7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση...
Transcript of 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση...
![Page 1: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/1.jpg)
INF
OC
OM
20
17
Computer ForensicsΙωάννης Πάσχος
![Page 2: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/2.jpg)
INF
OC
OM
20
17
ΟμιλητήςΙωάννης Πάσχος
Αξ/κός ΕΛ.ΑΣ ε.α
Εξεταστής ψηφιακών πειτηρίων
Δικαστικός Πραγματογνώμονας
• Ίδρυση Εργαστηρίου Δ/νσης Εγκληματολογικών Ερευνών 1996 και
παραμονή σε αυτό έως 2008 .
• Έχει τιμηθεί με την ανώτατη διάκριση του Αστυνομικού Σταυρού για τη
προσφορά στην υπόθεση της 17 Νοέμβρη
• Στο παρελθόν εκπαιδευτής σε INTERPOL, Europol, NSLEC (National
Specialist Law Enforcement Centre UK)
• Από 2008 έως σήμερα Δικαστικός Πραγματογνώμονας και Τεχνικός
σύμβουλος
![Page 3: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/3.jpg)
INF
OC
OM
20
17
Τι είναι?
Η εγκληματολογική επιστήμη είναι η επιστημονική μέθοδος της
συγκέντρωσης και εξέτασης πληροφοριών που αφορούν το παρελθόν. Η λέξη
forensics, προέρχεται από το λατινικό forēnsis, που σημαίνει μπροστά στο
forum. Στην εποχή μας σημαίνει η χρήση της επιστήμης για νομικούς ή
δικαστικούς σκοπούς.
Digital Forensics
Forensics
Η αναγνώριση, διατήρηση, εξαγωγή, ερμηνεία και καταγραφή των ευρημάτων
που εντοπίζονται στα ψηφιακά πειστήρια και η παρουσίασή τους στο
δικαστήριο
![Page 4: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/4.jpg)
INF
OC
OM
20
17
Ρόλοι πειστηρίων (αποδεικτικοί)
Επιβαρυντικά: Υποστηρίζουν μια δεδομένη θεωρία
Απαλλακτικά: Απορρίπτουν μια δεδομένη θεωρία
Αποδεικνύουν αλλοίωση: Δείχνουν ότι τα
πειστήρια έχουν υποστεί σκόπιμα αλλοίωση
![Page 5: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/5.jpg)
INF
OC
OM
20
17
Αρχές των Ψηφιακών πειστηρίων
• Αρχή 1η: Καμία ενέργεια η οποία προέρχεται από υπηρεσίες
επιβολής του νόμου ή τα άτομα που εργάζονται σε αυτές δεν
πρέπει να αλλάζει δεδομένα σε ψηφιακά πειστήρια, αν πρόκειται να
γίνει επίκληση αυτών στο δικαστήριο.
• Αρχή 2η: Στις περιπτώσεις όπου κάποιος βρίσκει αναγκαίο να
προσπελάσει πρωτότυπα δεδομένα, το άτομο αυτό πρέπει να είναι
εκπαιδευμένο γι' αυτό και να είναι σε θέση να επεξηγήσει τι ακριβώς
έκανε και ποιες είναι οι συνέπειες της πράξης του.
• Αρχή 3η: Στην παραπάνω περίπτωση θα πρέπει να τηρηθεί
λεπτομερές αρχείο όλων των ενεργειών, το οποίο και θα πρέπει να
διαφυλαχτεί με τα πειστήρια. Ένα τρίτο ανεξάρτητο άτομο θα
πρέπει να μπορεί να εξετάσει τα πειστήρια και να καταλήξει στο
ίδιο αποτέλεσμα.
• Αρχή 4η: Το άτομο που είναι επικεφαλής της έρευνας έχει την
απόλυτη ευθύνη για την τήρηση του νόμου και των αρχών αυτών.
![Page 6: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/6.jpg)
INF
OC
OM
20
17
Ευρήματα• Όπως στο φυσικό επίπεδο, αφού συμβεί κάτι, προσπαθούμε να
διακριβώσουμε τι και πως έγινε, προκειμένου να βρεθεί ο
δράστης, ανάλογα πράττουμε και σε ψηφιακό επίπεδο.
• Η μεγάλη διαφορά: Στην πρώτη περίπτωση η ίδια η φύση
φροντίζει να μένουν ίχνη. Εμείς απλά καλούμαστε να τα
βρούμε. (αποτυπώματα κλπ)
• Στην άλλη περίπτωση εμείς είμαστε αυτοί που θα πρέπει να
φροντίσουμε ούτως ώστε να μείνουν ίχνη. Και τα ίχνη αυτά
στον ψηφιακό κόσμο είναι KAI log files.
![Page 7: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/7.jpg)
INF
OC
OM
20
17
Πρώτες ενέργειες
• Τα περισσότερα λάθη γίνονται στην αρχή.
• Αναγνώριση των εμπλεκομένων πειστηρίων.
• Διασφάλιση των δεδομένων ή πειστηρίων ακολουθώντας
τις διαδικασίες.
• Καταγραφή των διαπιστωμένων γεγονότων - ενεργειών
• Υπάρχουν πολιτικές ασφάλειας? (έγγραφα, μήνυμα σε
Η/Υ κλπ)
• Νομικά προβλήματα? (BYOD).
![Page 8: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/8.jpg)
INF
OC
OM
20
17
Ερωτήματα
Το λάθος ερώτημα.
Τι έχει μέσα?
![Page 9: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/9.jpg)
INF
OC
OM
20
17
Όγκος δεδομένων• Disk Volume 250GB
• Gigabyte 1,073,741,824 bytes
• Subtotal 268,435,456,000 bytes
• Page size 3000 bytes
• Pages 89,478,485
• Ream 500 pages
• Reams 178,956 Reams
• Ream height 2”
• Total height 357,913” = 29,826’ or 5.6 miles
• Mt. Everest 29,035’
![Page 10: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/10.jpg)
INF
OC
OM
20
17
• Terabyte 1,099,511,627,776 bytes
• Page size 3000 bytes
• Pages 366,503,875
• Ream 500 pages
• Reams 733,007 Reams
• Ream height 2”
• Total height 1,466,014” = 122,168’ or 23 miles
• Olympus Mons 78,740’
Όγκος δεδομένων
![Page 11: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/11.jpg)
INF
OC
OM
20
17
Ερωτήματα
Ακούγονται απλά
• Ερώτημα αν και ποια αρχεία αντιγράφηκαν από εταιρικό
σύστημα.
• Πότε συνέβη αυτό?
• Από ποιον?
• Πότε διαγράφηκαν τα αρχεία από το σύστημα?
• Από ποιόν?
• Αντιγράφηκαν σε εξωτερική συσκευή? Σε ποια;
![Page 12: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/12.jpg)
INF
OC
OM
20
17
Ερωτήματα
• Αντιγραφή δεν αφήνει ίχνη στο σύστημα και ουσιαστικά
τεκμαίρεται, αλλά προφανώς πρέπει να υπάρχει και το μέσο
στο οποίο αντιγράφηκαν τα αρχεία.
![Page 13: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/13.jpg)
INF
OC
OM
20
17
Ερωτήματα
![Page 14: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/14.jpg)
INF
OC
OM
20
17
Ερωτήματα
Αλλά……. Μπορούμε να έχουμε το πειστήριο?
• Υπάρχουν σχετικές πολιτικές;
• BYOD ??? Πρακτικά και νομικά Θέματα
• Εταιρικός Η/Υ, ο οποίος παραδίδεται σε άλλο υπάλληλο αφού
διαγράφονται ή όχι τα πάντα από αυτόν. Image?
![Page 15: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/15.jpg)
INF
OC
OM
20
17
Ενεργοποιήστε Auditing
• Το Windows security auditing μπορεί να ενεργοποιηθεί είτε στο
Group Policy (in Active Directory environment) είτε στο Local
Security Policy (single computer).
• Ενεργοποίηση File system auditing
• Ενεργοποίηση Shared folders auditing (Detailed)
![Page 16: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/16.jpg)
INF
OC
OM
20
17
Event log
![Page 17: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/17.jpg)
INF
OC
OM
20
17
Event log
![Page 18: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/18.jpg)
INF
OC
OM
20
17
Event log
![Page 19: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/19.jpg)
INF
OC
OM
20
17
Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε
δικαστήριο.
Να φροντίσω να υπάρχουν log files.
Να διασφαλίσω τα δεδομένα ή/και τα πειστήρια.
Να καταγράψω τα γεγονότα και τις ενέργειες που
έκανα.
Να συμβουλευτώ έναν ειδικό όταν προκύψει το
πρόβλημα και όχι μετά.
Να μην χρησιμοποιήσω το πειστήριο μετά το
συμβάν ή να το κάνω image
![Page 20: 7 Computer Forensics - Infocom Security7 Να μην ξεχάσω Κάθε υπόθεση ενδέχεται να καταλήξει σε δικαστήριο. Να φροντίσω](https://reader034.fdocuments.net/reader034/viewer/2022042321/5f0b8efd7e708231d4311bdd/html5/thumbnails/20.jpg)
INF
OC
OM
20
17
Προφθάσαμε?
Το να είσαι καλός σκοπευτής δεν σημαίνει ότι
μπορείς να κάνεις εγκληματολογική εξέταση
σε όπλα και πυρομαχικά.
Ευχαριστώ για την προσοχή σας!!!!!!