Kybernalita I.
Autor: ivka47
Typ práce: Referát
Typ práce: Referát
Dátum: 31.08.2010
Jazyk:
Jazyk:
Rozsah: 1 469 slov
Počet zobrazení: 4 264
Počet zobrazení: 4 264
Tlačení: 579
Uložení: 631
Uložení: 631
Kybernalita I.
Forensní analýza post-mortem
Hneď na začiatku sa priznám, že forensní analýzu som neprevádzal post-mortem. Moje znalosti mi neumožnili rekonštruovať dáta z poškodených pevných diskov. Nemal som potrebné vedomosti ani zariadenie aby som dokázal zrekonštruovať dáta z pevného disku „po smrti“. Všetky dáta, ktoré som analyzoval sa nachádzali na plne funkčnom pevnom disku. Ako testovaný subjekt som použil pevný disk bežného osobného počítača, na ktorom bol nainštalovaný operačný systém a programy, ktoré človek každodenne používa. Disk som mal zapojený externe k počítaču na ktorom som prevádzal analýzu. Súborový systém na danom disku bol NTFS a FAT32. Všetky programy, ktoré som pri analýze použil boli pre operačný systém Windows XP.
Úvod
Digitálne zariadenia sa v dnešnej dobe používajú snáď na všetkých úrovniach spracovávania dát. Keďže informácie majú cenu zlata, dochádza často k ich odcudzeniu či ich zmene alebo aspoň k pokusom o to. Zločin spojený s digitálnymi technológiami sa nazýva cybercrime. [ROOT]
Pri vyšetrovaní bežného zločinu sa na mieste činu vedie vyšetrovanie, ktorého cieľom je zrekonštruovať trestný čin a zozbierať dôkazy, ktoré by boli použité pri súde. Použitými prostriedkami sú v tomto prípade: fotografovanie miesta činu, zber otlačkov prstov a genetického materiálu, či vypočúvanie svedkov. Pri vyšetrovaní cybercrimu sú však tieto prostriedky nepoužiteľné a tak musela byť zavedená nová metodika vyšetrovania týchto trestných činov. Forensní analýza je jednou z týchto metód. Jedná sa o analýzu dát uložených v počítači za účelom zberu dôkazov a zrekonštruovania trestného činu.
Zber a príprava dát
Pre potreby podrobnej analýzy incidentu by bolo najlepšie analyzovať živý systém. Teda zapnutý počítač s dátami v operačnej pamäti a s otvorenými sieťovými spojeniami, ale takáto situácia sa asi nikdy nenaskytne. Preto si budeme musieť vystačiť s analýzou fyzickej pamäti počítača, teda pevného disku.
Je niekoľko možností ako analyzovať dáta na pevnom disku. Najlepšie je analyzovať daný pevný disk, ak ho máme k dispozícii. Ak nemáme daný pevný disk k dispozícii a potrebujeme si vytvoriť kópiu, je potreba skopírovať dáta bit po bite. Na tento účel slúži množstvo programov, napríklad Acronis True Image 8.0 Disk Cloning (http://www.acronis.com) Ak sa budú dáta prenášať po sieti je potreba zaistiť aby neboli pri prenose zmenené. Pokiaľ analyzujeme originálny disk musí sa zabezpečiť, aby sa naň nezapisovalo, aby neboli zmenené žiadne dáta ani časové známky súborov. Preto sa rozhodne nepoužíva operačný systém zo skúmaného disku, ale z iného disku alebo sa systém natiahne z externého zdroja (live CD Linux).
Obnova zmazaných súborov
Mnoho užívateľov si myslí, že ak dáta na svojom počítači vymažú (vysypú i z koša) a systém im oznámi, že budú permanentne zmazané, že je všetko v poriadku. Technológia ukladania dát na pevný disk je však v tomto veľmi nebezpečná. Pri zmazaní súboru sa odstráni len záznam o jeho existencii, ale súbor ostáva ďalej na pevno disku pokiaľ miesto kde bol uložený nieje prepísane inými dátami. Pri analýze pevného disku sa dajú ľahko takto zmazané a neprepísané súbory obnoviť. Dokonca aj ak bol súbor čiastočne prepísaný novými dátami dajú sa z neho zachrániť ešte nejaké časti a z nich extrahovať zaujímavé údaje.
Nemecká firma O&O Software zaoberajúca sa obnovou dát z poškodených pevných diskov vykonala zaujímavú štúdiu. V internetovom aukčnom dome eBay nakúpila desiatky použitých pevných diskov z rôznych zdrojov a vykonala rozsiahlu rekonštrukciu dát a zverejnila štatistiky. Výsledky boli alarmujúce. Štvrtina pevných diskov bola vadná takže sa z nich v rozumnom čase nedali rekonštruovať dáta. Štvrtina pevných diskov bola bezpečne vymazaná špecializovanou aplikáciou, ktorá tiež zabránila v rozumnej dobe rekonštruovať dáta. Na viac než polovici pevných diskov však mohla byť prevedená obnova dát. Firma vo svojej štúdii nebola konkrétna aby nikomu nepoškodila povesť, ale ako uviedla niektoré pevné disky by boli doslova zlatou baňou. Okrem súkromných dát ako fotky z dovoleniek a privátna korešpondencia sa im do rúk dostali aj citlivé dáta o klientoch poprednej nemeckej banky. Rozhodne sa teda odporúča dôkladne vymazať pevný disk, špeciálnou utilitou (napríklad O&O SafeErase V2.0) než sa ho používateľ zbaví. [OO]
Vymazať pevný disk však nemusí stačiť. Odborníci na obnovu dát majú vo svojich laboratóriách prostriedky, ktoré im umožňujú obnoviť aj niekoľko krát prepísané časti pevných diskov. Kameň úrazu spočíva v technológii zápisu dát na pevný disk. Dáta sa na disk ukladajú vo forme magnetického záznamu, ktorý ma isté fyzikálne či mechanické nedostatky. Prvá metóda je založená na nepresnostiach vznikajúcich pri zázname na pevný disk. Údaje sa zapisujú v sústredných kruhoch, ktoré sú od seba v súčasnosti vzdialené len niekoľko sto manometrov. Pretože je táto stopa veľmi úzka prepis novými dátami ju úplne neprekryje. Po stranách nového záznamu zostavajú zbytky pôvodného záznamu. Čítacie zariadenie pevného disku nieje dosť citlivé aby sa touto nepresnosťou zaoberalo, ale pri forenzní analýze sa to dá využiť. K prečítaniu zanechaných informácii je možné použiť zariadenie, ktoré vychýli čítaciu hlavu pevného disku a je tak možne rekonštruovať dáta čítaním po hrane pôvodného záznamu.
Druhá metóda je založená na fyzikálnych vlastnostiach zápisu. Romel Gomez z Univerzity v Marylandu prišiel na to, že pôvodný magnetický záznam zanecháva na novom zázname určité pravidelné stopy. Ak je pôvodná jednička prepísaná znova jedničkou, magnetické pole je trochu silnejšie, než ak je jedničkou prepísaná nula. Záznamové médiu má teda pamäťový efekt. Nevýhodou tohto postupu je jeho rýchlosť teda skôr pomalosť. V najlepšom prípade sa dá takto prečítať jeden kilobyt za hodinu. U bezpečnostných zložiek by sa však aj táto metóda mohlo využívať.
Ja som na obnovu zmazaných súborov vyskúšal nasledujúce tri skúšobné verzie programov: Active@ UNDELETE v 5.1, Undelete® 5.0, O&O UnErase V2.0. Najlepšie sa mi pracovalo s prvým z nich, ktorý ako jediný ponúkal možnosť obnovy súborov aj v skúšobnej verzii, i keď len súborov do určitej veľkosti.
Po zvolení jednotky pre obnovu dát nasledovala analýza oddielu pevného disku. Dôsledná analýza celého pevného disku trvala niekoľko desiatok minút. Po dokončení analýzy som mal k dispozícií zoznam súborov rozdelených do troch skupín. V prvej skupine boli súbory existujúce na pevnom disku. V druhej skupine boli súbory, ktoré boli vymazané, ale neboli ešte prepísané. Jednalo sa zväčša o menšie súbory ako obrázky, hudobné súbory a hlavne textové súbory. V tretej skupine môjho interného rozdelenia boli súbory, ktoré boli už čiastočne prepísané. Tie sa nedali obnoviť, ale mohol som si ich fragmenty prezrieť v HEXa editori. Prezerať si kúsky hudobných súborov, alebo komprimovaných obrázkov nemalo zmysel. Kúsočky archívov ZIP či RAR mi tiež neposlúžili. Jediné užitočné dáta som mohol získať z fragmentov textových súborov. V tomto ohľade som sa zameral na obnovu súborov dokumentov, súborov emailových klientov, chat klienta a iných. Súbory, ktoré neboli ešte premazané som obnovil všetky na povodne miesto. Týmto krokom som mohol nenávratne zničiť niektoré údaje na pevnom disku, ale mne sa tak pohodlnejšie pracovalo. Ideálnym riešením by bolo skopírovať dáta na iný pevný disk a potom k nim dokopírovať aj obnovené súbory. Ja som však potreboval zachovať súbory a adresárovú štruktúru pre následnú analýzu. [SEC]
Forenzní analýza Windows [OF]
Analýza operačného systému môže viesť k mnohým zaujímavým zisteniam. Ak bol počítač prostriedkom spáchania cibercrimu, nemusel to byť jeho majiteľ, kto daný čin spáchal. Je známych mnoho prípadov, kedy bol počítač nič netušiaceho majiteľa použitý k spáchaniu cibercrimu. Preto je dôležité zistiť, či na počítači neboli aktívne nejaké trójske kone alebo zadné vrátka. Najlepšie by sa tieto škodlivé programy analyzovali pri spustenom systéme a monitorovať sieťové pripojenia a programy natiahnuté v operačnej pamäti. Takto som sa mohol spoľahnúť len na hľadanie týchto škodlivých kódov na pevnom disku počítača.
Analýzu operačného systému som začal kompletnou heuristickou analýzou disku antivírovým programom. Použil som skúšobnú verziu programu NOD32 s najnovšou vírovou databázou. Keďže tento antivírový program bol používaný aj na testovanom disku domnieval som sa, že bol pred škodlivým softwarom dostatočne chránený. Po niekoľko hodinovej analýze celého pevného disku som však objavil niekoľko škodlivých programov aj keď väčšina sa zdala byť neaktívna a ich označenie bolo spôsobené skôr prílišnou horlivosťou antivírového programu než ich skutočnou hrozbou pre počítač. Veľká časť týchto súborov bola umiestnená v dočasnej zložke internetového prehliadača. Ďalšiu kontrolu škodlivých programov som vykonal programom Ad-Aware SE Personal edition spoločnosti http://www.lavasoft.de/ . Tento program je priamo určený k odhaľovaniu škodlivých programov na počítači. Výsledky byli podobné ako pri testovaní antivírovým programom. Odhalil som pár súborov, ktoré ale nevyzerali, že vykonávali na počítači nejakú škodlivú aktivitu. Súbory sa nachádzali opäť zväčša v dočasnej zložke internetového prehliadača.
Forenzní analýza webového prehliadača [SF]
Najrozšírenejšia služba internetu je web. Na webových stránkach sa dá nájsť snáď všetko a zvykli sme si používať web v rôznych situáciách. Ľudia používajú svoj webový prehliadač a neuvedomujú si, že ten ukladá na ich počítači množstvo rôznych súborov. Jednak sú to súbory cookies, história navštívených stránok, ale prehliadač si tiež cacheuje stránky na pevný disk. Všetko to by nám malo usnadniť prácu, ale môže sa to obrátiť proti nám.
Mňa osobne veľmi prekvapil článok [CW] , v ktorom sa hovorí, že polícia v Južnej Dakote vyšetrovala muža podozrivého z vraždy manželky a ako dôkaz obžaloba uviedla výsledky forenzní analýzy počítača, z ktorej vyplývalo, že dotyčný muž vyhľadával na internete popisy bezbolestných metód zabíjania. Ako hlavný dôkaz by to istotne nestačilo, ale aj takýto detail môže doplniť žalobu.
Na mnou skúmanom pevnom disku boli ako webové prehliadače nainštalované Microsoft Internet Explorer 6.0 a Mozilla Firefox. Pustil som sa teda do analýzy dát súvisiacich s webom aby som sa dozvedel aké stránky boli navštevované a aké boli požiadavky na vyhľadávanie v službách ako www.google.com.
Forensní analýza post-mortem
Hneď na začiatku sa priznám, že forensní analýzu som neprevádzal post-mortem. Moje znalosti mi neumožnili rekonštruovať dáta z poškodených pevných diskov. Nemal som potrebné vedomosti ani zariadenie aby som dokázal zrekonštruovať dáta z pevného disku „po smrti“. Všetky dáta, ktoré som analyzoval sa nachádzali na plne funkčnom pevnom disku. Ako testovaný subjekt som použil pevný disk bežného osobného počítača, na ktorom bol nainštalovaný operačný systém a programy, ktoré človek každodenne používa. Disk som mal zapojený externe k počítaču na ktorom som prevádzal analýzu. Súborový systém na danom disku bol NTFS a FAT32. Všetky programy, ktoré som pri analýze použil boli pre operačný systém Windows XP.
Úvod
Digitálne zariadenia sa v dnešnej dobe používajú snáď na všetkých úrovniach spracovávania dát. Keďže informácie majú cenu zlata, dochádza často k ich odcudzeniu či ich zmene alebo aspoň k pokusom o to. Zločin spojený s digitálnymi technológiami sa nazýva cybercrime. [ROOT]
Zber a príprava dát
Pre potreby podrobnej analýzy incidentu by bolo najlepšie analyzovať živý systém. Teda zapnutý počítač s dátami v operačnej pamäti a s otvorenými sieťovými spojeniami, ale takáto situácia sa asi nikdy nenaskytne. Preto si budeme musieť vystačiť s analýzou fyzickej pamäti počítača, teda pevného disku.
Je niekoľko možností ako analyzovať dáta na pevnom disku. Najlepšie je analyzovať daný pevný disk, ak ho máme k dispozícii. Ak nemáme daný pevný disk k dispozícii a potrebujeme si vytvoriť kópiu, je potreba skopírovať dáta bit po bite. Na tento účel slúži množstvo programov, napríklad Acronis True Image 8.0 Disk Cloning (http://www.acronis.com) Ak sa budú dáta prenášať po sieti je potreba zaistiť aby neboli pri prenose zmenené. Pokiaľ analyzujeme originálny disk musí sa zabezpečiť, aby sa naň nezapisovalo, aby neboli zmenené žiadne dáta ani časové známky súborov. Preto sa rozhodne nepoužíva operačný systém zo skúmaného disku, ale z iného disku alebo sa systém natiahne z externého zdroja (live CD Linux).
Obnova zmazaných súborov
Mnoho užívateľov si myslí, že ak dáta na svojom počítači vymažú (vysypú i z koša) a systém im oznámi, že budú permanentne zmazané, že je všetko v poriadku. Technológia ukladania dát na pevný disk je však v tomto veľmi nebezpečná. Pri zmazaní súboru sa odstráni len záznam o jeho existencii, ale súbor ostáva ďalej na pevno disku pokiaľ miesto kde bol uložený nieje prepísane inými dátami. Pri analýze pevného disku sa dajú ľahko takto zmazané a neprepísané súbory obnoviť. Dokonca aj ak bol súbor čiastočne prepísaný novými dátami dajú sa z neho zachrániť ešte nejaké časti a z nich extrahovať zaujímavé údaje.
Nemecká firma O&O Software zaoberajúca sa obnovou dát z poškodených pevných diskov vykonala zaujímavú štúdiu. V internetovom aukčnom dome eBay nakúpila desiatky použitých pevných diskov z rôznych zdrojov a vykonala rozsiahlu rekonštrukciu dát a zverejnila štatistiky. Výsledky boli alarmujúce. Štvrtina pevných diskov bola vadná takže sa z nich v rozumnom čase nedali rekonštruovať dáta. Štvrtina pevných diskov bola bezpečne vymazaná špecializovanou aplikáciou, ktorá tiež zabránila v rozumnej dobe rekonštruovať dáta. Na viac než polovici pevných diskov však mohla byť prevedená obnova dát. Firma vo svojej štúdii nebola konkrétna aby nikomu nepoškodila povesť, ale ako uviedla niektoré pevné disky by boli doslova zlatou baňou. Okrem súkromných dát ako fotky z dovoleniek a privátna korešpondencia sa im do rúk dostali aj citlivé dáta o klientoch poprednej nemeckej banky. Rozhodne sa teda odporúča dôkladne vymazať pevný disk, špeciálnou utilitou (napríklad O&O SafeErase V2.0) než sa ho používateľ zbaví. [OO]
Vymazať pevný disk však nemusí stačiť. Odborníci na obnovu dát majú vo svojich laboratóriách prostriedky, ktoré im umožňujú obnoviť aj niekoľko krát prepísané časti pevných diskov. Kameň úrazu spočíva v technológii zápisu dát na pevný disk. Dáta sa na disk ukladajú vo forme magnetického záznamu, ktorý ma isté fyzikálne či mechanické nedostatky. Prvá metóda je založená na nepresnostiach vznikajúcich pri zázname na pevný disk. Údaje sa zapisujú v sústredných kruhoch, ktoré sú od seba v súčasnosti vzdialené len niekoľko sto manometrov. Pretože je táto stopa veľmi úzka prepis novými dátami ju úplne neprekryje. Po stranách nového záznamu zostavajú zbytky pôvodného záznamu. Čítacie zariadenie pevného disku nieje dosť citlivé aby sa touto nepresnosťou zaoberalo, ale pri forenzní analýze sa to dá využiť. K prečítaniu zanechaných informácii je možné použiť zariadenie, ktoré vychýli čítaciu hlavu pevného disku a je tak možne rekonštruovať dáta čítaním po hrane pôvodného záznamu.
Druhá metóda je založená na fyzikálnych vlastnostiach zápisu. Romel Gomez z Univerzity v Marylandu prišiel na to, že pôvodný magnetický záznam zanecháva na novom zázname určité pravidelné stopy. Ak je pôvodná jednička prepísaná znova jedničkou, magnetické pole je trochu silnejšie, než ak je jedničkou prepísaná nula. Záznamové médiu má teda pamäťový efekt. Nevýhodou tohto postupu je jeho rýchlosť teda skôr pomalosť. V najlepšom prípade sa dá takto prečítať jeden kilobyt za hodinu. U bezpečnostných zložiek by sa však aj táto metóda mohlo využívať.
Ja som na obnovu zmazaných súborov vyskúšal nasledujúce tri skúšobné verzie programov: Active@ UNDELETE v 5.1, Undelete® 5.0, O&O UnErase V2.0. Najlepšie sa mi pracovalo s prvým z nich, ktorý ako jediný ponúkal možnosť obnovy súborov aj v skúšobnej verzii, i keď len súborov do určitej veľkosti.
Po zvolení jednotky pre obnovu dát nasledovala analýza oddielu pevného disku. Dôsledná analýza celého pevného disku trvala niekoľko desiatok minút. Po dokončení analýzy som mal k dispozícií zoznam súborov rozdelených do troch skupín. V prvej skupine boli súbory existujúce na pevnom disku. V druhej skupine boli súbory, ktoré boli vymazané, ale neboli ešte prepísané. Jednalo sa zväčša o menšie súbory ako obrázky, hudobné súbory a hlavne textové súbory. V tretej skupine môjho interného rozdelenia boli súbory, ktoré boli už čiastočne prepísané. Tie sa nedali obnoviť, ale mohol som si ich fragmenty prezrieť v HEXa editori. Prezerať si kúsky hudobných súborov, alebo komprimovaných obrázkov nemalo zmysel. Kúsočky archívov ZIP či RAR mi tiež neposlúžili. Jediné užitočné dáta som mohol získať z fragmentov textových súborov. V tomto ohľade som sa zameral na obnovu súborov dokumentov, súborov emailových klientov, chat klienta a iných. Súbory, ktoré neboli ešte premazané som obnovil všetky na povodne miesto. Týmto krokom som mohol nenávratne zničiť niektoré údaje na pevnom disku, ale mne sa tak pohodlnejšie pracovalo. Ideálnym riešením by bolo skopírovať dáta na iný pevný disk a potom k nim dokopírovať aj obnovené súbory. Ja som však potreboval zachovať súbory a adresárovú štruktúru pre následnú analýzu. [SEC]
Forenzní analýza Windows [OF]
Analýza operačného systému môže viesť k mnohým zaujímavým zisteniam. Ak bol počítač prostriedkom spáchania cibercrimu, nemusel to byť jeho majiteľ, kto daný čin spáchal. Je známych mnoho prípadov, kedy bol počítač nič netušiaceho majiteľa použitý k spáchaniu cibercrimu. Preto je dôležité zistiť, či na počítači neboli aktívne nejaké trójske kone alebo zadné vrátka. Najlepšie by sa tieto škodlivé programy analyzovali pri spustenom systéme a monitorovať sieťové pripojenia a programy natiahnuté v operačnej pamäti. Takto som sa mohol spoľahnúť len na hľadanie týchto škodlivých kódov na pevnom disku počítača.
Analýzu operačného systému som začal kompletnou heuristickou analýzou disku antivírovým programom. Použil som skúšobnú verziu programu NOD32 s najnovšou vírovou databázou. Keďže tento antivírový program bol používaný aj na testovanom disku domnieval som sa, že bol pred škodlivým softwarom dostatočne chránený. Po niekoľko hodinovej analýze celého pevného disku som však objavil niekoľko škodlivých programov aj keď väčšina sa zdala byť neaktívna a ich označenie bolo spôsobené skôr prílišnou horlivosťou antivírového programu než ich skutočnou hrozbou pre počítač. Veľká časť týchto súborov bola umiestnená v dočasnej zložke internetového prehliadača. Ďalšiu kontrolu škodlivých programov som vykonal programom Ad-Aware SE Personal edition spoločnosti http://www.lavasoft.de/ . Tento program je priamo určený k odhaľovaniu škodlivých programov na počítači. Výsledky byli podobné ako pri testovaní antivírovým programom. Odhalil som pár súborov, ktoré ale nevyzerali, že vykonávali na počítači nejakú škodlivú aktivitu. Súbory sa nachádzali opäť zväčša v dočasnej zložke internetového prehliadača.
Forenzní analýza webového prehliadača [SF]
Najrozšírenejšia služba internetu je web. Na webových stránkach sa dá nájsť snáď všetko a zvykli sme si používať web v rôznych situáciách. Ľudia používajú svoj webový prehliadač a neuvedomujú si, že ten ukladá na ich počítači množstvo rôznych súborov. Jednak sú to súbory cookies, história navštívených stránok, ale prehliadač si tiež cacheuje stránky na pevný disk. Všetko to by nám malo usnadniť prácu, ale môže sa to obrátiť proti nám.
Mňa osobne veľmi prekvapil článok [CW] , v ktorom sa hovorí, že polícia v Južnej Dakote vyšetrovala muža podozrivého z vraždy manželky a ako dôkaz obžaloba uviedla výsledky forenzní analýzy počítača, z ktorej vyplývalo, že dotyčný muž vyhľadával na internete popisy bezbolestných metód zabíjania. Ako hlavný dôkaz by to istotne nestačilo, ale aj takýto detail môže doplniť žalobu.
Na mnou skúmanom pevnom disku boli ako webové prehliadače nainštalované Microsoft Internet Explorer 6.0 a Mozilla Firefox. Pustil som sa teda do analýzy dát súvisiacich s webom aby som sa dozvedel aké stránky boli navštevované a aké boli požiadavky na vyhľadávanie v službách ako www.google.com.
Kľúčové slová
Vyhľadaj ďalšie študentské práce pre tieto populárne kľúčové slová:
#issac asimov strateny robot obsah #Stratený robot referat #stratený robot #issac asimov strateny robot obsah/ #chat #informatika #NTFS #webovy chat #zabezpecenie svedkaDiskusia: Kybernalita I.
Pridať nový komentárVygenerované za 0.019 s.