Anton SMOLIŃSKI
Transkrypt
Anton SMOLIŃSKI
Anton SMOLIŃSKI Katedra Inżynierii Oprogramowania, Wydział Informatyki, Zachodniopomorski Uniwersytet Technologiczny w Szczecinie E–mail: [email protected] Informatyka Śledcza i Kryminalistyka Sądowa – analiza porównawcza metod wspierających bezpieczeństwo 1. Wstęp W piramidzie potrzeb człowieka opracowanej przez Abrahama Maslowa potrzeba bezpieczeństwa umieszczona jest tuż nad potrzebami fizjologicznymi człowieka. Wskazuje to jak ważne jest poczucie bezpieczeństwa, wygoda, spokój, wolność od strachu. Jednak w miarę rozwoju technologii, zmian ustrojów oraz degradacji wartości społecznych coraz częściej potrzeba ta bywa naruszana. Jednak technologie, pomimo że wykorzystywane bywają w niecnych czynach w znaczącym stopniu potrafią zaspokoić ową potrzebę. Dzięki wszechobecnej technologii i komputerom możliwe są działania profilaktyczne. Niestety powszechny monitoring oraz ciągła analiza obrazów, dźwięków, transmisji i innych bodźców uważana jest, jako ograniczenie swobód, a nie jako środek służący poprawie bezpieczeństwa. Jednak kwestia czy środki tego typu służą bardziej ochronie, czy jednak ograniczają swobody obywateli jest dysputą bardziej filozoficzną i odpowiedź w znacznym stopniu zależy od otoczenia, w którym badamy daną sprawę. W niniejszym artykule skupimy się nie na środkach zapobiegawczych wystąpieniu naruszenia bezpieczeństwa, lecz nowoczesnym technologiom pozwalającym złagodzić skutki naruszeń, wykryć sprawców, a co za tym idzie wzmocnić świadomość społeczną, że żadna zbrodnia nie zdoła uniknąć kary. 2. Pojęcia Informatyki Śledczej i Kryminalistyki „Nie ma zbrodni doskonałych. Wprawdzie śledztwa także bywają niedoskonałe, ale na szczęście każdy z nas pozostawia ślady. Trzeba tylko znaleźć je, rozpoznać i odpowiednio zinterpretować. A to już cała sztuka...” Licząca tysiące lat ludzka tradycja wzajemnego uśmiercania się, dała specjalistom mnóstwo okazji, by nauczyli się rozróżniać uszkodzenia ciała i na tej podstawie identyfikować narzędzie zbrodni. Historia cyberprzestępstw nie jest tak rozbudowana i długa, jednakże korzystając z osiągnięć konwencjonalnych metod badawczych dzisiejsi specjaliści od zabezpieczeń nie muszą czekać tysięcy lat by opracować metody służące do identyfikacji sprawców cyberprzestępstw. Kryminalistyka jest to nauka o taktycznych zasadach i sposobach oraz o technicznych metodach i środkach rozpoznawania, a także wykrywania prawnie określonych, ujem- Anton Smoliński 154 nych zjawisk społecznych, a w szczególności przestępstw i ich sprawców oraz udowadniania istnienia lub braku związku między osobami a zdarzeniami. Czyli w prostych słowach nauka o identyfikacji osób. Wśród specjalistów z tej dziedziny panuje także powiedzenie, iż jest to „sztuka znajdowania takich dowodów, których obalić nie umie adwokat podejrzanego” . Natomiast Informatyka Śledcza można powiedzieć jest jedną z gałęzi kryminalistyki, jednak obszarem działań tej dziedziny jest świat cyfrowy. w obydwu przypadkach jest to nauka, która pozwala odpowiedzieć na pytania: Kto? Co? Kiedy? w jaki sposób? dokonał przestępstwa lub nadużycia. Esencją pracy jest dojście do prawdy, a metody które do niej prowadzą, choć na pozór wydają się różne, w rzeczywistości można przeprowadzić pomiędzy nimi prostą analogię. Rozwój obydwu dziedzin nauki poprawia bezpieczeństwo w społeczeństwie, pomimo iż bezpośrednio nie przeciwdziała popełnianiu przestępstw. Pozwala jednak na wykrycie i ukaranie ich sprawców. Jednak z racji ciągłej dynamiki i rozwoju świata, technologii, wiedzy oraz świadomości społecznej dziedziny te stale muszą się rozwijać i mogą zdarzyć się sytuacje, w których wykrycie sprawców nie jest możliwe. Gdzie można znaleźć słabe strony obecnie stosowanych metod? Czy w opracowywaniu narzędzi oraz postępowania z przestępstwami komputerowymi udało się zwiększyć wskaźniki rozwiązanych spraw, czy może przeciwnie, stosowane przy cyberprzestępstwach metody są ciągle niedoskonałe i w łatwy sposób można popełnić przestępstwo? 3. Etapy pracy przy rekonstrukcji zdarzeń Niezależnie, czy wykonywana jest analiza powłamaniowa, czy biegli sądowi rozpoczynają pracę na miejscu zbrodni przed obydwoma grupami ekspertów klarują się te same zadania: • • • • identyfikacja, zbieranie danych, analiza zebranych danych, przedstawienie wyników. Etap identyfikacji polega na znalezieniu odpowiedzi na kilka pytań zanim eksperci przystąpią do szukania pobierania pozostawionych przez przestępcę śladów. w przypadku medycyny sądowej eksperci oceniają pobieżnie scenę przestępstwa spisując oczywiste fakty, takie jak miejsce znalezienia śladów, czas- kiedy zostało dokonane przestępstwo, jakiego rodzaju przestępstwo miało miejsce i jakich narzędzi oraz metod należy użyć do dalszej pracy. Na tym etapie ważne jest także zabezpieczenie badanego miejsca zbrodni oraz utrwalenie jego stanu np. w formie zdjęć. W przypadku informatyki śledczej, miejsce zbrodni jest abstrakcyjne. Zbrodnia dotyczy danych znajdujących się w jakimś urządzeniu. Dlatego zanim ekspert nie sprawdzi zawartości urządzenia, nie jest w stanie odpowiedzieć na pytania co się wydarzyło i jakich narzędzi będzie potrzebował. Etap ten w głównej mierze sprowadza się więc do zabezpieczenia „dowodów”. Zgodnie z polskim prawem, aby móc wykorzystać informacje elektroniczną jako dowód, informacja ta nie może w żaden sposób zostać zmody- Informatyka Śledcza i Kryminalistyka Sądowa… 155 fikowana. W tym celu dowody te są markowane sprzętowo lub programowo w trybie „tylko do odczytu”, i zerwanie takiego markera grozi zakwestionowaniem dowodu w postępowaniu karnym. Jednak cała praca związana z analizą powłamaniową musi odbywać się na danym urządzeniu, które związane jest z popełnioną zbrodnią. w tym przypadku, by nie uszkodzić autentyczności dowodu wykonywane są dokładne kopie danych (dysków twardych, zrzutów pamięci, stanu technicznego maszyny), na których będzie prowadzony proces analizy. Tworzenie tych kopii musi odbyć się w sposób, który nie nadpisze żadnych danych na danym urządzeniu, np. poprzez wykorzystanie systemu z przenośnego dysku wykorzystywanego przez ekspertów ds. zabezpieczeń. Zbieranie danych jak sama nazwa wskazuje polega na szukaniu wszystkich śladów (biologicznych bądź elektronicznych) mających związek z dokonanym naruszeniem. Ślady biologiczne, są śladami, które pochodzą od żywych organizmów i w praktyce kryminalistycznej dzieli się je na trzy grupy: • • • tkanki (np. krew, włosy, naskórek, fragmenty roślin), wydzieliny, wydaliny. Ponieważ bardzo łatwo uszkodzić takie ślady metody pobierania są różne w zależności od rodzaju oraz miejsca znalezienia śladu. Niekiedy gdy pobrania próbki śladu nie jest możliwe wycina się kawałek podłoża, na którym ją znaleziono. Kluczowe jest także przechowywanie oraz transport śladów, gdyż zarówno temperatura, nasłonecznienie czy drgania podczas transportu mogą znacząco uszkodzić próbkę. Badania nad śladami często są bardzo kosztowne, a ich wynik zależy głównie od jakości pobranego śladu. Informatycy próbując dociec do tego, w jaki sposób i kto dokonał zbrodni elektronicznej mają ciężkie zadanie dotarcia do danych, które przestępca usunął, bądź zmodyfikował. Zabezpieczenia techniczne, a szczególnie informatyczne nie stanowią tajemnicy dla większości hakerów, czyli przestępców, których obszarem działania są systemy elektroniczne. Każda czynność wykonywana w systemie komputerowym pozostawia swój ślad, jednakże ślady elektroniczne, jak także ślady biologiczne można za sobą zatrzeć. Od specjalistów wymagana jest wiedza, w jaki sposób odkryć czy ślad istniał i go przywrócić. W przypadku medycyny sądowej odzyskanie uszkodzonej próbki może nie być możliwe, jednakże dane cyfrowe mogą być odtworzone. Uzyskane dane należy przetworzyć. W wielu przypadkach ich ilość jest znacząca, ale tylko niektóre ze znalezionych śladów odnoszą się bezpośrednio do badanego zdarzenia. Aby wyselekcjonować oraz wykorzystać otrzymane w wyniku skrupulatnego śledztwa dane należy przeprowadzić ich analizę. Próbka krwi, włosy czy odciski palca są nieprzydatne, jeśli nie wprowadzi się ich do bazy danych zawierającej próbki uzyskane w innych dochodzeniach i jeżeli nie porówna się ich z próbkami uzyskanymi od podejrzanych. Nad próbkami pobranymi na miejscu zbrodni należy wykonać wiele eksperymentów i analiz by określić czy pobrane materiały mają miejsce ze zdarzeniem (np. czy ślady śliny czy krwi pochodzą od człowieka). Grupa krwi oraz linie papilarne nie zmieniają się przez całe życie człowieka. Jednak w przypadku, gdy krew wydostanie się poza organizm to podłoże, na którym powstają plamy może niszczyć owy ślad, zmienić jego wygląd, bądź wpłynąć na jego cechy gatunkowe czy grupowe. Zdarza się, że wy- 156 Anton Smoliński naczyniona krew zmienia swoją barwę od jasnoczerwonej poprzez brunatną do zielonej, wsiąka w podłoże, bądź jej ślady trudno odróżnić od zanieczyszczeń w pobliżu. Aby ujawnić takie ślady wykorzystuje się metody specyficzne i niespecyficzne. Do metody specyficznych należą próby mikrospektroposkopowe (wykrywające hemoglobinę w obrazie widma światła widzianego), oraz testy immunochromatograficzne (bazujące na reakcji barwnej). Do niespecyficznych metod wykrywania krwi można sklasyfikować: • • • • • • luminol – w jego obecności hemoglobina wykazuję luminescencję, testy kontaktowe – kontakt gotowych papierków testowych z badaną plamą informując swoim zabarwieniem o jej zawartości, zieleń malachitowa – wykorzystując właściwości peroksydaz, w obecności krwi zabarwia się na kolor niebieskozielony, test Kastle-Meyera – fenoloftaleina połączona z H2O2 daje kolor czerwony, test Benzydynowy – wycofany z powodu rakotwórczych właściwości, test z wodą utlenioną – woda utleniona w kontakcie z krwią, mlekiem, śliną, sokami roślinnymi i tlenkami metali zaczyna się pienić i na plamie powstaje biała piana. W przypadku pozyskiwania śladów cyfrowych istnieją gotowe, rozbudowane narzędzia, które analizują, po czym zwracają dokładne informacje o stanie badanej maszyny. Przykładem może być np. narzędzie SleuthKit wraz z graficznym interfejsem Autopsy. Program ten przeszukuje dyski w poszukiwaniu skasowanych plików oraz między innymi odszukuje dane w ukrytych obszarach ADS występujących w systemie plików NTFS. Każdy atakujący stara się zatrzeć ślady swojej ingerencji, co ma uchronić przed konsekwencjami tego czynu i utrudnić znalezienie sprawcy. Jednakże nie każdy haker usuwa takie ślady w sposób, w który nie można ich potem znaleźć lub odtworzyć. Najczęściej aby zatrzeć swoje ślady cyberprzestępcy stosują rootkity, zmieniają sumy kontrolne modyfikowanych plików, kasują logi systemowe, bądź korzystają z kont innych użytkowników, do których uzyskali wcześniej dostęp (np. za pomocą przechwycenia loginu i hasła użytkownika). Zebranie wszystkich danych a nawet selekcja danych związanych z danym naruszeniem dla osoby bez specjalistycznej wiedzy będzie niezrozumiałym zbiorem znaków. Otrzymane w wynikach badania krwi wykresy i wizualizacje nie będą miały znaczenia dla osób nieznających owego zagadnienia. Tak samo, jeśli rzecz tyczy się logów systemowych oraz raportów z poszczególnych programów do analizy powłamaniowej. Dlatego ważnym elementem pracy zespołu specjalistów jest opracowanie wyników pracy w taki sposób, by stanowiły one zrozumiały dowód dla sędziów, prokuratorów bądź osób zlecających przeprowadzenie takiego dochodzenia. Dopiero końcowy raport może być załączony jako dowód naruszenia bezpieczeństwa. 4. Przestępczość elektroniczna Świadomość społeczeństwa na temat przestępstw konwencjonalnych nie budzi zastrzeżeń. Nawet najmłodszy obywatel wie, że morderstwa, kradzieże, napady i włamania są poważnymi naruszeniami prawa, są przez prawo karane i zagrażają naszemu bezpieczeństwu. Niestety jeśli chodzi o cyberprzestępstwa często dochodzi do poważnych Informatyka Śledcza i Kryminalistyka Sądowa… 157 nieporozumień, co jest przestępstwem, a co dozwolonym działaniem. Często nie dostrzega się także zagrożeń, które się z takimi działaniami wiążą i jak poważne mogą być ich konsekwencje. Zgodnie z raportem CERT Polska za rok 2011 najczęściej popełnianymi przestępstwami było oszustwa internetowe (50,74%), co stanowi do roku ubiegłego wzrost występowanie tego incydentu aż o 1/3. W skład tych oszustw wchodzą zgłoszenia dotyczące kradzieży tożsamości, podszycia się oraz Phishing. Kolejnym zagrożeniem, stanowiącym 25,12% wszystkich incydentów były obraźliwe oraz nielegalne treści (m.in. spam). Na uwagę zasługują także nowe wirusy oraz trojany. Jednym z nich był trojan Morto, który pojawił się w sierpniu 2011 roku. Jego zadaniem było atakowanie portu RDP (pulpitu zdalnego) i poprzez zgadywanie loginu i hasła użytkownika przejmowania kontroli nad atakowanym systemem. Najpopularniejszymi metodami ataków są: • • • • • • zgadywanie haseł, maskarada (spoofing) – podszywanie się pod inną maszynę, podsłuch (sniffing) – monitorowanie ruchu w sieci, szukanie i wykorzystywanie luk w systemach i bezpieczeństwie, blokowanie serwisów – nadmierne obciążanie serwerów ogromną liczną pakietów, które nie są w stanie obsłużyć, socjotechnika. Ataki te można zaklasyfikować do 2 grup: technicznych, czyli wykorzystujących wiedzę informatyczną, oraz socjotechnicznych – czyli manipulację pracownikami atakowanej firmy bądź użytkownikami systemu. 5. Podsumowanie Zbrodnia doskonała nie jest możliwa. Takie pojęcie utarło się w świadomości ludzi i dzięki temu do przestępstw uciekają się tylko nieliczne osoby – margines społeczeństwa, lub osoby niemające nic do stracenia. Takie przekonanie powodowane wynikami pracy specjalistów z dziedziny kryminologii wspiera poczucie bezpieczeństwa. Jednak istnieją przypadki, w których konwencjonalna kryminalistyka zawodzi, gdy sprawdza nie pozostawił żadnych śladów. Taka sytuacja miała miejsce np. w 1962 roku w Łodzi, gdzie przy zwłokach nie znaleziono żadnych śladów sprawcy. Z drugiej strony powszechne jest przekonanie, że w internecie można zatrzeć swoje ślady. Jednak ostatni przykład zatrzymania znanego hakera na podstawie tagów geolokalizacyjnych na pewnym zdjęciu ukazuje, że jest to twierdzenie mylne. Anton Smoliński 158 Literatura 1. 2. 3. Błoński G.: Helix – analiza powłamaniowa, Hakin9, nr 2/2008 Parafiniuk M.: Wykorzystanie badań DNA do identyfikacji śladów biologicznych i badania pokrewieństw (kryminalistyka), Pomorski Uniwersystet Medyczny, 2011/2012 Henzler M.: Nie ma zbrodni doskonałej, czyli wszyscy zostawiamy ślady, PAP – nauka w Polsce, 2005 Streszczenie Niniejszy artykuł próbuje porównać metody stosowane przez kryminalistów na miejscu zbrodni z technikami używanymi przez specjalistów od analizy powłamaniowej (cyberprzestępstwa). Omówione zostały główne etapy pracy obu grup, które starają się znaleźć odpowiedzi na te same pytania, jednak korzystając z różnych środków i pracując w różnych środowiskach. Praca tych wysoce wykwalifikowanych ekspertów pozwala na wzrost poczucia bezpieczeństwa wśród społeczeństwa, gdyż dzięki nim staje się prawdziwe stwierdzenie, że zbrodnia doskonała nie jest możliwa. Computer Forensics and Forensic Science – comparative analysis of security method Summary Present article attempt compare methods used by forensic in crime scene with techniques used by analysis specialist after computer crime. Disertation describe main steps of forensic process. Computer and Medical experts try to find way to solve the same questions but they use different resources and they work in different areas. Recovered and analysed evidences may be use in court. People are feeling safety, because qualified experts proof, to them statment "the perfect crime" does not exist.