Computer Forensics foredrag - Prosa
Computer Forensics foredrag - Prosa
Computer Forensics foredrag - Prosa
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Velkommen til<br />
<strong>Computer</strong> <strong>Forensics</strong> <strong>foredrag</strong><br />
Maj 2005<br />
Henrik Lund Kramshøj<br />
hlk@security6.net<br />
http://www.security6.net<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 1
Formålet med <strong>foredrag</strong>et<br />
Give en introduktion til emnet <strong>Computer</strong> <strong>Forensics</strong> værktøjer samt<br />
metoder<br />
Sætte deltagerne istand til at kunne gennemføre enkle undersøgelser<br />
af egne systemer<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 2
<strong>Computer</strong> <strong>Forensics</strong> <strong>foredrag</strong><br />
Emner der introduceres i <strong>foredrag</strong>et<br />
• Incident response<br />
• Incident handling<br />
• <strong>Computer</strong> forensics<br />
• Bevissikring<br />
• <strong>Forensics</strong> software<br />
• Data som bevismateriale<br />
• Brug af FRED<br />
• Brug af MD5 kryptografisk hash funktion<br />
• Logfiler og computer forensics<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 3
<strong>Computer</strong> <strong>Forensics</strong> kursus<br />
Emner der er med i kursusforløbet:<br />
• Hvordan opdages rootkits - UNIX og Windows<br />
• integritetscheckere AIDE og tripwire<br />
• Rootkits indflydelse på computer forensics<br />
• Eksempler på praktiske metodikker<br />
• Trin for trin undersøgelse<br />
• Bevissikring og dokumentation<br />
• recovering from root compromise, håndtering af hackede systemer<br />
• dd kommandoen - læsning af harddiske på laveste niveau<br />
• netcat og cryptcat<br />
• Videregående programmer og scripts<br />
• Filsystemer og computer forensics<br />
Selvom øvelserne foregår med UNIX så frygt ikke<br />
- det er minimalt hvad der reelt er UNIX<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 4
Hvis I har travlt og går før tid ;-)<br />
Autoclave - disk eraser<br />
Sletning af diske kan foretages med eksempelvis autoclave<br />
Den findes på følgende link:<br />
http://staff.washington.edu/jdlarios/autoclave/install<br />
html<br />
Jeg har lavet et CD image der kan skrives på en CD-R og bootes på<br />
nyere laptops - der sjældent har floppy drev<br />
http://www.digitalforbryder.dk/files/<br />
ad-hoc oprydning, formatering og sletning af filer<br />
giver ingen sikkerhed!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 5
Definition<br />
<strong>Computer</strong> <strong>Forensics</strong> involves the preservation, identification,<br />
extraction, documentation and interpretation<br />
of computer data.<br />
<strong>Computer</strong> <strong>Forensics</strong>: Incident Response Essentials, Warren G. Kruse II og<br />
Jay G. Heiser, Addison-Wesley, 2002<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 6
Incident response<br />
Hvad er en hændelse?<br />
• Min printer virker ikke og min maskine er langsom<br />
• Min pc rebooter hele tiden og snakker om RPC et eller andet<br />
• Vores UNIX system er løbet tør for plads - hvorfor det?<br />
Kan vi ikke bare lukke øjnene?<br />
• Driftstab - direkte eller afledte tab som følge af en hændelse<br />
• Udefrakommende krav - økonomisystemer, momsafregning,<br />
lønudbetaling, bod, service aftaler, persondata lovgivningen<br />
• Imagetab - troværdigheden er på spil<br />
• genoprettelse af forretningskritiske funktioner<br />
- typisk høj prioritet i kommercielle sammenhænge<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 7
Bevissikring - chain of custody<br />
Det er vigtigt at data der indsamles ikke ødelægges!<br />
Kan data bruges i en eventuel retssag?<br />
Hvad skal gemmes af information om data:<br />
• Hvem indsamlede data<br />
• Hvornår blev data indsamlet?<br />
• Hvor skete det?<br />
• Hvordan skete det?<br />
• Hvem opbevarede data og kopier efterfølgende? og hvor?<br />
Sørg for at harddiske og systemer efterfølgende opbevares i aflåst<br />
skab/rum<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 8
Fordele ved computer forensics<br />
Hvad giver computer forensics af fordele<br />
• Mulighed for at afgøre omfanget af et indbrud<br />
• Mulighed for at komme til bunds i sagerne<br />
• Mulighed for at opbevare data på betryggende måde<br />
• Opdage fejl i håndteringen af data og medier<br />
- procedurer til sletning af data underbygges med viden<br />
Det er et redskab til at få mere viden - og derfor kunne håndtere nuværende<br />
og fremtidige sager mere effektivt<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 9
<strong>Forensics</strong> Software<br />
<strong>Computer</strong> forensics er stadig et nyt emne for mange<br />
- TCT som beskrives senere er fra August 1999<br />
Der er mange værktøjer - closed/open source, kommercielle og gratis<br />
• Der er flere open source værktøjer til open source platformene - naturligvis<br />
• Der findes mange gode freeware til Windows<br />
<strong>Computer</strong> forensics er et hot emne<br />
computer forensics som søgeord på Amazon.com gav i oktober 2003<br />
ca. 34 hits og april 2004 7587 hits!<br />
- antallet af materialer og bøger stiger støt<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 10
Brug af F.I.R.E forensics cd-rom<br />
F.I.R.E er en cd-rom man kan bruge frit<br />
Den hentes som en ISO fil og brændes på cd-rom<br />
Den indeholder både Windows og Linux værktøjer<br />
Der er andre muligheder - og man kan nemt lave sin egen<br />
CD’en kan findes via:<br />
http://sourceforge.net/projects/biatchux/<br />
Selve indholdet er lidt bedaget, men der er en god samling af Windows værktøjer<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 11
Kommandoer til FIRE og netcat<br />
Hacket system<br />
IP adresse 192.168.0.2<br />
analyse system<br />
IP adresse 192.168.0.1<br />
boot fra CD<br />
Autopsy og TASK m.fl.<br />
netværk<br />
Disk<br />
image kopiering<br />
image<br />
filer<br />
• find harddisken og partionerne med fdisk programmet, eller se på /etc/fstab på UNIX<br />
• hacket system: dd if=/dev/hdd1 | nc 192.168.0.1 1234<br />
• analyse-server: nc -l 1234 > image.hdd1.dd<br />
• Hvilken boot CD? Auditor anbefales<br />
• http://www.remote-exploit.org - Auditor security collection<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 12
Data som bevismateriale<br />
Data er flygtige - nogle mere end andre!<br />
Hvordan sikrer man at data er autentiske?<br />
• Indsamling af data - uden at modificere<br />
• Validere data - uden at modificere<br />
• Analysere data - uden at modificere<br />
På engelsk de tre A’er indenfor computer forensics<br />
• Acquire - erhverve, indsamle, opsamle<br />
• Authenticate - autentificere data - er det samme som originalt indsamlet<br />
• Analyze - analyse af data<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 13
volatility - flygtige data<br />
Ordbogen siger om udtrykket: flygtighed, letbevægelighed<br />
De data vi vil analysere er flygtige:<br />
• data i hukommelsen programmer<br />
• data i hukommelsen moduler, drivere, trojanske heste, virus, ...<br />
• data på harddisken - mange filer ændres/overskrives ved næste boot<br />
Det er vigtigt at få information fra det kørende system<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 14
FRED<br />
First Responders Evidence Disk - FRED<br />
Udviklet af Air Force Office of Special Investigations<br />
<strong>Forensics</strong> værkøj som hurtigt indsamler vigtige data fra et kørende<br />
Windows system<br />
Afvikles automatisk - kan bruges uden særlig erfaring<br />
FRED indsamler og gemmer oplysningerne på et eksternt medie - en<br />
3.5” diskette<br />
Findes på F.I.R.E cd-rom under win32 kataloget<br />
Reference: http://www.csa.syr.edu/Jesse_Kornblum.pdf<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 15
MD5 message digest funktion<br />
HASH algoritmer giver en unik værdi baseret på input<br />
output fra algoritmerne kaldes også message digest<br />
MD5 er et eksempel på en meget brugt algoritme<br />
MD5 algoritmen har følgende egenskaber:<br />
• output er 128-bit ”fingerprint” uanset længden af input<br />
• output værdien ændres radikalt selv ved få ændringer i input<br />
MD5 er blandt andet beskrevet i RFC-1321:<br />
Digest Algorithm<br />
The MD5 Message-<br />
Algoritmen MD5 er baseret på MD4, begge udviklet af Ronald L.<br />
Rivest kendt fra blandt andet RSA Data Security, Inc<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 16
Registreringsdatabasen<br />
Windows systemer indeholder en database med information om systemet<br />
kaldet registreringsdatabasen<br />
Indholdet er blandt andet:<br />
• information om installerede programmer fra Microsoft og andre leverandører<br />
• information om drivere<br />
• information om services og andre programmer der skal startes ved genstart<br />
registreringsdatabasen og specielt “run-keys” er interessante<br />
Denne database er blot et eksempel på at det hjælper at vide hvad<br />
man leder efter! Der findes mange filformater, databaser og det er<br />
svært på forhånd at sige hvad der skal undersøges<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 17
Logfiler og computer forensics<br />
Logfiler er en nødvendighed for at have et transaktionsspor<br />
Logfiler er desuden nødvendige for at fejlfinde<br />
Det kan være relevant at sammenholde logfiler fra:<br />
• routere<br />
• firewalls<br />
• intrusion detection systemer<br />
• adgangskontrolsystemer<br />
• ...<br />
Husk - tiden er vigtig! Network Time Protocol (NTP) anbefales<br />
Husk at logfilerne typisk kan slettes af en angriber - hvis denne får<br />
kontrol med systemet!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 18
Andre typer computer forensics<br />
Netværks forensics - sniffere<br />
Afkodning af netværksdata<br />
Værktøjer der kan hjælpe<br />
• tcpdump - netværkssniffer<br />
• ethereal - grafisk netværkssniffer<br />
• Snort - intrusion detection system<br />
Ofte kan programmerne læse data fra filer som er opsamlet tidligere<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 19
kan gemme netværkspakker i filer<br />
kan læse netværkspakker fra filer<br />
tcpdump - filformat<br />
TCPDUMP format er blevet de facto standarden for opsamling af<br />
netværkstrafik<br />
[root@otto hlk]# tcpdump -i en0<br />
tcpdump: listening on en0<br />
13:29:39.947037 fe80::210:a7ff:fe0b:8a5c > ff02::1: icmp6: router advertisement<br />
13:29:40.442920 10.0.0.200.49165 > dns1.cybercity.dk.domain: 1189+[|domain]<br />
13:29:40.487150 dns1.cybercity.dk.domain > 10.0.0.200.49165: 1189 NXDomain*[|domain]<br />
13:29:40.514494 10.0.0.200.49165 > dns1.cybercity.dk.domain: 24765+[|domain]<br />
13:29:40.563788 dns1.cybercity.dk.domain > 10.0.0.200.49165: 24765 NXDomain*[|domain]<br />
13:29:40.602892 10.0.0.200.49165 > dns1.cybercity.dk.domain: 36485+[|domain]<br />
13:29:40.648288 dns1.cybercity.dk.domain > 10.0.0.200.49165: 36485 NXDomain*[|domain]<br />
13:29:40.650596 10.0.0.200.49165 > dns1.cybercity.dk.domain: 4101+[|domain]<br />
13:29:40.694868 dns1.cybercity.dk.domain > 10.0.0.200.49165: 4101 NXDomain*[|domain]<br />
13:29:40.805160 10.0.0.200 > mail: icmp: echo request<br />
13:29:40.805670 mail > 10.0.0.200: icmp: echo reply<br />
...<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 20
TCT<br />
The Coroner’s Toolkit (TCT) is a collection of tools that<br />
are either oriented towards gathering or analyzing forensic<br />
data on a Unix system.<br />
Frigivet August 1999<br />
Lavet af Dan Farmer og Wietse Venema, som er kendt for SATAN og<br />
flere andre sikkerhedsrelaterede værktøjer<br />
http://www.fish.com/forensics/<br />
Reklame: Postfix postserveren som er lavet af Wietse er genial - den<br />
kan hentes på http://www.postfix.org/<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 21
TASK og Autopsy<br />
Inspireret af TCT har Brian Carrier fra Atstake lavet flere værktøjer til<br />
forensics analyse<br />
http://www.atstake.com/research/tools/forensic/<br />
Det officielle hjem for TASK og autopsy er nu: www.sleuthkit.org<br />
TASK kan betragtes som en erstatning for TCT<br />
Autopsy er en Forensic Browser - et interface til TASK<br />
TASK og Autopsy opdateres løbende!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 22
Forbindelser til autopsy<br />
Når I starter autopsy vil den vise en URL adresse, eksempelvis:<br />
Evidence Locker: /home/hlk/cases/<br />
Start Time: Mon Jun 23 14:16:21 2003<br />
Paste this as your browser URL on 10.0.0.11:<br />
http://hostnavn:1234/7879597763383878986/autopsy<br />
Husk at fordi systemet tror den hedder hostnavn, kan det være at jeres<br />
klient og browser IKKE kender dette navn.<br />
I skal derfor måske skrive IP-adressen:<br />
http://10.2.3.4:1234/7879597763383878986/autopsy<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 23
Add image i autopsy<br />
• Når I tilføjer image filerne til autopsy skal I som minimum angive:<br />
• placeringen af filen, typen af filsystemet og det oprindelige mount point<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 24
Analyse første skridt - create datafile<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 25
Analyse - create timeline<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 26
Hvorfor er tiden så vigtig<br />
tid<br />
portscan exploit defacement<br />
Hvorfor er det vigtigt med en tidslinie?<br />
Man vil gerne kunne sammenligne logfiler fra forskellige systemer<br />
Hvis man skal spore en angriber er tiden en vigtig faktor - for at kunne<br />
den der initierede en kontakt, udførte en handling<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 27
Analyse: File analysis<br />
• Gennem file analysis kan man bladre i filsystemerne<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 28
Encase<br />
Kommercielt værktøj<br />
Bruges blandt andet af politiet i Danmark<br />
Information fra deres produktbeskrivelse<br />
• platforme: Windows 95/98/NT/2000/XP/2003 Server, Linux, Unix, BSD, DOS, PALM OS, Macintosh<br />
• filsystemer: NTFS, FAT 12/16/32, EXT 2/3, UFS, FFS, Reiser, CDFS, UDF, JOLIET, ISO9660,<br />
HFS, HFST<br />
Jeg har ikke yderligere erfaring med det end fra demo CD:<br />
MSRP: Corporate: $2,495.00<br />
Government/Education: $1,995.00<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 29
Hændelseshåndtering - metode<br />
Hvordan håndterer man en sikkerhedshændelse effektivt?<br />
incident handling<br />
Forberedelse er det vigtigt - mere effektivt og billigere<br />
Regler for brugen af it-systemer - sikkerhedspolitik<br />
En metode til håndtering anbefales:<br />
• preparation - forberedelse<br />
• detection - opdagelse<br />
• containment - indelukke, begrænse<br />
• eradication - udrydde og fjerne<br />
• recovery - reetablere driften<br />
• follow-up - opfølgning<br />
Kilde: Denne metode er fra Incident Response, E. Eugene Schultz og Russel<br />
Shumway, New Riders, 2002<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 30
Incident response plan<br />
Et værn mod trusler<br />
Lav en plan på forhånd<br />
Kontaktinformationer for nøglepersoner - husk andet end mobiltelefon<br />
eller e-mail<br />
Forberedelse er nøgleordet<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 31
En procedure til incident response<br />
hold fingrene væk!<br />
Alt hvad man gør ved systemet kan ødelægge eventuelle beviser<br />
man ved sjældent hvad man er ude for af en hændelse<br />
Ledelsen skal være med!<br />
• Ledelsen er ansvarlige for virksomhedens sikkerhed<br />
• En hændelse kan hurtigt eskalere<br />
• sørg for at de rigtige tager beslutningerne<br />
Vær fascist!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 32
Ligegyldighed<br />
- er hurtigst kræver ingen erfaring<br />
Henter backup ind<br />
- kræver ikke meget erfaring<br />
Hændelse - reaktion<br />
Undersøger nøjere hvad der er sket<br />
- kræver nogle færdigheder og mere tid<br />
Analyserer alle data til bunds<br />
- kræver meget erfaring og mange ressourcer<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 33
Forebyggelse - erfaringer<br />
De fleste glemmer i kampens hede at man skal lære af sine fejl!<br />
Tager man notater når cheferne står på ryggen af en med et produktionssystem<br />
der er nede?<br />
Hvorfor ikke?<br />
Burde man ikke gøre det?<br />
Hvordan laver man en ærlig redegørelse<br />
- uden selv at komme i fedtefadet?<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 34
Hændelse - metodik<br />
Ved at have en fast metode undgår man meget panik<br />
- man har tænkt over situationerne på forhånd<br />
Dog kan man ikke tage højde for alle forhold<br />
Så der skal være plads til kreativitet og initiativ<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 35
Integritetscheckere<br />
MD5 summer kan beregnes på en fil<br />
Hvis filen ændres medfører det en radikal ændring i MD5 summen<br />
Der er specialiserede programmer som checker filer for ændringer<br />
Nogle eksempler på integritetscheckere er:<br />
• AIDE - Linux integritetschecker<br />
• mtree - BSD integritetschecker<br />
• tripwire - kommercielt program, oprindeligt frit/Open Source<br />
• tcbck - AIX Trusted Computing Base check<br />
En integritetschecker kan sikre at filer er uændrede - under forudsætning<br />
af at databasen med signaturer, programmet og de funktionskald<br />
der bruges ikke er kompromitteret<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 36
Er systemet slukket eller tændt?<br />
Trin for trin undersøgelse<br />
Check tiden på systemet - BIOS tiden<br />
- alle tider afhænger af denne!<br />
Hvis systemet er slukket så start det aldrig op på operativsystemet fra<br />
harddisken - det modificerer tidsstempler på mange filer, og risikerer<br />
at overskrive vitale data på harddisken<br />
Hvis systemet er tændt bør det overvejes nøje hvad man vil<br />
• skal det slukkes øjeblikkeligt<br />
• skal det kobles af netværket øjeblikkeligt<br />
• skal det lukkes pænt ned eller med den store røde knap?<br />
Det rigtige svar vil afhænge af situationen - og de informationer I skal<br />
bruge til at afgøre dette er først tilgængelige senere ...<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 37
Bevissikring og dokumentation<br />
Disk<br />
Sørg hele tiden for at have gode notater<br />
Det vil være godt med en notesbog - der holder alle notater samlet<br />
Eksempelvis en lille kinabog<br />
Notaterne skal beskrive hvad du gør fra du ankommer på stedet<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 38
Recovering from root compromise<br />
Håndtering af hackede systemer udføres ofte amatøragtigt<br />
Man ser eksempler på hjemmesider som er oppe igen på mindre end<br />
en time - og bliver defacet gentagne gange<br />
Det er nødvendigt at foretage en ordentlig oprydning - der måske involverer<br />
indlæsning af backup eller geninstallation af operativsystem<br />
Der findes et antal gode ressourcer, eksempelvis CERT guides<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 39
Recovering from an Incident<br />
På CERT website kan man finde mange gode ressourcer omkring<br />
sikkerhed og hvad man skal gøre med kompromiterede servere<br />
Eksempelvis listen over dokumenter fra adressen:<br />
http://www.cert.org/nav/recovering.html:<br />
• The Intruder Detection Checklist<br />
• Windows NT Intruder Detection Checklist<br />
• The UNIX Configuration Guidelines<br />
• Windows NT Configuration Guidelines<br />
• The List of Security Tools<br />
• Windows NT Security and Configuration Resources<br />
Ved at følge en sådan fremgangsmåde får man tryghed<br />
ad-hoc oprydning giver ingen sikkerhed!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 40
”I only replaced index.html”<br />
Det ses ofte på hjemmeside defacements - hackere påstår de kun har<br />
udskiftet hovedsiden<br />
Hvad skal man gøre når man bliver hacket ?<br />
du kan ikke have tillid til noget<br />
Hvad koster et indbrud ?<br />
• Tid - antal personer der ikke kan arbejde<br />
• Penge - oprydning, eksterne konsulenter<br />
• Bøvl - sker altid på det værst tænkelige tidspunkt<br />
• Besvær - ALT skal gennemrodes<br />
Kilder:<br />
http://packetstormsecurity.nl/docs/hack/i.only.replace<br />
index.html.txt<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 41
Hvordan slettes data<br />
Filsystemer skal være hurtige - skal ikke lave unødvendige operationer<br />
En harddisk er en fysisk disk med en arm der skal bevæges og et<br />
læse/skrivehoved som skal tændes og slukkes<br />
Hvis man kan undgå at skulle skrive over hele filen ved sletning er det<br />
hurtigere<br />
De fleste operativsystemer sletter derfor kun metadata og overskriver<br />
derfor ikke alle datablokke for filer<br />
Eksempel DOS FAT<br />
• Når man slettede en fil på MS-DOS fjernede man reelt kun det første bogstav i filnavnet<br />
• undelete bestod i at skrive det første bogstav i filnavnet - og håbe på at alle datablokke der<br />
hørte til filen stadig var at finde på disken<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 42
Hvorfor er data blevet slettet<br />
Er det et uheld<br />
... eller med vilje<br />
Vigtigere: er de blevet overskrevet?<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 43
Skjulte data<br />
Data kan markeres som skjulte i operativsystemet<br />
• Windows viser ikke som default hidden files<br />
• UNIX viser typisk ikke filer der starter med punktum<br />
Data kan lægges i filsystemet under specielle navne<br />
På UNIX systemer var det populært at hackere brugte control-tegn i<br />
filnavne<br />
NTFS alternate data streams<br />
HFS ressource fork og data fork<br />
det betyder at man skal være på vagt når man vil kopiere filer mellem<br />
systemer - hente information ud fra kompromitterede systemer<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 44
Steganografi<br />
Emnet hedder generelt steganografi<br />
Det diskuteres jævnligt om terrorister sender beskeder ved hjælp af<br />
offentlige websites og steganografi<br />
Billedet ovenfor indeholder DeCSS - DVD descrambler koden<br />
Se eventuelt Hiding Crimes in Cyberspace af Dorothy E. Denning and<br />
William E. Baugh, Jr.<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 45
Guttman paper - analyse af diske<br />
Secure Deletion of Data from Magnetic and Solid-State Memory Peter<br />
Gutmann, 1996<br />
Det er et klassisk paper om sletning af data som man bør læse<br />
http://www.cs.auckland.ac.nz/˜pgut001/pubs/secure_del.<br />
html<br />
Der findes mange kommercielle værktøjer til sletning og en del Open<br />
Source - baseret på Guttman’s dokument<br />
Autoclave er efter min mening et af de bedste<br />
http://staff.washington.edu/jdlarios/autoclave/<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 46
Darik’s Boot and Nuke<br />
• Autoclave forfatteren henviser selv til DBAN<br />
• følgende 4 punkter beskriver DBAN på hjemmesiden:<br />
• Free.<br />
• Fast. Rapid deployment in emergency situations.<br />
• Easy. Start the computer with DBAN and press the ENTER key.<br />
• Safe. Irrecoverable data destruction. Prevents most forensic data recovery techniques.<br />
http://dban.sourceforge.net/<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 47
dd kommandoen<br />
dd kommandoen i UNIX læser og skriver fra raw devices<br />
den basale syntaks:<br />
• if - input file<br />
• of - output file<br />
• bs blocksize<br />
• count - antal blokke der skal læses/skrives<br />
• skip - skip et antal blokke<br />
Eksempel - læs 5 blokke a 1MB fra /dev/zero<br />
dd if=/dev/zero of=/tmp/nulfil bs=1m count=5<br />
5+0 records in<br />
5+0 records out<br />
5242880 bytes transferred in 0.221153 secs (23707037 bytes/sec)<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 48
netcat og cryptcat<br />
netcat (nc) er en Schweitzerkniv indenfor netværk<br />
netcat er lavet af *Hobbit* hobbit@avian.org<br />
Den kan sende traffik ud og den kan lytte på en port - TCP eller UDP<br />
En simpel bagdør nc -v -l -p 1234 -e /bin/sh<br />
(skal være kompileret ind med -DGAPING SECURITY HOLE)<br />
Netcat er meget nyttigt til at sende data over netværk - generelt<br />
cryptcat = netcat + encryption - men bruges på samme måde<br />
der findes også netcat versioner der giver MD5 sum og lignende<br />
Machine A: cryptcat -l -p 1234 < testfile<br />
Machine B: cryptcat 1234<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 49
Potentielle problemer<br />
Uerfarne folk vil kigge rundt i systemerne<br />
- og dermed ændre på data<br />
Uerfarne folk vil prøve at rydde op<br />
Gode råd:<br />
• Vær der så hurtigt som muligt - tiden er vigtig<br />
• Du skal være fascist!<br />
• Du skal udstede klare retningslinier som skal følges<br />
• Forvent at andre vil ødelægge mulighederne for at forfølge og undersøge sagerne<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 50
Case: Hvad kan man komme ud for<br />
Andre tænder for det kompromitterede system<br />
Case:<br />
En webserver har været hacket med unicode.<br />
Vi kommer til stedet snakker med IT-chefen<br />
Det kompromitterede system er slukket og låst inde i kælderen<br />
11:37 Vi får at vide at systemet har<br />
1) været bootet<br />
2) har været forbundet til det interne netværk<br />
Hvad nu hvis der havde været en virus eller orm på systemet?<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 51
Project Honeynet Forensic Challenge<br />
Image filerne fra challenge er tilgængelig på nettet, og på serveren<br />
De kommer fra et hacket system - en honeypot<br />
hackeren var inde på systemet i ca. 30 minutter<br />
/dev/hda8 /<br />
/dev/hda1 /boot<br />
/dev/hda6 /home<br />
/dev/hda5 /usr<br />
/dev/hda7 /var<br />
/dev/hda9 swap<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 52
Hvad skal man bruge til et incident<br />
Disk<br />
Huskeseddel over brugbare effekter til opgaver<br />
• Notesbog! yderst vigtig - hav samling på dine notater<br />
• USB diske/nøgleringe - 32MB/64MB/... hvad du har - er hurtigere end disketter<br />
• Disketter - tomme og formaterede - til FRED og maskiner uden USB<br />
• CD-R og eventuelt CD-RW medier<br />
• <strong>Forensics</strong> CD eller andre tools<br />
• Laptop til at arbejde på - rapportskrivning, browser til autopsy, e-mail osv.<br />
• Eventuelt eksterne harddiske eller laptops til opsamling af images<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 53
Informationssikkerhed<br />
Husk følgende:<br />
Sikkerhed kommer fra langsigtede intiativer<br />
Hvad er informationssikkerhed?<br />
Data på elektronisk form<br />
Data på fysisk form<br />
Social engineering - The Art of Deception: Controlling the Human Element<br />
of Security af Kevin D. Mitnick, William L. Simon, Steve Wozniak<br />
<strong>Computer</strong> <strong>Forensics</strong> er reaktion på en hændelse<br />
Informationssikkerhed er en proces<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 54
Confidentiality Integrity Availability<br />
Husk altid de fundamentale principper indenfor sikkerhed<br />
fortrolighed<br />
integritet<br />
tilgængelighed<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 55
Spørgsmål?<br />
Henrik Lund Kramshøj<br />
hlk@security6.net<br />
http://www.security6.net<br />
I er altid velkomne til at sende spørgsmål på e-mail<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 56
Reklamer: kursusafholdelse<br />
Security6.net afholder følgende kurser med mig som underviser<br />
• IPv6 workshop - 1 dag<br />
Introduktion til Internetprotokollerne og forberedelse til implementering i egne netværk. Internetprotokollerne<br />
har eksisteret i omkring 20 år, og der er kommet en ny version kaldet version<br />
6 af disse - IPv6.<br />
• Wireless teknologier og sikkerhed workshop - 2 dage<br />
Typisk en dag med fokus på netværksdesign og fornuftig implementation af trådløse netværk<br />
og integration med eksempelvis hjemmepc og wirksomhedens netværk. Kan med fordel<br />
afholdes over to dage.<br />
• Hacker workshop - 2 dage<br />
Workshop med detaljeret gennemgang af hackermetoderne angreb over netværk, exploitprogrammer,<br />
portscanning, Nessus m.fl.<br />
• <strong>Forensics</strong> workshop - 2 dage<br />
Med fokus på tilgængelige open source værktøjer gennemgås metoder og praksis af undersøgelse<br />
af diskimages og spor på computer systemer<br />
• Moderne Firewalls og Internetsikkerhed - 2 dage<br />
Informere om trusler og aktivitet på Internet, samt give et bud på hvorledes en avanceret<br />
moderne firewall idag kunne konfigureres.<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 57
Forensic Discovery<br />
• Forensic Discovery af Dan Farmer, Wietse Venema Addison Wesley Professional (31. december,<br />
2004)<br />
• ISBN: 020163497X<br />
• NB: ”kun” 217 sider - men hvilke sider!!<br />
• en af de bedste UNIX bøger jeg nogensinde har læst<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 58
File System Forensic Analysis<br />
• File System Forensic Analysis af Brian Carrier Addison-Wesley Professional, 17.<br />
2005)<br />
marts,<br />
• ISBN: 0321268172<br />
• 600 sider om forensics og filsystemer!<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 59
Hackers Challenge<br />
Hacker’s Challenge : Test Your Incident Response Skills Using 20<br />
Scenarios af Mike Schiffman McGraw-Hill Osborne Media, 2001<br />
ISBN: 0072193840<br />
Hacker’s Challenge II : Test Your Network Security and <strong>Forensics</strong><br />
Skills af Mike Schiffman McGraw-Hill Osborne Media, 2003 ISBN:<br />
0072226307<br />
Bøgerne indeholder scenarier i første halvdel, og løsninger i anden<br />
halvdel - med fokus på relevante logfiler og sårbarheder<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 60
Hackerværktøjer<br />
• nmap - http://www.insecure.org portscanner<br />
• Nessus - http://www.nessus.org automatiseret testværktøj<br />
• l0phtcrack - http://www.atstake.com/research/lc/ - The Password Auditing and Recovery<br />
Application, kig også på Cain og Abel fra http://oxid.it hvis det skal være gratis<br />
• Ethereal - http://www.ethereal.com avanceret netværkssniffer<br />
• OpenBSD - http://www.openbsd.org operativsystem med fokus på sikkerhed<br />
• http://www.isecom.org/ - Open Source Security Testing Methodology Manual - gennemgang<br />
af elementer der bør indgå i en struktureret te st<br />
• Putty - http://www.chiark.greenend.org.uk/˜sgtatham/putty/download.html<br />
terminal emulator med indbygget SSH<br />
http://www.remote-exploit.org - Auditor security collection - en boot<br />
CD med hackerværktøjer<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 61
Referencer<br />
Anbefalede bøger:<br />
• <strong>Computer</strong> <strong>Forensics</strong>: Incident Response Essentials, Warren G. Kruse II og Jay G. Heiser,<br />
Addison-Wesley, 2002.<br />
• Incident Response, E. Eugene Schultz og Russel Shumway, New Riders, 2002<br />
• CISSP All-in-One Certification Exam Guide, Shon Harris McGraw-Hill/Osborne, 2002<br />
• Network Intrusion Detection, Stephen Northcutt og Judy Novak, New Riders, 2nd edition,<br />
2001<br />
• Intrusion Signatures and Analysis, Stephen Northcutt et al, New Riders, 2001<br />
• Practical UNIX and Internet Security, Simson Garfinkel og Gene Spafford, 2nd edition<br />
• Firewalls and Internet Security, Cheswick, Bellovin og Rubin, Addison-Wesley, 2nd edition,<br />
2003<br />
• Hacking Exposed, Scambray et al, 4th edition, Osborne, 2003 - tror der er en nyere<br />
• Building Open Source Network Security Tools, Mike D. Schiffman, Wiley 2003<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 62
Referencer<br />
Internet<br />
• http://www.cybersnitch.net/tucofs/tucofs.asp The Ultimate Collection of<br />
Forensic Software<br />
• http://www.project.honeynet.org - diverse honeynet projekter information om<br />
pakker og IP netværk. Har flere forensics challenges hvor man kan hente images og foretage<br />
sin egen analyse<br />
Mailinglists<br />
• TCT-users, autopsy, TASK - de fleste producenter og væktøjer har mailinglister<br />
Papers - der findes MANGE dokumenter på Internet<br />
• Security Problems in the TCP/IP Protocol Suite, S.M. Bellovin, 1989<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 63
CISSP fra ISC2<br />
Primære website: http://www.isc2.org<br />
Vigtigt link http://www.cccure.org/<br />
Den kræver mindst 3 års erfaring indenfor relevant emne<br />
Multiple choice 6 timer 250 spørgsmål - kan tages i Danmark<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 64
GIAC GSEC krav<br />
Security Essentials - basal sikkerhed<br />
Krav om en Practical assignment - mindst 8 sider, 15 gns<br />
multiple choice eksamen<br />
Primære website: http://www.giac.org<br />
Reading room: http://www.sans.org/rr/<br />
Der findes en god oversigt i filen<br />
GIAC Certification: Objectives and Curriculum<br />
http://www.giac.org/GIAC_Cert_Brief.pdf<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 65