Forside   Profil    IT sikkerhed    Søgemaskineoptimering    Reference    Ressourcer

  

Midlertidige links: vidensbank

Computer Forensics

Den grundlæggende del

I USA og flere andre store vestlige lande, er Computer Forensice et ganske almindeligt kendt og velbeskrevet fænomen, der er fuldt dækket af uddannelser, certificeringer og som findes i job beskrivelser i mange store firmaer, der er faktisk virksomheder og organisationer, der ikke laver andet.

Hvad er en Forensics specialist.

En forensics specialist er den mand eller kvinde man kalder på når der er sket noget uforklarligt, noget mistænkeligt eller noget man med det samme kan konstaterer er kriminelt eller ondsindet i forhold til virksomheden eller organisationen. Ofte er han/hum medlem af Insident Response Teamet selvom der er forskel på insident handling og forensics og forensics delen tager først over når insidentet er stoppet. Forensics specialistens opgave er at finde ud af hvad, hvem, hvordan, hvornår og med hvilket formål, samt at gøre det på en sådan måde at beviserne kan holde i en efterfølgende retssag, måtte en sådan finde sted.

Før man går i gang.

I rettens øjne er de ikke den store forskel på IT kriminalitet og andet kriminalitet, kriminalitet er kriminalitet og de behandles efter de samme principper. Dette, sammen med det faktum at mange at de mennesker der befinder sig i retssystemet, ikke har den store hverken viden om eller forståelse for IT, betyder at man skal vide hvad man har fat i for at have succes.

Først skal man kikke på de forhold der er gældende for almindelig kriminalitet Hvis f.eks. vi forestiller os at vi i dagligdagen pludselig opdager at en person i vores omgangskreds ser mistænkelig ud, eller opføre sig mistænkeligt. Må vi så foretage en undersøgelse at hans private hjem? Svaret er selvfølgelig nej. Det er politiet der foretager den slags undersøgelser, det er dem der er bemyndiget til det eller man kan sige at det er dem der har myndigheden. Hvis vi så forestiller os at vi kontakter politiet og fortæller dem at vi finder denne person mistænkelig, vil politiet så foretage undersøgelse af hans private hjem. Igen er svaret nej. Politiet skal have en retskendelse for at kunne trænge ind på folks private område. Næste spørgsmål er om politiet, på denne baggrund kunne få en retskendelse. Også her er svaret nej, man kan ikke få retskendelser på generel mistanke, der skal være en hel specifik mistanke og en specifik form for kriminalitet før politiet får retskendelsen, og den kendelse de får stater helt præcist hvad den gælder for, hvor politiet må komme og hvad de ikke må.

Samme forhold, med visse tilpasninger vi, gælde for dig hvis du skal foretage forensics undersøgelser af en medarbejders pc og her er nogle begreber der knytter sig til emnet.

Resonable expectancy of privacy.

Selvom en pc er indkøbt af virksomheden, ejet af virksomheden, befinder sig i virksomhedens bygninger og er tilsluttet virksomhedens net, kan der sagtens være drev og biblioteker som vores medarbejdere med rimelighed vil kunne forvendte er private og hvor vi som virksomhed ikke bare kan foretage undersøgelser. Helt generelt er det sådan at tvivlen kommer den anklagede til gode, og hvis vores IT politik ikke helt skarpt siger, at der ikke må være private ting på virksomhedens ressourcer, så siger retspraksis, at en medarbejder med rimelighed kan forvendte at f.eks. et bibliotek navngivet privat, at mails afmærket med ordet privat i emnefeltet eller placeret i mapper navngivet privat skal betragtes som sådan.

Dit første job som forensics specialist bliver derfor at gennemse virksomhedens IT sikkerhedspolitik og tilrette den så den passer med virksomhedens ønsker. Hvis virksomheden ønsker at have ret til at gennemse alle filer og ressourcer på virksomhedens PC'er og andre ressourcer, så skal det skrives helt klart og utvetydigt i virksomhedens IT politik, og en procedure skal iværksættes som sikre at alle medarbejdere har læst og haft mulighed for at stille spørgsmål til virksomhedens IT sikkerhedspolitik, dette bør de skrive under på at de har.

Du skal have myndighed.

Lige som det er politiet der har politimyndigheden generelt, skal du også bemyndiges til at foretage forensics undersøgelser i din virksomhed, hvis virksomheden ønsker at det er dig der gør det. Denne bemyndigelse sker ved at det indskrives i din officielle jobbeskrivelse at du er virksomhedens forensics analytiker og at det er dig der foretager retslige undersøgelser inden for virksomhedens IT-ressourcer.

Du skal specifikt bemyndiges

Hvis du foretager undersøgelser der har til formål at afsløre urent trav eller decideret snyd og ulovligheder hos en medarbejder, så er det vigtigt at du specifikt bemyndiges til at foretage denne specifikke undersøgelse med et specifikt formål. Dette kan du sammenligne med politiets retskendelse der jo også er præcis i sin formulering og hvis det er muligt bør du have ordren på skrift, der stater hvem, hvad, på baggrund af hvilken konkret mistanke og med hvilket formål du foretager din undersøgelse. Især hvis der er områder der måske med nogen ret kunne tolkes som private, bør du bemyndiges til at kikke der.

Insident Response Vs Forensics

Har er vi lidt ude i en hård nød at knække, idet grænsen mellem de to, i den virkelige verden, er meget flydende, forskellig fra gang til gang og forskellig fra firma til firma. Dette er også grunden til at det meste undervisningsmateriale skiller dem helt skarpt ad og siger at først kommer insident response og derefter kommer forensics. Vi starter her også med at adskille dem helt skarpt og så til sidst forholder vi os til den virkelige verden.

Insident Response

Insident response handler om at standse ulykken og har (i teoriens verden) overhoved intet med forensics at gøre. Lige som når brandmænd kommer for at slukke en brand, vil disse jo heller ikke interessere sig for om de ødelægger beviser ved at sprøjte vand ud over bygningen, eller ved at hamre døre ind med økser. De koncentrere sig rent om at redde menneskerne og om at slukke branden. Bagefter kommer så undersøgelserne af om branden var på sat osv. osv. Insident response handler om at standse ulykken, der kan have forskellige former. Det kan være standse spredning af virus, standse ødelæggelse af filer, standse udsending af data osv. osv. osv. Når Insident Response Teamet er færdige, så tager forensics specialisterne over.

Den virkelige verden

Den virkelige verden ser noget anderledes ud. Her er det relativt sjældent at man med det samme ved, at her er et insident. Oftest bliver virksomhedens IT folk kaldt ud fordi der er noget der ikke virker, eller noget der opføre sig besynderligt. Disse IT folk er nødt til at tage fat i systemerne for at se hvad der foregår og for at afgøre om der er tale om et insident og dermed er de faktisk allerede i gang med at ødelægge beviserne.

Hvis der er tale om et insident, altså der er noget skadende i gang, der skal stoppes, så vil IT folkene afgøre om de selv kan eller hvis virksomheden er stor nok om et decideret Insident Response team skal indkaldes. I mange tilfælde vil en forensics specialist, hvis man har sådan en i huset, kunne gå i gang med det samme og dermed redde en del beviser, uden at skaderne bliver større af den grund. Andre gange er man nødt til at lukke systemerne ned, tage strømmen fra dem, og dermed miste nogle beviser, hvorefter man kan sende systemerne til forensics undersøgelse eller hyre en specialist udefra til at komme. Politiet ser næsten kun denne type af systemer som kaldes Dead System forensics.

Dokumentationens formål og bevisernes sikring.

Du skal huske at man i rettens øjne er uskyldig til man er dømt og at tvivl altid kommer den anklagede til gode. Det er din opgave at fjerne en hver mulighed for tvivl, der må ikke kunne stilles spørgsmål ved noget som helst Dette betyder i praksis at ALT skal dokumenteres og næsten lige gyldigt hvor godt du dokumenterer, vil det aldrig være helt nok.

Udover dokumentationer skal alt kunne gentages, alle analyser, alle undersøgelser, alt skal kunne gennemføres igen af andre med samme resultat og du skal sikre at det at resultatet er det samme ikke skyldes en tilfældighed.

Procedure dokumenteres detaljeret, men beviser og værktøjer skal sikres og procedure må ikke umiddelbart gennemføres således at beviserne ændres. Dette betyder følgende:

Dokumentation af værktøjer

En meget stor del af de værktøjer du anvender, er helt almindelige utilities, programmer og værktøjer, som findes standard på maskinen fordi de er en del af operativsystemer. Noget af det første en god hacker vil gøre, er at udskifte standard tingene med versioner han selv har ændret på, så du ikke kan finde ham og de ting han gør (disse ting er en del at det der kandes et root kit) du bør aldrig benytte værktøjer, programmer og utilities fra den maskine ud skal undersøge. Du bør i stedet anvende det man kalder Stabel Binaries, D.v.s. filer du er sikre på ikke er ændret.

I samme åndedrag skal du tage vare på at du skal kunne bevise hvilke værktøjer du har brugt på en sådan måde at retten kan genskabe dine resultater Dette børes lettest ved at MD5 hashe de værktøjer du bruger og vedlægge hashværdierne som dokumentation sammen med værktøjerne. Med en MD5 hashværdi og versions nummeret på værktøjet, kan modparten downloade værktøjerne og selv lave en MD5 værdi og sammenligne med den du har opgivet. Er disse to værdier ens, er værktøjerne med meget stor sandsynlighed det også. Denne MD5 hashing kan med stor fordel gøres på forhånd og være en helt naturlig del at din værktøjskasse. Husk i denne sammenhæng at værktøjer og utilities sagtens kan ændre sig med updates og andre system ændringer, hvorfor det kan være nødvendigt at foretage fornyet hashing efter updates og andet. Du kan overveje at scripte dig ud af denne opgave.

Dokumentation og sikring af drev og filer.

Det første man skal huske er at når en disk mountes af et operativsystem, så ændres nogle data nede på disken fordi nogle filer tilgås af operativsystemet hvorefter der noteres en ny "Sidst tilgået" værdi og den gamle værdi overskrives. Dette betyder at en disk, der skal virke som bevis, til en vis grad er ødelagt, hvis den mountes. Når du isætter en disk i et Windows system og starter dette, så mountes disker som standart, dette er ikke tilfældet med et linus system.

Da du, langt hen af vejen, ikke kan foretage dine analyser uden at ændre tingene på disken, er du nødt til at tage det der kaldes forensic kopier af den disk du skal arbejde med. En forensic kopi er en fuldstændig, bit for bit kopi af den disk der skal undersøges og du skal, igen med MD5, bevise at de to diske er identiske. En sådan kopiering kaldes også en bit stream imaging eller et bit stream image. Eller blot et forensics image. Du bør normalt lave mere end en kopi, både så der er til de forskellige destruktive tests du vil lave, og så der er det samme antal til modparten.

Både din original disk (bevis disken) og alle dine forensics kopier skal selvfølgelig MD5 hashes, og dette kan du gøre uden at du behøver at mounte noget som helst.

Chain of evidence

Chain of evidiens er et begreb fra den almindelige retsverden, og det betyder i sin enkelthed, at du skal have styr på hvem der har ansvaret for beviserne fra det øjeblik du har fundet dem til de skal bruges i retten, og man må ikke kunne sandsynliggøre at de har været uden opsyn eller uden for sikring i den periode. Hvis f.eks. din virksomhed har et pengeskab eller et rum der kan aflåses og sikres med alarm, så er det væsentlig at kun autoriseret personel kan få adgang til indholdet i den periode.

Normalt vil man opbevare de enkelte beviser sammen med en blanket, hvor den person der har ansvaret for beviset skriver under på at han har modtaget stumpen og har ansvaret for den.

Dead Vs Live systems

Hvis du ikke er ved politiet, vil du næsten altid indledningsvis stå over for et levende system og for det meste vil du ikke endnu vide om der er noget kriminelt galt, eller maskinen bare giver et eller andet problem, som maskiner nu gør ofte. Et levende system giver dig nogle beslutninger du skal tage, især hvis der er tale om et kritisk system som du f.eks. ikke bare kan slukke, eller som virksomheden gerne vil have dømt klar så de kan fortsætte med at bruge. Enkelte gange vil du måske komme ud for at opgaven primært drejer sig om hurtigst muligt at få systemet til at køre normalt igen, og det at finde ud af hvem, hvad, hvordan og hvornår har langt lavere prioritet og kun er nice hvis det ikke går ud over den tid det tager at få systemet op og køre igen

Er systemer død, dvs. slukket, er det lettere at håndterer, men der vil være en del informationer, der nu er borte for altid. Politiet står oftest over for døde systemer, idet de jo først tilkaldes når man er ret sikker på at der er sket noget grimt.

Det praktiske arbejde Det praktiske arbejde vil blive behandlet indgående i efterfølgende artikler, hvor de forskellige teknikker, begreber og værktøjer vil blive gennemgået, her skal vi nøjes med at placerer opgaverne uden at gå nærmere ind i hvad man gør.

Dump af fysisk hukommelse.

Er det et levende system man står overfor, så vil der være informationer at hente i maskinens fysiske hukommelse, disse går tabt i det øjeblik strømmen slukkes. Den fysiske hukommelse siger noget om hvad der har været foretaget på maskinen den siden den sidst blev tænt (naturligvis kan tingvære slettet hvis den har været tændt længe). Beslutningen om at dumpe den fysiske hukommelse skal vejes op mod om maskinen er i gang med at ødelægge andet, der skal stoppes her og nu. hvis man ved hvordan man gør og har udstyret klar, så tager et sådan dumt omkring 30 sekunder at gennemføre, så hvis maskinen er fredelig, så bør man gøre det og dermed redde disse informationer.

Netværksforbindelser.

Næste trind kan være undersøgelse at aktive netværksforbindelser, om dette er trin 2 eller trin 1 afhænger igen af hvad maskinen har gang i når vi ankommer, hvis den f.eks. er i gang med at sprede virus eller anden skadelig netværksaktivitet, vil vi meget ofte vælge at trække netværkskablet ud. De aktive netværksforbindelser holder normalt et stykke tid efter forbindelsen af afbrudt, før de brudes ned, det kan således være at vi vælger at dokumenterer disse før vi dumper den fysiske hukommelse.

Kørende processer.

De kørende processer hører igen til det levende system og skal dokumenteres før strømmen tages. Der er mange informationer at hente her, især hvis en evt. hacker har nogle processer kørende fra hukommelse. Trækkes stikket ukritisk ud, vil alt ovenstående være tabt, og der vil være processer og forbindelser vi ikke kan finde og slet ikke dokumenterer, der vil med andre ord mangle en stor del af puslespillet. Fordi en fil er tilstede på et system er det jo ikke sikkert af den har kørt.

Tage strømmen Vs lukke ned

Om strømmen skal tages koldt eller vi skal lukke ordentligt ned, er ofte et kompromis. Der er ingen tvivl om at vi, ud fra et forensics synspunkt gerne vil tage strømmen koldt. Grunden til dette findes i den måde bl.a. Windows håndterer swap data. Hvis strømmen koldt tages vil denne data stadig være tilstede på disken når vi starter op igen, det er bl.a. dette der gør at f.eks. Word kan gendanne dokumenter efter et strømafbrydelse, men ikke hvis systemet er lukket ordentligt ned.

Det er dog ikke altid at hensynet til en forensics undersøgelse vejer tungest. Hvis vi f.eks. har fat i en tungere database server, kan hensyn til driftsikkerhed kræve at vi lukker pænt ned, simpelthen for at give størst mulig sikkerhed for at databasen ikke går i stykker. Der kan også være andre tidssvarende hensyn at tage.

Timeline Analysis

Alle filer indeholder en række tidsstempler, der fortæller noget om hvor når filen er oprettet, hvornår den er ændret og hvornår den sidst har været åbnet. Disse tidsstempler kan, hvis vi også genskaber slettede og ødelagte filer samt finder skjulte filer sige en masse om hvad der er sket med systemet og hvornår. Computer forensics indeholder dermed også en masse discipliner omkring genskabelse af data, f.eks. slettet eller ødelagt data samt håndtering af skjult data. Hvordan man gør dette i praksis afhænger meget af hvilket filsystem vi taler om og hvor disse filer har befundet sig.

Afsluttende kommentarer

Computer forensics er et emne der i de kommende år vil få forøget interesse og formentlig også vil blive omfattet af lovkrav, ligesom vi har set med hensyn til f.eks. logging af Internet brug til terror bekæmpelse. Vi vil formentlig se virksomhederne efterspørge disse kompetencer, dels for at kunne udfører det praktiske arbejde og for at kunne efterleve de krav der måtte komme, men også for at kunne signalerer at man har kapaciteten og dermed forebygge og afskrække.

 

Læs mere om IT sikkerhed her:

IT sikkerhed - Sådan sikre du din PC
IT sikkerhed - Sikkerhed i dybden
IT sikkerhed - Eksempel på Instruks for anvendelse af Internettet. Sikkerhedspolitik
IT sikkerhed - Baselining forudsætningen for meget
IT sikkerhed - Gode råd om valg af passwords
IT sikkerhed - Fysisk Sikkerhed
IT sikkerhed - IT sikkerhedscertificeringer
IT sikkerhed - IT sikkerhedsuddannelse
IT sikkerhed - Firewall regler
IT sikkerhed - Firewall typer
IT sikkerhed - Sårbarhedsanalyse
IT sikkerhed med VMWare
IT sikkerhed - Netværksudstyr forklaret
IT sikkerhed - Pressehåndtering

Læs mere om Trådløs IT sikkerhed her:

IT sikkerhed - Trådløs sikkerhed
IT sikkerhed - Brug Trådløse Hotspots sikkert

Læs mere om Computer Forensics her

Computer Forensics - Den Grundlæggende del

Læs også disse serier

Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Hacking
Google
SEO Blackhat Techniques
Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk


Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone










FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- Søgemaskine
  markedsføring
- google
-SEO
- Hacking
-Google

Copyright 2006 BufferZone.dk. All Rights Reserved.
Legal Stuff, BufferZone dedication, Testimonials, Privacy Policy.



 
Grundlæggende Computer Forensics fra bufferzone.dk Grundlæggende Computer Forensics fra bufferzone.dk Grundlæggende Computer Forensics fra bufferzone.dk Grundlæggende Computer Forensics fra bufferzone.dk Grundlæggende Computer Forensics fra bufferzone.dk