Upload
buiduong
View
251
Download
8
Embed Size (px)
Citation preview
Srce 2008 / Osnove računalne forenzike
Osnove raOsnove raččunalne forenzikeunalne forenzike
Branimir Radić
Srce 2008 / Osnove računalne forenzike
SadrSadržžajaj
� UVOD
� Alati
� Priprema
� Intervencija
� Prikupljanje podataka
� Zašto dokumentirati?
� Analiza prikupljenih podataka
� Izrada izvještaja
� Zaključak
2/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
Što jest računalna forenzika?� Definicija:” Is a branch of forensic science pertaining to legal evidence found in computers and digital storage mediums.
Computer forensics is also known as digital forensics.”
� Forenzika koja je tema današnjeg seminara?� Podskup gornje definicije.
• 1. Zaustavljanje provale na poslužitelja.
• 2. Analiza (potencijalno) provaljenog poslužitelja u svrhu identifikacije načina kako je “provalnik” pristupio poslužitelju.
3/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
� Ciljevi pri zaustavljanju provale na poslužitelja:
� 1. Ne uzbuniti provalnika – moguće nepovratne štete.
� 2. Ne dopustiti nastavak sigurnosnog incidenta (potencijalno povećavanje štete)
� 3. Ne modificirati sustav (kompromitacija rezultata forenzike)
� Idealno je postići da se sa strane provaljenog poslužitelja čini kao da ništa nije promijenjeno
5/63
Srce 2008 / Osnove računalne forenzike
POSEBNA NAPOMENAPOSEBNA NAPOMENA
NE GASITI POSLUŽITELJ!!!
NAJČEŠĆE POSTOJI BOLJA OPCIJA
6/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
� Zašto ne gasiti server?
� Odgovor: Zato jer svi to rade ☺
� Pojasnimo – Provalnik ce očekivati gašenje servera i zaštiti se od istog.� Radom izravno u RAM memoriji
� Kreiranjem/modifikacijom postojećih skripta koje se izvode pri gašenu servera
� List goes on…
� Gubi se veliki dio podataka � Stanje mreže
� Memorija
� Aktivni procesi
7/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
� Forenzika u trenutku kada nastane incident sastoji se od 3 osnovna dijela� Intervencija i prikupljanje podataka (dokaza)
� Analiza prikupljenih podataka
� Izrada izvještaja (odvija se dijelom i u prva dijela)
� Kako bi se moglo kvalitetno reagirati potrebno je biti spreman
8/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
Izazovi
� Brza reakcija
� Skupljanje podataka bez utjecanja na iste
� Čuvanje prikupljenih dokaza u potpunosti
� Istraživanje kada se moraju koristiti dijelovi sustava za koje nije sigurno da im se može vjerovati
9/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
� Savjetuje se NE provoditi forenziku u suradnji sa administratorom � Objektivnost
� Preispitivanje
� Lakše imati “question everything” stav
� Ipak sve za što niste sigurni pitajte � da/ne pitanja su idealna – izbjegavati opisna pitanja Da/Ne
10/63
Srce 2008 / Osnove računalne forenzike
UVODUVOD
� Osnovne smjernice pri provoñenju forenzike� Minimalizirati gubitak dokaza
� Prikupiti SVE podatke koje je moguće
� Analizirati sve
� Pobrinuti se da se u svakom trenutku može dokazati integritet forenzike (važno čak i ako je cilj otkriti izvor provale)
11/63
Srce 2008 / Osnove računalne forenzike
ALATIALATI
� Osnova za uspješnu forenziku je priprema
� Velika pomoć je i kvalitetna zaštita poslužitelja, ali “don’t get your hopes up” -> kontradiktorno samoj provali� Centralni loghost, nadzorni alati i dnevnik rada
� Minimalno je potrebno imati cd/dvd sa statički prevedenim izvršnim datotekama� Oprez – potreban je najmanje 1 cd za svaku arhitekturu.
� Bilo je moguće pribaviti helix izvršne datoteke, prešli u komercijalu : http://www.e-fense.com
� Savjetuje se korištenje i zasebnog forenzičkog diska za pohranjivanje prikupljenih podataka
12/63
Srce 2008 / Osnove računalne forenzike
ALATIALATI
� Osim minimalnih alata postoji i veliki broj naprednih forenzičkih alata koji su obično skupi i dosta specijalizirani
� Nabavka istih savjetuje se uglavnom u situacijama kada je potrebno do zadnjeg detalja odrediti detalje provale (računalni sustavi banaka, krovnih državnih institucija i sl.)
� Software alati su brojni: http://www.forensix.org/tools/
� Hardware alati postoje u brojnim izvedbama, ali su i skupi i najčešće usko specijalizirani - preporuča se korištenje samo komercijalnim ustanovama
13/63
Srce 2008 / Osnove računalne forenzike
ALATIALATI
� Najjači alat je znanje
� Puno je lakše raditi analizu kada se zna što se nalazi na poslužitelju
� Jednom kada se dobije slika o poslužitelju lakše je izdvojiti “neobična” ponašanja
14/63
Srce 2008 / Osnove računalne forenzike
PripremaPriprema
� Vrijeme je važno – osigurati rad NTP-a
� Kvalitetna dokumentacija takoñer pomaže forenziku
� Zapisivanje logova aktivnosti servera (posebno centralizirano) uvelike olakšava forenziku
� Bilo kakve aktivne / pasivne zaštite pomažu forenziku svojim prikupljenim podacima (ili štoviše pomažu da ista ne bude potrebna)
15/63
Srce 2008 / Osnove računalne forenzike
PripremaPriprema
� “Always be prepared”
� Potrebno je napraviti cd koji sadrži izvršne datoteke za sve posebne naredbe koje se izvode tijekom forenzike, točnije prikupljanja dokaza
� Takav cd mora postojati za svaku arhitekturu koja postoji u sustavu
� Naredbe koje moraju postojati na tom cd-u:� lsof; ps; nmap; nc; memdump; dcfldd; netstat; arp; route; ifconfig;
less|more|cat;dd; md5sum; sha1sum;
� Mogle bi biti:� ls; cd; top; gdb; nm; w; who; finger; find; tar; gzip; ifconfig i brojne
druge
16/63
Srce 2008 / Osnove računalne forenzike
PripremaPriprema
� Disk koji se koristi za forenziku treba biti prazan i spreman za rad
� Rezultati ranijih forenzika mogu biti po obradi ili pohranjeni negdje drugdje ili uklonjeni
� Veličina diska treba barem biti jednaka veličini najvećeg diska u sustavu
� Gore navedeno je minimum, paket za intervencije bi nadalje mogao sadržavati: Laptop, boot cd, kablovi, USB ureñaj i kabel, digitalna kamera te pribor za pisanje (ne podcjenjujte važnost zadnje 3 stavke)
17/63
Srce 2008 / Osnove računalne forenzike
IntervencijaIntervencija
� Prije bilo kakvih akcija treba porazgovarati sa administratorima aplikacija i poslužitelja, objasniti situaciju i pokušati prikupiti čim više općenitih informacija� Gdje se nalazi sustav?
� Čemu služi?
� Kako je konfiguriran
� Koje aktivne/pasivne zaštite postoje na sustavu
� Kako najbolje pristupiti, koji podaci postoje na serveru
� Zaustaviti sigurnosni incident (cilj je zaustaviti nastanak bilo kakve daljnje štete)
� Sve dokumentirati
18/63
Srce 2008 / Osnove računalne forenzike
IntervencijaIntervencija
� Cilj je prijaviti se kao root na poslužitelj, ako je root korisnički račun kompromitiran onda raditi forenziku na mjestu gdje je već spojen root
� Ako se ne može dobiti root ovlasti – forenzika počinje restartom poslužitelja u knopix ili neki rescue cd/dvd
� U tom slučaju nedostaje veliki broj podataka -dokumentirati
19/63
Srce 2008 / Osnove računalne forenzike
IntervencijaIntervencija
� Važno je svojom intervencijom čim manje utjecati na sustav zbog mogućih okidača postavljenih od provalnika
� Intervencijom nastaje veliki broj zapisa u logovima, može se kompromitirati rezultate forenzike
� Promijeniti $PATH aktivne ljuske tako da je prvi dio direktorij sa forenzičkim izvršnim datotekama
� Ako je moguće priključiti forenzičarski hard disk na kompromitirani poslužitelj
� Ako nije omogućiti mrežni pristup samo serveru koji će služiti za forenziku i na njega priključiti forenzički disk (prije toga prikupiti stanje mrežnih sučelje + procesa)
20/63
Srce 2008 / Osnove računalne forenzike
IntervencijaIntervencija
� Kako prepoznati incident:� Veliki broj izlaznih konekcija
� Poznati daemon koji se vrti pod “sumnjivim” korisnikom
� Tražiti dokaze koji će dokazati/osporiti razlog zašto ste pozvani
� Provjeriti opterećenje servera i sve procese koji stvaraju povećano/neuobičajeno opterećenje
� Brza provjera : ifconfig; lsof –i –n –P –l; ps e –Alf –cols 300
� Takoñer provjera nmap-om + razgovor sa administratorom
� Ako se radilo o lažnoj uzbuni – naučiti iz toga koliko se može i dokumentirati dogañaj
21/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podataka
� Prvi korak je pokušati utvrditi je li u pitanju uistinu provala i je li i dalje aktivna
� Kada se pronañu osnovane sumnje tada prikupljanje podataka ide redoslijedom kojim se sami podaci mijenjaju
� Stanje memorije > procesa > mrežnih konekcija > disk
22/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podataka
� Najbolja politika je da se računalo sa kojega se vrši forenzika i kompromitirani poslužitelj spoje na isti hub
� Ako se to ne može onda je preporučljivo (na bilo kojoj razini) ograničiti promet sa i na server tako da se može odraditi forenzika i da se zaustavi daljnje
� Na oba načina postiže se mnogo:� Moguće pratiti promet
� Moguć je pristup poslužitelju
� Zaustavlja se daljnji napadi koji potječu sa provaljenog sustava
23/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podataka
� Koristi se netcat da bi se podaci prenijeli uz čim manje utjecaja na sustav
� Za prijenos osjetljivih podataka može se vršiti kriptirani prijenos pomoću ssh tunela ili cryptcat naredbe
� Na forenzičkom računalu pokrećemo proces koji sluša na nekom portu sa >nc –l –p <port>
� Na poslužitelju se šalje izlaz naredbe sa
>./<naredba> |nc <forenzičko računalo> <port>
24/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podataka Prikupljanje podataka memorija i swapmemorija i swap
� Treba napraviti sliku trenutnog stanja radne memorije i swapa
� Na linuxu sadržaj /dev/mem ili pomoću memdump naredbe – pohraniti u datoteku
� Oprez – memdump nije naredba koja se često izvodi –mogući trigerri
� dd if=/dev/mem | nc …
� Kod velikih memorije mogu se dogoditi velika opterećenja uzrokovana ovom naredbom
25/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podataka Prikupljanje podataka memorija i swapmemorija i swap
� Razlika je da memdump naredba preskače dijelove memorije gdje su nizovi nula
� Swap se prikuplja iz /dev direktorija:� dd id=dev/sda2 | nc …
26/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podataka Prikupljanje podataka metadata datotemetadata datoteččnog sustavanog sustava
� Metadata zapisi datotečnog sustava izuzetno su podložni promjenama – jedna naredba mijenja zadnje vrijeme pristupa svih datoteka koje koristi za izvršavanje
� Takoñer je nužno čim ranije prikupit podatke� fls –f linux-ext3 –r –m / /dev/sda1 | nc …
� O tome koji sve podaci postoje i kako se pribavljaju kasnije
27/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakastanje procesastanje procesa
� Treba prikupiti sve moguće podatke o procesima – ako je provala i dalje aktivna ovdje se sigurno nalaze podaci
� U linux sustavu ps naredba sa raznim switchevima, te stanje /proc direktorija
� Oprez, procesi su gotovo uvijek prikriveni
� Prikupiti čim više podataka
� Svi procesi koji se odvijaju sa daemonima u /home su “sumnjivi”� ps e –Alf --cols 500 – prikuplja podatke o procesima a zatim
� lsof –n –l –P za vidjeti koje je sve datoteke otvorio identificirani proces
28/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakastanje procesastanje procesa
� Moguće je ispisati i sve procese koji su pokrenuti pomoću izbrisane izvršne datoteke� naredba lsof +L1
� Bilo koji izlaz znači problem i potencijalni pad sustava
� (nije tema seminara - korisno pri nadogradnji sustava)
29/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakastanje mrestanje mrežžee
� Ako je provala otkrivena prijavom i ako i sada traje sigurno se nalaze dokazi u ovdje prikupljenim podacima
� Može se pregledati lsof-om, ali daje dosta više podataka
� Netstat na linuxu
� Snimiti stanje svih sučelja� Arp cache svih hostova: arp –an
� Numeričke rute kernela - cache: route –Cn
� Ruting tablica kernela: netstat --route --numeric
� Sažetak aktivnosti protokola: netstat --statistics
30/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakastanje mrestanje mrežžee
� Neke podatke može se prikupiti na više načina:� netstat –nap
� lsof -i –n –l –P
� Obje naredbe prikupljaju popis aktivnih portova zajedno sa programima koji ih koriste i I.P. adresama sa kojima je povezan poslužitelj
� Koju naredbu koristiti?� Obje – da se na još jedan način verificiraju rezultati
31/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakadiskdisk
� Najbolje je prikupiti “raw data” presliku svih particija/diskova
� Ako je problem veličina koja nadilazi veličinu forenzičkog diska onda je krucijalno na neki način dobiti podatke u trenutnom stanju� Virtualni poslužitelj – snapshot
� Poslužitelj sa raid poljem – izdvojiti i klonirati diskove ako je moguće
� Poslužitelj na SAN-u – kopirati na drugi disk
� …
� Najveći je problem ako je u pitanju poslužitelj sa velikim diskovnim prostorom koji ili ima software raid ili uopće nema raid
32/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakadiskdisk
� Radije navedeni su slučajevi na sreću vrlo rijetki
� Kada se radi slika kompletnog diska razlikujemo izradu na živom sustavu i na ugašenom poslužitelju
� Ugašeni poslužitelj� Sa fdisk –l pribavimo podatke o particijama
� Md5sum na cijelom disku i na svim particijama
� dd naredbom kreiraju se slike svih particija i slika cijelog diska
� Pomoću md5sum tada se testiraju sve slike da se potvrdi integritet podataka
33/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podatakadiskdisk
� Aktivni poslužitelj� Podaci na disku se konstantno mijenjaju
� Nije nedopustivo da se i u ovom slučaju radi disk image naredbom dd, ali budući da se disk neprestano mijenja nije moguće potvrditi valjanost pomoću md5sum
� Treba korisititi dcfldd kako bi se u tijeku izrade takoñer kreirao i hash stvorene slike
� dcfldd je napredna verzija dd naredbe, ima sve opcije dd naredbe i neke dodatne opcije, naravno zbog složenosti je teže i pronaći/napraviti statičku verziju iste naredbe
34/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podatakaPrikupljanje podataka
� Ovime završava prikupljanje podataka
� Kada je gotovo prikupljanje podataka i verificira se valjanost prikupljenih zapisa, može se u skladu sa politikom ustanove kojoj pripada poslužitelj, a i o ulozi samog poslužitelja� Reinstalirati poslužitelj
� Zaustaviti rad poslužitelja – dok se ne prikupe dokazi i dok ne bude moguće sa sigurnošću otkloniti uzrok koji je omogućio provalu
� NAPOMENA: Reinstalacija je beskorisna ako se ne promijene još neki parametri
35/63
Srce 2008 / Osnove računalne forenzike
Prikupljanje podataka Prikupljanje podataka -- pregledpregled
� 1. Memorija: /dev/mem | memdump
� 2. Metadata datotečnog sustava: fls
� 3. Procesi ps | lsof
� 4. Stanje mreže netstat | lsof | route | arp
� 5. Slika diska dd
36/63
Srce 2008 / Osnove računalne forenzike
ZaZaššto dokumentirati?to dokumentirati?
� Preciznije zašto minuciozno dokumentirati sve detalje i zašto neprestano verificirati pouzdanost podataka koji su prikupljeni
� Odgovor �prljava riječ – kriminalci
� Pravna strani forenzike - predavanje za sebe
� Dvije stvari ne smijemo zaboraviti:� Ne znamo što se nalazi na poslužitelju sa kojega je provaljeno
na onaj na kojem provodimo forenziku
� Ne znamo koliko i kakve štete je počinjeno koristeći “naš”provaljeni poslužitelj kao ishodište
37/63
Srce 2008 / Osnove računalne forenzike
ZaZaššto dokumentirati?to dokumentirati?
� Ako su na poslužitelju pohranjeni podaci bilo o ranije ili kasnije provaljenim poslužiteljima mogući su brojni pravno/zakonski problemi
� Jedino poštivanje metodologije može pomoći da se (ne)odgovornim administratorima dokaže da je uistinu dokazano da (ni)su odgovorni što je do provale došlo
� Nitko ne želi priznati da nešto nije idealno odrañeno pa se mora nerijetko čak i za ne sudske potrebe dokazivati da procedura nije imala pogreške
38/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podataka
39/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podataka
� Kružni ciklus
� Završava kada se pronañe uzrok ili iscrpe opcije
� Pitanje je gdje početi?� Kao i kod verifikacije provale i ovdje se traži neki oblik sumnjivog
ponašanja
� Brojni oblici i načini od kuda i kako početi ciklus
� Svaki ciklus može umjesto odgovora dati nova pitanja
� U nastavku objašnjeni tipični “tragovi” koji mogu biti pronañeni u prikupljenim podacima
� Da bi bilo moguće prelaziti izmeñu grana potrebno je da je vrijeme precizno bilježeno
40/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakaGdje poGdje poččeti?eti?
� Prvi korak od kuda treba krenuti je od razloga zašto se inicijalno sumnjalo na provalu na poslužitelj – CERT abuse prijava, ili prijava senzora ili de-face weba…
� Za prvo pojavljivanje provale provjeriti log datoteke na poslužitelju oko tog vremena
� Nedostatak istih oko navedenog vremena je trag vjerojatnog stjecanja root ovlasti na poslužitelju
� Ako ničega nema u log datotekama na poslužitelju u centralnom loghostu, te ako se iste ne razlikuju traži se dalje
41/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakaGdje poGdje poččeti?eti?
� Dodatno dobar način za početi forenziku je pokretanjem alata za otkrivanje rootkita chkrootkit ili rhunter
� Chkrootkit je alat koji provjerava postojanje znakova rootkita na sustavu na kojem se pokreće
� Traži znakove:� Modifikacija izvršnih datoteka (trojani)
� Brisnja (u) lastlogu, wtmp, wtmpx
� Trojane koji se poput modula učitavaju u Kernel
� Logova od sniffera
� Konfiguracijske datoteke od rootkit programa
42/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakaGdje poGdje poččeti?eti?
� rhunter� Obavlja iste funkcije kao i chrootkit
� Pregledniji
� Više opcija
� Noviji (iz tog razloga manje poznat)
� Paranoičniji
43/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje procesastanje procesa
� Treba tražiti sve procese koji su pokrenuti pod “krivim”korisnikom i/ili su na neobičnim portovima i/ili su prvi put startani oko vremena kada se sumnja da je na poslužitelj provaljeno
� Uočimo ovdje važnost točnog vremena na poslužitelju
� Nadalje za sve takve zapise možemo tražiti više podataka ili o izvršnoj datoteci ili o korisniku u čije ime je proces pokrenut
� grep ps aux|ef na razne načine:� Pretraživanje po korisnicima
� Pretraživanje po datumima
44/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje procesastanje procesa
� Pretraživanje po broju procesa (moguće je vidjeti sve “child”procese)
� Pretraživanje po datumu pokretanja (kada se okvirno zna vrijeme kompromitacije sustava)
� Pretraživanje po mjestu izvršavanja (svi procesi pokretani iz /tmp i /home su sumnjivi)
45/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje memorijestanje memorije
� Najteže je iz memorije pribaviti podatke koji su korisni za proces forenzike
� Postoj neki alati specijalizirani za to, ali u konačnici memorija se pretražuje kao datoteka
� Najkorisnije je za lociranje onih procesa koji su koristili velike količine memorije
� Korisno samo ako je memdump proveden na sustavu koji je bio aktivan - nakon reboota u principu memdump postaje beskoristan
46/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakastanje mrestanje mrežžee
� Izlaz iz lsof naredbe prikazuje sve otvorene datoteke i sockete
� Treba posebno obratiti pažnju ne one portove koji slušaju
� Takoñer treba obratiti pažnju na sve povećane količine izlaznih konekcija – mogu biti indicija napada na udaljene poslužitelje
� Sumnjivci su i sve datoteke koje su otvorene iz direktorija koji počinju sa . (skriveni direktoriji)
47/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� Velika količina podataka nalazi se na samom disku, ali podaci o promjenama su oni iz kojih se nalazi koji podaci na disku su važni
� fls naredba prikuplja metedata podatke za zadane datoteke/direktorije; primjer:� # fls –f linux-ext3 –r –m / /dev/sda1
� -f - opisuje tip datotečnog sustava
� -r - označava rekurzivno obrañivanje (inode pokazuje na inodove koji su mu poddirektoriji ako je direktorij)
� / je direktorij koji se obrañuje
48/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� Inode je zapis koji opisuje datoteke
� Kako bi mogli pribavljati podatke o zapisima na particijama prvo je potrebno prikupiti podatke o particijama
� Naredba mmls � daje kao izlaz ispis particija
� Javlja i koji prostor nije pridruže ni jednoj particiji
� Izlistava sve particije, uključujući swap
49/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� Kada se prikupi popis na particijama provode se fls i ils naredbe
� fls prikuplja “timeline” podatke o alociranim i nealociranim datotekama
� Neke datoteke su obrisane ali metadata podaci u inodu (ili dio njih) su sačuvani
� ils naredba prikuplja podatke o takvim datotekama, treba se njen izlaz spojiti sa izlazom iz fls naredbe
� Izlaz iz obje naredbe kreće se po disku i skuplja podatke od inode zapisa kako naiñe na njih � neuredno, razbacano i nelogično rasporeñeni zapisi kao da se izvede tree naredba na cijelom /
50/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� U inode zapise bilježe se 3 stvari o datotekama koje označavaju oznake M a C:� M - “modified time” - vrijeme kada je zadnji put mijenjan sadržaj
datoteke
� a - “accessed time” - vrijeme kada je zadnji put napravljen pristup datoteci (čitanje)
� C – “changed time” - vrijeme kada je zadnji put modificiran sadržaj inode zapisa
� Zapisi u datoteci kreiranoj naredbama fls i ils su sortirani po datotečnom stablu
51/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� Naredba mactime parsira datoteke sa zapisima i sortira ih po “MAC” vremenima
� # mactime -b <ulazna_datoteka> 01/01/2004 > <izlazne_datoteka>
� Datum od kada će se gledati modifikacije “MAC” zapisa nije nužan parametar, ali uvelike olakšava (posebno ako se koristi vrijeme kada se sumnja da je provala nastala) pregledavanje zapisa u potrazi za tragovima provale
� mactime alat u kombinaciji sa grep naredbom jedan je (po meni) od najjačih alata u arsenalu forenzičara
52/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakametadata datotemetadata datoteččnog sustavanog sustava
� Dodatne stvari koje se može tražiti u prikupljenima metapodacima:� Log datoteke i history datoteke
� Bilo koji podaci koji sadrže “.” u imenu
� Promjene u /dev direktoriju
� Nedavno modificirane izvršne datoteke (“bin” ključna riječ)
� Nedavno kreirane datoteke
53/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakadiskdisk
� Slike diskova i/ili particija koje su prikupljene mogue se pomoću mount naredbe osposobiti za rad i koristiti za forenziku
� Najčešće: # mount -o ro,noexec,loop <image_fajla><mountpoint>
� Nerijetko je nužno i specificirati koji je FS type u pitanju
� Prije mounta provjeriti pomoću md5sum integritet slike particija
54/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakadiskdisk
� Na disku se nalazi najviše podataka
� Dobra mjesta za početi su (mada se ne savjetuje krenuti sa pregledavanjem diska):� Pregledavanje \home\ direktorija u potrazi za prikrivenim
direktorijima i datotekama
� Pregledavanje svih log datoteka u razdoblju oko vremena provale
� Pretraživanje sistemske particije u potrazi za nedavnim promjenama
� Pregledavanje cijelog diska u potrazi za datotekama sa “krivim”ovlastima (777, 077, 007 …)
55/63
Srce 2008 / Osnove računalne forenzike
Analiza prikupljenih podatakaAnaliza prikupljenih podatakadiskdisk
� U ovom pretraživanju grep i find su glavni alati, ali ima još korisnih� strings - vrača sve nizove printabilnih znakova koji su duži od
četiri (može se promijeniti minimalna duljina)
� diff - usporeñuje datoteke (posebno korisno ako je poslužitelj bio priključen na backup)
� U kombinaciji sa prikupljenim metadata podacima moguće je napraviti vremenski dijagram tijeka provale i svih aktivnosti
� Takoñer pregledavanjem zapisa na disku moguće je vidjeti u kakvom je stanju bio sustav u trenutku provale -je li održavanje bilo na razini ili…
56/63
Srce 2008 / Osnove računalne forenzike
Izrada izvjeIzrada izvješštajataja
� Kod izrade izvještaja dobro je izdvojiti dvije stvari:� Što je napravljeno
� Što je pronañeno
� U dijelu koji opisuje što je napravljeno � na precizan način opisati i argumentirati sve korake koji su
poduzeti u prikupljanju podataka
� Voditi precizan vremenski dnevnik
� Argumentirati sve preskočene korake
� Zabilježiti svaku provjeru koja je provedena u svrhu dokazivanja nekompromitiranosti dokaza
57/63
Srce 2008 / Osnove računalne forenzike
Izrada izvjeIzrada izvješštajataja
� U dijelu koji opisuje što je pronañeno:� Potvrditi sve nalaze sa administratorom poslužitelja te
korisnikom ili korisnicima kojih se nalazi tiču
� Precizno opisati zašto se smatra da iz prikupljenih dokaza slijedi doneseni zaključak
� Uobličiti izvještaj (ma koliko čvrsti bili prikupljeni dokazi, ako izvještaj izgleda kao niz nabačenih misli gubi se veliki dio kredibiliteta)
58/63
Srce 2008 / Osnove računalne forenzike
Izrada izvjeIzrada izvješštajataja
� Konačni izvještaj treba sadržavati barem ove komponente:� Dnevnik poduzetih akcija i prikupljenih materijala
� Način ulaska provalnika na poslužitelj
� Ovlasti koje je provalnik stekao
� Popis aplikacija koje je provalnik instalirao i pokretao na sustavu
� Opis stanja poslužitelja u trenutku provale
� Opis ranjivosti iskorištene za provalu
� Moguće je dodati i :� Savjet za daljnje akcije
� Savjet kako izbjeći slične incidente u budućnosti
59/63
Srce 2008 / Osnove računalne forenzike
Izrada izvjeIzrada izvješštajataja
� Savjetuje se:� Držati se dokaza - čim više odsječaka zapisa koji su važni dodati
u izvještaj
� Bez previše objašnjavanja ili isticanja
� Gdje moguće potvrditi sa više strana
� Dodatno je moguće izvršiti vanjski pregled stanja poslužitelja� nmap ili neki drugi alat
� Identificirane ranjivosti dodati u izvještaj
60/63
Srce 2008 / Osnove računalne forenzike
ZakljuZaključčakak
� Računalna forenzika je komplicirana stvar:� Treba znati sa ljudima kao i sa računalima
� Treba biti pripravan
� Treba razumjeti sustav kao i sve njegove funkcije da bi se moglopravilno tumačiti
� Treba puno strpljenja (dokazi mogu biti bilo gdje)
� Treba znati povezivati stvari
� Treba biti temeljit
61/63
Srce 2008 / Osnove računalne forenzike
ZakljuZaključčakak
� Računalna forenzika je ozbiljna stvar:� U konačnici istražuju se akcije kriminalaca
� Moguće su nepovratne štete i moguće je prikupljanje privatnih podataka - forenzika mora biti kvalitetno odrañena
� Prljava riječ - provala, čuvajte se negativnih emocija
� Na 100 linija koda dolazi jedna pogreška, a na 100 ljudi jedna CENSORED
� Zaštite se - udaljeno bilježene log zapisa, redoviti backup, aktivne i pasivne “linije obrane” zaustavile bi SVE provale koje sam istraživao
62/63