“Every contact leaves a trace”

Dr. Edmond Locard (13 December 1877 – 4 April 1966)

  Forensic Analysis of Video Formats

23. i 24.10.2013. godine u Beogradu je održan seminar iz područja IT forenzike. Ukupna ocjena seminara je 4,7 na skali od 1-5.

Komponente ocjene su sljedeće:

Koliko ste zadovoljni jasnoćom komunikacije s predavačem? – 4.9
Koliko ste zadovoljni jasnoćom izlaganja? – 4.4
Koliko ste zadovoljni odnosom zastupljenosti teorijskih i praktičnih koncepata? – 4.1
Koliko ste zadovoljni poštivanjem dogovorenog vremenskog rasporeda izlaganja od strane predavača? – 5.0
Koliko ste zadovoljni prostorom i opremom seminara? – 4.7

Svi polaznici mogu prikazanu prezentaciju preuzeti sa ovog linka, a šifru za pristup mogu dobiti email upitom na: sasa dot aksentijevic at gmail dot com.

Časopis Business.hr – interview Saša Aksentijević – May 2010 – ICT forensics – ICT forenzika

Naslov je jasan – Windows registry je nepresušno vrelo informacija sudskome vještaku. U originalu se prenosi dokument čiji je autor Lih Wern Wong iz School of Computer and Information Science, Edith Cowan University.

Forenzika Windows registryja

Tema mjeseca slovenskog časopisa posvećenog informacijskoj sigurnosti je “endpoint security”. U okviru toga, u broju od ožujka 2010. godine objavljen je članak pod naslovom “What to do in case of security breaches and how to prevent them” – nažalost, došlo je do pogreške u pripremi teksta je je naslov greškom tiskan kao “What to do in case of security breach and how to prevent them”.

Članak Varnostni Forum ožujak 2010. – sudski vještak informatike i telekomunikacija Saša Aksentijević

U veljači 2009 godine objavljen je na ovim stranicama članak pod nazivom “Sudski priznati forenzički program“.

Ovih dana u medijima su se pojavili članci koji govore o tome kako ovaj ili onaj računalni program nije “profesionalni forenzički program”, pa stoga dokazi pribavljeni istim nose sa sobom sumnju u njhovu ispravnost.

Uz dužno poštovanje prema temeljnim principima računalne (i svake druge) forenzike, a osobito prema principima dokumentiranosti lanca posjedovanja dokaznog materijala i nepromjenjivosti dokaza, mislim da je ovo pravo mjesto da se još jednom istakne činjenica kako ne postoje “profesionalni” i “neprofesionalni” računalni programi za forenziku, postoje samo metode koje sudski vještaci koriste i one koje ne bi trebali koristiti jer mogu kompromitirati dokaze a samim time i aplikacije koje mogu biti podesne ili nepodesne za forenzičku uporabu što nema nikakve veze s cijenom ili “komercijalnošću” programa koji se koriste.

Svi sudski vještaci informatike jako dobro znaju kako su među najjačim i najkorisnijim forenzičkim alatima neki koji su nekomercijalni i svaki sud će prihvatiti dokaze pribavljene na taj način ukoliko se može pokazati njihova ispravnost i ako se mogu reproducirati koristeći znanstvene metode i empirijski pristup. Priča o komercijalnim programima kao jedinim koji se mogu koristiti na sudu plasira se najčešće od strane nekih zastupnika tvrtki koje proizvode te programe a koje uglavnom nemaju zaposlenog niti jednog vještaka informatike (i/ili) telekomunikacija koji bi u praksi izradio poneko vještačenje na sudu.

Stoga, još jednom podsjećam na članak iz veljače 2009. godine.

Microsoft Windows 7 u sebi donosi neke posve nove tehnologije koje predstavljaju izazov forenzičkoj analizi i posljedičnim vještačenjima. Detaljnije o tome u sljedećem tekstu.

First Look at the Windows 7 Forensics

U broju od studenog 2009. u slovenskom mjesečnom časopisu “Varnostni forum” posvećenom informacijskoj sigurnosti objavljen je intervju (stranice 16-18).  Intervju je na engleskom jeziku te je posvećen vještačenjima odnosno računalnoj forenzici. Na reviju se možete pretplatiti putem Internet stranica Varnostnog foruma a intervju možete preuzeti klikom na sliku ispod, ili u sekciji s desne strane pod “Radovi”.

Odgovor na sigurnosne incidente u tehničkom smislu je zahtjevna aktivnost, no u svojoj osnovi se oslanja na iskustvo, tehničko znanje i imaginaciju tehničkog osoblja zaduženog za pojedine funkcije unutar korporacije. Najvećim dijelom tehnička reakcija na sigurnosne incidente je problematična aktivnost jer je vremenski ograničena na čim kraći rok – kako bi se sačuvali dokazi, spriječila dodatna šteta po informacijske sustave i djelatnost organizacije, odgovor na sigurnosni incident mora biti čim brži, ali i u skladu sa zakonskim propisima odnosno principom očuvanja dokaza.

U ovoj interesantnoj knjizi su na granularni način izložene konkretne tehničke aktivnosti koje se provode kako bi se osigurala adekvatna reakcija na sigurnosne incidente.

Incident Response – Computer Forensics Toolkit

No, čak i kada je tehnički odgovor na sigurnosne incidente adekvatan, odnosno ukoliko je on možda bio automatski, koristeći već preinstalirana hardverska i softverska rješenja, u kompleksnim organizacijama potpunost odgovora na incidente često se oslanja na onu komponentu organizacije koja je najviše podložna voluntarizmu a to je organizacijska komponenta. Odluka o posljedicama sigurnosnog incidenta najčešće je na upravi organizacije ili službi za ljudske resurse a ako te procedure nisu jasno određene, moguće je da prijetnja koja je rezultirala incidentom i dalje ostane ugrađena u sustav, odnosno da osim tehničke nema i organizacijske reakcije na incident.

Širenjem i integracijom uređaja potrošačke elektronike zadnjih godina pojavila se i forenzika GSM uređaja. GSM uređaji imaju procesor, memoriju i vrlo često u sebi sadrže podatke o rutama i lokacijama na kojima se GSM uređaj nalazio što može biti dodatni pokazatelj u dokazivanju u nekom slučaju s kriminalnom pozadinom.

U zadnjih nekoliko godina pojavili su se i vrlo jeftini uređaji za ometanje GSM signala koji u potpunosti mogu obezvrijediti klasične kombinirane uređaje koji koriste GPS i podatkovnu vezu (GPRS/UMTS/HSDPA) koji se koriste  za osiguravanje praćenih vozila (skupocjeni automobili, vozila koja prevoze vrijedne pošiljke ili novac). Ometači GSM i GPS signala mogu se kupiti već za 60 do 90 US$!

Smatra se da je sljedeći korak koji će vjerojatno poduzeti pripadnici kriminalnog miljea GPS spoofing. U potencijalnom scenariju tako bi bilo moguće oteti vozilo koje je praćeno preko GPSa a koje prevozi npr. novac, lažirati signal i nastaviti ga emitirati preko podatkovne veze dok je vozilo u biti oteto i prepraćeno na posve drugu lokaciju.

GPS spoofing - sudski vještak informatike i telekomunikacija Saša Aksentijević

Testovi provedeni u Velikoj Britaniji pokazuju kako postoje na crnom tržištu uređaji snage 2 W koji su sposobni ovisno o konfiguraciji terena ometati propagaciju GPS signala u radijusu do 30 km i koji vrlo dobro obavljaju svoju zadaću.

Protumjera za ovakve sustave je uglavnom korištenje zemaljskih lokacijskih sustava koji imaju funkciju zamjenskih lokacijskih sustava i koji su se počeli razvijati nakon Drugog svjetskog rata a koji su upravo zbog relativno lakog ometanja GPS signala ponovo dobili na važnosti. Takav sustav je npr. eLoran.  Oni su ipak nešto manje osjetljivi na ometanje ovog tipa no daleko su od komercijalne uporabljivosti u gotovo svim uvjetima i na svim lokacijama što je značajka GPS sustava.

Ovih dana aktualni su u medijima DoS napadi.

Ostavimo na stranu konkretan slučaj, moguće motive i počinitelje, pa čak i način na koji je konkretno napad učinjen. Orijentirajmo se na komentar što bi točno trebalo učiniti kod prevencije DoS napada te kod oporavka od istoga. Naime, kod ovakve vrste prijetnji, koje bi trebale biti obuhvaćene općom implementacijom ISMS-a, najvažnije je proaktivno ponašanje. Reaktivna (povratna) reakcija svodi se na uspostavljanje ugroženih mrežnih servisa, sanaciju eventualno počinjene štete i naposlijetku, eventualno, otkrivanje počinitelja.

Pet je temeljnih mjera koje je potrebno poduzeti kako bi se unaprijed smanjila mogućnost uspješnih DoS napada, odnosno smanjio njihov utjecaj na mrežne i aplikativne sustave:

• Procedure konfiguriranja i nabave mrežne opreme (firewalli, routeri, switchevi) moraju biti u skladu s temeljnim ciljevima politika osiguranja mrežne sigurnosti, odnosno u ovom slučaju dostupnosti (u okviru klasične C-I-A trijade, izbjegavanje DoS napada je klasična razrada “Availability” vrha trokuta – u zadnje vrijeme postoje i tzv. permanent DoS napadi, kod kojega hackeri postižu kontrolu nad hardverskim komponentama i flashaju sustave programima blokirajući permanentno njihov rad, čime se ne ugrožava samo raspoloživost sustava nego i njihov integritet – “I” vrh trokuta)

• Hardverski sustavi za prevenciju uskraćivanja usluge – radi se o samostalnim hardverskim komponentama (“appliances”) koje se instaliraju u mreži prije samog aplikacijskog servera koji se štiti a mogu podržavati i zajednički način rada sa mrežnom opremom. Postoji čitav niz ponuđača ovakvih uređaja od kojih svaki ima svoje mane i prednosti a zajedničko im je da posjeduju postavljanje i određivanje prioriteta u mrežnom prometu, mogućnost hardverske akceleracije prometa te inteligentne (proaktivne) analize prometa u potrazi za sumnjivim obrascima. Ovisno o mogućnosti regulacije prometa, brzini rada te implementiranim algoritmima cijena ovakvih sustava najčešće u osnovnoj konfiguraciji kreće od 15.000 EUR nadalje, uvećano za godišnje održavanje (u pravilu oko 20 % nabavne cijene)  pa je njihova cijena najčešći razlog zašto se svjesno ne primjenjuju u zaštiti mrežnih sustava

• Sustavi za prevenciju upada (intrusion prevention systems), hardverski ili softverski, u slučaju DoS napada mogu biti efikasni ukoliko se radi o napadima koji imaju tipični obrazac odvijanja uz koji se može povezati određeni “digitalni potpis”. IPS sustavi tipično funkcioniraju slično sustavima antivirusne zaštite, tako da se od strane pružatelja zaštitnih usluga koji održava bazu “digitalnih otisaka” napada primjenjuju najnovije definicije koje zatim hardversko ili softversko rješenje koristi u analizi mrežnog prometa tragajući za tipičnim obrascima ponašanja. IPS sustavi moraju imati jaku procesorsku snagu jer moraju biti sposobni odvojiti legitimni promet od onoga koji je dio DoS napada, moraju vršiti online analizu sadržaja mrežnog prometa. Glavni ograničavajući čimbenik je taj što većina DoS napada koristi legitimne oblike prometa koji zbog svog volumena postižu maliciozne ciljeve.

• Jasno dokumentirane procedure implementacije ISMSa, a unutar njih, razrada postupaka i kontingencijskih procedura vezano uz IP adrese, komunikacijske kanale i serverske resurse te oporavak od katastrofe i kontinuitet obavljanja temeljne djelatnosti i pružanje usluga; vezano uz to jasni SLA ugovori

• Ugovori sa specijaliziranim konzultantskim kućama koje se bave tzv. odgovorom na napad. Takve kuće tipično pružaju specijalizirane usluge kriznog rukovođenja incidentom na tehničkom nivou, odnosno visoko su specijalizirane pri zaustavljanju napada, otklanjanju štetne radnje koja blokira pružanje mrežnih usluga i oporavak usluge na početne razine.Pritom je važno reći kako u Republici Hrvatskoj ne postoji niti jedna tvrtka koja bi se ekskluzivno bavila samo ovom djelatnošću – tržište ovakve usluge čiji korisnici su isključivo osviješteni korporativni korisnici je jednostavno previše malo da bi si tvrtke dozvolile specijalizaciju ove vrste. Stoga neka poduzeća nude odgovor na incidente u svojoj ponudi, no radi se o vrlo dinamičnoj grani tehničke informacijske sigurnosti i ostavlja se klijentima procjena validiteta takvih ugovora i ponuđenih usluga pošto nije jednostavno dobiti komercijalnu ponudu a još je teže obaviti komparaciju

Kada je jednom došlo do uspješnog napada, vrlo često je uz tehnički odgovor potreban i odgovor korištenjem metoda socijalnog inženjeringa. Vrlo je teško a s praktičnog stajališta ponekad i potpuno nemoguće utvrditi odakle dolazi napad i tko je za njega “kriv”, odnosno tko je inicijator u smislu jedne osobe ili organizacije. Naime, sofisticirane DoS napade koji nisu jednostavni “flooding” moguće je uz nešto detaljne pripreme pokrenuti na način da je čak i teoretski gotovo nemoguće otkriti koja osoba fizički stoji iza napada. Stoga je česta pojava neadekvatne reakcije onih koji su napadom pogođeni a koja često ide u smjeru “otkrivanja i kažnjavanja jednog krivca”. Potrebno se primarno orijentirati na načine zaustavljanja napada i sprečavanja ponavljanja istih napada u budućnosti.

Uobičajeno je da su investicije u informacijsku infrastrukturu na granici minimalno mogućeg i praktičnog umjesto da djeluju razvojno i proaktivno, jer još uvijek postoji svijest o tome kako je ICT isključivo trošak pošto se u Hrvatskoj danas vrlo rijetko računa povrat na investiciju u ICT sektoru a uprave korporacija posjeduju jako malo praktičnog znanja o ulozi i položaju strateške informatičke funkcije svodeći je na uslužnu potpornu djelatnost. Primjena ili nekorištenje nekih ili većine navedenih principa zaštite mrežnih usluga u svjetlu te činjenice spada u domenu procjene odnosno prihvaćanja objektivno postojećeg rizika.

U slučaju medijskih kuća koje kao isključivi komunikacijski medij koriste Internet i računalne mreže, mišljenja sam kako je poslovni model u kojemu se prihvaća rizik napada na mrežne sustave ili mu nije posvećena maksimalna pažnja (u praksi se to svodi na investicije i znanje, interno ili konzultantsko) u najmanju ruku manjkav, odnosno nije u skladu s temeljnim pravilima poslovne logike.