110 likes | 203 Views
Foren zní analýza unixových systémů. > Josef Kadlec, IM2-K FIM UHK. 2006. Cíle práce. Analyzovat možnosti forenzní analýzy digitálních dat se zaměřením na unixové systémy P opsat, demonstrovat a zhodnotit postupy a přostředky pro forenzní analýz u unixových systémů
E N D
Forenzní analýza unixových systémů > Josef Kadlec, IM2-K FIM UHK 2006
Cíle práce • Analyzovat možnosti forenzní analýzy digitálních dat se zaměřením na unixové systémy • Popsat, demonstrovat a zhodnotit postupy a přostředky pro forenzní analýzu unixových systémů • Objasnit aktuální situaci v oblasti informační bezpečnosti • Zhodnotit ekonomické aspekty především z pohledu organizace (managementu)
Motivace práce • Narůstající počet digitálních zařízení • PC, servery, laptopy, PDA, mobilní telefony,… • Dostupnost digitálních zařízení přes síť/Internet • vše je „online“ • Nárůst bezpečnostních hrozeb na digit. zařízení • kyberzločin • botnety, phishing, spyware, viry, „hacking“ • Motivace útoků/útočníků • finanční obohacení • Ochrana konkurenceschopnosti organizace • bezp. incidenty a jejich řešení mají přímý vliv na existenci organizace
Motivace práce v číslech • Nárůst informačně bezpečnostních incidentů • 90% organizací se setkalo s kyberútokem (CSI) • Kyberzločin nákladnější než zločin běžný • 60% respondentů (IBM 2006) • Avšak přímé ztráty organizací způsobené kyberzločinem klesají • o 61% (CSI/FBI 2006) • Expanze trhu s produkty bezpečnosti IT • 6,4 miliardy USD za rok 2005 (GuidanceSoftware) • Celkové odhadované škody způsobené kyberzločiny – uživatelé i organizace • 200 bilionů GBP za rok 2004 (SecurityPark.co.uk)
Forenzní analýza digitálních dat • Hledání a vytěžování dat pro specifické účely • co se stalo, kdy se to stalo, jak se to stalo a koho se to týká • Užití vědecky odvozených a osvědčených metod • izolování, sběr, identifikace, analýza, interpretace, dokumentace, prezentace důkazů • Digitální data jsou velmi nestálá • digitální médium není důkaz • Dva typy vyšetřování média • počítač nástrojem zločinu x terčem zločinu
Proč zkoumat Unix • Rodina unixových systémů • GNU/Linux, *BSD, MacOS X, Solaris, AIX, IRIX • Unix (především GNU/Linux) na vzestupu • portovatelnost na mnoho HW architektur • optimalizované využití výpočetních prostředků • Open Source, GNU GPL • Velké investice do Open Source projektů • IBM, Oracle, Sun Microsystems, Google, Red Hat, Hawlett Packard, Palm, Motorola, … • Mnoho organizací používá nebo migruje na GNU/Linux • Skanska, eBay, Fiat Auto, Irská burza cenných papírů,Česká pošta, České dráhy, státní instituce – Švýcarská vláda, úřady v Paříži a Vídni,…
Potřebný SW a HW • Software – GNU/Linux • minimálně invazivní • podporuje mnoho souborových systémů • davá uživateli plnou kontrolu – nativní aplikace • obsahuje „loopback device“ • The Coroner’s Toolkit, The Sleuth Kit, Autopsy, SMART, Forenzní Live CD systémy • logická analýza unixových systémů • Hardware • standardní PC, laptop • forenzní stanice – FRED (Digital Intelligence) • zařízení pro forenzní duplikaci média • toolkity, modifikovaná kabeláž,…
FA v praxi • Situace ve světě • vyspělý obor – USA, Velká Británie, … • federální, státní i soukromý sektor • velká poptávka po specialistech • univerzity, certifikace (GIAC, SANS, CSI,...), konference, workshopy, sympózia • IACIS, CERT, ENFSI, HTCIA,… • Situace v České republice • nerozvinutý obor • policejní vyšetřovatelé, soudní znalci, znalecké ústavy • 2 případy denně • §204-206 „Neoprávněný přístup k počítačovým systémům“ • ochrana proti zveřejnění informací o poškozeném • špatná kvalita soudních znalců v oboru FA
Standardy • ISO 17799:2005 • BS 7799 • „Zvládání bezpečnostních incidentů“ • RFC 3227, RFC 2828 • příručky • Good Practice Guide for Computer Based Electronic Evidence (ACPO) • First Responder’s Manual (U.S. Department of Energy) • Forenzní zkoumání digitálních důkazů (RAC)
Přínosy práce • Rozsáhlá analýza možností a demonstrace postupů forenzní analýzy digitálních dat se zaměřením na unixové systémy • Přehled současného softwarového vybavení pro počítačovou forenzní analýzu unixových systémů od nativních unixových aplikací po enterprise řešení • Aktuální příručka forenzního vyšetřovatele doprovázena množstvím odkazů na další konkrétní informační zdroje • Zvýšení povědomí organizací o problematice informační bezpečnosti, reakcí na incidenty a jejich ekonomických dopadů
Forenzní analýza unixových systémů Josef Kadlec Prostor pro diskuzi. Autor má několikaleté zkušenosti s operačním systémem GNU/Linux a informační bezpečností. Je autorem řady odborných článků a účastníkem komerčních i nekomerčních konferencí.