´ LOVE ´ UNIVERZITA HRADEC KRA FAKULTA INFORMATIKY A MANAGEMENTU Katedra informacˇnı´ch technologiı´ Obor: informacˇnı´ management
Forenznı´ analy ´ za digita´lnı´ch dat
´ LNI´ PRA ´ CE SEMESTRA
Autor: Obor: Prˇedmeˇt: Vyucˇujı´cı´:
Bc. Josef Kadlec IM2-K (1. rocˇnı´k) OBDAI Ing. Miloslav Feltl
Rok 2004
Prohla´s ˇenı´ Prohlasˇuji, zˇe jsem tuto semestra´lnı´ pra´ci vypracoval samostatneˇ a uvedl jsem vesˇkerou pouzˇitou literaturu. Nema´m za´vazˇny´ du ˚ vod proti uzˇitı´ tohoto sˇkolnı´ho dı´la ve smyslu § 60 za´kona 121/2000 Sb., o pra´vu autorske´m a o pra´vech souvisejı´cı´ch s pra´vem autorsky´m. Je dovoleno kopı´rovat, sˇ´ırˇit a/nebo modifikovat tento dokument za podmı´nek licence GNU FDL, verze 1.2 nebo vysˇsˇ´ıch publikovany´ch nadacı´ Free Software Foundation. Toto dovolenı´ je platne´ pouze pro sta´ty, kde obsah dı´la dany´ jeho na´zvem nenı´ v rozporu se za´konem. Copyright © 2004 Josef Kadlec
V Hradci Kra´love´ dne 25. rˇ´ıjna 2004
Josef Kadlec
Pode ˇ kova´nı´ Tı´mto bych chteˇl podeˇkovat me´ prˇ´ıtelkyni ”woodsboro”, ktera´ mi doda´va´ potrˇebnou motivaci a doufa´m, zˇe v tom bude pokracˇovat i nada´le.
Anotace Semina´rnı´ pra´ce je jaky´msi u ´ vodem do problematiky forenznı´ analy´zy digita´lnı´ch dat. Postupneˇ se sezna´mı´me s tı´m, co tento obor vsˇechno obna´sˇ´ı. Projdeme proble´my od samotne´ prˇ´ıpravy na incident, prˇes vysˇetrˇova´nı´ azˇ ke konecˇne´ obnoveˇ. Vsˇe je probı´ra´no v obecne´ rovineˇ, neza´visle na pouzˇite´ platformeˇ a na pouzˇity´ch investigativnı´ch prostrˇedcı´ch.
Obsah ´ vod 1 U
1
2 Forenznı´ analy ´ za digita´lnı´ch dat
4
3 Reakce na incidenty 3.1 Prˇ´ıprava na incident 3.2 Pocˇa´tecˇnı´ reakce . . 3.3 Vysˇetrˇova´nı´ . . . . . 3.4 Obnova . . . . . . .
a . . .
jeho . . . . . . . . .
detekce . . . . . . . . . . . . . . .
4 Za´ve ˇr
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
8 8 9 11 15 17
Literatura
i
i
Kapitola 1 ´ vod U ”Lidi vymejsˇlej bejka ´ rny, prosteˇ takhle to je a bude.” MJR. ING. JIRˇ´I DASTYCH
V dnesˇnı´ dobeˇ se jizˇ digita´lnı´m zarˇ´ızenı´m prakticky nevyhneme. Tato zarˇ´ızenı´, at’ uzˇ jsou v podobeˇ osobnı´ch pocˇ´ıtacˇu ˚ , PDA zarˇ´ızenı´, mobilnı´ch telefonu ˚ , USB flash disku ˚ a mnoho dalsˇ´ıch, jsou tak dostupna´, zˇe se rychle zarˇadily mezi beˇzˇne´ soucˇa´sti nasˇeho kazˇdodennı´ho zˇivota a staly se nasˇimi na´stroji dennı´ho pouzˇ´ıva´nı´. Lze prˇedpokla´dat, zˇe tato zarˇ´ızenı´ postupem cˇasu, pu ˚ vodnı´ zarˇ´ızenı´, postupy a zvyky u ´ plneˇ nahradı´. Logicky vyvodı´me, zˇe tedy i tato zarˇ´ızenı´ se sta´vajı´ tercˇem u ´ toku ˚ a take´ samozrˇejmeˇ na´strojem zlocˇinu - takovy´ zlocˇin je pak nazy´va´n cybercrime 1. Proto bylo potrˇeba vytvorˇit veˇdu (nebo metody), ktera´ toto prostrˇedı´ digita´lnı´ch dat bude zkoumat. Kdyzˇ se stane vrazˇda nebo vloupanı´, budou lide´ zainteresova´ni v takove´m prˇ´ıpadu (zrˇejmeˇ policie nebo jine´ opra´vneˇne´ slozˇky) zkoumat a ohleda´vat mı´sto cˇinu za u ´ cˇelem rekonstrukce dane´ uda´losti, nalezenı´ vinı´ku ˚ a sbeˇru du ˚ kazu ˚ . Prostrˇedkem tohoto sbeˇru informacı´ bude naprˇ´ıklad fotografova´nı´ mı´sta cˇinu, snı´ma´nı´ otisku ˚ prstu ˚ , sbeˇr geneticke´ho i jine´ho materia´lu a shromazˇd’ova´nı´ du ˚ kazu ˚. Obecneˇ lze rˇ´ıci, zˇe tato rekonstrukce probı´ha´ obdobneˇ v prˇ´ıpadech, kde je potrˇeba zkoumat pocˇ´ıtacˇe a jina´ digita´lnı´ zarˇ´ızenı´ cˇi pouze data. A to je prˇesneˇ pra´ce pro forenznı´ analy´zu digita´lnı´ch dat. Samozrˇejmeˇ, zˇe mezi 1
Vı´ce o pojmu cybercrime v na´sledujı´cı´ cˇa´sti.
1
´ vod 1. U
teˇmito dveˇma oblastmi jsou rozdı´ly. Digita´lnı´ data jsou velmi na´chylna´ ke zmeˇneˇ - tzn. zˇe jsou velmi nesta´la´. Tomu pak musı´ by´t prˇizpu ˚ sobeno nakla´da´nı´ s teˇmito daty, at’ uzˇ se jedna´ o samotny´ sbeˇr, uchova´va´nı´ nebo transport. Takovy´ sbeˇr du ˚ kazu ˚ mu ˚ zˇe by´t velmi cˇasoveˇ na´rocˇny´ a to prˇedevsˇ´ım v za´vislosti na mnozˇstvı´ zkoumany´ch dat. Ovsˇem zase rekonstrukce uda´losti (cˇi uda´lostı´) nenı´ zpravidla na´rocˇna´ na fyzicky´ prostor, takzˇe lze takovou rekonstrukci prove´st naprˇ´ıklad prˇ´ımo v soudnı´ sı´ni. Prˇ´ıklad z praxe - neda´vny´ prˇ´ıpad zabavenı´ pocˇ´ıtacˇu ˚ cˇloveˇka, ktery´ si prˇezdı´va´ Benny a to za podezrˇenı´ na tvorbeˇ cˇerva SQLSlammer2, ktery´ napa´chal prˇed 2 lety vysoke´ sˇkody. Lze prˇedpokla´dat, zˇe tyto pocˇ´ıtacˇe (pocˇ´ıtacˇ) jsou nynı´ zkouma´ny za u ´ cˇelem sbeˇru du ˚ kazu ˚. Jesˇteˇ neprˇ´ılisˇ dostatecˇna´ obecna´ obezna´menost v oblasti forenznı´ analy´zy digita´lnı´ch dat a nebo vu ˚ bec obezna´menost ve znalostech digita´lnı´ch zarˇ´ızenı´, pocˇ´ıtacˇovy´ch syste´mu a dalsˇ´ıch, deˇla´ tuto oblast velmi proble´movou a proto je potrˇeba ji da´le podrobneˇ zkoumat.
Cybercrime Obecne´ poveˇdomı´ je takove´, zˇe pod pojmem cybercrime se skry´vajı´ zlocˇiny, ktere´ se odehra´vajı´ ve virtua´lnı´m prostoru pocˇ´ıtacˇu ˚ a pocˇ´ıtacˇovy´ch sı´tı´ (tzv. ”cyberspace”). Ale pojem cybercrime zahrnuje vı´ce nezˇ tento prostor. Vy´zkum digita´lnı´ch dat je cˇasto potrˇeba v prˇ´ıpadech, ve ktery´ch by to asi ma´lo kdo cˇekal. Kdyzˇ naprˇ´ıklad policie ohleda´va´ byt, ve ktere´m poby´val drogovy´ dealer, a ve ktere´m se nasˇel kontraband, meˇl by policii zajı´mat i pocˇ´ıtacˇ, ktery´ v te´to situaci mu ˚ zˇe vypadat relativneˇ nevinneˇ. Stal se prˇ´ıpad, kdy v takove´m pocˇ´ıtacˇi byly nalezeny kompletnı´ informace o za´kaznı´cı´ch, doda´vka´ch a dalsˇ´ı pro prˇ´ıpad prospeˇsˇnı´ informace. Takzˇe vidı´me, zˇe pocˇ´ıtacˇ nebo jina´ zarˇ´ızenı´ s obsahem digita´lnı´ch dat nemusejı´ by´t v roli obeˇti a take´ nemusı´ mı´t nic spolecˇne´ho se zlocˇiny pa´chany´mi na takovy´chto zarˇ´ızenı´ch nebo na dosahova´nı´ vysˇsˇ´ıch cı´lu ˚ skrze tato zarˇ´ızenı´. Abychom celou problematiku zlocˇinne´ho deˇnı´ v digita´lnı´m sveˇte zjednodusˇili a mohli jı´ le´pe porozumeˇt a hlavneˇ vysveˇtlit, budeme bra´t pocˇ´ıtacˇ jako objekt, na ktere´m docha´zı´ k incidentu ˚ m, ktere´ se vymykajı´ norma´lnı´mu stavu - veˇtsˇinou k incidentu ˚ m bezpecˇnostnı´m. Samotna´ forenznı´ analy´za je jen cˇa´st celku. Cela´ metodologie reakce na incident je slozˇena´ z 2
http://www.viry.cz/zobraz.php?id=2390&s=rss
2
´ vod 1. U
vı´ce kroku ˚ , ktere´ jsou v ru ˚ zny´ch zdrojı´ch definova´ny odlisˇneˇ, ale za´kladnı´ podstata by meˇla by´t stejna´. Da´le take´ za´lezˇ´ı na tom, jestli dana´ organizace ma´ vytvorˇenou metodologii, kterou bude postupovat prˇi detekova´nı´ takove´ho incidentu. Pokud ano, tak bude zrˇejmeˇ zarˇazena v bezpecˇnostnı´ politice dane´ organizace. Na druhou stranu je potrˇeba vysˇetrˇovat prˇ´ıpady, kdy zˇa´dna´ prˇ´ıprava na incident neprˇedcha´zela, detekce proble´mu byla zcela na´hodna´ nebo byl proble´m tak na´padny´, zˇe nebylo pochyb, zˇe k incidentu dosˇlo. Pak mu ˚ zˇe by´t situace rekonstrukce incidentu, sbeˇru du ˚ kazu ˚, hleda´nı´ zodpoveˇdny´ch lidı´ a dalsˇ´ıch kroku ˚ samozrˇejmeˇ o to obtı´zˇneˇjsˇ´ı.
3
Kapitola 2 Forenznı´ analy ´ za digita´lnı´ch dat Forenznı´ analy´za digita´lnı´ch dat (angl. digital forensics) je relativneˇ mlada´ veˇda. Neˇkde se rˇ´ıka´, zˇe to nenı´ ani tak veˇda, jako spı´sˇe umeˇnı´. Tato veˇda a jejı´ na´zev vlastneˇ vznikly z pu ˚ vodnı´ho vy´razu forenznı´ analy´za pocˇ´ıtacˇu ˚ a pocˇ´ıtacˇovy´ch syste´mu ˚ (angl. computer forensics), ktera´ zkoumala pouze pocˇ´ıtacˇe. Forenznı´ analy´za digita´lnı´ch dat se zaby´va´ digita´lnı´mi technologiemi ve vsˇech podoba´ch - kromeˇ pocˇ´ıtacˇu ˚ naprˇ´ıklad mobilnı´ telefony, mobilnı´ sı´teˇ, datova´ me´dia a mnoho dalsˇ´ıch. Zatı´mco forenznı´ analy´za pocˇ´ıtacˇu ˚ a pocˇ´ıtacˇovy´ch syste´mu ˚ je definova´na jako souhrn technik a na´stroju ˚ k hleda´nı´ du ˚ kazu ˚ na pocˇ´ıtacˇi [2], tak forenznı´ analy´za digita´lnı´ch dat je definova´na jako uzˇitı´ veˇdecky odvozeny´ch a osveˇdcˇeny´ch metod k izolova´nı´ (ochraneˇ), sbeˇru, zhodnocenı´, identifikaci, analy´ze, interpretaci, dokumentaci a prezentaci digita´lnı´ch du ˚ kazu ˚ ze zdroju ˚ digita´lnı´ch dat s cı´lem usnadneˇnı´ rekonstrukce uda´lostı´ shledany´ch zlocˇinny´mi nebo k odhalenı´ neautorizovany´ch akcı´, ktere´ pu ˚sobı´ rusˇiveˇ na pla´novany´ beˇh operacı´ [3]. Takovy´ch definic je samozrˇejmeˇ vı´ce, ale v za´sadeˇ se nelisˇ´ı. Pokud bychom to rˇekli laicky, tak tato veˇda analyzuje jaka´koliv digita´lnı´ data s cı´lem urcˇit, co se stalo, kdy se to stalo, jak se to stalo a koho se to ty´ka´. Metodologicky je to podobne´, jako kdyzˇ se vysˇetrˇuje jiny´ incident ve fyzicke´ sveˇteˇ - naprˇ´ıklad vrazˇda nebo loupezˇ. Slozˇky zkoumajı´cı´ tyto incidenty take´ bude zajı´mat co se stalo, kdy se to stalo, atd. Ve sveˇte digita´lnı´ch dat jsou tyto informace cˇasto skryty v podobeˇ smazany´ch souboru ˚, fragmentu ˚ dat ulozˇeny´ch v alokovane´ pameˇti existujı´cı´ch souboru ˚ (tzv. slack space), dat ulozˇeny´ch v docˇasne´ pameˇti RAM nebo v podobeˇ za´znamu ˚ (tzv. logu ˚ ) cˇinnosti jednotlivy´ch sluzˇeb, ktere´ na dane´m zarˇ´ızenı´ beˇzˇ´ı. Proto jsou potrˇeba k zı´ska´nı´ teˇchto informacı´ a du ˚ kazu ˚ specia´lnı´ 4
2. Forenznı´ analy´za digita´lnı´ch dat
na´stroje, znalosti a zkusˇenosti. Stejneˇ jako kdyzˇ v ra´mci neˇjake´ho prˇ´ıpadu bude nalezena kulka ze strˇelne´ zbraneˇ a bude potrˇeba ji identifikovat. Tuto pra´ci nemu ˚ zˇe udeˇlat jaky´koliv cˇlen zainteresovany´ v takove´m prˇ´ıpadu, ale pouze odbornı´k na balistiku. Uva´deˇjı´ se i dalsˇ´ı podskupiny pro forenznı´ analy´zu digita´lnı´ch dat, jako naprˇ´ıklad sı´t’ova´ forenznı´ analy´za, ktera´ se zaby´va´ vy´hradneˇ vysˇetrˇova´nı´m v oblasti pocˇ´ıtacˇovy´ch sı´tı´ nebo forenznı´ analy´za mobilnı´ho telefonnı´ho syste´mu GSM nebo forenznı´ analy´za notebooku ˚ a laptopu ˚ . Kdyzˇ pu ˚ jdu jesˇteˇ do nizˇsˇ´ıho levelu, tak mu ˚ zˇeme rozlisˇovat forenznı´ analy´zu jednotlivy´ch operacˇnı´ch syste´mu ˚. Nynı´ si povı´me blı´zˇe, co hlavnı´ body definice forenznı´ analy´zy digita´lnı´ch dat znamenajı´. Izolova´nı´ a ochrana du ˚ kazu ˚ znamena´ to, zˇe pro na´sledujı´cı´ sbeˇr a analy´zu digita´lnı´ch dat je potrˇeba zachovat jejich pu ˚ vodnı´ sterilitu, takzˇe musı´me zabra´nit jejich pozmeˇneˇnı´ cˇi ztra´teˇ. V praxi se to veˇtsˇinou prova´dı´ tzv. forenznı´ duplikacı´ zkoumane´ho digita´lnı´ho me´dia. Zkouma´nı´ pak probı´ha´ na te´to kopii. Pokud nemu ˚ zˇeme prove´st forenznı´ duplikaci, lze naprˇ. nastavit dane´ me´dium tak, aby bylo jen ke cˇtenı´ a nebyl na neˇj umozˇneˇn za´pis, pokud je to tedy mozˇne´. Sbeˇr du ˚ kazu ˚ znamena´ to, zˇe tyto du ˚ kazy musı´me z pu ˚ vodnı´ho pracovnı´ho me´dia vyextrahovat na jine´ me´dium a nebo do formy vhodne´ pro tisk. Identifikace du ˚ kazu ˚ znamena´ v pocˇa´tecˇnı´ fa´zi identifikaci samotny´ch relevantnı´ch me´diı´, na ktery´ch by se mohly du ˚ lezˇite´ informace nacha´zet. Podstatou je to, zˇe samotne´ me´dium (pevny´ disk, USB flash disk, atd.) nenı´ samo o sobeˇ du ˚ kazem, ale pouze zdrojem takovy´ch du ˚ kazu ˚ . Ve fa´zi analy´zy ma´ identifikace du ˚ kazu ˚ , co do cˇineˇnı´ s identifikacı´ jednotlivy´ch dat a informacı´. Interpretace informacı´, prˇ´ıpadneˇ du ˚ kazu ˚ mu ˚ zˇe by´t klı´cˇova´. Dı´ky dostupnosti ru ˚ zny´ch skriptu ˚ a GUI utilit pro extrahova´nı´ takovy´ch informacı´, mohou by´t informace zı´ska´ny prakticky ky´mkoliv. Ale du ˚ kladneˇ spra´vneˇ je vylozˇit, je veˇc druha´. Dalsˇ´ı velmi podstatnou cˇa´stı´ je dokumentace ve smyslu zaznamena´va´nı´ vsˇeho co deˇla´me. A to opravdu vsˇeho od zacˇa´tku azˇ do konce. Naprˇ´ıklad kvu ˚ li tomu, zˇe jako vysˇetrˇovatele´ budete moci by´t u soudu dotazova´ni a to i na podrobnosti. A uzˇ z principu musı´ by´t jasne´, jake´ vsˇechny kroky jste podnikli. 5
2. Forenznı´ analy´za digita´lnı´ch dat
Zjisˇteˇne´ skutecˇnosti je potrˇeba v neˇjake´ formeˇ prezentovat. Teˇzˇko budete vrcholove´mu managementu sdeˇlovat zjisˇteˇne´ skutecˇnosti naprˇ´ıklad vy´pisem logu ˚ aplikacı´ nebo na takove´ odborne´ u ´ rovni, zˇe tomu management prosteˇ nebude rozumeˇt. Takzˇe je potrˇeba prezentovat podstatne´ skutecˇnosti a za´veˇry, pokud mozˇno bez technicky´ch detailu ˚ , ktere´ jsou v konecˇne´m du ˚ sledku zbytecˇne´. Managementu sdeˇlte prosteˇ naprˇ´ıklad kdo je odpoveˇdny´, co bylo odcizeno, jake´ jsou na´sledky a sˇkody, apod. Jak jsem jizˇ zmı´nil na zacˇa´tku, zkoumany´ pocˇ´ıtacˇ mu ˚ zˇe pu ˚ sobit v roli na´stroje zlocˇinu a nebo mu ˚ zˇe vystupovat v roli obeˇti - tzn. v pozici, kdy je takovy´ pocˇ´ıtacˇ nebo jine´ zarˇ´ızenı´ tercˇem zlocˇinu (naprˇ´ıklad byla-li z takove´ho pocˇ´ıtacˇe odcizena neˇjaka´ data, atd.). V takove´m prˇ´ıpadeˇ veˇtsˇinou uplatn ˇ ujeme metody reakce na incidenty. V prvnı´m prˇ´ıpadeˇ, kdy je pocˇ´ıtacˇ na´strojem neˇjake´ho zneuzˇ´ıva´nı´ na´s jako vy´zkumnı´ky, poprˇ. vysˇetrˇovatele nemu ˚ zˇe prˇekvapit, zˇe zkoumane´ zarˇ´ızenı´ se na´m do rukou dostane vypnute´ nebo dostaneme prosteˇ pouze me´dia (disky, atd.) ke zkouma´nı´. Takzˇe nebudeme moci vyteˇzˇit informace z docˇasne´ pameˇti RAM, beˇzˇ´ıcı´ procesy, sledovat sı´t’ova´ spojenı´, apod. Takove´ informace jsou vsˇak velmi du ˚ lezˇite´ a cˇasto klı´cˇove´, proto musı´ by´t metodologie reakce na incidenty (kterou vyuzˇijeme v druhe´m prˇ´ıpadeˇ, kdy je pocˇ´ıtacˇ v pozici obeˇti) postavena tak, aby byly tyto informace zachova´ny. Samozrˇejmeˇ, zˇe tento vy´zkum digita´lnı´ch dat a sbeˇr du ˚ kazu ˚ se nedeˇla´ pouze v prˇ´ıpadech, kdy ma´ prˇ´ıpad skoncˇit prˇed soudem, ale naprˇ´ıklad pouze pro odhalenı´ zodpoveˇdny´ch lidı´ za danou uda´lost (a prˇ´ıpadneˇ jejich potresta´nı´). Ovsˇem nikdy nemu ˚ zˇete vyloucˇit, zˇe neˇjaky´ prˇ´ıpad prˇed soudem neskoncˇ´ı - naprˇ´ıklad proti sve´mu zameˇstnanci. Jisteˇ va´m jizˇ dosˇlo, zˇe odbornı´ci na forenznı´ analy´zu digita´lnı´ch dat musejı´ mı´t sˇiroke´ znalosti jak hardwaru, tak softwaru (operacˇnı´ch sysˇ asto se probı´ra´ to, kde vsˇude se odbornı´ci v tomto oboru te´mu ˚ , atd.). C uplatnı´. Za prve´ je to urcˇiteˇ ve slozˇka´ch ha´jı´cı´ch pra´vo a prˇ´ıbuzny´ch naprˇ. policie, FBI, CIA a jine´ investigativnı´ agentury. Dalsˇ´ı mozˇnost uplatneˇnı´ takovy´ch znalostı´ je v soukromy´ch agentura´ch zaby´vajı´cı´ch se informacˇnı´ bezpecˇnostı´, poprˇ´ıpadeˇ prˇ´ımo forenznı´ analy´zou. Dalsˇ´ımi sektory pu ˚ sobnosti mu ˚ zˇe by´t naprˇ´ıklad poskytova´nı´ konsultacı´ v tomto oboru. Obecneˇ lze rˇ´ıci, zˇe lide´ v tomto oboru forenznı´ analy´zy digita´lnı´ch dat jsou v soucˇasne´ dobeˇ sˇteˇdrˇe ohodnocova´ni - a to ze vsˇech odbornı´ku ˚ na ru ˚ zne´ oblasti informacˇnı´ bezpecˇnosti asi nejvı´ce (berte tuto informaci samozrˇejmeˇ s jistou mı´rou nadhledu). 6
2. Forenznı´ analy´za digita´lnı´ch dat
Pokud vysˇetrˇujeme neˇjaky´ takovy´ incident, je potrˇeba se cˇasto nekoukat pouze na samotne´ digita´lnı´ me´dium, protozˇe informace a cˇasto klı´cˇove´ informace a du ˚ kazy vztahujı´cı´ se k prˇ´ıpadu mohou by´t i jinde naprˇ. v blı´zkosti pocˇ´ıtacˇe, at’ uzˇ to jsou hesla napsana´ na spodnı´ straneˇ kla´vesnice, vy´stup na monitoru cˇi tiska´rneˇ a nebo v loga´ch externı´ch prvku ˚ sı´teˇ jako proxy servery a firewally. Soucˇa´stı´ takove´ho vy´zkumu jsou i vy´slechy lidı´, kterˇ´ı jsou s prˇ´ıpadem prova´za´ni. Pokud nebudeme bra´t toto v u ´ vahu, mohou na´m ute´ct cˇasto klı´cˇove´ informace.
7
Kapitola 3 Reakce na incidenty Jak uzˇ jsem jizˇ zmı´nil, incident je uda´lost, ktera´ meˇnı´ pla´novany´ chod, funkce nebo vy´znam syste´mu, i kdyzˇ dany´ incident nemusı´ prˇ´ımo narusˇovat chod takove´ho syste´mu. Pokud naprˇ´ıklad dojde k pru ˚ niku do neˇjake´ho syste´mu, neznamena´ to vy´hradneˇ narusˇenı´ chodu, ale je jasne´, zˇe je to neˇco, co by se sta´t nemeˇlo, co se vymyka´ beˇzˇne´mu uzˇ´ıva´nı´ a tudı´zˇ je to incident.
3.1 Prˇ´ıprava na incident a jeho detekce Je potrˇeba mı´t na pameˇti, zˇe pokud chceme vu ˚ bec detekovat dany´ incident, je potrˇeba se na neˇj prˇipravit. Jak jsem jizˇ rˇekl, incident nemusı´ narusˇovat chod syste´mu nebo neˇjaky´ch podrˇadneˇjsˇ´ıch funkcı´, takzˇe mu ˚ zˇe by´t zcela nena´padny´ - naprˇ´ıklad kdyzˇ narusˇitel pronikne do neˇjake´ho syste´mu, odcizı´ neˇjaka´ data, zajistı´ si sofistikovany´mi prostrˇedky cestu do syste´mu pro pozdeˇjsˇ´ı prˇ´ıstup a nepozorovaneˇ odejde. Pokud nejste na takovy´ incident prˇipraveni, tak ho vu ˚ bec nezaznamena´te a pokud ho zaznamena´te, tak to bude zrˇejmeˇ ota´zka na´hody. Nejlepsˇ´ı zpu ˚ sob, jak prˇedejı´t bezpecˇnostnı´mu incidentu nejen v oblasti pocˇ´ıtacˇovy´ch syste´mu ˚ , je vytvorˇenı´ takovy´ch preventivnı´ch i jiny´ch prostrˇedku ˚ k jeho zamezenı´. Ale nikdo nenı´ dokonaly´, proto ani technika, kterou pouzˇ´ıva´me nemu ˚ zˇe by´t dokonala´. Nelze tedy zarucˇit stoprocentnı´ bezpecˇnost, takzˇe je potrˇeba bra´t v potaz, zˇe k neˇjake´mu bezpecˇnostnı´mu incidentu mu ˚ zˇe dojı´t - a cˇasto drˇ´ıve, cˇi pozdeˇji dojde. Prˇ´ıprava na incident by va´m meˇla zajistit efektivnı´ reakci na tento incident - tzn. najı´t prˇ´ıcˇinu proble´mu a zajistit na´vrat do beˇzˇne´ho stavu s minima´lnı´mi sˇkodami. 8
3. Reakce na incidenty
To jak prˇedejı´t bezpecˇnostnı´mu incidentu (tzn. vlastneˇ ochrana sı´teˇ, syste´mu, atd.) a samotne´ detekova´nı´ incidentu ma´ mezi sebou velmi silnou vazbu, z velke´ cˇa´sti se prˇekry´vajı´ a vyuzˇ´ıvajı´ cˇasto stejny´ch prostrˇedku ˚. Zatı´mco detekci incidentu zajı´ma´ prˇedevsˇ´ım to, co se prˇesneˇ stalo - jake´ syste´my byly napadeny, jake´ informace odhaleny a na´sledneˇ i identifikace zdroje teˇchto ”nekaly´ch” cˇinnostı´ (v konecˇne´m du ˚ sledku u ´ tocˇnı´ka), tak ochranu syste´mu ˚ , sı´tı´, atd. zajı´ma´ prˇedevsˇ´ım samotna´ eliminace teˇchto incidentu ˚ jesˇteˇ nezˇ k nim dojde, poprˇ. jejich dalsˇ´ı rozsˇ´ırˇenı´ a k tomu mu ˚ zˇe vyuzˇ´ıt informacı´ (a na´stroju ˚ ), ktere´ jsou du ˚ lezˇite´ pro detekci incidentu ˚ . Vsˇimneˇme si, zˇe se bavı´me o komplexnı´m prˇ´ıpadu, kdy zkouma´me pocˇ´ıtacˇ, ktery´ je v roli napadene´ho syste´mu (cˇi syste´mu ˚ ), ktere´ jsou navı´c soucˇa´stı´ neˇjake´ obecne´ organizace. Nebudu se v te´to pra´ci zaby´vat samotny´m sestavova´nı´m bezpecˇnostnı´ politiky a vu ˚ bec ochranou pocˇ´ıtacˇu ˚ , syste´mu ˚ nebo sı´teˇ, ale pouze cˇinnostmi, ktere´ se prˇ´ımo ty´kajı´ reakce na incident. Prˇ´ıprava na takovy´ incident vypada´ v praxi tak, zˇe jsou urcˇity´m zpu ˚ sobem zkonfigurova´ny vsˇechny pocˇ´ıtacˇe, poprˇ. komplexneˇ cela´ sı´t’. Na pocˇ´ıtacˇ´ıch jsou naprˇ´ıklad vytvorˇeny databa´ze s kontrolnı´mi soucˇty vsˇech souboru ˚ pro pozdeˇjsˇ´ı kontrolu integrity syste´mu (tyto soucˇty mohou by´t uchova´va´ny centra´lneˇ, aby nemohlo dojı´t k jejich modifikaci na jednotlivy´ch syste´mech). Da´le naprˇ´ıklad aktivova´nı´ logu ˚ , ktere´ zase mohou by´t shromazˇd’ova´ny centra´lneˇ a nebo instalace HIDS (Host Intrusion Detection System). Konfigurace spocˇ´ıva´ prˇedevsˇ´ım v instalaci firewallu ˚ , proxy, IDS (Intrusion Detection System), IPS (Intrusion Protection System) a jiny´ch monitorovacı´ch na´stroju ˚ . S tı´m samozrˇejmeˇ souvisı´ na´vrh takove´ topologie, ktera´ bude pro takovy´ monitoring vhodna´.
3.2 Poc ˇa´tec ˇnı´ reakce Na samotny´ incident mu ˚ zˇe organizace reagovat ru ˚ zny´mi zpu ˚ soby. A to naprˇ´ıklad ignorova´nı´m incidentu, sbeˇrem informacı´ o pu ˚ vodu u ´ toku (nebo u ´ tocˇnı´ka), zabra´neˇnı´m pokracˇova´nı´ v tomto u ´ toku, atd. To jaky´ postup zvolı´te za´lezˇ´ı na mnoha faktorech - v klasicke´ firmeˇ to bude prˇedevsˇ´ım dopad incidentu na cˇinnost organizace, poprˇ. pra´vnı´ stra´nka veˇci a nebo take´ technicke´ prostrˇedky, ktere´ jsou k dispozici. Du ˚ vody firmy procˇ zvolit tu nebo tu reakci mohou by´t cˇasto ru ˚ zne´ a rozhodneˇ nemusejı´ by´t podobne´ modelu, kdy dojde k odhalenı´, dopadenı´ a potresta´nı´ u ´ tocˇnı´ka 9
3. Reakce na incidenty
nebo cˇloveˇka zodpoveˇdne´ho. Firmy mohou ha´jit naprˇ´ıklad reputaci firmy a neprˇejı´ si, aby se vu ˚ bec o neˇjake´m bezpecˇnostnı´m incidentu neˇkdo dozveˇdeˇl. Netouzˇ´ı po takove´to populariteˇ a nejradsˇi by, aby se vsˇe v tichosti vyrˇesˇilo. Optima´lnı´ je asi prove´st analy´zu incidentu, nale´zt jeho prˇ´ıcˇinu1 , technicky´mi prostrˇedky zabra´nit v dalsˇ´ım pokracˇova´nı´ u ´ toku a pokud je to mozˇne´, tak odhalit u ´ tocˇnı´ka. A tohoto modelu se my budeme drzˇet. Rozhodnutı´, ktere´ udeˇla´te se lisˇ´ı prˇ´ıpad od prˇ´ıpadu a za´lezˇ´ı na okolnostech, ktere´ incident doprova´zı´. Takzˇe nasˇe rozhodnutı´ by se meˇla lisˇit na za´kladeˇ toho, jak citlive´ jsou informace, ktere´ chra´nı´me, jake´ ztra´ty cˇi vy´padky mu ˚ zˇeme tolerovat, kdo je potenciona´lnı´m u ´ tocˇnı´kem, zda o incidentu vı´ verˇejnost, apod. Asi nebude v sila´ch na´s jako napadene´ organizace naprˇ´ıklad hledat autora viru, ktery´ napadl nasˇe pocˇ´ıtacˇe. Od toho jsou tu jine´ investigativnı´ slozˇky, ktere´ zase prova´dı´ svojı´ forenznı´ analy´zu. Samotne´ akce v reakcı´ch na incidenty, ktere´ se ty´kajı´ technicky´ch i dalsˇ´ıch aspektu ˚ , by meˇl rˇesˇit vysˇkoleny´ persona´l, ktery´ vlastneˇ tvorˇ´ı takovy´ ty´m reakce na incidenty. Takovy´ ty´m ma´ na starosti vesˇkere´ vysˇetrˇova´nı´, vyrˇesˇenı´ bezpecˇnostnı´ch incidentu ˚ , urcˇenı´ sˇkod, sbeˇr du ˚ kazu ˚ a dalsˇ´ı kroky ve forenznı´ analy´ze digita´lnı´ch dat a veˇcı´ prˇ´ıbuzny´ch jako naprˇ´ıklad poskytovat managementu fundovana´ doporucˇenı´ ty´kajı´cı´ se incidentu. Konzultace vsˇech kroku ˚ reakce a i samotne´ prˇ´ıpravy na incident musı´ by´t konzultova´na s pra´vnı´ky, aby se organizace samotna´ nedostala do proble´mu ˚ se za´konem naprˇ´ıklad pro narusˇova´nı´ soukromı´ svy´ch zameˇstnancu ˚ . Ne vsˇechny informace mohou by´t prohlı´zˇeny trˇeba i osobou poveˇrˇenou bezpecˇnostı´. Neˇkdy je potrˇeba mı´t poveˇrˇenı´, povolenı´ nebo soudnı´ prˇ´ıkaz. Neˇkdy musejı´ by´t informace monitorova´ny takovy´m zpu ˚ sobem, aby byla zachova´na podstata, procˇ je monitorujeme, ale take´, aby bylo zachova´no pra´vo na soukromı´ - cˇasto to znamena´, zˇe k informacı´m nesmı´ mı´t prˇ´ıstup zˇa´dna´ osoba a monitorovacı´ syste´m musı´ by´t navrzˇen tak, aby toto neumozˇn ˇ oval. Mu ˚ zˇe se jednat naprˇ´ıklad o sledova´nı´ sı´t’ove´ho provozu. Jesˇteˇ jsem nerˇekl, zˇe se samozrˇejmeˇ musı´me bra´nit a monitorovat provoz, ktery´ prˇicha´zı´ z vneˇjsˇku organizace, tak provoz, ktery´ pocha´zı´ z vnitrˇku organizace, ale to by meˇlo by´t samozrˇejme´ ze samotne´ podstaty informacˇnı´ bezpecˇnosti. 1
ˇ asto se vyuzˇ´ıva´ vy´raz ”smoking gun” (v prˇekladu ”kourˇ´ıcı´ zbran C ˇ ”).
10
3. Reakce na incidenty
Jak jsem jizˇ zmı´nil, meˇly by by´t vsˇechny kroky, jak se bude postupovat a to nejen po zaznamena´nı´ incidentu, ale i samotna´ prˇ´ıprava a vu ˚ bec chod cele´ho syste´mu (nenı´ mysˇleno jako operacˇnı´ syste´m, ale informacˇnı´ syste´m jako celek v dane´ organizaci), zaznamena´ny v bezpecˇnostnı´ politice - resp. uzˇivatelske´ politice. Dodrzˇova´nı´m takove´ politiky bychom meˇli docı´lit vysˇsˇ´ı bezpecˇnosti takove´ organizace a to nejen z pohledu informacˇnı´ bezpecˇnosti (nedostatky v oblasti informacˇnı´ bezpecˇnosti se samozrˇejmeˇ promı´tajı´ i do bezpecˇnosti organizace jako takove´) a take´ bychom meˇli docı´lit metodologicke´ho a tudı´zˇ i systematicke´ho rˇesˇenı´ incidentu ˚ - identifikova´nı´ odpoveˇdny´ch osob, apod. Pokud ma´te v takove´ politice hodneˇ aspektu ˚ , tak je vy´hodne´ takovou politiku rozkategorizovat na mensˇ´ı cˇa´sti - jako naprˇ´ıklad politika prˇ´ıstupu na Internet, politika prˇ´ıstupu k vy´pocˇetnı´m prostrˇedku ˚ m, politika uzˇivatelsky´ch prˇ´ıstupu ˚ , atd. Mezi jednotlive´ aspekty takove´ politiky mu ˚ zˇe patrˇit naprˇ´ıklad cˇas, kdy je povolen prˇ´ıstup na termina´ly, kdo ma´ povolen vzda´leny´ prˇ´ıstup, kdo mu ˚ zˇe manipulovat s konty uzˇivatelu ˚ , kdo ma´ pra´vo pouzˇ´ıvat konto superuzˇivatele, jestli bude povoleno ICQ, atd.
3.3 Vys ˇetrˇova´nı´ Nynı´ se vrhneme na samotne´ zkouma´nı´ a vysˇetrˇova´nı´ du ˚ kaznı´ho me´dia. Jako toto du ˚ kaznı´ me´dium budeme bra´t disk pocˇ´ıtacˇe. V prvnı´m prˇ´ıpadeˇ, kdyzˇ ma´me zkoumat takovy´ pocˇ´ıtacˇ, meˇla by na´s zajı´mat docˇasna´ data tzn. zˇe pocˇ´ıtacˇ by meˇl zu ˚ stat po detekci incidentu ve fa´zi zapnuto! Vypnutı´m pocˇ´ıtacˇe tato data a tı´m pa´dem i potenciona´lnı´ du ˚ kazy ztratı´me. Ovsˇem zase tato pra´ce prˇedstavuje pra´ci na ”zˇive´m” syste´mu a my jakozˇto vysˇetrˇovatele´ mu ˚ zˇeme neˇktere´ potenciona´lnı´ du ˚ kazy nechteˇneˇ znehodnotit. Kromeˇ toho, zˇe bychom meˇli v te´to oblasti mı´t dostatecˇne´ znalosti, abychom nenapa´chali velke´ sˇkody, je potrˇeba take´ kazˇdy´ na´sˇ krok pecˇliveˇ dokumentovat. Mezi docˇasna´ data patrˇ´ı naprˇ´ıklad obsah vyrovna´vacı´ a operacˇnı´ pameˇti, informace o sı´t’ovy´ch spojenı´ch, informace o beˇzˇ´ıcı´ch procesech, atd. Pokud tato data pro vysˇetrˇova´nı´ nepotrˇebujete (naprˇ´ıklad nevysˇetrˇujete prˇ´ıpad, kdy je relevantnı´m prvkem sı´t’ - u ´ tok skrze sı´t’), tak takovou analy´zu vu ˚ bec nedeˇlejte. Jedna´ se o na´rocˇneˇjsˇ´ı proces nezˇ je analy´za duplikovane´ho syste´mu a mu ˚ zˇete si tı´m zbytecˇneˇ zmarˇit dalsˇ´ı vysˇetrˇova´nı´.
11
3. Reakce na incidenty
Forenznı´ duplikace zdrojove´ho me´dia Pokud to podmı´nky umozˇn ˇ ujı´, je vy´hodne´ a cˇasto pro pozdeˇjsˇ´ı analy´zu du ˚ kazu ˚ nutne´, vytvorˇit tzv. forenznı´ duplikaci zkoumane´ho me´dia (prˇesneˇji zkoumany´ch dat na me´diu). Samozrˇejmeˇ zda-li tento krok podniknete za´lezˇ´ı naprˇ´ıklad na mnozˇstvı´ cˇasu, ktery´ pro vysˇetrˇova´nı´ ma´te a nebo jestli je mozˇne´ vu ˚ bec technicky takovou duplikaci prove´st. Tento krok se deˇla´ proto, abychom si neznehodnotili pu ˚ vodnı´ zdroj du ˚ kazu ˚ - naprˇ´ıklad prˇepsa´nı´m prˇ´ıstupovy´ch cˇasu ˚ souboru ˚ . Ne nadarmo se forenznı´ analy´ze pocˇ´ıtacˇu ˚ a pocˇ´ıtacˇovy´ch syste´mu ˚ rˇ´ıka´ ”pitva syste´mu”. Mozˇna´ by zde sˇlo pouzˇ´ıt i u ´ zkou asociaci s chirurgem, ktery´ operuje zˇivy´ organismus. Takovy´ cˇloveˇk je pod mnohem veˇtsˇ´ım tlakem a mu ˚ zˇe cokoliv bezna´vratneˇ zkazit. Kdezˇto takovy´ patolog uzˇ na chodu organismu (syste´mu) nic nezkazı´, fa´dneˇ rˇecˇeno. K forenznı´ duplikaci se pouzˇ´ıva´ sˇiroke´ portfolium na´stroju ˚ od jednoduchy´ch unixovy´ch programu ˚ azˇ po teˇzˇkotona´zˇnı´ komercˇnı´ programy, ktere´ samozrˇejmeˇ umı´ vı´ce, nezˇ pouhe´ zkopı´rova´nı´ obsahu disku. Z hlediska forenznı´ analy´zy digita´lnı´ch dat rozlisˇujeme 3 typy dat a to data aktivnı´. To jsou soubory (samozrˇejmeˇ i adresa´rˇe, ale adresa´rˇe jsou vlastneˇ take´ soubory, ktere´ pouze odkazujı´ na soubory obsazˇene´, takzˇe proto budu vsˇe nazy´vat soubory), ktere´ jsou norma´lneˇ uzˇivatelem viditelne´, takzˇe je lze z disku i nejjednodusˇeji zı´skat. Dalsˇ´ım typem jsou archivovana´ data. To jsou soubory, ktere´ naleznete na digita´lnı´ch me´diı´ch typu CD, DVD, disketa, ZIP pa´sky a dalsˇ´ı. A poslednı´m typem dat, ktere´ se nejobtı´zˇneˇji zı´ska´vajı´ jsou latentnı´ data, ktera´ prˇedstavujı´ naprˇ´ıklad smazane´ soubory nebo soubory cˇa´stecˇne´ prˇepsane´. Zı´ska´va´nı´ vsˇech typu ˚ teˇchto dat je obecneˇ cˇasoveˇ i financˇneˇ na´rocˇne´. Je take´ nutne´ pocˇ´ıtat s tı´m, zˇe extrahovane´ soubory mohou by´t neˇjaky´m zpu ˚ sobem zasˇifrovane´. Potom musı´ prˇijı´t na sce´nu kryptologove´, kterˇ´ı se mohou pokusit takove´ soubory rozsˇifrovat. Pokud jsou ovsˇem soubory zasˇifrova´ny tak, aby je nebyla mozˇnost se soucˇasny´mi prostrˇedky rozsˇifrovat (nenı´ k dispozici sˇifrovacı´ klı´cˇ nebo jine´ indicie), potom jsou du ˚ kazy z teˇchto dat vysˇetrˇovatelu ˚ m skryty. Takzˇe takove´ sˇifrovane´ souborove´ syste´my, ktery´mi se cˇasto sˇifrujı´ cele´ oddı´ly disku ˚ , budou asi nocˇnı´ mu ˚ rou vysˇetrˇovatelu ˚ . Kdybych chteˇl vysˇetrˇovatelu ˚ m prakticky u ´ plneˇ znemozˇnit pru ˚ zkum me´ho pocˇ´ıtacˇe, tak bych zasˇifroval cely´ syste´m (samozrˇejmeˇ tak, aby sˇel nada´le norma´lneˇ pouzˇ´ıvat), cozˇ naprˇ´ıklad na unixovy´ch syste´mech lze2 . Vysˇetrˇovatele´ pak nemajı´ k dispozici zhola nic. Toto se vsˇak ty´ka´ 2
http://www.root.cz/clanek/2344 - jsem osobneˇ autorem cˇla´nku
12
3. Reakce na incidenty
prˇedevsˇ´ım tehdy, kdyzˇ je pocˇ´ıtat na´strojem zlocˇinu. Pokud organizace sˇifruje data, deˇla´ to kvu ˚ li ochraneˇ dat prˇed narusˇiteli, takzˇe nenı´ du ˚ vodu, procˇ by vysˇetrˇovatelu ˚ m sˇifrovacı´ klı´cˇ neposkytli. Samozrˇejmeˇ vytva´rˇet duplika´ty neˇkolika terabajtovy´ch disku ˚ mu ˚ zˇe by´t velmi cˇasoveˇ na´rocˇne´ a organizace nemusı´ mı´t dostatek prostrˇedku ˚ takovou analy´zu udeˇlat - a uzˇ vu ˚ bec vzˇdy, kdyzˇ je detekova´n incident. Proto se neˇkdy neduplikuje cely´ syste´m a prova´dı´ se pouze tzv. logicka´ kopie, ktera´ spocˇ´ıva´ ve zkopı´rova´nı´ naprˇ. syste´movy´ch i aplikacˇnı´ch logu ˚ . Je tedy nutne´ zva´zˇit zda-li je kompletnı´ duplikace disku vu ˚ bec nutna´ s ohledem na za´vazˇnost incidentu nebo na tom, jestli je pravdeˇpodobne´, zˇe se budou du ˚ lezˇite´ du ˚ kazy nale´zat naprˇ´ıklad v podobeˇ vymazany´ch souboru ˚. Samotnou duplikaci syste´mu lze v podstateˇ prove´st trˇemi zpu ˚ soby - z pohledu hardwaru. A to zˇe bud’ odpojı´me zkoumany´ disk, ktery´ se bude duplikovat a prˇipojı´me ho k nasˇemu rozhranı´ nasˇeho stroje. Asi nejuniverza´lneˇjsˇ´ı metoda, ktera´ se hodı´ ve veˇtsˇineˇ prˇ´ıpadu ˚ . Druhou mozˇnostı´ je, zˇe prˇipojı´me disk, na ktery´ vytvorˇ´ıme obraz, do zkoumane´ho pocˇ´ıtacˇe. A trˇetı´ mozˇnostı´ je zkopı´rova´nı´ dat ze zkoumane´ho pocˇ´ıtacˇe prˇes sı´t’. Samozrˇejmeˇ tato sı´t’ musı´ by´t uzavrˇena´, abychom vyloucˇili prˇ´ıstup trˇetı´ osoby a tı´m i prˇ´ıpadne´ narusˇenı´ dat. Oveˇrˇenı´ toho, zda-li kopı´rova´nı´ probeˇhlo bez chyb provedeme kontrolou integrity pu ˚ vodnı´ch a zkopı´rovany´ch dat3 . Duplikaci dat nikdy nedeˇla´me pomocı´ zkoumane´ho syste´mu. Pokud tedy prˇipojı´me disk, na ktery´ se bude kopı´rovat obraz do zkoumane´ho pocˇ´ıtacˇe nebo budeme vytva´rˇet obraz disku prˇes sı´t’, je nutne´ nabootovat vlastnı´ operacˇnı´ syste´m naprˇ´ıklad z CD nebo diskety. K dispozici jsou ru ˚ zne´ ”live” syste´my na ba´zi Linuxu a nebo i ”live” syste´my vytvorˇene´ prˇ´ımo pro tyto u ´ cˇely. Programy, ktere´ prˇ´ımo vytva´rˇejı´ duplika´t musı´ by´t schopny zkopı´rovat vsˇechna data od zacˇa´tku disku azˇ po sluzˇebnı´ stopu. Musı´ se take´ vyrovnat s chybami cˇtenı´ - tzn. kdyzˇ neˇjaky´ sektor nelze prˇecˇ´ıst, je potrˇeba toto mı´sto vyplnit sektorem stejne´ de´lky s prˇedem urcˇeny´m obsahem. A da´le by tyto programy meˇly zajisˇt’ovat kontrolu integrity vytvorˇene´ho obrazu. Disk na ktery´ vytva´rˇ´ıte obraz by meˇl mı´t stejne´ parametry jako zkoumany´ disk, proto je potrˇeba si tyto u ´ daje zjistit naprˇ´ıklad z Biosu. 3
Rozhodneˇ k tomuto kroku nepouzˇ´ıvejte hashovacı´ funkce, ve ktery´ch byla nalezena kolize (http://www.root.cz/clanek/2368)! Prolomeny byly funkce MD4, MD5, SHA-0, RIPEMD, HAVAL-128.
13
3. Reakce na incidenty
K vyhleda´va´nı´ konkre´tnı´ch du ˚ kazu ˚ se pouzˇ´ıvajı´ dva druhy analy´z. Prvnı´ je analy´za fyzicka´, ktera´ ma´ za u ´ kol najı´t naprˇ´ıklad neˇjaky´ rˇeteˇzec z obsahu disku - a to v ra´mci vsˇech sektoru ˚ disku. Berete cely´ disk jako celek. Zatı´mco logicka´ analy´za spocˇ´ıva´ uzˇ v analy´ze jednotlivy´ch souboru ˚. Fyzicka´ analy´za musı´ samozrˇejmeˇ pocˇ´ıtat z odhalova´nı´m dat z neobsazene´ho diskove´ho prostoru nebo s jizˇ zmı´neˇny´mi slack prostory, kde zapisovana´ data nedosahujı´ ani minima´lnı´ velikosti bloku definovane´ho operacˇnı´m syste´mem. Vidı´te, zˇe to ma´ co do cˇineˇnı´ s typem souborove´ho syste´mu, proto se i metody extrahova´nı´ dat z ru ˚ zny´ch souborovy´ch syste´mu ˚ souboru ˚ lisˇ´ı a prˇ´ıslusˇne´ na´stroje s nimi musı´ pocˇ´ıtat.
Vys ˇetrˇova´nı´ sı´te ˇ Samozrˇejmeˇ v dobeˇ, kdy hlavnı´m prˇenosovy´m me´diem je sı´t’, musı´me pocˇ´ıtat s tı´m, zˇe jsme touto cestou ohrozˇova´ni. Nevı´m, jake´ procento u ´ toku ˚ je prova´deˇno skrze sı´t’ (Internet i jine´), ale procento je to jisteˇ velmi vy´znamne´ - at’ uzˇ se jedna´ naprˇ´ıklad o viry, cˇervy a nebo individua´lnı´ u ´ toky. Samozrˇejmeˇ sı´t’ je take´ klı´cˇovy´m prvkem sˇ´ırˇenı´ nelicencovane´ho software cˇi deˇtske´ pornografie. Odhad je takovy´, zˇe lidı´, kterˇ´ı alespon ˇ jednou pouzˇili Internet, je asi 300 milio´nu ˚ [4]. Da´le se odhaduje, zˇe asi 5 procent z tohoto pocˇtu lidı´ nema´ u ´ plneˇ cˇiste´ u ´ mysly. To znamena´, zˇe tu ma´me neˇjaky´ch 15 milionu ˚ lidı´, kterˇ´ı se snazˇ´ı neˇjaky´m zpu ˚ sobem narusˇit bezpecˇnost sı´tı´, pocˇ´ıtacˇu ˚, ˇ ekneˇme, zˇe 10 procent z tohoto pocˇtu je opravdu apod. s ru ˚ zny´mi cı´li. R zkusˇeny´ch, talentovany´ch a znaly´ch profesiona´lu ˚ , kterˇ´ı sve´ pra´ci opravdu rozumı´. Za´veˇr je takovy´, zˇe touto jednoduchou analy´zou jsme dosˇli k pocˇtu asi 1,5 milionu potenciona´lnı´ch u ´ tocˇnı´ku ˚ , ktere´ bychom meˇli bra´t va´zˇne´. Pokud chceme vysˇetrˇovat a shromazˇd’ovat du ˚ kazy z akcı´, ktere´ se deˇly prˇes sı´t’, je veˇtsˇinou potrˇeba sledovat sı´t’ovy´ provoz a vy´sledky zaznamena´vat do logu ˚ pro pozdeˇjsˇ´ı analy´zu. Takove´ sledova´nı´ ma´ u ´ zky´ vztah se samotnou detekcı´ na incident (a jemu prˇedcha´zejı´cı´ reakcı´ na incident). K vysˇetrˇova´nı´ tohoto typu dat je potrˇeba mı´t dostatecˇne´ znalosti sı´tı´ - tzn. prˇedevsˇ´ım protokolu TCP/IP, sluzˇeb a aplikacı´ pouzˇ´ıvany´ch skrze tento protokol a dalsˇ´ı. Pro tyto potrˇeby se pouzˇ´ıvajı´ na´stroje, ktere´ odchyta´vajı´ sı´t’ovy´ provoz (tzv. sniffery). Tyto sniffery jsou cˇasto soucˇa´stı´ IDS, kde tvorˇ´ı komplexneˇjsˇ´ı 14
3. Reakce na incidenty
rˇesˇenı´ pro sofistikovaneˇjsˇ´ı detekce pru ˚ niku ˚ . Dalsˇ´ım typem na´stroju ˚ jsou aplikace, ktere´ doka´zˇ´ı rekonstruovat odchycene´ pakety (nebo fragmenty paketu ˚ ) do pu ˚ vodnı´ho stavu. Cı´lem takove´ho dozoru je tedy detekovat, zda-li dosˇlo k incidentu, identifikovat ho a tı´m na´sledne´ zabra´nit, aby napa´chal sˇkody. Samozrˇejmeˇ lze touto cestou sbı´rat du ˚ kazy a identifikovat narusˇitele. Tento monitoring mu ˚ zˇe by´t naprˇ. pouzˇit i jako dopln ˇ ujı´cı´ prostrˇedek k potvrzenı´, cˇi rozpty´lenı´ o nezˇa´doucı´ cˇinnosti - naprˇ´ıklad na urcˇite´ zameˇstnance cˇi jine´ u ´ cˇastnı´ky sı´teˇ. Sı´t’ove´ du ˚ kazy jsou informace zjisˇteˇne´ o dany´ch skutecˇnostech v dane´ sı´ti cˇi na urcˇite´m pocˇ´ıtacˇi, ale tyto informace se nemusı´ vzˇdy nacha´zet jen na vysˇetrˇovane´m pocˇ´ıtacˇi. Sı´teˇ jsou tvorˇeny dalsˇ´ımi sı´t’ovy´mi prvky jako naprˇ´ıklad smeˇrovacˇe (routery), firewally, apod. Tyto stroje jsou cˇasto zdrojem cenny´ch informacı´ o deˇnı´ v dane´ sı´ti - posle´ze na dany´ch pocˇ´ıtacˇ´ıch. Zvla´sˇteˇ kdyzˇ jsou tyto sı´t’ove´ prvky opatrˇeny IDS, cozˇ je na´stroj prˇ´ımo urcˇeny´ k ”cˇmucha´nı´”, detekci podezrˇely´ch aktivit nebo logova´nı´. Takzˇe k dispozici mu ˚ zˇe by´t opravdu velke´ mnozˇstvı´ logu ˚ , ktere´ nemusejı´ by´t ve stejne´m forma´tu. Mu ˚ zˇe by´t krajneˇ na´rocˇne´ se v takovy´ch za´znamech zorientovat - navı´c pokud ma´te za´znamy z ru ˚ zny´ch cˇasovy´ch pa´sem, ktere´ musı´te analyzovat, vznika´ dalsˇ´ı komplikace. Vysˇetrˇovatele´ take´ musı´ pocˇ´ıtat s tı´m, zˇe logy, ke ktery´m se dostanou, nemusejı´ nemusı´ vypovı´dat o skutecˇne´ aktiviteˇ. Narusˇitele´ cˇasto pouzˇ´ıvajı´ naprˇ´ıklad tzv. cˇisticˇe logu ˚ , ktere´ doka´zˇ´ı odstranit (nebo modifikovat) ze sı´t’ove´ho nebo jine´ho logu za´znamy o urcˇite´m uzˇivateli. Tato modifikace vsˇak nemusı´ by´t zcela dokonala´ a vysˇetrˇovatel si jı´ mu ˚ zˇe vsˇimnout.
3.4 Obnova Pokud jsme analyzovali incident a vı´me, co se stalo, zna´me rozsah sˇkod, tak je potrˇeba navra´tit syste´m do pu ˚ vodnı´ho stavu, ve ktery´m se syste´m (nebo cela´ sı´t’) nacha´zel prˇed incidentem. Samozrˇejmostı´ je opravenı´ chyby nebo zabra´neˇnı´ zneuzˇitı´ stejne´ho postupu - strucˇneˇ rˇecˇeno zabra´nit tomu, aby se tenty´zˇ incident opakoval. Je take´ mozˇne´, zˇe bezprostrˇedneˇ po incidentu necha´te vsˇe jak je a budete u ´ tocˇnı´ka pouze pozorovat a sbı´rat du ˚ kazy. Ovsˇem pokud chceme navra´tit veˇci do pu ˚ vodnı´ho stavu, je potrˇeba u ´ tocˇnı´ka izolovat. To samozrˇejmeˇ mu ˚ zˇe kolidovat s dostupnostı´ 15
3. Reakce na incidenty
dane´ho syste´mu, proto za´lezˇ´ı prˇ´ıpad od prˇ´ıpadu, jak se zachova´te. Mu ˚ zˇete udeˇlat kompromis a izolovat pouze napadeny´ pocˇ´ıtacˇ a zde vysˇetrˇovat u ´ tocˇnı´ka. Tı´m zabra´nı´te napadenı´ ostatnı´ch syste´mu v sı´ti. Tato cˇa´st sı´teˇ mu ˚ zˇe da´l norma´lneˇ fungovat. V souvislosti s izolova´nı´m u ´ tocˇnı´ka bych chteˇl zmı´nit tzv. honeypoty. To jsou stroje (dokonce i cele´ sı´teˇ takovy´ch stroju ˚ ), ktere´ se vlastneˇ doslova ˇ la´kajı´ u ´ tocˇnı´ka, aby narusˇil jejich bezpecˇnost. Cinnost u ´ tocˇnı´ku ˚ je posle´ze podrobneˇ zkouma´na, takzˇe tyto stroje musı´ by´t dobrˇe monitorova´ny ´ kolem takovy´ch stroju cˇasto i prˇedstı´rajı´ jiny´ operacˇnı´ syste´m. U ˚ je zjisˇt’ovat prˇedevsˇ´ım nove´ postupy u ´ tocˇnı´ku ˚ a tı´m na´sledneˇ lepsˇ´ı obrany proti teˇmto u ´ toku ˚ m. Takzˇe potom, co jsme dokoncˇili vysˇetrˇova´nı´ a u ´ speˇsˇneˇ izolovali syste´m a jsme si jisti, zˇe nejsou ohrozˇeny jine´ syste´my v souvislosti s vysˇetrˇovany´m incidentem, mu ˚ zˇeme obnovit syste´m. Samotny´ syste´m mu ˚ zˇete obnovit ze za´lohy, ktera´ byla vytvorˇena prˇed incidentem. Samozrˇejmeˇ, jestli byla prˇ´ıcˇina incidentu v pu ˚ vodnı´ konfiguraci, tak ji je potrˇeba zmeˇnit tak, aby syste´m byl bezpecˇny´. Samozrˇejmostı´ je dokumentace vsˇeho od zacˇa´tku azˇ do konce, z du ˚ vodu zdokumentova´nı´ pru ˚ beˇhu incidentu. Zda´ se to by´t jako forma´lnı´ cˇinnost, ktera´ mu ˚ zˇe by´t navı´c velmi zdlouhava´ a nudna´. Ale mu ˚ zˇe mı´t za´sadnı´ vliv na za´veˇry a reakce. Prˇ´ıpad se mu ˚ zˇe ocitnout u soudu a zde je dokumentace rozhodujı´cı´. Navı´c nikdo nema´ takovou pameˇt’, aby si vybavil vsˇechna fakta, ktera´ mohou by´t i neˇkolik let stara´. Dalsˇ´ı nutnou samozrˇejmostı´ je vytvorˇenı´ za´veˇrecˇne´ zpra´vy a tu opeˇt vytva´rˇ´ıte na za´kladeˇ dokumentace.
16
Kapitola 4 Za´ve ˇr Forenznı´ analy´za digita´lnı´ch dat je veˇda, ktera´ zaobı´ra´ velmi sˇiroky´ okruh te´mat. K jejı´mu pochopenı´ je tedy potrˇeba mı´t znalost operacˇnı´ch syste´mu ˚ , sı´tı´, hardwaru a dalsˇ´ıch. Bez potrˇebny´ch zkusˇenostı´ nebudu schopni rozumneˇ takovou analy´zu prova´deˇt. Neodborna´ manipulace nejspı´sˇe povede k znehodnocenı´ a ztra´teˇ du ˚ kazu ˚. To jak budou organizace reagovat na incidenty za´visı´ prˇedevsˇ´ım na tom, zda-li budou prˇipraveni, cˇi ne. Samozrˇejmeˇ musı´te zanalyzovat vlastnı´ zdroje, to co je potrˇeba chra´nit a jake´ sˇkody mohou nastat, pokud se stane neˇjaky´ nepla´novany´ krok. Provedenı´ forenznı´ analy´zy je obecneˇ velmi na´kladna´ za´lezˇitost. Je proto nutne´ deˇlat kompromisy a udeˇlat samotnou bezpecˇnost, posle´ze reakci na incident, co nejefektivneˇjsˇ´ı.
17
Literatura [1] International Journal of Digital Evidence, online na Internetu: http://www.ijde.org/ [2] Michael A. Coloyannides, Computer Forensics and Privacy, Artech House, 2001 [3] Digital Forensics Research http://www.dfrws.org/
Workshop,
online
na
Internetu:
[4] Chris Prosise, Kevin Mandia: Incident Response and Computer Forensics, Osborne McGraw-Hill, [5] Luther Troell, Yin Pan, Bill Stackpole: Forensic Course Development [6] Erin Kenneally: Computer Forensics (The Magazine of Usenix & Sage) [7] John Patzakis: Computer Forensics as an Integral Component of the Information Security Enterprise [8] Karen Ryder: Computer Forensics - We’we had an incident, who do we get to investigate [9] Diana J. Michaud: Adventures in Computer Forensics [10] Brian D. Carrier, Eugene H. Spafford: Defining Event Reconstruction of Digital Crime Scenes [11] Steve Hailey: What is Computer Forensics?, online na Internetu: http://www.cybersecurityinstitute.biz/ [12] Jeff Ballard, Dave DeCoster: Recovering From an Attack, online na Internetu: http://www.securitypipeline.com/ [13] Warren G. Kruse, Jay G. Heiser: What Exactly Is Computer Forensics?, online na Internetu: http://www.ebcvg.com/ i
Pra´ce byla vytvorˇena sa´zecı´m jazykem LATEX.
