Ανάκτηση Δεδομένων και Ασφάλεια Πληροφοριακών Συστημάτων στην Εγκληματολογία

Ανάκτηση Δεδομένων και Ασφάλεια Πληροφοριακών Συστημάτων στην Εγκληματολογία (Forensic Computing)[Επεξεργασία | επεξεργασία κώδικα]

Ένας κλάδος της επιστήμης της πληροφορικής που είναι άρρηκτα συνδεδεμένος με την ασφάλεια πληροφοριακών συστημάτων είναι η χρήση της στην εγκληματολογία. Αφορά το επιστημονικό ρεύμα που συνδυάζει τα στοιχεία της νομοθεσίας και της επιστήμης των υπολογιστών με σκοπό τη συλλογή και ανάλυση δεδομένων από υπολογιστικά συστήματα, δίκτυα, ασύρματες επικοινωνίες και συσκευές αποθήκευσης με τρόπο ο οποίος γίνεται αποδεκτός ενώπιον του δικαστηρίου^[1].

Η κατανόηση του πεδίου μελέτης που αφορά το συγκεκριμένο κλάδο απαρτίζεται από τρεις κατηγορίες.

Βασικές Έννοιες[Επεξεργασία | επεξεργασία κώδικα]

Είναι θεμιτό να αποσαφηνιστεί και να οριοθετηθεί ο όρος του ηλεκτρονικού εγκλήματος. Ένα ηλεκτρονικό έγκλημα λαμβάνει χώρα όταν τα δίκτυα ή οι υπολογιστές είναι:

Εργαλεία του εγκλήματος
Στόχοι του εγκλήματος
Μέσα αποθήκευσης & καταγραφής στοιχείων που αφορούν το έγκλημα

Η ταξινόμηση των ηλεκτρονικών εγκλημάτων τα κατατάσσει σε δύο κατηγορίες. Αυτά που δεν εμπεριέχουν τη χρήση βίας ή μπορεί ένα βίαιο επεισόδιο να λάβει χώρα ως επιπλοκή και αυτά που εμπεριέχουν τη χρήση βίας.

Μη-βίαια ηλεκτρονικά εγκλήματα[Επεξεργασία | επεξεργασία κώδικα]

Παρακολούθηση δικτυακών πόρων (cybertresspassing) : Προσπέλαση ηλεκτρονικών δεδομένων χωρίς τροποποίηση χωρίς υστεροβουλία (πειραματικό hacking) ή με σκοπό την παρακολούθηση και συγκέντρωση πληροφοριών από πρόσβαση σε προσωπικά δεδομένα που δε διαμοιράζονται με πρωτοβουλία του ιδιοκτήτη τους.
Διαδικτυακή απάτη: Δημιουργία διαδικτυακών τόπων πλαστών επενδύσεων και παρακίνηση των χρηστών για συμμετοχή σε αυτούς με παραπλάνηση και ψευδή στοιχεία.
Διαδικτυακή κλοπή: Κλοπή πνευματικής ιδιοκτησίας, κλοπή ταυτότητας, αντιγραφή κειμένων χωρίς αναφορά, κατάχρηση χρηματικών πόρων τρίτων, κατάχρηση DNS με σκοπό την ανακατεύθυνση διαδικτυακής κίνησης.
Καταστροφή υπολογιστικών πόρων: Παρέμβαση και καταστροφή ή αλλαγή διαδικτυακής και υπολογιστικής υποδομής που ανήκει σε τρίτους. Hacking, SQL injections, αποστολή malware όπως Trojan horses και worms.
Παράνομος τζόγος
Εμπόριο ναρκωτικών ουσιών
Διαφήμιση πορνογραφικού υλικού

Βίαια ή δυνητικά βίαια ηλεκτρονικά εγκλήματα[Επεξεργασία | επεξεργασία κώδικα]

Τρομοκρατία στον κυβερνοχώρο: Αφορά τρομοκρατικές ενέργειες που διαπράττονται, σχεδιάζονται ή συντονίζονται μέσω του ίντερνετ. Εμπεριέχει την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου για συνεννόηση των μελών μιας οργάνωσης και τη χρήση ιστοσελίδων ή ηλεκτρονικών ομάδων για τη στρατολόγηση νέων μελών. Κλασικά παραδείγματα μπορούν να θεωρηθούν η πρόκληση βλάβης στο υπολογιστικό σύστημα ελέγχου εναέριας κυκλοφορίας με σκοπό την πρόκληση σύγχυσης ή τη σύγκρουση αεροσκαφών και η παραποίηση μιας βάσης δεδομένων ενός νοσοκομείου.
Επίθεση με απειλή: Αφορά την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου με σκοπό την απειλή κατά της ζωής του παραλήπτη, αλλά και απειλές για τοποθέτηση βόμβας ή σαμποτάζ σε επιχειρήσεις και γραφεία.
Κατασκοπία μέσω διαδικτύου (cyberstalking) : Πρόκειται για μορφή ηλεκτρονικής παρενόχλησης, που συχνά περιέχει άμεσες ή έμμεσες σωματικές απειλές που προκαλούν φόβο στο θύμα και θα μπορεί να κλιμακωθούν σε πραγματική παρακολούθηση και βίαιη συμπεριφορά.
Παιδική πορνογραφία: Περικλείει μια πληθώρα συμμετεχόντων στα συμβάντα. Ανθρώπους που δημιουργούν το υλικό χρησιμοποιώντας μικρά παιδιά, ανθρώπους που ασχολούνται με τη διανομή του υλικού και ανθρώπους που αποκτούν πρόσβαση σε αυτό.
Παραδοσιακό έγκλημα με ηλεκτρονική υπόσταση: Οποιαδήποτε εγκληματική πράξη (φόνος, ηθική αυτουργία σε αυτοκτονία, κακοποίηση), μέρος της οποίας έχει λάβει χώρα με τη χρήση ηλεκτρονικών υπολογιστών και δικτύων.

Έπειτα κρίνεται επιβεβλημένο να οριστεί η έννοια των στοιχείων που καταγράφονται σε περίπτωση που κανείς διαπράξει ηλεκτρονικό έγκλημα. Η πληροφορία αξίας που αποθηκεύεται ή μεταφέρεται σε ηλεκτρονική μορφή αποτελεί τα ψηφιακά στοιχεία, ενώ ως φυσικά αντικείμενα θεωρούνται τα φυσικά μέσα τα οποία αποθηκεύουν ή μεταφέρουν πληροφορία (σκληροί δίσκοι, usb sticks, mp3 players, cd/dvd). Τέλος η πληροφορία που λαμβάνει μέρος στο έγκλημα και σχετίζεται με τα φυσικά αντικείμενα είναι γνωστή ως αντικείμενα δεδομένων.
Για να εκπονηθεί ορθά η διεξαγωγή της έρευνας σε συμβάντα ηλεκτρονικού εγκλήματος, θα πρέπει να πληρούνται οι παρακάτω προϋποθέσεις:

Τα δεδομένα να βρίσκονται όσο πιο κοντά στην κατάσταση που ήταν όταν ανακαλύφθηκαν, να υπάρχει καθόλου ή όσο το δυνατόν λιγότερη τροποποίηση στις συσκευές και τα φυσικά μέσα αποθήκευσης
Δημιουργία πιστού αντιγράφου του αρχικού μέσου αποθήκευσης για αποφυγή ζημιάς κατά την έρευνα
Τα αντίγραφα δημιουργούνται σε μέσα αποθήκευσης τα οποία χρησιμοποιούνται για πρώτη φορά και δεν υπάρχει πιθανότητα διαρροής δεδομένων ή σφάλματος υλικού. (forensically-sterile)
Κάθε βήμα της εξέτασης να τεκμηριώνεται^[2]

Η σκηνή του εγκλήματος[Επεξεργασία | επεξεργασία κώδικα]

Μετά τη διεξαγωγή του ηλεκτρονικού εγκλήματος θα πρέπει να ληφθούν άμεσα μέτρα. Αρχικά, κρίνεται επιβεβλημένο να εγκαθιδρυθεί περίμετρος ασφαλείας στο χώρο που έλαβε χώρα το έγκλημα. Πολλές φορές μπορεί το μέγεθος αυτής να είναι μεγάλο, λόγω της ύπαρξης δικτύων σε αρκετά κτιριακά συγκροτήματα. Έπειτα επιβάλλεται η προστασία των συσκευών που βρίσκονται εντός της περιμέτρου. Επόμενο βήμα είναι η προστασία των προσωρινών στοιχείων. Εάν αυτά δε δύναται να αποθηκευθούν εξ’ αιτίας των προαναφερθέντων προϋποθέσεων, θα πρέπει να φωτογραφίζονται και να καταγράφονται γραπτώς. Τέλος λαμβάνει χώρα η αποσύνδεση των συσκευών από κάθε δικτυακό πόρο. Στις συγκεκριμένες διαδικασίες προκύπτει το δίλημμα της απενεργοποίησης των συσκευών, με δύο σχολές δράσης να κυριαρχούν. Η μία είναι υπέρ της άμεσης αποσύνδεσης των συσκευών από την ηλεκτρική τροφοδοσία για την αποφυγή ηθελημένης καταστροφής δεδομένων κατά τη διαδικασία απενεργοποίησης, ενώ η άλλη συνιστά την ασφαλή απενεργοποίηση για αποφυγή σφαλμάτων υλικού και λογισμικού.

Οι επόμενες κινήσεις αφορούν του ρόλους των ερευνώντων. Οι τελευταίοι καλούνται να θεσμοθετήσουν μια ιεραρχία ρόλων μεταξύ των εμπλεκομένων μέχρι την ασφαλή περισυλλογή των στοιχείων. Επίσης, είθισται να συντονίζουν έρευνες για ανεύρεση και άλλων φυσικών μέσων αποθήκευσης εντός της περιμέτρου που μπορεί να βοηθήσουν στη διαλεύκανση της εγκληματικής πράξης. Τέλος, για τη διατήρηση της ακεραιότητας των συλλεχθέντων δεδομένων, κρίνεται επιβεβλημένο να δημιουργούνται διπλά αντίγραφα ασφαλείας.

Εξίσου σημαντικός είναι και ο ρόλος των τεχνικών. Καλούνται να διασφαλίσουν την προστασία «πτητικών» δεδομένων από wipe on startup με τη δημιουργία διπλοτύπων. Επόμενο βήμα θεωρείται η ασφαλής απενεργοποίηση των συστημάτων για μεταφορά. Μεγάλη σπουδαιότητα έχει και η οργάνωση των στοιχείων που έχουν ανακαλυφθεί. Συνεπώς οι τεχνικοί τα τοποθετούν σε μη-στατικές θήκες και σε φυσιολογικές κλιματικές συνθήκες, με ετικέτες για την αποσαφήνιση του περιεχομένου. Κατά τη μελέτη των δεδομένων είναι αναγκαίο να γίνεται χρήση ειδικών εργαλείων forensics. Όταν έρθει εις πέρας η ασφαλής μεταφορά των στοιχείων στους κατάλληλους χώρους αρχίζει η προσεκτική εξέτασή τους, για την οποία ακολουθείται η παρακάτω μεθοδολογία.

Προστασία του υποκείμενου σε έρευνα συστήματος από οποιαδήποτε επίθεση, εκούσια ή ακούσια
Ανακάλυψη όλων των αρχείων στο σύστημα
Επαναφορά διαγραμμένων αρχείων
Αποκάλυψη περιεχομένου κρυμμένων και προσωρινών αρχείων
Απόκτηση πρόσβασης σε προστατευμένα αρχεία με νόμιμο τρόπο αν αυτό είναι δυνατό
Ανάλυση των δεδομένων που βρίσκονται σε ειδικές περιοχές του δίσκου
Εκτύπωση του τελικού αποτελέσματος της έρευνας
Εξέταση της ανάλυσης από πραγματογνώμονες

Τεχνικά χαρακτηριστικά[Επεξεργασία | επεξεργασία κώδικα]

Τα πτητικά δεδομένα είναι αυτά που απασχολούν περισσότεροτους ειδικούς, καθώς είναι εξαιρετικά δύσκολο έως ακατόρθωτο να ανακτηθούν αν χαθούν. Μία κατάταξη φθίνουσας ευαισθησίας ακολουθεί παρακάτω.

Μητρώο και cache
Πίνακες δρομολόγησης, ARP cache, πίνακες διεργασιών και στατιστικά πυρήνα
Περιεχόμενα μνήμης συστήματος
Προσωρινά αρχεία συστήματος
Αρχεία στο δίσκο

Η ανίχνευσή τους είναι εφικτή με τη χρήση εντολών όπως: netstat, nbtstat, arp, dd, ps, pslist, ipconfig, ifconfig κ.λπ.

Για την ανάκτηση των δεδομένων από τα υπολογιστικά συστήματα που εξετάζονται, χρησιμοποιούνται τα παρακάτω εργαλεία:

Δημιουργία εικόνας δίσκου: Ο πρωτότυπος δίσκος αντιγράφεται τομέα προς τομέα. Η αντιγραφή επαληθεύεται από εσωτερικό μηχανισμό γνησιότητας του πρωτοτύπου. Αυτή η διαδικασία μπορεί να λάβει χώρα με πολλούς τρόπους. Ο forensically-sterile δίσκος μπορεί να τοποθετηθεί στον υπολογιστή-θύμα, αλλά δύναται να συμβεί και το αντίθετο, δηλαδή ο δίσκος του υπολογιστή θύματος να αφαιρεθεί και να τοποθετηθεί σε ειδικό mainframe και να αντιγραφή από εκεί. Επίσης, την ίδια χρήση μπορεί να εκτελέσει και μια συσκευή RAID, ενώ αν τίποτα από τα παραπάνω δεν είναι εφικτό, μπορεί να χρησιμοποιηθεί ακόμη και σύνδεση δικτύου για την αντιγραφή.
Επαναφορά διαγραμμένων αρχείων: Η συγκεκριμένη διαδικασία δίνει την εντύπωση ότι είναι αρκετά επίπονη. Κάτι τέτοιο όμως αναιρείται με τον άγραφο κανόνα που αναφέρει ρητά ότι δεν υπάρχουν άδειοι δίσκοι. Ένα διαγραμμένο αρχείο αποτελεί απλά μη κατανεμημένο χώρο στο δίσκο. Ακόμη και τα disk utilities που κυκλοφορούν στο εμπόριο δε διαγράφουν τα αρχεία, πόσο μάλλον μια απλή διαμόρφωση δίσκου. Υπάρχουν εφαρμογές όπως οι GetFree, NTI, partition gap, των οποίων αποκλειστική λειτουργία είναι η επαναφορά διαγραμμένων αρχείων.

Επιπλέον, τα κρυμμένα δεδομένα μετά τη διαγραφή των εκάστοτε αρχείων ή το πέρας μιας διαδικτυακής συνομιλίας, μπορεί να βρίσκονται σε πολλά σημεία του υλικού ή των λειτουργικών συστημάτων.

Sector gap: Ο τομέας ενός δίσκου είναι μια μονάδα χώρου συγκεκριμένου μεγέθους (π.χ. 512 bytes). Οι σκληροί δίσκοι παλιότερης τεχνολογίας είχαν περιττό χώρο αποθήκευσης στις εξωτερικές τους διαδρομές εγγραφής λόγω του τρόπου με τον οποίο διαιρούνταν σε τομείς που περιείχαν ίδιο αριθμό επιμέρους τομέων ανά διαδρομή. Η διαφορά στην περίμετρο εσωτερικών και εξωτερικών διαδρομών προκαλούσε τη δημιουργία του χαμένου αυτού χώρου. Σε αυτά τα σημεία αποθηκεύονται δεδομένα και ειδικό λογισμικό μπορεί να τα ανακτήσει.
RAM Slack: Όταν ένα αρχείο είναι πολύ μικρό για να γεμίσει τον τελευταίο του τομέα στο δίσκο, τα DOS και τα Windows χρησιμοποιούν τυχαία δεδομένα από τους buffers της μνήμης για να καλύψουν τη διαφορά αυτή.

Shadow data: Διαφορά στο χώρο που προκαλείται από φυσικό σφάλμα ευθυγράμμισης των οριζόντιων και κάθετων κεφαλών ενός δίσκου. Συνεπώς δεν είναι σίγουρο ότι τα δεδομένα θα επικαλυφθούν.

Hiding in plain view: Μετονομασία κατάληξης αρχείων σε αχρησιμοποίητες ή σε καταλήξεις αρχείων συστήματος, ούτως ώστε η πραγματική τους μορφή να μην είναι ορατή παρά μόνο σε αυτόν που τα τροποποίησε.

Άλλα σημεία στα οποία μπορεί να βρίσκονται κρυμμένα δεδομένα είναι: ο κάδος ανακύκλωσης (αν δεν αδειαστεί), τα προσωρινά αρχεία ιστού καθ’ ότι πολλοί χρήστες αγνοούν την ύπαρξή τους, τα αρχεια καταγραφών - Log files συνομιλιών (MSN, Yahoo messenger, AOL κ.λπ) και το αρχείο PAGEFILE.sys.

Αποτελεσματική διαμόρφωση ενός δίσκου μπορεί να λάβει χώρα μόνο με τη χρήση ενός προγράμματος κρυπτογράφησης εν ονόματι cipher.exe, το οποίο γεμίζει πολλές φορές ένα δίσκο με τυχαία 0 και 1 και επιτυγχάνει την κάλυψη των shadow data, με απομαγνητισμό ή με άλλου είδους φυσικές καταστροφές όπως αποτέφρωση και κονιορτοποίηση.

Ενδεικτικά παραδείγματα λογισμικού και υλικού[Επεξεργασία | επεξεργασία κώδικα]

ΕnCase Forensics[Επεξεργασία | επεξεργασία κώδικα]

Το EnCase Forensics^[3] κυκλοφόρησε για πρώτη φορά το 1998 και επιτελούσε λειτουργίες δημιουργίας εικόνας δίσκου, καθώς επίσης και ανάλυσης και επιβεβαίωσης δεδομένων. Η τρέχουσα έκδοσή του είναι η έβδομη και παρέχει υποστήριξη και για άλλου τύπου ηλεκτρονικές συσκευές, όπως smartphones (Android, iOS, Blackberry). Μερικές από τις σύγχρονες λειτουργίες του είναι και οι παρακάτω:

Ανάκτηση αρχείων και φακέλων
Ανάλυση υπογραφών αρχείων
Ανάλυση προστατευμένων αρχείων
Χρήση συναρτήσεων κατακερματισμού
Επέκταση σύνθετων αρχείων
Αναζήτηση λέξεων-κλειδιών
Εύρεση λογαριασμών e-mail

Forensic Recovery of Evidence Device Center[Επεξεργασία | επεξεργασία κώδικα]

Πρόκειται για ένα mainframe με εκτεταμένες δυνατότητες, το οποίο χρησιμοποιείται ως κεντρικός σταθμός εργασίας και εκπόνησης ανάκτησης δεδομένων από εγκληματολογικά ευρήματα. Ακολουθούν μερικά από τα τεχνικά του χαρακτηριστικά:^[4]

4U Rackmount Enclosure (10 Bays)
1100 Watt Modular power supply
i7 Motherboard with Intel X58 / ICH10R Chipset
Intel i7 960 CPU (Quad Processor), 3.20 Ghz, 8M Cache, 4.80 GT/s Intel® QPI
5 x PCI-Express(x16) and 1 x PCI-Express(x1) Slots
12 GB DDR3-1600 Triple Channel Memory
Nvidia GT430 PCI-Express Video Card (1GB) (1 DisplayPort, 1 HDMI, and 1 DVI Port)
Dual 10/100/1000 Mbs GbE Network Adapters
8-Channel High Definition Audio Controller
8 Channel High Definition Audio Controller
7 Ports Primary 3.0 Gb/s Serial ATA (SATA) Controller (1 Back Mounted)
2 ports (2 Drives) Marvell PCIe SATA 6.0 Gb/s Controller
1 PS/2 Port (Keyboard / Mouse Combo)
6 USB 3.0/2.0 Ports: 3 Back Mounted, 3 Front Mounted
11 USB 2.0/1.x Ports: 8 Back Mounted, 3 Front Mounted (1 Write Blocked)
1 FireWire IEEE 1394a (400 MB/s) ports - 1 Back Mounted
3 FireWire IEEE 1394b (800 MB/s) ports - 1 Back Mounted, 2 Front Mounted (1 Write Blocked)
2 x Shock Mounted SATA Removable Hard Drive Bays (IDE Capable)
1 x HotSwap Shock Mounted Universal (IDE/SATA compatible) Removable Hard Drive Bays
BD-R/BD-RE/DVD ± RW/CD ± RW Blu-ray Burner Dual-Layer Combo Drive
Extendable/Retractable Imaging Workshelf with integrated ventilation
Digital Intelligence UltraBay II Hardware Write-Blocker:
Integrated IDE Drive Write Blocker
Integrated SATA Drive Write Blocker
Integrated SCSI Drive Write Blocker
Integrated USB Write Blocker
Integrated Firewire IEEE 1394b Write Blocker
Digital Intelligence Integrated Forensic Media Card Reader - One Switchable Read-Only/Read-Write (MSC, MS Pro, SMC, CFC, MD, XD, SDC, and MMC Memory Card compatible)
1 x 300 Gb 10,000 RPM 3.0 Gb/s SATA Hard Drive in Shock-Mounted Tray – OS Drive
1 x 1.5 Tb 7200 RPM 3.0 Gb/s SATA Hard Drive in Shock-Mounted Tray – Data Drive
USB 3 1/2" Floppy Drive with Write Protect Switch

Αναφορές[Επεξεργασία | επεξεργασία κώδικα]

↑ «Αρχειοθετημένο αντίγραφο» (PDF). Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 21 Ιανουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.
↑ Shinder, D. L., & Tittel, E. (2002). Scene of the Cybercrime. Syngress.
↑ «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 12 Φεβρουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.
↑ «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 14 Φεβρουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.

Εξωτερικοί σύνδεσμοι[Επεξεργασία | επεξεργασία κώδικα]

https://docs.google.com/viewer?a=v&q=cache:89n48zzQgzoJ:sites.google.com/site/roberterbacher/publication-files/ForensicsEducationPaper2.pdf+computer+forensics+education&hl=el&gl=gr&pid=bl&srcid=ADGEESgMyOMD616cWgS1QjypNS0kUyY4jTX9sn-ZhTUP1_b-sQlqW4lrxlDMbCfiAq_LiFhmAPhIAjK3jxiSjFUoyKGOdLBpiU0B8fWpT7pwd3UuHvEHkD6ovCRYLy1ZXGqyUrszPIIW&sig=AHIEtbSI8kjenbLFLmXhLk94DFM4-x2JFQ

[1] «Αρχειοθετημένο αντίγραφο» (PDF). Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 21 Ιανουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.

[2] Shinder, D. L., & Tittel, E. (2002). Scene of the Cybercrime. Syngress.

[3] «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 12 Φεβρουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.

[4] «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 14 Φεβρουαρίου 2012. Ανακτήθηκε στις 8 Φεβρουαρίου 2012.

[1]

[2]

[3]

[4]