Adwertorial
Nieustanny rozwój technologii pamięci trwałych, które są jednym z najważniejszych źródeł śladów zdarzeń w systemach informatycznych, powoduje poważne problemy dla informatyki śledczej w kwestii wartości gromadzonych i analizowanych dowodów.
Informatyka śledcza (ang. digital forensic) to metodyka łącząca klasyczne zasady postępowania dotyczące zbierania i analizowania faktów tworzących łańcuch dowodowy z wiedzą o tym, jak pozyskiwać niezaprzeczalny materiał dowodowy z wszelkich znalezionych w miejscu dochodzenia nośników informacji cyfrowej lub zdalnych lokalizacji, np. z chmury. Podstawową zasadą każdego dochodzenia jest to, aby proces pozyskiwania i dalszego badania znalezionych artefaktów w żaden sposób nie naruszał oryginalnego materiału dowodowego. O ile wieloletnia praktyka zabezpieczania dowodów materialnych pozwoliła wypracować zasady postępowania gwarantujące zachowanie cech dowodowych, o tyle w przypadku technologii informatycznej operującej bardzo łatwo modyfikowalną materią, jaką jest zapis cyfrowy, mamy do czynienia ze znacznie większym wyzwaniem.
Pierwsze dylematy
Śledczy musi zebrać dowody zarówno z bardzo starych urządzeń, wykorzystujących często nieużywane już protokoły i formaty danych, jak i sprzętów, które obsługiwane są przez najnowsze wersje systemów operacyjnych, rejestrujące w swoich dziennikach każde zdarzenie. Jednym z nich jest teoretycznie nienaruszający jakiegokolwiek zapisu odczyt danych. Kłopot w tym, że system operacyjny (używający nowszych formatów) lokuje swoje dzienniki na nośniku podstawowym (często jedynym w systemie) i taka operacja (read only) generuje kolejny wpis w dzienniku. Z tego powodu wyliczona suma kontrolna oryginalnego nośnika będzie z pewnością różna od sumy obliczonej na bitowej kopii tego dysku.
Problem zaczyna się jednak znacznie wcześniej, bo w momencie przybycia śledczego na miejsce zdarzenia. Może on bowiem zastać komputer jeszcze pracujący lub odłączony od zasilania (co zdarza się znacznie częściej). W tym drugim przypadku można liczyć jedynie na historyczne zapisy ulokowane na trwałym nośniku pamięci. Zazwyczaj jest to klasyczny dysk mechaniczny, ale coraz częściej także nośnik pamięci SSD zwany dyskiem tylko przez analogię funkcji na poziomie logicznym. Niezwykle istotna okazuje się decyzja, czy i jak rozebrać urządzenie, bo współcześnie używane laptopy mogą przysporzyć bardzo wielu trudności – bez szczegółowego schematu i specjalistycznych narzędzi nie da się tego zrobić bezpiecznie.
Wyzwania nowych technologii
Kolejne wyzwanie to liczba typów interfejsów, jakie są używane do podłączenia dysku (IDE, SCSI, EIDE 40 pin i 80 pin, SATA, eSATA, mSATA, microSATA, ZIF). Czasem sprzętowe sklonowanie dysku jest niemożliwe z powodu braku odpowiedniego gniazda w urządzeniu klonującym (najlepiej typu forensic). Wtedy pozostaje jedynie wykorzystanie portu USB lub innego dostępnego interfejsu zewnętrznego (np. FireWire). Użycie komendy linuksowej typu dd if= /dev/fd0 of=/evidence/imageforensic.img nie daje pewności, że nie naruszono zapisu dysku źródłowego.
Nośniki typu SSD są dodatkowo kłopotliwe ze względu na działającą na poziomie kontrolera dysku (a więc głębszym niż poziom systemu operacyjnego) funkcję TRIM, której zadaniem jest taka alokacja zapisów, aby komórki pamięci były zużywane równomiernie. Z powodu tej operacji funkcje skrótu wyliczone na oryginalnym dysku i jego kopii (czy klonie) będą się różnić. Należy więc przed utworzeniem kopii wyłączyć tę funkcję. W systemie Windows można to zrobić za pomocą wiersza poleceń.
Jeszcze bardziej problematyczne okazują się pamięci typu NVMe, obsługiwane zupełnie inną rodziną komend niż AHCI/SATA, z różnymi typami złącz (M2 czy też NGFF). Do tego typu pamięci powstają już specjalne blokery zapisu i opracowywane są nowe metody ich obsługi w środowisku linuksowym.
Wszystko to sprawia, że najważniejszym krokiem, finalizującym przedstawienie łańcucha dowodowego, jest logiczne uzasadnienie, dlaczego materiał dowodowy może różnić się od oryginalnego nośnika informacji.
Więcej informacji
Marek Ujejski – doradca zarządu i ekspert ds. cyberbezpieczeństwa w COIG S.A.
coig.pl
coig@coig.pl
+48 32 757 44 44
