2009. április 27., hétfő

Forensic vizsgálatok 2. - Adathordozók kezelése

A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.

Forensic munkák során gyakran kerül valamilyen adathordozó a vizsgálatok szkópjába. Lehet ez egy pendrive, egy írható CD, de a legtöbb esetben ilyen módon kezeljük a vizsgált munkaállomások és szerverek merevlemezeit is. Ahhoz, hogy a vizsgálatok további szakaszai számára megbízható és megfelelő alapanyagot szolgáltassunk a nyomgyűjtési fázis során, elengedhetetlenül szükséges a szóba kerülő adathordozó megfelelő kezelése.

Adathordozó nyomrögzítése során alapelv, hogy a forensic vizsgálatok során soha nem az eredeti példányon vizsgálódunk, hanem kizárólag megbízható eszközökkel és hiteles módon készített másolaton. A másolatkészítés ilyen formájának több oka is van.

Egyrészt egészen egyszerűen sokszor nem megoldható, hogy az kivizsgáláshoz elvigyük fizikailag az érintett adathordozót (például egy produktív rendszerben üzemelő szerverből nem szívesen adják oda a merevlemezt, ha napokig, esetleg hetekig is eltartanak a vizsgálatok), másrészről a másolaton vizsgálódó értelemszerűen nem tud véletlenül sem kárt tenni az eredeti médiában. A "hiteles módon" történő másolatkészítés szükség esetén ajánlás szerint úgy történik, hogy a lemezről készülő másolatot két példányban készítjük el, az egyik példányt és a róla készült hash-t megbízható hatóságnál hagyjuk, míg a másikon vizsgálódunk.

Milyen módon történik a "másolat" elkészítése? Az elveszett, adatszivárogtató pendrive-ok kapcsán készült bejegyzésben már érintettük, hogy az adathordozóról image-et készítünk, amely bitről bitre történő másolatát jelenti az eredeti eszköz tartalmának. Munkaállomások merevlemezeinek image-e magában foglalja nemcsak az összes felhasználói adatot, amelyet tárolnak a lemezen, hanem a partíciós táblát, a master boot recordot, a partícionálatlan helyeket, a partíciók közti "gap"-eket is.

Sok esetben nem is a forensic munkaállomást használjuk image-elési célokra, hanem céleszközt veszünk igénybe a feladatra. A céleszköz teljesen automatizáltan végzi a munkát: beleteszünk rengeteg saját merevlemezt, amikre az image-ek rákerülnek, illetve csatlakoztatjuk hozzá az érintett adathordozót. A másolat munkaállomáson történő elkészítéséhez (pl. pendrive esetén) sok esetben a dd linuxos eszközt, illetve ennek származékait (rescuedd például) használjuk, de az olyan forensic céleszközök is, mint az EnCase, illetve a Forensic Toolkit, rendelkeznek imaging funkcióval. Az elkészült másolaton történik meg a vizsgálat az adathordozón tárolt adatokból, a fájlrendszer metaadataiból és egyéb helyekről történő információgyűjtéssel.

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek