Adwertorial
Wykonanie niezaprzeczalnej dowodowo kopii źródłowego nośnika pamięci trwałej jest podstawą w informatyce śledczej. Głównym wymaganiem jest przygotowanie jej w taki sposób, by nie naruszyć materiału źródłowego. Z pomocą przychodzą opensource’owe narzędzia.
Przewagą kryminalistyki informatycznej nad tradycyjną jest możliwość pracy na kopii materiału dowodowego, co eliminuje ryzyko jakiegokolwiek uszkodzenia oryginałów. Ich nienaruszalność jest zresztą jednym z podstawowych wymagań przy wykonywaniu kopii.
Właściwe przygotowanie kopii materiału dowodowego
Do przygotowania kopii najczęściej używa się sprzętu z Linuksem. Powszechnie znana komenda systemu dd, umożliwiająca w prosty sposób skopiowanie jednego nośnika na drugi, nie zawsze daje gwarancję, że funkcje skrótu obliczone na materiale źródłowym i wynikowym będą identyczne. Dotyczy to zwłaszcza nowych formatów – ext3 czy ext4 lub btrfs, wyposażonych w funkcje journalingu. Mimo używania opcji -ro, która odnosi się tylko do plików, na poziomie Linuksa może nastąpić zapis do dzienników o próbie odczytania informacji ze wskazanego nośnika źródłowego. W takiej sytuacji funkcje skrótu nie będą już identyczne, co może obalić wartość dowodową wykonanej kopii.
W profesjonalnej, wykorzystywanej do celów kryminalistyki, metodzie stosuje się sprzętowe blokery zapisu, które nie przepuszczają żadnych zwrotnych komend mogących zapisać cokolwiek na dysku źródłowym. Urządzenia te są jednak bardzo drogie, dlatego też w sytuacjach, w których prowadzi się badania na potrzeby własnej instytucji warto rozważyć użycie specjalnie zmodyfikowanych narzędzi klasy open source, które dają pewność, że wykonana kopia będzie identyczna jak materiał źródłowy.
Dostępne narzędzia
W tym miejscu należy wspomnieć o koncepcji tzw. kontenerów dowodowych oraz o różnych formatach, z jakimi można się spotkać w informatyce śledczej. Kontener dowodowy jest specyficznym obiektem systemu plików, w którym zapisane są podstawowe informacje dotyczące badanego obiektu, czyli przede wszystkim tzw. surowa kopia nośnika, skróty kryptograficzne, metadane związane z obiektem czy też dodatkowe materiały dowodowe, choćby wykonane zdjęcia w postaci plików graficznych. Oprócz formatu EWF używanego przez oprogramowanie EnCase występują także stosowane przez pakiet Access Data FTK SMART, AFF, czyli Advanced Forensic Format, a także SquashFS – stworzony przez Phillipa Loughera i obsługiwany przez wersje jądra Linuksa od 2.6.30 w górę.
Autor tego ostatniego przetestował jego działanie na dystrybucji Kali, wykorzystując ją w wersji forensic. Do zainstalowania odpowiedniego skryptu można użyć także innych dystrybucji, przy czym – tak jak w tym przypadku – może to wymagać doinstalowania pewnych brakujących pakietów.
Do poprawnego zainstalowania skryptu umożliwiającego skopiowanie nośnika źródłowego z ustawioną flagą blokady zapisu na poziomie jądra systemu operacyjnego trzeba wykonać kilka dodatkowych działań. Po pierwsze, musimy doinstalować jedno z narzędzi – dc3dd. Narzędzie to stanowi zmodyfikowaną wersję źródłowej komendy dd i dodatkowo oblicza funkcję skrótu (md5), tworzy logi wykonywanej operacji czy też wskazuje poprzez prosty pasek postępu jak duża część zadania została wykonana. Jest to szczególnie istotne przy trwającym nawet kilkanaście godzin tworzeniu obrazu dużego nośnika. Umożliwiający tworzenie tego paska pakiet pv należało również doinstalować z repozytorium.
Po skonfigurowaniu oprogramowania potrzebnego do zbudowania konterera dowodowego w formacie SquashFS możemy uzyskać opis używania opcji tego skryptu (o ile wykonaliśmy uprzednio pełny proces instalacji). Wystarczy w terminalu podać komendę sfsimage, a w odpowiedzi wyświetli się pełna lista parametrów i opis ich użycia.
Aby uruchomić tworzenie obrazu konkretnego nośnika (urządzenie nie musi i nie powinno być montowane), wydajemy w bieżącym katalogu komendę:
sfsimage -i /dev/sdx NAZWA.sfs
Sdx oznacza w tym przypadku wolumen, który chcemy skopiować, np. sdb, a parametr NAZWA – dowolną nazwę, jaką chcemy nadać utworzonemu kontenerowi.
Następnie montujemy kontener we wskazanym pliku konfiguracyjnym. Po wykonaniu tych czynności możemy użyć klasycznych narzędzi – Autopsy czy Sleuth Kit do badania zawartości wykonanego obrazu, szukając w nim konkretnych artefaktów.
Więcej informacji
Marek Ujejski – ekspert ds. cybersecurity
marek.ujejski@coig.pl
32 757 44 44
