´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
ˇ FEL CVUT
Forenzn´ı analyz´ator pro operativn´ı anal´yzu R´obert L´orencz, Tom´aˇs Zahradnick´y, Jiˇr´ı Buˇcek
19. kvˇetna 2008 R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
1
Forenzn´ı anal´yza Pojem forenzn´ı anal´yza Proces forenzn´ı anal´yzy
2
Operativn´ı anal´yza Poˇzadavky na OFA
3
Implementace FS ˇc´asti OFA Vnitˇrn´ı struktura FS ˇc´asti OFA
4
Z´avˇer
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Z´ avˇ er
Ot´ azky a odpovˇ edi
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Pojem forenzn´ı anal´ yza
Z´akladn´ı pojmy
Forenzn´ı anal´ yzou mysl´ıme uˇzit´ı vˇedecky odvozen´ych metod ke sbˇeru, zhodnocen´ı, identifikaci, anal´yze, interpretaci, dokumentaci a prezentaci digit´aln´ıch d˚ ukaz˚ u ze zdroj˚ u digit´aln´ıch dat s c´ılem rekonstrukce ud´alost´ı shledan´ych zloˇcinn´ymi nebo k odhalen´ı neautorizovan´ych akc´ı, kter´e p˚ usob´ı ruˇsivˇe na pl´anovan´y bˇeh operac´ı. Digit´ aln´ı stopa je jak´akoliv informace s vypov´ıdaj´ıc´ı hodnotou, uloˇzen´a nebo pˇren´aˇsen´a v digit´aln´ı podobˇe.
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Proces forenzn´ı anal´ yzy
Proces forenzn´ı anal´yzy 1
Zajiˇstˇen´ı objekt˚ u dat ke zkoum´an´ı Zajiˇstˇ en´ e objekty jsou odbornˇ e zduplikov´ any a origin´ aly uloˇzeny a zapeˇ cetˇ eny.
2
Anal´yza objekt˚ u dat ke zkoum´an´ı F´ aze zkoum´ an´ı a shromaˇzd’ov´ an´ı digit´ aln´ıch stop prov´ adˇ en´ a bud’ soudn´ım znalcem, anebo kriminalistick´ ym expertem, oboj´ı v souˇ cinnosti s vyˇsetˇrovatelem.
3
Report — v´ystup poˇzadovan´ych informac´ı Report obsahuje soupis digit´ aln´ıch stop, kter´ e jsou relevantn´ı k pˇr´ıpadu, a kter´ e soudn´ı znalec zahrne do sv´ eho posudku.
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Proces forenzn´ı anal´ yzy
Kdo prov´ad´ı forenzn´ı anal´yzu ˇ expertn´ı osoba, soudn´ı znalec — jmenov´an MSp CR, poskytuje v´ystup forenzn´ı anal´yzy — znaleck´y posudek. − znalc˚ u je nedostatek
kriminalistick´ y expert — vysoce vyˇskolen´a osoba, kter´a je s to pracovat s forenzn´ımi analyz´atory. − expert˚ u je nedostatek − velmi n´akladn´e ˇskolit dalˇs´ı experty
⇒ Znalc˚ u i expert˚ u je nedostatek, a proto je potˇreba, aby mohl poˇc´ateˇcn´ı anal´yzu prov´adˇet pˇr´ımo vyˇsetˇrovatel, nebo j´ım povˇeˇren´a osoba. R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Proces forenzn´ı anal´ yzy
Forenzn´ı analyz´atory Hardwarov´e + + − −
z´ısk´av´an´ı dat z HDD na analogov´e u ´rovni zkoum´an´ı roztˇr´ıˇstˇen´ych CD/DVD a zniˇcen´ych m´edi´ı vysoce n´akladn´e a ˇcasovˇe n´aroˇcn´e vyˇzaduj´ı vysoce vyˇskolen´y person´al
Softwarov´e + z´ısk´av´an´ı dat na softwarov´e u ´rovni + nen´ı zdaleka tak n´akladn´e − vyˇzaduj´ı vysoce vyˇskolen´y person´al? enCase Forensic Edition iLook Investigator Autopsy/SleuthKit R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Ot´ azky a odpovˇ edi
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Jak prob´ıh´a operativn´ı anal´yza 1
Operativec pracuje na kopii dat ta m˚ uˇze m´ıt formu CD/DVD, disk image, fyzick´eho disku, nebo b´yt na s´ıti obdrˇz´ı ji od znalce nebo experta dostane k n´ı hash origin´aln´ıch dat ⇒ nen´ı nutn´e chr´anit proti z´apisu
2
S daty se provede: vyhled´an´ı relevantn´ıch soubor˚ u (digit´aln´ıch stop) sestaven´ı reportu, kter´y obsahuje jm´ena soubor˚ u a jejich um´ıstˇen´ı hashe soubor˚ u datum, atd.
3
Pˇred´an´ı znalci k sestaven´ı posudku
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Poˇzadavky na OFA
Otevˇren´y zdrojov´y k´ od Spustiteln´e CD (Linux), ale i moˇznost spustit z CD (Windows) V ˇceˇstinˇe Minimum interakce s pˇr´ıkazovou ˇr´adkou Automatick´a filtrace uˇzivatelsk´ych soubor˚ u Vyhled´avan´ı v souborech urˇcit´eho typu podle kl´ıˇcov´ych slov Prohled´avan´ı archiv˚ u (poˇstovn´ı DBX/PST) Vykop´ırov´an´ı vybran´ych soubor˚ u na pamˇet’ov´e m´edium Sestavuje zpr´avu (report) Anal´yza smazan´ych soubor˚ u
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Poˇzadavky na OFA
Forma OFA v ˇceˇstinˇe Nutnost vylouˇcit vliv software nainstalovan´eho v poˇc´ıtaˇci poˇc´ıtaˇcov´e s´ıtˇe ⇒ Linuxov´e bootovac´ı CD (Knoppix) ⇒ Windows aplikace spustiteln´a z CD
Qt 4.4 Pro low level technologie COM bez vazeb na Qt Sada prohl´ıˇzeˇc˚ u Vˇse ˇcesky! R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Ot´ azky a odpovˇ edi
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Poˇzadavky na OFA
6
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
R´obert L´orencz, Tom´aˇs Zahradnic
je uˇzivateli poskytnout takov´ y n´astroj, kter´ y bude s uˇzivatelem Automatick´a filtrace a vyhled´ avan´ ı v souborech ˇcesky a skryje maximum syst´emovˇe z´avisl´ ych aspekt˚ u.
Hledat lze:
Uˇzivatel dokonce ani nemus´ı rozumˇet souborov´emu syst´emu n m´ediu vzhledem k tomu, ˇze u OFA je upˇrednostˇ nov´ano zobrazen syst´emu podle typu dat, kter´ y uˇzivatel vid´ı ve formˇe stromu di Strom digit´ aaln´ ıchstop stop nikoliv adres´aˇrov´e struktury. Strom digit´ ln´ıch je zobrazen n
v adres´aˇrov´e struktuˇre ve stromu digit´aln´ıch stop
Digit´aln´ı stopy Software Instalovan´ y software
A to podle (i souˇcasnˇe): koncovky skuteˇcn´eho typu souboru obsahu souboru dalˇs´ıch atribut˚ u (velikost, datum, . . . )
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Multim´edia Foto Audio Video Kancel´aˇr Office dokumenty Textov´e dokumenty Syst´emov´e ud´alosti
Obr´azek 1 Strom digit´aln´ıch stop
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Poˇzadavky na OFA
Prohled´avan´ı archiv˚ u a poˇsty
Archivy se tv´aˇr´ı jako sloˇzky Vyˇzaduj´ı scratch space pro rozbalen´ı: ramdisk extern´ı pamˇet’ov´e m´edium
Poˇstovn´ı soubory (nejˇcastˇeji Outlook DBX/PST) lze ch´apat jako archivy a zaˇradit poˇstu do stromu digit´aln´ıch stop.
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Poˇzadavky na OFA
Prohl´ıˇzen´ı soubor˚ u Poˇzadavek na velk´e mnoˇzstv´ı form´at˚ u soubor˚ u Pouˇzit´ı Open Source projekt˚ u GhostScript MPlayer OpenOffice?
R˚ uzn´a sloˇzitost implementace Bitmapy – jednoduch´e (libjpeg, libpng, libtiff...) Vektorov´e obr´azky – sloˇzitˇejˇs´ı (CorelDraw!?) Office – m˚ uˇze b´yt znaˇcnˇe sloˇzit´e
Nˇekter´e form´aty se nepodaˇr´ı prohl´ıˇzet internˇe ⇒ Odkaz na extern´ı aplikaci
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Ot´ azky a odpovˇ edi
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Poˇzadavky na OFA
Vykop´ırov´an´ı soubor˚ u a reportu na pamˇet’ov´e m´edium V´ybˇer soubor˚ u lze vykop´ırovat na pamˇet’ov´e m´edium spolu s reportem Proces prob´ıh´a takto: 1
Zvol´ı se disk, na kter´y se bude exportovat
2
Zvol´ı se m´ od exportu
dojde k pˇrimountov´ an´ı zvolen´eho disku jestli zachov´ avat adres´ aˇrovou strukturu anebo flat level s automatick´ym vyˇreˇsen´ım moˇzn´ych konflikt˚ u 3
Zvol´ı se sloˇzka, do kter´e se bude exportovat probˇehne export soubor˚ u dojde u uloˇzen´ı reportu v csv/tdt zvolen´y disk se odmountuje
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Vnitˇrn´ı struktura FS ˇ c´ asti OFA
Struktura FS ˇc´asti OFA Rozpoznávač /tmp
Médium
Filesystem
Integrátor
Interpreter
Archiver
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Mailbox extraktor
Vyhazovač zbytečných souborů
Vyhledávač
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Z´avˇer
Vyv´ıjen´y OFA je urˇcen pro nasazen´ı v prvn´ı vlnˇe“ ” Multiplatformn´ı aplikace Jednoduch´e ovl´ad´an´ı, v ˇceˇstinˇe Open Source
R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
Ot´ azky a odpovˇ edi
´ Uvod
Forenzn´ı anal´ yza
Operativn´ı anal´ yza
Implementace FS ˇ c´ asti OFA
Z´ avˇ er
Ot´ azky a odpovˇ edi
Ot´ azky a odpovˇ edi1 Tom´aˇs Zahradnick´y
[email protected]
1
V´yzkum projektu Problematika kybernetick´ych hrozeb z hlediska ”ˇ bezpeˇcnostn´ıch z´ ajm˚ u Cesk´ e republiky“ je podporov´ an grantem Ministerstva ˇ vnitra CR, VD20072010B13. R´ obert L´ orencz, Tom´ aˇs Zahradnick´ y, Jiˇr´ı Buˇ cek Forenzn´ı analyz´ ator pro operativn´ı anal´ yzu
