Acquisition & Processing
SURFnet Forensics Track
6 oktober 2011
Agenda Introductie About Me EDRM Static vs. Live Forensics Static Forensics FTK analyse opstarten Pauze Live Forensics Opdrachten Bespreking
6 oktober 2011
2
Introductie (1)
About Me: Arnim Eijkhoudt Docent @ HvA, Domein Media Creatie en Informatie Minor Forensic Intelligence & Security:
Computer Forensics met J. van Ginkel & R. Zwart
ICT-beheerder, eigen infrastructuur Informatica-opleidingen Kenniskring E-Discovery E-mail:
[email protected], LinkedIn: zaanpenguin
Ik houd van actieve participatie... We hanteren weer de "Chatham House Rule" Stel vragen, geef commentaar, vertel anecdotes, etc.!
"What happens in Forensics course, stays in Forensics course!"
6 oktober 2011
3
Introductie (2) Computer Forensics kan onderdeel zijn van het totale
Merk op dat de verschillende stappen binnen het model meerdere keren kunnen worden doorlopen...
6 oktober 2011
4
Introductie (3) De volgende EDRM delen komen aan bod:
6 oktober 2011
5
Static vs. Live Forensics Static Forensics De verzameling en verwerking van informatie die niet meer kan veranderen: ●
Image van een harde schijf
●
Flash-geheugen van bijvoorbeeld mobiele telefoons of PDAs
"Reproducability" van gevonden forensische informatie is essentieel
Live Forensics De verzameling en verwerking van informatie die aan verandering onderhevig is: ●
Netwerkverkeer en -verbindingen (Network Forensics)
●
RAM-geheugen in een draaiende computer (Memory Forensics)
Live Forensics kan cruciale forensische informatie opleveren die bij Static Forensics verdwenen zou zijn...
6 oktober 2011
6
Static Forensics (1)
EDRM: “Preservation, Collection” Het maken van een volledige of gedeeltelijke (bit-level) kopie van een informatie-drager, zoals een harddisk, USB-key, flashchip, E-mail archief, etc. Dit heet ook wel de acquisitie-stap. EDRM: "Processing, Review, Analysis" Meestal een combinatie van automatisch en handmatig onderzoek van de verkregen bit-level kopie met behulp van forensische software
6 oktober 2011
7
Static Forensics (2) EDRM: “Preservation, Collection”: Acquisitiemethodes kunnen sterk verschillen per drager: ●
●
Voor harde schijven, USB-keys, floppies, etc. bestaat al lang standaard imaging software: FTK, Encase, rawrite, dd, etc. Voor b.v. mobiele telefoons en PDAs moet een image van het flash-geheugen worden gemaakt, maar deze apparaten of besturingssystemen laten niet altijd de benodigde 'low-level' toegang toe...
En wat als de drager zelf beschadigd is? ●
... een harde schijf?
●
... de flash-controller van de USB-key?
Soms specialistische kennis nodig (NFI) 6 oktober 2011
8
Static Forensics (3) De integriteit van het bewijsmateriaal mag niet worden aangetast. Onzorgvuldig handelen door de onderzoeker kan gemakkelijk data veranderen: 1. Opstarten van het besturingssysteem 2. Inpluggen van USB-key 3. Aanzetten mobiele telefoon Write-blockers 'Read-only mounts' Flash desoldering
6 oktober 2011
9
Static Forensics (4)
Een volledig image van een drager kan de volgende informatie bevatten: Master Boot Record(s) Partitionering Filesystem structures File (meta)data Swapfile(s) Inter-partition gap data ‘Deleted’ files! ‘Verborgen data’ (hidden, encrypted, etc.) Bij een enkele moderne harde schijf is dit al een enorme hoeveelheid informatie: 2 terabyte is gangbaar bij PCs!
6 oktober 2011
10
Static Forensics (5) Forensische software als FTK en Encase probeert de verwerkingstijd van verkregen images beheersbaar te houden door de complexe, maar repetitieve taken te automatiseren: Hashing Filesystem structure analysis ●
File & directory listings, incl. 'hidden files' en encryptie
●
Filetypes
'Data carving' uit free space, swap space, inter-partition gaps, etc.
6 oktober 2011
11
Static Forensics (6)
Benodigdheden:
FTK:
Username: Surf# -- Password: Net#
De # is natuurlijk het teamnummer ;-)
VMWare image (.vmdk file):
Image staat op Windows share: \\sherlock.cursus.surfnet.nl\data
Maak een eigen kopie van het image en verwerk die kopie in FTK
Let op: kies een unieke casenaam in FTK: 'team#'
N.B.: de verwerking in FTK met de standaardinstellingen plus Data- & Metacarving duurt ongeveer 20-30 minuten Terwijl FTK bezig is, gaan wij verder met de handmatige acquisitie van koffie (10-15 minuten) en het onderwerp 'Live Forensics'
6 oktober 2011
12
Koffiepauze
6 oktober 2011
13
Live Forensics (1)
EDRM: ‘Preservation, Collection’ Voor Live Forensics betekent dit: "Het onderzoeken van actieve/draaiende systemen, waarbij informatie vergaard kan worden die niet bij een Static Forensics beschikbaar is". Voorbeelden: Huiszoeking door politie bij verdachte lid crimineel netwerk, waarbij een draaiende laptop wordt aangetroffen Open chat-windows, verbindingen met verdachte websites, etc.
Tap op internetverkeer PC, die geïnfecteerd is door botnetsoftware ('network live forensics') Chatnetwerken waarmee de botnets bestuurd worden Gesprek door verdachte met mobiele telefoon Opnemen van het gesprek, locatie-informatie (GPS)
6 oktober 2011
14
Live Forensics (2)
EDRM: ‘Preservation, Collection’ Order-of-Volatility (OOV) speelt een grote rol: Registers, Cache, RAM zeer 'volatile'
Networking -
Processes
Disk contents
Floppies
CD/DVDminst 'volatile'
-
-
De OOV bepaalt daarom vaak de afweging tussen eerst Live of Static Forensics, d.w.z. de afweging tussen tijd en beschikbare informatie: Soms trucjes: memory freezing, Firewire-RAM-copy, etc. Vanmiddag meer Live Forensics ('Volatility')
6 oktober 2011
15
Live Forensics (3) N.B.: virtualisatie heeft OOV nog complexer gemaakt: RAM kan in een image-file staan Registers/cache : op welke CPU draaide mijn proces? Cloud-computing (bv. Amazon EC2) bemoeilijkt dit nog verder: "Where in the world...?" Moderne Forensics-pakketten ondersteunen al de bekende VM-image formaten: VMWare, Xen, VirtualBox RAM image kan worden onderzocht t.b.v. Live Forensics
6 oktober 2011
16
Live Forensics (4)
EDRM: ‘Preservation, Collection’
Integriteit:
de informatie is niet altijd reproduceerbaar (bv. netwerkinfo)
belangrijker is: 'to catch someone in the act'
sommige Live Forensics kunnen latere Static Forensics bemoeilijken
Acquisitiemethoden:
Tools als Microsoft’s COFEE (niet vrijelijk beschikbaar): Computer Online Forensic Evidence Extractor: ‘Automatische’ Live Forensics a.d.h.v. speciaal geprepareerde USB-key 'Seat-of-the-pants' bepaling van OOV en prioriteit door de onderzoeker op locatie:
versleuteling (cryptokeys in RAM, TrueCrypt volumes/containers)
'Boobytraps' (anti-forensics als DECAF)
6 oktober 2011
17
Live Forensics (5) EDRM: 'Processing, Review, Analysis' Moet ook (gedeeltelijk) 'live' worden gedaan Overvloed aan informatie-uitwisseling op de betrokken draaiende systemen: welke aangetroffen forensische informatie is relevant en moet worden bewaard? Mogelijkheid tot uitgebreide Static Forensics op een later tijdstip kan uitkomst bieden: ●
●
6 oktober 2011
Dump van het geheugen naar file op verschillende momenten: herhaaldelijke analyse mogelijk Volledige logging van al het netwerkverkeer (moeilijk): bijvoorbeeld een complete 'replay' van een aanval over het internet 18
Conclusies
Handmatige en Automatische analyse (FTK) Patroonherkenning ‘Begrip’, context en relatie gevonden data Snelheid Nauwkeurigheid Schaalbaarheid Encryptie blijft lastige kwestie Inhoud RAM gelukkig(?) soms te kopiëren Goedgekozen encryptie eigenlijk niet te kraken (bv. 256bit+ AES) Juridische kwesties (bv. UK vs. NL: afgeven keys verplicht?) Het correlateren en interpreteren van gevonden forensische informatie blijft mensenwerk...
6 oktober 2011
19
Opdracht (Static Forensics)
Het verwerkte ‘image’ is gemaakt van een WinXP PC; aangetroffen op locate bij de verdachte "S. Villerius". Deze (fictieve ;-)) persoon wordt verdacht van het versturen van bedreigingen. Je bent forensisch onderzoeker en hebt voor deze zaak uitgebreid tijd om het image te onderzoeken, dus verzamel zoveel mogelijk 'mogelijke bewijslast' met behulp van FTK: EDRM stappen: "Processing, Review, Analysis" Beschikbare tijd: 45 minuten Hints: Vind zoveel mogelijk vormen van forensische informatie: E-mail en documenten: plaatjes, Office, etc.
Alle vormen van 'historie'
Social media
Besturingssysteem-informatie als accounts
Probeer de gevonden informatie met elkaar te correleren: kun je een uitspraak doen over de schuldvraag? Is er iets te bewijzen?
6 oktober 2011
20
Opdracht (Live Forensics)
Tijd over?
Omdat het image een VMWare instance betreft, kun je deze opstarten in VMWare Player of de memory dump laten analyseren door FTK Suggesties voor Live Forensics: Probeer de forensische informatie van het Static Forensics gedeelte terug te vinden FTK ondersteunt ook 'Live' Forensics (tabblad 'Volatile'): Voeg de VMWare memory file (.vmem) toe als Evidence:
Evidence --> Import Memory Dump --> (maak een agent) --> Memory Dump File --> Kies All Files (*.*) en selecteer de aangeleverde .vmem file. De FTK-processing duurt slechts kort!
Probeer het GoogleTalk wachtwoord te achterhalen (hint: usernames en passwords komen meestal samen voor...)
6 oktober 2011
21
Bespreking opdrachten Static Forensics
'Live' Forensics incl. demo: GoogleTalk password uit memory dump
6 oktober 2011
22
Einde Vragen:
[email protected] 6 oktober 2011
23