Computer Forensics
Transcription
Computer Forensics
Computer Forensics Jean-Marc Robert Génie logiciel et des TI Objectif Techniques servant à identifier, colliger, examiner et analyser les données informatiques tout en s’assurant de préserver leur intégrité et de s’assurer d’un contrôle d’accès strict. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 2 Besoins Poursuites judiciaires Mais les outils peuvent être aussi utiles pour Diagnostic de problèmes ou de pannes Surveillance de fichiers journaux Corrélation afin de détecter toute violation de politique (audit) Recouvrement de données Localiser un ordinateur ne respectant pas une politique Disque endommagé Récupération et stockage de données Données d’une personne ayant quitté Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 3 Préparer le terrain … Développer des politiques et des procédures afin de faciliter la tâche lors d’incidents. Effectuer des sauvegardes régulières. Mettre en place un système centralisé de fichiers journaux Configurer les divers systèmes pour qu’ils journalisent les événements importants (telles les tentatives échouées d’authentification) Conserver les empreintes des fichiers des divers systèmes critiques (SE, applications) et vérifier l’intégrité des actifs importants. Conserver les configurations du réseau et des divers systèmes critiques. Définir une politique de conservation de données. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 4 ... mais surtout Mettre en place les procédures permettant de s’assurer de préserver l’intégrité des informations conservées, d’assurer un contrôle d’accès strict à ces informations. Pour ce faire, faire appel à des experts techniques et légaux! Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 5 Processus Colliger Média Jean-Marc Robert, ETS Examiner Données Analyser Information MTI 719 - Computer Forensics - A09 v1.0 Signaler Évidence 6 Colliger Identifier, étiqueter et enregistrer les données liées à un événement. … tout en s’assurant de préserver leur intégrité. Par exemple, Faire une copie bit à bit du contenu d’un disque dur ou de la mémoire RAM Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 7 Source de données Physique Postes de travail Serveurs Ordinateurs portables Téléphones Logique Systèmes d’exploitation Applications Pare-feu et IDS locaux Jean-Marc Robert, ETS Réseau Routeurs Commutateurs Pare-feu Systèmes de détection/prévention d’intrusion (IDS et IPS) Externe Fournisseurs Service Internet (ISP) MTI 719 - Computer Forensics - A09 v1.0 8 Processus en 3 phases Mais avant toute chose: poursuites judiciaires? Développer un plan d’acquisition Acquérir les données Évaluer la pertinence des données qui pourraient être disponibles. Déterminer l’importance des données volatiles. Évaluer l’effort nécessaire pour obtenir les données. Outils spécialisés Vérifier l’intégrité des données Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 9 Examiner Identifier et extraire les informations pertinentes ayant rapport à un événement. … tout en s’assurant de préserver leur intégrité. Par exemple, Extraire les fichiers (ou les parties de fichiers) de la copie bit à bit du disque dur Extraire un mot de passe de la copie bit à bit de la mémoire RAM Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 10 Analyser Interpréter les informations obtenues afin de répondre à l’élément déclencheur de tout ce processus. Par exemple, Source de l’incident Récupération d’actifs importants sur un disque endommagé Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 11 Données de fichiers Fichiers Slack Space Free Space Format du système de fichiers NTFS, FAT32, ReiserFS, HFS, etc. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 12 Données de fichiers: Colliger Extraire les fichiers Copie logique Copie physique (image exacte bit à bit) Malheureusement, seulement les fichiers « actifs » Free space et Slack space S’assurer de l’intégrité des données Calculer l’empreinte directement sur le média avant la copie Copier les données et vérifier leur intégrité. Attention : Système ne doit pas être utilisé par aucun autre processus. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 13 Données de fichiers: Examiner Reconstruire les fichiers à partir de l’image bit à bit. Déterminer le format du contenu d’un fichier Fichiers « actifs » Fichiers « éliminés » (Free space et Slack space) Entête Analyse statistique, Appariement de formes ou de chaînes, etc. National Software Reference Library (NSRL) Project (www.nsrl.nist.gov) www.wotsit.org Extraire le contenu d’un fichier Principal problème : chiffrement… mais la clé n’est souvent pas loin! TUCOFS - The Ultimate Collection of Forensic Software (www.tucofs.com) Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 14 Données du système d’exploitation Non-volatiles Fichiers de configuration Fichiers journaux Usagers, groupes Fichiers de mots de passe Tâches régulières Système Enregistrements d’audit Applications Historiques – commandes, fichiers Volatiles Slack space et Free space Configuration réseau Connexions réseau Processus actifs Fichiers ouverts Sessions ouvertes Fichiers applicatifs Fichiers de données Fichiers d’échange (swap) Fichier de vidage (dump) Fichiers temporaires Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 15 Données du système d’exploitation: Colliger Défi : Données volatiles Extraire le contenu de la mémoire. Si aucun redémarrage ou mise hors service n’a eu lieu! Copie physique (image exacte bit à bit) Presqu’impossible à faire sans laisser des traces. Prioriser la récupération – très spécifique à l’incident 1. Connexions réseau 2. Sessions ouvertes 3. Contenu de la mémoire 4. Processus actifs Jean-Marc Robert, ETS 5. Fichiers ouverts 6. Configuration réseau 7. Temps du système d’exploitation MTI 719 - Computer Forensics - A09 v1.0 16 Données du système d’exploitation: Colliger Données non-volatiles : Gracieux ou non! Effectuer une coupure progressive (shutdown) Débrancher de l’alimentation électrique Aucune corruption des données Corruption possible … mais conserve certains fichiers temporaires ou d’échange! Certains logiciels malveillants peuvent ne pas se réactiver. Utiliser des outils de forensics Ne pas se fier aux commandes du SE – Rootkit ! Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 17 Données du système d’exploitation: Examiner Reconstruire le contenu de la RAM à partir de l’image bit à bit. Chercher des informations volatiles Ne pas oublier les fichiers d’échange (swap) Empreintes de mots de passe Déterminer les processus actifs Attention aux imposteurs. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 18 Données réseau Routeurs et commutateurs Serveur d’accès à distance Pare-feu et IDS/IPS Renifleurs de paquets Systèmes de détection d’intrusions (IDS) Serveurs Analyseurs de protocoles Passerelle VPN DHCP DNS Fournisseurs de service (ISP) Problèmes légaux Security Event Management Analyse d’événements Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 19 Données réseau: Colliger Problèmes légaux! Politiques claires définissant ce qui peut être colligé et conservé. Avertissement pour les usagers. Acquisition doit être dûment autorisée. Autres défis Volume de données monstrueux Trafic chiffré Canaux cachés Trafic anonyme Trafic utilisant un port non prévu Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 20 Données réseau: Examiner Reconstruire le chemin de l’incident. Retrouver le point d’entrée Retracer la suite logique des événements Utiliser des outils de forensics Visualisation Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 21 Référence Karen Kent, Suzanne Chevalier, Tim Grance et Hung Dang, Guide to Integrating Forensic Techniques into Incident Response, NIST SP 800-86-Rev1, 2006. Jean-Marc Robert, ETS MTI 719 - Computer Forensics - A09 v1.0 22