Professional Documents
Culture Documents
Adrian Munteanu, este absolvent al Universitii AL. I. Cuza din Iai, profesor doctor la Facultatea de Economie i Administrarea Afacerilor din cadrul Universitii Alexandru Ioan Cuza din Iai, (www.feaa.uaic.ro). Este de asemenea Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC), Control Objectives for Information and Related Technologies Certificate (COBIT), IT Infrastructure Library Certificate (ITIL), AccessData Certified Examiner (ACE)i Microsoft Certified Professional (MCP). A mai publicat, n editura Polirom Auditul sistemelor informaionale contabile. Cadru general (2002), Reele locale de calculatoare. Proiectare i administrare (Ed. I -2003, Ed. II -2004), Reele Windows. Servere i clieni. Exemple practice (2006). A publicat ca unic autor sau coautor articole n reviste internaionale i a participat la conferine n domeniul auditului i securitii sistemelor informaionale n Cehia, Ungaria, Germania, Austria, Turcia, Maroc, Spania. Este titularul cursurilor Auditul sistemelor informaionale pentru afaceri, Reele locale de calculatoare i Guvernare IT. Din anul 2003 este implicat n proiecte de audit, consultan privind securitatea informaiilor i instruire IT&C pentru firme private, furnizori de servicii de utilitate public i bancare. n 2007 i 2010 a fost Service Trainer Provider/Instructor al cursului CISA pentru ISACA Romnia Chapter. Este coordonator i traductor al cadrului de referin COBIT 4.1 versiunea n limba romn. Din 2010 este ISACA Academic Advocate. Poate fi contactat pe mail la adresa adrian.munteanu@feaa.uaic.ro. Valeric Greavu-erban, este absolvent al Universitii A. I. Cuza din Iai. Este lector la Facultatea de Economie i Administrarea Afacerilor, Most Valuable Professional, Microsoft Certified Professional (MCP), Microsoft Office Specialist (MOS) Expert Level, TS 630 i fost administrator al reelei FEAA. Este coautor la Reele locale de calculatoare. Proiectare i administrare (Ediia I), Reele Windows. Servere i clieni. Exemple practice. n 2005, la Yokohama a fost semifinalist i a obinut locul IV n lume la concursul Imagine Cup, seciunea IT General. n 2006, la Delphi a obinut locul II n cadrul aceluiai concurs. ncepnd cu 2007 a fost arbitru Imagine Cup alturi de Rand Morimoto i Chris Amaris (Convergent Computing Ltd., www.cco.com). Astfel i-a validat competenele n domeniul tehnologiilor de tip server de la Microsoft. ncepnd cu 2005 mpreun cu Adrian, este implicat n proiecte de audit, consultan securitate i instruire ITC pentru firme private. Poate fi contactat pe mail la adresa valy.greavu@feaa.uaic.ro.
Silviu-Andrei Prvan, este absolvent al Universitii Al.I.Cuza din Iai. A studiat masterul de Sisteme Informaionale pentru Afaceri tema sa de disertaie fiind orientat ctre domeniul Computer Forensic. A lucrat n Departamentul Server Reea din cadrul Facultii de Economie i Administrarea Afacerilor iar n prezent la o companie de software. Poate fi contactat pe mail la adresa: silviu.parvana@feaa.uaic.ro.
2012 by Adrian Munteanu Editura .. Descrierea CIP a Bibliotecii Naionale a Romniei: Iai: 2012 Xxx p., 24 cm ISBN: 937-xxx-xxx-x I. Adrian Munteanu xxx:xxx Printed in ROMANIA
2012
Cuprins
7.1. Sistemul de fiiere .............................................................................................................44 7.2 Gestiunea Regitrilor .........................................................................................................54 7.3 Validarea i discriminarea datelor ......................................................................................57 7.4 Protecia/blocarea la scriere ...............................................................................................58
Introducere
Dup mai bine de 10 ani de cnd am publicat n Editura Polirom prima mea carte, am ajuns s recidivez i s m ntorc la prima dragoste. i asta datorit, n principal, faptului c ntre timp meseria de auditor de sisteme informaionale a nceput s prind contur i n Romnia. Mai ales ca urmare a apariiei unor cerine prin diverse acte normative (ex. OMF 1077/2003, OCMTI 389/2007, BASEL II, decizii sau instruciuni ale CNVM, BNR). n anii care s-au scurs de atunci, pe lng ceva pr alb, sper c am mai acumulat i experien practic alturi de bunul meu coleg Valy. CSI: Crime Scene Investigation. Un serial pe care unii dintre dumneavoastr l-ai urmrit. Un serial n care vedem nu doar poliiti ce urmresc infractori ci o echip de specialiti n diferite tiine investigative. Inclusiv n investigarea infraciunilor informatice. Am putea spune c acest material se dorete a fi CSI Computer Scene Investigation. Ar fi ns prea mult pentru demersul nostru, chiar dac ne place cum sun. n plus, viaa nu este ca n filme. Pentru CINE am scris totui aceast carte? Pentru toi cei care au nevoie de colectarea, analizarea i pstrarea probelor digitale/electronice n meseria lor. Fie c sunt poliiti, avocai, procurori sau auditori de sisteme informaionale. Sau chiar simpli oameni pasionai s descopere lucruri noi. Despre CE am scris? Aici rspunsul credem c este ceva mai dificil. n primul rnd am ncercat s scriem despre unele probleme cu care te poi ntlni n practic. i cum practica difer de la caz la caz, nu ne-am propus s epuizm toat cazuistica. Am pornit de la practica noastr, de la experienele noastre din ultimii 10 ani. Nu uitai c locurile sunt diferite i oamenii sunt unici. Tehnologia este ntr-o evoluie continu. Prin urmare nu trebuie s gndim n modele aplicabile n orice condiii. Generalizrile duneaz grav! Amintim c am scris din perspectiva IT-istului fr a avea pretenia c am gsit un limbaj comun cu domeniul juridic, chiar dac am ncercat de mai multe ori s l nelegem. Materialul nostru prezint lucruri elementare din domeniul investigaiilor informatice i se adreseaz n primul rnd celor care nu au o pregtire tehnic avansat ci doar cunotine minimale din domeniul tehnologiilor informaionale. Cu siguran acest material are defecte i lipsuri. Mcar suntem contieni de acest lucru. Am ncercat s fim ct mai concii i s nu ne pierdem n amnunte. Sperm ca cele ce urmeaz s mai mprtie din marasmul cu care este nconjurat acest domeniu pe meleagurile noastre. Nu garantm succesul pentru c aceast carte a aprut doar din credina c nainte de a cere, trebuie s dai. Iai, martie 2012
Capitolul 1.
n ultimii 20 de ani am asistat la dezvoltarea unui nou tip de infraciuni: cele realizate n universul digital cyberspace. La nivel internaional remarcm nevoia n cretere de investigare a unor infraciuni realizate n totalitate sau parial cu ajutorul calculatoarelor i reelei Internet. Evoluia tehnologic tinde s ne demonstreze c i n cazul unor infraciuni, s le spunem clasice, investigatorul ajunge s se intersecteze cu un sistem de calcul.
1 2
1.2 Terminologie
n ciuda anilor care s-au scurs de la contientizarea importanei acestui domeniu, la ora actual nu exist un punct de vedere comun cu privire la termenii folosii. Nevoia de standardizare este acut cu att mai mult cu ct n limba romn nu au fost preluate toate accepiunile sintagmei computer crime. Etimologic, englezescul crime are nelesul de crim, delict, nelegiuire, asasinat, ucidere. Computer crime se refer la un set limitat de delicte definite de legislaia american n Computer Fraud and Abuse Act5 iar de ctre legislaia Marii Britanii n UK Computer Misuse Act6. Legislaia din Romnia reglementeaz infraciunile informatice prin Titlul III (Prevenirea i combaterea criminalitii informatice) din Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitilor publice, a funciilor publice si in mediul de afaceri, prevenirea si sancionarea corupiei - publicat in Monitorul Oficial, Partea I nr. 279 din 21/04/2003. Considerm c exprimarea din limba romn este o traducere mai puin reuit a englezescului computer crime. ntrim cele afirmate prin aducerea n atenie a altor sintagme de natur juridic din limba englez: criminal procedure, Title 18 of the United States Code is the criminal and penal code of the federal government of the United States. It deals with federal crimes and criminal procedure, criminal law and civil law cu nelesul legea penal i legea civil. n contextul dat, crime are semnificaia de infraciune. De fapt, chiar legiuitorul romn afirm n textul actului normativ menionat: Art. 34. - Prezentul titlu reglementeaz prevenirea si combaterea criminalitii informatice, prin msuri specifice de prevenire, descoperire i sancionare a infraciunilor svrite prin intermediul sistemelor informatice, asigurndu-se respectarea drepturilor omului si protecia datelor personale. n prezenta lucrare, computer crime va semnifica infraciune informatic. Pornind de aici, considerm c unul din cele mai dificile aspecte ce ine de definirea conceptului se refer la situaiile practice n care un calculator sau o reea de calculatoare nu au fost implicate n mod direct n svrirea unei infraciuni, dar conin probe cu privire la svrirea infraciunii. Pentru astfel de situaii, literatura i legislaia anglosaxon folosesc sintagma computer related, n timp ce Convenia European refereniaz termenul general cybercrime. A doua sintagm ce necesit standardizare este computer forensic, care n accepiunea noastr are semnificaia de investigaii informatice. n literatura de specialitate vom ntlni i cea de a doua exprimare digital forensic. Iniial cele dou sintagme aveau acelai neles dar ntre timp digital forensic are n vedere toate dispozitivele capabile s stocheze date n format digital, nu doar calculatoarele. O definire n limba romn a sintagmei computer forensic poate fi de forma: Utilizarea de metode tiinifice cu privire la conservarea, identificarea, extragerea, interpretarea, documentarea i prezentare a probelor de natur digital obinute din surse de natur informatic n scopul facilitrii descoperirii adevrului i furnizarea de expertiz n cadrul unui proces penal sau a unei proceduri administrative.7 La nivel internaional exist diverse standarde i instituii de standardizare precum Instituia de Standardizare Britanic i Organizaia Internaional asupra Probelor Digitale. ri dezvoltate
5 http://itlaw.wikia.com/wiki/Computer_Fraud_and_Abuse_Act 6 http://www.legislation.gov.uk/ukpga/1990/18/contents 7 Traducere i adaptare dup definiia dat de Cyber Security Institute
din punct de vedere al gradului de informatizare precum SUA, Marea Britanie, Germania i altele au adoptat aceste standarde care sunt mai mult un cadru de lucru sugerat dect nite reguli stricte. n Romnia nu exist nici o lege sau document oficial care s sugereze aderarea la aceste standarde internaionale. Codul de procedur penal precizeaz c analiza echipamentelor care ar putea conine informaii care s incrimineze un suspect trebuie analizate de un specialist dar nu impune un anumit cadru de lucru. Alte referine la infracionalitatea informatic mai pot fi gsite i n Legea 161 din 19/04/2003 dar, la fel ca i Codul de procedur penal, legea este incomplet i nu acoper toate aspectele infraciunilor informatice.
10
Capitolul 2.
Proba digital
Mrturia sau demonstraia unui fapt st la baza dovezii juridice: o amprent, o pat de snge sau ceea ce n literatura de specialitate american se nume te smoking gun (en: arm cu care abia s-a tras). n continuare vom demonstra c proba digital se ncadreaz n acest peisaj.
8 9
11
repudiere a nregistrrilor, astfel nct s fie admisibile ca mijloc de prob. Acestea sunt similare cu standardele din Statele Unite. Organizaia Internaional asupra Probelor Digitale (International Organization on Computer Evidence (IOCE)) a fost nfiinat n anul 1995 pentru a oferi ageniilor internaionale de aplicare a legii un forum pentru schimbul de informaii privind criminalitatea informatic. Compus din ageniile guvernamentale acreditate implicate n investigaii asupra infracionalitii informatice, IOCE identific i discut problemele de interes a elementelor sale constitutive, faciliteaz difuzarea internaional de informaii, dezvolt recomandri n vederea examinrii de ctre ageniile membre. n plus fa de formularea normelor de lucru cu probe digitale, IOCE ine conferine orientate spre stabilirea de relaii de munc. Ca rspuns la Comunicatul i planurile de aciune al G-8 din 199711, IOCE a fost nsrcinat cu dezvoltarea standardelor internaionale pentru schimbul i recuperarea probelor digitale. Grupurile de lucru n Canada, Europa, Marea Britanie, i Statele Unite au fost formate pentru a aborda aceast standardizare. n timpul conferinei Hi-Tech Crime and Forensics Conference (IHCFC) din octombrie 1999, IOCE a inut ntlniri i un workshop care a revizuit Ghidul de bune practici al Marii Britanii i Proiectele de standarde ale SWGDE. Grupul de lucru a propus urmtoarele principii, care au fost votate de ctre delegaiile IOCE cu aprobare unanim: Coerena cu toate sistemele juridice; Utilizarea unui limbaj comun; Durabilitate; Abilitatea de a insufla ncredere n integritatea probelor; Aplicabilitatea la toate probele digitale; Aplicabilitate la fiecare nivel, individ, agenie, ar.12
12
tuturor persoanelor care au avut acces la probe. Dac se ajunge la tribunal, lanul de custodie este primul lucru care este pus la ndoial de aprarea acuzatului. Lanul de custodie este un document scris care descrie n amnunt modul n care probele au fost identificate, colectate, stocate i manipulate, de cine, cnd i n ce scop. Potrivit documentului RFC 3227, Guidelines for Evidence Collection and Handling, 13 al organizaiei IETF14 (The Internet Engineering Task Force), lanul de custodie ar trebui s furnizeze urmtoarele: Unde,cnd i de ctre cine au fost descoperite i colectate probele digitale; Unde, cnd i de ctre cine au fost examinate i manipulate probele digitale; Cine a avut posesia probelor digitale, cum au fost stocate i cnd; Cnd au fost schimbai posesorii probelor, de ce i cnd , unde i cum a avut loc schimbul; Descrierea fizic a echipamentului pe care sunt pstrate probele digitale (productor, model, SN, mrimea unitii, etc.); Valorile Hash, dac este cazul. Exemplu de Jurnal de eviden a custodiei:
Descriere prob/numr
Data achiziie
Locul achiziiei
Metoda achiziiei
Achiziionat de la
Semntura
Locul stocrii
Data transferrii
Transferat la
Motivul transferrii
Semntura
Locul stocrii
13 14
http://www.faqs.org/rfcs/rfc3227.html http://www.ietf.org/
echipamentului suspect (nchis sau deschis, conectat sau nu la reea/Internet). Aceste informaii se refer n general la cele stocate pe hard disk-uri, medii portabile precum uniti de stocare USB, dischete floppy, CD-uri i DVD-uri, etc. Ordinea general acceptat a volatilitii probelor digitale, de la cele mai volatile la cele nonvolatile este prezentat n figura 1.
Validarea i examinarea probelor digitale volatile ct i nevolatile ajut la scrierea povetii probei la momentul colectrii. n cazul codului maliios care ruleaz strict n memorie povestea este spus n ntregime de memoria RAM.
Adaptat dup Handbook of Information Security, Volume 2, Hossein Bidgoli, pagina 660
14
Valoarea unei probe digitale este dat de modul cum supravieuiete contestaiilor. Pentru aceasta trebuie dovedit c se afl exact n aceeai stare n care a fost gsit i colectat. Cea mai utilizat metod de a oferi o astfel de certitudine este o sum de control precum MD5 sau SHA-1. O astfel de sum de control calculeaz o valoare unic numit hash care este echivalentul unei amprente n identificarea unei persoane. Valoarea hash este reprezentat de o valoare hexazecimal de 16 caractere calculat pe baza coninutului unui fiier sau a unui disc. Odat ce valoarea hash original a fost calculat, de fiecare dat cnd se va folosi o metoda de calcul asupra probei respective ea trebuie s fie identic. Acest lucru este posibil doar dac proba nu a fost modificat. Chiar i o operaiune minor precum deschiderea unui fiier pe un calculator cu sistem de operare Windows Windows ne poate compromite valoarea hash. n momentul n care deschidem documentul se schimb cel puin data i timpul ultimei accesri rezultnd o valoare hash nou. Orice prob digital poate fi identificat unic de aceast valoare hash chiar i cele volatile. Probele volatile trebuie colectate pe medii n format write-once/read many, adic proba original este scris pe un CD, de exemplu, care nu mai poate fi alterat dect prin compromitere fizic. Ca un ultim pas al colectrii ar trebui s se calculeze o valoare hash a discului care mai apoi va fi notat n lanul de custodie. Pentru a colecta i salva corespunztor probele non-volatile este nevoie de un alt procedeu i anume copierea la nivel de bit (bit-level copy) a hard disk-ului. Acest lucru poate fi realizat att cu software comercial dar i freeware. Aceast metod este superioar unei simple copieri deoarece informaiile de pe un hard disk sunt duplicate la nivel de bit ceea ce nseamn c sunt identice cu cele originale. Copierea simpl va schimba data i timpul de pe documentul respectiv lucru care poate fi reflectat cu valoarea hash. Pentru a ne asigura c probele sunt n siguran i nu vor fi modificate, examinarea acestora se va realiza pe o copie la nivel de bit. Originalul trebuie pstrat ntr-un container protejat de energie static i alte intemperii, un seif la care se aib acces ct mai puini oameni posibil iar fiecare acces la seif trebui documentat riguros. Prezentarea probelor digitale este probabil partea cea mai uoar etap a ntregului proces. La nceput sunt prezentate probele fizice hard disk-uri, carduri de memorie, CD-uri, etc. nregistrrile din timpul examinrii, lanul de custodie, rapoartele autogenerate disponibile cu softurile comerciale, log-uri (bash din Linux) sunt documentele care susin cazul i atest c pe dovezile fizice artate exist dovezi care incrimineaz suspectul. Dac aceste documente sunt bine realizate i nu las loc de dubiu cu privire la modul de operare n gsirea, colectarea, analiza i pstrarea probelor procesul este ca i ctigat. Cuvintele cheie ntr-o astfel de prezentare sunt validare, autentificare si non-repudiere.
Adaptat dup Handbook of Information Security, Volume 2, Hossein Bidgoli, pagina 660
puin de 10 ani de nchisoare pentru managementul companiei i o amend substanial de 5 milioane de dolari. n Romnia, pstrarea documentelor este reglementat prin Legea contabilitii nr. 82/1991 i Norma metodologic din 14/12/2004 de ntocmire i utilizare a registrelor i formularelor comune pe economie privind activitatea financiar i contabil. Cnd vine vorba de litigii, companiile sunt obligate s pstreze documentele altfel pot fi nvinovite de distrugerea probelor incriminatorii i luare parte la litigii. n afar de reglementari ale statului, companiile ar trebui s aib propriile politici de pstrare a documentelor, inclusiv cele digitale i revizuirea acestora ar trebui s fie un rol important pentru auditul intern. Distrugerea documentelor electronice nu e aa simpl precum a fost colectarea ei. Dac tergem un document de pe hard disk acesta nu a fost ters cu adevrat ci este marcat ca spaiu liber peste care se pot scrie noi documente. Aadar, pentru distrugerea probelor digitale avem dou opiuni i anume rescrierea dispozitivului respectiv n ntregime de cteva ori pentru a ne asigura c documentele vizate au fost terse prin suprascriere i cea de a doua variant, distrugerea fizic a dispozitivului de stocare. Exist multe programe software care pot rescrie dispozitive de stocare. Un best practice este considerat rescrierea dispozitivului respectiv cu 0-uri i 1 aleatorii pe toat suprafaa acestuia de 3 ori. Departamentul de aprare SUA recomand ca echipamentul sa fie ters de 7 ori nainte de a fi dat spre re-utilizare. Investigatorul trebuie s ia toate msurile necesare pentru a colecta, pstra i transporta probele digitale fr a le compromite: recunoaterea, identificarea, sechestrarea i securizarea probelor digitale la locul infraciunii documentarea scenei infraciunii i a locului n care a fost identificat proba digital colectarea, etichetarea i conservarea probei digitale transportul securizat al probei digitale nu se apas nici o tast i nu se execut nici un clik de mouse.
16
3.1 Calculatoare
Un calculator este un ansamblu software i hardware realizat cu scopul de a prelucra date i poate s includ: o carcas n care sunt ncorporate placa de baz, procesorul, hard disk-ul, memoria intern i diferite interfee pentru conectarea altor echipamente periferice. monitor tastatur mouse periferice sau echipamente externe conectate. Am folosit termenul generic de calculator dar vom nelege n scopul acestui material i laptop-urile/notebook-urile, sistemele instalate n stive, mini calculatoarele etc.
amovibile/detaabile/mobile (floppy disks, CD-ROM, DVD, Zip disk, benzi magnetice, flash memory) respectiv non-amovibile (hard disk). Din punct de vedere al tehnologiei utilizat pentru scrierea i stocarea cele dou categorii de medii de stocare folosesc fie scrierea optic fie scrierea magnetic. Despre cele de mai sus am spus c sunt medii de stocare tradiionale. Dei sunt nc folosite pe scar larg, ncetul cu ncetul au ajuns s fie nlocuite de dispozitivele USB, cardurile de memorie tip solid-state sau MP3 players. Toate aceste dispozitive pot fi folosite i ca dispozitive de stocare a datelor, altele dect cele pentru care au fost iniial proiectate.
Figura nr. 3.2 - Componentele interne ale unui hard disk (Sursa: http://www.hdd-tool.com/hdd-basic/hard-disk-and-hard-drive-physical-components.htm)
Din punctul de vedere al componentelor ne intereseaz: geometria: structura platanelor, pistelor i sectoarelor capul de citire/scriere: elementul prin intermediul cruia informaiile sunt citite/scrise pe un hard disk. Exist cte un cap pe fiecare platan pistele/tracks: sunt cercuri concentrice pe platanul unui disc. Datele sunt scrise pe piste
17
18
cilindrii: o coloan de piste de pe dou sau mai multe platane. n mod normal, fiecare platan are dou suprafee sectorul: o seciune de pe o pist cu o dimensiune de 512 bytes. Figura de mai jos sintetizeaz aceste informaii.
(Sursa: Adaptare dup David Tarnoff Computer organization and design fundamentals Examining Computer Hardware from the Bottom to the Top, 2007) Locul de amplasare i numrul de sectoare de pe un disc sunt determinate i scrise permanent de ctre productor prin intermediul low-level format. Zona dintre sectoarele de pe un hard disc se numete Intersector Gap. Din punct de vedere al organizrii logice, exist un prefix ce conine numrul sectorului i al pistei pentru a permite capului de citire/ scriere s determine localizarea fizic a acestor elemente precum i existena unui bit deteriorat pentru a marca un sector ca inutilizabil n situaia n care acesta devine imposibil de citit. Cmpul Sync este un model alternativ utilizat de ctre unitate pentru sincronizri. Cmpul Error Correcting Code (ECC) este adugat de unitatea hardware pentru a detecta erorile la nivel de bii din datele stocate. Hard discurile interne actuale (precum i unitile de band magnetic) se bazeaz pe dou standarde de interfaare: SCSI (Small Computer System Interface) 18 i SATA (Serial Advanced Technology Attachment). n cadrul acestor standarde de interfaare se ntlnesc mai multe generaii tehnologice care reflect evoluia n timp.
18
Pentru fiecare din aceste dou standarde exist aspecte specifice pe care investigatorul trebuie s le aib n vedere. n cazul SATA exist posibilitatea securizrii hard disk-ului cu ajutorul unei parole, distinct de parola BIOS ce protejeaz calculatorul n momentul alimentrii cu energie electric. De obicei aceast facilitate este ntlnit n cazul hard disk-urilor laptop-urilor. Chiar dac nu este tiut, parola de BIOS poate fi ocolit relativ simplu: se instaleaz hard diskul pe un alt calculator. n cazul SATA, parola este scris chiar pe hard disk, ne-parolat. Exist dou tipuri de astfel de parole: user password i master password. n cazul n care parola utilizator nu este disponibil investigatorului, se poate cuta parola Master de la productorul hard disk-ului, calculatorului sau compania care administreaz calculatorul. Dac acest lucru nu este posibil se achiziioneaz o soluie de deblocare a hard diskului i se instaleaz mpreun cu hard disk-ul inaccesibil pe un calculator funcionabil. Mai exist i posibilitatea aplicrii unor tehnici de inginerie social pentru a afla parola. n ceea ce privete achiziia datelor de pe discuri SCSI, ori de cte ori este posibil, acest lucru trebuie realizat pe calculatorul original. Se impune o astfel de abordare ca efect al versiunilor de standard existente: (SCSI-1, SCSI-2, sau SCSI-3). Mai exist o situaie: hard disk-urile externe. Din punct de vedere al conectrii aceste hard disk-uri folosesc dou standarde: USB (Universal Serial Bus) i FireWire (IEEE 1394). Din aceast cauz este important ca investigatorul s aib pe calculatorul su astfel de porturi. Pentru a oferi toleran n cazul unor evenimente neprevzute, majoritatea serverelor folosesc hard diskuri configurate n sistem RAID - (Redundant Array of Inexpensive Disks). Sistemele de hard disk-uri RAID pot fi configurate cu ajutorul hardware (controller) sau software.
guvernrii i securitii IT, copiile de siguran/benzile magnetice nu sunt pstrate n sediul principal ci ntr-un alt sediu/amplasament. Cnd se confrunt cu acest tip de medii de stocare, un investigator trebuie s aib n vedere trei aspecte: hardware, software i capacitatea. Din punct de vedere hardware, cele mai folosite tehnologii sunt: DLT (Digital Linear Tape), LTO (Linear Tape-Open), Exabyte, AIT (Advanced Intelligent Tape), DAT (Digital Audio Tape) i QIC (Quarter inch cartridge)19. n plus, fiecare dintre aceste tehnologii vine ntr-o varietate de dimensiuni. O anumit unitate poate sau nu poate fi capabil s citeasc versiuni mai vechi sau mai noi ale aceleiai tehnologii. Ca rezultat, este de o importan major ca dispozitivul de band s fie achiziionat mpreun cu tipul de benzi specifice.
Din punct de vedere software, majoritatea productorilor de soluii tip backup folosesc formate diferite pentru stocare datelor. n cazul Microsoft avem de a face cu MTF Microsoft Tape Format. Ca efect al caracteristicilor fiecrui produs n parte, este posibil ca n cazul recuperrii datelor de pe benzi magnetice s fie nevoie de software-ul productorului respectivului dispozitiv. Din punctul de vedere al capacitii foarte mari de stocare, investigatorul trebuie s in cont c realizarea unei copii bit cu bit este aproape imposibil n lipsa unui dispozitiv de stocare similar. Prin urmare investigatorul se va concentra n primul rnd pe identificare fiierelor relevante pentru investigaie.
3.2.3. CD i DVD
Mediile optice prezint trei formate de scriere a datelor: inscripionabile o singur dat, reinscripionabile i prin presare (n cazul produciei de mas). Nu este n scopul acestui material s intr n prea multe detalii tehnice cu privire la tehnologiile utilizate pentru fiecare caz n parte. Microsoft folosete CDFS - CD File System, o versiune a standardului ISO 9660 pentru stocarea optic a datelor. Investigatorul trebuie s tie c exist o limit de 32 de caractere pentru numele fiierelor, dincolo de care numele va fi trunchiat. n aceste situaii este nevoie de o analiz a fiierelor pentru a identifica mai nti coninutul care face scopul investigaiei. n cazul DVD-urilor se folosete Universal Disk Format (UDF), un standard ce ofer suport att pentru numele lungi de fiiere ct i pentru caracterele Unicode.
19
La nceput, capacitatea de stocare a USB flash drive-urilor era redus. Astzi, datorit evoluiilor tehnologice, aceste dispozitive nu mai sunt folosite doar pentru stocarea transferul fiierelor ci pot s conin variante de sisteme de operare folosite pentru pornirea calculatoarelor. n ultimul timp multe astfel de dispozitive sunt livrate cu capabiliti de protejare a accesului prin parol.
22
Capitolul 4.
n perioada actual, cnd aproape toate dispozitivele electronice au posibilitatea de interconectare la Internet, este aproape imposibil s tratm domeniul investigaiilor informatice fr a aminti despre cteva aspecte legate de reele de calculatoare. Conceptul de nivel este folosit pentru a v ajuta s nelegei aciunile i procesele ce apar n timpul transmiterii informaiilor de la un calculator la altul. ntr-o reea, comunicarea are la origine o surs, apoi informaia circul pn la o destinaie. Informaiile care traverseaz reeaua sunt referite ca date, pachete sau pachete de date. Adresa surs a unui pachet de date specific identitatea calculatorului care transmite respectivul pachet. Adresa destinaie precizeaz identitatea calculatorului care va recepiona pachetul. Datele sunt grupate n uniti logice de informaii. Ele includ utilizatorul respectivelor informaii i alte elemente pe baza crora este posibil comunicarea. Datele dintr-un calculator sunt reprezentate prin bii. Dac un calculator ar transmite doar unul sau doi bii, nu ar fi o manier prea eficient de comunicare. Prin urmare, are loc o grupare a acestora n kilo, mega sau gigabytes. Am fcut deja referire la un alt element ntlnit n reelele de calculatoare: mediul. Acesta reprezint un material prin care sunt transmise datele, i poate fi unul din urmtoarele elemente: cablu telefonic; cablu UTP; cablu coaxial (cablu TV); fibr optic; alte tipuri de cabluri bazate pe cupru Mai exist i alte tipuri de media. n primul rnd este vorba de atmosfera prin care se propag undele radio, microundele i lumina. n al doilea rnd este vorba de undele electromagnetice care traverseaz Cosmosul, unde n mod virtual nu exist molecule sau atomi. n aceste cazuri, comunicaia este denumit fr fir. Protocolul reprezint un set de reguli pe baza cruia se determin forma datelor i transmisia acestora. Exemplu lui Andrew Tanenbaum20 (comunicarea ntre doi filosofi) este un nceput bun pentru a nelege ce presupune comunicarea bazat pe niveluri i protocoale (fig. 1.3.1.). Nivelul n al unui calculator poate comunica cu nivelul n al altuia, nu direct ci prin intermediul nivelului inferior. Prin urmare se spune c regulile folosite n comunicare se numesc protocoale de nivel n.
20
Adaptare dup Andrew S. Tanenbaum: "Retele de calculatoare", Editia a treia, Editura Agora, Tg. Mures, 1998, pg. 18
24
Un alt exemplu pentru explicarea transferului ntre dou calculatoare este modul n care putem citi o pagin web aflat pe un calculator situat la mare distan: utilizatorul lanseaz un program pentru vizualizarea paginilor web (browser); browserul este entitatea aplicaie care va negocia pentru noi obinerea paginii; nivelul aplicaie va identifica existena resursei cerute de client (clientul este browserul, care-l reprezint pe utilizator n aceast tranzacie) i a posesorului acestea (serverul neles ca fiind entitatea ce ofer resursa cerut, nu calculatorul central al unei reele; n cazul nostru, avem de-a face cu un server de web). Se realizeaz autentificarea serverului (se verific dac partenerul este ntr-adevr cine pretinde c este i se stabilete dac acesta este disponibil); nivelul sesiune va stabili o conexiune ntre procesul client i procesul server; nivelul transport se va ocupa de ntreinerea conexiunii i de corectarea erorilor netratate la nivelul reea; nivelul reea va asigura transferul datelor n secvene (pachete), stabilind drumul acestora ntre server i client.
D e n u m ire a in fo rm a tiilo r
D e n u m ire a n ive lu lu i
D a te
A p lic a tie
P ro ce sa re a a p licatiilo r
D a te
P re ze n ta re
R e p re ze n ta re d a te si crip ta re
D a te
S e s iu n e
C o m u n ica re a n tre sta tii
S e g m e n te
T ra n sp o rt
C o n e xiu n ile fin a le
P a c h ete
R e te a
S e le ctia tra se u lu i si a d re sa re a
C a d re
L e g atu ra d a te
A d re sa re a fizica
B iti
F iz ic
M e d ii, se m n a le , b iti
Modelul de referin OSI, este primul model pentru standardizarea comunicaiilor n reele. Exist i alte modele, dar majoritatea productorilor de echipamente respect aceste standarde. Acest model permite utilizatorilor s vad funciile reelei pe msur ce ele apar la fiecare nivel n parte. Chiar dac pare destul de abstract, este un instrument foarte bun pentru a ilustra modul n care informaiile traverseaz o reea: explic vizual circulaia datelor de la o aplicaie, ctre mediul fizic de transmisie i apoi ctre o alt aplicaie localizat pe un calculator din reea, chiar dac expeditorul i destinatarul fac parte din reele cu topologii diferite. Dup cum se vede i din figura alturat, n modelul de referin OSI exist 7 niveluri, fiecare dintre acestea ilustrnd o funcie particular a reelei. Separarea ntre funciile reelei este denumit nivelare (layering).
A p lic a tie P re z e n ta re S e s iu n e T ra n s p o rt R e te a L e g a tu ra d a te F iz ic
A n te t P re ze n ta re
A n te t S e siu n e
AS AS AS AS
A n te t T ra n sp o rt
AT AT AT
A n te t R e te a
AR
A n te t L e ga tu ra D a te
ALD AR
B iti D e s tin a ta r
Cnd aplicaia de pe calculatorul surs transmite, datele sunt grupate sub forma pachetelor ce traverseaz n jos nivelurile inferioare. La nivel fizic, bii sunt convertii sub forma de impuls electric, und radio sau lumin. La destinaie, datele sufer un proces invers pn la nivelul aplicaie. Pe msur ce datele traverseaz n jos cele 7 niveluri, primesc informaii suplimentare (antete sau trailere). n timpul ncapsulrii, datele din pachet nu sunt modificate. Modelul OSI este doar un model de arhitectur de reea, deoarece spune numai ceea ce ar trebui s fac fiecare nivel, dar nu specific serviciile i protocoalele utilizate la fiecare nivel. Fiecare nivel al modelului OSI are un set predeterminat de funcii pe care le realizeaz pentru a duce la bun sfrit comunicarea. Nivelul 1: Fizic Acest prim nivel ndeplinete sarcinile cerute de nivelul legtur date i vizeaz componentele hardware din reea, specificaiile electrice, mediile de transmisie. Altfel spus se ocup mai mult de parte electric/electronic a comunicaiei principalele sale sarcini fiind: iniierea i finalizarea conexiunilor ctre mediul fizic de transmisie; particip la controlul fluxului de date transmise pe un mediu; conversia datelor din formatul digital n semnale transmise pe un mediu. Putem face o analogie ntre acces nivel i instrumentele de lucru din procesorul de texte WORD: diferite formate de pagin, diferite tipuri de fonturi, culori diferite pentru fonturi etc. 26
Nivelul 2: Legtur date Este nivelul care asigur mecanismele procedurale i funcionale prin care se transmit datele ntre nodurile unei reele prin tranzitarea lor de la nivelul fizic pe baza adresrii fizice, topologiei reelei, notificrii erorilor, ordonarea cardurilor i controlul fluxului informaional. Gndii-v la controlul accesului pe un aeroport. Nivelul 3: Reea Este unul dintre cele mai complexe niveluri; asigur conectivitatea i selecia cilor de comunicaie ntre dou sisteme ce pot fi localizate n zone geografice diferite. Principala sa sarcin o reprezint transmiterea informaiilor de la calculatorul surs ctre calculatorul destinatar. Pentru a rezolva aceast problem, nivelul reea este cel care va selecta i traseul pe care vor fi transportate informaiile, indiferent de lungimea lor. Poate fi asemuit cu mecanismul prin care sunt dirijate trenurile ntr-o gar. Nivelul 4: Transport Este nivelul la care are loc segmentarea i reasamblarea datelor. El furnizeaz un serviciu pentru transportul datelor ctre nivelurile superioare, i n special caut s vad ct de sigur este acesta. Nivelul transport ofer mecanisme prin care stabilete, ntreine i ordon nchiderea circuitelor virtuale; detecteaz cderea unui transport i dispune refacerea acestuia; controleaz fluxul de date pentru a preveni rescrierea acestora. Gndii-v la calitatea serviciilor sau la ncredere! Nivelul 5: Sesiune Dup cum spune chiar numele su, acest nivel stabilete, gestioneaz i finalizeaz sesiunile de comunicaie ntre aplicaii. Prin sesiune se nelege dialogul ntre dou sau mai multe staii de lucru/echipamente de reea. Nivelul sesiune sincronizeaz dialogul ntre nivelurile sesiune ale entitilor i gestioneaz schimbul de date ntre acestea. n plus, acest nivel ofer garanii n ceea ce privete expedierea datelor, clase de servicii i raportarea erorilor. n cteva cuvinte, acest nivel poate fi asemuit cu dialogul uman. Nivelul 6: Prezentare Este nivelul care asigur c informaiile pe care nivelul aplicaie al unui sistem le transmite, pot fi citite de ctre nivelul aplicaie al altui sistem. Atunci cnd este necesar, nivelul aplicaie face translaie ntre diferitele formate ale datelor folosind un format comun pentru reprezentarea acestora. Trebuie s privii acest nivel ca cel la care are loc codificarea datelor n format ASCII, de exemplu. Nivelul 7: Aplicaie Poetic vorbind, este nivelul situat cel mai aproape de inima utilizatorului. Prin ce difer de celelalte niveluri ale modelului? Ofer servicii pentru aplicaiile utilizatorilor dar nu ofer servicii celorlalte niveluri. Nivelul aplicaie identific i stabilete disponibilitatea partenerului de comunicaie, sincronizeaz aplicaiile ntre ele i stabilete procedurile pentru controlul integritii datelor i erorilor. De asemenea identific dac exist suficiente resurse pentru a sprijini comunicaia ntre parteneri. Pentru a fi mai uor s v amintii despre acest nivel, gndii-v la telecomanda TV: o folosii dar nu tii ce se ntmpl n interiorul su..
Am nceput acest capitol cu modelul OSI deoarece reprezint abecedarul acestui domeniu, fiind mai mult un instrument academic folosit pentru nelegerea conceptelor folosite n domeniul comunicaiilor de date Cu toate acestea, pentru transmisiile de date din cea mai mare reea existent Internetul, standardul folosit este TCP/IP (Transport Control Protocol/Internet Protocol). Acest model a fost creat de Ministerul Aprrii din SUA care a dorit s construiasc o reea capabil s reziste n orice condiii, chiar i ntr-un rzboi nuclear. Era extrem de important s fie creat o reea capabil s opereze cu o infrastructur distrus n proporie de peste 90%, fr s aib vreo importan starea fizic a anumitor segmente ale reelei. Astzi, termenul generic TCP/IP cam tot ce are legtur cu protocoalele TCP i IP. Spre deosebire de OSI, modelul TCP/IP are doar patru niveluri: aplicaie, transport, internet/inter-reea i legtur date. Dei exist niveluri cu acelai nume ca la modelul OSI, nu trebuie confundate cu acelea pentru c fiecare nivel are funcii total diferite. Nivelul aplicaie Proiectanii TCP/IP au considerat c protocoalele de nivel A p lic a tie nalt din acest model trebuie s includ detalii cu privire la sesiunile de lucru i modul de prezentare a datelor. Astfel, ntr-un singur nivel T ra n s p o rt sunt combinate toate facilitile legate de reprezentarea datelor, codificare i controlul dialogului. R e te a Nivelul transport Acest nivel vizeaz calitatea serviciilor oferite: ncrederea n transmisie, controlul fluxului de date i corectarea erorilor. Unul din protocoalele ntlnite la acest nivel (Transport Control Protocol), ofer o modalitate flexibil de realizare a comunicaiilor n reea. Fiind un protocol orientat conexiune, dialogul dintre surs i destinaie se realizeaz prin mpachetarea informaiilor de la acest nivel n segmente. Orientarea ctre conexiune nu nseamn c ntre calculatoarele care comunic exist vreun circuit, ci c segmentele nivelului 4 circul nainte i napoi ntre cele dou calculatoare ntr-o perioad de timp dat.
L e g a tu ra d a te
Nivelul internet/reea Scopul acestui nivel este de a trimite pachetele surs din orice reea ctre o alta, i s fac astfel nct acestea s ajung la destinaie indiferent de ruta i reeaua din care au fost transmise. Protocolul care guverneaz acest nivel este Internet Protocol, funciile ndeplinite de acesta fiind determinarea i comutarea pachetelor (gndii-v la sistemul potal). Nivelul legtur date Numele acestui nivel este cam general n cazul acestui model i de multe ori creeaz confuzie. Este nivelul care include detalii despre tehnologiile LAN/WAN, precum i toate detaliile incluse in nivelele fizic i legtur date din modelul OSI. De ce trebuie s nvai despre dou modele cnd unul (cel mai adesea TCP/IP) ar fi suficient? Specialitii prefer modelul OSI pentru analize mai atente i ca fundament n orice discuie legat de reele. Este adevrat c TCP/IP este mai folositor pentru c este implementat n lumea reala. Ca utilizatori finali avei de-a face numai cu nivelul Aplicaie, dar cunoaterea detaliat a nivelurilor este vital pentru realizarea unei reele. Este adevrat c majoritatea utilizatorilor nu tiu mai nimic despre protocoale de rutare sau alte detalii, dar este de asemenea adevrat c aceti utilizatori nu trebuie s realizeze reele scalabile i sigure (i nici nu au de dat examene la astfel de discipline). Chiar dac sunt voci care consider drept imbecil modelul OSI, noi ne poziionm de cealalt parte a baricadei i preferm s l folosim atunci cnd ncercm s explicm modul de funcionare a reelelor. Nu facem altceva dect s fim de acord Cu Andrew Tanembaum: modelul 28
OSI a fost dezvoltat naintea de a fi concepute protocoalele n timp ce modelul TCP/IP a aprut dup ce au fost descrise protocoalele!
Prin reea datele circul n serie (un bit odat, sau n serie) n timp ce n interiorul calculatorului circul n paralel (16, 32 sau 64 bii odat, n funcie de bus-ul sistemului). Prin urmare, cartela de reea trebuie s converteasc datele care circul n interiorul PC-ului n format serial. Pentru a funciona, fiecare NIC necesit o ntrerupere (IRQ-Interrupt Request Line), o adres I/O i o adres de memorie. ntreruperea o putei asocia unei resurse prin care procesorul i celelalte componente ale PC-ului i acord atenie unele altora. Unele din aceste ntreruperi sunt atribuite anumitor dispozitive chiar dac acestea nu au fost nc instalate fizic n calculator (de exemplu LPT2 pentru o a doua imprimant). n cazul plcilor de reea, atribuirea unei ntreruperi depinde de numrul ntreruperii disponibil pe calculator i de numrul ntreruperii prin care placa de reea a fost proiectat s acceseze sistemul. Dac ntreruperea pe care este proiectat s lucreze placa de reea este ocupat de alt dispozitiv, trebuie s rezolvai conflictul care apare reconfigurnd cartela s lucreze pe alt ntrerupere. Detalii despre toate ntreruperile unui PC gsii la adresa http://www.pcguide.com/ref/mbsys/res/irq. Adresa de memorie (Memory I/O Address) va conine informaii despre zona de memorie pe care respectivul dispozitiv i sistemul de operare o vor folosi pentru a-i transmite date. Intervalul uzual de adrese
21
Standardul Peripheral Component Interconnect (PCI) definete specificaiile prin care perifericele unui calculator vor fi ataate plcii de baz
pe care o placa de reea l folosete este 0x240-0x360. O parte din aceste adrese sunt deja atribuite unor dispozitive. De exemplu adresa 0x278 este folosit de cel de al doilea port paralel iar 0x378 de primul. Cartele de sunet pot folosi 0x220 iar drive-urile CDROM pot folosi 0x300. Pe lng cartela de reea clasic, ce necesit un cablu pentru a putea comunica, astzi putem discuta i de cartelele wireless22. Spre deosebire de cartelele clasice, WNIC comunic prin intermediul unei antene. Pot fi instalate pe un slot PCI/PCMCIA23, un port USB24 sau pot fi integrate. O cartele de reea wireless poate opera n dou moduri: ad hoc i infrastructur. n primul caz, calculatorul poate comunica direct cu alte dispozitive fr a fi nevoie de alte echipamente sau configuraii suplimentare. Singura condiie ce trebuie ndeplinit este ca toate dispozitivele n cauz s foloseasc acelai canal de comunicaie. n cel de al doilea caz avem nevoie de un access point (punct de acces). Calculatoarele care se conecteaz la acest access point trebuie s foloseasc acelai identificator al setului de servicii (SSID25). n cazul n care securitatea reelei este asigurat cu ajutorul Wired Equivalent Privacy (WEP)26 la nivelul access point-ului, toate calculatoarele trebuie s foloseasc aceeai cheie WEP.
Wireless Network Interface Card (WNIC) Personal Computer Memory Card International Association specificaiile pentru cardurile ataate laptopurilor 24 Universal Serial Bus (USB) un port serial prin intermediul cruia pot fi ataate mai multe dispozitive unui calculator 25 SSID o secven de cod ataat pachetelor transmise prin reeaua wireless pentru a identifica pachetele ca fcnd parte din acea reea. 26 Este cea mai simpl metod de protecie a reelelor wireless i relativ simplu de depit.
30
conectorului. Foiled twisted pair (FTP) Cablul FTP se aseamn cu UTP cu deosebirea c cele 4 perechi de fire sunt protejate de o folie de aluminiu. Dei a fost proiectat pentru a fi folosit n zonele cu ecranare mare, la noi se folosete mai ales n reele de cartier la cablarea ntre cldiri. Dezavantajul acestui cablu este dat tocmai de folia de aluminiu care trebuie s fac parte din circuit, asigurnd mpmntarea.
Fibra optic Fibra optic este mediul care asigur transmiterea luminii, modulat la o anumit frecven. Comparativ cu alte medii de transmisie, fibra optic este cea mai costisitoare, dar nu este susceptibil la interferene electromagnetice i n plus asigur rate de transfer mult mai ridicate dect celelalte categorii de medii. Cablul fibr optic const n dou fibre de sticl mbrcate separat ntr-un nveli de plastic (materialul se numete Kevlar). Cele dou fibre formeaz inima acestui mediu de transmisie, sticla din care sunt realizate avnd un grad ridicat de refracie. Vom reveni cu mai multe detalii. Prin prisma standardelor IEEE 802.3, Ethernetul folosete doar cteva din standardele existente n materie de cabluri: 10Base5, 10Base2, 10BaseT, 10 BaseF, 100BaseF. Notaia anterioar nseamn c reeaua folosete o anumit lime de band, utilizeaz semnalizarea n band de baz i poate suporta segmente de diferite lungimi pe diferite medii de transmisie. Vom face o prezentare sintetizat a acestor standarde.
Fiecare hub are propriul su port prin care se conecteaz la reea i mai multe porturi disponibile pentru calculatoare. Unele hub-uri au un port prin care pot fi legate de o consol, ceea ce nseamn c sunt hub-uri gestionabile/cu management. Majoritatea ns, sunt dumb hubs (huburi proaste) deoarece doar preiau un semnal din reea i l repet ctre fiecare port n parte. Huburile se comport ca i cum ar fi mai multe calculatoare pe un cablu partajat, altfel spus un singur port transmite la un moment dat. Celelalte porturi i implicit calculatoarele de la captul legturii rspund de detectarea eventualelor coliziuni i de reluarea transmisiei n cazul apariiei lor. Principala problem care apare n cazul folosirii hub-urilor o reprezint coliziunea pachetelor pe segmentul respectiv de reea. Switch-ul/Comutatorul La prima vedere un switch seamn foarte bine cu un hub, dar dup cum vedei, simbolul su arat un flux informaional bidirecional. Menirea acestui dispozitiv este de a concentra conectivitatea garantnd n acelai timp limea de band. Switch-ul este un dispozitiv ce combin conectivitatea unui hub cu posibilitatea regularizrii traficului pentru fiecare port. Ca manier de lucru, el comut pachetele de pe porturile transmitoare ctre cele destinatare, asigurnd fiecrui port limea de band maxim a reelei. Aceast comutare a pachetelor se face pe baza adresei MAC, ceea ce face din switch un dispozitiv de nivel 2. Router-ul27 Simbolul router-ului descrie foarte bine cele dou funcii ale sale: selecia cii de transmitere a informaiilor i comutarea pachetelor ctre cea mai bun rut. Fizic, routerele se prezint sub o mulime de forme, n funcie de model i de productor. Componentele principale ale routerului sunt interfeele prin care reeaua proprietar se conecteaz la alte segmente de reea. Din acest motiv el este considerat un dispozitiv inter-reele. Scopul routerului este s examineze pachetele recepionate, s aleag cea mai bun cale de transmitere a acestora i n final s le transfere ctre portul corespunztor. Pentru reelele mari, el reprezint cel mai important dispozitiv prin care se regleaz traficul reelei. Deciziile routerului n ceea ce privete selectarea cii de rutare se iau pe baza informaiilor de la nivelul 3 (adresele de reea), motiv pentru care sunt considerate echipamente de nivel 3. De asemenea, ele asigur conectivitate pentru diferitele tehnologii ale nivelului2: Ethernet, Token Ring, FDDI. n concluzie: Echipament Nivelul OSI la care lucreaz Repetoare/huburi 1 Bridge 2 Switch Ruter 2 3 Protocol Transparent Transparent Transparent Dedicat Domeniu Amplific semnalul Domeniu de coliziune Domeniu de coliziune Domeniu de broadcast Cu ce lucreaz Biti Cadre Cadre Pachete
32
Numr serial
24 biti
24 biti
6 cifre n hexa
6 cifre n hexa
00 60 2F
3A 07 BC
Cum ziceam i n introducere, teoria merge de mn cu practica. De aici i ncercarea noastr de a prezenta un posibil scenariu de depanare a problemelor care pot s apar la nivelul fizic al reelei. Dei suntem abia la nivelul 1 al modelului OSI este posibil s facem trimitere la lucruri nespuse nc. n acest caz trebuie doar s facei un salt nainte ctre paginile cu pricina.
RTL
#dispozitiv
de transmisie, NIC-ul fiecrui calculator din reea verific dac adresa sa MAC corespunde adresei destinaie inclus n pachet. Dac adresele nu sunt identice, NIC ignor datele din pachet, date ce continu s circule ctre urmtoarea destinaie. Dac adresele sunt identice, NIC face o copie a pachetului cu date i plaseaz aceast copie n calculator, la nivelul legtur de date. Pachetul original va continua s circule prin reea, ctre alte destinaii, unde se va verifica corespondena dintre adresele MAC. Dezavantajul major al adresrii MAC const n faptul c aceste adrese nu au o structur strict definit: vnztorii au OUI-uri diferite. Altfel spus, adresarea MAC nu este o adresare ierarhic, dup cum se va vedea c este adresarea IP. Pe msur ce reeaua crete, acest dezavantaj devine o problem major. Nu uitai: de fiecare dat cnd se discut de adresa MAC trebuie s v gndii la nivelul legtur date.
4.6 Adrese IP
Nivelul reea joac un rol important n transmisia datelor: folosete o schem de adresare pe care se bazeaz echipamentele pentru a determina care este destinaia datelor pe care le transmit. Protocoalele care nu sunt suportate de nivelul 3 pot fi folosite doar n reelele de dimensiuni mici. Aceste protocoale folosesc de obicei un nume pentru a identifica un calculator din reea (cum ar fi adresa MAC). Dar, pe msur ce reeaua se dezvolt, organizarea acestor nume devine un calvar. Dac vrem s interconectm ntre ele dou subreele va trebui s verificm dac numele calculatoarelor din cele dou subreele nu sunt duplicate. Internetul a ajuns astzi o colecie de segmente de reea care partajeaz n comun resurse informaionale. Echipamentele de nivel 3 folosite la interconectarea reelelor sunt router-ele. Acestea sunt capabile s ia decizii logice cu privire la traseul cel mai bun pe care trebuie s-l urmeze un pachet prin reea. Internet Protocol reprezint cea mai folosit schem de adresare ierarhic la nivelul 3. Dac aruncm o privire asupra modelului OSI, vom observa c pe msur ce informaiile strbat n jos nivelurile acestui model, datele sunt ncapsulate la fiecare nivel. La nivelul reea datele sunt transformate n datagrame, i dac reeaua folosete adresarea IP, datele sunt transformate n datagrame IP. n cazul telefoanelor mobile identificatorul unic al dispozitivului se numete IMEI International Mobile Equipment Identity. Este un cod format din 14 caractere i identific originea, modelul i un numr de serie al dispozitivului.
16 .
122 .
202 .
34
numr binar cu o valoare egal cu 32 bii. Pentru a putea fi uor de citit, adresa IP a fost mprit n patru octei, fiecare octet coninnd 8 biti. Valoarea maxim a fiecrui octet (n zecimal) este 255. Orice adres IP este logic mprit n dou zone. Prima zon se numete network id i identific reeaua creia aparine un echipament. Cea de a doua zon se numete host id i identific n mod unic dispozitivul conectat la reea. Deoarece o adres IP este alctuit din patru octei separai prin punct, primul, al doilea sau al treilea dintre acetia pot fi folosii pentru a identifica reeaua din care face parte un dispozitiv. La fel i pentru identificarea dispozitivului n sine. Exist trei clase de adrese IP comerciale, clase gestionate de InterNIC: clasa A, B i C (mai exist D i E dar acestea nu sunt comerciale). Clasa A este rezervat de InterNIC organizaiilor guvernamentale (mai mult guvernelor) din lumea ntreag; clasa B este rezervat organizaiilor medii-mari, iar clasa C este rezervat oricrui alt tip de organizaie. Cnd o adres din clasa A este scris n format binar, primul bit este ntotdeauna 0. Primii doi bii ai unei adrese din clasa B sunt 10, iar primii trei bii ai unei adrese din clasa C sunt ntotdeauna 110. Un exemplu de adres IP din clasa A: 124.95.44.15. Primul octet (124) identific numrul reelei atribuit de InterNIC. Administratorul acestei reele va atribui valori pentru restul de 24 bii. O manier uoar prin care putei s recunoatei dac un dispozitiv face parte dintr-o reea de clas A, presupune s analizai primul octet al adresei IP. Numerele din primul octet al adreselor din clasa A sunt cuprinse ntre 0 i 127. Toate adresele IP din clasa A folosesc doar primii 8 bii pentru a identifica poriunea network N H H H A din cadrul unei adrese. Restul de trei octei din cadrul adresei sunt rezervai poriunii host din cadrul acesteia. Cea mai mic adres ce poate fi atribuit N B N H H unui host va avea toi biii din cadrul ultimilor trei octei la valoarea 0. Cel mai mare numr ce poate fi N N N H C atribuit poriunii host va avea toi biii din ultimii trei octei la valoarea 1. Orice reea care face parte dintr-o clas A de adrese IP poate s conin teoretic 224 host-uri (adic 16.777.214). Un exemplu de adres din clasa B: 151.10.13.28. Primii doi octei identific numrul reelei atribuit de InterNIC. Administratorul unei astfel de reele poate s atribuie valori urmtorilor 16 bii. Cnd vrei s recunoatei dac o adres este din clasa B analizai primii doi octei ai adresei. Aceste adrese au ntotdeauna valori cuprinse ntre 128-191 pentru primul octet i ntre 0-255 pentru cel de al doilea octet. Toate adresele din clasa B folosesc primii 16 bii pentru a identifica poriunea network din cadrul unei adrese. Ultimii 2 octei sunt rezervai poriunii host. Orice reea care folosete adrese din clasa B poate atribui teoretic 216(65.534) adrese IP echipamentelor care sunt ataate acesteia. O adres din clasa C: 201.110.213.28. Primii trei octei identific numrul reelei atribuit de ctre InterNIC. Administratorul de reea poate atribui valori doar ultimului octet. Cum putei recunoate o adres din clasa C? Analizai primii trei octeti: primul octet ia valori ntre 192-223, al doilea i al treilea octet pot s ia valori ntre 1-255. Toate adresele din clasa C folosesc primi 24 bii pentru a identifica reeaua din care face parte un dispozitiv. Doar ultimul octet este rezervat poriunii host Orice reea care folosete adrese din clasa C poate aloca teoretic 28(256) adrese echipamentelor ataate acesteia. Orice adres IP identific un echipament ntr-o reea i reeaua cruia aparine. Dac, spre exemplu, calculatorul vostru vrea s comunice cu altul din reea, ar trebui s tii adresa IP al celui din urm. De fapt ar trebui s tii adresele tuturor calculatoarelor cu care vrei s comunicai. Ar fi complicat, nu? Din fericire acest neajuns este rezolvat de alii.
Adresele IP care au toat poriunea de host cu valoarea 0 sunt rezervate ca adrese de reea. De exemplu o adres din clasa A 113.0.0.0 reprezint adresa IP pentru reeaua 113. Un ruter va folosi aceast adres pentru a transmite datele n Internet. S lum ca exemplu o adres din clasa B. Primii doi octei nu pot fi zero pentru c valorile lor sunt atribuite de InterNIC i reprezint numerele reelelor respective. Doar ultimii doi octei pot fi 0, deoarece numerele din aceti octei reprezint numrul host-urilor i sunt rezervate dispozitivelor ataate respectivei reele. Pentru a putea comunica cu toate dispozitivele din reea, adresa IP trebuie s conin 0 n ultimii doi octei. O astfel de adres ar fi de exemplu 176.10.0.0. Cnd se transmit date ctre toate echipamentele dintr-o reea trebuie creat o adres de broadcast (difuzare). Broadcast-ul apare cnd staia surs transmite date ctre toate celelalte dispozitive din reeaua respectiv. Dar pentru a fi sigur c toate aceste dispozitive sunt atente la mesajul broadcast, staia surs trebuie s foloseasc o adres IP pe care s o recunoasc toate celelalte echipamente din reea. De obicei, ntr-o astfel de adres, bitii din poriunea host au toi valoarea 1. Pentru reeaua folosit n exemplul anterior, adresa de broadcast va fi 176.10.255.255. (Vezi i http://www.ralphb.net/IPSubnet) ntr-o reea, hosturile pot comunica ntre ele doar dac au acelai identificator de reea (poriunea network id este identic). Acestea pot s partajeze acelai segment fizic de reea, dar dac au identificatori de reea diferii, nu pot comunica dect dac exist un alt dispozitiv care s realizeze conexiunea ntre segmentele logice ale reelei (sau identificatorii acestora). (Putei asemui aceti identificatori de reea cu codul potal). Dup cum am artat deja, fiecare clas de adrese IP permite un numr fix de hosturi. Dar nu trebuie s uitai c prima adres din fiecare reea este rezervat pentru a identifica reeaua, iar ultima adres este rezervat pentru broadcast
32
36
Capitolul 5.
Locul n care se realizeaz o infraciune cu ajutorul calculatorului necesit o cunoatere extins a prelucrrilor electronice, a tehnologiei i modului de colectare a datelor. Securizarea locului este parte integrant a procesului investigativ.
Fi de evaluare preliminar pentru dispozitivul:______________________________ Numele utilizatorilor Numele de login/contului de acces Parole identificate i aplicaii corespondente Aplicaii n uz Tipul conexiunii Internet Dispozitive de stocare externe Documentaii ale aplicaiilor instalate Conturi de e-mail i clieni de e-mail Aplicaii de securitate n uz Restricii privind accesul la date/resurse locale Aplicaii/faciliti de criptare Dispozitive/aplicaii destructive Conturi de acces la reele 37
de socializare (Facebook, Twitter) Alte Informaii Pornind de la un prim element identificat la locul infraciunii, cutarea altor probe se poate face n spiral, n linie sau tip gril. Dac pe monitor se poate identifica o aplicaie activ, o imagine, email sau un site Internet sau dac monitorul este pornit dar nu se afieaz nimic primul lucru ce trebuie ntreprins este fotografierea display-ului/monitorului. Apoi se mic puin mouse-ul pentru a identifica dac nu este activ screen-saverul. Tot ce se identific se documenteaz. Dac monitorul nu este pornit dar calculatorul este alimentat cu energie electric, se pornete monitorul din buton i se fotografiaz ceea ce afieaz. Foarte important! nainte de consultarea probelor n formatul lor electronic, prin accesarea dispozitivelor de calcul sau de stocare, incluznd calculatoare, servere, laptop, tablete, telefoane mobile, dispozitive GPS, investigatorul trebuie s obin un mandat de percheziie informatic, conform Legii 161/200333 TITLUL III Prevenirea i combaterea criminalitii informatice Mandatul de percheziie informatica se poate obine si ulterior de la un judector - in cazul in care investigatorul nu avea dect un mandat de percheziie domiciliar i percheziia informatic se justific prin asimilare cu cazul iniial.
Legea 161 din 19/04/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea corupiei 34 Vezi standardul ISACA S14 Audit Evidence, ghidul ISACA G2 Audit Evidence Requirement
38
activat criptarea i este ntrerupt alimentarea cu energie electric, exist o mare probabilitate ca datele s nu mai poat fi accesate ulterior. Toate activitile i aciunile ntreprinse asupra dispozitivelor electronice se realizeaz purtnd mnui pentru a nu compromite sau distruge probele fizice. Cu excepia investigatorului sau a unui membru al echipei acestuia nici unei alte persoane nu trebuie s i se permit accesul la dispozitivele investigate.
Pornind de la etapa a 2 a din schema de mai sus vom exemplifica 4 situaii cu care investigatorul se poate ntlni n practic
Studiu de caz 1: Calculatorul este pornit iar monitorul afieaz anumite informaii Se fotografiaz monitorul i se documenteaz informaiile afiate pe acesta Dac informaiile de pe ecran indic c datele vor terse (delete, remove) sau rescrise (format) se deconecteaz dispozitivul de la sursa de alimentare Se va verifica dac acesta nu are activat opiunea de acces de la distan.
Dac exist o conexiune activ la Internet se verific starea mesageriei electronice, a mesageriei instant i a camerei web. Dac datele afiate pe ecran au valoare de prob se trece la colectarea acestora
Studiu de caz 2: Calculatorul este pornit iar monitorul afieaz screen saver-ul sau o imagine static Se mic doar mouse-ul sau se atinge pad-ul (n cazul lap top-urilor). Apsarea oricrei taste sau a butoanelor mouse-ului este interzis. Se fotografiaz i se documenteaz informaiile afiate pe ecran. Studiu de caz 3: Calculatorul este pornit iar monitorul pare a fi oprit Se mic doar mouse-ul sau se atinge pad-ul (n cazul lap top-urilor). Dac monitorul afieaz informaii se fotografiaz i documenteaz Dac monitorul este oprit (nu s-a identificat nici un indicator care s certifice starea acestuia) se pornete i se fotografiaz i documenteaz informaiile afiate. Studiu de caz 4: Calculatorul este oprit Se fotografiaz i se documenteaz (inclusiv etichetare) toate cablurile i dispozitivele ataate. Se deconecteaz calculatorul de la priz i toate cablurile i dispozitivele ataate Se sigileaz sursele de alimentare, butoanele, porturile de conectare a altor dispozitive, drive-urile asociate (CD-ROM, flopy disk, dac exist). Se documenteaz modelul dispozitivului, numrul serial etc. Se mpacheteaz conform procedurilor Atenia cuvenit trebuie acordat i probelor non digitale existente la locul infraciunii: documentaii, notie, manuale de utilizare. Un posibil model de foaie de lucru este prezentat mai jos: Informaii despre calculator: Productor:____________________________Model___________________ Numr serial:____________________ Desktop Laptop Server Altul Stare bun Distrus/avariat Numr hard disk_____3.5 Floppy drive Uitate band Tip drive____________ Modem Cartel reea DVD Tip drive________________________ USB Numr porturi___________ Cititor carduri Tip carduri_____________________________ Altele:____________________________ Informaii CMOS Parol logon Parol_____________________________________________ Data i ora curent______________________________ Data i ora CMOS________________________________ Setri hard drive CMOS Auto Capacitate___________Nr. cilindri________Nr. capete_________Nr. sectoare______ Mod: LBA Normal Auto 40
Modelul de mai sus este doar un punct de pornire. Trebuie colectate ct mai multe informaii astfel nct s nu se poat afirma ulterior c s-a intervenit fizic asupra calculatorului. O parte din informaiile documentate n foaia de lucru prezentat ca model pot fi detaliate i documentate separat. De exemplu n cazul hard disk-urilor se vor documenta: etichetele asociate volumelor; numrul de partiii fizice i logice; dac sunt boot-abile sau nu; tipul controller-ului etc.
Capitolul 6.
Achiziia datelor
Procesul de investigare urmrete trei etape principale: achiziia datelor, analiza acestora i raportarea. Achiziia datelor presupune copierea acestora de pe medii de stocare electronice, fr a fi alterate. n acest moment putem s avem n vedere dou tipuri principale de date: date statice i date volatile. Probabil n viitorul nu prea ndeprtat, concentrarea va fi asupra datelor volatile. Pentru a nelege ns mai bine cum stau lucrurile ne vom ndrepta atenia asupra diferitelor tipuri de formate ale datelor cu meniunea c exist dou modaliti de achiziie a datelor: static, respectiv dinamic.
realizarea unui disc logic dup un disc fizic sau a unui fiier cu date dup un disc realizarea unei copii dup un fiier sau director ters.
Nu exist o regul general valabil dup care trebuie folosit una sau alta din metodele menionate. Acest lucru depinde n principal de situaia din timpul i de la locul investigaiei. Majoritatea aplicaiilor (FTK, EnCase, ProDiscover) folosesc metoda realizrii unui fiier imagine dup un disc, copii care este o replic bit cu bit a drive-ului original. n situaiile n care aceast metod nu poate fi aplicat (cazul drive-urilor de generaii mai vechi) se folosete metoda disc la disc. Trebuie s spunem c aceast activitate este consumatoare de timp cnd discutm de discuri de capacitate mare i foarte mare (terabytes). Din acest motiv achiziia logic, altfel spus identificarea prealabil a datelor ce prezint interes pentru scopul investigaiei este metoda care ar trebui s fie aplicat. Pentru a determina care din cele metode enumerate trebuie aplicat, ar trebui s avem n vedere dimensiunea discului considerat suspect, dac discul poate fi reinut ca prob sau trebuie napoiat proprietarului de drept, timpul disponibil pentru realizarea achiziiei i locul n care se afl proba.
Capitolul 7.
Procesul de interpretare a probelor este unul laborios, care presupune utilizarea unor instrumente dedicate, sau n cazuri speciale apelarea direct la instrumentele sistemelor de operare. Seciunile urmtoare descriu cteva aspecte tehnice ale organizrii fiierelor i reprezentrii informaiilor cu scopul de a nelege, accesa i interpreta mai uor probele digitale.
n practic, pot fi formatate nativ FAT 32 doar partiiile de pn la 32GB. Dincolo de aceast dimensiune trebuie folosit FastFAT. Fr a mai insista asupra acestui subiect mai adugm doar c discurile formatate FAT 32 nu ofer nativ nici un nivel de securitate, criptare sau comprimare a fiierelor. Pentru o firm acest lucru poate produce numeroase probleme n sistemul informaional, motiv pentru care nu mai insistm asupra acestui subiect. NTFS 5 Sistemul de fiiere NTFS este soluia cea mai folosit n cazul platformelor Windows. n continuare vom prezenta doar principalele faciliti oferite de versiunea 5 a NTFS. Cele mai multe hard discuri sunt divizate n mai multe seciuni logice denumite partiii. Pentru a analiza la nivel fizic o partiie cu scopul de a afla informaii despre antetul fiierelor (header) sau sistemul de operare utilizat putem folosi un editor de discuri (WinHex 36, Norton DiskEditor37).
35
44
n figura de mai sus, n partea dreapt apar i informaii despre clustere. Structura de fiiere folosit de Microsoft grupeaz sectoarele de pe un hard disk n clustere. Combinarea sectoarelor are drept scop scurtarea timpului necesar scrierii/citirii informaiilor pe hard disk. Numrul de sectoare ce se combin pentru a forma un cluster depinde de dimensiunea hard diskului. Numerotarea clusterelor se face secvenial ncepnd cu cifra 2 deoarece primul sector de pe fiecare hard disk conine o zon rezervat sistemului de operare, nregistrrile necesare boot-rii i baza de date cu structura fiierelor. Sistemul de operare este cel care aloc aceste cifre denumite adrese logice ai numrul sectorului reprezint adresa fizic. Un cluster i adresa sa sunt specifice unui disk logic (o partiie a discului fizic).
Permisiuni la nivel de fiiere Acesta este probabil cea mai utilizat facilitate a sistemului de fiiere. Pe un volum NTFS se pot preciza permisiuni la nivel de director i/sau fiiere. Acest lucru nseamn c se pot indica exact grupurile de utilizatori sau utilizatorii individuali crora li se acord permisiuni i nivelul de acces permis.
45
Aceste permisiuni sunt gestiune prin intermediul listelor pentru controlul discreionar al accesului (DACL38).Permisiunile la nivelul unui volum NTFS vor fi motenite implicit de toate obiectele respectivului volum. Fiecare dosar i fiier dintr-o partiie NTFS are asociat cte o list ACL (Access Control List list care controleaz accesul). n lista ACL se afl nscrise perechi de informaii de tipul: ce utilizator (sau grupuri, sau eventual calculatoare) au acces i ce tip de acces le este permis. Pentru ca un utilizator s aib acces la un dosar sau fiier el trebuie sa fie cuprins n lista ACL (direct sau indirect, prin apartenena la un grup). Dac utilizatorul nu apare n lista ACL atunci el nu are acces la acel obiect. n funcie de tipul de utilizator, aceste drepturi de acces pot fi: Drepturi restrnse: Full control (control deplin), Modify (modific), Read&Execute (citete i execut), List folder contents (listeaz coninut folder), Read (citete), Write (scrie); Drepturi extinse: Full control (control deplin), Traverse folder/execute file (traverseaz folder/execut fiier), List folder/read data (listeaz folder/citete date), Read attributes (citete atribute), Read extended attributes (citete atribute extinse), Create files/write data (creeaz fiiere/scrie date), Create folders/append data (creeaz foldere/adaug date), Write attributes (scrie atribute), Write extended attributes (scrie atribute extinse), Delete subfolders and files (terge subfoldere i fiiere), Delete (terge), Read permissions (citete permisiuni), Change permissions (schimb permisiuni), Take ownership (ia n posesie). Spre deosebire de versiunile anterioare ale SO, lucrul cu permisiunile se complic oarecum pentru c trebuie lucrat la nivel de permisiuni efective (ultimul tab din figura anterioar). Dac nu se acord atenia cuvenit se poate ntmpla ca unui utilizator cruia i-ai restricionat accesul s poat totui efectua anumite schimbri. S lum cazul prezentat n imaginea urmtoare. n directorul Carte n care am salvat fiierul carte.doc am acordat permisiuni de tip full control pe acest director, dar nu acord aceleai permisiuni i pe fiierul amintit. Cu toate acestea, utilizatorii care vor avea acces la director vor putea s tearg i fiierul. De ce se ntmpl acest lucru? O fi vreun bug? Permisiunile acordate pe directorul Carte includ i Delete Subfolders and Files. Acestea sunt permisiuni speciale care apar n tab-ul aferent.
38
Fiecare obiect creat de ctre sistemul de operare aparine unui proprietar de drept. Doar proprietarul acelui obiect poate schimba permisiunile asociate acestuia, accesul fiind deci la discreia acestuia
46
Pentru a evita situaiile neplcute precum cea prezentat anterior trebuie s verificai permisiunile efective atribuite obiectelor la care dorii s restricionai/controlai accesul, s nu lsai activ opiunea prin care se motenesc permisiunile atribuite directorului (inherit) i s resetai drepturile acordate anterior. Criptare la nivel de fiier/director NTFS-ul ofer i faciliti de criptare folosind o cheie simetric pentru protecia directoarelor i fiierelor. Aceast facilitate este total transparent pentru utilizatori autorizai: un fiier poate fi deschis, se poate lucra cu el iar la terminare are loc criptarea. Doar utilizatorii neautorizai vor fi avertizai prin clasicul Access denied c nu li se permite accesarea directoarelor/fiierelor. Pentru a fi siguri de setrile pe care le facei, activai criptarea la nivel de director. Astfel toate fiierele din respectivul director vor fi automat criptate. Pentru protecia fiierelor sistemul de operare Windows, ediiile Ultimate i Enterprise, pune la dispoziia utilizatorilor BitLocker Drive Encryption. Pentru protecia fiierelor stocate pe medii amovibile de tipul hard disk urilor externe sau USB flash drive se folosete BitLocker To Go.
47
Spre deosebire de EFS care cripteaz fiiere/directoarele individuale, BitLocker cripteaz un disc n totalitate. Menionm c ori de cte ori se copiaz un fiier de pe un drive criptat pe unul necriptat, fiierele vor fi decriptate pe noul disc, dar accesul la discul criptat cu BitLocker nu se poate realiza daca nu exista cheia de decriptare. Totui este demonstrat c n anumite condiii, hardiscurile criptate pot fi decriptate mai ales cnd nu se respect procedurile corecte de nchidere deschidere a laptopurilor. ntr-o demonstraie cu public, specialistul n Securitate Andy Malone a reuit s decripteze un astfel de harddisk 39. Cunoaterea sistemului de fiiere este important prin prisma informaiilor ce le ofer despre data i timpul crerii i accesrii informaiilor Copierea unui fiier dintr-o director al unei partiii FAT ntr-un alt director al aceleeai partiii, v pstra aceeai dat i or a modificrii dar va schimba data crerii i timpul la momentul realizrii aciunii Mutarea unui fiier dintr-o director al unei partiii FAT ntr-un alt director al aceleeai partiii, va pstra aceeai dat i timp al modificrii dar i al crerii Copierea unui fiier dintr-o director al unei partiii FAT ntr-un director al unei partiii NTFS va pstra aceeai dat i timp a modificrii dar va modifica data i timpul crerii la momentul realizrii aciunii. Mutarea unui fiier dintr-o director al unei partiii FAT ntr-un director al unei partiii NTFS va pstra data i timpul modificrii i crerii. Copierea unui fiier dintr-o director al unei partiii NTFS ntr-un alt director al aceleeai partiii, va pstra aceeai dat i timp a modificrii dar va schimba data crerii i timpul la momentul realizrii aciunii. Mutarea unui fiier dintr-o director al unei partiii NTFS ntr-un alt director al aceleeai partiii va pstra aceeai dat a modificrii i timpul precum i aceeai dat a crerii i timpul. Data modificri i timpul unui fiier nu se modific att timp ct nu se modific o proprietate a fiierului. Data crerii i timpul se vor modifica indiferent dac fiierul a fost copiat sau mutat
39
http://www.chip.ro/review/windows/15842-cat-de-sigur-e-bitlocker
48
Gestiunea spaiului de pe volume Utilizarea spaiului de pe volumele NTFS poate fi controlat prin activarea opiunii Disk Quotas. Pentru administratori aceast facilitate este de un real folos dac ne gndim la disponibilitatea sistemului.
Spaiul pe care fiierele le ocup pe disc vor fi evideniate pentru fiecare utilizator n parte, gestionarea sa fcndu-se independent de localizarea fizic a fiierelor. Activarea acestei opiuni se face prin click dreapta pe un volum Properties Quota. Compresia fiierelor Fr a intra prea mult n amnunte spunem doar c algoritmul de compresie a fiierelor suport clustere de pn la 4KB. Dincolo de aceast dimensiune fiierele nu mai pot fi compresate. Cum funcioneaz compresia oferit de NTFS? Dac accesai un fiier compresat, decompresia are n vedere doar poriunea din fiier care trebuie citit. Aceast zon este copiat n memoria calculatorului unde va fi ulterior modificat. n momentul n care prsii fiierul, datele din memorie vor fi scrise pe disc n format compresat.
49
Accesarea acestei faciliti se face prin click dreapta pe directorul/fiierul pe care dorii s-l compresai i alegerea opiunii Properties. Dac v plictisete lucrul cu mouse-ul putei apela la un utilitar care se lanseaz din linia de comand: compact.exe.
Montarea discurilor Ne cerem scuze pentru barbarismul folosit, dar alt traducere pentru englezescul mounted nu am gsit. La ce se refer aceast facilitate? Este vorba de alocarea unui nume sau atribuirea unei etichete unui director de pe disk. Funcionarea este identic cu atribuirea de litere partiiilor create. Marele avantaj este c nu mai exist limitarea impus de folosirea doar a celor 26 de litere din alfabet.
50
Se poate lucra fie din consola dedicat (StartRundiskmgmt.msc, sau din Control PanelAdministrative ToolsComputer Management) sau cu un utilitar lansat din linia de comand: mountvol.exe. Exist o limitare a acestei faciliti: cel care dorete s monteze un volum trebuie s aib permisiuni de administrator: s fie membru al acestui grup. Servicii de indexare Faciliti ale NTFS-ului mai sunt, dar noi ne-am propus s vi le prezentm pe cele mai folosite n practic. Prin urmare nu vom discuta despre hard links sau sparse file ci despre indexare. Atunci cnd se dorete regsirea mai rapid a documentelor de pe disc se poate apela la reorganizarea acestora cu ajutorul Serviciului de indexare. Funcionalitatea este similar bazelor de date sau cutrii care se face cu ajutorul unui motor de cutare.
51
Dup prima indexare a unui volum, cutrile ulterioare vor face apel la un jurnal n care sunt memorate modificrile aduse fiierelor astfel nct numrul actualizarea indecilor este proporional cu numrul de fiiere modificate. Dac nu folosii aceast facilitate, de fiecare dat cnd apelai funcia de cutare, Windows-ul trebuie s deschid fiecare fiier de pe disk, s caute informaia dorit i apoi s nchid fiierul. Altfel spus, se mic greu. Limitarea acestei faciliti apare n momentul criptrii: un fiier odat criptat va fi ters din lista de indeci. Serviciul de indexare (Error! Reference source not found.) poate fi pornit i din Control PanelAdministrative ToolsComputer ManagementIndexing Service (n Windows XP) i direct din Control Panel, Indexing Options n Windows 7.
52
Nu vom ncheia nc discuiile legate de sistemul de fiiere (oricum vom mai face referire la acest subiect) fr a face o scurt recapitulare a utilitarelor pe care le avei la dispoziie n \windows\system32:
Utilitar Cacls.exe Chkntfs.exe Cipher.exe Compact.exe Convert.exe Defrag.exe Expand.exe Fsutil.exe Mountvol.exe Funcionalitate Afieaz i modific ACL-urile asociate fiierelor sau directoarelor. Afieaz sau specific cnd este programat verificarea automat a unui volum. Afieaz sau modific informaiile cu privire la criptarea fiierelor/directoarelor de ve volumele NTFS. Afieaz sau modific compresia fiierelor/directoarelor de pe un volum NTFS. Convertete un volum/partiie din FAT n NTFS. Reorganizarea fiierelor de pe disk. Extrage un fiier dintr-un format comprimat (de exemplu dintr-un .cab). Ofer mai multe opiuni ce pot fi folosite n gestionarea sistemului de fiiere Folosit n managementul volumelor NTFS.
Dac dorii s aflai mai n detaliu informaii despre calculatorul analizat, n modul comand tastai systeminfo
53
40
http://support.microsoft.com/default.aspx?scid=kb;EN-US;256986
54
Primul subarbore este HKEY_CLASSES_ROOT (HKCR). Acesta este creat dinamic n momentul boot-rii i conine dou tipuri de date: Date prin intermediul crora se face asocierea ntre diferite tipuri de fiiere i programele care le utilizeaz. Subcheile din HKCR au acelai nume ca i extensiile fiierelor pentru respectivul tip de fiiere. Date pentru configurarea obiectelor COM, programelor. Subcheile folosesc ID-ul programului respectiv sau numele cheii printe pentru alte clase de informaii. Informaiile din acest subarbore sunt HKEY_LOCAL_MACHINE\SOFTWARE\Classes USER\SOFTWARE\Classes preluate din respectiv alte dou frunze: HKEY_CURRENT_
Cel de al doilea subarbore este HKEY_CURRENT_USER (HKCU). El conine profilul utilizatorului logat pe calculator incluznd: variabilele de mediu, programele, setrile desktop-ului, conexiunile reelei, imprimantele i personalizrile la nivel de aplicaii. n acest frunz nu sunt memorate date propriu-zise ci doar pointeri ctre identificatorul de securitate corespunztor utilizatorului curent (HKEY_USERS\Security ID). De fiecare dat cnd se logheaz un alt utilizator pe calculator se creeaz o nou HKCU. Datele pentru acest subarbore vor fi preluate din profilul utilizatorului curent. Dac nu este gsit nici un profil, subraborele este creat pornind de la setrile din profilul utilizatorului implicit (default): C:\Users\Default\Ntuser.dat. Al treilea subarbore i poate cel mai important este HKEY_LOCAL_MACHINE (HKLM) i conine informaii despre configuraia hardware a calculatorului local precum i informaii despre sistemul de operare: tipul busului, memoria existent, drivere, parametrii de control la startare etc. La rndul su acest subarbore conine cinci chei: HARDWARE, SAM, SECURITY, SOFTWARE i SYSTEM. Cheia HARDWARE pstreaz datele cu privire la componentele hardware pe care le detecteaz calculatorul i este recreat la fiecare pornire a computerului. sunt incluse aici informaii despre toate dispozitivele, driverele acestora i celelalte resurse al computerului. Cheia SAM conine informaiile folosite de managerul pentru securitate (SAM Security Account Manager). Pentru serverele Windows care nu au rol de controlere de domeniu, aceast cheie este folosit pentru a memora informaiile despre utilizatori sau grupurile de utilizatori. n cazul controlerelor de domeniu, acest informaii sunt stocate n Active Directory. Informaiile cu privire la securitatea sistemului i a reelei sunt stocate n cheia SECURITY. Subcheia HKLM\SECURITY\SAM pstreaz o dublur a informaiilor din subcheia SAM. Informaiile din aceast cheie sunt prezentate n format binar i nu pot fi editate! 55
Subcheia SOFTWARE este cea care pstreaz variabilele asociate programelor instalate pe calculator (inclusiv productorul) i care se aplic utilizatorilor Subcheia HKLM\SYSTEM pstreaz intrrile specifice set de control curent sau celelalte seturi de control utilizate. Trebuie s existe cel puin dou seturi de control pentru startarea sistemului. Cel de al patrulea subarbore, HKEY_USERS (HKU) conine toate profilurile utilizatorilor activi pe calculatorul respectiv, i include cel puin trei subchei: DEFAULT pstreaz profilul utilizat atunci cnd nu exist nici un utilizator logat (cnd este afiat promptul pentru login) O subcheie al crui nume ncepe cu S i care face referire la SID-ul (identificatorul de securitate) utilizatorului local. Conine informaii despre profilul utilizatorului curent. Datele din aceast cheie apar i n HKCU. O subcheie al crui nume ncepe cu S i se termin cu Classes. n Windows 7, profilul utilizatorului implicit nu este memorat n regitri ci pe discul pe care este instalat SO, n C:\Users\Default\Ntuser.dat. Ultimul arbore din aceast prezentare este HKEY_CURRENT_CONFIG (HKCC) i pstreaz datele despre configuraia hardware corespunztoare profilului curent. De fapt acest subarbore conine un pointer ctre subcheia HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles. subkey. Este folosit pentru a uura accesul la date. Pentru ca modificrile efectuate asupra regitrilor s produc efecte este nevoie de log off, restartarea serviciului afectat sau chiar a Windows-ului. n general, dac schimbrile au avut loc n subcheia CurrentControlSet, calculatorul va trebui s fie repornit. Dac ai modificat valori din arborele HKEY_CURRENT_USER va trebui s prsii sesiunea de lucru (log off) i s facei login din nou pentru ca modificrile s aib efect. La oprirea calculatorului, majoritatea informaiilor din regitri sunt memorate pe hard disk n windows\system32\config sub forma unor fiiere (fr extensie) numite hive: sam (HKEY_LOCAL_MACHINE\SAM) security (HKEY_LOCAL_MACHINE\SECURITY) software (HKEY_LOCAL_MACHINE\SOFTWARE) system (HKEY_LOCAL_MACHINE\SYSTEM) default (HKEY_USERS\DEFAULT). Pentru a asigura integritatea sistemului, aceste fiiere sunt protejate mpotriva oricror aciuni on-line. n acelai director exist copii de siguran ale acestor fiiere create n mod automat dup log on n directorul RegBack precum i evidena schimbrilor care au avut loc (extensia .log). Tot pentru a asigura funcionarea corect a calculatorului se recomand efectuarea copiilor de siguran ale regitrilor Windows prin exportul acestora. n mod automat regitrii sunt salvai la realizarea copiilor de tip System Restore. Salvarea manual sau particularizat se poate efectua dup urmtoarea procedur: 1. Se deschide Regedit n mod administrativ 2. Se alege de exemplu clasa HKEY_Local_Machine 3. Din meniul File se alege opiunea Export 4. Se specific locaia de salvare a fiierului cu extensia Reg. Fiind una din cele mai sensibile componente ale unui sistem de operare Windows, trebuie s fim foarte ateni cu permisiunile pe cheile de regitri pentru c majoritatea atacurilor actuale la 56
integritatea sistemelor de calcul se bazeaz pe scrierea de chei n regitri, transformnd calculatorul ntr-un instrument controlabil de la distan de hackeri.
Validarea datelor se realizeaz prin calcularea unor valori hash asupra unui text, fiier sau ntregului coninut al unui hard disk. n limbaj tehnic se mai ntlnesc variantele cifra de control (checksum) sau hash code. Aceste valori folosesc la identificarea fiierelor duplicate sau pentru a verifica dac o imagine sau o clon folosit n investigaii a fost realizat cu succes. O organizaie poate crea o list valori hash pentru instalrile de sisteme de operare, aplicaii sau documente. n cazul unei investigaii aceste valori vor fi ignorate analiza concentrndu-se doar asupra fiierelor care nu apar pe aceast list. n situaia n care nu exist o astfel de list se poate face apel la National Software Reference Library41 de unse se poate descrca o astfel de list. Software-ul de investigaii FTK preia n mod automat valorile hash ale fiierelor din lista menionat anterior. O situaia cu care ne putem confrunta este cea n care dorim s verificm exactitatea unui fiier. De exemplu, pe un hard disk am identificat fiierul Auditat.doc ca fiind suspect. n momentul n care dorim s l deschidem, aplicaia asociat acestei extensii (Microsoft Office) va produce mesajul de eroare din figura de mai jos.
Vom analiza acelai fiier cu ajutorul WinHex pentru c vrem s ne asigurm c acel fiier este chiar unul de tip document.
41
http://www.nsrl.nist.gov/Project_Overview.htm
57
De unde tim c are extensia .jpeg? Ceea ce afieaz WinHex n headerul fiierului n imaginea de mai sus JFIF, este acronimul pentru JPEG File Interchange Format (dac ar fi fost un fier de tip doc, n hexazecimal extensia ar foi fost reprezentat sub forma D0 CF 11 E0 A1 B1 1A E1 00). n practic suntei scutii de astfel de artificii deoarece majoritatea aplicaiilor profesionale folosite n investigaii analizeaz antetul fiierelor i nu extensia acestora.
42
58
primul caz este de dorit s se diminueze hardware-ul ce trebuie deplasat la locul infraciunii i se prefer utilizarea unui laptop. n cel de al doilea caz este posibil s se prefere achiziionarea unei staii dedicate acestui scop, cu ct mai multe extensii posibile. Modul cum se configureaz o staie pentru investigai depinde de experiena i preferinele profesionistului. n cazul sistemelor Windows blocarea scrierii pe dispozitive externe de stocare a datelor poate fi realizat direct din regitrii calculatorului HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\Wr iteProtect. n cazul n care aceast cheie nu exist, va fi creat de investigator, astfel: 1. 2. 3. 4. 5. Se deschide Registry Editor (Run > regedit) Se navigheaz pn la HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ Se creeaz o cheie nou (Edit > New > Key) pe care o denumim StorageDevicePolicies n aceast cheie se creeaz o nou valoare DWORD (32-bit) (Edit > New > DWORD (32bit) value ) pe care o denumim WriteProtect Dublu click pe WriteProtect i setm Value Data 1 ca n imaginea de mai jos. Implicit aceasta are valoarea 0.
Imaginea de mai jos arat crearea valorii WriteProtect i modificarea acesteia pentru a bloca scrierea.
Mediile de stocare folosite pentru achiziia datelor trebuie s fie reformatate i verificate mpotriva viruilor. Putei folosi ProDiscover43 sau SecureClean44. Nu uitai: trebuie s asigurai controlul tuturor probelor i s documentai orice aciune ntreprins n timpul examinrii!
43 44
http://www.techpathways.com/DesktopDefault.aspx?tabindex=8&tabid=14 http://www.whitecanyon.com/secureclean-update.php
59
Capitolul 8.
Despre fiiere i modul de analizare a acestora vom mai discuta pe parcurs. Probele pe care le pot conine mesajele transmise prin intermediul potei electronice sunt ns la fel de importante. S menionm doar mesajele tip phising 45 care au proliferat n ultimul timp.
45
Phishing (n elciunea) reprezint o form de activitate infrac ional care const n ob inerea unor date confiden iale, cum ar fi date de acces pentru aplica ii de tip bancar, aplica ii de comer electronic (ca eBay sau PayPal) sau informa ii referitoare la carduri de credit, folosind tehnici de manipulare a datelor identit ii unei persoane sau a unei institu ii. (Sursa: http://ro.wikipedia.org/wiki/Phishing) 46 http://tools.ietf.org/html/rfc5322
60
subiectul (Subject) - un rezumat al mesajului; data (Date) - data i ora local a trimiterii mesajului. Cc - copie la indigo (de la "Carbon Copy") - o copie identic a mesajului trebuie trimis i la adresa sau adresele de e-mail din acest cmp; Bcc - copie la indigo oarb (de la "Blind Carbon Copy") - la fel ca i Cc, doar c nici un destinatar nu va afla la cine se mai trimit copii ale mesajului, n afar de el nsui.
61
Figura nr. 8.1- Opiunile unui mesaj electronic n Microsoft Office Outlook
Pentru un mail folosind serviciul public Google, antetul va fi vizibil dac se activeaz opiunea Afiai originalul
n acest caz, pe lng mesajul propriu-zis vor fi afiate i informaiile din antetul mesajului:
62
Revenind la figur, dac selectm textul i l vom copia ntr-un editor (Word, Notepad) putem obine urmtoarele informaii Received: from EXCHANGE.isaca.org ([10.0.1.33]) by a1.isaca.org ([::1]) with mapi; Tue, 14 Feb 2012 14:16:03 -0600 svpr-mail-
Aceast informaie ne spune c mesajul a fost transferat n data de 14 februarie 2012 ora 14:16:03 Pacific Standard Time (-0600 se presupune ora GMT) From: "Brian Frankel (ISACA HQ)" bfrankel@isaca.org Acesta este expeditorul mesajului Date: Tue, 14 Feb 2012 14:17:45 -0600 Data i ora la care a fost transmis mesajul conform ceasului de pe calculatorul expeditorului Subject: ISACA: January Membership Statistics Acesta este subiectul mesajului Thread-Topic: ISACA: January Membership Statistics Thread-Index: AczrVbZNtS5GH8HyQJC4HNPd+plrMQ== Aceast informaie este folosit pentru a asocia mai multe mesaje cu acelai subiect. Message-ID: 47566EA1E630D944AE2923C9B272100306C6FCCDB43B@EXCHANGE.isaca.org Mesajului i se asociaz un identificator de ctre serverul de mail. Informaia este folsoit pentru a identifica mesajul pe serverul de mail de pe care a fost expediat. 63
-MS-Has-Attach: yes Mailul are ataat un fiier MIME-Version: 1.0 Versiunea protocolului MIME 47 folosit To: Undisclosed recipients:; Aceast informaie ne spune c mesajul a fost transmis ctre mai muli destinatari, dar adresele de mail ale acestora nu sunt afiate Return-Path: bfrankel@isaca.org Aceast informaie ne indic adresa de mail a expeditorului Programele client de e-mail salveaz mesajele local sau le pstreaz doar pe server, n funcie de modul de configurare a acestora. n cazul Outlook, mesajele transmise, recepionate,terse, schiele de mesaje sunt salvate ntr-un fiier .pst. Mesajele off line sunt salvate ntr-un fiier .ost (n cazul n care calculatorul nu este conectat la Internet) n cazul sistemelor de e-mail web-based, mesajele sunt afiate i salvate ca pagini web n memoria cache a browserului web. Nu trebuie uitat c unii furnizori de pot electronic ofer i faciliti de mesagerie electronic instantanee. n acest caz, serviciul poate salva coninutul mesajelor ntr-un format proprietar. Dac se dorete studierea mesajelor trimise de la valy.greavu la adrian.munteanu in perioada 15 ianuarie 2012 si 15 februarie 2012 se va analiza jurnalul de pe serverul de mail:
47
Multipurpose Internet Mail Extensions (MIME) este un standard ce extinde formatul unui mesaj de pot electronic pentru a permite: seturi de caractere non ASCII; ataamente, altele dect text; informaii n header n set de caractere non ASCII
64
Figura nr. 8.5 Lista detaliat de mesaje ntre doi utilizatori (Exchange Server)
65
Figura nr. 8.7 Schimbul complet de mesaje ntre doi utilizatori pe un anumit subiect
66
Capitolul 9.
S-a ntmplat de multe ori s fim nevoii s analizm cine a lucrat cu un stick de memorie USB i dac a copiat un fiier cu informaii confideniale ale organizaiei. Ori de cte ori un astfel de dispozitiv este ataat unui sistem pe care ruleaz Windows rmn amprente n Regitry.
Figura nr. 9.1 Istoricul dispozitivelor amovibile care au fost introduse ntr-un sistem de calcul
48
Aceste informaii nu sunt disponibile n zona disponibil pentru stocarea informaiilor ci n ceea ce se numete firmware.
67
Cheia reprezint identificatorul clasei din care face parte dispozitivul. Nu toate dispozitivele amovibile au asociat un numr serial. n cazul n care au, acest numr identific n mod unic fiecare instan a aceluia dispozitiv.49
Pentru dispozitivele pentru care nu poate fi identificat numrul serial, PnP Manager va crea o instan unic identificat astfel:
Altfel spus dac o instan din aceast subchei din Registry nu conine caracterul & putem identifica n mod unic dispozitivul care a fost ataat la un moment dat calculatorului investigat. Problemele se complic cnd, aa dup cum se observ din imaginile anterioare, pe un calculator au fost utilizate mai multe astfel de dispozitive. n acest caz avem nevoie de un utilitar 50 care s ne permit s navigm mai uor printre cheile Registry, centralizat.
49 50
Cazul n care calculatorului i-au fost ataate dou dispozitive de acelai tip, de la acelai productor. UVCView. Acest utilitar este integrat acum n Windows Driver Kit (WDK) disponibil pentru Windows 7 la adresa http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11800 . Pentru versiuni anterioare Windows 7, utilitarul este disponibil pentru descrcare pe diferite forumuri/situri ce trateaz subiectul forensic. Se poate folosi si USBDeview v2.00
68
Utilitarul de mai sus ne ofer informaii cu privire la data i ora la care a fost ataat prima dat i ultima dat un anumit dispozitiv de stocare. Nu tim ns dac s-a i scris ceva pe el. Informaii despre dispozitivele instalate pe un sistem pe care ruleaz o versiune a sistemului de operare Windows vom gsi i n fiierul setupapi.log. n imaginea de mai sus observm c un memory stick cu numele Memorette a fost instalat n data de 04.10.2011 , ora 06:05:23. Dac verificm fiierul setupapi.log ar trebui s regsim aceeai informaie:
Diferena de timp rezult din modul n care se raporteaz la sistemul temporar utilitarul USBDeview.
n subcheile acestei chei vom gsi valoarea FriendlyName care este identic cu ceea ce afieaz My Computer n momentul n care se ataeaz calculatorului un dispozitiv portabil. Utilitarul USBDeview ne ofer ns mai multe informaii:
69
Din imaginea de mai sus observm c a fost vorba de dou telefoane mobile de la productorul Nokia, modele E71 respectiv X6. Utilitarul afieaz i numrul serial al dispozitivului ataat, aceasta fiind o informaie foarte important. n cazul n care dorim s verificm dac un fiier coninnd informaii critice a fost copiat n mod neautorizat, lucrurile se complic foarte mult. Dac am avea la dispoziie ambii supori de memorare (cel surs, de pe care s-a copiat, respectiv cel destinai, pe care s-a copiat) am putea analiza informaiile despre cele dou fiiere. Din acest motiv nu se va putea spune cu certitudine dac fiierul a fost copiat de pe un anumit mediu de stocare. Putem ns obine informaii dac un fiier a fost copiat pe un anumit mediu de stocare!
S lum ca exemplu starea fiierului Auditat.doc, nainte i dup copierea pe un stick de memorie :
Figura nr. 9.8 Proprietile unui fiier nainte de copierea pe un dispozitiv extern
Se observ c proprietile fiierului nu sunt modificate. Pe suportul destinaie stickul de memorie, situaia se prezint astfel:
70
Figura nr. 9.9 Proprietile unui fiier dup copierea pe dispozitive externe
Am putea spune c avem probe. Situaia nu este chiar aa. Dac fiierul copiat n mod neautorizat a fost deschis i s-a modificat ceva n el, informaiile disponibile se modific i ele:
n acest exemplu nu am luat n calcul opiunea Auto Save care este de obicei activ n cazul editorului de texte MS Word. Despre metadate vom discuta ulterior.
71
compania Conectix. Acest produs este o main virtual cu ajutorul creia se pot crea calculatoare virtuale pe care se pot instala sisteme de operare. Aplicaia a fost realizat n dou variante: workstation (staie de lucru) i server.
Aplicaia pune la dispoziia mainii virtuale pe care o creeaz toate componentele care pot fi gsite pe un calculator i, n afar de procesor, toate sunt virtuale. Pentru a funciona, un calculator are nevoie de placa de baz, procesor, memorie intern i memorie extern, plac video, monitor, tastatur, mouse i, eventual, o plac de reea pentru conectarea la alte calculatoare, o plac de sunet i/sau orice alt dispozitiv care este instalat pe sistemul de operare gazd pentru care aplicaia ofer suport virtual. Aplicaiile pentru maini virtuale, n general, pun la dispoziia calculatoarelor virtuale un sistem virtual de intrare/ieire astfel c:51 placa video pentru acestea este virtual, iar monitorul este constituit dintr-o zon din fereastra aplicaiei; n momentul n care zona de afiaj a coninutului din memoria video a calculatorului virtual devine activ, comenzile transmise de mouse i tastatur vor fi transmise acestuia; desigur c nu toate combinaiile de taste vor fi active, deoarece unele combinaii de taste sunt folosite de sistemul de operare gazd pentru a executa anumite operaii, iar altele sunt folosite cu scopul de a reda controlul asupra tastaturii i mouse-ului sistemului de operare gazd; memoria intern pentru calculatoarele virtuale este constituit de o zon din memoria intern a calculatorului gazd i, pentru ca totul s mearg bine, dimensiunea acesteia nu poate s fie dect un anumit procent din memoria calculatorului gazd; memoria extern, dup cum bine se tie, este constituit n principal din hard-disk, CD-uri i dischete; hard-disk-urile pentru calculatoarele virtuale sunt constituite, n principal, de fiiere care se afl pe calculatorul gazd; aceste fiiere nu au, dup cum ar fi normal, dimensiunea pe care o raporteaz sistemul de operare de pe calculatorul virtual, ci acestea sunt redimensionate dinamic n funcie de cerinele i necesitile sistemului virtual;
51
73
placa de reea pentru sistemul de operare virtual este n ntregime virtual i exist mai multe moduri n care se realizeaz conectarea la reeaua la care este conectat calculatorul gazd: se poate ntmpla s nu se doreasc conectarea la ntreaga reea prin intermediul plcii de reea virtual, ci doar la sistemul gazd, astfel mainile virtuale mai instaleaz o plac de reea virtual pe sistemul gazd pentru a realiza aceast conexiune, dei, pentru comunicare exist alte soluii mai bune; calculatorul virtual poate fi mascat n spatele celui gazd prin utilizarea unor tabele de translaie, deci se va identifica pe reea ca fiind cel gazd; calculatorul virtual va utiliza una din plcile de reea a celui gazd, avnd adres diferit de acesta, pentru a intra n legtur cu celelalte calculatoare din reea. n cazul n care pe calculatorul gazd exist doar o plac de reea, aceasta va fi partajat ntre cele dou sisteme, n acest sens existnd mai multe tehnici.
Un calculator virtual folosete o unitate de dischet virtual care poate fi conectat la unitatea de dischet a sistemului gazd sau poate fi legat de o imagine a unei dischete (fiier care conine datele stocate n toate sectoarele unei dischete) aflat pe calculatorul gazd. La fel ca unitatea de dischet, unitile CD-ROM sunt virtuale i pot fi conectate la unitile de CD-uri ale sistemului gazd sau la fiiere care conin imagini de CD-uri avnd formatul ISO.
52
74
2.
3.
4.
ntre dou porniri, este ca i cum ai reporni un calculator real. Cnd nu mai este necesar maina virtual, spaiul pe disk se poate elibera uor tergnd fiierele n care maina virtual i ine discurile virtuale. Backup foarte uor. Datorit faptului c mainile virtuale sunt stocate n fiiere, backup-ul se face pur i simplu copiind directorul mainii virtuale n alt parte. Copierea se face cu maina virtual oprit. Majoritatea mainilor virtuale suport "snapshot-uri", n care se stocheaz starea instantanee a mainii virtuale care ruleaz. Peste un timp, dac se dorete acest lucru, maina virtual se poate ntoarce la acea stare. Acest sistem consum mai puin spaiu dect copierea ntregii maini virtuale (se memoreaz doar diferenele). n cazul n care calculatorul s-a defectat sau a fost cumprat unul mai puternic, un back-up al mainii virtuale se poate utiliza pe alt calculator. Maina virtual se poate opri cu programele deschise, iar la re-pornire va porni exact din starea n care a fost oprit (cu toate programele deschise). O firm poate crea o main virtual cu tot ce este necesar unui angajat (programe specifice, conexiuni VPN multiple) i s o distribuie tuturor celor care au nevoie. Oricine are o problema ... re-copiaza maina virtual. Posibilitatea de a muta maina virtual de pe un calculator pe altul. De exemplu o persoan poate avea acelai sistem de operare i acas i la serviciu. Se poate instala acel sistem de operare pe un stick USB sau pe un hard-disk USB. Singura cerin este s existe n ambele pri instalat acelai program de virtualizare. Atenie, mainile virtuale pe USB funcioneaz destul de ncet, se recomand copierea pe hard disk-ul local. Posibilitatea de a testa unele programe cu risc de a fi virusate. Mainile virtuale au avantajul c ceea ce ruleaz n interior nu poate afecta sistemul gazd, n afar de dimensiunea fiierului. Un program virusat care este rulat n maina virtual nu poate virusa sistemul gazd. Dac apar suspiciuni c s-a instalat un virus, maina virtual se poate ntoarce la o stare salvat anterior.
75
Descriere Afieaz drepturile de acces la fiiere, cheile Registry sau serviciile Windows, n funcie de utilizator sau grupuri de utilizatori. Afieaz cine a avut acces la un director, fiiere, chei Registry. Este folosit pentru a identifica atribuirea incorect a permisiunilor. Afieaz lista aplicaiilor configurate s porneasc automat n momentul n care este pornit sistemul de calcul i un utilizator efectueaz procesul de logon. De asemenea, afieaz lista complet a cheilor de regitri i locaiile fiierelor folosite pentru pornirea automat a sistemului de calcul. Utilitarul n formatul linie de comand folosit pentru identificarea aplicaiilor configurate s porneasc automat la logon. Realizeaz o captur (monitorizare i jurnalizare) a activitii discurilor. Utilitar n mod grafic pentru vizualizarea structurii i sectoarelor hardiscurilor. Afieaz spaiul utilizat pe disc n funcie de dimensiunea directoarelor. Este util pentru identificarea directoarelor cu multe informaii stocate. Afieaz activitatea fiierelor sistem n timp real. Afieaz fiierele deschise i procesele care au deschis i utilizeaz aceste fiiere. Afieaz toate librriile DLL care sunt ncrcate de aplicaiile curente, incluznd informaii despre locaia de unde au fost ncrcate (calea pe disc) i versiunea fiecrui modul ncrcat. Afieaz lista sesiunilor de logon active. Afieaz lista fiierelor care vor fi redenumite sau terse la urmtoare repornire a calculatorului. Din cauz c sunt ncrcate sau n curs de utilizare anumite fiiere sistem nu pot fi redenumite sau terse n timpul rulrii, de aceea operaiunile respective sunt reprogramate pentru etapa dup repornirea calculatorului. Afieaz activitatea pe porturile seriale i paralele incluznd pachete de date transmise sau primite pe porturile respective. Afieaz o list de fiiere, chei de regitri i alte obiecte deschise de procesele active precum i lista librriilor DLL deschise de fiecare proces n parte.
Autorunsc v8.53 Diskmon DiskView Du v1.3 Filemon v7.03 Handle v3.2 ListDLLs v2.25
76
Denumire PsExec v1.72 PsFile v1.01 PsInfo v1.71 PsListError! Bookmark not defined. v1.27 PsLoggedOn v1.32 PsLogList v2.63 PsService v2.2 Regmon v7.03 RootkitRevealer ShareEnum v1.6 Strings v2.3
Descriere Permite posibilitatea de executare a anumitor comenzi de la distan, folosind privilegiile potrivite. Afieaz o list a fiierelor deschise. Afieaz informaii despre un anumit calculator. Afieaz informaii despre procese i firele de execuie.
Afieaz numele utilizatorului conectat pe un calculator. Realizeaz un export a nregistrrilor din Event log. Permite vizualizarea i controlul serviciilor Windows. Afieaz n timp real activitatea regitrilor Windows. Realizeaz o scanare a discului n vederea descoperirii aplicaiilor de tip Rootkit. Scaneaz toate resursele partajate n reea pentru a vizualiza setrile de securitate n scopul eliminrii configurrilor improprii. Permite cutarea dup text ascuns n fiierele de tip imagine. Este o msur de identificare a steganografiei.
Netstat
Description Afieaz ora curent a sistemului. Se folosete pentru cutarea fiierelor pe disc. Afieaz aciunile programate s se execute la anumite perioade de timp.
Systeminfo Ofer informaii cu caracter general despre sistemul de calcul curent. Vol Hostname Openfiles FCIV Notepad Reg Netcap Sc Afieaz eticheta unui disc i numrul unic de identificare, daca acestea exist. Afieaz numele complet al calculatorului. Afieaz o list cu fiierele deschise de pe calculatorul curent de ali utilizatori din reea. File Checksum Integrity Verifier Se folosete pentru a verifica suma de control a unui fiier pe baza metodelor criptografice MD5 sau SHA1. Se folosete n principal ca editor simplu de text, dar se poate folosi cu scopul de a vizualiza metadatele asociate unui fiier de orice tip. Este un utilitar de tip linie de comand pentru afiarea, modificarea, exportul, salvarea sau tergerea unor chei sau valori din regitri. Se folosete pentru a prelua informaii despre traficul de reea n formatul linie de comand. Se folosete pentru afiarea detaliat a strii serviciilor Windows n format linie de comand dar i pentru pornirea sau oprirea serviciilor Windows reprezentnd un instrument mai elaborat dect net start. Vizualizarea i modificarea asocierilor dintre extensiile fiierelor i aplicaiile cu care acestea se pot deschide. Se folosete pentru afiarea sau modificarea asocierilor dintre tipurile de fiiere i aplicaiile cu care acestea se pot deschide. Se folosete pentru evaluarea aplicrii unei politici de securitate specifice pentru un anumit utilizator determinat. Afieaz lista proceselor active precum i a modulelor ncrcate. Utilitar specific determinrii nivelului de securitate a unui calculator prin evaluarea patch-urilor de securitate aplicate, modul de configurare a serviciilor, aplicaiilor i utilizatorilor. Se folosete pentru a afia rezultatul combinrii diferitelor politici de securitate provenind din mai multe surse pe calculatorul curent. 78
Rsop.msc
Name Rasdiag
Description Colecteaz informaii despre serviciile de conectare de la distan i stocheaz aceste date n fiiere jurnal.
79
4.
Se ateapt crearea cazului. La finalul acestui proces FTK va deschide o nou fereastr
n situaia n care proba nc nu a fost colectat, va trebui s facem apel la FTK Imager: 80
Dup alegerea acestei opiuni se deschide fereastra specific aplicaiei lansat n execuie, de unde va trebui s alegem tipul de prob pe care dorim s o realizm:
Pentru c spaiul nu ne permite i nu am pornit s scriem un manual de utilizare (Manualul de utilizare FTK numr 392 de pagini) vom presupune c am colectat deja probele pe un memory stick.
81
Capitolul 11.
11.1 Reglementri
Raportul de expertiz
Ordonana Guvernului nr. 2/2000 privind organizarea activitii de expertiz tehnic judiciar i extrajudiciar, cu modificrile i completrile ulterioare (Legea nr. 37/2009, Legea nr. 178/2009, Ordonana Guvernului nr. 13/2010, Legea nr. 208/2010), Ordinul nr. 1322/C din 21 iunie 2000 pentru aprobarea Regulamentului privind atribuirea calitii de expert tehnic judiciar i de specialist precum i Ordinul Nr. 199/C din 18 ianuarie 2010 pentru aprobarea Nomenclatorului specializrilor expertizei tehnice judiciare, sunt actele juridice ce reglementeaz domeniul expertizelor judiciare Din OG 2/2000 tim c: ART. 1 (2) Este expert tehnic judiciar orice persoan fizic ce dobndete aceast calitate n condiiile prezentei ordonane i este nscris n tabelul nominal cuprinznd experii tehnici judiciari, ntocmit, pe specialiti i pe judee, respectiv pe municipiul Bucureti. Expertul tehnic judiciar este expert oficial i poate fi numit de organele de urmrire penal, de instanele judectoreti sau de alte organe cu atribuii jurisdicionale pentru efectuarea de expertize tehnice judiciare. ART. 2 Expertiza tehnic efectuat din dispoziia organelor de urmrire penal, a instanelor judectoreti sau a altor organe cu atribuii jurisdicionale, de ctre expertul sau specialistul numit de acestea, n vederea lmuririi unor fapte sau mprejurri ale cauzei, constituie expertiz tehnic judiciar Aceeai Ordonan stabilete i regulile procedurale privind expertiza tehnic judiciar: ART. 21 Raportul de expertiz cuprinde: a) partea introductiv, n care se menioneaz organul care a dispus efectuarea expertizei, data la care s-a dispus depunerea acesteia, numele i prenumele expertului sau ale experilor, specialitatea acestuia/acestora, data ntocmirii i finalizrii raportului de expertiz, obiectul acesteia i ntrebrile la care expertul sau experii urmeaz s rspund, bibliografia pe baza creia expertiza a fost efectuat i dac prile care au participat la aceasta au dat explicaii n cursul lucrrilor la care au fost convocate; b) descrierea operaiunilor de efectuare a expertizei, obieciile sau explicaiile prilor, precum i analiza acestor obiecii ori explicaii pe baza celor constatate de expert sau de specialist; c) concluziile, care cuprind rspunsurile la ntrebrile puse i prerea expertului sau a specialistului asupra obiectului expertizei. Trebuie cunoscute i prevederile Codului de procedur civil, cu modificrile i completrile ulterioare: art. 1081 1085 (Amenzi judiciare i despgubiri), art. 130, art. 170, art. 82
1711, art. 201 214 (Expertiza), Codul de procedur penal, cu modificrile i completrile ulterioare: art. 116 127 (Seciunea X Expertizele), art. 198 art. 199 (Abateri judiciare).
RAPORT DE EXPERTIZ TEHNIC JUDICIAR Capitolul I, INTRODUCERE Subsemnatul Munteanu Adrian expert tehnic judiciar n specialitatea__________, posesor al legitimaiei de expert tehnic nr. ______ am fost numit n sedina din ______________________ expert tehnic judiciar n dosarul nr. __________ , prile implicate n proces fiind: 1. _____________________________________________ 2._____________________________________________ n.___________________________ (Pentru fiecare parte implicat n proces se va meniona: denumirea, domiciliul sau sediul social i calitatea procesual) mprejurrile i circumstanele n care a luat natere litigiul sunt: _________________________________________________ _____________________________________________________ Pentru rezolvarea acestei cauze s-a dispus proba cu expertiza tehnic, creia i s-au fixat urmtoarele obiective (ntrebri): 1. _____________________________________________ 2. ____________________________ _______________ n. _______ _____________________________________ Lucrrile expertizei tehnice s-au efectuat n perioada ______ la sediul social /domiciliul __________________________________ Materialul documentar i tehnic care a stat la baza efecturii expertizei const n: 83
___________________________________________________ Redactarea prezentului raport de expertiz tehnic s-a fcut n perioada ______. n cauz s-au efectuat /nu s-au efectuat alte expertize tehnice; s-au utilizat /nu s-au utilizat lucrrile altor experi (tehnici fiscali etc.). Problemele ridicate de prile interesate n expertiz i explicaiile date de acestea n timpul efecturii expertizei sunt: _____________________________________________________ _____________________________________________________
Data pentru depunerea prezentului raport de expertiz tehnic a fost fixat la i prelungit la _______________. (dac este cazul)
CAPITOLUL II, DESFURAREA EXPERTIZEI TEHNICE Obiectivul nr. Pentru a rspunde la obiectivul (ntrebarea nr. i) s-au examinat urmtoarele documente/acte/dispozitive/echipamente: ____________________________ (descriere detaliat dac este cazul) n conformitate cu probele expertizate formulm, la obiectivul nr. I, urmtorul rspuns:________________ (se redacteaz rspunsul clar, concis i fr ambiguiti)
CAPITOLUL III, CONCLUZII n conformitate cu examinrile materialului documentar menionat n introducerea i cuprinsul prezentului raport de expertiz tehnic formulm urmtoarele concluzii (rspunsuri) la obiectivele (ntrebrile) fixate acesteia: La obiectivul nr. 1 _______________________________ La obiectivul nr. 2 _______________________________ La obiectivul nr. n _______________________________ (Se vor relua rspunsurile din capitolul II, DESFURAREA EXPERTIZEI TEHNICE) Pentru ca prezentul raport de expertiz tehnic s vin n sprijinul beneficiarului, considerm necesar s facem urmtoarele precizri: ____________________________________________________ ____________________________________________________ ____________________________________________________. (Acest paragraf poate fi introdus numai dac expertul tehnic consider c este util beneficiarului expertizei tehnice. El poate face obiectul unui capitol separat: CAPITOLUL IV, CONSIDERAIILE PERSONALE ALE EXPERTULUI(ILOR) TEHNIC(I).)
84
Expert(i) Tehnic(i):
innd cont de posibila volatilitate a probelor, este recomandabil ca n raportul de expertiz s se menioneze durat fiecrei investigaii: Data de nceput a investigaiei: 10 ianuarie 2012, 8.30 Data de finalizare a investigaiei: 12 februarie 2012, 17.45 Durata investigaiei: 150 ore Sisteme de operare examinate: Microsoft Windows Server 2003 R2, Windows XP SP 3 Sistemul de fiiere: NTFS Cantitatea de informaii analizate (imaginea): 1,200,000 MB
Descriere probe: Proba nr. 1: Server tip rack IBM X-Series 360, Serial Number 111-A1111-11-1111111. Data 11.01.2012, 10:30 Aciune Ridicarea serverului din sala serverelor. Achiziia datelor de pe hard diskurile serverului prin protejarea acestora la scriere. S-a folosit FTK Imager. Analiza probelor colectate. Au fost identificate fiierele probatorii. S-au documentat activitile realizate.
12.01.2012, 10:00
Probe: Serverul a fost accesat local. Serviciul director Active Directory a fost modificat prin acordarea de privilegii suplimentare de tipul Domain Administrators utilizatorului Valy Greavu. Data realizrii acestor modificri este 24.12.2011, ora 21.20. Contul activ n acel moment a fost abcbank\Administrator Pentru directorul Y:\ServiciiNoi a fost asignat ca proprietar (owner) Valy Greavu. Fiierul Y:\ServiciiNoi\Campanie_produse_corporate.doc a fost accesat prin intermediul contului Valy Greavu n data de 25.12.2011, ora 23.51. Fi;ierul Y:\ServiciiNoi\Confidential\StrategieNou.doc a fost accesat prin 85
intermediul contului Valy Greavu n data de 25.12.2011, ora 23.57 . Proba nr. 2: Tablet laptop Fujitsu Siemens7400, Serial Number 222-B2222-22-222222. Date / time 11.01.2012, 10:35 14.01.2012, 10:00 Action Ridicare laptop aflat n posesia lui Valy Greavu Analiza probelor colectate. Au fost identificate fiierele i evenimentele probatorii. S-au documentat activitile realizate.
Probe: Laptopul a fost accesat cu contul abcbank\valy.greavu n data de 24.12.2011, ora 21.18. Fiierele Campanie_produse_corporate.doc respectiv StrategieNou.doc au fost transferate de pe server n directorul local My Documents. A fost pornit aplicaia Internet Explorer i s-a accesat pagina www.gmail.com n data de . 24.12.2011, ora 23.58. Fiierele au fost transmise ctre adresa gigel.popescu@hotmail.com n data de 25.12.2011, ora 00.03 CONCLUZIE 1. La obiectivul nr. 1: Concluzionm c Valy Greavu Corporate Manager a obinut n mod neautorizat acces la fiiere coninnd informaii clasificate Confidenial i le-a transferat prin pot electronic ctre o ter parte.
n final mai menionm c un raport asupra datelor investigate se poate obine cu majoritatea software-urilor de tip forensic. n acest caz trebuie s adaptai formatul raportului obinut n mod automat la cerinele legiuitorului.
86
87
Capitolul 12.
n continuare va fi simulat un caz de investigare electronic. Cazul pleac de la ideea c un angajat a unei ntreprinderi care realizeaz diverse produse de alimentaie, sustrage reete clasificate ca fiind secrete n ideea de a le vinde unei ntreprinderi concurente. Vom presupune, pe rnd, mai nti c suntem inculpatul i vom folosi cteva tehnici de ascundere a dovezilor iar apoi vom intra n rolul unui investigator care analizeaz stickul pe care am ascuns dovezile.
53
88
n imaginea de mai sus avem caseta de dialog la crearea unei arhive ZIP cu opiune de criptare. Acum c am creat arhiva respectiv ar fi bine s o redenumim de exemplu joc.zip. Acest lucru ne va ajuta la pasul urmtor. Pasul 2 Schimbarea extensiei arhivei O arhiv poate da de bnuit atunci cnd stickul pe care se afl este supus unei investigaii digitale. Pentru a ne masca i mai bine fapta, n continuare, vom schimba extensia arhivei din ZIP n EXE. Un ochi ne-experimentat care se uit la acest aa-zis executabil, dac va da dublu click pe el va ntmpina o eroare de sistem, va crede c executabilul este corupt i va trece peste o analiz mai amnunit a acestuia.
89
Imaginea de mai sus demonstreaz eroare obinut cnd este rulat executabilul fantom. Pentru a avea acces la extensia unui fiier i pentru a o putea modifica trebuie s debifm opiunea Hide extensions for known file types din Folder Options. Dup ce a fost debifat aceast opiune, cnd ncercm s redenumim fiierul, vom avea acces i posibilitatea de a schimba extensia. Pas 3 Folosirea unui editor de HEX pentru schimbarea amprentei arhivei ZIP Unui investigator cu ceva experien i se va prea ciudat acest executabil care nu ruleaz i ar putea face o analiz a tipului de fiier pentru a afla dac ntr-adevr este vorba de un executabil. Folosind un editor de hex, XV32, observm c numrul magic (semntura digital a fiierului) al unei arhive de tip ZIP este 50 4B iar pentru un fiier executabil 4D 5A. n imaginea de mai jos sunt prezentate astfel de semnturi digitale.
90
Figura nr. 12.3 - Semnturile digitale ale fiierelor de tip ZIP i EXE
Chiar dac am schimbat extensia din ZIP n EXE se poate observa c numrul magic a rmas cel al unui fiier ZIP. n continuare tot ce trebuie s facem este s editm 50 4B n 4D 5A i s apsm butonul de salvare. Rezultatul va arta ca n figura de mai jos.
Figura nr. 12.4 - Semntura digital a unui fiier ZIP a crui numr magic a fost modificat
91
Acum pe lng faptul c arat ca un fiier executabil i sistemul de operare Windows l vede ca pe o aplicaie, un ochi neexperimentat va putea fi pclit uor de aceast schimbare a numrului magic.
Pentru o persoan cu suficiente cunotine din domeniul IT o astfel de modificare a unui fiier nu ia mai mult de 10 minute. Ultimul lucru care a rmas de fcut este ascunderea stickului de memorie pe care pstrm fiierul.
obiectelor. Seciunea V. nscrisurile din Codul de procedur penal reglementeaz procesul-verbal ca mijloc de prob i cuprinsul i forma acestuia. Art. 108 al Seciunii VIII completeaz cu datele ce trebuiesc notate la percheziie i ridicarea obiectelor de prob i anume locul, timpul i condiiile n care nscrisurile i obiectele au fost descoperite i ridicate, enumerarea i descrierea lor amnunit, pentru a putea fi recunoscute. Procesul-verbal care atest gsirea i ridicarea stickului de memorie poate fi vzut n Anexa1. Pasul 2 Pregtirea mediului de lucru i analiza corpului delict Subiectul analizei cuprinse n aceast lucrare l face stickul de memorie pe care am ascuns fiierul incriminatoriu aa c ne vom concentra asupra acestuia. Aadar n procesul verbal de constatare a fost cuprins acest stick de memorie care a fost gsit ascuns ntr-un ifonier, ntr-un loc greu accesibil sau vzut, mpreun cu pozele aferente. Pe acest stick nu sunt vizibile dect marca Verbatim i un numr 08091101304G31AAD. Stickul de memorie a fost pus spre pstrare ntr-un plic sigilat i transportat la sediu unde urmeaz s fie supus la o serie de procedee ce vor permite analiza. Jurnalul investigatorului poate fi vzut n Anexa 2. Pasul 2.1 Blocarea la scriere a echipamentelor de stocare Odat ce corpul delict a ajuns n posesia investigatorului poate ncepe constatarea tehnicotiinific descris sumar n Codul de procedur penal, Seciunea IX Constatarea tehnicotiinific i constatarea medico-legal dar, mai nti, trebuie s asigurm un mediu de lucru care nu va modifica n nici un fel corpul delict, compromind astfel integritatea dovezii. n primul rnd trebuie s ne asigurm c n momentul n care conectm stickul de memorie la calculator, acesta nu va fi modificat. n momentul n care conectm un astfel de dispozitiv la calculator este modificat fiierul de configurare a acestuia cu data i ora ultimei accesri. Pentru a evita acest lucru, pe sistemele Windows (nu este cazul pe sistemele Linux), trebuie instalat un program/aplicaie care s blocheze scrierea stickurilor de memorie dar, s permit citirea. Pentru aceasta putem folosi o aplicaie precum Thumbscrew USB Write Blocker. Este o aplicaie freeware foarte uor de folosit dar, din pcate nu garanteaz 100% blocarea stickului de memorie la scriere. Pentru a realiza o investigaie digital care s elimine orice urm de ndoial este recomandat folosirea unui software pltit, cu licen, care s garanteze blocarea scrierii pe stickuri de memorie. Din testele realizate Thumbscrew USB Write Blocker s-a dovedit a fi de ncredere dar, am ales o metod care s aduc un plus de siguran. Pe sistemele Windows, sistem folosit de altfel n aceast investigaie, blocarea scrierii pe stickuri de memorie poate fi realizat din regitrii calculatorului HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\Wr iteProtect Pe multe maini este posibil ca WriteProtect s nu existe. n acest caz l vom crea noi nine astfel: 1. Deschidem Registry Editor (Run > regedit) 2. Navigm pn la HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ 3. Crem o cheie nou (Edit > New > Key) pe care o denumim StorageDevicePolicies 4. Selectm cheia StorageDevicePolicies i apoi crem o nou valoare DWORD (32-bit) (Edit > New > DWORD (32-bit) value ) pe care o denumim WriteProtect 5. Dublu click pe WriteProtect i setm Value Data 1 ca n imaginea de mai jos. Implicit aceasta are valoarea 0.
93
Figura nr. 12.6 - Modificarea registrilor calculatorului pentru a bloca scrierea stickurilor de memorie
Imaginea de mai sus arat crearea valorii WriteProtect i modificarea acesteia pentru a bloca scrierea. Pasul 2.2 Calculul amprentei digitale i clonarea corpului delict Acum c am blocat scrierea stickului de memorie i implicit modificarea lui putem trece mai departe i anume calcularea unei sume de control, valoarea hash care acioneaz ca o amprent digital a stickului, identificnd-ul unic. Orice modificarea ct de mic asupra echipamentului i valoarea hash se va schimba indicnd astfel c probele au fost compromise. Pentru acest lucru avem nevoie de un software specializat aa c am ales FTK Imager 3.0.154 de la Access Data. Cu ajutorul funciei Verify Drive/Image putem obine un raport preliminar asupra stickului de memorie, n acest raport fiind inclus valoarea hash MD5.
54
94
95
De asemenea putem scoate o lista cu directoarele de pe stickul de memorie ce ne va ajuta n cutarea unor fiiere cu valoare n incriminarea suspectului inclusiv documente terse de curnd. Acest lucru poate fi realizat cu funcia Export Directory Listing. Acum c am calculat valoarea hash a echipamentului putem merge mai departe i s l clonm. Analiza se face pe clon nu pe echipamentul incriminat. Ca mod de creare a unei clone am ales opiunea Create Image din FTK Imager cu formatul imaginii AFF (Advanced Forensics Format) deoarece putem realiza imagini comprimate sau nu, deci nu avem restricie la mrimea imaginii, poate fi extins, este open source, poate fi verificat pentru consisten, imaginea poate fi segmentat i este o copie la nivel de bit a echipamentului fizic. nainte de crearea imaginii am bifat opiunea de creare a unei liste cu directoarele coninute pentru o eventual comparaie cu prima astfel de list obinut. De asemenea naintea crerii imagini ni se cer cteva informaii legate de cazul curent precum numrul cazului, numrul probei, descriere unic, numele examinatorului. Din sumarul crerii imaginii se poate observa c valoarea hash MD5 este identic cu prima valoare MD5 calculat asupra stickului de memorie. Raportul complet poate fi observat n Anexa3.
Pasul 2.3 Analiza clonei i identificarea probelor digitale Primul pas n analiza clonei este folosirea funciei Mount din FTK Imager care ne va permite s vedem corpul delict ca pe o nou partiie la sistem.
96
Noua partiie este o copie fidel a stickului de memorie. Dup cum se poate observa are aceeai denumire i capacitate ca stickul fizic. Urmtorul pas este investigarea fiierelor care se gsesc n imagine. Se folosete un software profesional precum Forensic Tool Kit (FTK 3.3) de la Access Data care este foarte apreciat n SUA sau EnCase pentru analiza tipurilor de fiiere. Din pcate aceste instrumente software sunt foarte scumpe de achiziionat i nu exist variante demo sau programe de test pentru studeni care doresc s fac cercetare n acest domeniu. Principiul folosit este relativ simplu, se iau toate fiierele din imagine i se analizeaz n profunzime pentru a descoperi dac nu ascund ceva n spate. Listarea directoarelor pe care am fcut-o att la nceputul ct i dup ce am creat imagine ne ajut la descoperirea fiierelor terse deoarece evideniaz astfel de fiiere. Desigur pentru recuperarea acestora ar trebui s folosim unu instrument la fel de inaccesibil ca i celelalte menionate mai sus. Relum lucrarea i presupunem c analiza fiierelor cu unul din instrumentele de mai sus a dat roade i am identificat fiierul joc.exe ca fiind de fapt o arhiv ZIP. Arhiva este criptat cu parol, iar pentru a trece de acest impediment vom folosi un alt instrument software de la Access Data care de aceast dat poate fi folosit n varianta demo i putem sparge parole pentru fiiere de tip ZIP. Instrumentul ales este Password Recovery Tool Kit. Tot ce trebuie s facem este s selectm fiierul criptat, s specificm numele cazului i s pornim procesul de decriptare. La finalizarea acestuia avem ca rezultat parola Garfield . Ultimul lucru pe care investigatorul trebuie s l fac este s deschide arhiva i s ntocmeasc un proces verbal cu rezultatele analizei tehnico-tiinifice.
97
n acest studiu de caz ne propunem s punem la dispoziia cititorului o metod sau un scurt ndruma de acces la probele digitale stocate pe un calculator Windows. Cazul pleac de la ideea c un anumit calculator este protejat pe mai multe niveluri i c s-a realizat deja accesul fizic la dispozitivul suspect. Investigatorul trebuie s aib acces la un fiier protejat de pe discul care este criptat cu EFS. Nivelurile de protecie pe care le putem asigura unui calculator sunt: - Accesul la BIOS - Accesul n sistemul de operare - Accesul la fiiere - Accesul la jurnale - Accesul al arhive protejate. Cea mai comun metod de protecie este utilizarea parolelor pe fiecare din nivelurile enumerate anterior. n mare parte infractorii IT profesioniti folosesc multe alte niveluri de protecie, mergnd din ce n ce mai mult pe protecia biometric sau pe pstrarea datelor n alte locaii dect dispozitivul fizic de pe care se lucreaz, sau chiar utilizarea unor dispozitive de unic folosin.
98
BIOS-ul este acronimul expresiei engleze Basic Input/Output System, o component software de baz a calculatoarelor (PC-uri i servere) care face legtura ntre componentele fizice (hardware) i sistemul de operare utilizat pe calculatorul respectiv. Cteva dintre companiile productoare de BIOS-uri sunt: Award, American Microsystems, Inc. (AMI) i Phoenix Technologies Ltd. (Phoenix). BIOS-ul ndeplinete trei funcii fundamentale: 1.Verificarea componentelor la pornirea calculatorului (Power On Self-Test sau POST) 2.ncrcarea sistemului de operare de pe discul dur (HDD) n memoria de lucru 3.Face legtur ntre sistemul de operare i unele dispozitive fizice Pe lng funciile fundamentale BIOS-ul are rolul de proteja secvena de bootare a calculatorului prin specificarea dispozitivelor de pe care se face bootarea. Calculatorul unei companii trebuie s permit bootarea numai de pe hardisk pentru a preveni eventualele tentative de a boota calculatorul cu ajutorul unei disckete, CD sau momory stik. Pentru a preveni schimbarea secvenei de bootare BIOS-ul poate fi protejat cu o parol. Scopul nostru n aceast etap este s depim aceast parol. Metoda 1: Parola implicit n funcie de tipul productorului BIOS-ului putem ncerca o serie de parole implicite. Detalii: http://www.elfqrin.com/docs/biospw.html Metoda 2: Eliminarea bateriei de pe placa de baz Pentru a putea pstra n memorie setrile utilizator (parola, secvena de boot) cipsetul care stocheaz aceste informaii are nevoie de o baterie care se afl pe placa de baz a calculatorului. Eliminarea acestei baterii produce invariabil revenirea tuturor setrilor BIOS la parametrii de fabric care nu conin o parol de acces la BIOS. Odat resetat parola de BIOS putem avea acces i s modific secvena de Boot. Putem n acest fel boota cu un CD specializat sau un memory stik pentru a realiza clonarea hardiscului i analiza datelor de pe acesta.
55
http://www.hirensbootcd.org/
99
hardurilor cum ar fi HDD Regenerator, dar si programe ce ofera posibilitatea partitionarii hard discurilor, precum si testarea lor, i nu doar atat. Acest utilitar contine si Mini Windows Xp acesta este o versiune mai mica a lui Windows XP pe care insa nu e nevoie sa o instalam pe calculator, sistemul de operare va rula in momentul cand selectam aceasta optiune, de pe cd, el punand fisierele de care are nevoie in memoria RAM, iar apoi Windows-ul va rula in mod normal. Accesarea acestui utilitar se face din meniul de botare a cd-ului dupa care acesta se va afisa ca un Windows XP normal. n continuare vom prezenta o list de instrumente utile pentru activitatea investigatorilor:
Recuva 1.27.419: Restaureaza fisierele sterse de pe Hard-diskuri , Camere digitale Memory Carduri, usb mp3 player Partition Find and Mount 2.3.1: Este facut pentru a identifica partitiile sterse sau pierdute. Unstoppable Copier 4b: permite copierea fisierelor de pe diskuri cu probleme cum ar fi bad sectors, zgarieturi sau care dau erori la citirea normala
Odat intrai n sistemul de operare putem identifica fiierele de care avem nevoie pentru probe sau putem consulta jurnalele de activiti pentru vedea firul de execuie a unei opraiuni efectuate de utilizator.
Accesul la fiiere
Accesul la fiiere este relativ simplu odat intrai n sistemul de operare. Totui anumite fiiere pot fi terse pentru a elimina probele. n acest caz trebuie s utilizm aplicaii specializate ca cele prezentate n seciunea anterioar.
Accesul la jurnale
Event Viewer Aplicaia de vizualizare a mesajelor despre diferite evenimente) include 3 categorii implicite de nregistrri: monitorizarea mesajelor de la aplicaiile instalate 101
Pentru a vizualiza un mesaj n mod detaliat trebuie deschis prin dublu click. Exist trei tipuri de mesaje: Information (mesaje de informare), Warning (mesaje de alarm) i Error (mesaje de eroare).
Fiecare categorie din Event Viewer poate fi parametrizat click dreapta al mouse-ului pe ea i alegerea opiunii Properties din meniul contextual afiat. Principalele opiuni sunt: Maximum log size (mrimea maxim a fiierului care stocheaz nregistrrile) exprimat n Kb. V recomandm s mrii de 2-3 ori capacitatea de stocare a fiierului respectiv pentru fiecare categorie n parte; Aciunea care se va efectua n momentul n care fiierul de log a ajuns la dimensiunea maxim unde putem alege: suprascrierea evenimentelor dac este nevoie (Overwrite events as needed); suprascrierea evenimentelor mai vechi de 7 zile; tergerea manual a nregistrrilor; tergerea cu posibilitatea de salvare a nregistrrilor (butonul Clear Log). nregistrrile din Event Viewer pot fi salvate n formatul proprietar EVT sau n formatul CSV (coma separated value) care permite importul i analiza informaiilor n aplicaii de calcul tabelar i numai. Pentru parametrizarea informaiilor care vor fi nregistrate n categoria Security trebuie s accesm politica de securitate local a serverului: 1. Start Administrative Tools Local Security Policy; 102
2. 3.
n fereastra Local Security Settings n categoria Local Policies activai de la subcategoria Audit Policy opiunile pentru: Audit account logon events, Audit account management, Audit logon events, Audit policy change. Dup efectuarea schimbrilor respective i nchiderea ferestrelor deschise, redeschiznd Event Viewer o s constatai c deja au nceput s apar alte tipuri de nregistrri n Security.
103
Glosar de termeni
ATM: (Asynchronous Transfer Mode). O tehnologie a reelelor de calculatoare in care conexiunile dintre echipamentele de comunicaie sunt setate, folosite si eliminate in mod dinamic. Backbone: O poriune a reelei care suporta traficul cel mai intens; sistemul principal de cabluri care asigura comunicaia intre punctele de distribuie precum si comunicaia cu camera echipamentelor si punctele de acces in cldire. Bandwidth: Cantitatea de informaii sau date care pot fi trimise printr-o conexiune de reea ntr-o perioad de timp. Lime de band de obicei este declarat n bii pe secund (bps), kilobii pe secund (kbps) sau megabii pe secund (mbps). BIOS: (Basic Input Output System). Setul de rutine stocate n memoria ROM (doar n citire) pe un sistem de circuite de pe placa de baz care pornete calculatorul prin iniializarea dispozitivelor fizice, apoi transfer controlul sistemului de operare. BIOS-ul deschide canale de comunicare cu componentele calculatorului, cum ar fi hard disk-uri, tastatura, monitor, imprimanta i porturile de comunicare. Bit: Binary Digit. Un bit este cea mai mica unitate de informaie, constnd dintr-o singura cifra binara. Este reprezentat de valorile numerice 1 sau 0. BMP: Extensie a fiierelor de tip Bitmap, utilizate pentru stocarea imaginilor digitale. Buffer: Un bloc de memorie care stocheaz date temporar i permite acestora s fie citite sau scrise n buci mai mari pentru a mbunti performana unui computer. Buffer-ul este utilizat pentru depozitarea temporar a datelor care se citesc sau sunt n ateptare pentru a fi trimise ctre un dispozitiv, cum ar fi un hard disk, CD-ROM, imprimant, n reea sau unitate de band. Cadre: Un cadru este grup de bii care constituie un bloc de informaie. Cadrul conine informaii de control a reelei sau date. Mrimea si alctuirea cadrelor este determinata de protocolul de reea utilizat. Cadrele sunt generate pe nivelul 2 al modelului OSI. (engl.: frame) CAT-5/Category-5: Cablu de transmitere a datelor cu vitez mare (100 mbps sau mai mult). Cablurile de tip CAT-5 sunt utilizate n special pentru transmiterea de voce i date. CAT-5e: (Enhanced CAT-5). Similar cu CAT-5 dar cu o serie de mbuntiri. CAT-6/Category-6 (ANSI/TIA/EIA-568-B.2-1): Un cablu standard pentru reelele de tip Gigabit sau alte tipuri de interconectri compatibile cu CAT-5, CAT-5e i Cat-3. Principalele sale specificaii sunt orientate ctre reducerea perturbrilor de transmisie prin reea. CD/CD-ROM: (Compact DiscRead-Only Memory). Un tip de unitate de stocare care conine date i informaii accesibile de un calculator numai pentru citire. Capacitile standard sunt de 640, 650 sau 700 MB. CD-R: (Compact DiscRecordable). Un CD pe care se pot nregistra/scrie date fr a mai putea fi terse. Se mai folosete i termenul CD-Blank. CD-RW: (Compact DiscRewritable). Un CD pe care se pot scrie, modifica i terge date. Chat Room: O aplicai client pentru anumite tipuri de site-uri web care permit utilizatorilor s comunice n timp real prin utilizarea textului, simbolurilor sau mesajelor audio. Compact Flash Card: Un dispozitiv de stocare de dimensiuni i capaciti mici, care poate fi ndeprtat de la calculator i care se bazeaz pe tehnologia de memorie flash, o tehnologie de stocare care nu necesit o baterie special pentru a pstra date pe termen nelimitat. Compressed File: Un fiier a crui dimensiune este mai mic, de obicei, dect a fiierului original, i care necesit tehnologii specifice de reducere a dimensiunii prin utilizarea unui algoritm de tergere sau combinare a informaiilor redundante. Un fiier compresat nu poate fi citit n mod direct de toate aplicaiile pn cnd nu se realizeaz operaiunea invers, decompresarea. Se mai ntlnete i termenul de arhivare, n momentul n care se utilizeaz aplicaii specializate de compresare: WinZip, WinRar, WinAce etc.
104
Cookies: Fiiere tip text de dimensiuni mici salvate pe un calculator care stocheaz informaii despre site-urile de internet accesate un utilizator. Copie duplicat bit-cu-bit: Proces de copiere a datelor stocate pe dispozitive digitale, astfel nct copia reproduce datele identic la destinaie. Termenul de bit-cu-bit refer faptul c datele sunt copiate la nivel de nlnuire a valorilor care compun sistemul de stocare de la surs. De exemplu n modul binar reprezint niruirea de 0 i 1 care compun datele pe mediul de stocare. CPU: (Central Processing Unit.) Un microcip al calculatorului care conine de la mai multe mii la mai multe milioane de tranzistori care ndeplinesc mai multe funcii simultan. Criptare: Orice procedur utilizat n criptografie pentru a converti un text simplu ntr-un text cifrat pentru a mpiedica pe oricine, n afara destinatarului care are cheia de decriptare corespunztoare, de la citirea acestor date. Crosstalk: O perturbare a semnalului electric transmis printr-un cablu UTP sau STP. Crosstalk se refer la faptul c semnalul dintr-un fir sau set de fire afecteaz semnalul din alt fir sau alt set de fire ale unui cablu. CSMA/CD: (Carrier Sense Multiple Access with Collision Detection). CSMA/CD este baza sistemului de operare in reelele Ethernet. Este metoda prin care staiile urmresc reeaua si determina daca sa transmit sau nu date si ce sa fac daca se semnaleaz o coliziune. Deleted Files: Fiiere care nu mai au o asociere n tabela de alocare a fiierelor. Fiierele terse se gseasc nc pe mediul de stocare dar nu mai sunt accesibile n mod normal de sistemul de operare. DHCP: (Dynamic Host Configuration Protocol). Un set de reguli utilizate de echipamentele de comunicare n reea, precum: calculatoare, rutere, sau alt adaptoare de reea; permite acestora solicitarea, obinerea i utilizarea unei configuraii TCP/IP de la un server care are o list de adrese disponibile pentru accesul la reea sau la Internet. Digital Camera: Un aparat de fotografiat sau filmat care nregistreaz imaginile n format digital. Spre deosebire de camerele analogice care nregistreaz un numr infinit de intensiti ale luminii, camerele digitale nregistreaz doar un numr limitat de intensiti i salveaz datele pe diferite flash card-uri sau discuri optice. Dispozitiv de stocare electronic: Orice mediu care poate fi folosit pentru a nregistra informaii pe cale electronic. Exemplele includ hard discuri, benzi magnetice, compact discuri, casete video, casete audio etc. Exemple de dispozitive de stocare amovibile includ uniti de tip thumb, carduri de memorie, dischete, i discuri Zip . DivX: Nume al unui set de produse bine cunoscute create de DivX, Inc, inclusiv DivX Codec, care a devenit foarte popular datorit capacitii sale de a comprima segmente video cu o lungime mare n fiiere de dimensiuni mici, meninnd n acelai timp o calitate vizual relativ ridicat. Ca rezultat, DivX a fost n centrul mai multor controverse datorit utilizrii sale n reproducerea i distribuirea de DVD-uri fr drepturi de autor Docking Station: Un dispozitiv fizic care permite laptop-urilor i notebook-urile s foloseasc echipamente periferice i componente (scanner, monitor, tastatura, mouse i imprimante) care n mod normal sunt asociate cu un calculator de birou. Dongle: O metod de protecie mpotriva copierii sau un dispozitiv de securitate furnizat odat cu o aplicaie software.Dongle-ul mpiedic utilizarea neautorizat sau duplicarea aplicaiei software, deoarece fiecare copie a programului necesit un dongle pentru a funciona. Mai este cunoscut i sub numele de cheie HASP sau cheie USB. Dovada dezincriminatoare: Dovezi care arat c o acuzaie penal nu este justificat de dovezi. Driver = aplicaie software ce permite sistemului de operare s utilizeze n mod optim un sistem hardware. DSL: (Digital Subscriber Line). O tehnologie de comunicare de mare vitez pentru modemurile digitale utilizate pentru liniile telefonice deja existente. DVD: (Digital Versatile Disk). Un disc compact de capacitate mare care poate stoca pana la 4,7 Gb (de 28 ori mai mult dect un CD). Tipurile derivate disponibile: DVD-R, DVD-RW, DVD+R, DVD+RW, i BlueRay.
105
Ecranaj: Stratul metalic ce protejeaza un cablu de influenta radiatiilor electromagnetice; poate fi alcatuit dintr-o folie sau o plasa metalica ce inveleste cablul pe toata circumferinta. (engl. shield). EMI: (Electro Magnetic Interference). Este interferenta in semnalele transmise sau receptionate cauzata de cimpurile electrice si magnetice. Ethernet: O tehnologie din domeniul retelelor de calculatoare care permite ca orice statie dintr-o retea sa transmita la orice moment presupunind ca a verificat traficul pe retea si a asteptat ca reteaua sa fie libera si sa nu existe coliziuni. Fibra optic: Mediu de transmisie alcatuit din fire de sticla sau plastic invelite intr-un blindaj de protectie din plastic. Fibrele optice transmit informatia sub forma unor fascicole pulsatorii de lumina. Firewall: Un paravan de protecie (dispozitiv fizic sau aplicaie software sau o combinaie ntre fizic i aplicaii) care permite sau blocheaz traficul n i dintr-o reea privat sau calculatorul unui utilizator, si este principala metod de a ine un calculator securizat de intrui. De asemenea, este utilizat pentru a separa zona de servere a unei companii de reeaua sa intern i pentru a menine segmentele interne de reea securizate. FireWire: Un port de comunicaie sau band de comunicaie de mare vitez, serial care permite conectarea a pn la 63 de dispozitive. Este utilizat n special pentru descrcarea de informaii video de pe camerele video digitale la un calculator. Firmware: Instructiuni soft care care permit ca un echipament sa functioneze. Fiier: O colectie de date, informatii inrudite, asociate (engl.: file). Formatul fiierului: Se refer la tipul de fiier bazat pe structura fiierului, aspect, sau modul n care un anumit fiier are organizate informaiilor (sunete, cuvinte, imagini) coninute n acesta. Formatul unui fiier este indicat de obicei prin extensia de trei sau patru litere: .exe, .doc, .jpg, .html. GIF: (Graphics Interchange Format). Una din cele mai comune formate de fiiere utilizate pentru stocarea imaginilor. Este utilizat foarte mult pentru paginile de Internet datorit ratei mari de compresie i faptului c ocup un spaiu mai mic pe disc dect formatul jpg. GPS: (Global Positioning System) Un sistem de satelii i dispozitive de recepie folosite pentru a calcula pozitiile de pe Pamant. GPS-ul este utilizat n navigare i orientare, n domeniul afacerilor imobiliare i topografierea parcelelor de pmnt. Hard Copy: O reproducere permanent a datelor pe orice media adecvat, pentru utilizarea direct ctre o persoan, de exemplu, pagini tiprite i pagini de fax. Hard Drive: (HDD) Un dispozitiv de stocare a datelor care este compus dintr-un circuit extern, fie de date i cabluri de alimentare cu energie electric; la interior are un strat ceramic de protecie i platane de metal cu proprieti magnetice pentru stocarea datelor. Cele mai comune tipuri sunt: IDE, SCSI, SATA, SAS, etc. Hardware: Componentele fizice care compun un calculator incluznd: tastatura, mouse, monitor i unitatea central. Header: (ro: Antet) n mai multe discipline de informatic, un antet este o unitate de informaii care precede un set de date. ntr-o reea de transport, un antet face parte din pachetele de date i conine informaii transparente cu privire la fiier sau despre transportul de date efectuat. In gestiunea fiierelor, un antet este o regiune la nceputul fiecrui fiier n care sunt pstrate date despre acesta. Antetul fiierului poate conine data la care fiierul a fost creat, data la care a fost actualizat ultima dat, i dimensiunea fiierului. Antetul poate fi accesat numai de ctre sistemul de operare sau de programe specializate. Hidden Data (Date ascunse): Multe sisteme informatice includ o opiune de a proteja anumite informaii de utilizatorii ocazionali, prin ascunderea acestora. O examinare sumar a sistemului nu poate afia fiierele ascunse, directoare, sau partiii pentru utilizatorul neinstruit. O examinare efectuat de un expert va documenta prezena acestui tip de informaii. Host: Un echipament de retea care actioneaza ca sursa sau destinatie a informatiei din retea.
106
IANA: (Internet Assigned Numbers Authoryty). Agentia care desemneaza si distribuie adresele IP i nu numai. IM: (Instant Messenger). Un serviciu de comunicare care permite utilizatorilor s comunice sincron n timp real pe Internet. Este asemntor unei comunicaii telefonice numai c se bazeaz pe scriere nu pe voce. Cele mai cunoscute aplicaii pentru IM sunt: Yahoo Messenger, MSN Live Messenger, Google Talk. La ora actual comunicaia prin voce i face din ce n ce mai mult simit prezena, una din cele mai cunoscute aplicaii pentru comunicaiile bazate pe voce fiind Skype. IP: Un numr de 32 di bii care identific n mod unic un host de pe Internet. Este asociata de administratorul de retea unei anumite interfete de retea. Alocarea adreselor este gestionata de catre agentia internationala IANA. Exemple de adrese: 127.0.0.1, 192.168.1.1, 10.10.1.254. ISDN: (Integrated Services Digital Network). O linie de comunicaii de mare vitez care se bazeaza pe liniile telefonice obinuite pentru conectarea la Internet. ISP: (Internet Service Provider). Un tip de afacere economic bazat pe furnizarea serviciilor de acces la Internet, precum i alte servicii corelate: gzduire de site-uri web, servere de e-mail si altele. JPG: (Joint Photographic Experts Group sau JPEG). O tehnic de compresare a imaginilor digitale i de stocare a acestora. Este foarte utilizat datorit algoritmului de reducere a dimensiunii fiierului fr a afecta foarte mult calitatea imaginii. LAN: (Local Area Network). O retea locala ca intindere geografica. MAC (adresa MAC - Media Access Control): Cunoscut i ca adresa fizic de reea, este un numr ntreg pe 6 octei (48 bii) pentru reelele Token-ring sau Ethernet folosit la identificarea unui calculator ntr-o reea local. Iniial s-a dorit ca aceste adrese MAC s fie unice distribuindu-se zone contigue de adrese MAC la diferii productori de interfee de reea. n prezent, adresele MAC sunt configurabile, aa c dezideratul privind unicitatea lor a nu se mai poate realiza. Permit serverelor de DHCP s confirme dac un calculator are permisiunea de a accesa reeaua. Formatul adreselor MAC: XXXXXXXXXXXX, unde X = {09;A-F}. Main virtual = implementare software a unei maini (computer) ce are capacitatea de a executa programe ca un computer propriu-zis. Network (Reea): O combinaie de calculatoare independente sau alte dispozitive, medii de comunicaie cu fir sau fr fir i echipamente conectate care permit schimbul i partajarea de date sau resurse. Password-Protected File: Un fiier configurat pentru a interzice accesul utilizatorilor care nu introduc parola valid de acces la coninutul fiierului. PCMCIA: (Personal Computer Memory Card International Association). O organizaie a productorilor responsabil cu promulgarea standardelor pentru diferite tipuri de circuite integrate incluznd cadrdurile PC i cardurile Express. Phishing: O metod de fraud ntlnit pe Internet care se desfoar prin intermediul e-mailurilor care conin adrese i legturi ctre pagini web cu un coninut asemntor cu cel al unor instituii financiare bine cunoscute, cu scopul de a colecta informaii despre conturile clienilor, coduri de acces, parole, detalii despre cardurile de credit sau parole. Acestea sunt colectate i utilizate apoi de infractori pentru deturnarea de fonduri din conturile reale ale clienilor. Phreaking: Metod de hacking a sistemelor de telefonie clasice. Port: O interfa logic sau fizic prin intermediul cruia un calculator comunic cu alte calculatoare din reea, servere i servicii sau cu dispozitivele periferice sau ataate. Porturile de comunicaie se mpart n porturi de comunicaie TCP sau UDP i sunt de la 1 la 65535. Porturile cele mai cunoscute i utilizate sunt cele de la 1 la 1024. Exemple de porturi de comunicaie TCP: 22 SSH, 25 SMTP, 80 HTTP, 443 HTTPS dar i porturi nalte precum 1433 SQL Server, 1521 Oracle, 3389 RDP. Prob digital: Informaii i date stocate sau transmise n format binar care pot fi introduse i invocate ntr-o instan de judecat. Prob electronic: Date sau informaii cu valoare pentru o investigaie care este stocat sau transmis pe sau de pe un dispozitiv electronic.
107
Protocol: Un set de reguli care guverneaza fluxul de informatie intr-o infrastructura de comunicatii. Quarantine: Starea unei entiti informaionale sau mai precis unui fiier, pn la luarea deciziei de utilizare a acestuia. Remote: Fiiere, dispozitive i alte resurse care nu sunt conectate direct la un calculator dar care sunt utilizate ca i cnd ar fi locale. Screen Name: Un nume ales de un utilizator al Internetului folosit n comunicare. El poate fi numele real al unei persoane, o variaiune de la numele real sau poate fi un pseudonim (handle). Screen name-urile sunt utilizate pentru mesageria instant (IM) sau pentru autentificarea pe diferite site-uri web. Server = program de aplicaie care furnizeaz servicii altor aplicaii (numite aplicaii client), aflate pe acelai calculator sau pe calculatoare diferite. Server: Un calculator cu o arhitectura specifica sau o statie de lucru sau host care executa servicii pentru clientii din retea Sistem de operare: O aplicaie specializat care permite controlul dispozitivelor fizice ale calculatorului i faciliteaz instalarea i rularea aplicaiilor de alte tipuri. Cele mai cunoscute nume de sisteme de operare: familia Microsoft Windows (XP, Vista, 7, Server 2008), familia produselor open-source: Linux, Suse, Unix, Solaris i sistemele de operare and Apple MacOS. n ultimii ani datorit exploziei dispozitivelor mobile intelogente i cu performane hardware ridicate se utilizeaz din ce n ce mai mult sistemul de operare Android cu diferite variante ale sale. Pentru telefoane mobile un sistem de operare foarte rspndit este Symbian. Smart Card: Cunoscut i sub numele de card cu chip sau card cu un circuit integrat, care permite accesul la calculatoare sau locaii securizate. Software: Aplicaii pentru calculatoare destinate efecturii anumitor operaiuni sau funcii specifice, precum: procesare de text, contabilitate, gestiunea reelei, dezvoltarea site-urilor web sau a alor aplicaii, gestiunea fiierelor, redarea coninutului multimedia i altele. Steganography: O metod de a ascunde anumite fiiere sau informaii n structura altor fiiere de alt tip sau alt natur. Switch: Echipament de retea care conecteaza doua sau mai multe segmante de retea permitind traficul numai atunci cind este necesar. Switch-urile citesc eticheta (antetul) pachetelor si decid daca sa le transmita sau sa le blocheze in functie de destinatia pachetului. USB: (Universal Serial Bus). O interfa de comunicare standard a calculatoarelor care permite interconectarea unui numr variat de dispozitive fizice sau medii de stocare i comunicare precum: tastatura, mouse, scanner, imprimante, hard-discuri externe, telefoane mobile sau chei fizice de protecie. Virtualizare = Virtualizarea este un concept ce presupune rularea unui sistem de operare pe maini (computere) virtuale simulate cu ajutorul unor aplicaii software dedicate. Aceste aplicaii pot emula funcionarea tuturor componentelor unui sistem informatic real (FDD, CD-ROM, HDD, memorie, CPU, dispozitive USB, placa de reea). Virus: O aplicaie capabil s se ascund, multiplice i rspndeasc automat prin intermediul mediilor de interconectare sau transfer de date a calculatoarelor. Scopul lor este de a produce stricciuni, de a fura informaii sau de a prelua controlul altor calculatoare. VoIP: (Voice over Internet Protocol). Tehnologie utilizat pentru a transmite conversaii de tip voce prin intermediul liniilor de transmisie de reea clasice. Wireless: Orice dispozitiv fizic care poate accesa o reea de date fr a folosi un mediu de comunicare conectat fizic. Zip File: Un tip de fiier compresat, care are o dimensiune mai mic dect fiierul original ncorporat n arhiva Zip. Este utilizat pentru a transmite mai rapid informaiile prin intermediul mediilor de comunicare sau pentru a reduce spaiul de stocare de pe un mediu de stocare. Anumite arhive zip pot s aib extensia EXE, ceea ce nseamn c sunt arhive autoexecutabile i nu au nevoie de un program de decompresare pentru a putea s pun la dispoziie coninutul original al fiierului compresat.
108
Indexul figurilor
Figura nr. 2.1 Volatilitatea probelor digitale .................................................................... 14 Figura nr. 3.1 Diferite tipuri de dispozitive de calcul ........................................................ 17 Figura nr. 3.2 - Componentele interne ale unui hard disk (Sursa: http://www.hddtool.com/hdd-basic/hard-disk-and-hard-drive-physical-components.htm) ..................................... 18 Figura nr. 3.3 Structura hard discului ............................................................................... 19 Figura nr. 3.4 Tipuri de hardiscuri .................................................................................... 20 Figura nr. 3.5 Fie de date pentru interconectarea hardiscurilor ..................................... 20 Figura nr. 3.6 Banda magnetic ........................................................................................ 21 Figura nr. 3.7 Diferite tipuri de uniti de stocare a datelor ............................................. 22 Figura nr. 4.1 - Modelul de comunicare ntre filosofi ........................................................... 25 Figura nr. 5.1 Procedura de colectare a probelor informatice .......................................... 39 Figura nr. 7.1 Identificarea sistemului de fiiere folosit pe o unitate de stocare ............... 45 Figura nr. 7.2 Lista de control acces asupra fiierului de pe discul E............................... 46 Figura nr. 7.3 Permisiunile efective pe un fiier ................................................................ 47 Figura nr. 7.4 Fereastra de criptare a discurilor .............................................................. 48 Figura nr. 7.5 Fereastra disk Quota .................................................................................. 49 Figura nr. 7.6 - Compresia i/sau criptarea fiierelor .......................................................... 50 Figura nr. 7.7 - Comanda compact ....................................................................................... 50 Figura nr. 7.8 - Feresatra pentru montarea discurilor ......................................................... 51 Figura nr. 7.9 Specificarea aciunilor de indexare a fiierelor pe de un disc .................... 52 Figura nr. 7.10 Serviciile de indexare n Windows XP ...................................................... 52 Figura nr. 7.11 Serviciul de indexare n Windows 7 .......................................................... 53 Figura nr. 7.12 Informaii despre sistem n formatul linie de comand............................. 54 Figura nr. 7.13 Fereastra Registry Editor ......................................................................... 55 Figura nr. 7.14 Determinarea corect a tipului unui fiier ............................................... 58 Figura nr. 7.15 Blocarea la scrierea pe dispozitive de stocare ......................................... 59 Figura nr. 8.1- Opiunile unui mesaj electronic n Microsoft Office Outlook ....................... 62 Figura nr. 8.2 Afiarea opiunilor unui mesaj de e-mail n Gmail ..................................... 62 Figura nr. 8.3 Detaliile unui mesaj de e-mail .................................................................... 63 Figura nr. 8.4 Urmrirea mesajelor de pe un server de email Exchange .......................... 65 Figura nr. 8.5 Lista detaliat de mesaje ntre doi utilizatori (Exchange Server) ............... 65 Figura nr. 8.6 Afiarea detaliilor despre un anumit mesaj ................................................ 66 Figura nr. 8.7 Schimbul complet de mesaje ntre doi utilizatori pe un anumit subiect ...... 66 Figura nr. 9.1 Istoricul dispozitivelor amovibile care au fost introduse ntr-un sistem de calcul ............................................................................................................................................... 67 Figura nr. 9.2 Detalii despre un anumit dispozitiv amovibil.............................................. 68 Figura nr. 9.3 Alte detalii despe istoricul dispozitivelor amovibile ................................... 68 Figura nr. 9.4 Utilitarul USBDeview ................................................................................. 68 Figura nr. 9.5 Fiierul jurnal setupapi.log ........................................................................ 69 Figura nr. 9.6 Cheia de registry FriendlyName ................................................................. 69 Figura nr. 9.7 Detalii despre dispozitivele amovibile n USBDeview ................................ 69 Figura nr. 9.8 Proprietile unui fiier nainte de copierea pe un dispozitiv extern .......... 70 Figura nr. 9.9 Proprietile unui fiier dup copierea pe dispozitive externe ................... 71 Figura nr. 10.1 Procesarea evidenelor electronice n FTK .............................................. 80 Figura nr. 12.1 Arhivarea cu 7ZIP .................................................................................... 89 Figura nr. 12.2 - Eroare la rularea executabilului joc.exe ................................................... 90 Figura nr. 12.3 - Semnturile digitale ale fiierelor de tip ZIP i EXE ................................ 91 Figura nr. 12.4 - Semntura digital a unui fiier ZIP a crui numr magic a fost modificat ......................................................................................................................................................... 91 Figura nr. 12.5 - SO Windows vede fiierul ca pe o aplicaie .......................................... 92 109
Figura nr. 12.6 - Modificarea registrilor calculatorului pentru a bloca scrierea stickurilor de memorie ....................................................................................................................................... 94 Figura nr. 12.7 - Calculul valorii MD5 iniiale cu FTK Imager ........................................... 95 Figura nr. 12.8 - Valoare MD5 stick memorie ...................................................................... 95 Figura nr. 12.9 - Valoarea MD5 dup clonare...................................................................... 96 Figura nr. 12.10 - Montarea imaginii cu FTK Imager .......................................................... 97 Figura nr. 13.1 - Fereastra de proprieti a unei categoriei de mesaje Application. .......... 102
110
Bibliografie selectiv
Brian Carrier. File System Forensic Analysis. Addison-Wesley, 2nd edition, June 2005. Dobrinoiu, M., Infraciuni n domeniul informatic, Ed. CH Beck, Bucureti, 2006 Eoghan C., Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edi tion, Academic Press, 2004 Fundamental Computer Investigation Guide for Windows, microsoft.com/technet/SolutionAccelerators, 2007, (paperback) Hal Berghel, David Hoelzer, and Michael Sthultz. Data Hiding Tactics for Windows and Unix File Systems. http://berghel.net/publications/datahiding/datahiding.php. HPA and DCO. International Journal of Digital Evidence, 5(1), 2006. John Vacca. Computer Forensics: Computer Crime Scene Investigation. Charles River Keith Jones. Forensic Analysis of Internet Explorer Activity Files, http://www.foundstone.com/pdf/wp index dat.pdf. Ken C. Pohlmann, The compact disc: a handbook of theory and use, A-R Editions, Inc., 1989 Matthew Meyers and Marc Rogers. Computer Forensics: The need for Standardization and Certification. International Journal of Digital Evidence, 3(2), 2004. Mayank R. Gupta, Michael D. Hoeschele, and Marcus K. Rogers. Hidden Disk Areas: Media Inc, 2nd edition, 2005. Origins and Successors of the Compact Disc Contributions of Philips to Optical Storage, Series: Philips Research Book Series, Vol. 11 Peek, J.B.H., Bergmans, J.W.M., Haaren, J.A.M.M. van, Toolenaar, F., Stan, S.G., Springer 2009, Toader, T., Codul Penal. Codul de Procedur Penal, Ed. Hamangiu, Bucureti, 2010 Toader, T., Drept penal romn. Partea special, Editia a -3-a, Editura Hamangiu, Bucureti, 2008 Vasiu, I., Vasiu, L., Informatic Judiciar i Drept informatic, Ed. Albastr, Cluj-Napoca, 2007
111