Metody zabezpieczenia cyfrowego. Pozyskiwanie dowodów narzędziami linuksowymi - ebook
Metody zabezpieczenia cyfrowego. Pozyskiwanie dowodów narzędziami linuksowymi - ebook
Zabezpieczenie cyfrowe jest ważną częścią reakcji na incydenty pośmiertne i gromadzenia dowodów. Cyfrowi śledczy gromadzą, przechowują i zarządzają dowodami cyfrowymi w celu wsparcia spraw cywilnych i karnych takich jak: badanie naruszenia zasad organizacyjnych; rozstrzyganie sporów czy analizowanie cyberataków. Książka Metody zabezpieczenia cyfrowego szczegółowo analizuje sposób zabezpieczania i zarządzania danymi cyfrowymi za pomocą narzędzi opartych na systemie Linux. Ten niezbędny przewodnik poprowadzi Cię przez cały proces akwizycji danych. Publikacja obejmuje szeroki zakres praktycznych scenariuszy i sytuacji związanych z obrazowaniem nośników pamięci.
Dzięki skoncentrowaniu się wyłącznie na pozyskaniu i zabezpieczeniu dowodów elektronicznych Metody zabezpieczenia cyfrowego stanowią cenne źródło informacji dla doświadczonych śledczych, chcących podnieść swe umiejętności posługiwania się Linuksem, oraz doświadczonych administratorów systemów linuksowych, którzy zechcą poznać techniki stosowane w ramach informatyki śledczej. Jest to niezbędne kompendium w każdym laboratorium informatyki śledczej.
Kategoria: | Informatyka |
Zabezpieczenie: |
Watermark
|
ISBN: | 978-83-01-22020-4 |
Rozmiar pliku: | 3,9 MB |
FRAGMENT KSIĄŻKI
Bruce Nikkel jest dyrektorem departamentu ścigania cyberprzestępczości, dochodzeń cyfrowych oraz informatyki śledczej w UBS AG, globalnej instytucji finansowej z siedzibą w Szwajcarii. Pracował w departamentach bezpieczeństwa i analizy ryzyka instytucji finansowych od 1997 roku. Zarządza zespołem informatyków śledczych od 2005 roku. Działa aktywnie w społeczności informatyków śledczych. Jest autorem artykułów dotyczących badań nad różnymi zagadnieniami informatyki śledczej. Jest również redaktorem „Digital Investigation: The International Journal of Digital Forensics and Incident Response” oraz członkiem komitetu organizacyjnego DFRWS Europe. Bruce uzyskał doktorat Uniwersytetu Cranfield z informatyki śledczej sieci. Jego strona internetowa poświęcona informatyce śledczej dostępna jest pod adresem: https://digitalforensics.ch/. Można też się z nim skontaktować za pomocą adresu [email protected] TŁUMACZA
Praca nad tym tłumaczeniem była niezwykłym doświadczeniem. Gdy pierwszy raz sięgnąłem po oryginalne, angielskojęzyczne wydanie, od razu skojarzyło mi się z „Hacking: The Art of Exploitation” Jona „Smibbsa” Ericksona ze względu na zawartość merytoryczną na najwyższym poziomie i mnogość praktycznych przykładów. Zarówno poziom tej publikacji, jak i sposób doboru materiału wraz z przykładami mogą być wzorem dla twórców podręczników akademickich. Informatyka śledcza jest bardzo dynamicznie rozwijającą się dziedziną. Możliwość uzupełnienia oryginalnej treści uwagami na podstawie mojego wieloletniego doświadczenia uważam za duże wyróżnienie. (Zajmuję się odzyskiwaniem danych i informatyką śledczą od około 2005 r.). Większość dodatkowych informacji dotyczy pojawienia się nowych rozwiązań już po wydaniu książki. Nie sposób nie wspomnieć też kwestii związanych z różnicami w budowie języka polskiego i angielskiego. Język angielski jest pozycyjny i analityczny, z szykiem zdania SVO, język polski to natomiast zupełne przeciwieństwo – język fleksyjny, na szczęście również z dominującym szykiem SVO. Próbowałem w tekście posługiwać się jak najbardziej prawidłową polszczyzną, nie wpadając ani w manierę usilnego spolszczania, ani slangowego, informatycznego „polglisza”. W związku z tym na przykład raw starałem się tłumaczyć jako „nieprzetworzony” lub „o bezpośrednim dostępie” zamiast „surowy”. Niestety, samo określenie forensics jest bardzo pojemne, stąd w zależności od kontekstu tłumaczone było jako „dochodzeniowy” czy po prostu „śledczy”, a czasami „dowodowy”. Okazało się też, że w zasadzie kontekst nigdy nie wymagał użycia określenia „kryminalistyczny”. Podobnie było z polskim zabezpieczeniem, w zależności od kontekstu może ono oznaczać samo utworzenie obrazu (imaging) albo przeprowadzenie wszystkich procedur od momentu uzyskania dostępu do nośnika aż do wyliczenia odpowiednich sum kontrolnych i podpisów cyfrowych (preservation), jak również obliczenie rzeczonych sum i generowanie podpisów (securing).
Dodatkowo nasze rodzime określenie „informatyka śledcza” odbiega znacząco od źródłosłowu angielskiego digital forensics. Jest to w zasadzie analogiczna sytuacja jak w przypadku polskiego tlenu – „podtrzymującego tlenie” i angielskiego, wyrastającego z łaciny (tak jak w większości innych języków) oxygenu – „rodzącego kwas”. Jednym z ciekawszych wyzwań, wynikających wprost z zasygnalizowanych problemów, było znalezienie adekwatnego określenia na forensically sound, ostatecznie uznałem za najlepsze sformułowanie „zgodnie z duchem dochodzeniowo-śledczym”. (Po jego opracowaniu, w kwietniu 2019 r., pozwoliłem sobie umieścić je anonimowo wraz z linkiem do wspomnianej w tej książce publikacji źródłowej w treści hasła „informatyka śledcza” polskiej Wikipedii). Nie mniejszy problem stwarza hasło antiforensics – pojawiło się ono na szczęście tylko raz w tej publikacji. Jedynym sensownym i pasującym określeniem, wynikającym z kontekstu jego użycia, było „niszczenie cyfrowych dowodów”, między innymi ze względu na użycie wraz z malicious misdirection, które określiłem mianem złośliwego zacierania i mylenia cyfrowych śladów.
Liczę, że to tłumaczenie będzie przyczynkiem do wzbogacenia polskiej nomenklatury informatycznej, a przynajmniej spowoduje dyskusję nad częścią pojęć – tych bez polskich odpowiedników i tych spolszczonych w niekoniecznie trafny sposób. Dziękuję również w tym miejscu wszystkim, którzy wspierali mnie podczas pracy nad tym tłumaczeniem i wierzyli w powodzenie całego przedsięwzięcia.
Kacper Kulczycki
Warszawa 2021PRZEDMOWA
Metody zabezpieczenia cyfrowego odpowiadają na żywotne potrzeby i pojawiają się w idealnym momencie. W ostatnich latach zabezpieczenie dowodów elektronicznych stało się kluczowe w kontekście ładu korporacyjnego, wypełniania uregulowań prawnych, jak również w postępowaniach karnych i cywilnych czy operacjach wojskowych. Ta tendencja ma globalny charakter i dotyczy większości świata, w tym krajów rozwijających się.
Zapobiegliwe organizacje zabezpieczają najważniejsze dane z systemów w sytuacjach rozpatrywania skarg pracowniczych, naruszeń procedur czy rozwiązywania stosunku pracy. Część organizacji zabezpiecza dane zapobiegawczo, niejednokrotnie w związku z wymaganiami nałożonymi przez przepisy. Książka ta zawiera skalowalne rozwiązania, które można wdrożyć w przedsiębiorstwie przy zachowaniu rozsądnego poziomu wydatków.
Większość spraw karnych obejmuje dowody cyfrowe, a odpowiedzialność za zabezpieczenie danych w coraz większym stopniu spada na niewielkie zespoły organów ścigania, o ograniczonym dostępie do zasobów i szkoleń. Metody zabezpieczenia cyfrowego są dla takich wydziałów nieocenionym źródłem praktycznych rozwiązań codziennych problemów.
Sprawy cywilne mogą obejmować duże ilości danych rozproszonych po wielu źródłach, takich jak komputery, serwery, nośniki wymienne i taśmy kopii zapasowych. Wydajne i skuteczne metody mają kluczowe znaczenie w takich okolicznościach, i ta książka zaspokaja również zapotrzebowanie na takie rozwiązania.
Ze względu na rosnące znaczenie zabezpieczenia dowodów cyfrowych w wielorakich okolicznościach ważne jest, aby stosować prawidłowe procedury pozyskiwania. Uchybienia w procesie zabezpieczenia mogą powodować problemy na wszystkich, kolejnych etapach cyfrowego śledztwa. Jeśli dowody zostały pozyskane metodami i narzędziami zgodnymi z duchem dochodzeniowo-śledczym, dają solidne oparcie postępowaniu.
Ponadto rosnące zapotrzebowanie na zabezpieczanie dowodów cyfrowych zwiększa popyt na narzędzia, które są niezawodne, przystępne cenowo i zdolne do przystosowania do różnych okoliczności i postępowań.
Metody zabezpieczenia cyfrowego odpowiadają na te potrzeby, skupiając się na technologii open source. Narzędzia o otwartym kodzie źródłowym mają następujące zalety: wysoką przejrzystość, niskie koszty i potencjał dostosowawczy. Przejrzystość narzędzi open source umożliwia wszystkim wnikliwszą ocenę ich niezawodności. W porównaniu z testami zamkniętych rozwiązań za pomocą znanych zestawów danych możliwe jest dodatkowo sprawdzenie kodu źródłowego oprogramowania.
Obniżenie kosztów zabezpieczenia dowodów jest ważne zarówno dla funkcjonariuszy z ograniczonymi zasobami, jak i dla organizacji, które mają do czynienia z dużymi ilościami danych.
Możliwość dostosowania otwartego oprogramowania do potrzeb konkretnego środowiska jest jego głównym atutem. Niektóre organizacje włączają narzędzia o otwartym kodzie oraz te do zabezpieczania w zautomatyzowane procesy wewnątrz przedsiębiorstw lub laboratoriów śledczych. Inne natomiast wdrażają te same rozwiązania w przenośnych systemach do użytku w terenie.
Krzywa uczenia się, związana ze wszystkimi procesami i narzędziami informatyki śledczej, jest stroma, zwłaszcza w przypadku narzędzi open source. Bogate doświadczenie i wiedza Bruce’a Nikkela przejawiają się w imponującej przejrzystości zawartych w tej książce specjalistycznych treści. Dzięki temu są one przystępne dla nowicjuszy, a jednocześnie pozostają interesujące dla ekspertów.
Książka ta, począwszy od teorii i podstawowych wymagań stawianych cyfrowemu zabezpieczeniu dowodowemu, pozwala zgłębić techniczne aspekty pozyskiwania obrazów dowodowych za pomocą narzędzi open source. Korzystanie ze SquashFS jest proste, ale jednocześnie całkiem sprytne i nowatorskie. Dostarcza ono z wykorzystaniem otwartego oprogramowania praktycznego rozwiązania w najważniejszych kwestiach zabezpieczenia cyfrowego. Książka kończy się omówieniem ważnych etapów prowadzenia postępowania z użyciem obrazów dowodowych oraz przygotowania ich do analizy śledczej.
Metody zabezpieczenia cyfrowego są niezastąpionym źródłem informacji dla wszystkich, którzy są odpowiedzialni za zabezpieczanie dowodów cyfrowych w korporacjach, organach ścigania czy strukturach antyterrorystycznych.
dr Eoghan Casey
profesor informatyki śledczej i badań nad cyberprzestępczością
Szkoła Nauk Karnych
Wydział Prawa, Nauk Karnych i Administracji Publicznej
Uniwersytetu w Lozannie, Szwajcaria
sierpień 2016WPROWADZENIE
Witaj, czytelniku Metod zabezpieczenia cyfrowego. Pozyskiwania dowodów elektronicznych narzędziami linuxowymi. Książka, którą masz przed sobą, opisuje wiele technik zabezpieczania i użycia dowodów cyfrowych w postaci obrazów dysków, wykonywanych za pomocą wiersza poleceń. Utworzenie obrazu dysku jest pierwszym krokiem w procesie pozyskiwania dowodów w postaci cyfrowej podczas śledztwa i analizy dowodowej post mortem.
Dlaczego napisałem tę książkę
Na rynku jest dostępnych wiele książek dotyczących informatyki śledczej. Jednak znaczeniu pozyskiwania i zabezpieczania dowodów w postaci cyfrowej poświęca się zwykle niewiele uwagi. Często zdarza się, że temat ten zawarty jest jedynie w krótkim rozdziale lub podrozdziale sporej książki. Myślę jednak, że temat pozyskiwania i zabezpieczania dowodów stanowi wystarczająco obszerny materiał, by zasługiwać na własną publikację. Ta książka ma więc za zadanie wypełnić lukę w literaturze przedmiotu.
Kolejnym czynnikiem, który pchnął mnie do napisania tej książki, było pragnienie zrewanżowania się w jakiś sposób społeczności. Po ponad dekadzie zawodowej pracy w laboratorium informatyki śledczej, podczas której regularnie korzystałem z narzędzi open source przy okazji przeróżnych zadań (jako uzupełnienie innych komercyjnych rozwiązań), chciałem zapewnić dodatkowe źródło wsparcia moim kolegom i innym specjalistom.
Trzecią motywacją stało się rosnące znaczenie zabezpieczenia dowodów cyfrowych w sektorze prywatnym. Badanie nieprawidłowości, oszustw, złośliwego oprogramowania, cyberataków i innych nadużyć staje się coraz częstsze w przedsiębiorstwach prywatnych. Nierzadko brakuje jednak nacisku na odpowiednie postępowanie, niezbędne do pozyskania i zabezpieczenia dowodów. Organy ścigania muszą prawidłowo pozyskać i zabezpieczyć dowody, aby móc ścigać przestępców. Sprawy cywilne obejmujące e-discovery mogą wymagać utrwalenia i zabezpieczenia obrazów dysków w duchu dochodzeniowo-śledczym. Duże organizacje z własnymi zespołami zajmującymi się sporami zbiorowymi, naruszeniami przepisów czy zgłoszeniami sygnalistów mogą również skorzystać z następujących, przyjętych procedur gromadzenia i zabezpieczania dowodów w postaci cyfrowej.
Co wyróżnia tę książkę
Książka ta jest technicznym przewodnikiem po procedurach postępowania. Objaśnia, jak wykorzystywać Linuxa jako platformę do prowadzenia cyfrowego śledztwa. W szczególności podczas tworzenia obrazów nośników danych i ich zabezpieczania. Zamieściłem przykłady demonstrujące dobrze znane metody śledcze, z zastosowaniem darmowych lub otwartych narzędzi, pozwalające na zabezpieczenie dowodów z różnych nośników.
W przeciwieństwie do książek opisujących dochodzenia dotyczące systemów linuxowych, które to pozycje omawiają różnorodne tematy związane z analizą aplikacji i systemów operacyjnych, książka skupia się na jednym konkretnym obszarze informatyki śledczej: zabezpieczeniu dowodowym, nazywanym potocznie wykonywaniem obrazów. Obejmuje ono przygotowanie, pozyskiwanie, przechowywanie i zarządzanie cyfrowymi dowodami z różnych typów nośników. Pozyskanie obrazu nośnika w zgodzie z duchem dochodzeniowo-śledczymi jest właśnie tym, co czyni tę procedurę „śledczą”.
W uzupełnieniu omówienia narzędzi o otwartym kodzie w książce zostały zamieszczone przykłady zastosowania kilku narzędzi wiersza poleceń o zamkniętym kodzie. Można ich używać bezpłatnie, jednak bez wglądu w ich kod źródłowy.
Omówiłem również kilka tematów związanych z nowszymi rozwiązaniami sprzętowymi, które dotychczas nie znalazły się jeszcze w literaturze śledczej. Na przykład technologia NVME i SATA Express, dyski z sektorami 4K-Native, hybrydowe SSD, SAS, UASP/USB3x, Thunderbolt itd. Niektóre z nich są proste do obsłużenia w kontekście informatyki śledczej, inne wymagają więcej pracy.
Przedstawiłem też nową technikę śledczą, wykorzystującą skompresowany system plików SquashFS, jako prosty i praktyczny kontener na cyfrowy materiał dowodowy. Na łamach tej publikacji udostępniam skrypt powłoki sfsimage, który może zabezpieczać cyfrowe dowody w kontenerach SquashFS.
Dlaczego warto korzystać z linii poleceń
Z jakiego powodu książka wykorzystująca komendy wiersza poleceń jest wciąż przydatna i ma znaczenie w dzisiejszych czasach? Komputerowy wiersz poleceń istnieje od czasu dalekopisów z lat sześćdziesiątych ubiegłego stulecia, ma więc ponad pół wieku. W informatyce, chociaż wiek jest czasem postrzegany jako oznaka przestarzałości, może być również potwierdzeniem dojrzałości i niezawodności, jak w przypadku wiersza poleceń Linuxa i Unixa. Nawet firma Microsoft uznała wartość i siłę wiersza poleceń, wprowadzając i promując PowerShell jako alternatywę dla starzejącego się systemu DOS.
Istnieje wiele powodów, dla których linia poleceń zachowała swoją popularność przez lata i nadal jest istotna dla tematów, które omawiam w tej książce. Oto kilka przykładów:
• Łatwiejsze wykonywanie skryptów i możliwość automatyzacji: graficzny interfejs użytkownika (GUI) jest przystosowany do pracy człowieka, wiersz poleceń może natomiast być używany przez człowieka lub maszynę. To sprawia, że linia poleceń jest szczególnie przydatna do obsługi skryptów i automatyzowania pracy.
• Lepsze zrozumienie, jak rzeczy działają pod spodem: narzędzia graficzne często są po prostu front-endem dla narzędzi wiersza poleceń. Nauka narzędzi wiersza poleceń pomaga zrozumieć, co się dzieje pod spodem, gdy używasz narzędzi z graficznym interfejsem jako front-endu.
• Elastyczność i wydajność: jeśli wykonujesz określone zadania w wierszu poleceń, masz większą elastyczność, możliwości i kontrolę. Na przykład potoki i przekierowywanie umożliwiają łączenie wielu kroków w jedno polecenie.
• Filozofia Unix: tradycyjnie polega ona na tworzeniu małych prostych narzędzi, wykonujących dobrze pojedyncze zadania. Duże graficzne programy natomiast włączają w swoją monolityczną strukturę bogate i złożone funkcje, tworząc pojedynczy program dużych rozmiarów.
• Dostęp zdalny: działania w wierszu poleceń mogą być bezpiecznie i łatwo wykonane zdalnie za pomocą protokołu SSH. W niektórych przypadkach możliwy jest jedynie zdalny dostęp do powłoki, zwłaszcza jeżeli pracujesz z wirtualnymi lub chmurowymi serwerami i systemami albo po prostu ze zlokalizowanymi w innych miastach lub krajach.
• Serwery bez obsługi bezpośredniej: do serwerów Unixa i Linuxa, w których wystąpił incydent, wiersz poleceń może być jedyną drogą dostępu, ponieważ graficzny interfejs nie został w ogóle zainstalowany.
• Systemy wbudowane: coraz popularniejsze wbudowane systemy Unixa i Linuxa, takie jak Raspberry Pi, Beagleboard lub inne urządzenia typu Internet of Things, mogą mieć dostęp tylko poprzez interfejs wiersza poleceń.
• Inwestycja w wiedzę: narzędzia wiersza poleceń nie zmieniają się wraz z upływem czasu tak jak narzędzia graficzne. Jeśli zainwestujesz czas w naukę obsługi narzędzia wiersza poleceń, nie będziesz musiał wszystkiego uczyć się od początku po aktualizacji komendy lub dodaniu do niej nowych funkcji.
• Osobiste preferencje: niektórzy technicy wolą po prostu używać wiersza poleceń niż interfejsu graficznego i będą go wykorzystywali, jeśli będą mieli wybór.
Książka ta poprowadzi cię podczas wykonywania zabezpieczenia dowodów za pomocą linii poleceń na potrzeby dochodzeń śledczych i reagowania na incydenty. Nie obejmuje ona opisu graficznych, równoważnych narzędzi ani graficznych front-endów.
Docelowi czytelnicy i wymagania
Napisałem tę książkę z myślą o konkretnych odbiorcach. Miałem pewne oczekiwania i założenia podczas pisania wielu jej fragmentów.
Kto powinien przeczytać tę książkę
Ta książka służy przede wszystkim dwóm grupom ludzi. Po pierwsze, pomoże doświadczonym śledczym podnieść swoje umiejętności w posługiwaniu się linuxową powłoką podczas zabezpieczenia dowodowego. Po drugie, przyda się doświadczonym administratorom systemów Unix i Linux, którzy zechcą nauczyć się technik zabezpieczania dowodowego.
Książka adresowana jest do rosnącej liczby pracowników pionów śledczych pochodzących z wielu obszarów działalności, takich jak zespoły reagujące na incydenty, informatycy śledczy z dużych organizacji, technicy śledczy i e-discovery z firm prawniczych, audytorskich i konsultingowych oraz typowi śledczy z organów ścigania.
Po przeczytaniu tej książki powinieneś mieć pełny obraz dostępnego spektrum narzędzi wiersza poleceń, umożliwiający pozyskanie i zabezpieczenie obrazów dowodowych z nośników danych.
Niezbędna wiedza
W tej książce założono, że masz praktyczną wiedzę na temat systemów operacyjnych, w szczególności środowiska, jakim jest powłoka Unix i Linux. Przykłady w niej zawarte intensywnie korzystają z powłoki Bash. Powinieneś również wiedzieć, jak uruchamiać programy wiersza poleceń oraz używać potoków i wykonywać podstawowe przekierowania między programami.
Dodatkowo powinieneś mieć podstawową wiedzę na temat zasad informatyki śledczej, w tym technik blokowania zapisu, wykonywania obrazu sektor po sektorze oraz zabezpieczania integralności dowodów za pomocą kryptograficznych funkcji skrótu. Przyjęto, że podczas prezentacji przykładów ta podstawowa znajomość tematu jest przez czytelnika opanowana.
Preinstalowana platforma i oprogramowanie
Powinieneś mieć dostęp do działającej platformy Linux z już zainstalowanymi odpowiednimi narzędziami. Książka nie obejmuje wyszukiwania, pobierania, kompilowania ani instalowania jakichkolwiek narzędzi. Jeśli masz w miarę nową maszynę (około roku od daty publikacji tej książki) z aktualną dystrybucją Linuxa, przykłady powinny działać bez żadnych problemów. Niektóre narzędzia nie są częścią standardowych dystrybucji Linuxa, ale można je łatwo znaleźć w serwisie GitHub lub wyszukać w Internecie.
Jak zorganizowana jest ta książka
Książka ta ma być bardziej zbiorem procedur postępowania zamiast chronologiczną listą kroków. Jednak treść ułożona jest zgodnie z logicznym postępem: od utworzenia platformy, planowania i przygotowania oraz pozyskania obrazu dowodowego do działań zabezpieczających po wykonaniu obrazu. Ogólnie książka jest pomyślana jako kompendium, więc nie trzeba jej czytać od początku do końca. Niektóre części wymagają pewnej wiedzy i zrozumienia wcześniejszej treści, w związku z tym zapewniono odpowiednie odsyłacze.
• Rozdział 0 jest ogólnym wprowadzeniem w informatykę śledczą. Obejmuje również historię i ewolucję tej dziedziny, przywołując istotne wydarzenia, które ukształtowały jej kierunek. Szczególny nacisk kładę na znaczenie standardów potrzebnych przy gromadzeniu cyfrowych dowodów, które mają być wykorzystane w postępowaniu sądowym. Książka jako całość została napisana w taki sposób, aby nie zależała od lokalnych szczegółów, regionalnych przepisów prawa i miała w tym względzie międzynarodowy, globalny charakter. Jest to ważne w dzisiejszych czasach, ponieważ coraz więcej dochodzeń przekracza granice państw i jest obejmowanych przez wiele jurysdykcji. Ponadto, ze względu na wzrost potencjału dochodzeniowo-śledczego w sektorze prywatnym, książka przyda się prywatnym laboratoriom informatyki śledczej, zwłaszcza w firmach o zasięgu globalnym.
• Rozdział 1 zawiera przegląd techniczny nośników pamięci masowej, złączy i interfejsów oraz poleceń i protokołów używanych do uzyskania dostępu do nośnika. Obejmuje to technologie, z którymi typowy dochodzeniowiec się zetknie, pracując w profesjonalnym laboratorium informatyki śledczej. Starałem się pomóc ci osiągnąć dogłębne zrozumienie różnych rodzajów interfejsów nośników danych, tunelowania protokołów, mostkowania oraz sposobu podłączania i interakcji nośników danych z systemem hosta.
• Rozdział 2 zawiera omówienie systemu Linux jako platformy pozyskiwania dowodów cyfrowych. Krótko opisuje wady i zalety korzystania z Linuxa i oprogramowania open source. Przedstawia, w jaki sposób jądro Linuxa rozpoznaje i obsługuje nowe urządzenia podłączone do systemu oraz w jaki sposób można uzyskać do nich dostęp. Rozdział zawiera również przegląd dystrybucji Linuxa i wywołań linii poleceń. Wyjaśnia też wykorzystanie potoków i przekierowań jako ważnych pojęć używanych w całej książce.
• Rozdział 3 omawia różne formaty nieprzetworzonych danych i popularnych kontenerów, stosowanych podczas zabezpieczania dowodów cyfrowych. Stanowią one cyfrowe „worki dowodowe” na pozyskane obrazy nośników. W rozdziale wyjaśniono, czym są obrazy nieprzetworzone, opisano również komercyjne formaty używane w informatyce śledczej, jak EnCase i FTK, oraz formaty stworzone dzięki badaniom społeczności, takie jak AFF. Wprowadzono także opis prostego kontenera dowodów cyfrowych, opartego na SquashFS, oraz narzędzia do zarządzania nim.
• Rozdział 4 jest punktem zwrotnym w książce, pozostawiającym za sobą zagadnienia teoretyczne i wprowadzającym na bardziej praktyczne i procesowe pole. Zaczyna się od przykładów utrzymywania dzienników i śledzenia zmian oraz zapisywania używanych poleceń w celu wykorzystania w oficjalnych raportach sądowych. Obejmuje różne kwestie związane z planowaniem i logistyką, z którymi często borykają się śledczy. Kończy się sekcją o tworzeniu zgodnego z duchem dochodzeniowo-śledczym środowiska pracy, blokującego zapis, tak aby przygotować się do faktycznego procesu pozyskiwania obrazu nośnika.
• Rozdział 5 rozpoczyna się od podłączenia zabezpieczanego dysku do systemu, w którym nastąpi wykonanie obrazu i zgromadzenie danych o nośniku (ATA, SMART itd.). Na tym etapie ograniczenia dostępu do nośnika, takie jak HPA i DCO, są usuwane, a zablokowane i samoszyfrujące dyski są odblokowywane. Rozdział przybliża również kilka specjalnych tematów, takich jak tryb Apple Target Disk Mode. W tym momencie dysk jest przygotowany i gotowy do uruchomienia komend tworzących obraz nośnika.
• Rozdział 6 omawia wykonanie obrazu nośnika, demonstrując wiele możliwych metod realizacji takiego procesu zarówno przy użyciu narzędzi open source, jak i tych o zamkniętym kodzie. Nacisk położony jest na zabezpieczenie dowodów podczas pozyskiwania obrazów za pomocą funkcji skrótu, podpisów cyfrowych i usług znakowania czasowego. Rozdział uwzględnia również różne scenariusze występowania uszkodzonych sektorów i błędów, a także zdalne pozyskiwanie obrazu poprzez sieć. Szczególny temat dotyczy pozyskiwania obrazów z taśm i systemów macierzy RAID.
• Rozdział 7 koncentruje się na zarządzaniu pozyskanymi obrazami dysków. W tym rozdziale zakłada się, że obraz nośnika został pomyślnie wykonany, opisano więc typowe zadania po jego wykonaniu. Te działania obejmują kompresowanie, dzielenie i szyfrowanie obrazów, konwersję między formatami, klonowanie lub zwielokrotnianie obrazów, przekazywanie obrazów innym stronom i przygotowywanie obrazów do długoterminowego przechowywania. Rozdział kończy część dotycząca bezpiecznego usuwania danych.
• Rozdział 8 opisuje kilka specjalnych działań, które można podjąć po pozyskaniu obrazu w ramach przygotowań do analizy materiału. Obejmują one uzyskiwanie dostępu do zawartości obrazów za pośrednictwem urządzeń pętli, uzyskiwanie dostępu do obrazów maszyn wirtualnych i obrazów zaszyfrowanych za pomocą systemu operacyjnego (BitLocker, FileVault, TrueCrypt/VeraCrypt itd.). W rozdziale poruszono również temat uzyskiwania dostępu do innych kontenerów dysków wirtualnych. Techniki te umożliwiają przeprowadzanie analizy śledczej obrazów i bezpieczne przeglądanie systemu plików przy użyciu zwykłych menedżerów plików i innych programów.
• Rozdział 9 częściowo wchodzi w obszar analizy śledczej i pokazuje wyodrębnianie podzbiorów danych z obrazów. Obejmuje to identyfikację i wyodrębnianie partycji (w tym usuniętych), luk między partycjami, przestrzeni systemu plików oznaczonych jako wolne i wcześniej ukrytych obszarów dysku (DCO i HPA). W rozdziale przedstawiono kilka przykładowych ekstrakcji danych fragmentami, w tym ekstrakcji poszczególnych sektorów i bloków.
Każdy rozdział może opisywać kilka różnych narzędzi używanych do zrealizowania tego samego zadania. Często do wykonania tej samej czynności będzie dostępnych wiele rozwiązań, a w zależności od sytuacji jedno może być bardziej przydatne niż pozostałe. W takich przypadkach omawiam zalety i wady każdego z nich.
Wszystkie sekcje w rozdziale mają mniej więcej taką samą strukturę. Tytuł zawiera ogólny opis tematu. Akapit wprowadzający przedstawia uzasadnienie umieszczenia danej sekcji i wyjaśnia, dlaczego konkretne zadanie jest użyteczne w przypadku dochodzeń informatyki śledczej lub reagowania na incydenty. Często uzasadnieniem są prawne lub branżowe standardy. Ważne jest, aby je znać i rozumieć, ponieważ wspierają one wykonywanie pracy w zgodzie z duchem dochodzeniowo-śledczym. Tam, gdzie to konieczne, zamieszczam odniesienia do kodu źródłowego narzędzi, dodatkowych informacji lub innych interesujących artykułów.
Przed wprowadzeniem lub demonstracją nowego narzędzia udostępniam akapit opisujący funkcję lub cel jego działania i znaczenie dla informatyki śledczej. W niektórych przypadkach może być interesująca historia tego rozwiązania, dlatego również ją zamieszczam.
Po opisie zadania i narzędzi/-a poznasz jeden lub więcej przykładów użycia wiersza poleceń, a także dane wyjściowe polecenia (wyświetlane w blokach czcionek o stałej szerokości). Polecenie może być powtarzane, aby pokazać różne odmiany albo rozszerzone formy użycia. Po każdym przykładzie użycia polecenia następuje akapit opisujący wykonywane polecenie i wyjaśniający uzyskane dane wyjściowe.
Ostatni akapit może zawierać omówienie potencjalnych luk, zastrzeżeń, zagrożeń i typowych problemów lub błędów, które możesz napotkać, a które są istotne dla cyfrowych dochodzeń śledczych.
Zakres tej książki
Książka koncentruje się na pozyskaniu z popularnych nośników dowodów w postaci elektronicznej oraz na krokach wymaganych do ich zabezpieczenia. Chociaż pokazano pewne działania związane z segregacją i analizą, ogólnie mówiąc, analiza danych aplikacji i systemu operacyjnego wykracza poza zakres tej publikacji.
Wiele innych obszarów jest również poza tym zakresem, w tym pozyskiwanie danych z obszarów innych niż tradycyjne nośniki danych, na przykład zabezpieczenie w ramach sieciowej informatyki śledczej, pozyskiwanie obrazów pamięci z działających systemów na żywo, pozyskiwanie danych z chmury itd.
W różnych miejscach wspominam o nośnikach danych profesjonalnej klasy przemysłowej i o nośnikach starszych, ale nie przedstawiam praktycznych przykładów. Są one rzadziej spotykane w laboratoriach informatyki śledczej. Jednak wiele z zaprezentowanych metod będzie z zasady działać z profesjonalnym sprzętem przemysłowym lub starszymi modelami nośników.
Zabezpieczenie urządzeń o rozwiązaniach prawnie chronionych również wykracza poza zakres tej książki. Pozyskiwanie obrazów i danych z najnowszej generacji telefonów komórkowych, tabletów lub urządzeń typu Internet of Things może się udać dzięki narzędziom i technikom pokazanym w książce (jeśli są one rozpoznawane jako urządzenia blokowe przez jądro Linuxa), ale nie omawiam wprost takich przypadków.
Konwencje i format
Przykłady kodu, poleceń i danych wyjściowych polecenia są zapisane czcionką o stałej szerokości, podobnie jak na ekranie terminalu komputera. W niektórych miejscach nieistotne dane wyjściowe polecenia mogą zostać usunięte lub obcięte i zastąpione wielokropkiem (…). Jeśli linie są zbyt długie, by zmieścić się w marginesach książki, są zawijane i wcinane.
Polecenia, które można uruchamiać bez uprawnień administratora, używają wiersza poleceń $. Komendy uprzywilejowane, które zazwyczaj muszą być uruchamiane jako root, są poprzedzone prefiksem #. Dla zwięzłości korzystanie z sudo lub innego podwyższania zakresu uprawnień nie zawsze jest pokazane. Niektóre sekcje zawierają więcej informacji na temat uruchamiania procedur jako użytkownik inny niż root.
W branży książek komputerowych powszechną praktyką jest zmiana sygnatur czasowych w blokach kodu i danych wyjściowych poleceń na przyszłe, po wydaniu publikacji, co nadaje zawartości nowszy wygląd. Czułem, że napisanie książki o zachowaniu integralności dowodów, a następnie znaczne manipulowanie dowodami w niej dostarczonymi (przez przesuwanie znaczników czasu w przyszłość) nie byłoby odpowiednie. Wszystkie dane wyjściowe poleceń, które znajdziesz w tej książce, odzwierciedlają rzeczywiste wyjścia z testów i badań, w tym oryginalne daty i znaczniki czasu. Nie licząc wycinania mniej istotnych obszarów za pomocą wielokropka (...) i usuwania końcowych pustych wierszy, dane wyjściowe poleceń pozostawiłem niezmienione.
Bibliografia nie jest podana na końcu książki. Wszystkie odniesienia są uwzględniane jako przypisy u dołu strony, na której następuje odwołanie do źródła.
Stacja robocza dochodzeniowca lub śledczego jest określana jako host zabezpieczenia lub host śledczego. Dysk i obraz poddane zabezpieczeniu są określane jako badany dysk, podejrzany dysk lub dysk dowodowy.
Wiele terminów jest używanych zamiennie w całej książce. Dysk, napęd, nośnik pamięci masowej, nośnik danych są często stosowane zamiennie, jeśli są używane w sensie ogólnym. Dochodzeniowiec, śledczy, informatyk śledczy to określenia używane w całej książce i odnoszą się do osoby (ciebie) używającej hosta zabezpieczenia do różnych zadań z zakresu informatyki śledczej. Tworzenie, pozyskiwanie, zapisywanie są stosowane zamiennie, ale słowo kopiowanie jest celowo wyłączone z użycia, aby uniknąć pomyłki ze zwykłym kopiowaniem poza kontekstem śledztwa cyfrowego.PRZYPISY
Gary Palmer, „A Roadmap for Digital Forensic Research”. Digital Forensics Research Workshop (DFRWS), 2001. Technical report DTR-T0010-01, Utica, New York.
http://www.dfrws.org/about-us/.
https://utica.edu/academic/institutes/ecii/publications/articles/A04BC142-F4C3-EB2B-462CCC0C887B3CBE.pdf.
„Forensic Imaging of Hard Disk Drives – What We Thought We Knew”, Forensic Focus, 27 stycznia 2012, http://articles.forensicfocus.com/2012/01/27/forensic-imaging-of-hard-disk-drives-what-we-thought-we-knew-2/.