Komputer osobisty

Zabezpieczenie dowodów znajdujących się na komputerach osobistych, przez co rozumiem głównie laptopy i desktopy ma kluczowe znaczenie. Historycznie jest to podstawowe źródło dowodu wykorzystywanego w informatyce śledczej. Zabezpieczenie a innych źródeł będzie często modyfikacją metod opisanych poniżej.

Podstawowe założenia:

  • Zabezpieczamy wszystkie dyski wewnętrzne znajdujące się w komputerze.
  • Z każdego dysku tworzymy obraz będący identyczną kopia oryginału w rozumieniu cyfrowym. Oznacza to że każdy bit znajdujący się na dysku będzie skopiowany. Jeżeli dysk ma 5119999488 bajtów, obraz będzie miał dokładnie tyle samo i wszystkie będą miały identyczną wartość.
  • Kopiowanie dokonane jest w sposób uniemożliwiający jakiejkolwiek zmiany na dysku źródłowym. Żaden bit, nawet ten najmniejszy 🙂 nie może zostać zmieniony w wyniku naszych działań. W tym celu używamy metod blokujących zapis.
  • Cyfrową spójność obrazu chronimy poprzez utworzenie tak zwanego haszu, czyli kryptograficznie wygenerowanego podsumowania całego dysku. Hasz ten jest weryfikowany zaraz po utworzeniu obrazu w celu upewnienia się, że cokolwiek odczytane z dysku, zostało zapisane w obrazie. Jakakolwiek różnica, będzie powodowała całkowitą zmianę haszu i błąd weryfikacji.

Wyróżnić można trzy metody zabezpieczenia komputerów osobistych:

  • Z wymontowaniem dysku
  • Bez wymontowania dysku
  • Na żywo

Z wymontowaniem dysku

Jak sama nazwa wskazuje dysk zostaje wymontowany. Najpierw należy wyłączyć komputer… No właśnie – wyłączyć komputer? W przypadku informatyki śledczej nie jest to takie oczywiste. Proces zamykania systemu zapisuje wiele danych na dysku, ponadto może wyczyścić pamięć wymiany (pagefile.sys w Windowsie) lub też uruchomić inne procedury zdefiniowane przez nie zawsze przyjaznego (nam) użytkownika. W związku z tym tradycyjnie uznaje się, że należy po prostu wyciągnąć wtyczkę z zasilaniem. Zasadą jest, że wyciąga się kabel nie z gniazdka, ale od strony komputera – nie chcemy przez przypadek wyłączyć czegoś innego. No to dobrze, kabel wyrwany, komputer wyłączony. Zaraz zaraz! Stop!

Wyłączenie komputera powoduje utratę danych ulotnych – głównie zawartości pamięci operacyjnej, informacji o otwartych połączeniach sieciowych, działających procesach. Co gorsza dysk mógł być zaszyfrowany i po zamknięciu komputera straciliśmy do niego dostęp!

Ponadto w niektórych przypadkach wyszarpnięcie kabla może spowodować uszkodzenie systemu lub otwartych plików. W szczególności podatne są bazy danych, również te używane przez klientów pocztowych – pliki PST, OST, NSF, DBX itd. W sprawach cywilnych i postępowaniach wewnętrznych tego typu szkody mogą nie być akceptowalne.

Jak z powyższego wynika wyłączenie komputera jak i jego nie wyłączenie może przysporzyć nam równie wielkich problemów. Należy więc w każdym wypadku zastanowić się przed podjęciem ostatecznej decyzji.

Poniższe zalecenia mogą pomóc w jej podjęciu:

  • Zawsze bierzemy pod uwagę szyfrowanie dysku, jeżeli wiemy, że jest szyfrowanie i nie mamy hasła, nie zamykamy systemu. Jeżeli znamy hasło, można go zamknąć. Jeżeli jesteśmy zalogowani należy upewnić się że ekran się nie zablokuje i sklonować dysk na żywo. Jeżeli nie jesteśmy zalogowani, szukamy online dziury w systemie – prawdopodobnie jej nie znajdujemy i wtedy można już wyłączyć.
  • W przypadku cyberataku najpierw kopiujemy dane ulotne – pamięć, informacje o procesach, połączeniach itd. Dopiero później decyzja o zamknięciu.
  • W przypadku tradycyjnych spraw karnych – pedofilia, korupcja, handel narkotykami ciągniemy wtyczkę.
  • W przypadku spraw cywilnych, audytów wewnętrznych gdzie skupiamy się na dokumentach, wyłączamy używając funkcji systemu operacyjnego.
  • w przypadku laptopa wyszarpanie wtyczki raczej nie pomorze 🙂 – trzeba wyciągnąć też baterię.

Komputer wyłączony. Wymontowujemy dysk. To też nie zawsze łatwe. W standardowych obudowach i laptopach to kwestia kilku minut, ale zdarzają się też takie, gdzie dysk jest nieźle ukryty. Zwłaszcza – te ultra-drogie, ultra-cieńkie i ultra-modne utrabooki. Proponuję zawsze mieć przy sobie duży zestaw śrubokrętów i połączenie internetowe do wyszukiwania instrukcji serwisowych – głównie na ifixit.com.

Teraz już mamy dysk w ręku. Należy go teraz jakoś podłączyć. W typowej sytuacji można by użyć adaptoru dysku lub stacji dokującej, my jednak chcemy go podłączyć tylko do odczytu.

Mamy trzy wyjścia:

  • Samodzielne urządzenie do kopiowania dysków. Przykładem jest Image Masster Solo 4. Zaletą jest to że proces jest zwykle bardzo szybki, w granicach możliwości technicznych dysków. Na Solo 4 mamy 2 interfejsy wejścia i 2 interfejsy wyjścia. Możemy kopiować jeden dysk źródłowy na dwa dyski docelowe – uzyskamy wtedy dwie kopie. Możemy też równocześnie kopiować dwa dyski źródłowe – każdy na osobny docelowy. Wadą Solo 4 jest to że co prawda jest ultra szybki tworząc nieskompresowane obrazy DD, to skompresowane obrazy E01 idą w ślimaczym tempie. Winą należy obarczyć procesor ATOM, który jest sercem jednostki. Ciekawostką jest, że Solo 4 jest oparty na Windows XP Embedded z dotykowym interfejsem starej generacji. Aby sklonować dysk w Solo 4 należy podłączyć dysk źródłowy oraz jeden lub dwa docelowe, zmodyfikować ustawienia i kliknąć start. Urządzenie sklonuje dysk, wygeneruje hasz i go zweryfikuje, tworząc przy tym szczegółowe logi. Cena? Kilka tysięcy USD. Ostatnio obiło mi się o przeglądarkę, że polska firma Mediarecovery rozpoczyna produkcję podobnego urządzenia – warto sprawdzić.
  • Blokery zapisu to urządzenie podobne do adapterów. Główna różnicą jest to, że posiadają funkcję blokady zapisu na podłączonym nośniku. Typowego blokera podłączamy do naszego komputera poprzez kabel USB, eSATA lub FireWire. Do blokera z kolei podłączamy dysk źródłowy a do naszego komputera dysk docelowy. W tym momencie dysk źródłowy powinien zostać wykryty przez nasz komputer i możemy przystąpić do kopiowania. Tego dokonujemy używając naszego ulubionego programu – może to być FTK Imager, Encase Imager lub teź dcfldd i ewfacquire dla Linuxa. Zaletą tego rozwiązania jest niższa cena w porównaniu z samodzielnym urządzeniem oraz to że obrazy E01 będą kompresowane w szybkim tempie. Wadą jest prędkość interfejsu – wiele urządzeń ciągle korzysta z USB 2.0. Nie można też za bardzo zrobić dwóch kopii jednocześnie. Wady pierwszą można łatwo skorygować kupując urządzenie USB 3.0. Głownie producenci blokerów to Tableau (kupiony ostatnio przez Encase’a) oraz nieco tańszy Wiebetech. Polecam też wyszukania w internecie blokera USB 3.0 firmy CoolGear. Ostatnio gdy sprawdzałem dostępny tylko w USA, ale jest wielokrotnie tańszy niż pozostałe, których cena wynosi zwykle kilkaset dolarów.
  • Funkcje blokujące systemu operacyjnego – w Linuksie można w łatwy sposób wyłączyć automatyczne montowanie dysków. Do stworzenia obrazu dysku nie musi być on zamontowany gdyż będziemy klonować urządzenie blokowe (np /dev/sdb) a nie zamontowane systemy plików. Niezamontowany dysk nie będzie mógł być zapisany przez system operacyjny lub aplikacje dlatego możemy użyć do podłączenia dysku zwykłego adaptera a nie blokera. W Windowsie możemy z jednej strony zablokować zapis dla podłączonych dysków USB poprzez modyfikację rejestru, możemy ponadto wyłączyć automatyczne montowanie systemów plików w sposób analogiczny do Linuksa. Generalnie uznaje się Linuksa za lepsze rozwiązanie jeżeli chodzi o tę funkcjonalność. Pamiętajmy jednak że oba rozwiązania są tylko softwarowe – jeżeli złośliwa aplikacja, na przykład wirus lub rootkit będzie naprawdę zdesperowana by zniszczyć dane na tak chronionym dysku, to będzie w stanie to zrobić. Cena rozwiązania? – adaptor za kilkadziesiąt złotych.

Podłączenie dysku w celu skopiowania też nie zawsze jest takie łatwe. Ostatnimi czasy nieco się polepszyło gdyż odeszły w niepamięć dyski 2,5 i 3.5 calowe dyski IDE, nie mówiąc już o dyskach ZIF i innych wynalazkach. Większość dysków będzie miało interfejs SATA. Jedyny problemem jest, że większość, nie oznacza, że wszystkie. Do najbardziej popularnych zamienników SATA należy MicroSATA, mSATA oraz LIF.

MicroSata to nieco zmniejszona wersja SATy. Elektrycznie identyczna więc adaptor to kwestia paru groszy. Grunt żeby je wydać zawczasu.

mSATA/miniSATA – to wersja SATA dla dysków SSD w laptopach. Dyski SSD dostępne są w wersji mSATA lub SATA. Jeżeli są mSATA, dodatkowy adaptor będzie potrzebny.

LIF – to złącze używany między innymi przez Apple’a w mniejszych laptopach. Adaptory są dostępne chociaż niełatwo je dostać. Czasami producenci idą jeszcze dalej i złącza są zatopione w plastiku – w takim wypadku dysku już się nie wyciągnie.

Czasami jeszcze zetkniemy się ze złączami ZIF – używane są w starszych modelach małych laptopów. Używane były do maleńkich dysków 1.8 cala. Adaptor prawdopodobnie ciągle może się przydać.

Po podłączeniu dysku możemy przystąpić do kopiowania,

Bez wymontowania dysku

Dysku nie wymontowujemy z komputera. Jak więc go chronimy przed zapisem? Uruchamiamy komputer ozywając specjalnie przygotowanego nośnika startowego.

Komputer nie zostaje więc uruchomiony ze swojego dysku ale z naszego CD lub USB.

Używa się do tego specjalnych wersji systemów operacyjnych, z włączonymi zabezpieczeniami przed zapisem.

Najbardziej popularne są Linuksy – polecam sprawdzenie na początek Linuksa Paladin oraz SIFT gdyż obydwa są aktywnie rozwijane i darmowe. Dostępne są również rozwiązania oparte na Windows – np WinFE (Chociarz z tym są problemy) oraz Mac OS X (Maquisition – komercyjne).

Zaczynamy podobnie jak powyżej:

  • Wyłączmy system – te same uwagi.
  • Podłączmy nasz nośnik startowy.
  • Wyszukujemy w internecie opcje biosu uruchamiającej wybór nośnika. Opcja może być bezpośrednia, to znaczy wyświetli się lista z urządzeniami, lub będziemy musieli wejść do biosu I zmienić ustawienia.
  • Wyciągamy baterię z laptopa – zasilanie jest podłączone.
  • Uruchamiamy komputer I zaciekle naciskamy klawisz wyszukany powyżej – zwykle – del, esc, f1, f2,f9 lub f12. Równocześnie nerwowo wpatrujemy się w ekran – w czasie startu zwykle na ułamek sekundy pojawia się informacja dotycząca opcji klawiszy. Jeżeli pierwsza próba się nie powiodła, będzie ona przydatna do drugiej.
  • Przy jakichkolwiek oznakach, że system staruje do oryginalnego systemu ciągniemy kabel zasilania.
  • Jeżeli wszystko poszło dobrze, dostaniemy się do opcji biosu lub do listy wyboru urządzeń i będziemy w stanie uruchomić system z naszego nośnika.

Teraz możemy podłączyć dysk docelowy i rozpocząć klonowanie naszym ulubionym programem.

W Linuksie możemy użyć dc3dd, dcfldd, ewfaquire, ftkimager client… Jeżeli używany Paladina, graficzna aplikacja do klonowania jest wbudowana.

Zalety metody:

  • Nie wymaga wymontowania dysku, co ma znaczenie w przypadku urządzeń o skomplikowanej budowie. Zmniejsza to też ryzyko uszkodzenia sprzętu.
  • Nie ma problemu z przejściówkami dla niestandardowych dysków.
  • Nie musimy wozić ze sobą dodatkowego sprzętu.
  • Można kopiować znacznie więcej komputerów równocześnie. Jeżeli kopiujemy dużą liczbę urządzeń na przykład w organizacji, możemy po prostu przechodzić od jednego komputera do drugiego i rozpoczynać kopiowanie.

Wady:

  • Wymagana jest większa ostrożność oraz doświadczenie analityka. Zawsze jest ryzyko wystartowania do oryginalnego systemu.
  • Nawet jeżeli komputer osobisty ma porty USB 3.0, to w naszym systemie wykryte będą tylko jako 2.0. Obraz należy kompresować ale i tak wpłynie to na prędkość kopiowania.

Na Żywo

Kopiowanie na żywo nie blokuje zapisu do dysku źródłowego dlatego stosuje się je w wyjątkowych sytuacjach:

  • W przypadku zaszyfrowanego dysku, jeżeli odszyfrowania w inny sposób jest utrudnione lub niemożliwe.
  • W przypadku reakcji na cyberatak, gdy komputer nie może być jeszcze wyłączony.
  • W przypadku audytów wewnętrznych, kiedy skupiamy się bardziej na dokumentach I komunikacji niż na plikach systemowych.

Procedura:

  • Kopiujemy nasz program do klonowania np FTK Imager na dysk USB i podłączmy do komputera źródłowego
  • Uruchamiamy nasz program z prawami administratora I rozpoczynamy kopiowanie dysku.

Zalety:

  • Proste i szybkie w wykonaniu.
  • Dobre rozwiązania dla przypadków wymienionych powyżej.

Wady:

  • Dysk nie jest chroniony przed zapisem.

Tworzymy pełny obraz dysku

We wszystkich przypadkach tworzymy pełny obraz dysku to znaczy taki zawierający całą jego zawartość od pierwszego do ostatniego sektora.

Zwykle będzie to jeden z poniższych formatów:

  • DD – nieskompresowany, skopiowany do jednego pliku wielkości całego dysku lub podzielony na kilka gigabajtowe segmenty.
  • E01 – skompresowany, zwykle podzielony na segmenty.

Podczas tworzenia kopii generowany jest kryptograficzny hasz obrazu – zwykle MD5, SHA1 lub jeden z wariantów SHA2. Po skończonym kopiowaniu hasz jest weryfikowany, co wydłuża czas operacji dwukrotnie. Pamiętać należy że weryfikacja dowodu w tym wypadku polega na weryfikacji haszu, a nie na porównaniu nośnika źródłowego z docelowym. Nośnik źródłowy nie jest do weryfikacji potrzebny,  jego zawartość jest czytana tylko raz podczas klonowania.

Dobrą praktyką jest utworzenie jak najszybciej kopii zapasowej utworzonego obrazu.

Nie zapominajmy również o dokumentacji odpowiedniej do rodzaju postępowania, ale zawierającej podstawowe detale związane z zabezpieczeniem – dane komputera, dysku twardego, miejsca I metody kopiowania itp.

Po zakończeniu kopiowania zwykle komputer doprowadzamy do stanu poprzedniego, czyli podłączamy z powrotem dysk. W niektórych przypadkach jednak dysk trafi do sejfu a komputer do miejsca o mniejszych zabezpieczeniach, na przykład tutaj:

Computer cemetery  (16 pics)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *