajaj

� UVOD

� Alati

� Priprema

� Intervencija

� Prikupljanje podataka

� Zašto dokumentirati?

� Analiza prikupljenih podataka

� Izrada izvještaja

� Zaključak

2/63


UVODUVOD

Što jest računalna forenzika?� Definicija:” Is a branch of forensic science pertaining to legal evidence found in computers and digital storage mediums.

Computer forensics is also known as digital forensics.”

� Forenzika koja je tema današnjeg seminara?� Podskup gornje definicije.

• 1. Zaustavljanje provale na poslužitelja.

• 2. Analiza (potencijalno) provaljenog poslužitelja u svrhu identifikacije načina kako je “provalnik” pristupio poslužitelju.

3/63


UVODUVOD

Što nije računalna forenzika?

4/63


UVODUVOD

� Ciljevi pri zaustavljanju provale na poslužitelja:

� 1. Ne uzbuniti provalnika – moguće nepovratne štete.

� 2. Ne dopustiti nastavak sigurnosnog incidenta (potencijalno povećavanje štete)

� 3. Ne modificirati sustav (kompromitacija rezultata forenzike)

� Idealno je postići da se sa strane provaljenog poslužitelja čini kao da ništa nije promijenjeno

5/63


POSEBNA NAPOMENAPOSEBNA NAPOMENA

NE GASITI POSLUŽITELJ!!!

NAJČEŠĆE POSTOJI BOLJA OPCIJA

6/63


UVODUVOD

� Zašto ne gasiti server?

� Odgovor: Zato jer svi to rade ☺

� Pojasnimo – Provalnik ce očekivati gašenje servera i zaštiti se od istog.� Radom izravno u RAM memoriji

� Kreiranjem/modifikacijom postojećih skripta koje se izvode pri gašenu servera

� List goes on…

� Gubi se veliki dio podataka � Stanje mreže

� Memorija

� Aktivni procesi

7/63


UVODUVOD

� Forenzika u trenutku kada nastane incident sastoji se od 3 osnovna dijela� Intervencija i prikupljanje podataka (dokaza)

� Analiza prikupljenih podataka

� Izrada izvještaja (odvija se dijelom i u prva dijela)

� Kako bi se moglo kvalitetno reagirati potrebno je biti spreman

8/63


UVODUVOD

Izazovi

� Brza reakcija

� Skupljanje podataka bez utjecanja na iste

� Čuvanje prikupljenih dokaza u potpunosti

� Istraživanje kada se moraju koristiti dijelovi sustava za koje nije sigurno da im se može vjerovati

9/63


UVODUVOD

� Savjetuje se NE provoditi forenziku u suradnji sa administratorom � Objektivnost

� Preispitivanje

� Lakše imati “question everything” stav

� Ipak sve za što niste sigurni pitajte � da/ne pitanja su idealna – izbjegavati opisna pitanja Da/Ne

10/63


UVODUVOD

� Osnovne smjernice pri provoñenju forenzike� Minimalizirati gubitak dokaza

� Prikupiti SVE podatke koje je moguće

� Analizirati sve

� Pobrinuti se da se u svakom trenutku može dokazati integritet forenzike (važno čak i ako je cilj otkriti izvor provale)

11/63


ALATIALATI

� Osnova za uspješnu forenziku je priprema

� Velika pomoć je i kvalitetna zaštita poslužitelja, ali “don’t get your hopes up” -> kontradiktorno samoj provali� Centralni loghost, nadzorni alati i dnevnik rada

� Minimalno je potrebno imati cd/dvd sa statički prevedenim izvršnim datotekama� Oprez – potreban je najmanje 1 cd za svaku arhitekturu.

� Bilo je moguće pribaviti helix izvršne datoteke, prešli u komercijalu : http://www.e-fense.com

� Savjetuje se korištenje i zasebnog forenzičkog diska za pohranjivanje prikupljenih podataka

12/63


ALATIALATI

� Osim minimalnih alata postoji i veliki broj naprednih forenzičkih alata koji su obično skupi i dosta specijalizirani

� Nabavka istih savjetuje se uglavnom u situacijama kada je potrebno do zadnjeg detalja odrediti detalje provale (računalni sustavi banaka, krovnih državnih institucija i sl.)

� Software alati su brojni: http://www.forensix.org/tools/

� Hardware alati postoje u brojnim izvedbama, ali su i skupi i najčešće usko specijalizirani - preporuča se korištenje samo komercijalnim ustanovama

13/63


ALATIALATI

� Najjači alat je znanje

� Puno je lakše raditi analizu kada se zna što se nalazi na poslužitelju

� Jednom kada se dobije slika o poslužitelju lakše je izdvojiti “neobična” ponašanja

14/63


PripremaPriprema

� Vrijeme je važno – osigurati rad NTP-a

� Kvalitetna dokumentacija takoñer pomaže forenziku

� Zapisivanje logova aktivnosti servera (posebno centralizirano) uvelike olakšava forenziku

� Bilo kakve aktivne / pasivne zaštite pomažu forenziku svojim prikupljenim podacima (ili štoviše pomažu da ista ne bude potrebna)

15/63


PripremaPriprema

� “Always be prepared”

� Potrebno je napraviti cd koji sadrži izvršne datoteke za sve posebne naredbe koje se izvode tijekom forenzike, točnije prikupljanja dokaza

� Takav cd mora postojati za svaku arhitekturu koja postoji u sustavu

� Naredbe koje moraju postojati na tom cd-u:� lsof; ps; nmap; nc; memdump; dcfldd; netstat; arp; route; ifconfig;

less|more|cat;dd; md5sum; sha1sum;

� Mogle bi biti:� ls; cd; top; gdb; nm; w; who; finger; find; tar; gzip; ifconfig i brojne

druge

16/63


PripremaPriprema

� Disk koji se koristi za forenziku treba biti prazan i spreman za rad

� Rezultati ranijih forenzika mogu biti po obradi ili pohranjeni negdje drugdje ili uklonjeni

� Veličina diska treba barem biti jednaka veličini najvećeg diska u sustavu

� Gore navedeno je minimum, paket za intervencije bi nadalje mogao sadržavati: Laptop, boot cd, kablovi, USB ureñaj i kabel, digitalna kamera te pribor za pisanje (ne podcjenjujte važnost zadnje 3 stavke)

17/63


IntervencijaIntervencija

� Prije bilo kakvih akcija treba porazgovarati sa administratorima aplikacija i poslužitelja, objasniti situaciju i pokušati prikupiti čim više općenitih informacija� Gdje se nalazi sustav?

� Čemu služi?

� Kako je konfiguriran

� Koje aktivne/pasivne zaštite postoje na sustavu

� Kako najbolje pristupiti, koji podaci postoje na serveru

� Zaustaviti sigurnosni incident (cilj je zaustaviti nastanak bilo kakve daljnje štete)

� Sve dokumentirati

18/63



� Cilj je prijaviti se kao root na poslužitelj, ako je root korisnički račun kompromitiran onda raditi forenziku na mjestu gdje je već spojen root

� Ako se ne može dobiti root ovlasti – forenzika počinje restartom poslužitelja u knopix ili neki rescue cd/dvd

� U tom slučaju nedostaje veliki broj podataka -dokumentirati

19/63



� Važno je svojom intervencijom čim manje utjecati na sustav zbog mogućih okidača postavljenih od provalnika

� Intervencijom nastaje veliki broj zapisa u logovima, može se kompromitirati rezultate forenzike

� Promijeniti $PATH aktivne ljuske tako da je prvi dio direktorij sa forenzičkim izvršnim datotekama

� Ako je moguće priključiti forenzičarski hard disk na kompromitirani poslužitelj

� Ako nije omogućiti mrežni pristup samo serveru koji će služiti za forenziku i na njega priključiti forenzički disk (prije toga prikupiti stanje mrežnih sučelje + procesa)

20/63



� Kako prepoznati incident:� Veliki broj izlaznih konekcija

� Poznati daemon koji se vrti pod “sumnjivim” korisnikom

� Tražiti dokaze koji će dokazati/osporiti razlog zašto ste pozvani

� Provjeriti opterećenje servera i sve procese koji stvaraju povećano/neuobičajeno opterećenje

� Brza provjera : ifconfig; lsof –i –n –P –l; ps e –Alf –cols 300

� Takoñer provjera nmap-om + razgovor sa administratorom

� Ako se radilo o lažnoj uzbuni – naučiti iz toga koliko se može i dokumentirati dogañaj

21/63


Prikupljanje podatakaPrikupljanje podataka

� Prvi korak je pokušati utvrditi je li u pitanju uistinu provala i je li i dalje aktivna

� Kada se pronañu osnovane sumnje tada prikupljanje podataka ide redoslijedom kojim se sami podaci mijenjaju

� Stanje memorije > procesa > mrežnih konekcija > disk

22/63



� Najbolja politika je da se računalo sa kojega se vrši forenzika i kompromitirani poslužitelj spoje na isti hub

� Ako se to ne može onda je preporučljivo (na bilo kojoj razini) ograničiti promet sa i na server tako da se može odraditi forenzika i da se zaustavi daljnje

� Na oba načina postiže se mnogo:� Moguće pratiti promet

� Moguć je pristup poslužitelju

� Zaustavlja se daljnji napadi koji potječu sa provaljenog sustava

23/63



� Koristi se netcat da bi se podaci prenijeli uz čim manje utjecaja na sustav

� Za prijenos osjetljivih podataka može se vršiti kriptirani prijenos pomoću ssh tunela ili cryptcat naredbe

� Na forenzičkom računalu pokrećemo proces koji sluša na nekom portu sa >nc –l –p <port>

� Na poslužitelju se šalje izlaz naredbe sa

>./<naredba> |nc <forenzičko računalo> <port>

24/63


Prikupljanje podataka Prikupljanje podataka memorija i swapmemorija i swap

� Treba napraviti sliku trenutnog stanja radne memorije i swapa

� Na linuxu sadržaj /dev/mem ili pomoću memdump naredbe – pohraniti u datoteku

� Oprez – memdump nije naredba koja se često izvodi –mogući trigerri

� dd if=/dev/mem | nc …

� Kod velikih memorije mogu se dogoditi velika opterećenja uzrokovana ovom naredbom

25/63


Prikupljanje podataka Prikupljanje podataka memorija i swapmemorija i swap

� Razlika je da memdump naredba preskače dijelove memorije gdje su nizovi nula

� Swap se prikuplja iz /dev direktorija:� dd id=dev/sda2 | nc …

26/63


Prikupljanje podataka Prikupljanje podataka metadata datotemetadata datoteččnog sustavanog sustava

� Metadata zapisi datotečnog sustava izuzetno su podložni promjenama – jedna naredba mijenja zadnje vrijeme pristupa svih datoteka koje koristi za izvršavanje

� Takoñer je nužno čim ranije prikupit podatke� fls –f linux-ext3 –r –m / /dev/sda1 | nc …

� O tome koji sve podaci postoje i kako se pribavljaju kasnije

27/63


Prikupljanje podatakaPrikupljanje podatakastanje procesastanje procesa

� Treba prikupiti sve moguće podatke o procesima – ako je provala i dalje aktivna ovdje se sigurno nalaze podaci

� U linux sustavu ps naredba sa raznim switchevima, te stanje /proc direktorija

� Oprez, procesi su gotovo uvijek prikriveni

� Prikupiti čim više podataka

� Svi procesi koji se odvijaju sa daemonima u /home su “sumnjivi”� ps e –Alf --cols 500 – prikuplja podatke o procesima a zatim

� lsof –n –l –P za vidjeti koje je sve datoteke otvorio identificirani proces

28/63


Prikupljanje podatakaPrikupljanje podatakastanje procesastanje procesa

� Moguće je ispisati i sve procese koji su pokrenuti pomoću izbrisane izvršne datoteke� naredba lsof +L1

� Bilo koji izlaz znači problem i potencijalni pad sustava

� (nije tema seminara - korisno pri nadogradnji sustava)

29/63


Prikupljanje podatakaPrikupljanje podatakastanje mrestanje mrežžee

� Ako je provala otkrivena prijavom i ako i sada traje sigurno se nalaze dokazi u ovdje prikupljenim podacima

� Može se pregledati lsof-om, ali daje dosta više podataka

� Netstat na linuxu

� Snimiti stanje svih sučelja� Arp cache svih hostova: arp –an

� Numeričke rute kernela - cache: route –Cn

� Ruting tablica kernela: netstat --route --numeric

� Sažetak aktivnosti protokola: netstat --statistics

30/63


Prikupljanje podatakaPrikupljanje podatakastanje mrestanje mrežžee

� Neke podatke može se prikupiti na više načina:� netstat –nap

� lsof -i –n –l –P

� Obje naredbe prikupljaju popis aktivnih portova zajedno sa programima koji ih koriste i I.P. adresama sa kojima je povezan poslužitelj

� Koju naredbu koristiti?� Obje – da se na još jedan način verificiraju rezultati

31/63


Prikupljanje podatakaPrikupljanje podatakadiskdisk

� Najbolje je prikupiti “raw data” presliku svih particija/diskova

� Ako je problem veličina koja nadilazi veličinu forenzičkog diska onda je krucijalno na neki način dobiti podatke u trenutnom stanju� Virtualni poslužitelj – snapshot

� Poslužitelj sa raid poljem – izdvojiti i klonirati diskove ako je moguće

� Poslužitelj na SAN-u – kopirati na drugi disk

� …

� Najveći je problem ako je u pitanju poslužitelj sa velikim diskovnim prostorom koji ili ima software raid ili uopće nema raid

32/63



� Radije navedeni su slučajevi na sreću vrlo rijetki

� Kada se radi slika kompletnog diska razlikujemo izradu na živom sustavu i na ugašenom poslužitelju

� Ugašeni poslužitelj� Sa fdisk –l pribavimo podatke o particijama

� Md5sum na cijelom disku i na svim particijama

� dd naredbom kreiraju se slike svih particija i slika cijelog diska

� Pomoću md5sum tada se testiraju sve slike da se potvrdi integritet podataka

33/63



� Aktivni poslužitelj� Podaci na disku se konstantno mijenjaju

� Nije nedopustivo da se i u ovom slučaju radi disk image naredbom dd, ali budući da se disk neprestano mijenja nije moguće potvrditi valjanost pomoću md5sum

� Treba korisititi dcfldd kako bi se u tijeku izrade takoñer kreirao i hash stvorene slike

� dcfldd je napredna verzija dd naredbe, ima sve opcije dd naredbe i neke dodatne opcije, naravno zbog složenosti je teže i pronaći/napraviti statičku verziju iste naredbe

34/63



� Ovime završava prikupljanje podataka

� Kada je gotovo prikupljanje podataka i verificira se valjanost prikupljenih zapisa, može se u skladu sa politikom ustanove kojoj pripada poslužitelj, a i o ulozi samog poslužitelja� Reinstalirati poslužitelj

� Zaustaviti rad poslužitelja – dok se ne prikupe dokazi i dok ne bude moguće sa sigurnošću otkloniti uzrok koji je omogućio provalu

� NAPOMENA: Reinstalacija je beskorisna ako se ne promijene još neki parametri

35/63


Prikupljanje podataka Prikupljanje podataka -- pregledpregled

� 1. Memorija: /dev/mem | memdump

� 2. Metadata datotečnog sustava: fls

� 3. Procesi ps | lsof

� 4. Stanje mreže netstat | lsof | route | arp

� 5. Slika diska dd

36/63


ZaZaššto dokumentirati?to dokumentirati?

� Preciznije zašto minuciozno dokumentirati sve detalje i zašto neprestano verificirati pouzdanost podataka koji su prikupljeni

� Odgovor �prljava riječ – kriminalci

� Pravna strani forenzike - predavanje za sebe

� Dvije stvari ne smijemo zaboraviti:� Ne znamo što se nalazi na poslužitelju sa kojega je provaljeno

na onaj na kojem provodimo forenziku

� Ne znamo koliko i kakve štete je počinjeno koristeći “naš”provaljeni poslužitelj kao ishodište

37/63


ZaZaššto dokumentirati?to dokumentirati?

� Ako su na poslužitelju pohranjeni podaci bilo o ranije ili kasnije provaljenim poslužiteljima mogući su brojni pravno/zakonski problemi

� Jedino poštivanje metodologije može pomoći da se (ne)odgovornim administratorima dokaže da je uistinu dokazano da (ni)su odgovorni što je do provale došlo

� Nitko ne želi priznati da nešto nije idealno odrañeno pa se mora nerijetko čak i za ne sudske potrebe dokazivati da procedura nije imala pogreške

38/63


Analiza prikupljenih podatakaAnaliza prikupljenih podataka

39/63


Analiza prikupljenih podatakaAnaliza prikupljenih podataka

� Kružni ciklus

� Završava kada se pronañe uzrok ili iscrpe opcije

� Pitanje je gdje početi?� Kao i kod verifikacije provale i ovdje se traži neki oblik sumnjivog

ponašanja

� Brojni oblici i načini od kuda i kako početi ciklus

� Svaki ciklus može umjesto odgovora dati nova pitanja

� U nastavku objašnjeni tipični “tragovi” koji mogu biti pronañeni u prikupljenim podacima

� Da bi bilo moguće prelaziti izmeñu grana potrebno je da je vrijeme precizno bilježeno

40/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakaGdje poGdje poččeti?eti?

� Prvi korak od kuda treba krenuti je od razloga zašto se inicijalno sumnjalo na provalu na poslužitelj – CERT abuse prijava, ili prijava senzora ili de-face weba…

� Za prvo pojavljivanje provale provjeriti log datoteke na poslužitelju oko tog vremena

� Nedostatak istih oko navedenog vremena je trag vjerojatnog stjecanja root ovlasti na poslužitelju

� Ako ničega nema u log datotekama na poslužitelju u centralnom loghostu, te ako se iste ne razlikuju traži se dalje

41/63



� Dodatno dobar način za početi forenziku je pokretanjem alata za otkrivanje rootkita chkrootkit ili rhunter

� Chkrootkit je alat koji provjerava postojanje znakova rootkita na sustavu na kojem se pokreće

� Traži znakove:� Modifikacija izvršnih datoteka (trojani)

� Brisnja (u) lastlogu, wtmp, wtmpx

� Trojane koji se poput modula učitavaju u Kernel

� Logova od sniffera

� Konfiguracijske datoteke od rootkit programa

42/63



� rhunter� Obavlja iste funkcije kao i chrootkit

� Pregledniji

� Više opcija

� Noviji (iz tog razloga manje poznat)

� Paranoičniji

43/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje procesastanje procesa

� Treba tražiti sve procese koji su pokrenuti pod “krivim”korisnikom i/ili su na neobičnim portovima i/ili su prvi put startani oko vremena kada se sumnja da je na poslužitelj provaljeno

� Uočimo ovdje važnost točnog vremena na poslužitelju

� Nadalje za sve takve zapise možemo tražiti više podataka ili o izvršnoj datoteci ili o korisniku u čije ime je proces pokrenut

� grep ps aux|ef na razne načine:� Pretraživanje po korisnicima

� Pretraživanje po datumima

44/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje procesastanje procesa

� Pretraživanje po broju procesa (moguće je vidjeti sve “child”procese)

� Pretraživanje po datumu pokretanja (kada se okvirno zna vrijeme kompromitacije sustava)

� Pretraživanje po mjestu izvršavanja (svi procesi pokretani iz /tmp i /home su sumnjivi)

45/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje memorijestanje memorije

� Najteže je iz memorije pribaviti podatke koji su korisni za proces forenzike

� Postoj neki alati specijalizirani za to, ali u konačnici memorija se pretražuje kao datoteka

� Najkorisnije je za lociranje onih procesa koji su koristili velike količine memorije

� Korisno samo ako je memdump proveden na sustavu koji je bio aktivan - nakon reboota u principu memdump postaje beskoristan

46/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje mrestanje mrežžee

� Izlaz iz lsof naredbe prikazuje sve otvorene datoteke i sockete

� Treba posebno obratiti pažnju ne one portove koji slušaju

� Takoñer treba obratiti pažnju na sve povećane količine izlaznih konekcija – mogu biti indicija napada na udaljene poslužitelje

� Sumnjivci su i sve datoteke koje su otvorene iz direktorija koji počinju sa . (skriveni direktoriji)

47/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava

� Velika količina podataka nalazi se na samom disku, ali podaci o promjenama su oni iz kojih se nalazi koji podaci na disku su važni

� fls naredba prikuplja metedata podatke za zadane datoteke/direktorije; primjer:� # fls –f linux-ext3 –r –m / /dev/sda1

� -f - opisuje tip datotečnog sustava

� -r - označava rekurzivno obrañivanje (inode pokazuje na inodove koji su mu poddirektoriji ako je direktorij)

� / je direktorij koji se obrañuje

48/63



� Inode je zapis koji opisuje datoteke

� Kako bi mogli pribavljati podatke o zapisima na particijama prvo je potrebno prikupiti podatke o particijama

� Naredba mmls � daje kao izlaz ispis particija

� Javlja i koji prostor nije pridruže ni jednoj particiji

� Izlistava sve particije, uključujući swap

49/63



� Kada se prikupi popis na particijama provode se fls i ils naredbe

� fls prikuplja “timeline” podatke o alociranim i nealociranim datotekama

� Neke datoteke su obrisane ali metadata podaci u inodu (ili dio njih) su sačuvani

� ils naredba prikuplja podatke o takvim datotekama, treba se njen izlaz spojiti sa izlazom iz fls naredbe

� Izlaz iz obje naredbe kreće se po disku i skuplja podatke od inode zapisa kako naiñe na njih � neuredno, razbacano i nelogično rasporeñeni zapisi kao da se izvede tree naredba na cijelom /

50/63



� U inode zapise bilježe se 3 stvari o datotekama koje označavaju oznake M a C:� M - “modified time” - vrijeme kada je zadnji put mijenjan sadržaj

datoteke

� a - “accessed time” - vrijeme kada je zadnji put napravljen pristup datoteci (čitanje)

� C – “changed time” - vrijeme kada je zadnji put modificiran sadržaj inode zapisa

� Zapisi u datoteci kreiranoj naredbama fls i ils su sortirani po datotečnom stablu

51/63



� Naredba mactime parsira datoteke sa zapisima i sortira ih po “MAC” vremenima

� # mactime -b <ulazna_datoteka> 01/01/2004 > <izlazne_datoteka>

� Datum od kada će se gledati modifikacije “MAC” zapisa nije nužan parametar, ali uvelike olakšava (posebno ako se koristi vrijeme kada se sumnja da je provala nastala) pregledavanje zapisa u potrazi za tragovima provale

� mactime alat u kombinaciji sa grep naredbom jedan je (po meni) od najjačih alata u arsenalu forenzičara

52/63



� Dodatne stvari koje se može tražiti u prikupljenima metapodacima:� Log datoteke i history datoteke

� Bilo koji podaci koji sadrže “.” u imenu

� Promjene u /dev direktoriju

� Nedavno modificirane izvršne datoteke (“bin” ključna riječ)

� Nedavno kreirane datoteke

53/63


Analiza prikupljenih podatakaAnaliza prikupljenih podatakadiskdisk

� Slike diskova i/ili particija koje su prikupljene mogue se pomoću mount naredbe osposobiti za rad i koristiti za forenziku

� Najčešće: # mount -o ro,noexec,loop <image_fajla><mountpoint>

� Nerijetko je nužno i specificirati koji je FS type u pitanju

� Prije mounta provjeriti pomoću md5sum integritet slike particija

54/63



� Na disku se nalazi najviše podataka

� Dobra mjesta za početi su (mada se ne savjetuje krenuti sa pregledavanjem diska):� Pregledavanje \home\ direktorija u potrazi za prikrivenim

direktorijima i datotekama

� Pregledavanje svih log datoteka u razdoblju oko vremena provale

� Pretraživanje sistemske particije u potrazi za nedavnim promjenama

� Pregledavanje cijelog diska u potrazi za datotekama sa “krivim”ovlastima (777, 077, 007 …)

55/63



� U ovom pretraživanju grep i find su glavni alati, ali ima još korisnih� strings - vrača sve nizove printabilnih znakova koji su duži od

četiri (može se promijeniti minimalna duljina)

� diff - usporeñuje datoteke (posebno korisno ako je poslužitelj bio priključen na backup)

� U kombinaciji sa prikupljenim metadata podacima moguće je napraviti vremenski dijagram tijeka provale i svih aktivnosti

� Takoñer pregledavanjem zapisa na disku moguće je vidjeti u kakvom je stanju bio sustav u trenutku provale -je li održavanje bilo na razini ili…

56/63


Izrada izvjeIzrada izvješštajataja

� Kod izrade izvještaja dobro je izdvojiti dvije stvari:� Što je napravljeno

� Što je pronañeno

� U dijelu koji opisuje što je napravljeno � na precizan način opisati i argumentirati sve korake koji su

poduzeti u prikupljanju podataka

� Voditi precizan vremenski dnevnik

� Argumentirati sve preskočene korake

� Zabilježiti svaku provjeru koja je provedena u svrhu dokazivanja nekompromitiranosti dokaza

57/63



� U dijelu koji opisuje što je pronañeno:� Potvrditi sve nalaze sa administratorom poslužitelja te

korisnikom ili korisnicima kojih se nalazi tiču

� Precizno opisati zašto se smatra da iz prikupljenih dokaza slijedi doneseni zaključak

� Uobličiti izvještaj (ma koliko čvrsti bili prikupljeni dokazi, ako izvještaj izgleda kao niz nabačenih misli gubi se veliki dio kredibiliteta)

58/63



� Konačni izvještaj treba sadržavati barem ove komponente:� Dnevnik poduzetih akcija i prikupljenih materijala

� Način ulaska provalnika na poslužitelj

� Ovlasti koje je provalnik stekao

� Popis aplikacija koje je provalnik instalirao i pokretao na sustavu

� Opis stanja poslužitelja u trenutku provale

� Opis ranjivosti iskorištene za provalu

� Moguće je dodati i :� Savjet za daljnje akcije

� Savjet kako izbjeći slične incidente u budućnosti

59/63



� Savjetuje se:� Držati se dokaza - čim više odsječaka zapisa koji su važni dodati

u izvještaj

� Bez previše objašnjavanja ili isticanja

� Gdje moguće potvrditi sa više strana

� Dodatno je moguće izvršiti vanjski pregled stanja poslužitelja� nmap ili neki drugi alat

� Identificirane ranjivosti dodati u izvještaj

60/63


ZakljuZaključčakak

� Računalna forenzika je komplicirana stvar:� Treba znati sa ljudima kao i sa računalima

� Treba biti pripravan

� Treba razumjeti sustav kao i sve njegove funkcije da bi se moglopravilno tumačiti

� Treba puno strpljenja (dokazi mogu biti bilo gdje)

� Treba znati povezivati stvari

� Treba biti temeljit

61/63


ZakljuZaključčakak

� Računalna forenzika je ozbiljna stvar:� U konačnici istražuju se akcije kriminalaca

� Moguće su nepovratne štete i moguće je prikupljanje privatnih podataka - forenzika mora biti kvalitetno odrañena

� Prljava riječ - provala, čuvajte se negativnih emocija

� Na 100 linija koda dolazi jedna pogreška, a na 100 ljudi jedna CENSORED

� Zaštite se - udaljeno bilježene log zapisa, redoviti backup, aktivne i pasivne “linije obrane” zaustavile bi SVE provale koje sam istraživao

62/63


Hvala! Hvala! Pitanja?Pitanja?

63/63

Documents

Osnove računalne forenzike