Computer Forensics

Computer Forensics
Jean-Marc Robert
Génie logiciel et des TI
Objectif
Techniques servant à identifier, colliger,
examiner et analyser les données informatiques
tout en s’assurant de préserver leur intégrité
et de s’assurer d’un contrôle d’accès strict.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
2
Besoins
Poursuites judiciaires
Mais les outils peuvent être aussi utiles pour
Diagnostic de problèmes ou de pannes
Surveillance de fichiers journaux
Corrélation afin de détecter toute violation de politique (audit)
Recouvrement de données
Localiser un ordinateur ne respectant pas une politique
Disque endommagé
Récupération et stockage de données
Données d’une personne ayant quitté
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
3
Préparer le terrain …
Développer des politiques et des procédures afin de faciliter la
tâche lors d’incidents.
Effectuer des sauvegardes régulières.
Mettre en place un système centralisé de fichiers journaux
Configurer les divers systèmes pour qu’ils journalisent les événements importants
(telles les tentatives échouées d’authentification)
Conserver les empreintes des fichiers des divers systèmes critiques (SE,
applications) et vérifier l’intégrité des actifs importants.
Conserver les configurations du réseau et des divers systèmes critiques.
Définir une politique de conservation de données.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
4
... mais surtout
Mettre en place les procédures permettant
de s’assurer de préserver l’intégrité des informations conservées,
d’assurer un contrôle d’accès strict à ces informations.
Pour ce faire, faire appel à des experts techniques et légaux!
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
5
Processus
Colliger
Média
Jean-Marc Robert, ETS
Examiner
Données
Analyser
Information
MTI 719 - Computer Forensics - A09 v1.0
Signaler
Évidence
6
Colliger
Identifier, étiqueter et enregistrer les données liées à un
événement.
… tout en s’assurant de préserver leur intégrité.
Par exemple,
Faire une copie bit à bit du contenu d’un disque dur ou de la mémoire
RAM
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
7
Source de données
Physique
Postes de travail
Serveurs
Ordinateurs portables
Téléphones
Logique
Systèmes d’exploitation
Applications
Pare-feu et IDS locaux
Jean-Marc Robert, ETS
Réseau
Routeurs
Commutateurs
Pare-feu
Systèmes de détection/prévention
d’intrusion (IDS et IPS)
Externe
Fournisseurs Service Internet (ISP)
MTI 719 - Computer Forensics - A09 v1.0
8
Processus en 3 phases
Mais avant toute chose: poursuites judiciaires?
Développer un plan d’acquisition
Acquérir les données
Évaluer la pertinence des données qui pourraient être disponibles.
Déterminer l’importance des données volatiles.
Évaluer l’effort nécessaire pour obtenir les données.
Outils spécialisés
Vérifier l’intégrité des données
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
9
Examiner
Identifier et extraire les informations pertinentes ayant rapport
à un événement.
… tout en s’assurant de préserver leur intégrité.
Par exemple,
Extraire les fichiers (ou les parties de fichiers) de la copie bit à bit du
disque dur
Extraire un mot de passe de la copie bit à bit de la mémoire RAM
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
10
Analyser
Interpréter les informations obtenues afin de répondre à
l’élément déclencheur de tout ce processus.
Par exemple,
Source de l’incident
Récupération d’actifs importants sur un disque endommagé
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
11
Données de fichiers
Fichiers
Slack Space
Free Space
Format du système de fichiers
NTFS, FAT32, ReiserFS, HFS, etc.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
12
Données de fichiers: Colliger
Extraire les fichiers
Copie logique
Copie physique (image exacte bit à bit)
Malheureusement, seulement les fichiers « actifs »
Free space et Slack space
S’assurer de l’intégrité des données
Calculer l’empreinte directement sur le média avant la copie
Copier les données et vérifier leur intégrité.
Attention : Système ne doit pas être utilisé par aucun autre
processus.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
13
Données de fichiers: Examiner
Reconstruire les fichiers à partir de l’image bit à bit.
Déterminer le format du contenu d’un fichier
Fichiers « actifs »
Fichiers « éliminés » (Free space et Slack space)
Entête
Analyse statistique, Appariement de formes ou de chaînes, etc.
National Software Reference Library (NSRL) Project (www.nsrl.nist.gov)
www.wotsit.org
Extraire le contenu d’un fichier
Principal problème : chiffrement… mais la clé n’est souvent pas loin!
TUCOFS - The Ultimate Collection of Forensic Software (www.tucofs.com)
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
14
Données du système d’exploitation
Non-volatiles
Fichiers de configuration
Fichiers journaux
Usagers, groupes
Fichiers de mots de passe
Tâches régulières
Système
Enregistrements d’audit
Applications
Historiques – commandes, fichiers
Volatiles
Slack space et Free space
Configuration réseau
Connexions réseau
Processus actifs
Fichiers ouverts
Sessions ouvertes
Fichiers applicatifs
Fichiers de données
Fichiers d’échange (swap)
Fichier de vidage (dump)
Fichiers temporaires
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
15
Données du système d’exploitation: Colliger
Défi : Données volatiles
Extraire le contenu de la mémoire.
Si aucun redémarrage ou mise hors service n’a eu lieu!
Copie physique (image exacte bit à bit)
Presqu’impossible à faire sans laisser des traces.
Prioriser la récupération – très spécifique à l’incident
1. Connexions réseau
2. Sessions ouvertes
3. Contenu de la mémoire
4. Processus actifs
Jean-Marc Robert, ETS
5. Fichiers ouverts
6. Configuration réseau
7. Temps du système d’exploitation
MTI 719 - Computer Forensics - A09 v1.0
16
Données du système d’exploitation: Colliger
Données non-volatiles : Gracieux ou non!
Effectuer une coupure progressive (shutdown)
Débrancher de l’alimentation électrique
Aucune corruption des données
Corruption possible
… mais conserve certains fichiers temporaires ou d’échange!
Certains logiciels malveillants peuvent ne pas se réactiver.
Utiliser des outils de forensics
Ne pas se fier aux commandes du SE – Rootkit !
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
17
Données du système d’exploitation: Examiner
Reconstruire le contenu de la RAM à partir de l’image bit à bit.
Chercher des informations volatiles
Ne pas oublier les fichiers d’échange (swap)
Empreintes de mots de passe
Déterminer les processus actifs
Attention aux imposteurs.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
18
Données réseau
Routeurs et commutateurs
Serveur d’accès à distance
Pare-feu et IDS/IPS
Renifleurs de paquets
Systèmes de détection
d’intrusions (IDS)
Serveurs
Analyseurs de protocoles
Passerelle VPN
DHCP
DNS
Fournisseurs de service (ISP)
Problèmes légaux
Security Event Management
Analyse d’événements
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
19
Données réseau: Colliger
Problèmes légaux!
Politiques claires définissant ce qui peut être colligé et conservé.
Avertissement pour les usagers.
Acquisition doit être dûment autorisée.
Autres défis
Volume de données monstrueux
Trafic chiffré
Canaux cachés
Trafic anonyme
Trafic utilisant un port non prévu
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
20
Données réseau: Examiner
Reconstruire le chemin de l’incident.
Retrouver le point d’entrée
Retracer la suite logique des événements
Utiliser des outils de forensics
Visualisation
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
21
Référence
Karen Kent, Suzanne Chevalier, Tim Grance et Hung Dang,
Guide to Integrating Forensic Techniques into Incident
Response, NIST SP 800-86-Rev1, 2006.
Jean-Marc Robert, ETS
MTI 719 - Computer Forensics - A09 v1.0
22