You are on page 1of 35

CSI SQL Server
Digital Evidence Collectiing

.

• Zašto baza podataka? – Statistika uspješnih „upada“. DML trigeri. • CSI SQL Server • • • • • DDL trigeri. – – – – Računarski kriminal. – Kontrola pristupa. Hashing. . CDC (Change Data Control). Digitalna forenzika Proces istrage.Summary • Osnovni pojmovi. Faze digitalne forenzike. SQL Audit.

• Koji su ciljevi? – ilegalni pristup (neovlašten pristup sistemu). alat. – elektronske prevare i sl.Računarski kriminal • Računarski kriminal je aktivnost gdje je računar. – interferencija unutar podataka (neovlašteno brisanje. – ilegalno presretanje (presretanje mreženih paketa u mrežnom saobraćaju). korigovanje i izmjena podataka). meta ili mjesto počinjenog krivičnog djela. resurs. – sistemska interferencija (neovlašteno upravljanje sa sistemskim funkcijama računarskog sistema. servis. .

laptop. serveri. prenosni mediji) • .. ovdje se radi o procesu istrage. radne stranice. . U osnovi.Digitalna forenzika • digitalna forenzika je dio procesa istrage. koji obuhvata naučnu analizu: medija/uređaja za pohranu podataka i/ili uređaja za obradu podataka: – (PC.sa ciljem utvrđivanja ilegalne aktivnosti koja je dovela do kaznenog djela..

Proces istrage Pronalaženje Zapljenjivanje Prezervacija Pregled Analiza Izvještavanje Krivično djelo Validan dokaz Izvršenje zakona Prezentovanje Stručni svjedok Činjenice Presuda .

Izvještavanje • prezentovanje dokaza. • odabir metoda. • forenzičko utvrđivanje činjenica. Prezervacija Analiza .Faze digitalne forenzike • sakupljanje digitalnih dokaza. Pregled • utvrđivanje stanja. • kopiranje.

Zašto baza podataka • Baze podataka sadrže kritične informacije za poslovanje. • Krađa i preprodaja podataka „trećim“ licima. • Ovo je zanja linija IS-a i šteta je najveća.. • Gubitak kredibiliteta.. • Industrijska špijunaža. . • Serveri baza podataka drže privatno i sigurnosno osjetljive podatke. • .

privacyrights.Statistika uspješnih „upada“ • U periodu od 2005-2009 – Izvor: www.org 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Laptop Database Email Broj probaja Uspješnost upada Ukupni rizik 47% 40% 2% 25% 64% 1% 11% 84% 1% .

.. Web okruženje.). – Nezavisnost od klijenta (Dekstop GUI. direktan pristup.. • Naprednu kontrolu pristupa. . – Razlikujemo: • Jednostavnu kontrolu pristupa.Kontrola pristupa • Jedini način za validno i kvalitetno prikupljanje digitalnih dokaza jeste postojanje kontrole pristupa sistemu u svim njegovim aspektima.

[UserId] [nvarchar](50) NULL. [RemoteIp] [nvarchar](15) NULL.[kontrola_pristupa] ( [Id] [int] IDENTITY(1. [Datum] [datetime] NOT NULL.Jednostavna kontrola pristupa CREATE TABLE [dbo].1) PRIMARY KEY. [Referer] [nvarchar](255) NULL ) . [RemoteAgent] [nvarchar](100) NULL. [Url] [ntext] NULL. [FormData] [ntext] NULL.

• Podaci o DDL događajima (CREATE. ALTER.Napredna kontrola pristupa • Sve što ima i jednostavna kontrola. • Podaci o DML događajima ( INSERT. UPDATE i DELETE). DROP) • Hash checksum logiranih informacija – Sa ciljem zaštite prikupljenih podataka od falsifikovanja. brisanja ili izmjena .

• ko je zakonski odgovoran za ilegalnu aktivnost. • šta je rezultat događaja i mogućnost rekonstruisanja prethodnog stanja.Ciljevi kontrole pristupa Kada? Odgovor na tri pitanja? • kada se desio događaj i pod kojim okolnostima. Digitalni dokaz Šta Ko? .

• Prate promjena na šemom objekata unutar baze podataka. DROP. – CREATE. ALTER. • Funkcija eventdata prikuplja podatke vezene za DDL događaj. – Vraća XML .CSI::DDL trigeri • Novo od verzije SQL Server 2005.

.DEMO 1 • DDL trigger (simple). • DDL trigger (advanced).

• Vodimo računa performansama. – Za razliku od DDL. – Nema potrebe stavljati triger na sve tabele. DML trigeri su vezeni za tabelu.CSI:: DML trigeri • DML operacije su mnogo češće unutar IS-a. – Izvršavaju se po komandi. – INSERT – UPDATE – DELETE • Za prikupljanje informacija o događaju se koriste AFTER tipovi ”okidača”. – Problem se može riješiti generičkim CLR trigerima . a ne zapisu.

.DEMO 2 • DML triggeri.

CSI::Change Data Capture (CDC) • Nova tehnologija za praćenja izmjena nad podacima – SQL Server 2008 • Prvenstveno je namjenjena za potrebe ETL-a – extraction. transformation i loading • Prati sve DML i DDL aktivnosti – Na nivou tabele .

.DEMO 3 • CDC konfiguracija.

Dilema Do sada su navedene metode sigurne od DBA „intervencija“? .

HS VS .CSI::AntiTampering • Međutim.3 ..2 Kol.1 Kol.. šta ako su podaci prikupljeni nekom od metoda ugroženi i podloženi tampering-u? – Korisnici sa visokim privilegijama – Ima vrlo malo ili nikakvih rješenja? • Jedno od njih je hashing na INSERT-u u audit log tabele Kol.2 Kol....1 Kol. HS VS Kol.3 . HS VS Kol..2 Kol.3 .1 Kol.

CIS::Tamper detection model .

.DEMO 4 • AntiTampering metoda.

CSI::SQL Audit • Audit je ugrađeni serverski objekat • Native DDL za kontrolu konfiguracije i administracije • Podržan su svi nivoi sigurnosti • Audit object automatski logira sve aktivnosti u: – File – Windows Application Log – Windows Security Log • Granularnost prilikom definisanja koga. šta i kako .

• Mogučnost rada i sa SQL Server 2005 • Konfiguracija i administracija kroz SSMS .Zašto koristiti SQL Server Audit • Brže nego SQL Trace – Pokreće se zajedno sa SQL Server engine • Sigurnije.

SQL Trace za 5 različitih „customer“ scenarija… .Performanse? • Zavisi od: – Opterećenja – I onoga što se prati • Komparativna analiza SQL Server Audit vs.

1 5.6 63.3 15.4 55.6 4.9 14.78 4 Workload 5 .13 13.9 41.SQL Server Audit vs SQL Trace Customer Workload Base Time (min) 101.9 SQL Trace (min) SQL Server Audit (min) 76.1 6.3 68.3 5.6 Workload 1 Workload 2 Workload 3 Workload 4 3.

Mogu li zaštiti Audit log od DBA? .

Zaštita prikupljenih podataka Windows Security Log • “Tamper-proof” log • DBA nemože očistiti log (ako nije administrator) Kopirati audit logove na sigurnu lokaciju • Mrežni „share“ na koji DBA nema pristup Kombinacija navedenog .

Još par sitnica. • Samo EE • Audit logovi nisu kriptovani • Pisanje u fajlove je osjetno brže nego u event logove • Nema opcije da se logovi pohrane u DB tabele  .

.DEMO 5 • SQL Audit.