Bezpieczeństwo

Narzędzia informatyki śledczej

opublikowano przez Marcin Bienkowski w dniu 2013-03-12

W informatyce śledczej wykorzystuje się zarówno narzędzia sprzętowe, jak i programowe. Pozwalają one nie tylko skopiować binarnie dane, ale odzyskać skasowane i często napisane innymi danymi pliki. Wiele firm wyspecjalizowało się w dostarczaniu tego typu narzędzi – jak np. Belkasoft, Guidance Software, Oxygen Software czy Paraben. Dostępne są także systemy, jak EnCase Enterprise, które pozwalają nie tylko na zapewnienie globalnego bezpieczeństwa w firmie, ale również na prowadzenie śledztw dotyczących nadużyć i podejrzanych aktywności z centralnej lokalizacji firmy, niezależnie w którym oddziale nastąpiło naruszenie.

Oprogramowanie dla informatyki śledczej to swego rodzaju bardzo specyficzne wielozadaniowe kombajny. Przykładem zaawansowanych możliwości jest jeden z najbardziej popularnych programów do informatyki śledczej – EnCase Forensic firmy Guidance Software. Obsługuje on dowolny system plików (również wykorzystywane na płytach CD/DVD/Blu-ray i pamięciach flash), w tym umożliwia przeszukiwanie niezalokowanej przestrzeni dyskowej i przestrzeni slack space (resztki niewykorzystanych klastrów). Pozwala też na odzyskiwanie skasowanych lub sformatowanych plików. Wprowadzono w nim mechanizmy ułatwiające analizę dat utworzenia plików, ich modyfikacji i ostatniego dostępu do danych. Program pozwala zautomatyzować poszukiwania i analizę danych. Zawiera mechanizmy umożliwiające sortowanie danych, stosowanie filtrów, zapytań, słów kluczowych, analizę systemu w tym rejestru oraz moduł bardzo szybkiego przeglądania zdjęć i ich analizy. Dostępne są funkcje przeszukiwania poczty, analizy wykorzystania komunikatorów internetowych i korzystania z Internetu – w tym zawartości plików tymczasowych.

Ważnym elementem oprogramowania dla informatyki śledczej jest możliwość tworzenia binarnych kopii zabezpieczonych danych. Istotny jest tutaj mechanizm blokera, który umożliwi podłączenie dysków lub innych urządzeń USB czy FireWire bez obawy, że materiał dowodowy zostanie w jakikolwiek sposób zmodyfikowany np. przypadkowym zapisem danych. Istotne jest też, aby system wyposażony był w moduły deszyfrujące, które pomogą w dostępie do zaszyfrowanych zasobów i plików chronionych hasłami. Praktycznie każdy program dla informatyki śledczej dysponuje tego typu narzędziami.

Aby wspomóc działanie oprogramowania i przyspieszyć działania operacyjne stosuje się sprzętowe blokery i akceleratory deszyfrujące. Sprzętowy bloker pozwala na szybkie i pewne binarne skopiowanie zabezpieczonego w śledztwie dysku, w celu późniejszej analizy danych. Z kolei akceleratory deszyfrujące takie jak Tableau TACC1441 są w stanie kilkadziesiąt razy przyspieszyć szybkość odzyskiwania haseł do zabezpieczonych danych.

Wspomniany akcelerator wspiera rozszyfrowywanie takich formatów zabezpieczeń danych jak Ashampoo, EFS, Ghost, MS Office, Open Office, PGP Disk v4, PGP Disk v6 (AES256), PGP Disk v6 (Cast128), PGP Message (Secret Key Ring), PGP SDA, Roboform, Safehouse (v3+), Steganos, TrueCrypt (SHA-1), WinRAR, WinZip9, a więc praktycznie wszystkich najważniejszych. Pojedynczy akcelerator przyspiesza proces rozszyfrowywania nawet trzydziestokrotnie w stosunku do rozszyfrowywania z użyciem klastra komputerów PC. Co więcej akceleratory rozszyfrowujące mogą być łączone również w klastry, gdzie wydajność rozszyfrowywania wzrasta wówczas wielokrotnie. Pojedynczy akcelerator Tableau TACC1441 ma wydajność 250000 sprawdzanych kombinacji haseł na sekundę, przy wykorzystaniu kilku maszyn, szybkość ta wzrasta proporcjonalnie. W praktyce dostęp do dysku zaszyfrowanego bardzo silnym i długim hasłem za pomocą takiego programu jak TrueCrypt uzyskuje się najpóźniej po kilku-kilkunastu godzinach pracy akceleratora. Oczywiście zdążają się sytuacje, choć nie są one częste, że hasła nawet przy użyciu akceleratorów nie da się odczytać.

marketplace

Komentarze

21
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    "Dostęp do danych uzyskuję się po kilkunastu godzinach pracy akceleratora"
    To się uśmiałem :D
    Teraz przykład:
    Hasło złożone z 20 znaków, wykorzystane duże i małe litery, cyfry oraz znaki specjalne. Ilosć kombinacji 93^20 czyli 2.3423887366259168e+39
    Szybkość złamania takiego hasła przy sprawdzaniu 1 000 000 kombinacji na sekundę 74226 tryliardów lat.
    Powodzenia :D

    Dodam jeszcze, że wcale nie jest trudno zapamiętać takie hasło.
    Zaloguj się
  • avatar
    Sztuka w wykryciu danych polega na tym, że trzeba mieć nośnik na którym te dane są lub były.
    Jeśli ktoś trzyma dane na zewnętrznym serwerze, to pozostają tylko dane w postaci nazw plików, same pliki mogą leżeć na serwerach w Burkina Faso i co wtedy?
    Zatarcie śladów na własnym hdd, tak, że nawet Bóg tego nie odczyta też jest proste. Kupuje się drugi HDD, robi obraz. "Stary do kosza". To co chcemy aby zostało jest, ale cała historia dysku zanika.
    Jeśli mamy wątpliwości czy skutecznie "wyrzucimy do kosza" , pozostaje rozkręcić dysk wyjąć talerze do miski, młotek do ręki. Po pokruszeniu z grubsza są dwa wyjścia. Metoda profesjonalna to palnik acetylenowy lub wodorowy, ale ponieważ mało kto posiada jest prostsza i równie skuteczna WC i spłuczka.
    Przy dużej liczbie dysków pozostaje kruszarka do metali, później komora acetylenowa. Choć są i tańsze metody jak topienie na dnie morza przez "zaprzyjaźniony kuter rybacki".
    Zaloguj się
  • avatar
    Nie straszcie użytkowników Truecrypta tym śmiesznym "akceleratorkiem". Nie ma się czego bać. Sprawdziłem specyfikację i jeśli chodzi o Truecrypt to ten Tableau TACC1441 ma wydajność 2,650 pwd/sec. Jeśli hasło jest wystarczająco dobre i długie to ogromne ich stadko musiałoby pracować wiele wiele lat. Jeden ma pobór prądu niesamowite 25W. Do szybkiego łamania potrzeba mocy superkomputera i megawatów energii. Kogo stać na rachunek za elektryczność i kupno/wypożyczenie sprzętu? Siać FUD trzeba umieć.
    Zaloguj się
  • avatar
    W sprawach o miliardy dolarów/euro czy czego to tam to można zaciągnąć do łamania haseł superkomputer jakiś i hasło złamiemy stosunkowo szybko, biorąc pow uwagę, że hasła mogą być nawet mega mega mega skomplikowane. A co do takiego sprzętowego akceleratora to do łamania hasła pokroju "password" starczy w zupełności a przecież większość tych co chce coś ukryć i wpada to raczej nie znają się na tym :)
    Zaloguj się
  • avatar
    "Takie dowody mogą posłużyć następnie przed sądem do udowodnienia, że zwolnienie dyscyplinarne danego pracownika było w pełni uzasadnione."

    O Boże! To na to mają iść podatki? Żeby ratować tyłek jakiegoś prezesa co nie potrafi firmą zarządzać?
  • avatar
    Czy ktoś się uczył z takich szkoleń ksiażkowych? http://szkolahakerow.pl/metody-inwigilacji-i-elementy-informatyki-sledczej/
    Szukam czegoś, co da mi podstawy, informatyka śledcza jest mi teraz potrzebna w pracy, a nie stać mnie na jeżdżenie na szkolenia do innych miast...
  • avatar
    Świetny artykuł, jak zresztą cała seria. Fajnie byłoby dowiedzieć się czegoś więcej na temat metod monitorowania i śledzenia ruchu w sieci w następnej części.

    Tak na marginesie - stosując 10-cio znakowe hasło z wykorzystaniem dużych i małych liter, cyfr oraz znaków specjalnych może się okazać że moc przerobowa takiego akceleratora deszyfrującego będzie niewystarczająca - więc utworzenie hasła odpornego na takie ustrojstwa nie jest jakąś wielką filozofią. Zakładając oczywiście że stosuje się tutaj metodę brute force.
  • avatar
    Najbardziej interesuje mnie jaka jest podatność True Crypt na łamanie jego haseł. Wiem że to zależy od wielu czynników jednak może ktoś zna jakąś stronę która podaje przybliżony czas "rozwalenia" tak zabezpieczonego kontenera TC.
    Stosując TC chcę mieć pewność że moje dane są bezpieczne. Teraz kluczowa sprawa. Czy hasło 20 znakowe (stworzone zgodnie ze sztuką tworzenia haseł) jest bezpieczne? Czy lepiej dodawać jako zabezpieczenie jakiś plik o którym nikt nie wie.
  • avatar
    Jaki wpływ na wzrost bezpieczeństwa ma stosowanie bardziej zaawansowanych metod szyfrowania jak np. AES Twofish Serpent.
  • avatar
    Powinno być:

    "Z usług informatyki śledczej, oprócz instytucji związanych organami ścigania i agencjami rządowymi, korzystają kancelarie prawne, działy prawne firm i korporacji, firmy ubezpieczeniowe, banki i instytucje finansowe, a także instytucje związane z ochroną własności intelektualnej i ochroną praw autorskich."

    Przez prywatne służby...

    "W firmach zebrane dowody służą często do udowodnienia działania nieuczciwych pracowników na szkodę firmy związane na przykład z przekazywaniem poufnych informacji konkurencji."


    Do niszczenia konkurencji i straszenia dzieci...
  • avatar
    Czy przejechanie dysku jakimś programem do wymazywania danych w stylu ccleaner i 7 lub 35 przebiegów wystarczy?