Dane oryginału
Copyright ? 2016 by Bruce Nikkel. Title of English-language original: Practical Forensic Imaging: Securing Digital Evidence with Linux Tools, ISBN 978-1-59327-793-2 published by No Starch Press. Polish-language edition copyright ? 2021 by Polish Scientific Publishers PWN Wydawnictwo Naukowe PWN. All rights reserved.
Przekład
Kacper Kulczycki
Projekt okładki Garry Booth
Wydawca
Edyta Kawala, Joanna Banasiak-Lach
Redaktor prowadzący
Monika Zabrocka-Kutera
Redaktor
Dorota Polewicz
Korekta
Kornelia Farynowska, Bożena Hałuszczyńska
Indeks
Martyna Uziałło
Koordynator produkcji
Anna Bączkowska
Skład wersji elektronicznej na zlecenie Wydawnictwo Naukowe PWN:
Michał Latusek
Zastrzeżonych nazw firm i produktów użyto w książce wyłącznie w celu identyfikacji.
Książka, którą nabyłeś, jest dziełem twórcy i wydawcy. Prosimy, abyś przestrzegał praw, jakie im przysługują. Jej zawartość możesz udostępnić nieodpłatnie osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz jej fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A kopiując jej część, rób to jedynie na użytek osobisty.
Szanujmy cudzą własność i prawo
Więcej na www.legalnakultura.pl
Polska Izba Książki
Copyright ? for the Polish edition by Wydawnictwo Naukowe PWN S.A.
Warszawa 2021
ISBN 978-83-01-22020-4
eBook został przygotowany na podstawie wydania papierowego z 2022r. (Wydanie I)
Warszawa 2022
Wydawnictwo Naukowe PWN S.A.
02-460 Warszawa, ul. Gottlieba Daimlera 2
tel. 22 69 54 321, faks 22 69 54 288
infolinia 801 33 33 88
e-mail: pwn@pwn.com.pl, reklama@pwn.plwww.pwn.pl
Od tłumacza
Praca nad tym tłumaczeniem była niezwykłym doświadczeniem. Gdy pierwszy raz sięgnąłem po oryginalne, angielskojęzyczne wydanie, od razu skojarzyło mi się z "Hacking: The Art of Exploitation" Jona "Smibbsa" Ericksona ze względu na zawartość merytoryczną na najwyższym poziomie i mnogość praktycznych przykładów. Zarówno poziom tej publikacji, jak i sposób doboru materiału wraz z przykładami mogą być wzorem dla twórców podręczników akademickich. Informatyka śledcza jest bardzo dynamicznie rozwijającą się dziedziną. Możliwość uzupełnienia oryginalnej treści uwagami na podstawie mojego wieloletniego doświadczenia uważam za duże wyróżnienie. (Zajmuję się odzyskiwaniem danych i informatyką śledczą od około 2005 r.). Większość dodatkowych informacji dotyczy pojawienia się nowych rozwiązań już po wydaniu książki. Nie sposób nie wspomnieć też kwestii związanych z różnicami w budowie języka polskiego i angielskiego. Język angielski jest pozycyjny i analityczny, z szykiem zdania SVO, język polski to natomiast zupełne przeciwieństwo - język fleksyjny, na szczęście również z dominującym szykiem SVO. Próbowałem w tekście posługiwać się jak najbardziej prawidłową polszczyzną, nie wpadając ani w manierę usilnego spolszczania, ani slangowego, informatycznego "polglisza". W związku z tym na przykład raw starałem się tłumaczyć jako "nieprzetworzony" lub "o bezpośrednim dostępie" zamiast "surowy". Niestety, samo określenie forensics jest bardzo pojemne, stąd w zależności od kontekstu tłumaczone było jako "dochodzeniowy" czy po prostu "śledczy", a czasami "dowodowy". Okazało się też, że w zasadzie kontekst nigdy nie wymagał użycia określenia "kryminalistyczny". Podobnie było z polskim zabezpieczeniem, w zależności od kontekstu może ono oznaczać samo utworzenie obrazu (imaging) albo przeprowadzenie wszystkich procedur od momentu uzyskania dostępu do nośnika aż do wyliczenia odpowiednich sum kontrolnych i podpisów cyfrowych (preservation), jak również obliczenie rzeczonych sum i generowanie podpisów (securing).
Dodatkowo nasze rodzime określenie "informatyka śledcza" odbiega znacząco od źródłosłowu angielskiego digital forensics. Jest to w zasadzie analogiczna sytuacja jak w przypadku polskiego tlenu - "podtrzymującego tlenie" i angielskiego, wyrastającego z łaciny (tak jak w większości innych języków) oxygenu - "rodzącego kwas". Jednym z ciekawszych wyzwań, wynikających wprost z zasygnalizowanych problemów, było znalezienie adekwatnego określenia na forensically sound, ostatecznie uznałem za najlepsze sformułowanie "zgodnie z duchem dochodzeniowo-śledczym". (Po jego opracowaniu, w kwietniu 2019 r., pozwoliłem sobie umieścić je anonimowo wraz z linkiem do wspomnianej w tej książce publikacji źródłowej w treści hasła "informatyka śledcza" polskiej Wikipedii). Nie mniejszy problem stwarza hasło antiforensics - pojawiło się ono na szczęście tylko raz w tej publikacji. Jedynym sensownym i pasującym określeniem, wynikającym z kontekstu jego użycia, było "niszczenie cyfrowych dowodów", między innymi ze względu na użycie wraz z malicious misdirection, które określiłem mianem złośliwego zacierania i mylenia cyfrowych śladów.
Liczę, że to tłumaczenie będzie przyczynkiem do wzbogacenia polskiej nomenklatury informatycznej, a przynajmniej spowoduje dyskusję nad częścią pojęć - tych bez polskich odpowiedników i tych spolszczonych w niekoniecznie trafny sposób. Dziękuję również w tym miejscu wszystkim, którzy wspierali mnie podczas pracy nad tym tłumaczeniem i wierzyli w powodzenie całego przedsięwzięcia.
Kacper Kulczycki
Warszawa 2021
PRZEDMOWA
Metody zabezpieczenia cyfrowego odpowiadają na żywotne potrzeby i pojawiają się w idealnym momencie. W ostatnich latach zabezpieczenie dowodów elektronicznych stało się kluczowe w kontekście ładu korporacyjnego, wypełniania uregulowań prawnych, jak również w postępowaniach karnych i cywilnych czy operacjach wojskowych. Ta tendencja ma globalny charakter i dotyczy większości świata, w tym krajów rozwijających się.
Zapobiegliwe organizacje zabezpieczają najważniejsze dane z systemów w sytuacjach rozpatrywania skarg pracowniczych, naruszeń procedur czy rozwiązywania stosunku pracy. Część organizacji zabezpiecza dane zapobiegawczo, niejednokrotnie w związku z wymaganiami nałożonymi przez przepisy. Książka ta zawiera skalowalne rozwiązania, które można wdrożyć w przedsiębiorstwie przy zachowaniu rozsądnego poziomu wydatków.
Większość spraw karnych obejmuje dowody cyfrowe, a odpowiedzialność za zabezpieczenie danych w coraz większym stopniu spada na niewielkie zespoły organów ścigania, o ograniczonym dostępie do zasobów i szkoleń. Metody zabezpieczenia cyfrowego są dla takich wydziałów nieocenionym źródłem praktycznych rozwiązań codziennych problemów.
Sprawy cywilne mogą obejmować duże ilości danych rozproszonych po wielu źródłach, takich jak komputery, serwery, nośniki wymienne i taśmy kopii zapasowych. Wydajne i skuteczne metody mają kluczowe znaczenie w takich okolicznościach, i ta książka zaspokaja również zapotrzebowanie na takie rozwiązania.
Ze względu na rosnące znaczenie zabezpieczenia dowodów cyfrowych w wielorakich okolicznościach ważne jest, aby stosować prawidłowe procedury pozyskiwania. Uchybienia w procesie zabezpieczenia mogą powodować problemy na wszystkich, kolejnych etapach cyfrowego śledztwa. Jeśli dowody zostały pozyskane metodami i narzędziami zgodnymi z duchem dochodzeniowo-śledczym, dają solidne oparcie postępowaniu.
Ponadto rosnące zapotrzebowanie na zabezpieczanie dowodów cyfrowych zwiększa popyt na narzędzia, które są niezawodne, przystępne cenowo i zdolne do przystosowania do różnych okoliczności i postępowań.
Metody zabezpieczenia cyfrowego odpowiadają na te potrzeby, skupiając się na technologii open source. Narzędzia o otwartym kodzie źródłowym mają następujące zalety: wysoką przejrzystość, niskie koszty i potencjał dostosowawczy. Przejrzystość narzędzi open source umożliwia wszystkim wnikliwszą ocenę ich niezawodności. W porównaniu z testami zamkniętych rozwiązań za pomocą znanych zestawów danych możliwe jest dodatkowo sprawdzenie kodu źródłowego oprogramowania.
Obniżenie kosztów zabezpieczenia dowodów jest ważne zarówno dla funkcjonariuszy z ograniczonymi zasobami, jak i dla organizacji, które mają do czynienia z dużymi ilościami danych.
Możliwość dostosowania otwartego oprogramowania do potrzeb konkretnego środowiska jest jego głównym atutem. Niektóre organizacje włączają narzędzia o otwartym kodzie oraz te do zabezpieczania w zautomatyzowane procesy wewnątrz przedsiębiorstw lub laboratoriów śledczych. Inne natomiast wdrażają te same rozwiązania w przenośnych systemach do użytku w terenie.
Krzywa uczenia się, związana ze wszystkimi procesami i narzędziami informatyki śledczej, jest stroma, zwłaszcza w przypadku narzędzi open source. Bogate doświadczenie i wiedza Bruce'a Nikkela przejawiają się w imponującej przejrzystości zawartych w tej książce specjalistycznych treści. Dzięki temu są one przystępne dla nowicjuszy, a jednocześnie pozostają interesujące dla ekspertów.
Książka ta, począwszy od teorii i podstawowych wymagań stawianych cyfrowemu zabezpieczeniu dowodowemu, pozwala zgłębić techniczne aspekty pozyskiwania obrazów dowodowych za pomocą narzędzi open source. Korzystanie ze SquashFS jest proste, ale jednocześnie całkiem sprytne i nowatorskie. Dostarcza ono z wykorzystaniem otwartego oprogramowania praktycznego rozwiązania w najważniejszych kwestiach zabezpieczenia cyfrowego. Książka kończy się omówieniem ważnych etapów prowadzenia postępowania z użyciem obrazów dowodowych oraz przygotowania ich do analizy śledczej.
Metody zabezpieczenia cyfrowego są niezastąpionym źródłem informacji dla wszystkich, którzy są odpowiedzialni za zabezpieczanie dowodów cyfrowych w korporacjach, organach ścigania czy strukturach antyterrorystycznych.
dr Eoghan Casey
profesor informatyki śledczej i badań nad cyberprzestępczością
Szkoła Nauk Karnych
Wydział Prawa, Nauk Karnych i Administracji Publicznej
Uniwersytetu w Lozannie, Szwajcaria
sierpień 2016
WPROWADZENIE
Witaj, czytelniku Metod zabezpieczenia cyfrowego. Pozyskiwania dowodów elektronicznych narzędziami linuxowymi. Książka, którą masz przed sobą, opisuje wiele technik zabezpieczania i użycia dowodów cyfrowych w postaci obrazów dysków, wykonywanych za pomocą wiersza poleceń. Utworzenie obrazu dysku jest pierwszym krokiem w procesie pozyskiwania dowodów w postaci cyfrowej podczas śledztwa i analizy dowodowej post mortem.
Dlaczego napisałem tę książkę
Na rynku jest dostępnych wiele książek dotyczących informatyki śledczej. Jednak znaczeniu pozyskiwania i zabezpieczania dowodów w postaci cyfrowej poświęca się zwykle niewiele uwagi. Często zdarza się, że temat ten zawarty jest jedynie w krótkim rozdziale lub podrozdziale sporej książki. Myślę jednak, że temat pozyskiwania i zabezpieczania dowodów stanowi wystarczająco obszerny materiał, by zasługiwać na własną publikację. Ta książka ma więc za zadanie wypełnić lukę w literaturze przedmiotu.
Kolejnym czynnikiem, który pchnął mnie do napisania tej książki, było pragnienie zrewanżowania się w jakiś sposób społeczności. Po ponad dekadzie zawodowej pracy w laboratorium informatyki śledczej, podczas której regularnie korzystałem z narzędzi open source przy okazji przeróżnych zadań (jako uzupełnienie innych komercyjnych rozwiązań), chciałem zapewnić dodatkowe źródło wsparcia moim kolegom i innym specjalistom.
Trzecią motywacją stało się rosnące znaczenie zabezpieczenia dowodów cyfrowych w sektorze prywatnym. Badanie nieprawidłowości, oszustw, złośliwego oprogramowania, cyberataków i innych nadużyć staje się coraz częstsze w przedsiębiorstwach prywatnych. Nierzadko brakuje jednak nacisku na odpowiednie postępowanie, niezbędne do pozyskania i zabezpieczenia dowodów. Organy ścigania muszą prawidłowo pozyskać i zabezpieczyć dowody, aby móc ścigać przestępców. Sprawy cywilne obejmujące e-discovery mogą wymagać utrwalenia i zabezpieczenia obrazów dysków w duchu dochodzeniowo-śledczym. Duże organizacje z własnymi zespołami zajmującymi się sporami zbiorowymi, naruszeniami przepisów czy zgłoszeniami sygnalistów mogą również skorzystać z następujących, przyjętych procedur gromadzenia i zabezpieczania dowodów w postaci cyfrowej.
Co wyróżnia tę książkę
Książka ta jest technicznym przewodnikiem po procedurach postępowania. Objaśnia, jak wykorzystywać Linuxa jako platformę do prowadzenia cyfrowego śledztwa. W szczególności podczas tworzenia obrazów nośników danych i ich zabezpieczania. Zamieściłem przykłady demonstrujące dobrze znane metody śledcze, z zastosowaniem darmowych lub otwartych narzędzi, pozwalające na zabezpieczenie dowodów z różnych nośników.
W przeciwieństwie do książek opisujących dochodzenia dotyczące systemów linuxowych, które to pozycje omawiają różnorodne tematy związane z analizą aplikacji i systemów operacyjnych, książka skupia się na jednym konkretnym obszarze informatyki śledczej: zabezpieczeniu dowodowym, nazywanym potocznie wykonywaniem obrazów. Obejmuje ono przygotowanie, pozyskiwanie, przechowywanie i zarządzanie cyfrowymi dowodami z różnych typów nośników. Pozyskanie obrazu nośnika w zgodzie z duchem dochodzeniowo-śledczymi jest właśnie tym, co czyni tę procedurę "śledczą".
W uzupełnieniu omówienia narzędzi o otwartym kodzie w książce zostały zamieszczone przykłady zastosowania kilku narzędzi wiersza poleceń o zamkniętym kodzie. Można ich używać bezpłatnie, jednak bez wglądu w ich kod źródłowy.
Omówiłem również kilka tematów związanych z nowszymi rozwiązaniami sprzętowymi, które dotychczas nie znalazły się jeszcze w literaturze śledczej. Na przykład technologia NVME i SATA Express, dyski z sektorami 4K-Native, hybrydowe SSD, SAS, UASP/USB3x, Thunderbolt itd. Niektóre z nich są proste do obsłużenia w kontekście informatyki śledczej, inne wymagają więcej pracy.
Przedstawiłem też nową technikę śledczą, wykorzystującą skompresowany system plików SquashFS, jako prosty i praktyczny kontener na cyfrowy materiał dowodowy. Na łamach tej publikacji udostępniam skrypt powłoki sfsimage, który może zabezpieczać cyfrowe dowody w kontenerach SquashFS.
Dlaczego warto korzystać z linii poleceń
Z jakiego powodu książka wykorzystująca komendy wiersza poleceń jest wciąż przydatna i ma znaczenie w dzisiejszych czasach? Komputerowy wiersz poleceń istnieje od czasu dalekopisów z lat sześćdziesiątych ubiegłego stulecia, ma więc ponad pół wieku. W informatyce, chociaż wiek jest czasem postrzegany jako oznaka przestarzałości, może być również potwierdzeniem dojrzałości i niezawodności, jak w przypadku wiersza poleceń Linuxa i Unixa. Nawet firma Microsoft uznała wartość i siłę wiersza poleceń, wprowadzając i promując PowerShell jako alternatywę dla starzejącego się systemu DOS.
Istnieje wiele powodów, dla których linia poleceń zachowała swoją popularność przez lata i nadal jest istotna dla tematów, które omawiam w tej książce. Oto kilka przykładów:
- Łatwiejsze wykonywanie skryptów i możliwość automatyzacji: graficzny interfejs użytkownika (GUI) jest przystosowany do pracy człowieka, wiersz poleceń może natomiast być używany przez człowieka lub maszynę. To sprawia, że linia poleceń jest szczególnie przydatna do obsługi skryptów i automatyzowania pracy.
- Lepsze zrozumienie, jak rzeczy działają pod spodem: narzędzia graficzne często są po prostu front-endem dla narzędzi wiersza poleceń. Nauka narzędzi wiersza poleceń pomaga zrozumieć, co się dzieje pod spodem, gdy używasz narzędzi z graficznym interfejsem jako front-endu.
- Elastyczność i wydajność: jeśli wykonujesz określone zadania w wierszu poleceń, masz większą elastyczność, możliwości i kontrolę. Na przykład potoki i przekierowywanie umożliwiają łączenie wielu kroków w jedno polecenie.
- Filozofia Unix: tradycyjnie polega ona na tworzeniu małych prostych narzędzi, wykonujących dobrze pojedyncze zadania. Duże graficzne programy natomiast włączają w swoją monolityczną strukturę bogate i złożone funkcje, tworząc pojedynczy program dużych rozmiarów.
- Dostęp zdalny: działania w wierszu poleceń mogą być bezpiecznie i łatwo wykonane zdalnie za pomocą protokołu SSH. W niektórych przypadkach możliwy jest jedynie zdalny dostęp do powłoki, zwłaszcza jeżeli pracujesz z wirtualnymi lub chmurowymi serwerami i systemami albo po prostu ze zlokalizowanymi w innych miastach lub krajach.
- Serwery bez obsługi bezpośredniej: do serwerów Unixa i Linuxa, w których wystąpił incydent, wiersz poleceń może być jedyną drogą dostępu, ponieważ graficzny interfejs nie został w ogóle zainstalowany.
- Systemy wbudowane: coraz popularniejsze wbudowane systemy Unixa i Linuxa, takie jak Raspberry Pi, Beagleboard lub inne urządzenia typu Internet of Things, mogą mieć dostęp tylko poprzez interfejs wiersza poleceń.
- Inwestycja w wiedzę: narzędzia wiersza poleceń nie zmieniają się wraz z upływem czasu tak jak narzędzia graficzne. Jeśli zainwestujesz czas w naukę obsługi narzędzia wiersza poleceń, nie będziesz musiał wszystkiego uczyć się od początku po aktualizacji komendy lub dodaniu do niej nowych funkcji.
- Osobiste preferencje: niektórzy technicy wolą po prostu używać wiersza poleceń niż interfejsu graficznego i będą go wykorzystywali, jeśli będą mieli wybór.
Książka ta poprowadzi cię podczas wykonywania zabezpieczenia dowodów za pomocą linii poleceń na potrzeby dochodzeń śledczych i reagowania na incydenty. Nie obejmuje ona opisu graficznych, równoważnych narzędzi ani graficznych front-endów.
Docelowi czytelnicy i wymagania
Napisałem tę książkę z myślą o konkretnych odbiorcach. Miałem pewne oczekiwania i założenia podczas pisania wielu jej fragmentów.
Kto powinien przeczytać tę książkę
Ta książka służy przede wszystkim dwóm grupom ludzi. Po pierwsze, pomoże doświadczonym śledczym podnieść swoje umiejętności w posługiwaniu się linuxową powłoką podczas zabezpieczenia dowodowego. Po drugie, przyda się doświadczonym administratorom systemów Unix i Linux, którzy zechcą nauczyć się technik zabezpieczania dowodowego.
Książka adresowana jest do rosnącej liczby pracowników pionów śledczych pochodzących z wielu obszarów działalności, takich jak zespoły reagujące na incydenty, informatycy śledczy z dużych organizacji, technicy śledczy i e-discovery z firm prawniczych, audytorskich i konsultingowych oraz typowi śledczy z organów ścigania.
Po przeczytaniu tej książki powinieneś mieć pełny obraz dostępnego spektrum narzędzi wiersza poleceń, umożliwiający pozyskanie i zabezpieczenie obrazów dowodowych z nośników danych.
Niezbędna wiedza
W tej książce założono, że masz praktyczną wiedzę na temat systemów operacyjnych, w szczególności środowiska, jakim jest powłoka Unix i Linux. Przykłady w niej zawarte intensywnie korzystają z powłoki Bash. Powinieneś również wiedzieć, jak uruchamiać programy wiersza poleceń oraz używać potoków i wykonywać podstawowe przekierowania między programami.
Dodatkowo powinieneś mieć podstawową wiedzę na temat zasad informatyki śledczej, w tym technik blokowania zapisu, wykonywania obrazu sektor po sektorze oraz zabezpieczania integralności dowodów za pomocą kryptograficznych funkcji skrótu. Przyjęto, że podczas prezentacji przykładów ta podstawowa znajomość tematu jest przez czytelnika opanowana.
Preinstalowana platforma i oprogramowanie
Powinieneś mieć dostęp do działającej platformy Linux z już zainstalowanymi odpowiednimi narzędziami. Książka nie obejmuje wyszukiwania, pobierania, kompilowania ani instalowania jakichkolwiek narzędzi. Jeśli masz w miarę nową maszynę (około roku od daty publikacji tej książki) z aktualną dystrybucją Linuxa, przykłady powinny działać bez żadnych problemów. Niektóre narzędzia nie są częścią standardowych dystrybucji Linuxa, ale można je łatwo znaleźć w serwisie GitHub lub wyszukać w Internecie.
Jak zorganizowana jest ta książka
Książka ta ma być bardziej zbiorem procedur postępowania zamiast chronologiczną listą kroków. Jednak treść ułożona jest zgodnie z logicznym postępem: od utworzenia platformy, planowania i przygotowania oraz pozyskania obrazu dowodowego do działań zabezpieczających po wykonaniu obrazu. Ogólnie książka jest pomyślana jako kompendium, więc nie trzeba jej czytać od początku do końca. Niektóre części wymagają pewnej wiedzy i zrozumienia wcześniejszej treści, w związku z tym zapewniono odpowiednie odsyłacze.
- Rozdział 0 jest ogólnym wprowadzeniem w informatykę śledczą. Obejmuje również historię i ewolucję tej dziedziny, przywołując istotne wydarzenia, które ukształtowały jej kierunek. Szczególny nacisk kładę na znaczenie standardów potrzebnych przy gromadzeniu cyfrowych dowodów, które mają być wykorzystane w postępowaniu sądowym. Książka jako całość została napisana w taki sposób, aby nie zależała od lokalnych szczegółów, regionalnych przepisów prawa i miała w tym względzie międzynarodowy, globalny charakter. Jest to ważne w dzisiejszych czasach, ponieważ coraz więcej dochodzeń przekracza granice państw i jest obejmowanych przez wiele jurysdykcji. Ponadto, ze względu na wzrost potencjału dochodzeniowo-śledczego w sektorze prywatnym, książka przyda się prywatnym laboratoriom informatyki śledczej, zwłaszcza w firmach o zasięgu globalnym.
- Rozdział 1 zawiera przegląd techniczny nośników pamięci masowej, złączy i interfejsów oraz poleceń i protokołów używanych do uzyskania dostępu do nośnika. Obejmuje to technologie, z którymi typowy dochodzeniowiec się zetknie, pracując w profesjonalnym laboratorium informatyki śledczej. Starałem się pomóc ci osiągnąć dogłębne zrozumienie różnych rodzajów interfejsów nośników danych, tunelowania protokołów, mostkowania oraz sposobu podłączania i interakcji nośników danych z systemem hosta.
- Rozdział 2 zawiera omówienie systemu Linux jako platformy pozyskiwania dowodów cyfrowych. Krótko opisuje wady i zalety korzystania z Linuxa i oprogramowania open source. Przedstawia, w jaki sposób jądro Linuxa rozpoznaje i obsługuje nowe urządzenia podłączone do systemu oraz w jaki sposób można uzyskać do nich dostęp. Rozdział zawiera również przegląd dystrybucji Linuxa i wywołań linii poleceń. Wyjaśnia też wykorzystanie potoków i przekierowań jako ważnych pojęć używanych w całej książce.
- Rozdział 3 omawia różne formaty nieprzetworzonych danych i popularnych kontenerów, stosowanych podczas zabezpieczania dowodów cyfrowych. Stanowią one cyfrowe "worki dowodowe" na pozyskane obrazy nośników. W rozdziale wyjaśniono, czym są obrazy nieprzetworzone, opisano również komercyjne formaty używane w informatyce śledczej, jak EnCase i FTK, oraz formaty stworzone dzięki badaniom społeczności, takie jak AFF. Wprowadzono także opis prostego kontenera dowodów cyfrowych, opartego na SquashFS, oraz narzędzia do zarządzania nim.
- Rozdział 4 jest punktem zwrotnym w książce, pozostawiającym za sobą zagadnienia teoretyczne i wprowadzającym na bardziej praktyczne i procesowe pole. Zaczyna się od przykładów utrzymywania dzienników i śledzenia zmian oraz zapisywania używanych poleceń w celu wykorzystania w oficjalnych raportach sądowych. Obejmuje różne kwestie związane z planowaniem i logistyką, z którymi często borykają się śledczy. Kończy się sekcją o tworzeniu zgodnego z duchem dochodzeniowo-śledczym środowiska pracy, blokującego zapis, tak aby przygotować się do faktycznego procesu pozyskiwania obrazu nośnika.
- Rozdział 5 rozpoczyna się od podłączenia zabezpieczanego dysku do systemu, w którym nastąpi wykonanie obrazu i zgromadzenie danych o nośniku (ATA, SMART itd.). Na tym etapie ograniczenia dostępu do nośnika, takie jak HPA i DCO, są usuwane, a zablokowane i samoszyfrujące dyski są odblokowywane. Rozdział przybliża również kilka specjalnych tematów, takich jak tryb Apple Target Disk Mode. W tym momencie dysk jest przygotowany i gotowy do uruchomienia komend tworzących obraz nośnika.
- Rozdział 6 omawia wykonanie obrazu nośnika, demonstrując wiele możliwych metod realizacji takiego procesu zarówno przy użyciu narzędzi open source, jak i tych o zamkniętym kodzie. Nacisk położony jest na zabezpieczenie dowodów podczas pozyskiwania obrazów za pomocą funkcji skrótu, podpisów cyfrowych i usług znakowania czasowego. Rozdział uwzględnia również różne scenariusze występowania uszkodzonych sektorów i błędów, a także zdalne pozyskiwanie obrazu poprzez sieć. Szczególny temat dotyczy pozyskiwania obrazów z taśm i systemów macierzy RAID.
- Rozdział 7 koncentruje się na zarządzaniu pozyskanymi obrazami dysków. W tym rozdziale zakłada się, że obraz nośnika został pomyślnie wykonany, opisano więc typowe zadania po jego wykonaniu. Te działania obejmują kompresowanie, dzielenie i szyfrowanie obrazów, konwersję między formatami, klonowanie lub zwielokrotnianie obrazów, przekazywanie obrazów innym stronom i przygotowywanie obrazów do długoterminowego przechowywania. Rozdział kończy część dotycząca bezpiecznego usuwania danych.
- Rozdział 8 opisuje kilka specjalnych działań, które można podjąć po pozyskaniu obrazu w ramach przygotowań do analizy materiału. Obejmują one uzyskiwanie dostępu do zawartości obrazów za pośrednictwem urządzeń pętli, uzyskiwanie dostępu do obrazów maszyn wirtualnych i obrazów zaszyfrowanych za pomocą systemu operacyjnego (BitLocker, FileVault, TrueCrypt/VeraCrypt itd.). W rozdziale poruszono również temat uzyskiwania dostępu do innych kontenerów dysków wirtualnych. Techniki te umożliwiają przeprowadzanie analizy śledczej obrazów i bezpieczne przeglądanie systemu plików przy użyciu zwykłych menedżerów plików i innych programów.
- Rozdział 9 częściowo wchodzi w obszar analizy śledczej i pokazuje wyodrębnianie podzbiorów danych z obrazów. Obejmuje to identyfikację i wyodrębnianie partycji (w tym usuniętych), luk między partycjami, przestrzeni systemu plików oznaczonych jako wolne i wcześniej ukrytych obszarów dysku (DCO i HPA). W rozdziale przedstawiono kilka przykładowych ekstrakcji danych fragmentami, w tym ekstrakcji poszczególnych sektorów i bloków.
Każdy rozdział może opisywać kilka różnych narzędzi używanych do zrealizowania tego samego zadania. Często do wykonania tej samej czynności będzie dostępnych wiele rozwiązań, a w zależności od sytuacji jedno może być bardziej przydatne niż pozostałe. W takich przypadkach omawiam zalety i wady każdego z nich.
Wszystkie sekcje w rozdziale mają mniej więcej taką samą strukturę. Tytuł zawiera ogólny opis tematu. Akapit wprowadzający przedstawia uzasadnienie umieszczenia danej sekcji i wyjaśnia, dlaczego konkretne zadanie jest użyteczne w przypadku dochodzeń informatyki śledczej lub reagowania na incydenty. Często uzasadnieniem są prawne lub branżowe standardy. Ważne jest, aby je znać i rozumieć, ponieważ wspierają one wykonywanie pracy w zgodzie z duchem dochodzeniowo-śledczym. Tam, gdzie to konieczne, zamieszczam odniesienia do kodu źródłowego narzędzi, dodatkowych informacji lub innych interesujących artykułów.
Przed wprowadzeniem lub demonstracją nowego narzędzia udostępniam akapit opisujący funkcję lub cel jego działania i znaczenie dla informatyki śledczej. W niektórych przypadkach może być interesująca historia tego rozwiązania, dlatego również ją zamieszczam.
Po opisie zadania i narzędzi/-a poznasz jeden lub więcej przykładów użycia wiersza poleceń, a także dane wyjściowe polecenia (wyświetlane w blokach czcionek o stałej szerokości). Polecenie może być powtarzane, aby pokazać różne odmiany albo rozszerzone formy użycia. Po każdym przykładzie użycia polecenia następuje akapit opisujący wykonywane polecenie i wyjaśniający uzyskane dane wyjściowe.
Ostatni akapit może zawierać omówienie potencjalnych luk, zastrzeżeń, zagrożeń i typowych problemów lub błędów, które możesz napotkać, a które są istotne dla cyfrowych dochodzeń śledczych.
Zakres tej książki
Książka koncentruje się na pozyskaniu z popularnych nośników dowodów w postaci elektronicznej oraz na krokach wymaganych do ich zabezpieczenia. Chociaż pokazano pewne działania związane z segregacją i analizą, ogólnie mówiąc, analiza danych aplikacji i systemu operacyjnego wykracza poza zakres tej publikacji.
Wiele innych obszarów jest również poza tym zakresem, w tym pozyskiwanie danych z obszarów innych niż tradycyjne nośniki danych, na przykład zabezpieczenie w ramach sieciowej informatyki śledczej, pozyskiwanie obrazów pamięci z działających systemów na żywo, pozyskiwanie danych z chmury itd.
W różnych miejscach wspominam o nośnikach danych profesjonalnej klasy przemysłowej i o nośnikach starszych, ale nie przedstawiam praktycznych przykładów. Są one rzadziej spotykane w laboratoriach informatyki śledczej. Jednak wiele z zaprezentowanych metod będzie z zasady działać z profesjonalnym sprzętem przemysłowym lub starszymi modelami nośników.
Zabezpieczenie urządzeń o rozwiązaniach prawnie chronionych również wykracza poza zakres tej książki. Pozyskiwanie obrazów i danych z najnowszej generacji telefonów komórkowych, tabletów lub urządzeń typu Internet of Things może się udać dzięki narzędziom i technikom pokazanym w książce (jeśli są one rozpoznawane jako urządzenia blokowe przez jądro Linuxa), ale nie omawiam wprost takich przypadków.
Konwencje i format
Przykłady kodu, poleceń i danych wyjściowych polecenia są zapisane czcionką o stałej szerokości, podobnie jak na ekranie terminalu komputera. W niektórych miejscach nieistotne dane wyjściowe polecenia mogą zostać usunięte lub obcięte i zastąpione wielokropkiem (...). Jeśli linie są zbyt długie, by zmieścić się w marginesach książki, są zawijane i wcinane.
Polecenia, które można uruchamiać bez uprawnień administratora, używają wiersza poleceń $. Komendy uprzywilejowane, które zazwyczaj muszą być uruchamiane jako root, są poprzedzone prefiksem #. Dla zwięzłości korzystanie z sudo lub innego podwyższania zakresu uprawnień nie zawsze jest pokazane. Niektóre sekcje zawierają więcej informacji na temat uruchamiania procedur jako użytkownik inny niż root.
W branży książek komputerowych powszechną praktyką jest zmiana sygnatur czasowych w blokach kodu i danych wyjściowych poleceń na przyszłe, po wydaniu publikacji, co nadaje zawartości nowszy wygląd. Czułem, że napisanie książki o zachowaniu integralności dowodów, a następnie znaczne manipulowanie dowodami w niej dostarczonymi (przez przesuwanie znaczników czasu w przyszłość) nie byłoby odpowiednie. Wszystkie dane wyjściowe poleceń, które znajdziesz w tej książce, odzwierciedlają rzeczywiste wyjścia z testów i badań, w tym oryginalne daty i znaczniki czasu. Nie licząc wycinania mniej istotnych obszarów za pomocą wielokropka (...) i usuwania końcowych pustych wierszy, dane wyjściowe poleceń pozostawiłem niezmienione.
Bibliografia nie jest podana na końcu książki. Wszystkie odniesienia są uwzględniane jako przypisy u dołu strony, na której następuje odwołanie do źródła.
Stacja robocza dochodzeniowca lub śledczego jest określana jako host zabezpieczenia lub host śledczego. Dysk i obraz poddane zabezpieczeniu są określane jako badany dysk, podejrzany dysk lub dysk dowodowy.
Wiele terminów jest używanych zamiennie w całej książce. Dysk, napęd, nośnik pamięci masowej, nośnik danych są często stosowane zamiennie, jeśli są używane w sensie ogólnym. Dochodzeniowiec, śledczy, informatyk śledczy to określenia używane w całej książce i odnoszą się do osoby (ciebie) używającej hosta zabezpieczenia do różnych zadań z zakresu informatyki śledczej. Tworzenie, pozyskiwanie, zapisywanie są stosowane zamiennie, ale słowo kopiowanie jest celowo wyłączone z użycia, aby uniknąć pomyłki ze zwykłym kopiowaniem poza kontekstem śledztwa cyfrowego.
0OGÓLNY ZARYS INFORMATYKI ŚLEDCZEJ
Szkic historycznego tła rozwoju działu informatyki, jakim jest informatyka śledcza, pomaga wyjaśnić, w jaki sposób zmieniała się ona na przestrzeni lat. Dodatkowo ułatwia uchwycenie kontekstu niektórych problemów i wyzwań, przed jakimi stają specjaliści zawodowo związani z tą branżą.
Historia informatyki śledczej
W tej części omawiam rozwój nowoczesnej informatyki śledczej jako działu nauk informatycznych.
Koniec wieku XX
Historia informatyki śledczej jest bardzo krótka w porównaniu z czasem istnienia większości dziedzin i działów nauki. Najwcześniejsze prace dochodzeniowo-śledcze związane z komputerami przypadały na lata osiemdziesiąte, kiedy eksperci byli prawie wyłącznie pracownikami organów ścigania lub organizacji wojskowych. W tamtym czasie nastąpił wzrost liczby komputerów domowych i serwisów BBS dostępnych przez połączenia wdzwaniane. Zapoczątkowało to zainteresowanie informatyką śledczą w społeczności pracowników organów ścigania. W 1984 roku FBI opracowało pionierski program do analizy dowodów cyfrowych. Ponadto wzrost nadużyć i ataków internetowych doprowadził do utworzenia w 1988 roku Computer Emergency Response Team (CERT) - zespołu reagowania na incydenty w sieci Internet. CERT został utworzony przez agencję DARPA (Defense Advanced Research Projects Agency) na Uniwersytecie Carnegie Mellon w Pittsburgu i do dzisiaj jest z nim związany.
W latach dziewięćdziesiątych nastąpił znaczny wzrost dostępu do Internetu, a komputery osobiste w domu były już codziennością. W tym czasie informatyka śledcza stała się główną problematyką wśród organów ścigania. W 1993 roku FBI zorganizowało pierwszą z wielu międzynarodowych konferencji dla stróżów prawa, poświęconych dowodom w postaci elektronicznej. W 1995 roku powstała IOCE (International Organization of Computer Evidence), która rozpoczęła opracowywanie zaleceń dotyczących standardów postępowania w cyfrowym śledztwie. Pojęcie "przestępczości komputerowej" stało się rzeczywistością nie tylko w Stanach Zjednoczonych, lecz także na arenie międzynarodowej. W 1999 roku Association of Chief Police Officers (ACPO) opracowało przewodnik dobrych praktyk dla brytyjskich funkcjonariuszy organów ścigania, którzy zajmowali się dowodami opartymi na technologiach komputerowych. Pod koniec lat dziewięćdziesiątych powstało pierwsze oprogramowanie o otwartym kodzie źródłowym, służące informatykom śledczym. Był nim The Coroner's Toolkit stworzony przez Dana Farmera i Wietsego Venema.
2000-2010
Po przełomie tysiącleci wiele czynników zwiększyło zapotrzebowanie na informatykę śledczą. Tragedia z 11 września 2001 roku miała ogromny wpływ na to, jak świat zaczął postrzegać bezpieczeństwo i reagowanie na incydenty. Skandale księgowe dotyczące firm Enron i Arthur Andersen doprowadziły do stworzenia w Stanach Zjednoczonych ustawy Sarbanesa-Oxleya. Ma ona na celu ochronę inwestorów dzięki poprawie dokładności i wiarygodności ładu informacyjnego (oświadczeń o stanie firmy). Akt ten wymaga, aby organizacje sformułowały oficjalne procedury procesów dochodzeniowych i reagowania na incydenty, zwykle obejmujące pewne elementy informatyki śledczej lub gromadzenia cyfrowego materiału dowodowego. Wzrost znaczenia własności intelektualnej (IP) miał również wpływ na organizacje prywatne. Oszustwa internetowe, wyłudzanie informacji i inne naruszenia własności intelektualnej i nazw zastrzeżonych spowodowały dalszy wzrost zapotrzebowania na śledztwa i gromadzenie dowodów. Udostępnianie plików w sieciach peer-to-peer (począwszy od Napstera) wraz z pojawieniem się cyfrowego prawa autorskiego w postaci ustawy Digital Millennium Copyright Act (DMCA) doprowadziło do wzrostu zapotrzebowania na dochodzenia dotyczące naruszeń cyfrowego prawa autorskiego.
Od 2000 roku społeczność zajmująca się informatyką śledczą poczyniła ogromne postępy, nadając tej dziedzinie postać dyscypliny naukowej. Konferencja DFRWS w 2001 roku przyniosła ważne definicje i wyzwania stające przed społecznością śledczych. Zdefiniowano wtedy informatykę śledczą jako:
Wykorzystanie naukowo udowodnionych i potwierdzonych metod zabezpieczania, gromadzenia, weryfikacji, identyfikacji, analizy, interpretacji, dokumentacji i prezentacji cyfrowego materiału dowodowego, pozyskanego ze źródeł elektronicznych, w celu umożliwienia lub ułatwienia rekonstrukcji działań określanych jako przestępcze lub pomocy w przewidywaniu nielegalnych czynów, będących zakłóceniami zaplanowanych czynności[1].
Podczas gdy społeczność śledczych określała cele i zakres działań budujących naukowe podstawy tej dziedziny, opracowano również standardy postępowania, wytyczne i najlepsze praktyki w zakresie stosowanych procedur. Grupa badawcza Scientific Working Group on Digital Evidence (SWGDE) określiła definicje i standardy, w tym wymogi standardowych procedur operacyjnych (Standard Operating Procedures - SOP) dla organów ścigania.
We Francji podczas konferencji IOCE 2000 pracowano nad sformalizowaniem procedur działania techników-funkcjonariuszy dzięki wytycznym i listom kontrolnym. 13. INTERPOL Forensic Science Symposium, również we Francji, wyznaczyło wymagania stawiane grupom zaangażowanym w informatykę śledczą i określiło obszerny zestaw norm i zasad dla władz i organów ścigania. Amerykański Departament Sprawiedliwości opublikował szczegółowy przewodnik szybkiego reagowania dla stróżów prawa (US DOJ Electronic Crime Scene Investigation: A Guide for First Responders). W ramach projektu NIST's Computer Forensics Tool Testing (CFTT) napisano natomiast specyfikację narzędzia do tworzenia obrazu dysku (Disk Imaging Tool Specification).
W ciągu tego dziesięciolecia ukazało się kilka recenzowanych czasopism naukowych mających na celu prezentowanie stale rosnącego zasobu wiedzy. International Journal of Digital Evidence (IJDE) powstał w 2002 roku (i zakończył działalność w 2007 r.), a Digital Investigation: The International Journal of Digital Forensics & Incident Response został utworzony w 2004 roku.
2010-obecnie
W latach po 2010 roku wiele wydarzeń zmieniło podejście do badania i gromadzenia dowodów z cyberataków i naruszeń bezpieczeństwa danych.
Serwis WikiLeaks (http://www.wikileaks.org/) zaczął publikować materiały, które wyciekły z amerykańskiego wojska, w tym filmy i depesze dyplomatyczne. Anonimowi zyskali rozgłos w związku z rozproszonymi atakami typu DoS (Denial of Service) i innymi działaniami haktywistów. LulzSec naruszył bezpieczeństwo i ujawnił dane z HBGary Federal i innych firm.
Badanie szkodliwego oprogramowania Advanced Persistent Threat (APT) stało się głównym zagadnieniem w branży. Opinia publiczna poznała zakres rządowych technik wywiadowczych z zastosowaniem złośliwego oprogramowania, stosowanych zarówno wobec innych rządów, jak i sektora prywatnego. Został odkryty robak Stuxnet, atakujący systemy SCADA. Szczególnym przypadkiem jego działania było zakłócenie systemów kontrolnych irańskiego programu jądrowego. Mandiant opublikował swoje dochodzenie w sprawie APT1, jednostki do walki cybernetycznej w chińskiej armii. Edward Snowden ujawnił obszerne repozytorium dokumentów, odsłaniające zakres hackowania przez NSA. Publikacja danych włoskiej firmy HackingTeam ujawniła, że z profesjonalnego rynku exploitów korzystają rządy, organy ścigania i firmy sektora prywatnego.
Poważne naruszenia bezpieczeństwa danych stały się problemem dla firm z sektora prywatnego, ponieważ różnego typu dane, w tym dotyczące kart kredytowych, były kradzione z Sony, Target, JPMorgan Chase, Anthem i innych. Międzynarodowy sektor bankowy stanął w obliczu poważnego wzrostu liczby złośliwego oprogramowania ukierunkowanego na bankowość (Zeus, Sinowal/Torpig, SpyEye, Gozi, Dyre, Dridex i inne). Oprogramowanie to z powodzeniem atakowało klientów banków, dokonując oszustw finansowych. Ostatnio ataki mające na celu uzyskanie okupu stały się niezwykle popularne (ransomware, DDoS for Bitcoin itp.).
Ta różnorodność ataków hakerskich, naruszeń bezpieczeństwa i nadużyć rozszerzyła obszar wchodzący w zakres informatyki śledczej, obejmując przechwytywanie i analizę ruchu sieciowego oraz zabezpieczanie zawartości pamięci zainfekowanych systemów podczas ich działania.
Główne kierunki i wyzwania cyfrowego zabezpieczenia
Dziedzina, jaką jest informatyka śledcza, nieustannie się zmienia z powodu postępu i zmian technologicznych oraz metod stosowanych przez przestępców. W tej części omawiam najnowsze wyzwania, trendy i zmiany, które mają wpływ na tradycyjne pozyskiwanie dowodów w postaci nośników danych.
Zmiany rozmiaru, lokalizacji i złożoności dowodu
Najbardziej oczywistą zmianą, wpływającą na pozyskiwanie obrazów dowodowych, jest pojemność dysku. W chwili pisania tych słów konsumenckie dyski twarde mogły przechowywać 10 TB danych. Dostępność łatwych w użyciu rozwiązań RAID spowodowała zwiększenie pojemności dysków logicznych do jeszcze większych rozmiarów. Tak duże pojemności nośników stanowią wyzwanie wobec tradycyjnych procesów pozyskiwania dowodów stosowanych przez laboratoria śledcze.
Kolejnym wyzwaniem jest mnogość urządzeń pamięci masowej, które znajdują się na miejscu zbrodni lub biorą udział w incydentach naruszenia bezpieczeństwa. To, co kiedyś było w gospodarstwie domowym pojedynczym komputerem, stało się barwnym wachlarzem sprzętu: komputerów, laptopów, tabletów, telefonów komórkowych, dysków zewnętrznych, pamięci USB, kart pamięci, płyt CD i DVD oraz innych urządzeń przechowujących znaczne ilości danych. Wyzwanie polega na znalezieniu i zabezpieczeniu wszystkich mających znaczenie dla sprawy nośników danych, a także na uzyskaniu obrazów w sposób, który sprawia, że wszystko jest dostępne za pomocą narzędzi do analizy śledczej w sposób równoczesny.
Przesunięcie położenia dowodów do chmury powoduje kolejne komplikacje. W niektórych przypadkach na urządzeniach użytkowników końcowych mogą pozostać tylko kopie danych zawarte w pamięci podręcznej, przy czym większość danych jest przechowywana przez dostawców usług w chmurze. Gromadzenie tych danych może nastręczać problemów organom ścigania, jeśli znajdują się one poza ich jurysdykcją, oraz trudności prywatnym organizacjom, jeżeli zewnętrznych dostawców usług w chmurze nie wspierają przepisy zapisane w umowie o świadczeniu usług dotyczące udzielania pomocy w przypadku dochodzeń śledczych.
Internet rzeczy (Internet of Things - IoT) jest szybko rozwijającym się zjawiskiem, które również stanowi wyzwanie dla społeczności śledczych. Liczne niewielkie gadżety elektroniczne z dostępem do Internetu (monitory stanu zdrowia, zegary, monitory środowiska, kamery monitoringu itp.) zazwyczaj nie zawierają dużej ilości pamięci. Mogą jednak mieć przydatne dane telemetryczne, takie jak znaczniki czasu, dane o lokalizacji i ruchu, warunki środowiskowe itp. Identyfikacja i uzyskiwanie dostępu do tych danych stanie się w przyszłości standardową częścią gromadzenia dowodów podczas śledztwa.
Zapewne najtrudniejszym wyzwaniem, przed jakim stają dzisiaj śledczy, jest kwestia zablokowanych urządzeń stosujących zastrzeżone rozwiązania. Architektury komputerów osobistych i urządzeń dyskowych były historycznie otwarte i dobrze udokumentowane, pozwalając na tworzenie standardowych narzędzi do uzyskiwania dostępu do danych i ich zabezpieczania w ramach procesów dochodzeniowych. Jednak rosnące użycie oprogramowania i sprzętu stosującego zastrzeżone rozwiązania powoduje utrudnienia w przypadku najnowszego sprzętu. Jest to szczególnie problematyczne w urządzeniach mobilnych, które mogą wymagać jailbreaka (rzeczywistego przełamania zabezpieczeń), zanim będzie możliwy niskopoziomowy dostęp do bloków systemu plików.
Problem wielu jurysdykcji
Międzynarodowy charakter przestępczości w Internecie to kolejne wyzwanie, z którym muszą się zmierzyć śledczy. Rozważmy firmę w kraju A, która jest atakowana przez osobę w kraju B, używającą serwerów pośredniczących w kraju C w celu naruszenia infrastruktury poprzez zewnętrznego partnera z kraju D i eksfiltracji skradzionych danych do miejsca przeznaczenia w kraju E. W tym scenariuszu jest zaangażowanych pięć różnych krajów, co oznacza potencjalną koordynację działań pięciu różnych agencji bezpieczeństwa, angażujących co najmniej pięć różnych firm w pięciu różnych jurysdykcjach. Taki scenariusz, obejmujący wiele krajów, nie jest dziś czymś niezwykłym, w rzeczywistości jest to raczej typowy przypadek.
Przemysł, środowisko akademickie i współpraca z organami ścigania
Coraz bardziej złożony i zaawansowany charakter działalności przestępczej w Internecie przyczynił się do zacieśnienia więzów i współpracy w celu gromadzenia danych wywiadowczych i dowodów oraz koordynowania dochodzeń.
Tego typu współpraca pomiędzy branżowymi rywalami może być postrzegana jako walka ze wspólnym wrogiem (branża bankowa przeciwko złośliwemu oprogramowaniu bankowemu, branża dostawców usług internetowych przeciwko DDoS i spamowi itd.). Współpraca ta przekroczyła również granice sektora prywatnego i publicznego: organy ścigania współpracują z przemysłem i biznesem w zwalczaniu działalności przestępczej w ramach partnerstwa publiczno-prywatnego (PPP). Ta wielopłaszczyznowa współpraca stwarza możliwości identyfikacji, gromadzenia i przekazywania cyfrowych dowodów. Wyzwaniem jest w takiej sytuacji zapewnienie, że partnerzy prywatni rozumieją charakter dowodów cyfrowych i są w stanie spełnić standardy wymagane przez organy ścigania w ramach sektora publicznego. Zwiększa to prawdopodobieństwo skutecznego ścigania na podstawie dowodów zebranych przez sektor prywatny.
Trzecią grupą, która współpracuje z przemysłem i organami ścigania, jest społeczność akademicka. Ta wspólnota zazwyczaj składa się z uniwersyteckich laboratoriów kryminalistycznych i pracowni badań nad bezpieczeństwem, które zagłębiają się w teoretyczne i wysoce techniczne aspekty przestępczości komputerowej i kryminalistyki. Badacze ci są w stanie poświęcić czas na analizę problemów i uzyskanie wglądu w nowe metody kryminalne i techniki kryminalistyczne. W niektórych przypadkach są w stanie udzielić wsparcia organom ścigania, jeśli standardowe narzędzia śledcze nie są w stanie wyodrębnić ani przeanalizować potrzebnych dowodów. Zespoły akademickie muszą natomiast rozumieć potrzeby i oczekiwania związane z zabezpieczaniem dowodów w postaci cyfrowej i zarządzaniem nimi.
Zasady cyfrowego śledztwa post mortem
Na zasady informatyki śledczej jako dziedziny naukowej wpływa wiele czynników, w tym formalnie określone standardy, recenzowane publikacje, branżowe wytyczne i zbiory najlepszych praktyk.
Standardy informatyki śledczej
Normy dotyczące gromadzenia i zabezpieczania tradycyjnych dowodów rzeczowych zależą w znacznym stopniu od miejscowej jurysdykcji. W przeciwieństwie do tego gromadzenie dowodów cyfrowych dojrzewało w międzynarodowym i wzajemnie powiązanym środowisku, z wieloma jurysdykcjami mającymi wkład w badania i opracowywane normy. Zazwyczaj sprzęt, oprogramowanie, formaty plików, protokoły sieciowe i inne technologie są takie same na całym świecie. Z tego powodu zasady i procesy gromadzenia dowodów cyfrowych są zasadniczo zgodne w różnych jurysdykcjach. Dobrym przykładem jest użycie blokerów zapisu do podłączania dysków do urządzeń zapisujących ich obrazy. Praktyka ta jest akceptowana niemal wszędzie na świecie.
Istnieje kilka formalnych organów normalizacyjnych, które określają standardy zabezpieczenia dowodowego. Amerykański Narodowy Instytut Standaryzacji i Technologii (National Institute of Standards Technology - NIST) stworzył program testowania oprogramowania do informatyki śledczej (Computer Forensic Tool Testing - CFTT). Jego cel jest zdefiniowany następująco:
Celem projektu Computer Forensic Tool Testing (CFTT) Narodowego Instytutu Standaryzacji i Technologii (NIST) jest ustanowienie metodologii testowania komputerowych narzędzi informatyki śledczej przez opracowanie ogólnych specyfikacji tych narzędzi, procedur testowych, kryteriów testowania, zestawów testów oraz sprzętu testowego.
Chociaż NIST jest organizacją skupiającą się na Stanach Zjednoczonych, wiele jej standardów jest przyjmowanych na arenie międzynarodowej lub przynajmniej wpływa na organy normalizacyjne w innych krajach.
Międzynarodowa Organizacja Normalizacyjna (International Organization for Standardization - ISO) również zapewnia wiele norm dotyczących dowodów cyfrowych. Istotne dla zabezpieczenia materiałów dowodowych są wytyczne ISO dotyczące identyfikacji, gromadzenia, pozyskiwania i zabezpieczania dowodów cyfrowych:
Norma ISO/IEC 27037:2012 zawiera wytyczne dotyczące konkretnych działań w zakresie postępowania z dowodami cyfrowymi, które polegają na identyfikacji, gromadzeniu, pozyskiwaniu i zabezpieczaniu potencjalnych dowodów cyfrowych, które mogą mieć wartość dowodową. Zapewnia wytyczne dla jednostek w odniesieniu do typowych sytuacji napotykanych przez cały proces przetwarzania dowodów cyfrowych, pomaga organizacjom w ich dyscyplinarnych procedurach oraz ułatwia wymianę potencjalnych dowodów cyfrowych między jurysdykcjami.
Poszczególne siły policyjne mogą mieć własne standardy, które opisują proces zbierania dowodów. Na przykład w Wielkiej Brytanii Association of Chief Police Officers (ACPO) dostarcza ACPO Good Practice Guide for Digital Evidence. Przewodnik stwierdza:
Ten przewodnik po najlepszych praktykach został opracowany przez ACPO Crime Business Area i był pierwotnie zatwierdzony przez Gabinet ACPO w grudniu 2007 roku. Celem tego dokumentu jest dostarczenie wskazówek nie tylko pomocnych organom ścigania, lecz także wszystkim, którzy pomagają w śledzeniu incydentów i przestępstw związanych z bezpieczeństwem cybernetycznym. Zostanie on zaktualizowany zgodnie ze zmianami legislacyjnymi i politycznymi oraz ponownie opublikowany w razie potrzeby.
Dokument ten odwołuje się do licznych innych standardów i dokumentów przedstawionych przez ACPO i inne organizacje.
Departament Sprawiedliwości Stanów Zjednoczonych wciąż aktualizuje Electronic Crime Scene Investigation: A Guide for First Responders.
Wstęp do przewodnika głosi:
Przewodnik ten ma na celu nieść pomoc państwowym i lokalnym organom ścigania oraz innym jednostkom szybkiego reagowania, które mogą być odpowiedzialne za zabezpieczenie miejsca popełnienia przestępstwa elektronicznego oraz za rozpoznawanie, gromadzenie i zabezpieczanie dowodów cyfrowych.
Wiele innych organizacji międzynarodowych przyczynia się do opracowywania norm dzięki tworzeniu dochodzeniowych grup roboczych, komitetów i społeczności.
Publikacje recenzowane
Innym źródłem standardów i metod informatyki śledczej są recenzowane publikacje naukowe i konferencje akademickie. Prezentują one najnowsze postępy i techniki społeczności zajmującej się badaniami z zakresu informatyki śledczej. Podczas prac dochodzeniowo-śledczych bazowanie na recenzowanych publikacjach jest szczególnie ważne w przypadku nowszych metod i technologii, ponieważ mogą one nie być zweryfikowane podczas postępowań sądowych.
Istnieje kilka międzynarodowych społeczności akademickich badaczy, które przyczyniają się do rozwoju wiedzy. Najbardziej znanym naukowym periodykiem z dziedziny kryminalistyki jest Digital Investigation: The International Journal of Digital Forensics & Incident Response. Publikuje on wyniki badań naukowych z tej dziedziny od ponad dekady. Stawiane mu cele i ich zakres są opisane następująco:
Journal of Digital Investigation obejmuje najnowocześniejsze osiągnięcia związane z informatyką śledczą i reagowaniem na incydenty z całego świata. Ta szeroko cytowana publikacja pomaga informatykom śledczym aktualizować wiedzę w zakresie nowych technologii, przydatnych narzędzi, odpowiednich badań, technik śledczych i metod postępowania w sytuacjach naruszeń bezpieczeństwa. Dochodzeniowcy korporacyjni, kryminalni i wojskowi korzystają z tego czasopisma, by dzielić się swoją wiedzą i doświadczeniami, w tym bieżącymi wyzwaniami i doświadczeniami zdobytymi na następujących polach:
Publikacje recenzowane: nowe rozwiązania radzące sobie z wyzwaniami stawianymi przez cyfrowe śledztwa, w tym badania stosowane analizujące konkretne technologie, oraz zastosowanie technologii komputerowych do rozwiązywania problemów napotkanych w informatyce śledczej i reagowaniu na incydenty.
Raporty techników: badania przypadków i sprawozdania opisujące, w jaki sposób technicy radzą sobie z nowymi wyzwaniami w tej dziedzinie, w tym udoskonalone metody przeprowadzania skutecznych dochodzeń cyfrowych...
Najważniejszą konferencją naukowo-badawczą z dziedziny informatyki śledczej jest Digital Forensics Research Workshop (DFRWS). Konferencja odbyła się po raz pierwszy w 2001 roku w Stanach Zjednoczonych i jest tam organizowana do dzisiaj. Jednakże w 2014 roku stworzono oddzielne, europejskie wydarzenie (DFRWS Europe). Cele przyświecające DFRWS są następujące[2]:
- pobudzanie do nowego spojrzenia na problemy i wspieranie wymiany pomysłów, aby rozwijać naukowo informatykę śledczą,
- promowanie dyskusji naukowej związanej z badaniami z dziedziny informatyki śledczej i ich zastosowaniami,
- angażowanie doświadczonych analityków i techników z organów ścigania, wojska i sektora cywilnego, by ukierunkować badania na potrzeby śledczych, mnogość środowisk dochodzeniowych i użyteczność w realnych zastosowaniach,
- definiowanie najważniejszych technologii, które koncentrują się na przydatnych badaniach i rozwoju,
- wspieranie odkryć, wyjaśnień i prezentacji rozstrzygających, przekonujących dowodów, które spełniają najwyższe standardy weryfikacji sądowej i innych cywilnych oraz wojskowych decydentów,
- ustanowienie i rozwijanie wspólnego słownika, aby społeczność porozumiewała się tym samym językiem,
- zaangażowanie w regularną debatę i współpracę, żeby zapewnić skupienie, duże zainteresowanie i skuteczność,
- utrzymanie dynamicznej społeczności ekspertów ze środowiska akademickiego i zawodowego,
- zwiększanie dyscypliny pracy naukowej w informatyce śledczej,
- inspirowanie kolejnych pokoleń do tworzenia nowatorskich rozwiązań.
Ujawnienie pełnej informacji: jestem redaktorem Digital Investigation oraz członkiem komitetu organizacyjnego DFRWS Europe.
Branżowe wytyczne i najlepsze praktyki
Specyficzne dla danej branży wytyczne mogą nakładać dodatkowe wymogi (lub ograniczenia) na gromadzenie dowodów cyfrowych.
W sektorze prywatnym standardy i najlepsze praktyki są opracowywane przez różne organizacje i grupy branżowe. Na przykład Information Assurance Advisory Council (IAAC) tworzy Directors and Corporate Advisors' Guide to Digital Investigations and Evidence.
Inne źródła obejmują standardy i procesy wymagane przez organy prawne i regulacyjne, na przykład wymogi dotyczące zdolności do gromadzenia dowodów w amerykańskim ustawodawstwie Sarbanes-Oxley.
Niektóre wymogi dotyczące dowodów cyfrowych mogą zależeć od branży. Na przykład lokalne przepisy odnoszące się do opieki zdrowotnej mogą określać wymagania związane z ochroną danych i obejmować różne procesy reagowania dochodzeniowego i zbierania dowodów w przypadku naruszenia bezpieczeństwa. Dostawcy usług telekomunikacyjnych mogą być objęci regulacjami łączącymi się z retencją logów systemowych i dostępem organów ścigania do komunikacji wewnątrz infrastruktury. Regulatorzy bankowi określają również wymogi i standardy dotyczące dowodów cyfrowych. Dobrym przykładem jest Monetary Authority of Singapore (MAS), który zapewnia szczegółowe standardy sektorowi bankowemu w obszarach takich jak bezpieczeństwo i reagowanie na incydenty (http://www.mas.gov.sg/regulations-and-financial-stability/regulatory-and-supervisory-framework/risk-management/technology-risk.aspx).
Wraz z ostatnim wzrostem liczby cyberataków na różne sektory (finanse, zdrowie itd.) organy regulacyjne mogą odgrywać większą rolę w kształtowaniu i określaniu standardów gromadzenia dowodów w przyszłości.
Zasady stosowane w tej książce
Ta książka koncentruje się na działaniach dochodzeniowo-śledczych, które łączą sektor prywatny i publiczny. Przykłady zaczynają się od uproszczonego pozyskiwania dowodowego. Kolejne kroki demonstrują dodatkowe funkcje i możliwości podczas procesu pozyskiwania. Obejmuje to zabezpieczanie dowodów za pomocą kryptograficznych funkcji skrótu i podpisu cyfrowego, rejestrowania, kwestie wydajności, obsługi błędów i zabezpieczania pozyskanego obrazu. Wyjaśniam również kilka technik tworzenia obrazów poprzez sieć, a także tematy specjalne, takie jak taśmy magnetyczne i systemy RAID.
Aby wykonać zabezpieczenie dowodowe, należy spełnić kilka warunków wstępnych:
- Zabezpieczany dysk jest podłączony i rozpoznawany przez jądro Linux.
- Blokowanie zapisu jest włączone.
- Zabezpieczany dysk został pozytywnie zidentyfikowany i udokumentowany.
- Możliwy jest pełny dostęp do urządzenia (zabezpieczenia HPA, DCO i ATA są wyłączone).
- Czas i przestrzeń dyskowa umożliwiają przeprowadzenie pozyskiwania obrazu.
Procesy pozyskiwania dowodowego i testowania narzędzi są dobrze udokumentowane przez środowisko informatyków śledczych, a niektóre z wymagań są konieczne do spełnienia. Użytecznym zasobem jest projekt CFTT stworzony przez NIST. Najważniejsze wymogi dotyczące oprogramowania tworzącego obrazy dowodowe, określone przez NIST, obejmują następujące punkty:
- Narzędzie powinno utworzyć duplikat strumienia bitów lub obraz oryginalnego dysku lub partycji.
- Narzędzie nie zmienia oryginalnego dysku.
- Narzędzie rejestruje błędy wejścia-wyjścia.
- Dokumentacja narzędzia jest poprawna.
Zasady te, opisane w artykule opublikowanym przez NIST[3], tworzą podstawę dla pozostałych części książki. Powstały one w celu zapewnienia integralności dowodów, a także by zapobiegać lub wykrywać ingerencje w materiał dowodowy.
Niektóre badania podważyły poglądy, że można uzyskać pełny obraz nośnika ze względu na ograniczenia interfejsu ATA wykorzystywanego do uzyskiwania dostępu do dysku fizycznego[4]. Teoretycznie kompletne pozyskanie obrazu obejmuje wszystkie sektory na dyskach magnetycznych i pamięć poniżej warstwy translacji flash dysków SSD i napędów flash. Obecnie zostało ono poszerzone o zablokowane urządzenia mobilne, których obrazów nie można uzyskać tradycyjnymi metodami dla urządzeń blokowych. Coraz trudniej jest otrzymać "pełne" zabezpieczenie obrazu całej, fizycznej przestrzeni danych urządzenia. W przypadku urządzeń mobilnych społeczność śledczych dokonała już rozróżnienia między fizycznym a logicznym zabezpieczeniem, przy czym to ostatnie odnosi się raczej do kopiowania plików i danych niż do tworzenia obrazu sektorów nośnika.
W przykładach omawianych w tej książce kompletność materiału dowodowego jest rozumiana jako pozyskiwanie obszarów dysku, do których można zdobyć niezawodny i powtarzalny dostęp za pomocą ogólnie stosowanego oprogramowania, wykorzystującego upublicznione specyfikacje interfejsów. Obszary dysków dostępne wyłącznie za pośrednictwem zastrzeżonych narzędzi firmowych, dostarczanych przez producentów nośników (diagnostyka wewnętrzna, narzędzia programistyczne itd.) lub przez demontaż sprzętu (wylutowywanie chipów, wymiana głowic, wyjmowanie talerzy dysku itp.), nie wchodzą w zakres tej książki.
To było krótkie wprowadzenie do dziedziny, jaką jest informatyka śledcza. Rozdział 1 jest kontynuacją wprowadzenia do technologii nośników danych i interfejsów używanych do przyłączania ich do hosta pozyskiwania.