08 September 2016

Brutal forensic - jak zrobić więcej i nie kompromitować dowodów w sprawie

Jednym z elementów procesu zabezpieczania cyber dowodów w sprawach, w których zachodzi podejrzenie przestępstwa, jest wyliczanie sum kontrolnych z nośników elektronicznej informacji. Jednokierunkowe funkcje skrótu (MD5, SHA lub inne) gwarantują, że dowód jest częścią prowadzonej sprawy i nie został zmodyfikowany w procesie sądowym. Jeśli w sprawie zostały zabezpieczone wyłącznie kopie binarne nośników, badający pracuje wyłącznie na kopi takiej kopi ;-)

Dane z dysków, na których zainstalowany był system operacyjny, w praktyce można wydobyć na dwa sposoby. Pierwszy to tradycyjne podejście z narzędziami typu X-Ways, IEF Magnet, FTK i duża grupa darmowego oprogramowania. Zasada działania tych programów jest podobna do silników antywirusowych, czyli zwykłe poszukiwanie sygnatur i nagłówków znanych typów. Są to bardzo przydatne narzędzia, ale działają na zasadzie kombajnu - orzą równo, bezmyślnie i pozostawiają sporo pytań. Ich zaletą jest to, że wykonują 90% pracy, a wadą cena licencji. IEF odnajduje internetowe tożsamości pośród terabajtów danych, eksportuje pliki eml, wiadomości komunikatorów i kilka innych przydatnych informacji. Takie programy idą na "pierwszy ogień" i często na tym biegły kończy pracę.
Co zrobić jeśli odnajdziemy tożsamość wśród danych i żadnych dowodów w postaci korespondencji ? Zachodzi podejrzenie, że nie posiadamy pełnych danych, bo zostały rozproszone w sieci. Korespondencja pocztowa na serwerach dostawców, dane bazodanowe w chmurze, to elementy istotne, których pozbawione heurystyki kombajny nie wskażą. Jeśli dysponujemy tylko kopią binarną i nie mamy zabezpieczonego sprzętu z pomocą przychodzi virtualizacja obrazów dysków, zapisanych jako pliki Exx. Tutaj jest szczegółowy opis w jaki sposób uruchomić przy pomocy VirtualBox'a system operacyjny będący materiałem dowodowym.
Dlaczego warto podjąć dodatkową pracę:
- biegłemu nie można zarzucić manipulowania materiałami dowodowymi, ponieważ przez cały czas wyliczony hash kopi binarnej pozostanie niezmienionym (pomimo uruchomienia systemu),
- jeśli w systemie zapisane są hasła do skrzynek pocztowych i danych zgromadzonych w chmurze to istnieje możliwość dołączenia ich do toczącego się postępowania,
- biegły ma możliwość rozpoznania oprogramowania działającego w systemie - chodzi głównie o specjalistyczne narzędzia np. CAD'y, oprogramowanie fakturujące, kompilatory projektów programistycznych oraz oprogramowanie szyfrujące.
Aby podjąć się takiej analizy dowodów musimy znać hasło do systemu - warunek konieczny ponieważ usuwanie haseł może wymagać zmian w obrazie kopi binarnej, a tego robić nie wolno bo wyliczona suma kontrolna ulegnie zmianie co skompromituje dowód.